Riggen_HomeLab_Specs_Networking - itnett/FTD02H-N GitHub Wiki
La oss gå gjennom installasjonen av Proxmox med ditt eksisterende 32 GB RAM-oppsett, samt hvordan du kan bruke ulike nettverkskort, inkludert USB-NIC-er, for VLAN-konfigurasjon.
Her er din VLAN-struktur og IP-plan for Proxmox:
VLAN ID | Nettverksnavn | IP-adresseplan | Bruk |
---|---|---|---|
VLAN 100 | Management | 10.0.100.0/24 | Nutanix Prism, management VMs |
VLAN 110 | Monitoring | 10.0.110.0/24 | Zabbix, Grafana, Suricata |
VLAN 120 | Production | 10.0.120.0/24 | Webservere, databaser, CI/CD-pipelines |
VLAN 130 | Hybrid Cloud | 10.0.130.0/24 | Integrasjon med skytjenester (Azure, AWS) |
VLAN 140 | Test Environment | 10.0.140.0/24 | Isolert lab for testing |
VLAN 150 | Storage | 10.0.150.0/24 | Lagringsenheter, backup-tjenester |
VLAN 160 | Isolated Network | 10.0.160.0/24 | Fullisolerte miljøer for spesifikke tester |
VLAN 200 | DevOps | 10.0.200.0/24 | Docker/Kubernetes, CI/CD |
VLAN 210 | Pentesting | 10.0.210.0/24 | Kali Linux, Metasploitable |
VLAN 220 | Database | 10.0.220.0/24 | MySQL/SQL Server, databaselagring |
VLAN 230 | Security | 10.0.230.0/24 | Sikkerhetsverktøy, IDS/IPS, VPN, ACL-testing |
VLAN 300 | IoT Network | 10.1.0.0/24 | IoT-simulering, Azure IoT-integrasjon |
VLAN 400 | Network Simulation | 192.168.0.0/24 | GNS3, Cisco IOS, nettverkskonfigurasjon |
- Start installasjonen med hovedkortets innebygde 1 GbE Ethernet-port. Dette vil være ditt primære nettverksgrensesnitt til å begynne med.
- Konfigurer VLAN-tagging (802.1Q) på denne porten ved å sette opp en VLAN-trunk mot din Cisco-switch.
- Dette gir deg fleksibilitet til å håndtere flere VLAN-er på ett fysisk grensesnitt.
- Du kan bruke USB-Ethernet dongler (som de USB 2.5 GbE-enhetene du har) for å legge til flere nettverksgrensesnitt.
-
Slik konfigurerer du en USB-Ethernet dongle i Proxmox:
- Koble til USB-NIC-en til serveren din. Proxmox vil vanligvis gjenkjenne den som et nytt grensesnitt, for eksempel
enxf44dad01f3da
. - Sjekk tilgjengeligheten med kommandoen:
ip link show
- Legg til et nytt nettverksbryter (bridge) i Proxmox GUI eller ved å redigere
/etc/network/interfaces
:auto vmbr1 iface vmbr1 inet static address 192.168.0.100/24 bridge-ports enxf44dad01f3da bridge-stp off bridge-fd 0
- Dette oppretter en ny nettverksbryter
vmbr1
med USB-NIC-en som port.
- Koble til USB-NIC-en til serveren din. Proxmox vil vanligvis gjenkjenne den som et nytt grensesnitt, for eksempel
- For å bruke VLAN på Proxmox må du konfigurere en VLAN-tagget grensesnitt for hvert VLAN du planlegger å bruke:
auto vmbr0.100 iface vmbr0.100 inet static address 10.0.100.10/24 vlan-raw-device vmbr0
- Gjenta dette for alle VLAN-ene dine.
-
USB-NIC-konfigurasjon:
Du kan bruke USB-dongler for ekstra nettverksporter, men vær oppmerksom på at du kanskje må manuelt redigere/etc/network/interfaces
for å sikre at det korrekte grensesnittet brukes til gateway. -
Linux Bonding:
En løsning som foreslås på forumet er å opprette et "bonding"-grensesnitt som kombinerer både hovedkortets Ethernet og USB-NIC, for redundans og failover.
- Installer Proxmox: Bruk hovedkortets 1 GbE-port som utgangspunkt.
- Konfigurer VLAN og Nettverk: Bruk VLAN-trunk på din Cisco-switch og sett opp VLAN på Proxmox.
- Test USB-NIC-er: Koble til dine USB-NIC-er, og legg til dem som ekstra nettverksporter i Proxmox.
Ved å gjøre dette kan du starte opp din Proxmox-server med den eksisterende 32 GB RAM, samtidig som du kan legge til flere nettverksporter via USB-NIC-er og konfigurere VLAN-er på riktig måte.
Ja, din eldre MikroTik RouterBoard kan absolutt brukes som en VLAN-svitsj eller router for å håndtere trafikken fra Proxmox-serveren din og distribuere den over flere fysiske porter. MikroTik-enheter er veldig fleksible og kraftige når det gjelder nettverksadministrasjon og VLAN-konfigurasjon.
-
Bruk som VLAN-svitsj:
- Du kan konfigurere MikroTik-enheten som en VLAN-svitsj som mottar VLAN-tagget trafikk fra Proxmox-serveren og deretter fordeler denne trafikken til ulike fysiske porter.
- Dette kan gjøres ved å konfigurere en trunk port på MikroTik som mottar all VLAN-tagget trafikk, og deretter access ports som er tildelt spesifikke VLAN-er.
-
Bruk som VLAN-router (Inter-VLAN routing):
- MikroTik kan også fungere som en router mellom VLAN-ene. Dette betyr at enheten kan håndtere ruting av trafikk mellom forskjellige VLAN-er, noe som er nyttig hvis du ønsker å kontrollere trafikken mellom forskjellige nettverk.
