IPFire konfiguration

M

MisterY

Urgestein
Thread Starter
Mitglied seit
17.03.2007
Beiträge
2.792
Hi,

ich teste gerade etwas IPFire aus. Ich habe einen Proxmox-Server mit 3 virtuellen VIRTIO-NICs, die aktuell auf einen vmbr im Proxmox zeigen (vllt ist das der Fehler?)
Dann habe ich es so eingestellt:

ROT: 192.168.0.100 (IP in meinem LAN vom Router)
GRÜN: 192.168.2.100
ORANGE: 15.15.15.0

Ich bekomme aber keinen Zugriff auf die Weboberfläche?

Wenn ich bei GRÜN jedoch 192.168.0.101 eingebe, dann komme ich sowohl über ROT als auch über GRÜN auf die Weboberfläche?
Was mache ich verkehrt?

Ich möchte mit IPFire ein eigenes Subnetz erstellen und eine DMZ.

Liegt es vllt daran, dass alles auf ein und dieselbe vmbr zeigen?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
15 ist eine öffentliche Adresse. Du kannst 10.10.10.0 nehmen ;)

Sind rot und grün evtl. am gleichen Switch bzw. im gleichen VLAN getagged?
 
10.10.10.0 habe ich nicht genommen, da ich mir nicht sicher war, ob sich das nicht mit meiner VPN-Verbindung beisst (10.8.0.x)

Rot, Grün und Orange gehen auf ein und die selbe vmbr in Proxmox, jedoch mit drei virtuellen NICs. und vmbr0 hängt an eth0 von Proxmox und eth0 hängt an einem unmanaged Switch und der wiederum hängt an einem Router (DHCP-Server). DNS wird bei mir über Pihole aufgelöst.
 
NetRange: 15.0.0.0 - 15.255.255.255
CIDR: 15.0.0.0/8
NetName: HP-INTERNET
NetHandle: NET-15-0-0-0-1
Parent: NET15 (NET-15-0-0-0-0)
NetType: Direct Assignment
OriginAS:
Organization: Hewlett-Packard Company (HP)
RegDate: 1994-07-01
Updated: 2017-04-10
Ref: https://whois.arin.net/rest/net/NET-15-0-0-0-1

Das ist der 15.0.0.0-15.255.255.255 Bereich (wow!). Aber gut - kann man machen, würde ich nicht ;) Wieso sollte sich das mit Deinem VPN beißen? Selbst wenn du ein /8er Netz dort hast...
 
verstehe ich das falsch, aber wäre das nicht alles in meinem LAN und würde mit dieser IP nicht nach draussen wählen?
 
Kann man machen, aber dann isses halt kacke. :d Und die Kisten aus dem Netz (und je nachdem wie konfiguriert aus ALLEN Deine. Netzen) können nicht auf das "echte" 15er Netz. Machs halt richtig.
 
Zuletzt bearbeitet:
Ja das versuche ich ja :fresse2:

also werde ich für Orange 10.10.10.0 nehmen. Aber was muss ich bei Rot und Grün eintragen?
Ich habe das so verstanden:
Rot = IP nach Aussen = IP im DHCP-Bereich des Routers
Grün = IP nach Innen = neues Subnetz.
Das funktioniert aber leider nicht. So komme ich weder über ROT noch über GRÜN auf die WebGUI von IPfire. Packe ich aber Grün in das gleiche Subnetz wie Rot, dann kann ich über beide auf die WebGUI zugreifen.:confused:
 
Achte auf jeden Fall auf die netmasks. Wenn Du zwei 10er Netze hast, darf da nicht 255.0.0.0 stehen, sondern du musst die trennen.
 
und wie? Ich bin ein ziemlicher Noob auf diesem Gebiet :fresse:
 
Rot = Internet --> An einen LAN Port deines Routers, ob DHCP oder nicht ist nebensache (ich würde eine Static IP nehmen)
Grün = LAN --> Dein Endgerät hinten dran (IPFire: 192.168.0.1/24, Endgerät 192.168.0.2/24)
Orange = DMZ --> Dein Endgerät hinten dran das mit anderst definierten Firewall Regeln im Internet hängen soll

So sollte die Konfig funktionieren :)
 
Und ich kann über Rot ipfire konfigurieren? Weil an Grün kommen nur VMs ohne Desktop
Und wie leite ich das alles in proxmox weiter? Sozusagen welche virtuelle Kabel muss ich verlegen und wie?
 
Zuletzt bearbeitet:
Ich glaube Du hast das Konzept vom IPCop bzw. IPFire nicht so ganz verstanden, wie die Aufteilung sein soll:

GRÜN = LAN
ROT = WAN (Internet (xDSL/Kabel whatever))
ORANGE = DMZ
BLAU = WLAN
GRAUx = andere Netze (z.B. weitere DMZetten)

"Eigentlich" sollte man sogar für jedes Netz einen eigenen Switch haben (das geht natürlich bei ESXi auch als "virtueller Switch"), wie das beim Proxmox ist, weiß ich (noch) nicht.

