Install OpnSense on Proxmox: 1 IP only [Hetzner Server]

Schade das hier niemand auflöst, warum man am Ende des Tutorials nicht auf das Webinterface kommt. Das ging ja offensichtlich vielen so 😞

Ein video zu den bridge typen(ovs_bridge) usw. schau ich mir sicher an wen dus machst :)

Hallo, top Tutorial. Ich kann leider trotzdem nicht auf die GUI Zugreifen. Im Internet habe ich leider auch nix gefunden. Wer eine Idee hat gerne ;D Gruß

Alles 1zu1 so wie im Video gemacht, funktioniert nur leider nicht. OPNsense kann nicht ins internet pingen und ist auch nicht erreichbar. Genauso wenn ich eine VM anlege, diese kann weder Proxmox noch sonstirgendwas anpingen obwohl ich es in den interfaces eingtragen habe.

Gut erklärt.
Es wär aber auch interessant das ganze noch etwas komplexer zu sehen. Bspws Proxmox als HA Cluster mit virtuellen Servern welche entweder ne Zusatz-IP erhalten oder rein intern laufen. Ebenfalls wäre auch eine Netzwerkseparation zwischen VMs spannend / DMZ oder wie das mit einer dedicated Opensense funktionieren könnte.
Proxmox bietet so viele interessante Möglichkeiten.

Hetzner ist meiner Erfahrung nach mit den Routings etwas spezieller als andere Hoster. In meinem Fall war es so das Macadressen der VMs die in Proxmox eingerichtet sind das Problem auslösen das Hetzner den Server sperrt da die Mac Adresse nicht mit der des Servers (Proxmox) übereinstimmt. Interessant wäre wenn du hierüber noch ein paar Infos geben könntest wie es sauber läuft. LG

so i mach das mahl in english un niederlandisch :
super goede tutorial, er heeft ervoor gezorgd dat mijn opnsense actief is
super manual, i finally got this networking correct and setup my opnsense.

Geil, danke für die Mühen mit diesem Video! Gerade die ProxMox NIC / Bridge Konfig. hatte bei meinem Setup bereits für lange Nächte gesorgt.

Hallo, erstmal vielen Dank für das Video. Du hattest kurz angesprochen, dass man auch Zusatz IPs über die OpnSense erreichbar machen kann. Ich weiss mittlerweile, dass dann die Zusatz-IP über WAN in der OpnSense hängt. Bei meinen Versuchen, habe ich dann aber kein vernünftiges Routing hinbekommen. Du hast Recht, normalerweise braucht man keine Zusatz-IP. In meinem Fall habe ich allerdings zwei Webserver am laufen, die ich über Zusatz-IP erstmal zur Verfügung stellen möchte. Dies dient aber nur dazu, um dann im nächsten Schritt die beiden Zusatz-VMs durch einen Maschine im OpnSense LAN sukzessive abzulösen. Würde ich das nicht so machen, müsste ich dann beide Maschinen ca. Ein halbes Jahr nebenbei betreiound auch bezahlen. Deshalb würde ich mir wünschen, wenn du dies Mal ausprobierst, ob du es hin bekommst und vielleicht ein kurzes Video machst. Weil ich habe disbzgl. Vor ein paar Monaten versagt und bin gerade dabei den zweiten Anlauf zu wagen. LG l, SierraFOOL

Die ISO bzw. bz2 kann man auch direkt im Proxmox-Terminal (z.B. per SSH) runterladen, einfach per wget. Danach entpacken und per sha256sum die Checksumme prüfen. So muss man das nicht erst lokal runterladen und dann wieder hochladen.

langes Video? War doch schnell durch! Super erklärt.

So at 41:14 the vmbr1 is added with
auto vmbr1
iface vmbr1 inet manual
ovs_type OVSBridge
***THis causes an error on proxmox 8.2 - the network host is down and I cannot ping out from OPNSense. Also you cannot add the network device from the gui is throws a QEMU error. Anyone have any ideas?

