Netzwerk-Knobelaufgabe gelöst: So meistern Sie die Konfiguration zwischen Proxmox & einer pfSense-VM

Die Einrichtung eines Heimlabors oder einer professionellen Virtualisierungsumgebung kann eine spannende Reise sein, aber sie birgt auch ihre Tücken – insbesondere, wenn es um das Netzwerk-Setup geht. Eine der häufigsten Herausforderungen ist die korrekte Konfiguration zwischen Proxmox VE, einer leistungsstarken Virtualisierungsplattform, und einer pfSense-VM, einer erstklassigen Open-Source-Firewall- und Router-Lösung. Dieses Duo ist ein absolutes Dreamteam, doch die initiale Netzwerkkonfiguration kann selbst erfahrene Administratoren ins Schwitzen bringen. Aber keine Sorge, wir haben die „Knobelaufgabe” gelöst und zeigen Ihnen Schritt für Schritt, wie Sie dieses Setup meistern!

In diesem umfassenden Leitfaden tauchen wir tief in die Materie ein. Wir beleuchten die Grundlagen, gehen detailreich durch die Einrichtung und geben Ihnen wertvolle Tipps zur Fehlerbehebung. Am Ende dieses Artikels werden Sie nicht nur verstehen, wie Proxmox und pfSense optimal zusammenarbeiten, sondern auch in der Lage sein, ein sicheres und effizientes Netzwerk für Ihre virtuellen Maschinen aufzubauen.

Warum Proxmox und pfSense ein Dreamteam sind

Bevor wir uns in die technischen Details stürzen, lassen Sie uns kurz erörtern, warum die Kombination aus Proxmox VE und pfSense so begehrt ist und welche Vorteile sie Ihnen bietet:

• Proxmox VE: Als Open-Source-Virtualisierungsplattform bietet Proxmox eine robuste Basis für Ihre virtuellen Maschinen und Container. Es ist einfach zu bedienen, extrem flexibel und ermöglicht es Ihnen, Hardware-Ressourcen effizient zu nutzen. Egal, ob Sie einen einzelnen Heimserver oder ein komplexes Rechenzentrum betreiben, Proxmox bietet die Skalierbarkeit und Funktionalität, die Sie benötigen.
• pfSense: Eine der mächtigsten und flexibelsten Open-Source-Firewall-Lösungen auf dem Markt. pfSense kann Routing, DHCP, DNS, VPN und natürlich umfassende Firewall-Regeln verwalten. Sie verwandelt einen Standard-PC (oder eine VM) in einen hochprofessionellen Router und eine Firewall, die es mit kommerziellen Lösungen aufnehmen kann.

Die Synergie beider Systeme ist enorm: Sie können eine vollwertige Firewall und einen Router als virtuelle Maschine auf Ihrem Proxmox-Host betreiben. Das spart nicht nur Hardware, sondern ermöglicht auch eine zentrale Verwaltung und eine unglaubliche Flexibilität bei der Gestaltung Ihrer Netzwerkarchitektur. Von der Trennung von IoT-Geräten bis zur Einrichtung sicherer VPN-Verbindungen – mit Proxmox und pfSense sind Ihnen kaum Grenzen gesetzt.

Die Grundlagen verstehen: Netzwerk in Proxmox und pfSense

Ein solides Verständnis der Netzwerk-Grundlagen beider Systeme ist entscheidend für eine erfolgreiche Konfiguration.

Proxmox Networking Basics

Proxmox nutzt Linux Bridges (vmbrX), um Netzwerk-Traffic zwischen physischen Netzwerkkarten (NICs) des Hosts und virtuellen Maschinen zu vermitteln. Stellen Sie sich eine Bridge als einen virtuellen Switch vor. Wenn Sie eine VM mit einer Bridge verbinden, ist es, als würden Sie ein Netzwerkkabel von der VM zu einem Port dieses virtuellen Switches stecken.

• vmbr0: Dies ist oft die Standard-Bridge, die für das Management-Interface des Proxmox-Hosts verwendet wird. Es ist gängige Praxis, diese auch als Ihr internes LAN für virtuelle Maschinen zu nutzen.
• Physische NICs: Ihr Proxmox-Host benötigt mindestens zwei physische Netzwerkkarten für eine pfSense-VM, um als Router und Firewall zu fungieren: eine für das WAN (Internet) und eine für das LAN (internes Netzwerk). Idealerweise sollten Sie diese NICs auch direkt den entsprechenden Bridges zuordnen.
• VLANs: Für fortgeschrittene Setups können Proxmox Bridges auch VLAN-fähig gemacht werden, um mehrere logische Netzwerke über eine einzige physische NIC zu routen. Für den Anfang konzentrieren wir uns jedoch auf eine direktere Konfiguration ohne VLAN-Awareness auf der Proxmox-Bridge-Ebene.