Her er en grunnleggende oppskrift for hvordan du kan sette opp MikroTik RouterBoard for å fungere som en VLAN-svitsj:
- Koble til MikroTik-enheten via WinBox (MikroTiks administrasjonsverktøy) eller SSH for å få tilgang til kommandolinjegrensesnittet.
-
Opprett VLAN-grensesnitt:
- For hvert VLAN du ønsker å håndtere, opprett et VLAN-grensesnitt på MikroTik:
/interface vlan add name=vlan100 vlan-id=100 interface=ether1 add name=vlan110 vlan-id=110 interface=ether1 ...
Dette setter opp VLAN-er på trunk-porten (f.eks.
ether1
), som er koblet til Proxmox-serveren. -
Konfigurer Portene som Access eller Trunk:
- Sett en port til å være trunk for å motta alle VLAN-er, og sett opp access-porter for å tilordne bestemte VLAN-er til bestemte porter:
/interface bridge add name=bridge1 vlan-filtering=yes /interface bridge port add bridge=bridge1 interface=ether2 pvid=100 add bridge=bridge1 interface=ether3 pvid=110
- Dette gir tilgang til VLAN 100 på
ether2
og VLAN 110 påether3
.
-
Aktiver VLAN-filtrering på Broen:
- For at VLAN-konfigurasjonen skal fungere, må du aktivere VLAN-filtrering:
/interface bridge vlan add bridge=bridge1 tagged=ether1 untagged=ether2 vlan-ids=100 add bridge=bridge1 tagged=ether1 untagged=ether3 vlan-ids=110
-
Test VLAN-kommunikasjon: Koble forskjellige enheter til
ether2
,ether3
, etc., og test om de får riktig IP-adresse og tilgang til Proxmox-serveren basert på VLAN-konfigurasjonen.
-
Opprett ruting-regler: Hvis du trenger å tillate eller blokkere trafikk mellom VLAN-er, kan du sette opp ruter og brannmurregler i MikroTik RouterOS for å kontrollere dette:
/ip firewall filter add chain=forward action=accept src-address=10.0.100.0/24 dst-address=10.0.110.0/24
- Fleksibilitet: MikroTik RouterBoard gir deg stor fleksibilitet i nettverksdesignen din, inkludert støtte for VLAN, ruting, brannmur, QoS, og mer.
- Kostnadseffektivitet: Det er et rimelig alternativ til en fullverdig Layer 3-svitsj og kan være en god løsning for mindre laboratorier eller virtualiseringsmiljøer.
- Stabilitet og ytelse: MikroTik-enheter er kjent for stabil drift og kan håndtere trafikk effektivt.
Ja, MikroTik RouterBoard vil fungere veldig godt som en VLAN-svitsj/router for Proxmox-serveren din. Du kan bruke den til å distribuere VLAN-trafikk fra Proxmox til flere fysiske porter eller til og med til å håndtere Inter-VLAN ruting. Dette gir deg en robust og fleksibel nettverksløsning for å administrere VLAN-er og nettverkstrafikk i ditt virtuelle miljø.
Det er en god idé å bruke MikroTik RouterBoard med trådløst grensesnitt for å utvide VLAN-strukturen din til det trådløse nettverket. Dette gir deg muligheten til å sette opp et dedikert trådløst VLAN-miljø for IT-sikkerhetslabbing og simulering, som med Kali Linux eller andre sikkerhetstestingverktøy.
-
Sikker Isolasjon: Ved å bruke VLAN kan du isolere det trådløse nettverket slik at det kun har tilgang til spesifikke virtuelle maskiner (VMs) eller nettverksmiljøer i Proxmox. Dette er ideelt for labbing og testing av IT-sikkerhet.
-
Fleksibilitet: Du kan enkelt tilpasse og konfigurere trådløse nettverk for ulike brukere, enheter, og sikkerhetstesting-scener. Dette gir deg en mulighet til å skape realistiske scenarier for pentesting eller nettverksanalyse.
-
Enkel Administrasjon: MikroTik tilbyr et enkelt brukergrensesnitt for å administrere både kablede og trådløse nettverk, inkludert VLAN-konfigurasjon, brannmurregler, og ruting.
For å sette opp MikroTik med trådløs VLAN-støtte, følg disse stegene:
-
For hvert VLAN du vil bruke trådløst, må du opprette et VLAN-grensesnitt knyttet til det trådløse grensesnittet:
/interface vlan add name=vlan220 vlan-id=220 interface=wlan1 add name=vlan210 vlan-id=210 interface=wlan1
Dette oppretter VLAN 220 for Database-nettverket og VLAN 210 for Pentesting på det trådløse grensesnittet
wlan1
.
-
For å knytte hvert VLAN til sitt eget trådløse nettverk, må du sette opp flere SSID-er (Service Set Identifiers) på det samme trådløse grensesnittet:
/interface wireless set wlan1 ssid="Proxmox-Lab" mode=ap-bridge vlan-mode=use-tag vlan-id=220 /interface wireless add name=wlan2 ssid="Proxmox-Pentest" mode=ap-bridge vlan-mode=use-tag vlan-id=210 master-interface=wlan1
Dette oppretter to trådløse nettverk:
- "Proxmox-Lab" for VLAN 220.
- "Proxmox-Pentest" for VLAN 210.
-
Hvis
ether1
er koblet til Proxmox-serveren som en trunk-port, må du sørge for at den kan motta og sende VLAN-trafikk:/interface bridge add name=bridge1 vlan-filtering=yes /interface bridge port add bridge=bridge1 interface=ether1 add bridge=bridge1 interface=wlan1 add bridge=bridge1 interface=wlan2
- Dette setter opp en bro som inkluderer både det trådløse grensesnittet og Ethernet-trunk-porten.