Eine IPv6 Konfiguration währe noch gut, damit man auch das /64 Subnetz verwenden kann

Kannst du vielleicht ein Video zum Betrieb mit einer weiteren IPv4 Adresse machen? Oder kann jemand ein Tutorial verlinken, welches mit den Set-Up hier kompatibel ist? Ich komme leider alleine auf keine Lösung.

Ohne das ich das ohnehin schon eingerichtet habe finde ich die Erklärungen für reine Anfänger verwirrend. (zb. Wird was gezeigt und 5 Sekunden später '' BRAUCHEN WIR GERADE NICHT '' und das wiederholt sich!.
Alles viel zu konfus. Meine Meinung: Das wissen ist definitiv da, das weitergeben ist ausbaufähig.

Hi, geiles Tutorial kannst du das auch für die FRITZ!Box zuhause erklären. Weil klappt es nicht mit dem localhost

super tuto! habe die konfig mit pfSense realisiert. Es tritt folgendes Problem auf: sobald ich Netzwerkkarte vmbr1 an pfSense hinzufüge, ist die pfSense über das Web-Gui nicht mehr erreichbar

Moin, gutes Video jedoch bei der RAM Auslastung denke ich eher das es der klassische RAM assignment für den Cache ist. Bedeutet er ist bereits vom Opnsense OS reserviert aber noch nicht befüllt. Also sind nicht 80% von 8GB RAM bereits belegt, sondern reserviert. 2GB RAM würden es auch tun solange keine Intrusion Protection oder ähnliches mit großen Regelwerken und aufwendigen Paket schubsereien in großen Bandbreiten passieren.

Moinsen magst du mal ein Tutorial machen wo du erklärst wie die VM´s Internet bekommen? ohne Opnsense? ich verzweifle noch daran. keiner meiner beiden Windows Vm´s haben Internet. P.s Habe nur eine IP vom Hoster.

I don't understand a shit of german, but this was the best tutorial I've found in youtube. lol

Also ich versuche jetzt seit drei Tagen dieses Setup nachzubauen, aber ich bekomme mit der OPNSense-VM keine funktionierende IPv4 Verbindung hin. Den Proxmox-Host kann ich über die IP anpingen, aber raus ins Netz komme ich nicht. IPv6 (nächstes Video) macht alles so, wie es soll.
Ich denke mal der Fehler liegt irgendwo in der Konfiguration der Interfaces auf Proxmox-Ebene, aber bin die Datei jetzt zig mal durchgegangen und finden den Fehler nicht. Schade!

ifreload -a returns this: warning: enp0s31f6: post-up cmd 'iptables -t nat -A PREROUTING -i enp0s31f6 -p tcp -m multiport ! --dport 22, 8006 -j DNAT --to 10.10.10.1' failed: returned 2 (iptables v1.8.9 (legacy): invalid port/service `' specified

Nices Video hat mir mega geholfen nur ab minute 45 ging bei mir alles in die Hose. Ich habe einfach die Webgui von Opensense nicht bekommen da stand immer nur Verbindung abgelehnt

Ist mir zu speziell, firewalld, fail2ban, und kein root user login per ssh - fertig.

Hi, erstmal danke für das Video. Ich habe gesehen das du dein eigenes Image bei deinem Hetzner Server nutzt. Deswegen hätte ich da ein Vorschlag für dein nächstes Video. Eine Anleitungen wie man einfach sein eigenes Image erstellt und danach bei Hetzner über dem Rescue System installiert. Dann ist man nicht mehr an die KVM Console gebunden. :-) Vielen Dank

Wieso kannst du nicht alles durch opnsense leiten und dann opnsense wieder auf den host zeigen lassen? Ginge das nicht mit einer host bridge? Mit docker/k8s gehts, könnte also in proxmox auch gehen.

Ich feier zwar deine Paint-Zeichnungen aber zeig doch gleich mit diagrams wie man es richtig (und für dokumentationen verwendbar) macht ;)

Bei dem letzten Schritt mit der GUI kommt bei mir ein ERR_SSL_PROTOCOL_ERROR...
Bin am verzweifeln, kann mir da wer weiterhelfen?