Was auf KEINEN Fall gemacht werde darf ist das ROT & GRÜN an einen Switch gesteckt werden (es sei denn Du hast VLANs, aber das sei mal außer vor gelassen).
 
Zuletzt bearbeitet von einem Moderator:
Doch das ist mir schon klar, aber ich möchte das restliche LAN, was von meinem Router bereitgestellt wird (nennen wir das mal LILA), erstmal nicht verändern/auflösen. Das ist für die Zukunft angedacht, aber jetzt lohnt sich das für mich nicht, da der Server aktuell keine 24/7 läuft.
Deswegen möchte ich mein LILA für die virtualisierte IPFire Installation als ROT nehmen, also als Tor zur Aussenwelt.
GRÜN wird erstmal nicht gebraucht, wird aber in so 1-2 Jahren LILA ablösen. Aber soweit bin ich noch nicht.
ORANGE soll nur INTERN in Proxmox laufen. Da soll kein Kabel rausgehen.
BLAU wird durch meinen Router gemacht, also auch nicht von nöten.
 
Das Problem bei der Konstruktion ist halt, das im Endeffekt ROT & LILA wieder auf einem Switch zusammenlaufen. Das wird so nur gehen, wenn Du das so baust:

Router ROT (Route) -> virt. IPFire -> LAN (LILA/GRÜN)

Sprich: ich weiß nicht, ob IPFire das so abbilden kann, wie Du es anstrebst
Wenn Du LILA direkt an den Router anschließt, glaube ich nicht, dass Du das parallel machen kannst.

Schau Dir evtl. mal das Video hier an: Proxmox | pfSense virtualisieren - NIC Passthrough - YouTube - da wird beschrieben, wie man z.B. eine Route von einer FritzBox zu einem pfSense baut (wobei das Produkt hier egal ist)
 
Das wird ohne größeren Aufwand nicht gehen, da Dein "LILA" in der Struktur eben Grün bzw. grau ist. Das an rot zu hängen und dafür das Routing und Firewalling zu vergewaltigen - nicht so clever und mit hoher Wahrscheinlichkeit verfummelst Du da unfreiwillig was.

Was ich eher machen würde ist, dein LILA Netz grds. am Router zu lassen und übergangsweise parallel dazu mit IPfire eine neue (separate) Struktur bauen. Also: frisch ans Reißbrett und komplett neue Subnetze definieren und - wenn du eh virtualisierst - dann eben für jedes Subnetz eine Testmaschine aufsetzen. Alternativ kannst Du auch einzelne Maschinen (insb. Clients, die sich im Zweifel über DHCP selbst das Netz ziehen) für testzwecke umhängen.

Wenn Du dann zufrieden bist, das alles im Test funzt, hängst du eben die echten Maschinen um (ob in den virtuellen oder physischen Switches).

Am Ende kannst du theoretisch die Fritzbox, oder was auch immer du zurzeit als Modem/Router hast, dauerhaft vor der IPfire lassen und zum Beispiel als (Gast)Netz/WLAN nutzen oder für IP-Telefonie oder was weiß ich. Kann auch hilfreich sein, falls Deine Firewall sich mal für einen längeren Zeitraum verabschiedet um schnell doch ins Netz zu kommen... ;)

Für die Subnetze würde ich in die 192.168.0.0 Netze gehen. Zum Beispiel 192.168.1.0/24 für grün (LAN), 192.168.100.0/24 für blau (WLAN) und 192.168.200.0/24 für orange (DMZ). Wenn du mehr Subnetze hast, eben irgendwas dazwischen. Mehr als 255 IP-Adressen (=Geräte/NICs inkl. WLAN) pro Subnetz dürftest Du @home wohl kaum brauchen, sonst musst du halt eine Ebene höher mit dem entsprechenden Adressraum gehen.

NACHTRAG: Je nachdem brauchst du für die Realisierung mindestens 1 freie physische NIC (+ zusätzliche für etwaige physische weitere Kisten/Netze, die du gleichzeitig testen willst): die freie NIC nimmst Du für die "2. Leitung" zur Fritzbox, die du exklusiv mit der IPfire als "ROT" verbindest (entweder über einen dedizierten virtuellen Switch oder eben direkt mit'm Kabel). Weitere NICs verbindest du eben auch mit jeweils einem separaten Switch, an dem zukünftig eines der anderen Netze hängen soll. Diese physischen NICs kannst Du Dir natürlich sparen, wenn du das zunächst rein virtuell abbildest und erst später nach erfolgreichem Test die entsprechenden physischen NICs in die virtuellen Switches einhängst.
 
Zuletzt bearbeitet:
Danke für eure Anregungen. Ich werde das alles nochmal in Ruhe durchlesen (und verstehen :fresse2:), aber so wie ich das auf dem ersten Blick verstehe, müsste dafür dann doch IPFire immer laufen, oder?
Ich habe das mal visualisiert, damit man sich das besser vorstellen kann.

Aktuelle Situation:

Netzwerk aktuell.png

Alles in einem Netz (bis auf der RPi3). Das ist aber doof.

