如何在虚拟主机上建立pfSense/OPNSense？

Question

我有点搞不懂如何将*感知框作为VM托管，并让它为主机提供路由。

Internet -> Modem/Router (bridge mode) -> en1 on Dell r710 -> OPNSense in a VM

Then also:
OPNSense in a VM -> en2 -> 12-port switch

比如，我如何在VM上设置网络接口，以及如何将OPNSense定义为拥有10.0.2.1的IP，并将其作为主要路由器(dhcp等)，以便OPNSense能够为我连接的任何设备(通过我拥有的交换机)以及VM运行的主机提供路由？

我的VM在KVM上运行，Wok/Kimchi在Ubuntu16.04.5上运行。

Answer 1

不幸的是，这个问题有点不精确，我没有资格问进一步的问题。几天前，我在一个虚拟环境中设置了OPNSense，希望我能在这里留下一些提示。我不认为这是一个好的解决方案，但它对我有效。在这个场景中，我有一个专用服务器和一个/29公共IP子网。来自其他VM的所有流量都通过OPNSense VM路由。无法通过虚拟机发送主机的通信量。

对于网络和虚拟机的管理，我使用WebvirtCloud，但也可以手动完成所有操作。

1. 为每个公共IP创建虚拟网络接口。/etc/ eth0 /接口自动eth0 iface静态地址103.x.x.104 #专用服务器IP地址网络掩码255.255.255.255网关103.x.x.65点托点103.x.x.65 #IP在数据中心的自动eth0:0 iface 0:0 iface 0:0 interfaces静态地址103.xx.77.136 # IP来自公共子网掩码255.255.255.255自动eth0：1 ifaceeth0:1内静态地址103.xx.77.137网络掩码255.255.255.255 ...
2. 使用libvirt创建网络，如所描述的这里：(或使用WebvirtCloud)，您至少需要两种桥接器，一种用于局域网，另一种用于广域网。

此时您应该有一个名为LAN (设备:virbr1)的网络(网络: 192.168.100.0/24)和另一个称为广域网(设备: virbr0)的网络(网络: 192.168.77.0/24)。

1. 创建您的OPNSense机器配置--这是重要的部分：

<源网络=’WAN‘bridge=’virbr0‘><目标dev=’vnet0 0‘><模型类型=’vnet0‘><别名=’net0/><地址类型=‘pci’alias=‘0x0000总线=’0x00总线=‘0x03’>函数=‘alias=’alias 0‘><接口类型网络类型：c0：：50:F9:0B‘><源网络=’lan‘bridge=’virbr1‘><目标dev=’vnet1 1‘><模型类型=’virtio/><别名=‘net1 1’>< 网桥=‘virbr1’><目标dev=‘vnet2 2’><模型类型=‘virtio’><别名=‘net2 2’><地址类型=‘pci’域=‘0x0000’总线=‘0x02’时隙=‘0x06’函数=‘0x0’>

1. 启动OPNSense，根据您的机器配置分配接口，并通过终端设置接口IP地址。我选择了192.168.77.2作为我的OPNSense广域网IP地址。广域网上行网关设置为192.168.77.1。

我还在OPNSense中为我的每个公共IP创建了单独的LAN。

LAN136 IP-Address: 192.168.100.136/24 
LAN137 IP-Address: 192.168.100.137/32
No upstream Gateways.

...

1. 主机上NAT、POST和PREROUTING规则

iptables -t nat -A POSTROUTING -s 192.168.77.2 -j SNAT --to-source 103.x.x.104 iptables -t nat -A POSTROUTING -s 192.168.77.136 -j SNAT -to-source 103.x.77.136 iptables tcp -t nat -A POSTROUTING -s 192.168.77.137 -j SNAT --至-源103.xx.77.137 iptables -t nat -A PREROUTING -dport 10:65530 -d 103.x.77.136到192.168.77.136 iptables -t nat -A PREROUTING -p udp -dport 10:65530 -d 103.xx.77.136 -j DNAT - 192.168.77.136 iptables -t nat -A PREROUTING -p tcp -dport 10:65530 -d 103.x.77.137 -j DNAT --至192.168.77.137 iptables -t -t -A PREROUTING -p udp -dport 10:65530 -d 103.xx.77.137 -j DNAT -至192.168.77.137

在这一步之后，您应该能够从您的web浏览器打开OPNSense。为了做到这一点，您需要一个已经是LAN一部分的虚拟机。我建议使用像grml或Ubuntu这样的实时CD。在这种情况下，可以通过OPNSense访问http://192.168.100.136。

1. OPNSense (网络浏览器)-在广域网接口上创建虚拟IP

虚拟IP -地址接口类型192.168.77.136/32广域网IP别名192.168.77.137/32 WAN IP别名

...

1. OPNSense中的NAT规则(web浏览器)创建您的端口转发和传出规则

端口转发示例：

接口Proto S-地址S-端口D-地址D-端口NAT-Ip Nat-端口WAN TCP ** 192.168.77.137 80 (HTTP) 192.168.100.101 80 (HTTP)

输出规则示例：

模式必须设置为手动。

接口源S-端口Dest。D-端口NAT-IP端口静态？万192.168.100.100/32 ** 192.168.77.136 *无

确保所有公共IP都有传出规则和唯一的NAT IP。

Answer 2

天哪..。这太复杂了！我一直在寻找用我的TrueNAS (现在的规模，但我已经运行了很多年)服务器上的VM来代替我专用的微型my运行的TrueNAS设置，我只是想知道.有更简单的方法让一切正常运作吗？我只想让它真正地运行我的网络，让VM能够通过WAN和LAN (当然是VM内部和外部)进行通信。我很清楚，如果我重新启动我的TrueNAS服务器(主要是我的Plex媒体服务器)，我的互联网连接会中断等等。我也很清楚，在大多数情况下这样做并不理想，但我想尝试一下。我只想留下更小的脚印，如果我能摆脱网络上和房间里运行的电脑，那就太棒了。

到目前为止我能做什么呢？我只能让我的OPNsense VM看到一个广域网连接，以及我能够进入它的webUI.有时候..。

如果有人在2023年看到这个.LOL。不着急，但我有点想这么做，因为这很有趣。

谢谢，Shiggitay