Ansich geiles Tutorial aber es geht doch noch viel einfacher zu installieren

@ The Morpheus Tutorials Hallo und danke für das klasse Video🙏🏻😊 Ich baue das gerade nach und ich hänge am Ende😬 Ich komme mit „localhost:1337“ nicht auf die GUI. Obwohl ich mit PowerShell so wie gezeigt drauf bin. Was mache ich falsch oder kann man das anders abschalte?
LG

Eine Sache ist mir noch gerade aufgefallen. Ziemlich am Ende schaltest du die Firewall der OPNSense aus, damit du von dem Proxmox Host zur OPNSense Pingen kannst. Das ist vermutlich nur vorübergehend, bis du auf der OPNSense ICMP aktivierst, damit sie angepingt werden kann, oder?

Sehr gutes Video ✌
Geht das Tutorial davon aus, daß man eine public IP V4 hat? Die meisten von uns dürften wohl heute leider CGNAT haben.
Damit sind externe Zugriffe quasi unmöglich. Bei meinem Glasfaser Anschluß in Spanien ist das so. Auch in D ist das wohl heute normal.
Momentan bei mir: WAN Provider "Zwangs" router (nur 1 client =Fritz) (LAN1) Fritzbox 4060 (LAN2) mit xxx mesh clients
Zwischen Provider Router und Fritz soll mein proxmox mit OPNSense
also WAN Provider router (LAN1) Proxmox/OPNSense (LAN2) FB 4060 (LAN3)
Geht das? Oder habe ich da ein massives Problem?
Die Zugangsdaten rückt der Provider nicht raus.

How will the development of High Availability (HA) be implemented for the OPNsense firewall?

Kann man das ganze auch selbst gehostet realisieren? Also Proxmox auf einen Selbstbau PC und dann OpenSense etc., aber alles im eigenen Zuhause betreiben?

Das ist ne ganz schöne Ram und CPU Verschwendung, ausser du betreibst hier 10G Internet und 500 Clients.
Mein OpnSense läuft mit 2G Ram mehr als perfekt, mit Webfilter, VPN, Zenarmor, Unbound und noch einiges mehr. Swap ist übrigens vorhanden aber ungenutzt (reine Sicherheit)
Dein Ram wird übrigens von zfs gefressen, das kann man limitieren, da die Firewall ohnehin nicht viel auf die hdd schreibt und liest.
Btw: es wäre schlauer deinen Internet Port 1:1 an OpnSens zu linken und Proxmox im gefilterten Lan zu betreiben. Ist einfach sicherer

ich habe eine frage ich habe ein problem
Starting squid.
CPU Usage: 0.042 seconds = 0.025 user + 0.017 sys
Maximum Resident Size: 57648 KB
Page faults with physical i/o: 0
2024/05/31 22:49:58| Processing Configuration File: /usr/local/etc/squid/squid.conf (depth 0)
2024/05/31 22:49:58| Not currently OK to rewrite swap log.
2024/05/31 22:49:58| storeDirWriteCleanLogs: Operation aborted.
2024/05/31 22:49:58| FATAL: Unable to open configuration file: /usr/local/etc/squid/squid.conf: (13) Permission denied
2024/05/31 22:49:58| Squid Cache (Version 6.9): Terminated abnormally.
/usr/local/etc/rc.d/squid: WARNING: failed to start squid
der web proxy startet nicht habe es mehrmals installiert und deinstalliert es funktioniert nicht hast
du eine lösung für dieses problem ?

Linux ate my ram. Also die 6 gB sind nicht weg sie werden aber für caching produktiv genutzt. Sollte es aber eng werden wird der ram wieder freigegeben.

