Riggen_HomeLab_Specs_Networking - itnett/FTD02H-N GitHub Wiki

La oss gå gjennom installasjonen av Proxmox med ditt eksisterende 32 GB RAM-oppsett, samt hvordan du kan bruke ulike nettverkskort, inkludert USB-NIC-er, for VLAN-konfigurasjon.

VLAN Plan:

Her er din VLAN-struktur og IP-plan for Proxmox:

VLAN ID Nettverksnavn IP-adresseplan Bruk
VLAN 100 Management 10.0.100.0/24 Nutanix Prism, management VMs
VLAN 110 Monitoring 10.0.110.0/24 Zabbix, Grafana, Suricata
VLAN 120 Production 10.0.120.0/24 Webservere, databaser, CI/CD-pipelines
VLAN 130 Hybrid Cloud 10.0.130.0/24 Integrasjon med skytjenester (Azure, AWS)
VLAN 140 Test Environment 10.0.140.0/24 Isolert lab for testing
VLAN 150 Storage 10.0.150.0/24 Lagringsenheter, backup-tjenester
VLAN 160 Isolated Network 10.0.160.0/24 Fullisolerte miljøer for spesifikke tester
VLAN 200 DevOps 10.0.200.0/24 Docker/Kubernetes, CI/CD
VLAN 210 Pentesting 10.0.210.0/24 Kali Linux, Metasploitable
VLAN 220 Database 10.0.220.0/24 MySQL/SQL Server, databaselagring
VLAN 230 Security 10.0.230.0/24 Sikkerhetsverktøy, IDS/IPS, VPN, ACL-testing
VLAN 300 IoT Network 10.1.0.0/24 IoT-simulering, Azure IoT-integrasjon
VLAN 400 Network Simulation 192.168.0.0/24 GNS3, Cisco IOS, nettverkskonfigurasjon

Proxmox Installasjon med Eksisterende Nettverksgrensesnitt:

1. Bruk av Hovedkortets Ethernet (1 GbE):

  • Start installasjonen med hovedkortets innebygde 1 GbE Ethernet-port. Dette vil være ditt primære nettverksgrensesnitt til å begynne med.
  • Konfigurer VLAN-tagging (802.1Q) på denne porten ved å sette opp en VLAN-trunk mot din Cisco-switch.
  • Dette gir deg fleksibilitet til å håndtere flere VLAN-er på ett fysisk grensesnitt.

2. Bruk av USB-NIC-er for Ekstra Nettverksgrensesnitt:

  • Du kan bruke USB-Ethernet dongler (som de USB 2.5 GbE-enhetene du har) for å legge til flere nettverksgrensesnitt.
  • Slik konfigurerer du en USB-Ethernet dongle i Proxmox:
    • Koble til USB-NIC-en til serveren din. Proxmox vil vanligvis gjenkjenne den som et nytt grensesnitt, for eksempel enxf44dad01f3da.
    • Sjekk tilgjengeligheten med kommandoen:
      ip link show
    • Legg til et nytt nettverksbryter (bridge) i Proxmox GUI eller ved å redigere /etc/network/interfaces:
      auto vmbr1
      iface vmbr1 inet static
          address 192.168.0.100/24
          bridge-ports enxf44dad01f3da
          bridge-stp off
          bridge-fd 0
      
    • Dette oppretter en ny nettverksbryter vmbr1 med USB-NIC-en som port.

3. VLAN og Trunk-konfigurasjon:

  • For å bruke VLAN på Proxmox må du konfigurere en VLAN-tagget grensesnitt for hvert VLAN du planlegger å bruke:
    auto vmbr0.100
    iface vmbr0.100 inet static
        address 10.0.100.10/24
        vlan-raw-device vmbr0
    
  • Gjenta dette for alle VLAN-ene dine.

Oppsummering fra Forum Artikkelen om USB-C 2.5GbE Ethernet Dongle:

  • USB-NIC-konfigurasjon:
    Du kan bruke USB-dongler for ekstra nettverksporter, men vær oppmerksom på at du kanskje må manuelt redigere /etc/network/interfaces for å sikre at det korrekte grensesnittet brukes til gateway.

  • Linux Bonding:
    En løsning som foreslås på forumet er å opprette et "bonding"-grensesnitt som kombinerer både hovedkortets Ethernet og USB-NIC, for redundans og failover.

Handlinger og Neste Steg:

  1. Installer Proxmox: Bruk hovedkortets 1 GbE-port som utgangspunkt.
  2. Konfigurer VLAN og Nettverk: Bruk VLAN-trunk på din Cisco-switch og sett opp VLAN på Proxmox.
  3. Test USB-NIC-er: Koble til dine USB-NIC-er, og legg til dem som ekstra nettverksporter i Proxmox.

Ved å gjøre dette kan du starte opp din Proxmox-server med den eksisterende 32 GB RAM, samtidig som du kan legge til flere nettverksporter via USB-NIC-er og konfigurere VLAN-er på riktig måte.

Ja, din eldre MikroTik RouterBoard kan absolutt brukes som en VLAN-svitsj eller router for å håndtere trafikken fra Proxmox-serveren din og distribuere den over flere fysiske porter. MikroTik-enheter er veldig fleksible og kraftige når det gjelder nettverksadministrasjon og VLAN-konfigurasjon.

Hvordan Bruke MikroTik RouterBoard til VLAN-håndtering:

  1. Bruk som VLAN-svitsj:

    • Du kan konfigurere MikroTik-enheten som en VLAN-svitsj som mottar VLAN-tagget trafikk fra Proxmox-serveren og deretter fordeler denne trafikken til ulike fysiske porter.
    • Dette kan gjøres ved å konfigurere en trunk port på MikroTik som mottar all VLAN-tagget trafikk, og deretter access ports som er tildelt spesifikke VLAN-er.
  2. Bruk som VLAN-router (Inter-VLAN routing):

    • MikroTik kan også fungere som en router mellom VLAN-ene. Dette betyr at enheten kan håndtere ruting av trafikk mellom forskjellige VLAN-er, noe som er nyttig hvis du ønsker å kontrollere trafikken mellom forskjellige nettverk.

