OpenWRT auf Proxmox als Fritzbox Ablöse?

[Helpmaster5000]

Hallo,

ich bin gerade genötigt mein Netzwerk etwas umzustellen. Ich benötige derzeit meine alte FritzBox nur als Router, da ich davor einen 5G Router geschaltet habe. Jetzt kommt mir die Idee das Ganze etwas zu verdünnen, einmal weil die FritzBox mich immer nervt mit ihrer langsamen Weboberfläche und weiterhin, da ich momentan zwei Server im Einsatz habe, wovon der Eine auch noch virtualisiert werden soll.

Beim Proxmox Host handelt es sich um einen handelsüblichen Office Tower mit einem Ryzen 2200G. Der momentan hinter der Fritzbox mit einem Switch im Netz hängt. Ich gehe jetzt mal einfach davon aus, dass es das Einfachste wäre den Switch an den 5G Router zu hängen, da er nur einen LAN Port hat und von da aus geht es dann an den Office Tower und andere Geräten. Diese würden dann aber eine IP vom DHCP des OpenWRT bzw. meines vorhandenen Pi-Hole bekommen.

Ist das Ganze so sinnig und bräuchte ich noch eventuelle Komponenten? Ein längeres LAN-Kabel müsste ich ohnehin noch bestellen.
Vielen Dank für eure Kommentare!

 

[madmax2010]

welche funktionen brauchst du von openwrt?
bisschen DNS und DHCP geht auch super mit DNSMasq
ist schnell eingerichtet und tut

 

[qiller]

Ich gehe jetzt mal einfach davon aus, dass es das Einfachste wäre den Switch an den 5G Router zu hängen, da er nur einen LAN Port hat und von da aus geht es dann an den Office Tower und andere Geräten.

Ist das Ganze so sinnig

Nein, ist nicht sinnig. OpenWRT ist primär eine Firewall-Routing-Distribution. Ergo möchtest du diese zwischen dem 5G-Router und deinem restlichen Netzwerk haben, und nicht parallel zu diesem.

 

[madmax2010]

Wuerde ich wenn es simpel bleiben soll einfach direkt in Proxmox machen.

5G -> iptables -> pve -> restliches netzwerk

 

[Helpmaster5000]

welche funktionen brauchst du von openwrt?
bisschen DNS und DHCP geht auch super mit DNSMasq
ist schnell eingerichtet und tut

Konkret brauche ich auch weiteres Setup um meine Services öffentlich erreichbar zu machen über ein IP Forwarding mit einem VPS von mir - Stichwort CG-NAT. Ich habe es jetzt schon mal mit ein paar Anleitungen über Wireguard veruscht, aber so ganz klappt es mir dann doch nicht wie ich es mir vorstelle ohne eine Wireguard Verbindung, da ich meine Services am Ende gänzlich public erreichbar machen möchte, höchstens mit einer Wahl diese mit einer Wireguard Verbindung zu nutzen.

 

[Dat IT Nerd]

Ich würde es mir dreimal sehr gut überlegen, Services direkt ins Internet zu hängen und erreichbar zu machen! Immer VPN, Minimum! Oder Netbird ZTNA nutzen! Alles andere beschert Dir nur Ärger, der nicht sein muss. Und natürlich eine korrekt konfigurierte Firewall, welche mindestens zwei Netzwerkports hat, da wir ja das Internet, hier der / die Router, vom Rest des Netzwerks, hier der Proxmox-Host, Clients wie auch VMs, trennen möchten / müssen, um eine gewisse Effizienz der ganzen Geschichte zu erreichen.

 

[thrawnx]

Dann guck dir doch Traefik + Crowdsec an. Crowdsec lässt sich zwar auch in NGINX anbinden, ist aber wohl sehr schwierig. Beides entweder vor oder nach einem Tunnel zu deiner VPS.

@Dat IT Nerd Wenn er über Tailscale zur VPS geht, ist seine Public IP nicht mal öffentlich. Dann eben noch Traefik + Crowdsec an einem Ende des Tunnels und alles ist fine.

Falls keine Traffic-hungrigen Anwendungen erreichbar sein sollen, kannst du auch alles über Cloudflare tunneln.

 

[RedPanda05]

Ich finde die Intention auch interessant.
Wenn die „Kunden“ deiner Dienste bekannt sind, würde ich auch Tailscale, Netbird oder CF Tunnel vorziehen. Im Zweifel mit Control Server auf dem VPS.

 

[netzwanze]

Ich war auch am überlegen, habe aber die Fritte dran gelassen. Direkt ins Homenetz geht es nur über Wireguard.

Der Minecraftserver im Proxmox ist erreichbar über Portforwarting der Box und abgesichert über die Filrewallregeln im Proxmox. SSH und Adminoberfläche geht nur ins Homenetz zu bestimmten IPs. Die VM nur geht nur nach außen.