-
For å sørge for at trafikken håndteres riktig mellom VLAN-ene og trunk-porten, må du aktivere VLAN-filtrering:
/interface bridge vlan add bridge=bridge1 tagged=ether1 untagged=wlan1 vlan-ids=220 add bridge=bridge1 tagged=ether1 untagged=wlan2 vlan-ids=210
Dette vil sørge for at trafikk for VLAN 220 og 210 sendes korrekt mellom det trådløse nettverket og Proxmox-serveren.
-
Tildeling av VLAN-er til Spesifikke Testmiljøer:
- Du kan dedikere VLAN 210 til et pentesting-lab-miljø (f.eks., med Kali Linux) der du kan teste sårbarheter uten å påvirke resten av nettverket.
- VLAN 220 kan settes til å håndtere database-servere for databasetesting og simulering.
-
Adgangskontroll og Brannmurer:
- Ved hjelp av MikroTik kan du sette opp brannmurregler for å kontrollere hvilken trafikk som er tillatt mellom VLAN-er. Dette gir en ekstra sikkerhet for å forhindre uønsket tilgang til sensitive data under testing.
Ved å bruke MikroTik RouterBoard som en kombinert VLAN-router og trådløs AP, kan du effektivt utvide VLAN-strukturen din fra Proxmox-serveren til det trådløse nettverket. Dette gjør det mulig å opprette dedikerte trådløse nettverk for ulike laboratorier og sikkerhetstesting. Dette er en kostnadseffektiv og fleksibel løsning for nettverksadministrasjon i et virtualisert miljø.
For å sette opp Proxmox slik at den 1 GbE-porten på hovedkortet er reservert for tilgang til internett via en enkel switch som er koblet til din NAT-router, vil vi sette opp nettverket som følger:
- Proxmox-serveren kobler til en enkel switch via hovedkortets 1 GbE-port.
- Switch er koblet til din NAT-router for tilgang til internett.
- Internett Gateway (GW): 192.168.0.1 (din NAT-router sin IP).
- Proxmox Ekstern IP: 192.168.0.200 (tildelt til 1 GbE-porten på hovedkortet, for intern tilgang til Proxmox).
Følgende oppsett antar at den innebygde Ethernet-porten på hovedkortet ditt heter enp7s0
:
Du vil konfigurere vmbr0
som en brygge for 1 GbE-porten for ekstern tilgang til Proxmox via den enkle switchen og NAT-routeren:
auto lo
iface lo inet loopback
iface enp7s0 inet manual
# Ekstern brygge for Proxmox internett-tilgang
auto vmbr0
iface vmbr0 inet static
address 192.168.0.200/24 # IP på Proxmox-serveren
gateway 192.168.0.1 # Gateway IP for å nå internett via NAT-router
bridge-ports enp7s0
bridge-stp off
bridge-fd 0
-
iface enp7s0 inet manual
: Setter hovedkortets Ethernet-port til manuell for å la Proxmox administrere den gjennom en nettverksbrygge (vmbr0
). -
vmbr0
-bryggen: Konfigureres med en statisk IP (192.168.0.200/24
) og bruker din NAT-router som gateway (192.168.0.1
).
Nå konfigurerer vi Proxmox til å fungere som en router mellom nettverkene bak Proxmox-serveren.
Du kan bruke vmbr0
til å håndtere trafikken som kommer inn og ut av Proxmox, mens VLAN-konfigurasjoner kan settes opp på Proxmox for å rute trafikk mellom ulike virtuelle nettverk. Eksempel:
auto vmbr0.100
iface vmbr0.100 inet static
address 10.0.100.1/24
bridge-ports vmbr0
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
- Ruting: Konfigurer rutingregler i Proxmox for å sikre at trafikk mellom ulike VLAN-er og det eksterne nettverket håndteres korrekt.
- Brannmur: Sørg for å sette opp brannmurregler i Proxmox for å kontrollere tilgangen til de ulike VLAN-ene, samt mellom VLAN og internett.
- Enkelhet: Den 1 GbE-porten brukes kun til å nå Proxmox fra utsiden, og håndterer all trafikk mot internett.
- Fleksibilitet: VLAN-konfigurasjoner på Proxmox gir deg fleksibilitet til å administrere nettverkstrafikk internt og eksternt.
- Kontroll: Med Proxmox som nettverksruter kan du kontrollere hvilke VLAN-er som har tilgang til internett, og til hvilke ressurser.
Dette oppsettet holder nettverkstrafikken enkel, og lar deg administrere både intern og ekstern trafikk effektivt gjennom Proxmox-serveren. Den 1 GbE-porten brukes som dedikert gateway til internett, mens all intern trafikk mellom ulike VLAN-er og nettverksmiljøer administreres gjennom VLAN-konfigurasjoner i Proxmox.
Ja, vi er enige om at Proxmox-serveren din skal fungere som en router mellom alle de interne VLAN-nettverkene og det eksterne nettverket (192.168.0.0/24) via IP-adressen 192.168.0.200. Dette oppsettet tillater at all intern trafikk fra VLAN-ene rutes gjennom Proxmox-serveren før den eventuelt går videre til internett via NAT-routeren på 192.168.0.1.
-
Proxmox Konfigurasjon:
- 192.168.0.200 er IP-adressen til Proxmox-serverens vmbr0-grensesnitt, som er koblet til hovedkortets 1 GbE-port og gir tilgang til internett via en enkel switch til NAT-routeren.
