Riggen_HomeLab_MikrTikhAPaclit_2 - itnett/FTD02H-N GitHub Wiki

For å sette opp en optimal konfigurasjon mellom Proxmox og MikroTik hAP ac lite, som tester og utnytter de fleste av funksjonene MikroTik tilbyr, må vi designe et nettverksoppsett som involverer både VLAN, VPN, ruting, brannmurregler, og kanskje til og med trådløst nettverk som en del av infrastrukturen. Vi kan også bruke virtuelle maskiner (VMs) i Proxmox for å simulere trafikk mellom forskjellige VLAN-er og tilkoblinger.

1. Oversikt over Oppsett

  • Proxmox-server: Denne serveren vil kjøre flere virtuelle maskiner (VMs) som er tilkoblet via VLAN-er for å simulere flere nettverkssegmenter.
  • MikroTik hAP ac lite: Denne enheten vil fungere som den sentrale ruter- og brannmuradministratoren som håndterer VLAN-er, ruting mellom VLAN-er, brannmurregler, VPN, og PoE.
  • Virtuelle Maskiner (VMs): VMs vil kjøre på forskjellige VLAN-er for å simulere et kompleks nettverksmiljø, som kan brukes til testing av nettverksfunksjoner som brannmur, ruting, QoS, etc.
  • Testfunksjoner: VLAN, VPN (WireGuard eller OpenVPN), PoE, NAT, DHCP, og Firewall.

2. Proxmox Oppsett

A. Nettverkskonfigurasjon på Proxmox

Du må sette opp bridge-grensesnitt på Proxmox for å koble de virtuelle maskinene (VM) til de forskjellige VLAN-ene som konfigureres på MikroTik.

  1. Konfigurer VLAN-aware bridge i /etc/network/interfaces på Proxmox:
auto vmbr0
iface vmbr0 inet static
    address 192.168.1.10/24  # IP-adresse til Proxmox på management-nettverket
    bridge-ports enp7s0
    bridge-stp off
    bridge-fd 0
    bridge-vlan-aware yes  # Gjør bridge VLAN-aware
  1. Opprett VLAN-spesifikke interfaces for forskjellige VMs:

For VLAN 100 (f.eks. Web-server VM):

auto vmbr0.100
iface vmbr0.100 inet manual
    bridge_ports enp7s0.100
    bridge_stp off
    bridge_fd 0

For VLAN 200 (f.eks. Database-server VM):

auto vmbr0.200
iface vmbr0.200 inet manual
    bridge_ports enp7s0.200
    bridge_stp off
    bridge_fd 0
  1. Assign VLAN interfaces til VMs:

Når du oppretter en virtuell maskin i Proxmox, kan du spesifisere riktig VLAN ved å legge inn riktig VLAN ID på nettverkskortet i GUI-et under Network-innstillingene. For eksempel:

  • VM 1 (Web-server): Tilknyttet VLAN 100
  • VM 2 (Database-server): Tilknyttet VLAN 200

B. Virtuelle Maskiner i Proxmox

Opprett et par VMs som bruker disse VLAN-grensesnittene og konfigurer dem til å kommunisere på tvers av nettverket:

  • VM1 (Web-server) på VLAN 100, IP-adresse: 192.168.100.10
  • VM2 (Database-server) på VLAN 200, IP-adresse: 192.168.200.10

C. SR-IOV med Intel NIC

Hvis du bruker Intel I210 NIC, kan du også teste SR-IOV for å tildele virtuell nettverksfunksjonalitet direkte til VMs for bedre ytelse.

3. MikroTik Oppsett

A. VLAN Konfigurasjon

For å administrere VLAN-er i MikroTik, vil vi sette opp VLAN-filtrering og ruting mellom VLAN-er.

  1. Opprett VLAN interfaces på MikroTik:
/interface vlan
add interface=bridge name=vlan100 vlan-id=100
add interface=bridge name=vlan200 vlan-id=200
  1. Legg til VLAN-portene i en bridge:
/interface bridge port
add bridge=bridge interface=ether2-master
add bridge=bridge interface=ether3
add bridge=bridge interface=vlan100
add bridge=bridge interface=vlan200
  1. Legg til IP-adresser til VLAN-interfaces:
/ip address
add address=192.168.100.1/24 interface=vlan100
add address=192.168.200.1/24 interface=vlan200
  1. Konfigurer DHCP-servere for hvert VLAN:
/ip pool add name=dhcp_pool_vlan100 ranges=192.168.100.10-192.168.100.254
/ip pool add name=dhcp_pool_vlan200 ranges=192.168.200.10-192.168.200.254

/ip dhcp-server
add address-pool=dhcp_pool_vlan100 interface=vlan100 name=dhcp_vlan100
add address-pool=dhcp_pool_vlan200 interface=vlan200 name=dhcp_vlan200

/ip dhcp-server network
add address=192.168.100.0/24 dns-server=192.168.100.1 gateway=192.168.100.1
add address=192.168.200.0/24 dns-server=192.168.200.1 gateway=192.168.200.1

B. Ruting mellom VLAN-er

For å aktivere ruting mellom VLAN-er (for testing av brannmurregler og NAT), aktiver ruting:

/ip firewall filter
add chain=forward action=accept src-address=192.168.100.0/24 dst-address=192.168.200.0/24
add chain=forward action=accept src-address=192.168.200.0/24 dst-address=192.168.100.0/24

C. Firewall/NAT

Bruk brannmur for å filtrere trafikk mellom VLAN og Internett:

/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade

D. VPN Oppsett (WireGuard)

Du kan konfigurere VPN for sikker tilgang til nettverket fra eksterne steder.

  1. Aktiver WireGuard på MikroTik:
/interface wireguard
add name=wg0 listen-port=51820 private-key="DIN_PRIVAT_NØKKEL"

/interface wireguard peers
add interface=wg0 public-key="EKSTERN_PUBLIC_KEY" allowed-address=192.168.100.0/24
  1. Konfigurer routing for WireGuard:
/ip address add address=10.10.10.1/24 interface=wg0
/ip route add dst-address=192.168.100.0/24 gateway=wg0

4. Testing og validering

  • Ping-test mellom VLAN-er: Test kommunikasjon mellom VMs på forskjellige VLAN-er for å sikre at VLAN-segmenteringen fungerer som forventet.
  • VPN-tilkobling: Koble til via WireGuard VPN for å teste ekstern tilgang til nettverket.
  • QoS-testing: Bruk funksjoner som Simple Queues i MikroTik for å kontrollere båndbreddebruken på VLAN-ene.

5. Overvåkning og logging

  • Bruk Proxmox for overvåkning av nettverksytelse og ressursbruk.
  • Bruk MikroTik sin innebygde logging og overvåkningsverktøy for å spore trafikk, VPN-tilkoblinger, og brannmurregler.

Dette oppsettet vil gi deg full utnyttelse av MikroTik hAP ac lite, og vil tillate testing av flere avanserte funksjoner. Du kan validere VLAN, ruting, VPN, brannmur, og QoS mellom Proxmox og MikroTik for et robust og fleksibelt nettverksmiljø.