Aktuell geplante Modifizierung um Wordpress und Nextcloud (=Internetzugriff) vom Heimnetz zu trennen:
Netzwerk geplant.png

In Zukunft angedachtes Netzwerkkonzept, was aber erst nach einem Umzug in Angriff genommen wird:
Netzwerk zukunft.png

Router fungiert dann nur noch als WLAN-AP; DNS(=PiHole), DHCP und IPFIre usw wird alles vom Proxmox-Server übernommen. Wirklich getrennte Subnetze benötige ich nicht, da ich von allen Geräten auf alle anderen Geräte zugreifen möchte (Ausnahme: Wordpress und Nextcloud. Hier läuft eh alles über ne DDNS, also ist ein Zugriff über den Browser auch so gegeben)
 
Kann die Bilder nicht gescheit anschauen, da unterwegs. Nur soviel: natürlich muss die "routende Firewall" immer laufen, wenn Geräte "hinter ihr" irgendwas mit/im Netz machen sollen. Was'n das für ne Frage?

Mit so lustigen Sachen wie Bypass-Adaptern kann man natürlich auch noch anderen "krassen Scheiss" für Failover auf lowlevel-Ebene usw. anstellen, dummerweise bekommt man da als Normalo bzw. Business-Kunde selbst über die großen Integratoren & Systembuilder keine Treiber für (glaub mir, ich habs versucht). :d
 
besterino schrieb:
Kann die Bilder nicht gescheit anschauen, da unterwegs. Nur soviel: natürlich muss die "routende Firewall" immer laufen, wenn Geräte "hinter ihr" irgendwas mit/im Netz machen sollen. Was'n das für ne Frage?
Zum Vergrößern anklicken....

Genau aus diesem Grund will ich IPFire nur für die beiden VMs als Router/Firewall nehmen. Erstmal soll das gesamte, normale LAN für all meine Geräte vom WLAN-Router bereitgestellt werden. Und da die VMs nur laufen, wenn der Proxmox-Server läuft, kann ich da die IPFire-VM auf Autostart setzen.

Was auch eine Möglichkeit wäre: eine dualport-NIC holen und die beiden Ports mit einem Kabel verbinden :fresse:
 
Zuletzt bearbeitet:
Wenn du die beiden Ports verbindest gibt das so eine art Loopback... Nicht gut... das dürfte dir der Netzwerkstack übel nehmen :p

Ich verstehe gerade nicht so genau was du bezwecken willst?

Die IPFire soll die beiden VMs in einer DMZ halten, IPFire muss aber über Rot konfigurierbar sein?
Und deine beiden VMs werden so nicht vom Heimnetz getrennt, jeder Netzwerksniffer (Wireshark als Beispiel) kann die Pakete trotzdem sehen ;)

Du müsstest die IPFire als Zentrale Firewall vor dein Netz hängen und dann entsprechend die einzelnen Netze verwalten.

Rot = Internet an IPFire
Grün = Heimnetz
Orange = DMZ (mit deinen beiden VMs)
Blau = WLAN AP (ggf. DHCP der IPFire nutzen um Netz-zu-Netz Zugriff sauber nutzen zu können)
Lila = VPN Zugänge (ist eine virtuelle Schnittstelle die die IPFire entsprechenden routet)
Grau = Sonstige Netze (beliebig erweiterbar)

Alles andere führt zu gebastel und wird niemals richtig laufen und wenn du Troubleshooting betreiben musst ggf. der Horror da irgendwann undurchsichtig wird was in welchem Netz landet, wo eventuell statische Routen existieren und sonst an "ich frickel das so hin" Konfigurationen am laufen sind ;)
 
Das mit den beiden Ports war ja auch eher als Witz gemeint :fresse:

Hmm okay, also dann doch direkt "richtig" machen.
 
Ich befürchte du würdest die ganze gewünschte Netzstruktur schon mit der IPFire so abbilden können allerdings mit unendlich Aufwand in irgendwelchen Config-Files Werte anzupassen, die iptables zu modifizieren und ähnlichem :p

Was natürlich funktionieren würde wäre eine Konfiguration mit VLANs:

Internet Router einen Switchport in VLAN1== IPFire Rot
Internet Router restliche Switchports in VLAN2
IPFire Grün ==VLAN2== vmbr2 == LAN
Restliches Heimnetz auch ins VLAN2
IPFire Orange ==kein VLAN==

So würde die IPFire die DMZ ins Netz schieben und trotzdem per Grün erreichbar sein. Ist aber auch nur eine Zwischenlösung, schließlich soll die Firewall ja der Zentrale Knoten des Netzes sein :)
 
Zuletzt bearbeitet:
Virtualisierte Firewall, welche auch VLAN Routing machen soll? Ich seh den naechsten Thread schon offen dass die Kiste zu lahm ist :d
 
Das ist ne andere Frage ;)
Wir haben in der Firma ne Watchguard virtualisiert, allerdings hat die auch 4 vCPUs und 4GB vRam, da klappt auch VLAN Routing :d
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh