Moin zusammen,
ich bin meiner Lösung noch nicht ganz zu frieden aber sie funktioniert soweit gut.
Ich habe bei noez 3 einzelne IP Adressen gebucht:
- XXX.XXX.XXX.77
- XXX.XXX.XXX.78
- XXX.XXX.XXX.98
In Proxmox habe ich die Netzwerkschnittstelle vmbr0, welche auf die physische Netzwerkkarte gebrückt ist, und vmbr1, ohne Brücke auf ein andere Netzwerkschnittstelle. In opnsense ist die vmbr0 als WAN- und vmbr1 als LAN-Schnitstelle angebunden. In Opnsense hat die WAN-Schnittstelle eine öffentliche IPv6 aus dem zugewiesene Subnetz des Hosters, diese wird verwendet um den GRE-Tunnel auf zubauen.
Als erstes habe ich in Opnsense unter Schnittstellen → Andere Typen → GRE einen GRE Tunnel angelegt.
Anschließend unter Schnittstellen Zuweisung ein neue Schnittstelle anlegen und dieser die den GRE-Tunnel als Gerät auswählen. Bei mir heißt die Schnittstelle OPT1 und hat die folgenden Konfigurationen:
Anschließend muss noch eine Firewall Regel angelegt werden damit der Tunnel aufgebaut werden kann. Dazu unter Firewall → Regeln → WAN die folgende Regel anlegen:
Anschließend habe ich die ausgehenden NAT Regeln auf den Manuellen Modus gesetzte die beiden NAT Regeln angelegt, damit die automatisch zugewiesene IPs auf dem LAN Interface weiter ins Internet kommen:
Damit ich die per GRE gerouteten IP-Adressen einfacher verwalten kann habe ich eine Firewall Aliase von Typ Host mit dem Namen noez_gre_addr angelegt und die folgende Firewall Regel für die Schnittstelle OPT1 angelegt:
Damit kommen die Packete schon mal der Opnsene an, da ich die IP Addressen VMs zuweisen möchte musste ich noch zwei Firewallregeln füs LAN Interface anlegen:
Bei mir stehen die beiden Regeln ganz oben in der Liste.
Zu dem Teil der mir noch nicht gefällt. Der Traffic kommt nun am LAN Interface an und muss nur noch auf darauf geroutet werden. Das habe ich bisher nicht geschafft. Behelfsweise habe ich eine Virtuelle IP auf dem LAN Interface angelegt:
Ich habe probiert hier ein möglichst kleines Subnetz zu nehmen. Das kleinste Subnetz in dem die IP-Addressen XXX.XXX.XXX.77, XXX.XXX.XXX.78 und XXX.XXX.XXX.98 liegen ist XXX.XXX.XXX.65/26. Das Problem ist, dass alle anderen IP-Addressen die in dem Subnetz liegen nicht mehr vom Server aus erreichbar sind. Ich weiß noch nicht wie ich den Linux Befehl
ip route add XXX.XXX.XXX.77/32 dev LAN
in Opnsense umgesetzt bekomme.
Jetzt kann eine VM oder ein LXC Container anleget werden und diesem eine der IP-Addressen zugewiesen werden, wichtig ist nur das als Netzwerkschnittstelle die vmbr1 ausgewählt wird.
Vieleicht hilft euch das ja weiter.
Viele Grüße
Moe