- Alle VLAN-nettverkene vil bli konfigurert i Proxmox, og de vil kunne nås gjennom denne IP-adressen.
-
Routing og Brannmur:
- På Proxmox-serveren konfigurerer du ruting slik at trafikken mellom de forskjellige VLAN-nettverkene kan håndteres.
- Bruk
iptables
eller Proxmox-brannmur for å sette opp regler som sikrer riktig trafikkflyt og tilgangskontroll mellom VLAN-ene og internett.
-
Eksempel på Nettverksoppsett:
-
VLAN-konfigurasjon i Proxmox:
auto vmbr0.100 iface vmbr0.100 inet static address 10.0.100.1/24 bridge-ports vmbr0 bridge-stp off bridge-fd 0 bridge-vlan-aware yes auto vmbr0.110 iface vmbr0.110 inet static address 10.0.110.1/24 bridge-ports vmbr0 bridge-stp off bridge-fd 0 bridge-vlan-aware yes ...
-
Gjenta for alle VLAN-ene som du ønsker å rute.
-
-
Din Laptop Konfigurasjon:
- På din laptop må du sette opp ruter som peker til 192.168.0.200 som gateway for alle VLAN-nettverkene.
- Du kan gjøre dette ved å legge til statiske ruter i operativsystemet ditt (f.eks., Windows, Linux) som følger:
-
Windows Command Prompt:
route add 10.0.100.0 mask 255.255.255.0 192.168.0.200 route add 10.0.110.0 mask 255.255.255.0 192.168.0.200 ...
-
Linux Terminal:
sudo ip route add 10.0.100.0/24 via 192.168.0.200 sudo ip route add 10.0.110.0/24 via 192.168.0.200 ...
-
Windows Command Prompt:
- 192.168.0.200 er IP-en for Proxmox på ditt eksterne nettverk.
- Alle VLAN-nettverkene vil bli rutet gjennom denne IP-en på Proxmox-serveren.
- Din laptop må ha statiske ruter konfigurert for å peke til Proxmox IP-adressen (192.168.0.200) for å få tilgang til alle VLAN-ene bak Proxmox.
Dette oppsettet gir deg kontroll over all trafikk og isolasjon mellom de forskjellige VLAN-nettverkene, samtidig som det gir fleksibel tilgang til internett via Proxmox-serveren.
Ja, det oppsettet gir mening og er en fleksibel tilnærming for å starte med Proxmox, spesielt med tanke på at du har flere USB-NIC-adaptere som kan brukes for VLAN-konfigurasjon. La oss se på hvordan vi kan sette dette opp i detalj.
-
Bruk av USB-NIC Adaptere:
-
Hvis USB-NIC-adapterne støtter VLAN-tagging:
- Bruk ett av USB-NIC-ene som en trunk-port for å håndtere all VLAN-tagget trafikk og koble denne til MikroTik RouterBoard. MikroTik vil motta VLAN-trafikken, og du kan deretter distribuere trafikken til de respektive fysiske portene på RouterBoardet.
-
Hvis USB-NIC-adapterne ikke støtter VLAN-tagging:
- Bruk flere USB-NIC-er, og konfigurer hvert adapter for å terminere spesifikke VLAN-er (f.eks., Admin VLAN, Prod VLAN, Test VLAN):
- USB-NIC 1: For Admin VLAN (10.0.100.0/24)
- USB-NIC 2: For Prod VLAN (10.0.120.0/24)
- USB-NIC 3: For Test VLAN (10.0.140.0/24)
- Bruk flere USB-NIC-er, og konfigurer hvert adapter for å terminere spesifikke VLAN-er (f.eks., Admin VLAN, Prod VLAN, Test VLAN):
-
Hvis USB-NIC-adapterne støtter VLAN-tagging:
-
Sette Opp Nettverksbrygger (Bridges) i Proxmox:
- Konfigurer flere nettverksbrygger (
vmbr1
,vmbr2
, osv.) for hvert USB-NIC:
auto vmbr1 iface vmbr1 inet manual bridge-ports enx<USB-NIC1> bridge-stp off bridge-fd 0 auto vmbr2 iface vmbr2 inet manual bridge-ports enx<USB-NIC2> bridge-stp off bridge-fd 0 auto vmbr3 iface vmbr3 inet manual bridge-ports enx<USB-NIC3> bridge-stp off bridge-fd 0
-
Forklaring:
- Hver
vmbr
-brygge vil knyttes til et spesifikt USB-NIC-adapter og gi et nettverksgrensesnitt for de tilknyttede VLAN-ene.
- Hver
- Konfigurer flere nettverksbrygger (
-
MikroTik Konfigurasjon:
-
Hvis USB-NIC fungerer som en trunk-port:
- MikroTik mottar all VLAN-tagget trafikk gjennom én fysisk port, og du setter opp VLAN-interfacer som vi diskuterte tidligere for å administrere trafikken.
-
Hvis USB-NIC ikke støtter VLAN-tagging:
- MikroTik må settes opp til å håndtere trafikken basert på ulike fysiske porter som kobler til hvert USB-NIC.
- Sett opp VLAN eller vanlige Layer 2-konfigurasjoner for hver port, avhengig av hvilke VLAN-er som skal administreres.
-
-
Fordeler og Begrensninger:
-
Fordeler:
- Fleksibilitet: Du kan starte med de eksisterende USB-NIC-adapterne uten ekstra investeringer.
- Isolasjon: Hvert VLAN kan termineres på sitt eget USB-NIC, noe som gir god isolasjon mellom nettverkene.
- Enkel Utvidelse: Når du trenger mer kapasitet, kan du oppgradere til en mer robust løsning (f.eks., dedikerte PCIe-nettverkskort).
