Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 3 subscribers
  • Views 3967 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Hetzner----Proxmox----KVM----Astaro----vservers

Karl34
Hello
I have an dedicated EQ4 Server from Hetzner.
I has order 3 additional IPś.
The following setup i try to setup:

Internet----Proxmox-----Astaro.in.kvm----my.vservers.in.DMZ

With this Setup i want Protect my vservers.
My Proxmox /etc/network/interface 
auto eth0

iface eth0 inet static

        address  176.9.17.15

        netmask  255.255.255.224

        gateway  176.9.17.1

        broadcast  176.9.17.31

        pointopoint  176.9.17.1

        post-up mii-tool -F 100baseTx-FD eth0

        post-up echo 1 > /proc/sys/net/ipv6/conf/eth0/proxy_ndp

        post-up echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp

        post-up echo 1 > /proc/sys/net/ipv4/ip_forward



auto vmbr0

iface vmbr0 inet static

        address  176.9.17.15

        netmask  255.255.255.224

        broadcast  176.9.17.31

        bridge_ports none

        bridge_stp off

        bridge_fd 0

        up ip route add 176.9.33.12 dev vmbr0

        up ip route add 176.9.33.14 dev vmbr0

        up ip route add 176.9.27.26 dev vmbr0



auto vmbr1

iface vmbr1 inet manual

        bridge_ports none

        bridge_stp off

        bridge_fd 0

So i  has install Astaro without Problems, in Proxmox i give the Astaro 3x vmbr0 for 3 NICs  WAN/Internal/DMZ

From the Network ports config in Astaro i has made Pictures.
When i make an vserver for  internal it get an automatic Lokal IP and get acces to internet all so how i want it. But what must i do when i want an vserver in DMZ with an static ip from the ips i get from hetzner?
thank you


This thread was automatically locked due to age.
  • 0
    You want any server to have an internal (local) IP addresses.  What you want to do is in the interfaces sections of WebAdmin, add your other static IPs in the Additional Addresses Tab.  Then you can setup DNAT and SNAT rules to forward traffic to the vserver and have traffic going out from the vserver show as having the additional IP as the source.
  • 0 in reply to Scott_Klassen
    Thank You for helping me [:D]

    I has add the IPś to the WAN IP under section additional IPś.
    Than i going to NETWORKSECURITY-----NAT-----DNAT/SNAT-------NEWNATRULE
    There i make an SNAT and an DNAT Rule for the vserver ip.
    But its not working , i has made some pictures.
  • 0
    Ok, you've configured the NAT rules a little goofy.
    DNAT:  
    Traffic Source:  Use the built-in Any rule instead.
    Traffic Service:  Use the built-in Any rule instead of the custom one that you've created.  Normally you would only use a few services here though.  Opening up your server to be accessed on every port is a massive security risk.  For example if you only want to host a website, then you would just use the HTTP service definition.
    Traffic Destination:  Use the System created Network (Address) object with an icon that looks like a NIC for the additional address that you want, not a standard host/network object that you've created.  For you it'll be called something like "External WAN [eth1] [vserver2] (address).

    Destination:  This is correct, use a host definition object.
    Destination Service:  If you are not using port translation, this needs to be blank.

    See the attached screenshot for a proper DNAT rule.

    Same basic ideas with the SNAT, so you'll need to fix that up as well.
  • 0
    Thank you very much thats working :-)
    When i want the following:
    The Servers in DMZ i want that they cant see reach ping or whatever the other Servers in DMZ. How can i do this?
    And to understand it realy , can you give me an example for opening only one or two ports "ssh/ftp or http" ?
    The DNAT Rule is for OUTSIDE TO SERVER   and
    The SNAT Rule is for SERVER TO OUTSIDE right?
    grettings Karl