Bitte OVS
Zum Video, wie immer genial! 👍

Super Erklärung!
Aber kleiner Hinweis: Wenn OPNsense viel RAM verfügbar hat, nimmt es sich auch einfach viel RAM.
Tatsächlich reicht für einfaches 24er Subnetz, ohne viel blabla reichen auch 4GB relativ problemlos aus-

hallo, gibt es dieses Video / TuT auch mit der Nutzung von mehreren IPs (2 IPs)??? da tue ich mir aktuell schwer

Wie immer hilfreich und interessant. Aber eine Sache erschließt sich mir noch nicht so ganz. Warum mit NAT arbeiten und nicht die gleich die physikalische Schnittstelle und die WAN Schnittstelle der pfSenseVM verbinden? Die "übersetzt" doch auch zwischen den anderen pfSense netzen (und dem WAN)??? Vielleicht ist ja jemand so nett und klärt mich auf. 🙈

Hallo zusammen, ich habe das Video 1 zu1 nachgestellt. Es hat auch alles funktioniert. Bis zur Min. 45:05 ! dort wird die Subnet Maske gesetzt und wenn ich dort die 31 eingebe, sagt mir opnsense: "You cannot set broadcast address to an interface" Was mache ich hier falsch? Ich habe alle anderen Daten in den Interface Einstellungen kontrolliert und konnte keinen Schreibfehler oder ähnliches finden.

ifupdown2 ist mittlerweile standardmäßig installiert...

Ich bekomme die Eintragung im vim nicht gespeichert , kann mir mal jemand ein tip geben . danke

Tut mir leid, dass ich mir nicht die Zeit für ein langes konstruktives Feedback nehme, aber wie kann man so viel reden und versuchen zu erklären ohne auch nur irgendetwas außer "du musst das so machen und das so sonst wird das nicht funktionieren" Zustande zu bekommen, ich meine ich will doch meinen eigenen shit machen und nicht alles kopieren.

Wenn man sich sicher genug ist, dass man die OPNsense nicht abschießt kann man die doch als jumphost für proxmox benutzen. Die muss dann halt funktionieren aber da könnte man einen sicherheits mechanismus einbauen, dass sich der server sich das interface zurückholt und die ports aufmacht, wenn er merkt, dass mit der OPNsense was nicht stimmt. Der server würde in dem fall ja auch durch die OPNsense ins internet gehen, da könnte man ja was bauen, dass er versucht sich selbst durch das internet zu erreichen und wenn das nicht geht...

Ich komme nicht auf die OPNSense website, ich habe einen Linux Rechner da funktioniert der befehl mit ssh -L nicht. Kann mir jemand helfen ?

super Video, doch leider habe ich noch ein Problem. Proxmox lässt sich in meinem Fall von OPNSense pingen, ebenso umgekehrt. Route ins Internet habe ich ebenso erfolgreich getestet. Leider komme ich nicht auf die OPNSense GUI drauf. Kann da einer helfen?^^

Super Anleitung! Macht es nicht sinn anstatt das interface mit destination den traffic weiterzuschieben? Bei einer zusätzlichen IP bei Hetzner würde auch der traffic von der IP weiter auf die OPENsense weitergeleitet, ausser man will natürlich alle IP´s hinter der OPENsense haben.

Danke für dein Video. Ich habe zwar seperate Barabone für OpnSense, aber ich finde auch nützlich wenn man nicht die ganze Ethernet-Karte weiterleiten will,und man will nicht unbedingt zusatzlichen USB-Ethernet Adapter benutzen- für Proxmox zu erreichen.

Moin, danke für das super Tutorial, gibts die Netzwerkconfig auch irgendwo zum C/P ?

ich kann unter proxmox7 noch nicht mal opnsense von der iso booten, ohne in einen Kernel Panic zu laufen :/

Hi das Tutorial hat mir weitergeholfen wie man mit IPS umgeht aber das gibts halt so ein Problem.
Bei mir ist OPNSense nicht erreichbar.
Hab Auch die ganzen IP Tabels noch mal gemscht und OPNsense neu aufgesetzt aber es funktionier nicht.
Hat vielleicht wer eine Idee an was es liegen könnte?
Also was vielleicht auch wichtig ist dazu zu sagen das ich OPNsense mit Proxmox anpingen kann und ich Mit OPNsense Proxmox und auch google anpingen kann.
Also ihrgentwas muss da bei mir gewaltig schief gelaufen sein.