-
Begrensninger:
- Ytelse: USB-NIC-er, spesielt eldre versjoner eller de som bruker USB 2.0, kan ha begrenset båndbredde sammenlignet med dedikerte PCIe-nettverkskort.
- Stabilitet: USB-NIC-er kan være mer utsatt for problemer som driverkompatibilitet eller strømstyringsproblemer.
- Maksimalt Antall USB-NIC-er: Det er en grense for hvor mange USB-enheter du kan koble til før det påvirker stabiliteten.
-
- Start med USB-NIC-ene som du allerede har, og konfigurer dem som individuelle VLAN-termineringspunkter eller trunk-port avhengig av deres evne til å håndtere VLAN-tagging.
- Bruk MikroTik RouterBoard som din VLAN-switch eller router for å håndtere trafikken mellom ulike VLAN-er.
- Evaluer ytelsen: Hvis du opplever begrensninger, vurder å oppgradere til dedikerte PCIe-nettverkskort i fremtiden.
Med dette oppsettet får du en god start for å sette opp en fleksibel og isolert virtualiseringsplattform med Proxmox og MikroTik.
Ja, det stemmer! Du kan sette opp nettverket slik at kun de VLAN-ene og serverne/containerne som skal ha tilgang til internett, bruker 1 GbE-grensesnittet på hovedkortet. Samtidig kan du rute andre VLAN-er og maskiner som ikke skal ha tilgang til internett over USB-NIC-ene eller la dem bare eksistere internt i Proxmox. La oss gå gjennom hvordan dette kan settes opp i praksis.
-
1 GbE-grensesnitt (
vmbr0
): Brukes som hovedforbindelsen til internett. VLAN-er som trenger internettforbindelse vil rute trafikken gjennom dette grensesnittet. -
Konfigurer VLAN på Proxmox for Internett-tilgang:
- Lag en trunk-port på Proxmox som håndterer flere VLAN-tagget trafikk.
- Eksempel på konfigurasjon for VLAN med internett-tilgang:
auto vmbr0 iface vmbr0 inet static address 192.168.0.200/24 gateway 192.168.0.1 bridge-ports enp7s0 bridge-stp off bridge-fd 0 # VLAN 100 - Management (med internett-tilgang) auto vmbr0.100 iface vmbr0.100 inet static address 10.0.100.1/24 vlan-raw-device vmbr0 # VLAN 120 - Production (med internett-tilgang) auto vmbr0.120 iface vmbr0.120 inet static address 10.0.120.1/24 vlan-raw-device vmbr0
-
Ruting til Internett:
- Alle enheter i VLAN 100 (Management) og VLAN 120 (Production) vil bruke Proxmox (
192.168.0.200
) som gateway for å nå internett gjennom 1 GbE-porten (vmbr0
).
- Alle enheter i VLAN 100 (Management) og VLAN 120 (Production) vil bruke Proxmox (
-
Bruk USB-NIC Adaptere for Interne VLAN:
- USB-NIC-enheter kan brukes til å isolere trafikken for VLAN-er som ikke skal ha internettforbindelse. Hvert VLAN kan termineres på sin egen USB-NIC eller bruke flere USB-NIC-er som trunk-port for VLAN-trafikk.
- Eksempel på konfigurasjon for VLAN uten internett-tilgang:
auto vmbr1 iface vmbr1 inet manual bridge-ports enx<USB-NIC1> bridge-stp off bridge-fd 0 # VLAN 150 - Storage (uten internett-tilgang) auto vmbr1.150 iface vmbr1.150 inet static address 10.0.150.1/24 vlan-raw-device vmbr1 # VLAN 160 - Isolated Network (uten internett-tilgang) auto vmbr1.160 iface vmbr1.160 inet static address 10.0.160.1/24 vlan-raw-device vmbr1
-
Brannmurregler i Proxmox:
- Sett opp brannmurregler i Proxmox for å kontrollere hvilke VLAN-er og maskiner som skal ha tilgang til internett.
- Eksempel på enkel
iptables
-regel for å blokkere internett-tilgang til et VLAN:Dette blokkerer trafikk fra VLAN 150 (Storage) som prøver å nå internett via 1 GbE-grensesnittet.iptables -A FORWARD -i vmbr1.150 -o vmbr0 -j REJECT
-
Definer Ruter for Internt Nettverk:
- Sørg for at alle VLAN-er som skal kommunisere internt i Proxmox har riktige rutingtabeller, men ingen ruting til internett hvis det ikke er nødvendig.
-
Overvåk Trafikk:
- Bruk overvåkningsverktøy som Zabbix eller Grafana for å overvåke nettverkstrafikk og sørge for at ruting fungerer som ønsket.
-
Test Tilgang:
- Test at VLAN-ene med internett-tilgang kan nå eksterne nettsteder og at VLAN-ene uten internett-tilgang forblir isolerte.
- Internett-tilgang: VLAN-er som trenger internett, rutes via 1 GbE-porten på hovedkortet gjennom Proxmox.
- Ingen Internett-tilgang: VLAN-er som skal isoleres, bruker USB-NIC-er og forblir interne på Proxmox.
- Kontroll: Bruk brannmurregler i Proxmox for å sikre riktig tilgangsstyring og isolasjon mellom VLAN-er og internett.
Dette oppsettet gir deg full kontroll over nettverkstrafikken i ditt Proxmox-miljø og sørger for at kun de nødvendige VLAN-ene får tilgang til internett.
Jeg kan gi deg en detaljert tekstbeskrivelse av hvordan topologien skal se ut, som du kan bruke til å lage en visuell tegning. Hvis du trenger en mer visuell representasjon, kan du bruke et verktøy som Lucidchart, Microsoft Visio, eller et gratisverktøy som Draw.io for å lage topologien basert på denne beskrivelsen.