Slik Konfigurerer du MikroTik for VLAN-håndtering:

Her er en grunnleggende oppskrift for hvordan du kan sette opp MikroTik RouterBoard for å fungere som en VLAN-svitsj:

1. Logg Inn på MikroTik RouterBoard:

  • Koble til MikroTik-enheten via WinBox (MikroTiks administrasjonsverktøy) eller SSH for å få tilgang til kommandolinjegrensesnittet.

2. Sett Opp VLAN-konfigurasjon:

  1. Opprett VLAN-grensesnitt:

    • For hvert VLAN du ønsker å håndtere, opprett et VLAN-grensesnitt på MikroTik:
    /interface vlan
    add name=vlan100 vlan-id=100 interface=ether1
    add name=vlan110 vlan-id=110 interface=ether1
    ...

    Dette setter opp VLAN-er på trunk-porten (f.eks. ether1), som er koblet til Proxmox-serveren.

  2. Konfigurer Portene som Access eller Trunk:

    • Sett en port til å være trunk for å motta alle VLAN-er, og sett opp access-porter for å tilordne bestemte VLAN-er til bestemte porter:
    /interface bridge
    add name=bridge1 vlan-filtering=yes
    /interface bridge port
    add bridge=bridge1 interface=ether2 pvid=100
    add bridge=bridge1 interface=ether3 pvid=110
    • Dette gir tilgang til VLAN 100 på ether2 og VLAN 110 på ether3.
  3. Aktiver VLAN-filtrering på Broen:

    • For at VLAN-konfigurasjonen skal fungere, må du aktivere VLAN-filtrering:
    /interface bridge vlan
    add bridge=bridge1 tagged=ether1 untagged=ether2 vlan-ids=100
    add bridge=bridge1 tagged=ether1 untagged=ether3 vlan-ids=110

3. Test VLAN-konfigurasjonen:

  • Test VLAN-kommunikasjon: Koble forskjellige enheter til ether2, ether3, etc., og test om de får riktig IP-adresse og tilgang til Proxmox-serveren basert på VLAN-konfigurasjonen.

4. Bruk MikroTik for Inter-VLAN Routing:

  • Opprett ruting-regler: Hvis du trenger å tillate eller blokkere trafikk mellom VLAN-er, kan du sette opp ruter og brannmurregler i MikroTik RouterOS for å kontrollere dette:
    /ip firewall filter
    add chain=forward action=accept src-address=10.0.100.0/24 dst-address=10.0.110.0/24

Fordeler med å Bruke MikroTik RouterBoard til VLAN-håndtering:

  1. Fleksibilitet: MikroTik RouterBoard gir deg stor fleksibilitet i nettverksdesignen din, inkludert støtte for VLAN, ruting, brannmur, QoS, og mer.
  2. Kostnadseffektivitet: Det er et rimelig alternativ til en fullverdig Layer 3-svitsj og kan være en god løsning for mindre laboratorier eller virtualiseringsmiljøer.
  3. Stabilitet og ytelse: MikroTik-enheter er kjent for stabil drift og kan håndtere trafikk effektivt.

Oppsummering:

Ja, MikroTik RouterBoard vil fungere veldig godt som en VLAN-svitsj/router for Proxmox-serveren din. Du kan bruke den til å distribuere VLAN-trafikk fra Proxmox til flere fysiske porter eller til og med til å håndtere Inter-VLAN ruting. Dette gir deg en robust og fleksibel nettverksløsning for å administrere VLAN-er og nettverkstrafikk i ditt virtuelle miljø.

Det er en god idé å bruke MikroTik RouterBoard med trådløst grensesnitt for å utvide VLAN-strukturen din til det trådløse nettverket. Dette gir deg muligheten til å sette opp et dedikert trådløst VLAN-miljø for IT-sikkerhetslabbing og simulering, som med Kali Linux eller andre sikkerhetstestingverktøy.

Fordeler med Å Bruke MikroTik med Trådløs VLAN-Integrasjon:

  1. Sikker Isolasjon: Ved å bruke VLAN kan du isolere det trådløse nettverket slik at det kun har tilgang til spesifikke virtuelle maskiner (VMs) eller nettverksmiljøer i Proxmox. Dette er ideelt for labbing og testing av IT-sikkerhet.

  2. Fleksibilitet: Du kan enkelt tilpasse og konfigurere trådløse nettverk for ulike brukere, enheter, og sikkerhetstesting-scener. Dette gir deg en mulighet til å skape realistiske scenarier for pentesting eller nettverksanalyse.

  3. Enkel Administrasjon: MikroTik tilbyr et enkelt brukergrensesnitt for å administrere både kablede og trådløse nettverk, inkludert VLAN-konfigurasjon, brannmurregler, og ruting.

Hvordan Konfigurere Trådløse VLAN med MikroTik:

For å sette opp MikroTik med trådløs VLAN-støtte, følg disse stegene:

1. Opprett VLAN-grensesnitt på MikroTik:

  • For hvert VLAN du vil bruke trådløst, må du opprette et VLAN-grensesnitt knyttet til det trådløse grensesnittet:

    /interface vlan
    add name=vlan220 vlan-id=220 interface=wlan1
    add name=vlan210 vlan-id=210 interface=wlan1

    Dette oppretter VLAN 220 for Database-nettverket og VLAN 210 for Pentesting på det trådløse grensesnittet wlan1.

2. Sett Opp Trådløse SSID-er for Hvert VLAN:

  • For å knytte hvert VLAN til sitt eget trådløse nettverk, må du sette opp flere SSID-er (Service Set Identifiers) på det samme trådløse grensesnittet:

    /interface wireless
    set wlan1 ssid="Proxmox-Lab" mode=ap-bridge vlan-mode=use-tag vlan-id=220
    /interface wireless
    add name=wlan2 ssid="Proxmox-Pentest" mode=ap-bridge vlan-mode=use-tag vlan-id=210 master-interface=wlan1

    Dette oppretter to trådløse nettverk:

    • "Proxmox-Lab" for VLAN 220.
    • "Proxmox-Pentest" for VLAN 210.

