Маршрутизация в несколько сетей на Proxmox?

Question

[Stas43]

Как настроить маршрутизацию через 2 физических интерфейса?
1 смотрит в локальную сеть, второй - в интернет. И есть виртуальная машина, выполняющая роль файервола, proxy и dhcp сервера?

На данный момент:
$ cat /etc/network/interfaces

auto lo
iface lo inet loopback
iface eno1 inet manual -> к провайдеру (свой ip & gw)
iface eno2 inet manual -> включено в локальную сеть

auto vmbr0
iface vmbr0 inet static
address 192.168.100.12/24
netmask 255.255.255.0
gateway 192.168.100.1
bridge-ports eno2
bridge-stp off
bridge-fd 0
#Внутренняя сеть

В такой конфигурации все работает только в лок. сети. Каким образом прописать путь к виртуалке-файерволу? Не понимаю. Бридж с гейтом на прова - не дает, т.к. гейт по умолчанию уже есть. Прописать без гейта? А на виртуалке как все это разруливать?

Answer 1

[fara_ib]

У меня в качестве тестового окружения настроено вот так...
Интерфейсы Proxmox выглядят так:

Виртуальная машина которая раздает адреса в локальной сети и ВМ и служит шлюзом с такими интерфейсами:

Настройки сетевые самого Proxmox такие:

У вас должно быть что-то подобное. Попробуйте.

Answer 2

[Stas43]

Спасибо! Есть база для размышления. И попутно: действительно ли утверждение, что мост, соединяющий внешний интерфейс (физ.) и виртуальную машину транслирует весь трафик на виртуалку и, соответственно, фаервол (и проброс портов и т.д.) можно строить на виртуалке? Т.е. хост будет безопасен для атак извне?

Comments

[fara_ib]

Получается что интерфейс физический и интерфейс ВМ подключены к одному коммутатору. В моем случае в сети провайдера запрошено два адреса, один для Proxmox через который происходит управление им. И второй адрес для внешнего интерфейса ВМ которая в роли шлюза для ВМ которые подключены к vmbr1.
Тогда из внешней сети или сети провайдера доступна страница самого Proxmox и другие сервисы, это уже риск огромный.
Как решить эту проблему описано в статье https://serveradmin.ru/ustanovka-i-nastroyka-proxmox/
в разделе Routed режим сети.
Еще простой вариант добавить третий физический интерфейс его сбриджевать с внешним интерфейсом ВМ в роли шлюза. Итого будет три интерфейса для локальной сети, для управления гипервизором, и внешний для интернета.

Answer 3

[Пума Тайланд]

просто на все поднять отдельные бриджи

Comments

[Stas43]

Я не совсем понял Ваш ответ в контексте вопроса...

[Пума Тайланд]

Stas43, поднимите второй бридж и будет у вас две сети

[Stas43]

Понял, Вы ответили к первому вопросу:)
Тогда еще спрошу: если на одной линии выдано 2 ip, то как лучше сделать?

вариант 1
на хосте определить что-то типа
auto eth0:0
iface eth0:0 inet manual

auto eth0:1
iface eth0:1 inet manual

далее делаем два бриджа на эти интерфейсы (по одному на разные ВМ, к примеру)

вариант 2
? других на ум не приходит. Разве что один бридж в ВМ и уже в ней делать два интерфейса?

[Пума Тайланд]

Stas43, почему у вас на один интерфейс два бриджа, интерфейсы же разные

[Stas43]

Пума Тайланд, очень трудно понять, к какому конкретно месту моих вопросов это относиться:) Если не трудно - процитируйте то место, что бы я сообразил.

[Пума Тайланд]

Stas43, к первому варианту у вас один интерфейс а не два

[Stas43]

Я понял:) я там просто не указал второй интерфейс (и соответственно - бридж) т.к. он пока не подключен. Прежде чем его сконфигурировать я как раз и хотел уяснить для себя непонятные моменты.

Если не против, еще вопрос:
2 ip входят на 1 адаптер, далее каждый ip должен обработаться своей ВМ. Существует ли решение?
Гугл поиск не дал четкого ответа. Два бриджа на 1 интерфейс не повесить. Если сделать типа eth0 и eth0:1 - prox это не понимает...

[Пума Тайланд]

Stas43, это стандартное поведение вм в проксмоксе , никакие теория не нужны, все работает само по себе