-
Proxmox-server:
- Har to typer nettverksgrensesnitt:
- 1 GbE innebygd nettverkskort (vmbr0) koblet til din NAT-router for internett-tilgang.
- USB-NIC adaptere (vmbr1, vmbr2, vmbr3) brukt til VLAN-isolasjon for interne nettverk.
- Har to typer nettverksgrensesnitt:
-
MikroTik RouterBoard:
- Koblet til Proxmox via en av USB-NIC-ene som en trunk-port, eller har dedikerte porter for flere USB-NIC-er.
- RouterBoard håndterer VLAN-trafikk og kan videre sende VLAN-spesifikke nettverk til fysiske porter.
-
NAT-router:
- IP-adresse: 192.168.0.1 (gateway for internett).
-
Proxmox-server (vmbr0):
- IP-adresse: 192.168.0.200.
- Koble til NAT-router via 1 GbE-porten (enp7s0).
- Håndterer internettrafikk for VLAN som trenger internett.
-
USB-NIC Adaptere:
-
vmbr1 (USB-NIC 1):
- Tilknyttet VLAN for Admin-nettverk (10.0.100.0/24).
- Kan fungere som en trunk-port for flere VLAN-er, hvis VLAN-støtte finnes.
-
vmbr2 (USB-NIC 2):
- Tilknyttet VLAN for Production-nettverk (10.0.120.0/24).
-
vmbr3 (USB-NIC 3):
- Tilknyttet VLAN for Test-nettverk (10.0.140.0/24).
-
vmbr1 (USB-NIC 1):
-
MikroTik RouterBoard:
- Port 1: Koblet til USB-NIC 1 (trunk-port for alle VLAN-er eller dedikert til et spesifikt VLAN).
- Port 2-4: Dedikert til ulike VLAN-er som mottar og videresender trafikk i henhold til VLAN-oppsettet.
- VLAN 150 - Storage: Ruter via USB-NIC og MikroTik, ingen ruting til internett.
- VLAN 160 - Isolated Network: Samme som VLAN 150.
- VLAN 210 - Pentesting: Isolert miljø for sikkerhetstesting, ingen internettforbindelse.
+-------------------------+
| NAT Router |
| (192.168.0.1) |
+------------+------------+
|
| 1 GbE
|
+----------------+-----------------+
| Proxmox Server |
| |
| 1 GbE Port (vmbr0) |
| (192.168.0.200) - Internet GW |
| |
| USB NICs: |
| vmbr1 - Admin (VLAN 100) |
| vmbr2 - Prod (VLAN 120) |
| vmbr3 - Test (VLAN 140) |
+---------+----------+-------------+
| |
| |
+------------+ +----------------+
| |
+--------+-------+ +----------+----------+
| MikroTik RouterBoard | MikroTik RouterBoard |
| (Port 1 - Trunk) | (Port 2, 3, 4 - Access)|
| Handling VLAN Traffic | Isolated VLANs |
+----------------------------------+-------------------------+
- Proxmox håndterer alle VLAN-er og bestemmer hvilke som skal ha tilgang til internett gjennom NAT-routeren.
- MikroTik RouterBoard kan brukes for å administrere VLAN-er lokalt og rute trafikk til de fysiske portene etter behov.
- USB-NIC-er hjelper med å isolere VLAN-er som ikke trenger internett, og gir en fleksibel løsning for VLAN-konfigurasjon.
Dette oppsettet gir deg muligheten til å administrere nettverkstrafikk og VLAN-konfigurasjoner i Proxmox effektivt, samtidig som du opprettholder sikkerheten og isolasjonen for spesifikke miljøer.
For å unngå konflikt med ditt Home LAN/WAN-nettverk som allerede bruker 192.168.0.0/24, bør du velge en IP-adresseringsrange som ikke overlapper med dette nettverket.
Siden VLAN 400 brukes til Network Simulation med verktøy som GNS3 og Cisco IOS, er det hensiktsmessig å velge en annen privat IP-range for å unngå konflikt. Her er noen passende alternativer:
-
172.16.0.0/24 til 172.31.255.255/24:
- Dette er et Class B privat nettverksområde som er reservert for privat bruk. Du kan velge en hvilken som helst /24-subnet innenfor dette området.
-
Forslag: 172.16.100.0/24 for VLAN 400.
- Eksempel:
- Gateway: 172.16.100.1
- Range: 172.16.100.2 - 172.16.100.254
- Eksempel:
-
10.0.0.0/8 Nettverksområde:
- Dette er et Class A privat nettverksområde og gir et stort antall mulige IP-adresser.
-
Forslag: 10.2.0.0/24 for VLAN 400.
- Eksempel:
- Gateway: 10.2.0.1
- Range: 10.2.0.2 - 10.2.0.254
- Eksempel:
Bruk 172.16.100.0/24 som den nye IP-rangen for VLAN 400 - Network Simulation. Dette er en god range som ikke er vanlig brukt av hjemme-nettverk, og som gir deg rikelig med fleksibilitet for simuleringer og konfigurasjoner i GNS3 eller Cisco IOS uten å risikere konflikter med det eksisterende nettverket ditt.
For å sette opp pfSense som en virtuell router i Proxmox og koble den direkte til et USB-NIC som går rett til ditt fiber modem, slik at pfSense håndterer all ruting og brannmurfunksjoner, kan vi gjøre følgende:
- pfSense som router/firewall: Få pfSense til å håndtere all trafikk fra en dedikert USB-NIC som er koblet til fiber-modemet og får en offentlig IP-adresse dynamisk.
