Возможна/допустима ли такая настройка сети?

tag-icon tag-icon networking router firewall virtualization
Возможна/допустима ли такая настройка сети?

Я уже задавал этот вопрос насетевое проектированиено мой вопрос там отложили и посоветовали попробовать это как суперпользователь, и вот я здесь.

Я планирую создать небольшую сеть для бизнеса, представленную на следующем рисунке:

введите описание изображения здесь

Чтобы предоставить больше информации, IP 1.2.3.4/29 — это статический внешний адрес, предоставленный нашим интернет-провайдером. FRITZ!Box и маршрут OPNsense в/через их сеть 172.16.0.0/16. У OPNsense есть еще одна сеть 192.168.0.0/24 на его интерфейсе LAN. В этой сети находятся управляемый коммутатор и сервер, на котором размещены виртуальные машины. Виртуальным машинам предоставляются IP-адреса через гипервизор сервера (Proxmox VE).

Мой вопрос прост: как вы думаете, эта настройка верна? Кстати, цель этого — иметь возможность доступа к виртуальным машинам из Интернета через решение удаленного рабочего стола.

Спасибо за ваши ценные комментарии/ответы.

С наилучшими пожеланиями, Дэвид.

ОБНОВЛЯТЬ: Я изменил изображение и описание, чтобы они лучше соответствовали правильному решению и вашему вкладу.

решение1

1) Каждое соединение (линия на рисунке) предназначено для соединения двух устройств с разными IP-адресами из одной подсети.

2) Каждое устройство, имеющее 2 или более интерфейсов (все, кроме виртуальных машин), имеет отдельный IP-адрес для каждого интерфейса из другой подсети, уникальной для всей схемы.

Итак, ваша схема может выглядеть следующим образом (насколько я понимаю, на вашем сервере 4 отдельных сетевых карты — одна WAN и 3, подключенные к виртуальным машинам отдельными патч-кордами):

                   Internet
                       |
                   1.2.3.4
                    Router
                 172.16.0.1/24
                       |
                 172.16.0.2/24
                   firewall
                 192.168.255.1/24
                       |
                    switch (192.168.255.3/24)
                       |
                 192.168.255.2/24
                     WAN NIC
                     Server
     NIC1              NIC2              NIC3
192.168.1.1/24    192.168.2.1/24    192.168.3.1/24
      |                 |                 |
192.168.1.2/24    192.168.2.2/24    192.168.3.2/24
     VM1               VM2               VM3

Коммутатор не имеет собственного IP-адреса в схеме маршрутизации. Его IP используется только для управления.

Дополнительно: маршрутизатор и брандмауэр должны иметь маршруты к 192.168.0.0/22 ​​через 172.16.0.2 и 192.168.255.2 соответственно.

Обновлять:Если ваш модем является простым преобразователем интерфейсов, а не маршрутизатором, у него не будет адреса, а адресом WAN-интерфейса брандмауэра будет 1.2.3.4. В этом случае брандмауэр должен работать как NAT-маршрутизатор, а не как простой маршрутизатор.

Связанный контент