pfSense Networking Basics

In pfSense dreht sich alles um die Zuweisung von Schnittstellen:

• WAN (Wide Area Network): Dies ist die Schnittstelle, die mit dem Internet (oder Ihrem vorgeschalteten Router/Modem) verbunden ist. Sie empfängt in der Regel eine öffentliche IP-Adresse (oder eine private vom Modem/Router).
• LAN (Local Area Network): Dies ist die Schnittstelle für Ihr internes Netzwerk. Geräte in diesem Netzwerk erhalten ihre IP-Adressen von pfSense und greifen über pfSense auf das Internet zu.
• OPT (Optional Interfaces): pfSense unterstützt weitere optionale Schnittstellen, z.B. für eine DMZ, ein IoT-Netzwerk oder ein Gäste-WLAN.

Die Herausforderung besteht darin, diese logischen Schnittstellen in pfSense korrekt den virtuellen Netzwerkadaptern zuzuordnen, die wiederum mit den Proxmox Bridges verbunden sind.

Schritt für Schritt zur erfolgreichen Konfiguration

Bereit? Dann legen wir los!

Schritt 1: Proxmox Host – Die Netzwerk-Vorbereitung

Dieser Schritt ist der wichtigste und oft die Quelle vieler Probleme. Eine saubere Trennung der Netzwerksegmente auf dem Proxmox-Host ist essenziell.

1. Identifizieren Sie Ihre physischen Netzwerkkarten:

   Melden Sie sich per SSH auf Ihrem Proxmox-Host an und nutzen Sie Befehle wie ip a oder cat /etc/network/interfaces, um Ihre Netzwerkkarten (z.B. enp1s0, enp2s0, eth0, eth1) und deren Status zu identifizieren. Es ist hilfreich, sich notizen zu machen, welche Karte an welches Kabel angeschlossen ist (z.B. Internet-Modem oder LAN-Switch).

2. Bearbeiten Sie die Netzwerk-Konfiguration in Proxmox:

   Navigieren Sie in der Proxmox Web-GUI zu Ihrem Host -> „System” -> „Netzwerk”. Alternativ können Sie die Datei /etc/network/interfaces direkt bearbeiten (Vorsicht ist geboten!).

   Wir benötigen mindestens zwei Bridges:

   • WAN-Bridge (z.B. vmbr1): Diese Bridge wird ausschließlich für die WAN-Verbindung Ihrer pfSense-VM verwendet. Sie muss einer dedizierten physischen Netzwerkkarte zugeordnet sein, die direkt mit Ihrem Internet-Modem oder dem WAN-Uplink verbunden ist.

     auto vmbr1
     iface vmbr1 inet manual
         bridge-ports enp2s0 <-- ERSETZEN SIE DIES MIT IHRER WAN-NIC!
         bridge-stp off
         bridge-fd 0

     Wichtig: Dieser NIC darf keine IP-Adresse zugewiesen sein und er sollte nicht für das Proxmox Management verwendet werden. Er dient lediglich als „Brückenkopf” für pfSense zum Internet.

   • LAN-Bridge (z.B. vmbr0): Diese Bridge wird für das interne LAN Ihrer pfSense-VM verwendet und dient auch als das Netzwerk, in dem sich Ihre anderen VMs und Ihr Proxmox Management-Interface befinden werden.

     auto vmbr0
     iface vmbr0 inet static
         address 192.168.0.2/24 <-- ERSETZEN SIE DIES MIT EINER IP AUS IHREM NEUEN LAN-BEREICH
         gateway 192.168.0.1 <-- SPÄTER DIE IP IHRER PFSENSE-VM
         bridge-ports enp1s0 <-- ERSETZEN SIE DIES MIT IHRER LAN-NIC!
         bridge-stp off
         bridge-fd 0

     Nach der Konfiguration der pfSense-VM auf 192.168.0.1 wird Proxmox über diese Bridge mit dem LAN kommunizieren können. Denken Sie daran, die IP-Adresse des Proxmox-Hosts (hier 192.168.0.2) und das Gateway (192.168.0.1) an Ihr späteres pfSense-LAN anzupassen. Vor der pfSense-Konfiguration können Sie hier temporär eine andere IP vergeben, die Proxmox direkt ins Internet bringt, bis pfSense fertig ist, oder Sie managen Proxmox über eine andere NIC temporär.