3. Konfigurer VLAN Trunk på Mikrotik:

  • Hvis ether1 er koblet til Proxmox-serveren som en trunk-port, må du sørge for at den kan motta og sende VLAN-trafikk:

    /interface bridge
    add name=bridge1 vlan-filtering=yes
    /interface bridge port
    add bridge=bridge1 interface=ether1
    add bridge=bridge1 interface=wlan1
    add bridge=bridge1 interface=wlan2
    • Dette setter opp en bro som inkluderer både det trådløse grensesnittet og Ethernet-trunk-porten.

4. Aktiver VLAN-filtrering og Definer VLAN-tilordninger:

  • For å sørge for at trafikken håndteres riktig mellom VLAN-ene og trunk-porten, må du aktivere VLAN-filtrering:

    /interface bridge vlan
    add bridge=bridge1 tagged=ether1 untagged=wlan1 vlan-ids=220
    add bridge=bridge1 tagged=ether1 untagged=wlan2 vlan-ids=210

    Dette vil sørge for at trafikk for VLAN 220 og 210 sendes korrekt mellom det trådløse nettverket og Proxmox-serveren.

Bruke MikroTik til VLAN-basert Trådløst Nettverk:

  • Tildeling av VLAN-er til Spesifikke Testmiljøer:

    • Du kan dedikere VLAN 210 til et pentesting-lab-miljø (f.eks., med Kali Linux) der du kan teste sårbarheter uten å påvirke resten av nettverket.
    • VLAN 220 kan settes til å håndtere database-servere for databasetesting og simulering.
  • Adgangskontroll og Brannmurer:

    • Ved hjelp av MikroTik kan du sette opp brannmurregler for å kontrollere hvilken trafikk som er tillatt mellom VLAN-er. Dette gir en ekstra sikkerhet for å forhindre uønsket tilgang til sensitive data under testing.

Oppsummering:

Ved å bruke MikroTik RouterBoard som en kombinert VLAN-router og trådløs AP, kan du effektivt utvide VLAN-strukturen din fra Proxmox-serveren til det trådløse nettverket. Dette gjør det mulig å opprette dedikerte trådløse nettverk for ulike laboratorier og sikkerhetstesting. Dette er en kostnadseffektiv og fleksibel løsning for nettverksadministrasjon i et virtualisert miljø.

For å sette opp Proxmox slik at den 1 GbE-porten på hovedkortet er reservert for tilgang til internett via en enkel switch som er koblet til din NAT-router, vil vi sette opp nettverket som følger:

Oppsettet ditt:

  1. Proxmox-serveren kobler til en enkel switch via hovedkortets 1 GbE-port.
  2. Switch er koblet til din NAT-router for tilgang til internett.
  3. Internett Gateway (GW): 192.168.0.1 (din NAT-router sin IP).
  4. Proxmox Ekstern IP: 192.168.0.200 (tildelt til 1 GbE-porten på hovedkortet, for intern tilgang til Proxmox).

Nettverksoppsett i Proxmox:

Følgende oppsett antar at den innebygde Ethernet-porten på hovedkortet ditt heter enp7s0:

1. Redigere /etc/network/interfaces i Proxmox:

Du vil konfigurere vmbr0 som en brygge for 1 GbE-porten for ekstern tilgang til Proxmox via den enkle switchen og NAT-routeren:

auto lo
iface lo inet loopback

iface enp7s0 inet manual

# Ekstern brygge for Proxmox internett-tilgang
auto vmbr0
iface vmbr0 inet static
    address 192.168.0.200/24  # IP på Proxmox-serveren
    gateway 192.168.0.1       # Gateway IP for å nå internett via NAT-router
    bridge-ports enp7s0
    bridge-stp off
    bridge-fd 0
  • iface enp7s0 inet manual: Setter hovedkortets Ethernet-port til manuell for å la Proxmox administrere den gjennom en nettverksbrygge (vmbr0).
  • vmbr0-bryggen: Konfigureres med en statisk IP (192.168.0.200/24) og bruker din NAT-router som gateway (192.168.0.1).

2. Set Up Proxmox VLAN Routing:

Nå konfigurerer vi Proxmox til å fungere som en router mellom nettverkene bak Proxmox-serveren.

Du kan bruke vmbr0 til å håndtere trafikken som kommer inn og ut av Proxmox, mens VLAN-konfigurasjoner kan settes opp på Proxmox for å rute trafikk mellom ulike virtuelle nettverk. Eksempel:

auto vmbr0.100
iface vmbr0.100 inet static
    address 10.0.100.1/24
    bridge-ports vmbr0
    bridge-stp off
    bridge-fd 0
    bridge-vlan-aware yes

3. Legg til Statisk Ruting og Brannmurregler:

  • Ruting: Konfigurer rutingregler i Proxmox for å sikre at trafikk mellom ulike VLAN-er og det eksterne nettverket håndteres korrekt.
  • Brannmur: Sørg for å sette opp brannmurregler i Proxmox for å kontrollere tilgangen til de ulike VLAN-ene, samt mellom VLAN og internett.

Fordeler med dette Oppsettet:

  1. Enkelhet: Den 1 GbE-porten brukes kun til å nå Proxmox fra utsiden, og håndterer all trafikk mot internett.
  2. Fleksibilitet: VLAN-konfigurasjoner på Proxmox gir deg fleksibilitet til å administrere nettverkstrafikk internt og eksternt.
  3. Kontroll: Med Proxmox som nettverksruter kan du kontrollere hvilke VLAN-er som har tilgang til internett, og til hvilke ressurser.

Konklusjon:

Dette oppsettet holder nettverkstrafikken enkel, og lar deg administrere både intern og ekstern trafikk effektivt gjennom Proxmox-serveren. Den 1 GbE-porten brukes som dedikert gateway til internett, mens all intern trafikk mellom ulike VLAN-er og nettverksmiljøer administreres gjennom VLAN-konfigurasjoner i Proxmox.

