Proxmox - Freigabe von Speicher für VMs in verschiedenen Subnetzen

1146
Svarto

Ich habe eine Frage, wie ich eine Platte über verschiedene Heimnetzwerk-Subnetze (z. B. 192.168.1.1 und 10.0.0.1) für verschiedene VMs freigeben kann. In denselben Netzwerk-Subnetzen habe ich nur einen NFS-Speicher eingerichtet. Wie kann ich jedoch so einrichten, dass er auch von einem anderen Netzwerk-Subnetz erreichbar ist?

Ich möchte eine Website selbst hosten, habe sie aber aus Sicherheitsgründen in einem separaten Netzwerk-Subnetz für alle meine anderen Geräte zu Hause. Irgendwie muss ich trotzdem Speicherplatz oder zumindest einen Ordner freigeben.

Genau wie bei Nextcloud, ich möchte das in einem separaten Subnetz haben, aber trotzdem auf mein Hauptsubnetz zugreifen. Nur um Sicherheit und Abgrenzung gegenüber meinem Heimnetzwerk gegenüber dem Internet zu gewährleisten.

Auf meinem Server läuft Proxmox 5.1, derzeit nur LXC, aber für die extern gehostete Website und Nextcloud plane ich die Installation von zwei separaten VMs, die zwei verschiedene virtuelle Brücken verwenden (die Firewall ist pfsense, eine weitere VM auf Proxmox).

Hoffe das macht Sinn, danke für deine Hilfe!

0
Warum glauben Sie, dass Subnetze einen Unterschied in der NFS-Nutzung machen? grawity vor 6 Jahren 1
Hmm, ich habe versucht, auf einen Computer unter 10.0.0.1 von einer VM mit IP 192.168.1.1 zuzugreifen, und hatte Probleme - aber Sie sagen, dass diese leicht miteinander in der Lage sein sollten, als würden sich beide auf demselben IP-Bereich befinden (zB beide auf 192.168.1.1)? Dann müssen meine Probleme von etwas anderem gekommen sein, denke ich ... Ich dachte, es liegt daran, dass sie sich in zwei verschiedenen Subnetzen befanden. Ich bin dann verwirrt, warum die Empfehlung zur Verbesserung der Sicherheit bei der Bereitstellung einer Anwendung für das Web darin besteht, sie in ein anderes Subnetz zu setzen - wenn die Kommunikation zu allen anderen Subnetzen so einfach ist, warum dann die Mühe machen? Ich bin verwirrt... Svarto vor 6 Jahren 0

1 Antwort auf die Frage

0
Shawn Hughes

Viel anzusprechen, aber lass es mich versuchen. Erstens: Wenn alle betroffenen Hosts (VMs) dieselbe pfSense-VM als Standardgateway verwenden, kann pfSense den Verkehr in beide Richtungen lenken. Weiter: Haben Sie Firewall-Regeln hinzugefügt, um den Datenverkehr zuzulassen? pfSense hat einige Standardregeln für (1) WAN + (1) LAN, um den Austritt aus dem LAN zuzulassen. Alle OPT-Schnittstellen, die Sie hinzufügen, enthalten jedoch eine Standardverweigerungsregel. Wenn der Datenverkehr erlaubt ist, sollte eine explizite Anforderung für einen bestimmten Host / Dienst funktionieren. Sie müssen jedoch wissen, dass der Rundsendungsverkehr (Dienstwerbung / Netzwerkerkennung) blockiert wird. Separate Subnetze = separate Broadcast-Domänen. Für die Dateiübertragung auf Ihren Webserver würde ich empfehlen, dass Sie Sftp (ftp over ssh) anstelle von NFS auf Ihrem über das Internet erreichbaren Host in Betracht ziehen, sofern Sie nicht sicher sind, dass Sie nur von Ihrem LAN aus Zugriff haben. Wie viel Sicherheit Sie erhalten, wenn Sie die Hosts in separate Subnetze setzen, hängt alles davon ab, was Sie in den pfSense-Firewall-Regeln konfigurieren: Wenn Sie alles zulassen, dann haben Sie nur die automatische Netzwerkerkennung blockiert: Sicherheit durch Unverständlichkeit. Der Sicherheitsvorteil tritt auf, wenn Sie nur die erforderliche Kommunikation zulassen. In diesem Fall erwarte ich, dass Sie Verbindungen von Ihrem 'LAN' zum Webhost zulassen, jedoch nichts in umgekehrter Richtung initiieren. Wenn Sie dies nicht in einer Box benötigen, möchte ich für eine Heiminstallation eine dedizierte Box für die pfSense-Firewall und nicht eine physische ProxMox-Schnittstelle für das Internet verfügbar machen. Ich sage nicht, dass Sie es nicht tun können. Ich habe. Ich habe eine Debian-Box in einem Rechenzentrum, auf dem KVM / QEMU mit pfSense auf einer VM mit OpenVPN ausgeführt wird, sowie einige LAN- und DMZ-VMs: Im Grunde war es ein Office-LAN eines Kunden, und sie waren klein genug, dass sie ihre Ziegelsteine ​​und Mörtel geschlossen hatten, und jetzt arbeiten alle von zu Hause aus. Es war eine lustige Übung, aber ich glaube nicht, dass ich es noch einmal machen werde.