   Hinweis: Wenn Ihr Proxmox-Host nur eine physische NIC besitzt, wird es komplexer und erfordert möglicherweise VLAN-Tagging auf dem Proxmox-Host selbst, was über den Umfang dieses Artikels hinausgeht. Für eine pfSense-VM als Hauptrouter sind zwei dedizierte physische NICs auf dem Host dringend empfohlen.

3. Änderungen anwenden: Nach dem Speichern müssen Sie die Netzwerkkonfiguration neu starten. Dies kann zu einem kurzzeitigen Verlust der Verbindung zum Proxmox-Host führen. In der Web-GUI gibt es einen „Apply Configuration”-Button. Auf der Konsole mit systemctl restart networking oder einem Reboot des Hosts.

Schritt 2: Die pfSense-VM in Proxmox erstellen

Jetzt erstellen wir die virtuelle Maschine, die pfSense beherbergen wird.

1. Laden Sie das pfSense ISO herunter: Besuchen Sie die offizielle pfSense-Website und laden Sie die neueste ISO-Datei herunter. Laden Sie diese dann in den Proxmox Storage hoch (z.B. local -> ISO Images -> Upload).
2. Erstellen Sie eine neue VM: Klicken Sie im Proxmox Web-GUI auf „VM erstellen”.
   • General: Geben Sie einen Namen (z.B. „pfSense-Router”) und eine VM-ID ein.
   • OS: Wählen Sie „Do not use any media”. Wir werden das ISO später manuell zuweisen. Für den „Typ” wählen Sie „Other” oder „FreeBSD”.
   • System: Empfohlen: Qemu Agent aktivieren (falls Sie ihn nutzen möchten, kann später installiert werden). Bios auf „OVMF (UEFI)” stellen für moderne Systeme.
   • Disks: SCSI-Controller auf „VirtIO SCSI”. Erstellen Sie eine neue Festplatte (z.B. 8-16 GB, da pfSense nicht viel Speicher benötigt). Wählen Sie „Discard” für SSDs, um TRIM zu aktivieren.
   • CPU: 1-2 Sockets, 1-2 Cores. pfSense ist nicht sehr CPU-intensiv, es sei denn, Sie nutzen VPN mit hohen Durchsätzen. Typ auf „host”.
   • Memory: 1024 MB – 2048 MB RAM sind ein guter Startpunkt.
   • Network: Hier ist es entscheidend!
     • Netzwerkadapter 1 (WAN): Wählen Sie die Bridge, die Sie für WAN erstellt haben (z.B. vmbr1). Modell: VirtIO (paravirtualized) für beste Performance.
     • Netzwerkadapter 2 (LAN): Klicken Sie auf „Hinzufügen” -> „Netzwerkgerät”. Wählen Sie die Bridge, die Sie für LAN erstellt haben (z.B. vmbr0). Modell: VirtIO (paravirtualized).
     • Wenn Sie weitere Schnittstellen benötigen (z.B. DMZ), fügen Sie diese entsprechend hinzu.
3. Boot-Medium zuweisen: Nach dem Erstellen der VM gehen Sie zu den Hardware-Einstellungen der pfSense-VM. Fügen Sie ein „CD/DVD Drive” hinzu, wählen Sie Ihren Storage und die pfSense ISO-Datei aus. Stellen Sie sicher, dass dieses Laufwerk im „Boot Order” an erster Stelle steht.
4. Starten Sie die VM: Starten Sie die pfSense-VM und öffnen Sie die Konsole.

Schritt 3: Erste Konfiguration der pfSense-VM

Die Installation von pfSense ist weitgehend selbsterklärend. Folgen Sie den Anweisungen, um pfSense auf der virtuellen Festplatte zu installieren. Wählen Sie die Standardoptionen für die Installation (Auto (UFS) Guided Disk Setup). Nach der Installation wird pfSense neu starten und Sie werden auf der Konsole begrüßt.

1. Interface Assignment (Schnittstellenzuweisung):

   Nach dem Booten fragt pfSense, ob Sie VLANs konfigurieren möchten. Wählen Sie „n” (Nein). Danach werden Sie aufgefordert, WAN, LAN und optionale Schnittstellen zuzuweisen.

   • Der erste aufgeführte NIC (z.B. vtnet0) sollte Ihr WAN sein (verbunden mit vmbr1 in Proxmox).
   • Der zweite NIC (z.B. vtnet1) sollte Ihr LAN sein (verbunden mit vmbr0 in Proxmox).

   Merken Sie sich die Reihenfolge oder ordnen Sie sie basierend auf den MAC-Adressen zu (die in den Proxmox VM-Hardwareeinstellungen angezeigt werden). Bestätigen Sie die Zuweisung.

