Proxmox Hetzner Subnetz

Virtualisierung mit Proxmox bei Hetzner

Die Tage stand das Bedürfnis an, einen neuen Server bei Hetzner zu mieten, da die bestehenden Server doch schon einige Jahre laufen und es sollte eine Server Hardware werden, auf der KVM Linux mit QEMU lauffähig ist. Es wurde ein PX92 mit 8 Kernen + 160GB RAM + 1 TB Festplattenspeicher / NVMe SSD Datacenter Edition. Derzeit ist der Rechner ohne Setup Gebühren bestellbar.

Dazu kommen noch ein paar Subnetze mit 8 + 16 IP-Adressen. Somit ist das eigene Rechenzentrum fast komplett fertig.  Jetzt fehlte noch das richtige Betriebssystem für den KVM-Host und da wurde es sehr knifflig. Die native Software mit QEMU läuft zwar auf den Rechner aber die Netzwerk Einrichtung gestaltete sich sehr anspruchsvoll. Da die Subnetze ohne MAC Adressen Mapping kommen musste die Netzwerk Konfiguration mit einem Ethernet Device und 3 virtuelle Netzwerkkarten als Linux-Bridges eingerichtet werden. Das ganze erstellt man bei Debian in der Datei „/etc/network/interfaces“ oder unter Ubuntu unter „etc/netplan/00-interfaces.conf“ zum Beispiel.

Dabei wurde mir Proxmox von einem Amateurfunk Kollege empfohlen. Ich dachte mir, ausprobieren kann man es ja mal. Die Netzwerk Konfiguration war nicht weniger kompliziert aber mir war es wichtig dass man „images.qcow2“ importieren kann, die auf den alten Maschinen liefen. Proxmox kann das virtualisieren von Linux-Containern, dh. ein Linux Image mit Debian oder Ubuntu läuft auf dem Host in einem Container. Das ist sehr schnell, da die Virtualisierungsschicht die das BIOS emuliert weg fällt. Aber es ist nicht ungefährlich was die Sicherheit angeht, dazu später mehr. Darüber hinaus kann Proxmox richtige virtuelle Maschinen die in QEMU als Linux Virtualisierung lauffähig sind. Diese Art der Visualisierung benötigt ein wenig mehr Rechenleistung ist aber völlig gekapselt und hat eine hohe Sicherheit gegenüber anderen virtuellen Maschinen und den darunter liegenden Host.

Die Installation von „Proxmox“ auf Debian 10 ist einfach durchführbar für die Version Proxmox 6.X und wird hier sehr gut erklärt: https://community.hetzner.com/tutorials/install-and-configure-proxmox_ve/de

Es ist auf folgendes zu achten :

  • Debian 10
  • Proxmox 6.0
  • Netzwerkkonfiguration Gastsystem Routed

Virtualisierung mit Routed Methode

Dieses Bild zeigt wie Proxmox auf dem Host-Rechner mit Subnetze ohne MAC-Adressen Zuteilung funktioniert. Es ist eine Routed Virtualisierungsmethode. Dh. der ganze Netzwerk-Traffic geht immer durch das Hostsystem und dabei ist es egal ob es ein Container oder ein KVM-Linux System ist. 

Hier ist eine Konfiguration eines Systems exemplarisch als Host mit einem Subnetz von 8 bzw. 16 IP-Adressen

  • Hostsystem 95.100.100.150
  • Subnetz mit 8 Adressen 135.100.100.232/29
  • Subnetz mit 16 Adressen 95.200.200.128/28
auto lo
iface lo inet loopback

iface lo inet6 loopback

iface enp6s0 inet manual
	up route add -net 95.100.100.128 netmask 255.255.255.192 gw 95.100.100.129 dev enp6s0

auto vmbr1
iface vmbr1 inet static
	address 135.100.100.233/29
	bridge-ports none
	bridge-stp off
	bridge-fd 0
#135.100.100.23X/29 GW: 233

auto vmbr0
iface vmbr0 inet static
	address 95.100.100.150/26
	gateway 95.100.100.129
	bridge-ports enp6s0
	bridge-stp off
	bridge-fd 0

auto vmbr2
iface vmbr2 inet static
	address 95.200.200.129/28
	bridge-ports none
	bridge-stp off
	bridge-fd 0
#95.200.200.XXX/24 GW: 95.200.200.129

auto vmbr3
iface vmbr3 inet static
	address 100.1.0.0/8
	bridge-ports none
	bridge-stp off
	bridge-fd 0
# Reserve Linux Bridge für weiteres Subnetz

Das ganze ist für den einen oder anderen sicher unverständlich und etwas kryptisch, aber es funktioniert ohne Probleme. Alle Gateways , alle Container und KVM-Linux Maschinen sind aus dem Internet erreichbar.
Wenn es dazu Fragen ergeben, wie Du dein Netzwerk Setup konfigurierst, schreib hier einen Kommentar oder über das Kontaktformular eine Nachricht, ich kann da sicher helfen.

Hinweis: Es gehen pro Subnetz 3 IP-Adressen verloren. Die erste ist die IP-Adresse für das interne Interface, die zweite ist die eigene Gateway-Adresse und die dritte ist für den Broadcast. Daraus resultiert, wenn ein Subnetz/29 bestellt wird, kann man nur 5 IP-Adressen nutzen. Besser ist es ein Subnetz/28 mit 16 IP-Adressen bestellen, da hat man genug Reserven für mehrere virtuelle Maschinen. Man möchte zum Beispiel nicht Webhosting und Mailserver auf einem Server haben, da sonst alles kaputt ist wenn der Webserver kompromittiert wird. 

