PfSense als 'Router VM', ESXi Umgebung



  • Hi Zusammen

    Bin seit einiger Zeit stiller Mitleser hier im Board und plane eine kleine 'Test ESXi' Umgebung.
    Da ich bereits alle Root Server via Hetzner.de bezogen habe, werde ich auch diesen bei Hetzner beziehen.

    Es gibt diverse Guides, welche den Netz-Aufbau mit pfSense und ESXi veranschauchlichen, jedoch ausschliesslich mit eigenem Subnet.. Nun, hier mal meine Idee:

    • ESXi Server
        - Statische IP1: 144.76.14.190 /27
        - Statische IP2: 144.76.14.191 /27
        - LAN subnetz 10.0.0.0 /24
        - Ein physikalisches NIC
        - 2 vSwitches (WAN/LAN)
        - 1 VM mit pfSense
        - Mehrere VMs im LAN, welche dennoch via pfSense und entsprechendem Portforwarding von Aussen erreichbar sein sollen.

    Ist dies mit einer physikalischen NIC überhaupt realisierbar?
    Ziel ist wie gesagt ein Routing über pfSense WAN > LAN

    Danke für eure Inputs!


  • LAYER 8 Moderator

    Hallo,

    Ich durchschaue leider noch nicht ganz, was die Auflistung der beiden statischen IPs darstellen soll. Da du eine /27er Maske angibst, weiß ich nicht, ob dir das gesamte /27er Netz zusteht, oder du nur 2 Adressen davon bekommen hast (von Hetzner). Der Grund, warum die meisten Guides bei ESXi und pfSense bei Hetzner lediglich mit einem eigenen kleinen Subnetz funktionieren ist der, dass Hetzner auf seinen Switches sehr harsche Regularien durchsetzt und die MAC-Adresse des Servers fest dem Switchport zuweist. Somit sind öffentliche IPs auf VMs kaum möglich, da die VM schlecht die gleiche Hardware MAC haben kann, wie der Server selbst. Zudem kommt hinzu, dass Hetzner ESXi nur dann installiert, wenn du zusätzlich zum Server auch eine kompatible Intel NIC dazu orderst, damit der ESXi die bei der Installation auch direkt erkennt (Hetzner verbaut sonst gerne recht kostengünstige NICs die aber ggf. nicht erkannt werden oder andersweitig Probleme haben/hatten). Da der ESX selbst ja auch administriert werden will, wird eine zweite IP benötigt, auf die die pfSense hören kann, während der Hypervisor auf der primären IP aufliegt (über die auch der vSphere Client verbunden werden kann - sollte man später ändern). Gibt man dann bei der Bestellung an, dass man eine zweite IP für solch ein ESXi Szenario benötigt, bekommt man mit der zweiten IP auch gleich eine MAC zugewiesen, die man der pfSense mit der IP aufs WAN Interface bindet, damit der Hetzner Switch einen auch wirklich ins Netz lässt.

    Auf dieser zweiten IP kann man dann theoretisch über PortForwardings oder auch IPv6 dann VMs hinter der pfSense ansprechen. Oder man beißt in den sauren Apfel und ordert noch eine oder zwei weitere IPs (oder ein kleines Netz). Ein Netz ist einfach - da die pfSense dann routen kann, ist der MAC Filter auf dem Switch kein Problem mehr. Bei Einzel-Adressen könnte(!) es gehen, dass man der pfSense diese als Alias IPs auflegt und sie via 1:1 NAT dann auf VMs dahinter verteilt. Das wäre ggf. noch eine Möglichkeit.

    Grüße


Log in to reply