Ich habe eine Frage, wie ich eine Festplatte über verschiedene Heimnetzwerk-Subnetze (z. B. 192.168.1.1 und 10.0.0.1) hinweg für verschiedene VMs freigeben kann. Innerhalb derselben Netzwerk-Subnetze habe ich gerade einen NFS-Speicher eingerichtet, aber wie kann ich ihn so einrichten, dass er auch von anderen Netzwerk-Subnetzen aus erreichbar ist?
Ich möchte eine Website selbst hosten, sie aber aus Sicherheitsgründen in einem separaten Netzwerksubnetz zu all meinen anderen Geräten zu Hause haben. Allerdings muss ich trotzdem irgendwie Speicher oder zumindest einen Ordner freigeben.
Dasselbe gilt für Nextcloud. Ich möchte es in einem separaten Subnetz haben, aber trotzdem von meinem Hauptsubnetz aus zugänglich sein. Nur damit es eine gewisse Sicherheit und Trennung zwischen meinem Heimnetzwerk und dem gibt, was dem Internet ausgesetzt ist.
Auf meinem Server läuft Proxmox 5.1, derzeit nur LXC, aber für die extern gehostete Website und Nextcloud plane ich, zwei separate VMs zu installieren, die zwei verschiedene virtuelle Brücken verwenden (die Firewall ist pfsense, eine weitere VM auf Proxmox).
Hoffe, das ist verständlich. Danke für Ihre Hilfe!
Antwort1
Es gibt viel zu besprechen, aber ich versuche es. Erstens: Wenn alle betroffenen Hosts (VMs) dieselbe pfSense-VM als Standard-Gateway verwenden, weiß pfSense, wie der Datenverkehr in beide Richtungen geroutet werden muss. Als Nächstes: Haben Sie Firewall-Regeln hinzugefügt, um den Datenverkehr zuzulassen? pfSense hat einige Standardregeln für (1) WAN + (1) LAN, um allen ausgehenden Datenverkehr vom LAN zuzulassen, aber alle OPT-Schnittstellen, die Sie hinzufügen, haben eine Standard-Ablehnungsregel. Wenn der Datenverkehr zugelassen ist, sollte eine explizite Anfrage für einen bestimmten Host/Dienst funktionieren, aber Sie sollten wissen, dass Broadcast-Datenverkehr (Dienstwerbung/Netzwerkerkennung) blockiert wird. Separate Subnetze = separate Broadcast-Domänen. Für die Dateiübertragung auf Ihren Webserver empfehle ich Ihnen, SFTP (FTP über SSH) anstelle von NFS auf Ihrem über das Internet erreichbaren Host in Betracht zu ziehen, es sei denn, Sie sind sicher, dass Sie den Zugriff nur von Ihrem LAN aus eingeschränkt haben. Wie viel Sicherheit Sie erhalten, wenn Sie die Hosts in separate Subnetze setzen, hängt ganz davon ab, was Sie in den pfSense-Firewall-Regeln konfigurieren: Wenn Sie alles zulassen, haben Sie nur die automatische Netzwerkerkennung blockiert: im Grunde Sicherheit durch Unklarheit. Der Sicherheitsvorteil tritt ein, wenn Sie nur die erforderlichen Kommunikationen zulassen. In diesem Fall gehe ich davon aus, dass Sie Verbindungen von Ihrem „LAN“ zum Webhost zulassen würden, aber nichts in umgekehrter Richtung. Sofern Sie dies nicht ALLES in einer Box BRAUCHEN, würde ich für eine Heiminstallation eine dedizierte Box für die pfSense-Firewall wollen, anstatt eine physische ProxMox-Schnittstelle dem Internet auszusetzen. Ich sage nicht, dass Sie das nicht tun können. Ich habe es getan. Ich habe eine Debian-Box in einem Rechenzentrum, auf der KVM/QEMU mit pfSense auf einer VM mit OpenVPN und ein paar LAN- und DMZ-VMs läuft: Im Grunde war es das Büro-LAN eines Kunden, und sie wurden so klein, dass sie ihre Ziegel- und Mörtelfabrik schlossen und jetzt jeder von zu Hause aus arbeitet. Es war eine lustige Übung, aber ich glaube nicht, dass ich es noch einmal machen werde.