Container und KVM Virtualisierung

Diese Bild weiter unten zeigt wie Proxmox aufgebaut ist. Rechts können wir die Linux Container sehen und links QEMU mit den KVM-Linux Maschinen. Die Installation, Aufbau, Einrichtung eines Linux Container gestaltet sich innerhalb 10-20 Sekunden und die Maschine steht bereit für den Root-Login.

Bei Installation einer KVM-Maschinen startet erst mal der Linux Installer der einem durch die Einrichtung der Festplatten, Benutzer und Netzwerk führt. Dies benötigt einiges an Zeit. Diesen Vorgang kann man beschleunigen indem ein „Clone“ einer Maschine erstellt wird, der die Installation extrem verkürzt. Es muss allerdings nach dem Start das Netzwerk neu konfiguriert werden. Dazu stellt Proxmox eine Webconsole für jede einzelne Maschine bereit. Ein Login über SSH und Netzwerk ist somit nicht immer nötig. Im übrigen läuft Proxmox komplett im Webbrowser. Die Einrichtung von virtuellen Containern und Maschinen gestaltet sich massiv elegant und fast selbsterklärend.

Es gibt zu Proxmox sehr viel Informationen im Netz, da es ein sehr mächtiges Instrument ist und ich wollte in diesem Artikel es nur kurz ansprechen mit der Problematik mit Hetzner Subnetze. Es hat Stunden benötigt bis das Setup so lief wie es jetzt läuft.

Ubuntu Netzwerk Konfiguration

Bei der Installation mit Ubuntu als virtuelle Maschine (VM) gibt es eine Eigenart auf die ich noch hinweisen möchte, da mit Sicherheit sehr viele daran verzweifeln werden. Bei den Netzwerk Einrichtung darf bei Subnetz NICHT „255.255.255.248/29“ eintragen werden, sondern man muss dort zum Beispiel folgendes eintragen :

  • Subnetz 95.200.200.128/28
  • IP-Adresse aus dem Range Subnetz z.B. 95.200.200.130
  • Gateway 95.200.200.129

Alle anderen Versuche ein funktionierenden Netzwerk mit Ubuntu und Hetzner Subnetze scheitern mit der Fehlermeldung das die IP-Adresse nicht zum Subnetz passt und die Installation kann nicht weiter geführt werden.

 

Einrichtung Netzwerk Ubuntu und Hetzner Netzwerk mit Subnetz

Sicherheits-Hinweis:

Da kommt jetzt noch die Sache mit der Sicherheit bei Proxmox Container, wie oben angesprochen. Die Sache ist dass alle Prozesse die in einem Container laufen auch als Prozess auf dem Host-Rechner laufen. Ein Aufruf der Prozessliste ermöglicht einen Einblick was damit gemeint ist:

Proxmox Prozesse von Container
Proxmox Prozesse von Container

Anhand dem Tool „htop“ kann  man unter den Prozessnummern „100XXX“ sehen, das dies Prozesse von Containern sind. Sollte der Host-Rechner kompromittiert werden, dann können die Container Prozesse ebenfalls gehacked werden. Wer so ein System aufbaut sollte sicher sein dass Manipulationen ausgeschlossen sind. Anders ist es bei dem „kvm Prozessen“, dass sind KVM Linux Prozesse die zwar ebenfalls gehacked werden können, aber da ist der QEMU also das BIOS als Zwischenschicht vorhanden was das darüber liegende Gast-OS schützt.  Dh. bei einem kompromittiertem Host-System können die Angriffe nicht auf die KVM durchgreifen. Dass die KVM Prozesse unter Root laufen ist zwar ungünstig aber weniger gefährlich als die Container Prozesse.

Bei Fragen einfach hier die Kommentarfunktion nutzen.

Beste Grüße , Joachim

Joachim

Aus Leidenschaft für Technik. Aktuelle Themen sind Datensicherheit, Software für Datenschutz, Mobile Geräte, Smartphone Sicherheit und Anwendungen, Raspberry Pi Geek.

Alle Beiträge ansehen von Joachim →

6 Gedanken zu “Virtualisierung mit Proxmox bei Hetzner

  1. Hallo, ich nutze auch Proxmox und ein Subnetz nun ja von heut auf morgen bekomm ich einfach kein Internet mehr habe alle neu installiert aber finde nichts woran es liegen kan eine Windows test VM aufgesetzt und windows meint einfach nur Gateway nicht erreichbar gut Hetzner Support angeschrieben aber die haben einen 30 Minütigen test gemacht alles ok ich weiß einfach nicht woran es liegt. Habe auch die config was zu letzt ging anhand meiner Screenshots usw genau so gemacht nichts es funktioniert nicht. Eventuelle lezte Hilfe könnten Sie sein.

    Grüße Sven

    1. Hallo Sven

      was hast Du denn für ein Hostsystem ?
      Ist das Linux ?
      Ist etwas schwierig ohne weitere Infos Dir zu helfen.
      Schreib mir doch mal über das Kontaktformular Deine Mailadresse
      damit wir in direkten Kontakt treten können.

      Grüße Joachim

  2. Hi SvenMein deutsch ist nicht so gut aber ich werde es probieren.
    Danke sehr für dein eintrag.. es ist sehr nutzlich.
    Ich möchte wissen ob du erfahrung hast anstatt eine routed setup zu haben ein Bridged setup zu haben mit pfsense da zwischen?
    Also ein zusatz mac addresse mit ip addresse die an den wan schnittstelle von (virtuele)pfsense geht und hinter pfsense dann die jeweiligen interne netzt.
    Vielen Dank in Vorraus

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert