Die Kombination aus Proxmox und pfSense ermöglicht eine leistungsstarke Infrastruktur für Virtualisierung und Netzwerksicherheit – selbst unter der Einschränkung, nur eine einzige IP-Adresse bei Hetzner zur Verfügung zu haben. Durch den geschickten Einsatz von IPtables und NAT in der Proxmox-Netzwerkkonfiguration wird eine effiziente Weiterleitung des Datenverkehrs an pfSense ermöglicht. Von dort übernimmt pfSense die vollständige Verwaltung des Netzwerks für alle dahinterliegenden virtuellen Maschinen (VMs).
Proxmox VE ist bekannt für seine Flexibilität und die Möglichkeit, virtuelle Maschinen und Container effizient zu betreiben. In dieser speziellen Konfiguration wird Proxmox so eingerichtet, dass es nur für seine Verwaltungsschnittstelle (Port 8006) und SSH direkt zugänglich ist. Alle anderen Ports und der gesamte restliche Datenverkehr werden mittels IPtables und NAT an eine virtuelle pfSense-Instanz weitergeleitet. Dadurch wird pfSense zum zentralen Gateway und übernimmt die vollständige Kontrolle über das interne Netzwerk.
pfSense selbst bietet ein umfangreiches Repertoire an Sicherheits- und Netzwerkfunktionen. Dazu gehören Firewall-Regeln, Intrusion Detection, VPN-Management und vieles mehr. Mit dieser Architektur wird der Server bei Hetzner optimal genutzt: Proxmox stellt die Virtualisierungsplattform, während pfSense für eine sichere und flexible Netzwerkstruktur sorgt.
Der Schlüssel zu dieser Konfiguration liegt in der sorgfältigen Einrichtung der Netzwerkinterfaces in Proxmox. Über IPtables werden spezifische Regeln definiert, um den Datenverkehr gezielt an pfSense weiterzuleiten. Gleichzeitig bleibt die Proxmox-Verwaltung durch die Beschränkung auf Port 8006 und SSH abgesichert und zugänglich. Von pfSense aus wird der Netzwerkverkehr gefiltert, überwacht und an die dahinterliegenden VMs weitergeleitet, die somit in einem isolierten und geschützten Netzwerk arbeiten.
Diese Art der Konfiguration ist besonders nützlich für Administratoren, die Virtualisierung mit einer hohen Sicherheitsebene kombinieren möchten, ohne zusätzliche Hardware oder teure Lösungen zu verwenden. Der Einsatz von IPtables und NAT in Proxmox bietet eine elegante Möglichkeit, den Datenfluss zu steuern und gleichzeitig sicherzustellen, dass pfSense als zentrale Firewall fungiert.
Allerdings erfordert diese Einrichtung ein fundiertes Verständnis von Netzwerkkonzepten und Routing. Fehler in der Konfiguration, beispielsweise ungenaue Firewall-Regeln oder fehlende NAT-Einstellungen, können leicht zu Problemen führen. Daher ist eine gründliche Planung und Testphase unverzichtbar.
Man kann sagen, dass die Kombination von Proxmox, pfSense und einer einzigen IP-Adresse bei Hetzner eine kosteneffiziente und sichere Lösung für anspruchsvolle Hosting-Umgebungen bietet. Die Nutzung von IPtables und NAT in Proxmox erweitert die Möglichkeiten der Netzwerkgestaltung erheblich und ermöglicht eine klare Trennung von Virtualisierungsmanagement und Netzwerksicherheit.
Kostenlose IT-Sicherheits-Bücher - Information via Newsletter
Bleiben Sie informiert, wann es meine Bücher kostenlos in einer Aktion gibt: Mit meinem Newsletter erfahren Sie viermal im Jahr von Aktionen auf Amazon und anderen Plattformen, bei denen meine IT-Sicherheits-Bücher gratis erhältlich sind. Sie verpassen keine Gelegenheit und erhalten zusätzlich hilfreiche Tipps zur IT-Sicherheit. Der Newsletter ist kostenlos und unverbindlich – einfach abonnieren und profitieren!
Hinweis: Wenn Sie auf den Button klicken, werden Sie zu MailerLite weitergeleitet. Dort werden essentielle Cookies zur Sicherung der Funktion des Newsletterformulares gespeichert. Mit Ihrem Klick erteilen Sie das Einverständnis zur Verwendung dieser Cookies.
Zur Anmeldung Im Tutorial-Video habe ich Ihnen ja gesagt, dass ich Ihnen hier die Network Interfaces bereitstelle. Bitte achten Sie darauf, dass Sie die Netzwerkschnittstelle, bei mir enp6s0, entsprechend umbenennen. Außerdem ist es wichtig, dass Sie die IP-Adressen sowie den Gateway der vmbr0-Schnittstelle an Ihre Umgebung anpassen. Die IP-Adresse und der Gateway müssen für IPv4 und IPv6 durch die Werte ersetzt werden, die Sie von Hetzner oder einem anderen Anbieter erhalten haben.