Ja, vi er enige om at Proxmox-serveren din skal fungere som en router mellom alle de interne VLAN-nettverkene og det eksterne nettverket (192.168.0.0/24) via IP-adressen 192.168.0.200. Dette oppsettet tillater at all intern trafikk fra VLAN-ene rutes gjennom Proxmox-serveren før den eventuelt går videre til internett via NAT-routeren på 192.168.0.1.

Oppsett for å Rute Alle VLAN-nettverk til Proxmox:

  1. Proxmox Konfigurasjon:

    • 192.168.0.200 er IP-adressen til Proxmox-serverens vmbr0-grensesnitt, som er koblet til hovedkortets 1 GbE-port og gir tilgang til internett via en enkel switch til NAT-routeren.
    • Alle VLAN-nettverkene vil bli konfigurert i Proxmox, og de vil kunne nås gjennom denne IP-adressen.
  2. Routing og Brannmur:

    • På Proxmox-serveren konfigurerer du ruting slik at trafikken mellom de forskjellige VLAN-nettverkene kan håndteres.
    • Bruk iptables eller Proxmox-brannmur for å sette opp regler som sikrer riktig trafikkflyt og tilgangskontroll mellom VLAN-ene og internett.
  3. Eksempel på Nettverksoppsett:

    • VLAN-konfigurasjon i Proxmox:

      auto vmbr0.100
      iface vmbr0.100 inet static
          address 10.0.100.1/24
          bridge-ports vmbr0
          bridge-stp off
          bridge-fd 0
          bridge-vlan-aware yes
      
      auto vmbr0.110
      iface vmbr0.110 inet static
          address 10.0.110.1/24
          bridge-ports vmbr0
          bridge-stp off
          bridge-fd 0
          bridge-vlan-aware yes
      ...
      
    • Gjenta for alle VLAN-ene som du ønsker å rute.

  4. Din Laptop Konfigurasjon:

    • På din laptop må du sette opp ruter som peker til 192.168.0.200 som gateway for alle VLAN-nettverkene.
    • Du kan gjøre dette ved å legge til statiske ruter i operativsystemet ditt (f.eks., Windows, Linux) som følger:
      • Windows Command Prompt:
        route add 10.0.100.0 mask 255.255.255.0 192.168.0.200
        route add 10.0.110.0 mask 255.255.255.0 192.168.0.200
        ...
      • Linux Terminal:
        sudo ip route add 10.0.100.0/24 via 192.168.0.200
        sudo ip route add 10.0.110.0/24 via 192.168.0.200
        ...

Oppsummering:

  • 192.168.0.200 er IP-en for Proxmox på ditt eksterne nettverk.
  • Alle VLAN-nettverkene vil bli rutet gjennom denne IP-en på Proxmox-serveren.
  • Din laptop må ha statiske ruter konfigurert for å peke til Proxmox IP-adressen (192.168.0.200) for å få tilgang til alle VLAN-ene bak Proxmox.

Dette oppsettet gir deg kontroll over all trafikk og isolasjon mellom de forskjellige VLAN-nettverkene, samtidig som det gir fleksibel tilgang til internett via Proxmox-serveren.

Ja, det oppsettet gir mening og er en fleksibel tilnærming for å starte med Proxmox, spesielt med tanke på at du har flere USB-NIC-adaptere som kan brukes for VLAN-konfigurasjon. La oss se på hvordan vi kan sette dette opp i detalj.

Planlagt Oppsett:

  1. Bruk av USB-NIC Adaptere:

    • Hvis USB-NIC-adapterne støtter VLAN-tagging:
      • Bruk ett av USB-NIC-ene som en trunk-port for å håndtere all VLAN-tagget trafikk og koble denne til MikroTik RouterBoard. MikroTik vil motta VLAN-trafikken, og du kan deretter distribuere trafikken til de respektive fysiske portene på RouterBoardet.
    • Hvis USB-NIC-adapterne ikke støtter VLAN-tagging:
      • Bruk flere USB-NIC-er, og konfigurer hvert adapter for å terminere spesifikke VLAN-er (f.eks., Admin VLAN, Prod VLAN, Test VLAN):
        • USB-NIC 1: For Admin VLAN (10.0.100.0/24)
        • USB-NIC 2: For Prod VLAN (10.0.120.0/24)
        • USB-NIC 3: For Test VLAN (10.0.140.0/24)
  2. Sette Opp Nettverksbrygger (Bridges) i Proxmox:

    • Konfigurer flere nettverksbrygger (vmbr1, vmbr2, osv.) for hvert USB-NIC:
    auto vmbr1
    iface vmbr1 inet manual
        bridge-ports enx<USB-NIC1>
        bridge-stp off
        bridge-fd 0
    
    auto vmbr2
    iface vmbr2 inet manual
        bridge-ports enx<USB-NIC2>
        bridge-stp off
        bridge-fd 0
    
    auto vmbr3
    iface vmbr3 inet manual
        bridge-ports enx<USB-NIC3>
        bridge-stp off
        bridge-fd 0
    
    • Forklaring:
      • Hver vmbr-brygge vil knyttes til et spesifikt USB-NIC-adapter og gi et nettverksgrensesnitt for de tilknyttede VLAN-ene.
  3. MikroTik Konfigurasjon:

    • Hvis USB-NIC fungerer som en trunk-port:

      • MikroTik mottar all VLAN-tagget trafikk gjennom én fysisk port, og du setter opp VLAN-interfacer som vi diskuterte tidligere for å administrere trafikken.
    • Hvis USB-NIC ikke støtter VLAN-tagging:

      • MikroTik må settes opp til å håndtere trafikken basert på ulike fysiske porter som kobler til hvert USB-NIC.
      • Sett opp VLAN eller vanlige Layer 2-konfigurasjoner for hver port, avhengig av hvilke VLAN-er som skal administreres.
  4. Fordeler og Begrensninger:

    • Fordeler:

      • Fleksibilitet: Du kan starte med de eksisterende USB-NIC-adapterne uten ekstra investeringer.
      • Isolasjon: Hvert VLAN kan termineres på sitt eget USB-NIC, noe som gir god isolasjon mellom nettverkene.
      • Enkel Utvidelse: Når du trenger mer kapasitet, kan du oppgradere til en mer robust løsning (f.eks., dedikerte PCIe-nettverkskort).
    • Begrensninger:

      • Ytelse: USB-NIC-er, spesielt eldre versjoner eller de som bruker USB 2.0, kan ha begrenset båndbredde sammenlignet med dedikerte PCIe-nettverkskort.
      • Stabilitet: USB-NIC-er kan være mer utsatt for problemer som driverkompatibilitet eller strømstyringsproblemer.
      • Maksimalt Antall USB-NIC-er: Det er en grense for hvor mange USB-enheter du kan koble til før det påvirker stabiliteten.