Moin, kurze Frage: Einrichtung lief super, habe nun nginx Proxy Manager und ein paar Webservices am laufen. Ich kann die Domains extern erreichen, intern jedoch nicht, wo liegt da der Fehler?

Ich muss mal dumm fragen, irgendwie habe ich gerade ein Verständnis Problem. Wie findet die Kommunikation der VM's nun mit der OPNSense statt? Vmbr1 muss ja auch als Hardware Netzwerkkarte in die OPNSense eingebunden werden, damit man Regeln erstellen kann, oder liege ich hier falsch? die Netzwerkkarte muss ja dann auch auch einer VM wiederum zugeordnet werden, damit diese mit der OPNSense kommunizieren kann, aber wenn vmbr1 auch der VM zugeordnet wird, umgeht diese ja dann die OPNSense Regeln.

Hmm, welchen Sinn macht es OPNsense bzw. eine Firewall auf einem remote Dedi-Server ohne wirkliche Infrastruktur zu installieren? Oder dient das Tut nur dem Lernzweck?
Andere Frage: Macht es sinn auf nem Hetzner-Server mit Proxmox ein kleines Kubernetes-Cluster zu installieren oder soll man direkt zu managed-lösungen greifen? Ich mein 8 Dedi cores aus der Serverbörse sind auf jeden fall günstiger als beim managed Kubernetes Anbieter. Und mehr RAM hat man definitiv auch.

Hallo und danke für die tolle Anleitung. Mein Proxmox hat bei der Installation damals eine Netzwerkbrücke erstellt, über die auch Proxmox selber zu erreichen ist. Muss ich das jetzt erst auf die normale Hardware Schnittstelle zurück basteln, oder kann ich die Netzwerkbrücke einfach wie hier die Hardwareschnittstelle nutzen?

Geil! Ich liebe OPNsense. Ich hab das Video noch nicht geschaut - Deshalb die vllt. blöde Frage, werden weitere Teile folgen?

hi, ich habs mal versucht nach zu bauen, bekomme aber keinen zugriff auf das Webinterface von der Opnsense.

Danke für die mühen!
Leider hänge ich seit einigen Tagen an einem Punkt. Egal, wie oft ich neu anfange.
Der container bei 48:28 stellt ja eine Verbindung nach außen. Egal was ich mache, es klappt nicht.
Meine Config ist auch über Hetzner mit nur einer IP. Was übersehe ich?

Wichtiges Tutorial, danke!

thank you !

Danke!

Danke für Deine Arbeit!

Super Video.

Schönes Tutorial, vielen Dank. Ein weiterer Wunsch ist es, eine 2. öffentliche IP bei Hetzner für dieses Setup, um dahinter bspw. einen Mailserver zu betreiben?!

Gibt es auch eine einfachere Möglichkeit den Traffic einfach auf die VMs zu bekommen? zB alles zu Nginx Proxy Manager routen und dort auf die jeweilige VM weiterleiten lassen?

Gehirnoperation durch das Rektum... 🥝🥑😂😉🤡👍

Das habe ich gerade gesucht und nichts dazu gefunden

Das ist immer so richtig komisch

Klasse Video, ich nehme übrigens zum schnellen scribbeln immer gerne excalidraw ;)

Erstmal danke, einfach gut erklärt. Eine Frage hätte ich aber.
Könnte ich mich mit einer Wireguardverbindung auf den Server schalten, aber genau die Einstellungen machen wie du sie im Video machst oder muss ich dann die Wireguardverbindung nehmen?
Also nur für Admin: PC - Wireguard -> Server (SSH, Proxmox, OPNSense) | Client -> Webserver, Gameserver, etc. (ohne Wireguard)

Du bist der beste

35:28 seit wann kann man .0 als Addresse verwenden?