Die vmbr0 ist in diesem Szenario die Hauptschnittstelle, über die der gesamte externe Datenverkehr läuft. Da pfSense später den internen Datenverkehr und die Sicherheitsrichtlinien verwaltet, müssen Sie sicherstellen, dass die öffentlichen IP-Einstellungen für vmbr0 korrekt sind. Dies umfasst auch die Subnetzmaske und die richtigen DNS-Server, die von Ihrem Anbieter bereitgestellt wurden.
Eine korrekte Konfiguration der vmbr0 ist entscheidend, da sie nicht nur den Zugriff auf die Proxmox-Verwaltung ermöglicht, sondern auch die Grundlage für die Weiterleitung des Datenverkehrs an pfSense bildet. Stellen Sie sicher, dass nur die Ports, die für die Verwaltung benötigt werden, direkt über Proxmox zugänglich bleiben. Alle anderen Ports werden über NAT-Regeln und Firewall-Einstellungen an die pfSense-Instanz weitergeleitet.
Nehmen Sie sich Zeit, um diese Einstellungen sorgfältig zu überprüfen. Ein Fehler bei der Konfiguration kann dazu führen, dass Ihr Server nicht erreichbar ist oder dass der Datenverkehr nicht wie gewünscht funktioniert. Mit der richtigen Vorbereitung und gründlichem Testen sollte Ihre Umgebung jedoch zuverlässig und sicher laufen.
Ich stelle hier die echten IPs und die echte Interfaces von meinem Tutorial-Server zur Verfügung. Wenn Sie sich nicht sicher sind, ob Sie alles korrekt machen können, empfehle ich Ihnen, sich zunächst mein Tutorial "Hetzner Rescue System verwenden" und das Tutorial "Verschlüsseltes Backup von Proxmox-Konfiguration" anzusehen. Dann ist es nämlich gar nicht so schlimm, wenn Sie einen Fehler machen.
Wichtig ist, dass Sie vorher für ein Backup sorgen. Sollten Sie unsicher sein, wie das geht, keine Sorge – auch das erkläre ich in den anderen Tutorials. Dort lernen Sie Schritt für Schritt, wie Sie Ihre Konfiguration sichern und so im Notfall schnell wiederherstellen können. Vorbereitung ist hier der Schlüssel, damit Sie später entspannt arbeiten können.
Markieren und Kopieren Sie sich die gesamte Network/Interfaces-Datei, fügen Sie diese auf Ihrem Server ein und passen Sie die Netzwerkschnittstelle sowie die IP-Adressen und Gateways an, wie ich es im Video gezeigt habe. Achten Sie darauf, dass die Netzwerkschnittstelle, in meinem Fall enp6s0, bei Ihnen korrekt umbenannt wird und dass die IP-Adressen sowie die Gateways sowohl für IPv4 als auch für IPv6 mit den von Ihrem Anbieter, wie Hetzner, bereitgestellten Werten übereinstimmen.
Es ist wichtig, diese Anpassungen sorgfältig vorzunehmen, da sonst die Kommunikation Ihres Servers mit dem Internet oder pfSense gestört werden könnte. Wie ich im Tutorial betont habe, sind diese Schritte entscheidend, um sicherzustellen, dass Ihre Konfiguration reibungslos funktioniert. Sollten Sie dennoch unsicher sein, sehen Sie sich die betreffenden Abschnitte im Video noch einmal genau an, um Fehler zu vermeiden.
Meine etc/network/interfaces:
In meinem Video zeige ich die Einrichtung von pfSense. Bei einer Standardinstallation ist die Tastaturbelegung auf US gestellt. Daher habe ich für Sie die Tasten und die dazugehörigen Zeichen zusammengestellt, die Sie in der Shell benötigen, um pfSense einzurichten.
Informationen, Tipps und Tricks für Proxmox-Einsteiger und Fortgeschrittene - umfassend überarbeitete Ausgabe 4 mit 450 Seiten Proxmox-Wissen
Buch auf AmazonNEU
source /etc/network/interfaces.d/*
Dieser Befehl liest alle Konfigurationsdateien im Verzeichnis `/etc/network/interfaces.d/` ein und integriert sie in die Netzwerkkonfiguration. Dies ermöglicht eine modulare Verwaltung der Netzwerkeinstellungen.
auto lo
Definiert, dass das Interface `lo` (Loopback) automatisch beim Booten aktiviert wird.
iface lo inet loopback
Setzt die Loopback-Schnittstelle `lo` für IPv4 auf den Modus `loopback`.
iface lo inet6 loopback
Setzt die Loopback-Schnittstelle `lo` für IPv6 auf den Modus `loopback`.
iface enp6s0 inet static
Definiert, dass das Interface `enp6s0` (Netzwerkkarte) eine statische IPv4-Adresse erhält.
auto vmbr0
Definiert, dass die Bridge `vmbr0` automatisch beim Booten aktiviert wird.
iface vmbr0 inet static
Setzt die Bridge `vmbr0` auf den Modus `static` und weist eine statische IPv4-Adresse zu.