Konklusjon:

  1. Start med USB-NIC-ene som du allerede har, og konfigurer dem som individuelle VLAN-termineringspunkter eller trunk-port avhengig av deres evne til å håndtere VLAN-tagging.
  2. Bruk MikroTik RouterBoard som din VLAN-switch eller router for å håndtere trafikken mellom ulike VLAN-er.
  3. Evaluer ytelsen: Hvis du opplever begrensninger, vurder å oppgradere til dedikerte PCIe-nettverkskort i fremtiden.

Med dette oppsettet får du en god start for å sette opp en fleksibel og isolert virtualiseringsplattform med Proxmox og MikroTik.

Ja, det stemmer! Du kan sette opp nettverket slik at kun de VLAN-ene og serverne/containerne som skal ha tilgang til internett, bruker 1 GbE-grensesnittet på hovedkortet. Samtidig kan du rute andre VLAN-er og maskiner som ikke skal ha tilgang til internett over USB-NIC-ene eller la dem bare eksistere internt i Proxmox. La oss gå gjennom hvordan dette kan settes opp i praksis.

Detaljert Nettverksoppsett:

1. VLAN-er og Ruting til Internett via 1 GbE Interface:

  • 1 GbE-grensesnitt (vmbr0): Brukes som hovedforbindelsen til internett. VLAN-er som trenger internettforbindelse vil rute trafikken gjennom dette grensesnittet.

  • Konfigurer VLAN på Proxmox for Internett-tilgang:

    • Lag en trunk-port på Proxmox som håndterer flere VLAN-tagget trafikk.
    • Eksempel på konfigurasjon for VLAN med internett-tilgang:
    auto vmbr0
    iface vmbr0 inet static
        address 192.168.0.200/24
        gateway 192.168.0.1
        bridge-ports enp7s0
        bridge-stp off
        bridge-fd 0
    
    # VLAN 100 - Management (med internett-tilgang)
    auto vmbr0.100
    iface vmbr0.100 inet static
        address 10.0.100.1/24
        vlan-raw-device vmbr0
    
    # VLAN 120 - Production (med internett-tilgang)
    auto vmbr0.120
    iface vmbr0.120 inet static
        address 10.0.120.1/24
        vlan-raw-device vmbr0
    
  • Ruting til Internett:

    • Alle enheter i VLAN 100 (Management) og VLAN 120 (Production) vil bruke Proxmox (192.168.0.200) som gateway for å nå internett gjennom 1 GbE-porten (vmbr0).

2. VLAN-er og Maskiner som kun Skal Være Interne:

  • Bruk USB-NIC Adaptere for Interne VLAN:

    • USB-NIC-enheter kan brukes til å isolere trafikken for VLAN-er som ikke skal ha internettforbindelse. Hvert VLAN kan termineres på sin egen USB-NIC eller bruke flere USB-NIC-er som trunk-port for VLAN-trafikk.
    • Eksempel på konfigurasjon for VLAN uten internett-tilgang:
    auto vmbr1
    iface vmbr1 inet manual
        bridge-ports enx<USB-NIC1>
        bridge-stp off
        bridge-fd 0
    
    # VLAN 150 - Storage (uten internett-tilgang)
    auto vmbr1.150
    iface vmbr1.150 inet static
        address 10.0.150.1/24
        vlan-raw-device vmbr1
    
    # VLAN 160 - Isolated Network (uten internett-tilgang)
    auto vmbr1.160
    iface vmbr1.160 inet static
        address 10.0.160.1/24
        vlan-raw-device vmbr1
    

3. Ruting og Brannmurregler:

  • Brannmurregler i Proxmox:

    • Sett opp brannmurregler i Proxmox for å kontrollere hvilke VLAN-er og maskiner som skal ha tilgang til internett.
    • Eksempel på enkel iptables-regel for å blokkere internett-tilgang til et VLAN:
      iptables -A FORWARD -i vmbr1.150 -o vmbr0 -j REJECT
      Dette blokkerer trafikk fra VLAN 150 (Storage) som prøver å nå internett via 1 GbE-grensesnittet.
  • Definer Ruter for Internt Nettverk:

    • Sørg for at alle VLAN-er som skal kommunisere internt i Proxmox har riktige rutingtabeller, men ingen ruting til internett hvis det ikke er nødvendig.

4. Overvåking og Validering:

  • Overvåk Trafikk:
    • Bruk overvåkningsverktøy som Zabbix eller Grafana for å overvåke nettverkstrafikk og sørge for at ruting fungerer som ønsket.
  • Test Tilgang:
    • Test at VLAN-ene med internett-tilgang kan nå eksterne nettsteder og at VLAN-ene uten internett-tilgang forblir isolerte.

Oppsummering:

  • Internett-tilgang: VLAN-er som trenger internett, rutes via 1 GbE-porten på hovedkortet gjennom Proxmox.
  • Ingen Internett-tilgang: VLAN-er som skal isoleres, bruker USB-NIC-er og forblir interne på Proxmox.
  • Kontroll: Bruk brannmurregler i Proxmox for å sikre riktig tilgangsstyring og isolasjon mellom VLAN-er og internett.

Dette oppsettet gir deg full kontroll over nettverkstrafikken i ditt Proxmox-miljø og sørger for at kun de nødvendige VLAN-ene får tilgang til internett.