Inet ----Fritte/Wireguard -------Netzwerk------pve/firewall------VM/Minecraft

 

[qiller]

Für Dienste, die nach außen hin erreichbar sein sollen, gibt es die DMZ.

 

[Helpmaster5000]

Ich würde es mir dreimal sehr gut überlegen, Services direkt ins Internet zu hängen und erreichbar zu machen! Immer VPN, Minimum! Oder Netbird ZTNA nutzen! Alles andere beschert Dir nur Ärger, der nicht sein muss. Und natürlich eine korrekt konfigurierte Firewall, welche mindestens zwei Netzwerkports hat, da wir ja das Internet, hier der / die Router, vom Rest des Netzwerks, hier der Proxmox-Host, Clients wie auch VMs, trennen möchten / müssen, um eine gewisse Effizienz der ganzen Geschichte zu erreichen.

Immer wieder erstaunlich sowas im öffentlichen Internet(!!!) zu lesen.

 

[madmax2010]

1. DMZ wie @quiller sagt
2. was erstaunt dich daran @Helpmaster5000 ?
3. Tunnel zum VPS und da dein ein Reverseproxy drauf ist doch schon ein recht guter Ansatz, um dienste oeffentlich erreichbar zu machen - woran scheiterte es? (je nachdem was du machst bieten sich gerade caddy, envoy, traefik oder einfach nginx an)

 

[Helpmaster5000]

@madmax2010 3. Diesen Ansatz hatte ich bereits verfolgt, weshalb auch immer hat es dabei dann an einer DNS Auflösung vom VPS zum lokalen Service gescheitert und Caddy konnte mir kein Zertifikat bereitstellen. Womöglich lag es daran, dass meine Wireguard Config nicht entsprechen konfiguriert war. Man findet auch immer was Anderes (auch bei CB) wie die ip tables eingerichtet werden sollten.

Momentan habe ich dieses Script:

#!/bin/bash

echo "###################"
echo "Erlaube IPv4 Forwards"
echo "###################"
sed -i 's/#net\.ipv4\.ip_forward=1/net.ipv4.ip_forward=1/' /etc/sysctl.conf && sysctl -p

echo "###################"
echo "IPTables bereinigen"
echo "###################"
iptables -t nat -F
iptables -F

echo "###################"
echo "Erstelle IPTables INPUT Regeln"
echo "###################"
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 51820 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -P INPUT DROP

echo "###################"
echo "Erstelle IPTables NAT Regeln"
echo "###################"
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.7.0.4:80
iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 10.7.0.4:443
iptables -t nat -A POSTROUTING -d 10.7.0.4 -j MASQUERADE

Wieso auch immer ist meine IP Auflösung sehr langsam und curl ip.me liefert mir eine IPv6. Den Server erreiche ich aber im SSH über IPv4.

 

[madmax2010]

3. Diesen Ansatz hatte ich bereits verfolgt, weshalb auch immer hat es dabei dann an einer DNS Auflösung vom VPS zum lokalen Service gescheitert und Caddy konnte mir kein Zertifikat bereitstellen.

DNS zeigt auf die oeffentliche IP deines VPS. Da geht auch das Zertifikat hin.
DNS zum "lokalen service" muss eigentlich nicht sein - Der traffic geht durch den tunnel und die IP bleibt. kansnt ihm halt einen Namen in der /etc/hosts geben, das sollte meist reichen


woran scheiterte es bei caddy? Fehlermeldungen?

 

[hardwärevreag]

Hui. Da sind ja mal wieder viele Experten hier am Start.

Das einzige, was du brauchst sind Tunnel. Beispielsweise Cloudflare Tunnel. Ich betreibe hinter 5G etwa 30 Dienste, stabil. Für mehrere Handvoll Menschen. Einen externen VPS brauchst du so NICHT! Und deine private IP sieht so auch niemand.

 

[Helpmaster5000]

@hardwärevreag Das Ding ist ja, dass ich solche Corporate Sachen wie Cloudflare Tunnel, Tailscale und Netbird vermeiden will.

 

[madmax2010]

Cloudflare Tunnel ein valider weg. Wenn man das will.

Hui. Da sind ja mal wieder viele Experten hier am Start.

siehst du einen komplett invaliden Ansatz in den bisherigen vorschlagen?
In dem Fall freut sich dir person über konstruktive Kritik. viele Wege führen nach Rom.

Alle Ansätze hier, inklusive cloudflare tunnel haben ihre vor- und Nachteile

 

[RedPanda05]

Corporate Sachen wie Cloudflare Tunnel, Tailscale und Netbird

Du hast doch eh einen VPS oder?

https://github.com/juanfont/headscale

https://github.com/fosrl/pangolin

 

[Helpmaster5000]

@RedPanda05 Kenne ich bereits danke, ist mir aber zu groß an Resourcen. Das muss doch grundsätzlich auch so funktionieren. Unter der Haube agieren die Sachen doch auch nicht anders.

 

[KJQm8v]

curl ip.me

curl -4 ip.me ?