Hetzner - IPs auf virtuelle Maschinen via opnSense routen
1. Netzwerk-Setup auf Proxmox
Du brauchst mindestens zwei virtuelle Netzwerke in Proxmox:
- vmbr0: Das Hauptinterface, an das dein Hetzner-Host angebunden ist.
- vmbr1: Ein internes Netzwerk für deine VMs (z. B.
192.168.1.0/24), das OPNsense als Gateway nutzt.
Konfiguriere die /etc/network/interfaces (falls nicht bereits geschehen):
auto vmbr0
iface vmbr0 inet static
address <Hetzner-Haupt-IP>
netmask 255.255.255.255
gateway <Hetzner-Gateway>
bridge-ports eno1
bridge-stp off
bridge-fd 0
post-up echo 1 > /proc/sys/net/ipv4/ip_forward
auto vmbr1
iface vmbr1 inet static
address 192.168.1.1
netmask 255.255.255.0
bridge-ports none
bridge-stp off
bridge-fd 0
vmbr1dient als internes Netzwerk für OPNsense und alle VMs.
2. OPNsense einrichten
Netzwerkkonfiguration in OPNsense:
- WAN-Schnittstelle: Verbinde OPNsense mit
vmbr0(Hetzner-Hauptnetz) - LAN-Schnittstelle: Verbinde OPNsense mit
vmbr1(internes VM-Netz)
DHCP-Server für internes Netz:
- Aktiviere den DHCP-Server für
vmbr1(192.168.1.0/24). - Stelle sicher, dass OPNsense als Gateway fungiert (
192.168.1.1).
NAT deaktivieren:
- OPNsense → Firewall → NAT → Outbound → "Hybrid Outbound NAT" oder "Manuell".
- Entferne oder deaktiviere alle NAT-Regeln für
vmbr1, da du reines Routing nutzt.
3. Hetzner /26-Subnetz auf OPNsense routen
-
Dein
/26-Subnetz wird als "routed" Subnetz von Hetzner bereitgestellt. -
Trage eine der IPs als WAN-Alias in OPNsense ein:
- OPNsense → Interfaces → WAN → Aliases → Füge z. B.
xxx.xxx.xxx.193/26als Alias hinzu.
- OPNsense → Interfaces → WAN → Aliases → Füge z. B.
-
Dann erstelle eine statische Route:
- OPNsense → System → Routes → Gateways → Neues Gateway mit der Hetzner-Gateway-IP anlegen.
- OPNsense → System → Routes → Static Routes → Route für dein
/26-Subnetz eintragen.
4. Zusätzliche IPs auf VMs routen
- Gib einer VM eine interne IP (
192.168.1.100via DHCP). - Weise ihr eine externe IP (
xxx.xxx.xxx.194/26) zu:- OPNsense → Firewall → Virtual IPs → "IP Alias" für
xxx.xxx.xxx.194aufvmbr1(LAN). - Erstelle eine Firewallregel für eingehenden Verkehr auf diese IP.
- OPNsense → Firewall → Virtual IPs → "IP Alias" für
Alternativ kannst du die VM so konfigurieren, dass sie eine externe IP selbst verwaltet:
- Auf der VM:
ip addr add xxx.xxx.xxx.194/32 dev eth0 ip route add default via 192.168.1.1 - In OPNsense eine statische Route anlegen:
- Ziel:
xxx.xxx.xxx.194/32 - Gateway:
192.168.1.100
- Ziel:
Damit sollte jede VM eine interne IP per DHCP bekommen und du kannst ihr bei Bedarf eine externe IP zuweisen.