Jeg kan gi deg en detaljert tekstbeskrivelse av hvordan topologien skal se ut, som du kan bruke til å lage en visuell tegning. Hvis du trenger en mer visuell representasjon, kan du bruke et verktøy som Lucidchart, Microsoft Visio, eller et gratisverktøy som Draw.io for å lage topologien basert på denne beskrivelsen.

Topologioversikt:

  1. Proxmox-server:

    • Har to typer nettverksgrensesnitt:
      • 1 GbE innebygd nettverkskort (vmbr0) koblet til din NAT-router for internett-tilgang.
      • USB-NIC adaptere (vmbr1, vmbr2, vmbr3) brukt til VLAN-isolasjon for interne nettverk.
  2. MikroTik RouterBoard:

    • Koblet til Proxmox via en av USB-NIC-ene som en trunk-port, eller har dedikerte porter for flere USB-NIC-er.
    • RouterBoard håndterer VLAN-trafikk og kan videre sende VLAN-spesifikke nettverk til fysiske porter.

Beskrivelse av Nettverksoppsett:

Internett-tilkobling via NAT-router:

  • NAT-router:
    • IP-adresse: 192.168.0.1 (gateway for internett).
  • Proxmox-server (vmbr0):
    • IP-adresse: 192.168.0.200.
    • Koble til NAT-router via 1 GbE-porten (enp7s0).
    • Håndterer internettrafikk for VLAN som trenger internett.

Intern VLAN-oppsett i Proxmox:

  1. USB-NIC Adaptere:

    • vmbr1 (USB-NIC 1):
      • Tilknyttet VLAN for Admin-nettverk (10.0.100.0/24).
      • Kan fungere som en trunk-port for flere VLAN-er, hvis VLAN-støtte finnes.
    • vmbr2 (USB-NIC 2):
      • Tilknyttet VLAN for Production-nettverk (10.0.120.0/24).
    • vmbr3 (USB-NIC 3):
      • Tilknyttet VLAN for Test-nettverk (10.0.140.0/24).
  2. MikroTik RouterBoard:

    • Port 1: Koblet til USB-NIC 1 (trunk-port for alle VLAN-er eller dedikert til et spesifikt VLAN).
    • Port 2-4: Dedikert til ulike VLAN-er som mottar og videresender trafikk i henhold til VLAN-oppsettet.

Intern Nettverkstrafikk (Ingen Internett-tilgang):

  • VLAN 150 - Storage: Ruter via USB-NIC og MikroTik, ingen ruting til internett.
  • VLAN 160 - Isolated Network: Samme som VLAN 150.
  • VLAN 210 - Pentesting: Isolert miljø for sikkerhetstesting, ingen internettforbindelse.

Tekstlig Topologi Tegning:

                      +-------------------------+
                      |       NAT Router        |
                      |      (192.168.0.1)      |
                      +------------+------------+
                                   |
                                   | 1 GbE
                                   |
                  +----------------+-----------------+
                  |           Proxmox Server          |
                  |                                  |
                  |    1 GbE Port (vmbr0)             |
                  |   (192.168.0.200) - Internet GW   |
                  |                                  |
                  |    USB NICs:                     |
                  |    vmbr1 - Admin (VLAN 100)       |
                  |    vmbr2 - Prod  (VLAN 120)       |
                  |    vmbr3 - Test  (VLAN 140)       |
                  +---------+----------+-------------+
                            |          |
                            |          |
               +------------+          +----------------+
               |                                    |
      +--------+-------+                  +----------+----------+
      |  MikroTik RouterBoard            |  MikroTik RouterBoard   |
      |   (Port 1 - Trunk)               |  (Port 2, 3, 4 - Access)|
      |   Handling VLAN Traffic          |  Isolated VLANs         |
      +----------------------------------+-------------------------+

Oppsummering:

  • Proxmox håndterer alle VLAN-er og bestemmer hvilke som skal ha tilgang til internett gjennom NAT-routeren.
  • MikroTik RouterBoard kan brukes for å administrere VLAN-er lokalt og rute trafikk til de fysiske portene etter behov.
  • USB-NIC-er hjelper med å isolere VLAN-er som ikke trenger internett, og gir en fleksibel løsning for VLAN-konfigurasjon.

Dette oppsettet gir deg muligheten til å administrere nettverkstrafikk og VLAN-konfigurasjoner i Proxmox effektivt, samtidig som du opprettholder sikkerheten og isolasjonen for spesifikke miljøer.

For å unngå konflikt med ditt Home LAN/WAN-nettverk som allerede bruker 192.168.0.0/24, bør du velge en IP-adresseringsrange som ikke overlapper med dette nettverket.

Forslag til Ny IP-range for VLAN 400:

Siden VLAN 400 brukes til Network Simulation med verktøy som GNS3 og Cisco IOS, er det hensiktsmessig å velge en annen privat IP-range for å unngå konflikt. Her er noen passende alternativer:

Alternativer:

  1. 172.16.0.0/24 til 172.31.255.255/24:

    • Dette er et Class B privat nettverksområde som er reservert for privat bruk. Du kan velge en hvilken som helst /24-subnet innenfor dette området.
    • Forslag: 172.16.100.0/24 for VLAN 400.
      • Eksempel:
        • Gateway: 172.16.100.1
        • Range: 172.16.100.2 - 172.16.100.254
  2. 10.0.0.0/8 Nettverksområde:

    • Dette er et Class A privat nettverksområde og gir et stort antall mulige IP-adresser.
    • Forslag: 10.2.0.0/24 for VLAN 400.
      • Eksempel:
        • Gateway: 10.2.0.1
        • Range: 10.2.0.2 - 10.2.0.254

Anbefaling:

Bruk 172.16.100.0/24 som den nye IP-rangen for VLAN 400 - Network Simulation. Dette er en god range som ikke er vanlig brukt av hjemme-nettverk, og som gir deg rikelig med fleksibilitet for simuleringer og konfigurasjoner i GNS3 eller Cisco IOS uten å risikere konflikter med det eksisterende nettverket ditt.