2. WAN-Konfiguration:

   Wählen Sie Option 2 auf der Konsole („Set interface(s) IP address”). Wählen Sie dann die WAN-Schnittstelle. In den meisten Fällen wird WAN über DHCP konfiguriert, d.h. Ihr vorgelagertes Modem/Router weist pfSense automatisch eine IP zu. Wählen Sie DHCP, wenn zutreffend. Andernfalls konfigurieren Sie eine statische IP, die Ihnen von Ihrem ISP oder Ihrem vorgelagerten Router zugewiesen wurde.

3. LAN-Konfiguration:

   Wählen Sie die LAN-Schnittstelle. Hier weisen Sie eine statische IP-Adresse zu, die als Standard-Gateway für Ihr internes Netzwerk dienen wird (z.B. 192.168.0.1/24). Dies ist die IP-Adresse, über die Sie später auf die pfSense Web-GUI zugreifen werden. Bestätigen Sie die Eingabe. Der DHCP-Server für LAN kann später über die Web-GUI aktiviert werden.

4. Zugriff auf die Web-GUI:

   Nachdem die LAN-Schnittstelle konfiguriert wurde, sollte die pfSense-Konsole die URL anzeigen, unter der die Web-GUI erreichbar ist (z.B. http://192.168.0.1). Jetzt können Sie von einem Computer, der sich im gleichen LAN-Netzwerk wie Ihr Proxmox-Host befindet (und somit auch über vmbr0 verbunden ist), auf diese Adresse zugreifen.

Schritt 4: Feinschliff und Best Practices in pfSense

Nach dem ersten Login mit den Standard-Anmeldeinformationen (Username: admin, Password: pfsense) werden Sie durch den Setup-Assistenten geführt. Hier können Sie grundlegende Einstellungen wie Hostname, Domain, DNS-Server und Zeitzone konfigurieren.

• DHCP-Server aktivieren: Gehen Sie zu „Services” -> „DHCP Server” -> „LAN” und aktivieren Sie den DHCP-Server. Legen Sie einen IP-Adressbereich fest (z.B. 192.168.0.100 bis 192.168.0.254). Speichern und anwenden.
• Firewall-Regeln: Standardmäßig erlaubt pfSense den gesamten Traffic vom LAN zum WAN. Dies ist für die meisten Heimlabore ausreichend. Für fortgeschrittene Szenarien können Sie unter „Firewall” -> „Rules” spezifische Regeln hinzufügen oder ändern.
• NAT (Network Address Translation): Unter „Firewall” -> „NAT” -> „Outbound” wird in der Regel „Automatic outbound NAT rule generation” verwendet. Dies stellt sicher, dass der Traffic aus Ihrem LAN mit der WAN-IP von pfSense maskiert wird, wenn er ins Internet geht.
• DNS Resolver/Forwarder: Unter „Services” -> „DNS Resolver” oder „DNS Forwarder” können Sie die DNS-Auflösung für Ihr Netzwerk konfigurieren. Der Resolver ist oft die bevorzugte Option.
• Updates: Stellen Sie sicher, dass Ihre pfSense-Installation auf dem neuesten Stand ist („System” -> „Update”).

Schritt 5: Testen der Konfiguration

Die Konfiguration ist nur dann gut, wenn sie funktioniert! Hier ist, wie Sie Ihr Setup testen können:

1. Client-VM erstellen (oder vorhandenen PC nutzen):

   Erstellen Sie eine neue, einfache VM (z.B. Debian, Ubuntu Server oder sogar Windows) in Proxmox. Weisen Sie dieser VM nur einen Netzwerkadapter zu und verbinden Sie diesen mit Ihrer LAN-Bridge (vmbr0). Starten Sie die VM.

2. IP-Adresse überprüfen:

   Sobald die Client-VM gestartet ist, sollte sie per DHCP automatisch eine IP-Adresse von Ihrer pfSense-VM erhalten (z.B. 192.168.0.X). Überprüfen Sie dies mit Befehlen wie ip a (Linux) oder ipconfig (Windows).

3. Konnektivität testen:

   Versuchen Sie von der Client-VM aus:

   • Ping zum LAN-Gateway (Ihre pfSense-IP, z.B. ping 192.168.0.1).
   • Ping zu einer externen IP-Adresse (z.B. ping 8.8.8.8 für Google DNS).
   • Ping zu einer Domain (z.B. ping google.de). Dies testet auch die DNS-Auflösung.
   • Öffnen Sie einen Webbrowser und versuchen Sie, auf eine beliebige Webseite zuzugreifen.

   Wenn all diese Tests erfolgreich sind, haben Sie Ihre Netzwerk-Knobelaufgabe gelöst!