address 148.251.42.47/27
Weist der Bridge `vmbr0` die IP-Adresse `148.251.42.47` mit der Subnetzmaske `27` zu.
gateway 148.251.42.33
Legt das Standard-Gateway für `vmbr0` auf die IP-Adresse `148.251.42.33` fest.
bridge-ports enp6s0
Verbindet die Netzwerkschnittstelle `enp6s0` mit der Bridge `vmbr0`.
bridge-fd 0
Setzt die Forwarding Delay (Zeitverzögerung vor der Weiterleitung von Paketen) auf 0, was die Weiterleitung beschleunigt.
bridge-stp off
Deaktiviert das Spanning Tree Protocol (STP) für die Bridge.
post-up echo 1 > /proc/sys/net/ipv4/ip_forward
Aktiviert die IPv4-Paketweiterleitung, damit Pakete zwischen Netzwerken geroutet werden können.
post-up iptables -t nat -A PREROUTING -i vmbr0 -p tcp -m multiport ! --dport 8145,8006 -j DNAT --to 10.0.0.2
Leitet alle eingehenden TCP-Verbindungen außer für die Ports 8145 und 8006 an `10.0.0.2` weiter.
post-up iptables -t nat -A PREROUTING -i vmbr0 -p udp -j DNAT --to 10.0.0.2
Leitet alle eingehenden UDP-Pakete von `vmbr0` an `10.0.0.2` weiter.
iface vmbr0 inet6 static
Setzt die Bridge `vmbr0` auf den Modus `static` für IPv6.
address 2a01:4f8:201:9232::2/64
Weist der Bridge `vmbr0` die IPv6-Adresse `2a01:4f8:201:9232::2` mit der Subnetzmaske `64` zu.
gateway fe80::1
Legt das Standard-Gateway für IPv6 auf die Link-Local-Adresse `fe80::1` fest.
auto vmbr1
Definiert, dass die Bridge `vmbr1` automatisch beim Booten aktiviert wird.
iface vmbr1 inet static
Setzt die Bridge `vmbr1` auf den Modus `static` und weist eine statische IPv4-Adresse zu.
address 10.0.0.1/30
Weist der Bridge `vmbr1` die IP-Adresse `10.0.0.1` mit der Subnetzmaske `30` zu.
bridge-ports none
Verwendet keine physische Netzwerkschnittstelle für die Bridge `vmbr1`.
bridge-fd 0
Setzt die Forwarding Delay (Zeitverzögerung vor der Weiterleitung von Paketen) auf 0.
bridge-stp off
Deaktiviert das Spanning Tree Protocol (STP) für die Bridge.
post-up iptables -t nat -A POSTROUTING -s '10.0.0.0/30' -o vmbr0 -j MASQUERADE
Setzt eine NAT-Masquerade-Regel, die Datenpakete von `10.0.0.0/30` über `vmbr0` ins Internet weiterleitet.
post-down iptables -t nat -D POSTROUTING -s '10.0.0.0/30' -o vmbr0 -j MASQUERADE
Entfernt die NAT-Masquerade-Regel beim Herunterfahren des Interfaces `vmbr1`.
auto vmbr2
Definiert, dass die Bridge `vmbr2` automatisch beim Booten aktiviert wird.
iface vmbr2 inet static
Setzt die Bridge `vmbr2` auf den Modus `static` für IPv4.
bridge-ports none
Verwendet keine physische Netzwerkschnittstelle für die Bridge `vmbr2`.
bridge-fd 0
Setzt die Forwarding Delay (Zeitverzögerung vor der Weiterleitung von Paketen) auf 0.
bridge-stp off
Deaktiviert das Spanning Tree Protocol (STP) für die Bridge.
In meinem Video erkläre ich Ihnen Schritt für Schritt, wie Sie eine pfSense-Firewall installieren und einrichten. Das Besondere an dieser Konfiguration ist, dass Proxmox VE (PVE), pfSense sowie die VMs und Container alle dieselbe IP-Adresse nutzen. Um dies zu realisieren, zeige ich Ihnen, wie Sie in Proxmox NAT-Regeln einrichten und iptables-Weiterleitungen in der interfaces-Datei konfigurieren. Dabei werden alle Ports – mit Ausnahme der für die PVE-Verwaltung benötigten – direkt an die pfSense-Firewall weitergeleitet. Sie erfahren, wie Sie diese Einstellungen vornehmen, um eine reibungslose Integration der pfSense-Firewall in Ihre Proxmox-Umgebung zu gewährleisten.
Über den Autor: Ralf-Peter Kleinert
Über 30 Jahre Erfahrung in der IT legen meinen Fokus auf die Computer- und IT-Sicherheit. Auf meiner Website biete ich detaillierte Informationen zu aktuellen IT-Themen. Mein Ziel ist es, komplexe Konzepte verständlich zu vermitteln und meine Leserinnen und Leser für die Herausforderungen und Lösungen in der IT-Sicherheit zu sensibilisieren.
Aktualisiert: Ralf-Peter Kleinert 21.01.2025