For å sette opp pfSense som en virtuell router i Proxmox og koble den direkte til et USB-NIC som går rett til ditt fiber modem, slik at pfSense håndterer all ruting og brannmurfunksjoner, kan vi gjøre følgende:

Mål:

  1. pfSense som router/firewall: Få pfSense til å håndtere all trafikk fra en dedikert USB-NIC som er koblet til fiber-modemet og får en offentlig IP-adresse dynamisk.
  2. Isolerte nettverk bak pfSense: Flere interne nettverk (VLAN-er) som administreres av pfSense og brukes av VM-er og containere i Proxmox.
  3. Dediker USB-NIC for WAN (offentlig nettverk): Gi pfSense sitt eget grensesnitt som går direkte til modemet.

Slik Konfigurerer du Proxmox og pfSense:

1. Sett opp USB-NIC for WAN-tilkobling:

  1. Koble USB-NIC til fiber-modem:

    • Koble en av USB-NIC-ene til modemet eller switchen som er koblet til modemet. Dette grensesnittet vil brukes til å motta en dynamisk offentlig IP-adresse fra din ISP (Internet Service Provider).
  2. Identifiser USB-NIC i Proxmox:

    • Når du kobler til USB-NIC, kan du finne enhetsnavnet i Proxmox med kommandoen:
      ip link show
    • La oss anta at USB-NIC heter enx12345678.

2. Konfigurer pfSense VM i Proxmox:

  1. Opprett en Ny Virtuell Maskin (VM) for pfSense:

    • Logg inn på Proxmox webgrensesnittet.
    • Klikk på "Create VM" og gi VM-en et navn, for eksempel pfSense.
    • Velg ISO image for pfSense som du har lastet ned tidligere.
  2. Konfigurer Nettverksgrensesnitt for pfSense VM:

    • WAN-grensesnitt:
      • Tildel USB-NIC til pfSense VM. Under "Hardware" for VM-en, velg Add > USB Device, og velg riktig USB-NIC (f.eks., enx12345678).
    • LAN-grensesnitt:
      • Opprett et ekstra virtuell nettverkskort (vNIC) i Proxmox for pfSense sin LAN-side, koblet til en nettverksbrygge (f.eks., vmbr1) som representerer de interne VLAN-ene.
  3. Fullfør Opprettelse og Start pfSense VM:

    • Fullfør opprettelsen og start pfSense VM.
    • Under pfSense installasjon, konfigurer WAN-grensesnittet til USB-NIC (det vil automatisk få en offentlig IP via DHCP fra modemet).
    • Sett opp LAN-grensesnittet til vNIC-en tilknyttet Proxmox sin interne brygge.

3. Konfigurer Nettverksoppsett i Proxmox:

  1. Opprett en Intern Nettverksbrygge for LAN:

    • Lag en ny brygge (vmbr1) som vil representere LAN-nettverket bak pfSense.
    auto vmbr1
    iface vmbr1 inet manual
        bridge-ports none
        bridge-stp off
        bridge-fd 0
    
  2. Tilknytt VM-er og Containere til LAN:

    • Når du oppretter eller endrer eksisterende VM-er og containere, tilordne deres nettverkskort til vmbr1, som representerer pfSense sitt LAN.
    • Dette gjør at all trafikk fra disse VM-ene og containerne vil gå via pfSense for ruting og brannmurstyring.

4. Konfigurer pfSense:

  1. WAN-grensesnitt:

    • I pfSense, sett WAN-grensesnittet til å motta en IP-adresse dynamisk (DHCP) fra ISP gjennom USB-NIC-en.
  2. LAN-grensesnitt:

    • Sett opp LAN-grensesnittet med en statisk privat IP-adresse (f.eks., 192.168.1.1/24).
  3. Opprett flere VLAN-er på LAN-grensesnittet:

    • I pfSense, gå til Interfaces > Assignments og legg til nye VLAN-er.
    • Tilordne VLAN-ID-er og opprett undergrensesnitt for LAN-grensesnittet. F.eks.:
      • VLAN 100 - Management: 192.168.10.1/24
      • VLAN 110 - Monitoring: 192.168.11.1/24
      • VLAN 120 - Production: 192.168.12.1/24
      • Etc.
  4. Konfigurer DHCP, Brannmurregler og Ruting:

    • Konfigurer DHCP-serveren på pfSense for å tildele IP-adresser til enheter på de ulike VLAN-ene.
    • Sett opp brannmurregler for å kontrollere trafikkflyten mellom VLAN-er og ut til internett.

5. Overvåk og Test Tilkoblinger:

  • Test Internettilkobling:
    • Forsikre deg om at pfSense mottar en offentlig IP-adresse via USB-NIC og at du kan nå internett.
  • Test Intern Trafikk:
    • Sjekk at trafikken mellom VLAN-er og LAN-grensesnittet fungerer som forventet, og at VM-er og containere kan rute trafikk via pfSense.

Oppsummering:

  • USB-NIC koblet til fiber-modemet fungerer som WAN-grensesnitt for pfSense, og mottar en offentlig IP-adresse.
  • pfSense håndterer all trafikk mellom Proxmox-interne nettverk og internett, gir fleksibilitet og brannmurskontroll.
  • Proxmox-VM-er og containere rutes gjennom pfSense, som gir full kontroll over nettverksadministrasjonen, VLAN, brannmurregler, og internett-tilgang.

For å skape en realistisk og fleksibel lab-konfigurasjon der du kan simulere flere nettverk, opprette VLAN-er, ha flere pfSense-installasjoner i sine egne "bobler", og sette opp et site-to-site VPN mellom to pfSense-enheter, vil vi lage en IP-plan som skiller klart mellom de forskjellige nettverkene, deres funksjoner, og hvordan de er koblet sammen.