Häufige Fallstricke und deren Lösung (Troubleshooting)

Nicht immer läuft alles glatt. Hier sind einige typische Probleme und wie Sie sie beheben können:

• Keine Konnektivität zur pfSense Web-GUI:
  • Falsche IP-Adresse: Haben Sie die LAN-IP-Adresse von pfSense korrekt eingegeben?
  • Firewall-Regeln: Ist die Firewall auf Ihrem Client-PC aktiv und blockiert den Zugriff? pfSense blockiert standardmäßig nichts vom LAN.
  • LAN-Interface aktiv? Überprüfen Sie auf der pfSense-Konsole, ob das LAN-Interface eine IP-Adresse hat und aktiv ist.
  • Proxmox Bridge falsch zugewiesen: Ist die Client-VM wirklich mit derselben Proxmox Bridge (vmbr0) verbunden wie das LAN-Interface von pfSense?
• Kein Internetzugang über pfSense:
  • WAN-Interface: Überprüfen Sie auf der pfSense-Konsole (oder Web-GUI), ob das WAN-Interface eine IP-Adresse erhalten hat und ob es Pings ins Internet senden kann (Option 7 in der Konsole: „Ping host”).
  • ISP-Router/Modem: Ist Ihr Internet-Modem/Router korrekt konfiguriert und versorgt pfSense mit einer gültigen IP-Adresse? Manchmal muss das Modem neu gestartet werden, damit es die MAC-Adresse der pfSense-VM erkennt.
  • DNS-Probleme: Wenn Pings zu IPs funktionieren, aber nicht zu Domains, ist es ein DNS-Problem. Überprüfen Sie die DNS-Einstellungen in pfSense und auf der Client-VM.
  • Outbound NAT: Stellen Sie sicher, dass Outbound NAT in pfSense korrekt konfiguriert ist (normalerweise automatisch).
• Proxmox Host verliert Netzwerk nach der Konfiguration:

  Dies passiert oft, wenn die physische NIC, die für das Proxmox Management verwendet wird, fälschlicherweise der WAN-Bridge zugewiesen wird. Stellen Sie sicher, dass die Management-NIC (die mit vmbr0 verbunden ist) auch diejenige ist, über die Ihr Proxmox-Host weiterhin erreichbar ist und dass sie eine gültige IP und Gateway aus dem pfSense-LAN-Bereich erhält.

• Schlechte Performance der VM:

  Haben Sie VirtIO als Netzwerkadapter-Modell für Ihre pfSense-VM (und andere VMs, die durch pfSense routen) verwendet? E1000 oder Realtek können funktionieren, sind aber viel langsamer und ressourcenintensiver.

• Reihenfolge der NICs in pfSense:

  Manchmal vertauscht pfSense die Reihenfolge der Netzwerkadapter bei der Erkennung. Achten Sie bei der Zuweisung auf der Konsole genau darauf, welche MAC-Adresse welchem virtuellen Adapter in Proxmox entspricht, um WAN und LAN nicht zu vertauschen.

Sicherheitsüberlegungen

Einige kurze Anmerkungen zur Sicherheit:

• Separate WAN-NIC: Die Verwendung einer dedizierten physischen NIC für WAN, die ausschließlich von pfSense genutzt wird, ist ein Muss für die Sicherheit.
• Regelmäßige Updates: Halten Sie Proxmox und pfSense stets auf dem neuesten Stand, um von Sicherheitskorrekturen zu profitieren.
• Starke Passwörter: Verwenden Sie sichere Passwörter für Proxmox und pfSense.

Fazit

Sie haben es geschafft! Die Konfiguration einer pfSense-VM auf Proxmox VE ist zwar mit einigen Herausforderungen verbunden, aber mit der richtigen Anleitung und einem klaren Verständnis der Netzwerk-Grundlagen ist sie absolut machbar. Sie haben nun ein leistungsstarkes und flexibles Fundament für Ihr Netzwerk geschaffen, das Ihnen die volle Kontrolle über Ihre Firewall, Ihr Routing und Ihre Netzwerktopologie gibt.

Diese Kombination ist ideal für Homelabs, kleine Unternehmen oder jeden, der eine robuste und anpassbare Netzwerkinfrastruktur benötigt. Experimentieren Sie weiter mit den vielfältigen Funktionen von pfSense – von VPN-Servern über Traffic-Shaping bis hin zu erweiterten Firewall-Regeln. Ihr Netzwerk ist jetzt nicht nur stabil, sondern auch bereit für die Zukunft!

Glückwunsch zur gemeisterten Netzwerk-Knobelaufgabe!