- Isolerte nettverk bak pfSense: Flere interne nettverk (VLAN-er) som administreres av pfSense og brukes av VM-er og containere i Proxmox.
- Dediker USB-NIC for WAN (offentlig nettverk): Gi pfSense sitt eget grensesnitt som går direkte til modemet.
-
Koble USB-NIC til fiber-modem:
- Koble en av USB-NIC-ene til modemet eller switchen som er koblet til modemet. Dette grensesnittet vil brukes til å motta en dynamisk offentlig IP-adresse fra din ISP (Internet Service Provider).
-
Identifiser USB-NIC i Proxmox:
- Når du kobler til USB-NIC, kan du finne enhetsnavnet i Proxmox med kommandoen:
ip link show
- La oss anta at USB-NIC heter
enx12345678
.
- Når du kobler til USB-NIC, kan du finne enhetsnavnet i Proxmox med kommandoen:
-
Opprett en Ny Virtuell Maskin (VM) for pfSense:
- Logg inn på Proxmox webgrensesnittet.
- Klikk på "Create VM" og gi VM-en et navn, for eksempel pfSense.
- Velg ISO image for pfSense som du har lastet ned tidligere.
-
Konfigurer Nettverksgrensesnitt for pfSense VM:
-
WAN-grensesnitt:
- Tildel USB-NIC til pfSense VM. Under "Hardware" for VM-en, velg Add > USB Device, og velg riktig USB-NIC (f.eks.,
enx12345678
).
- Tildel USB-NIC til pfSense VM. Under "Hardware" for VM-en, velg Add > USB Device, og velg riktig USB-NIC (f.eks.,
-
LAN-grensesnitt:
- Opprett et ekstra virtuell nettverkskort (vNIC) i Proxmox for pfSense sin LAN-side, koblet til en nettverksbrygge (f.eks.,
vmbr1
) som representerer de interne VLAN-ene.
- Opprett et ekstra virtuell nettverkskort (vNIC) i Proxmox for pfSense sin LAN-side, koblet til en nettverksbrygge (f.eks.,
-
WAN-grensesnitt:
-
Fullfør Opprettelse og Start pfSense VM:
- Fullfør opprettelsen og start pfSense VM.
- Under pfSense installasjon, konfigurer WAN-grensesnittet til USB-NIC (det vil automatisk få en offentlig IP via DHCP fra modemet).
- Sett opp LAN-grensesnittet til vNIC-en tilknyttet Proxmox sin interne brygge.
-
Opprett en Intern Nettverksbrygge for LAN:
- Lag en ny brygge (
vmbr1
) som vil representere LAN-nettverket bak pfSense.
auto vmbr1 iface vmbr1 inet manual bridge-ports none bridge-stp off bridge-fd 0
- Lag en ny brygge (
-
Tilknytt VM-er og Containere til LAN:
- Når du oppretter eller endrer eksisterende VM-er og containere, tilordne deres nettverkskort til
vmbr1
, som representerer pfSense sitt LAN. - Dette gjør at all trafikk fra disse VM-ene og containerne vil gå via pfSense for ruting og brannmurstyring.
- Når du oppretter eller endrer eksisterende VM-er og containere, tilordne deres nettverkskort til
-
WAN-grensesnitt:
- I pfSense, sett WAN-grensesnittet til å motta en IP-adresse dynamisk (DHCP) fra ISP gjennom USB-NIC-en.
-
LAN-grensesnitt:
- Sett opp LAN-grensesnittet med en statisk privat IP-adresse (f.eks., 192.168.1.1/24).
-
Opprett flere VLAN-er på LAN-grensesnittet:
- I pfSense, gå til Interfaces > Assignments og legg til nye VLAN-er.
- Tilordne VLAN-ID-er og opprett undergrensesnitt for LAN-grensesnittet. F.eks.:
- VLAN 100 - Management: 192.168.10.1/24
- VLAN 110 - Monitoring: 192.168.11.1/24
- VLAN 120 - Production: 192.168.12.1/24
- Etc.
-
Konfigurer DHCP, Brannmurregler og Ruting:
- Konfigurer DHCP-serveren på pfSense for å tildele IP-adresser til enheter på de ulike VLAN-ene.
- Sett opp brannmurregler for å kontrollere trafikkflyten mellom VLAN-er og ut til internett.
-
Test Internettilkobling:
- Forsikre deg om at pfSense mottar en offentlig IP-adresse via USB-NIC og at du kan nå internett.
-
Test Intern Trafikk:
- Sjekk at trafikken mellom VLAN-er og LAN-grensesnittet fungerer som forventet, og at VM-er og containere kan rute trafikk via pfSense.
- USB-NIC koblet til fiber-modemet fungerer som WAN-grensesnitt for pfSense, og mottar en offentlig IP-adresse.
- pfSense håndterer all trafikk mellom Proxmox-interne nettverk og internett, gir fleksibilitet og brannmurskontroll.
- Proxmox-VM-er og containere rutes gjennom pfSense, som gir full kontroll over nettverksadministrasjonen, VLAN, brannmurregler, og internett-tilgang.
For å skape en realistisk og fleksibel lab-konfigurasjon der du kan simulere flere nettverk, opprette VLAN-er, ha flere pfSense-installasjoner i sine egne "bobler", og sette opp et site-to-site VPN mellom to pfSense-enheter, vil vi lage en IP-plan som skiller klart mellom de forskjellige nettverkene, deres funksjoner, og hvordan de er koblet sammen.
- Isolerte VLAN-er og Subnett: Hvert VLAN og subnett har en unik adresse og funksjon, uten overlapp mellom nettverkene.