Overordnet Mål:

  1. Isolerte VLAN-er og Subnett: Hvert VLAN og subnett har en unik adresse og funksjon, uten overlapp mellom nettverkene.
  2. To Separate pfSense-installasjoner (Lab1 og Lab2): Hver pfSense-installasjon fungerer som en separat brannmur/router med egne interne nettverk og ruting.
  3. Simulering av Internett-trafikk og WAN-linker: Bruk et "link-nett" som simulerer WAN-forbindelser mellom labbene.
  4. Trunk-konfigurasjon til fysisk router/brannmur: Definer hvilke nettverk og VLAN-er som trunkes til en ekstern fysisk router, for eksempel en MikroTik eller Cisco.

IP Plan og VLAN-konfigurasjon:

1. VLAN og IP-range Oversikt:

VLAN ID Nettverksnavn IP-adresseplan Funksjon Kommentar
VLAN 10 LinkNet (pfSense-Lab1) 172.16.10.0/30 WAN-side for pfSense-Lab1 til Proxmox Point-to-Point for WAN (smal subnet)
VLAN 11 LAN-Net (pfSense-Lab1) 192.168.10.0/24 LAN-side for pfSense-Lab1 Internt nettverk for Lab1
VLAN 12 LinkNet (pfSense-Lab2) 172.16.12.0/30 WAN-side for pfSense-Lab2 til Proxmox Point-to-Point for WAN (smal subnet)
VLAN 13 LAN-Net (pfSense-Lab2) 192.168.20.0/24 LAN-side for pfSense-Lab2 Internt nettverk for Lab2
VLAN 14 VPN Tunnel Net 172.16.14.0/30 Virtuell link for VPN mellom pfSense-Lab1 og Lab2 For VPN simulering
VLAN 100 Admin 10.0.100.0/24 Administrasjonsnettverk for Proxmox og VM-er Proxmox administrasjon
VLAN 110 Monitoring 10.0.110.0/24 Monitoring-systemer (Zabbix, Grafana, etc.) Internt VLAN
VLAN 120 Production 10.0.120.0/24 Produksjonsmiljø for VMs/containere Trunket til Proxmox
VLAN 200 DevOps 10.0.200.0/24 Utvikling og testmiljø for CI/CD, Docker Trunket til Proxmox
VLAN 300 External Router Link 10.10.10.0/24 Linknet til ekstern router (MikroTik/Cisco) Trunket til fysisk router

2. Detaljert Beskrivelse av Nettverksoppsett:

  • pfSense-Lab1:

    • WAN-side (VLAN 10): 172.16.10.1/30 (pfSense-Lab1 WAN IP), 172.16.10.2/30 (Proxmox LAN).
    • LAN-side (VLAN 11): 192.168.10.1/24 (pfSense-Lab1 LAN IP), DHCP Server for interne klienter.
    • VPN Link (VLAN 14): Virtuell forbindelse til pfSense-Lab2, 172.16.14.1 (pfSense-Lab1 VPN-side).
  • pfSense-Lab2:

    • WAN-side (VLAN 12): 172.16.12.1/30 (pfSense-Lab2 WAN IP), 172.16.12.2/30 (Proxmox LAN).
    • LAN-side (VLAN 13): 192.168.20.1/24 (pfSense-Lab2 LAN IP), DHCP Server for interne klienter.
    • VPN Link (VLAN 14): Virtuell forbindelse til pfSense-Lab1, 172.16.14.2 (pfSense-Lab2 VPN-side).

3. Proxmox Nettverkskonfigurasjon:

  • Hovedbrygge (vmbr0): For ekstern nettverkstilkobling (f.eks., til NAT-router eller fiber modem).
  • Trunk-port til fysisk router:
    • VLAN 300 trunkes til en fysisk router (f.eks., MikroTik eller Cisco) for testing og ekstern tilgang.

4. Konfigurasjon av VLAN og Brygger i Proxmox:

  1. Trunk-port for pfSense WAN:

    auto vmbr1
    iface vmbr1 inet manual
        bridge-ports enx<USB-NIC>
        bridge-stp off
        bridge-fd 0
    
  2. Interne brygger og VLAN for pfSense-Lab1 og Lab2:

    # pfSense-Lab1 WAN og LAN
    auto vmbr2
    iface vmbr2 inet manual
        bridge-ports none
        bridge-stp off
        bridge-fd 0
    auto vmbr2.10
    iface vmbr2.10 inet manual
        vlan-raw-device vmbr2
    
    auto vmbr2.11
    iface vmbr2.11 inet manual
        vlan-raw-device vmbr2
    
    # pfSense-Lab2 WAN og LAN
    auto vmbr3
    iface vmbr3 inet manual
        bridge-ports none
        bridge-stp off
        bridge-fd 0
    auto vmbr3.12
    iface vmbr3.12 inet manual
        vlan-raw-device vmbr3
    
    auto vmbr3.13
    iface vmbr3.13 inet manual
        vlan-raw-device vmbr3
    
  3. VPN Tunnelkonfigurasjon:

    • Opprett et VPN-nettverk på pfSense-Lab1 og pfSense-Lab2 med det samme subnettet (172.16.14.0/30).
    • Konfigurer site-to-site VPN mellom pfSense-Lab1 og pfSense-Lab2.

5. Eksempel på VLAN Trunk til MikroTik Router:

  • MikroTik Konfigurasjon for Trunk-port:
    /interface bridge
    add name=bridge1 vlan-filtering=yes
    /interface bridge port
    add bridge=bridge1 interface=ether1
    
    /interface bridge vlan
    add bridge=bridge1 tagged=ether1 vlan-ids=300
    

Oppsummering:

  • Dette oppsettet gir en klar separasjon mellom forskjellige VLAN og IP-ranger, samtidig som det gir fleksibilitet til å simulere ulike nettverksmiljøer og ruting-scenarier.
  • pfSense-Lab1 og Lab2 er fullstendig isolerte fra hverandre bortsett fra VPN-tunnelen, som kan brukes til å simulere site-to-site VPN.
  • VLAN 300 trunkes til en fysisk router for realistisk testing av nettverksintegrasjoner.

Dette oppsettet gir en fleksibel og realistisk lab der du kan eksperimentere med ulike nettverksscenarioer, brannmurkonfigurasjoner, og VPN-tilkoblinger.

⚠️ **GitHub.com Fallback** ⚠️