Skip to main content

Hetzner - IPs auf virtuelle Maschinen via opnSense routen

1. Netzwerk-Setup auf Proxmox

Du brauchst mindestens zwei virtuelle Netzwerke in Proxmox:

  • vmbr0: Das Hauptinterface, an das dein Hetzner-Host angebunden ist.
  • vmbr1: Ein internes Netzwerk für deine VMs (z. B. 192.168.1.0/24), das OPNsense als Gateway nutzt.

Konfiguriere die /etc/network/interfaces (falls nicht bereits geschehen):

auto vmbr0
iface vmbr0 inet static
    address <Hetzner-Haupt-IP>
    netmask 255.255.255.255
    gateway <Hetzner-Gateway>
    bridge-ports eno1
    bridge-stp off
    bridge-fd 0
    post-up echo 1 > /proc/sys/net/ipv4/ip_forward

auto vmbr1
iface vmbr1 inet static
    address 192.168.1.1
    netmask 255.255.255.0
    bridge-ports none
    bridge-stp off
    bridge-fd 0
  • vmbr1 dient als internes Netzwerk für OPNsense und alle VMs.

2. OPNsense einrichten

Netzwerkkonfiguration in OPNsense:

  • WAN-Schnittstelle: Verbinde OPNsense mit vmbr0 (Hetzner-Hauptnetz)
  • LAN-Schnittstelle: Verbinde OPNsense mit vmbr1 (internes VM-Netz)

DHCP-Server für internes Netz:

  • Aktiviere den DHCP-Server für vmbr1 (192.168.1.0/24).
  • Stelle sicher, dass OPNsense als Gateway fungiert (192.168.1.1).

NAT deaktivieren:

  • OPNsense → Firewall → NAT → Outbound → "Hybrid Outbound NAT" oder "Manuell".
  • Entferne oder deaktiviere alle NAT-Regeln für vmbr1, da du reines Routing nutzt.

3. Hetzner /26-Subnetz auf OPNsense routen

  • Dein /26-Subnetz wird als "routed" Subnetz von Hetzner bereitgestellt.

  • Trage eine der IPs als WAN-Alias in OPNsense ein:

    • OPNsense → Interfaces → WAN → Aliases → Füge z. B. xxx.xxx.xxx.193/26 als Alias hinzu.
  • Dann erstelle eine statische Route:

    • OPNsense → System → Routes → Gateways → Neues Gateway mit der Hetzner-Gateway-IP anlegen.
    • OPNsense → System → Routes → Static Routes → Route für dein /26-Subnetz eintragen.

4. Zusätzliche IPs auf VMs routen

  • Gib einer VM eine interne IP (192.168.1.100 via DHCP).
  • Weise ihr eine externe IP (xxx.xxx.xxx.194/26) zu:
    • OPNsense → Firewall → Virtual IPs → "IP Alias" für xxx.xxx.xxx.194 auf vmbr1 (LAN).
    • Erstelle eine Firewallregel für eingehenden Verkehr auf diese IP.

Alternativ kannst du die VM so konfigurieren, dass sie eine externe IP selbst verwaltet:

  • Auf der VM:
    ip addr add xxx.xxx.xxx.194/32 dev eth0
    ip route add default via 192.168.1.1
    
  • In OPNsense eine statische Route anlegen:
    • Ziel: xxx.xxx.xxx.194/32
    • Gateway: 192.168.1.100

Damit sollte jede VM eine interne IP per DHCP bekommen und du kannst ihr bei Bedarf eine externe IP zuweisen.