- To Separate pfSense-installasjoner (Lab1 og Lab2): Hver pfSense-installasjon fungerer som en separat brannmur/router med egne interne nettverk og ruting.
- Simulering av Internett-trafikk og WAN-linker: Bruk et "link-nett" som simulerer WAN-forbindelser mellom labbene.
- Trunk-konfigurasjon til fysisk router/brannmur: Definer hvilke nettverk og VLAN-er som trunkes til en ekstern fysisk router, for eksempel en MikroTik eller Cisco.
VLAN ID | Nettverksnavn | IP-adresseplan | Funksjon | Kommentar |
---|---|---|---|---|
VLAN 10 | LinkNet (pfSense-Lab1) | 172.16.10.0/30 | WAN-side for pfSense-Lab1 til Proxmox | Point-to-Point for WAN (smal subnet) |
VLAN 11 | LAN-Net (pfSense-Lab1) | 192.168.10.0/24 | LAN-side for pfSense-Lab1 | Internt nettverk for Lab1 |
VLAN 12 | LinkNet (pfSense-Lab2) | 172.16.12.0/30 | WAN-side for pfSense-Lab2 til Proxmox | Point-to-Point for WAN (smal subnet) |
VLAN 13 | LAN-Net (pfSense-Lab2) | 192.168.20.0/24 | LAN-side for pfSense-Lab2 | Internt nettverk for Lab2 |
VLAN 14 | VPN Tunnel Net | 172.16.14.0/30 | Virtuell link for VPN mellom pfSense-Lab1 og Lab2 | For VPN simulering |
VLAN 100 | Admin | 10.0.100.0/24 | Administrasjonsnettverk for Proxmox og VM-er | Proxmox administrasjon |
VLAN 110 | Monitoring | 10.0.110.0/24 | Monitoring-systemer (Zabbix, Grafana, etc.) | Internt VLAN |
VLAN 120 | Production | 10.0.120.0/24 | Produksjonsmiljø for VMs/containere | Trunket til Proxmox |
VLAN 200 | DevOps | 10.0.200.0/24 | Utvikling og testmiljø for CI/CD, Docker | Trunket til Proxmox |
VLAN 300 | External Router Link | 10.10.10.0/24 | Linknet til ekstern router (MikroTik/Cisco) | Trunket til fysisk router |
-
pfSense-Lab1:
- WAN-side (VLAN 10): 172.16.10.1/30 (pfSense-Lab1 WAN IP), 172.16.10.2/30 (Proxmox LAN).
- LAN-side (VLAN 11): 192.168.10.1/24 (pfSense-Lab1 LAN IP), DHCP Server for interne klienter.
- VPN Link (VLAN 14): Virtuell forbindelse til pfSense-Lab2, 172.16.14.1 (pfSense-Lab1 VPN-side).
-
pfSense-Lab2:
- WAN-side (VLAN 12): 172.16.12.1/30 (pfSense-Lab2 WAN IP), 172.16.12.2/30 (Proxmox LAN).
- LAN-side (VLAN 13): 192.168.20.1/24 (pfSense-Lab2 LAN IP), DHCP Server for interne klienter.
- VPN Link (VLAN 14): Virtuell forbindelse til pfSense-Lab1, 172.16.14.2 (pfSense-Lab2 VPN-side).
- Hovedbrygge (vmbr0): For ekstern nettverkstilkobling (f.eks., til NAT-router eller fiber modem).
-
Trunk-port til fysisk router:
- VLAN 300 trunkes til en fysisk router (f.eks., MikroTik eller Cisco) for testing og ekstern tilgang.
-
Trunk-port for pfSense WAN:
auto vmbr1 iface vmbr1 inet manual bridge-ports enx<USB-NIC> bridge-stp off bridge-fd 0
-
Interne brygger og VLAN for pfSense-Lab1 og Lab2:
# pfSense-Lab1 WAN og LAN auto vmbr2 iface vmbr2 inet manual bridge-ports none bridge-stp off bridge-fd 0 auto vmbr2.10 iface vmbr2.10 inet manual vlan-raw-device vmbr2 auto vmbr2.11 iface vmbr2.11 inet manual vlan-raw-device vmbr2 # pfSense-Lab2 WAN og LAN auto vmbr3 iface vmbr3 inet manual bridge-ports none bridge-stp off bridge-fd 0 auto vmbr3.12 iface vmbr3.12 inet manual vlan-raw-device vmbr3 auto vmbr3.13 iface vmbr3.13 inet manual vlan-raw-device vmbr3
-
VPN Tunnelkonfigurasjon:
- Opprett et VPN-nettverk på pfSense-Lab1 og pfSense-Lab2 med det samme subnettet (172.16.14.0/30).
- Konfigurer site-to-site VPN mellom pfSense-Lab1 og pfSense-Lab2.
-
MikroTik Konfigurasjon for Trunk-port:
/interface bridge add name=bridge1 vlan-filtering=yes /interface bridge port add bridge=bridge1 interface=ether1 /interface bridge vlan add bridge=bridge1 tagged=ether1 vlan-ids=300
- Dette oppsettet gir en klar separasjon mellom forskjellige VLAN og IP-ranger, samtidig som det gir fleksibilitet til å simulere ulike nettverksmiljøer og ruting-scenarier.
- pfSense-Lab1 og Lab2 er fullstendig isolerte fra hverandre bortsett fra VPN-tunnelen, som kan brukes til å simulere site-to-site VPN.
- VLAN 300 trunkes til en fysisk router for realistisk testing av nettverksintegrasjoner.
Dette oppsettet gir en fleksibel og realistisk lab der du kan eksperimentere med ulike nettverksscenarioer, brannmurkonfigurasjoner, og VPN-tilkoblinger.