Moin. Super Erklär-Video. Ich nutze seit deinen Wireguard Videos vom letzten Jahr (?) sehr gern Hetzner als Hoster. Die von dir beschrieben Konfig nutze ich auch, halt mit OPNSense. Sehr spannend, von dir deine Ansätze/Lösungen zu hören und den Weg dorthin beschreibst. TOLL. Weiter so !
Vielen Dank für die gute Videoreihe. Genau an die Problematik mit den privaten Netzen und deren Routing bin ich vorgestern auch gestoßen und habe es am Ende aufgegeben. Jetzt muss ich wohl doch noch mal ein paar Server ausrollen und es testen. Hoffentlich wird es irgendwann verwendbar wie ein geswitchtes Netzwerk.
Danke - habe mit den heutigen Informationen alles zum Laufen gebracht. Lokal pfSense - Wireguard - Remote Wireguard - pfSense (Hetzner Cloud). Lokales Hetzner Netzwerk mit pfsense und zwei VMs eingebunden. Wichtige Hinweise betreffend GW von dir - ohne diese ich wohl nicht erfolgreich gewesen wäre.
Bin gespannt auf die folgenden Videos in der Reihe, vor allem wegen Docker und der Problematik, dass die Container in ihren eigenen isolierten Netz sind. Damit besteht im aktuellen Zustand ja noch kein Zugriff auf das Netz hinter der FRITZ!Box für zum Beispiel Uptime Kuma
Gutes Video. Fände den umgekehrten Weg interessant, also eine NAS zuhause aus dem Internet aus erreichbar machen indem man die öffentliche IP Adresse vom Hetzner Server eingibt. Das wird gerade mit DS Lite, CGNAT usw. immer interessanter.
Was ich an der Stelle noch interessant finden würde, wie man einen Proxmox hinter die Pfsense hängen kann und die LXC ebenfalls über die Pfsense kommunizieren können und erreichbar sind. Hab schon einige Zeit damit gekämpft, aber ganz sauber läuft es nicht. Vielleicht kannst du dies in der Video Reihe mit aufnehmen
Danke für die tollen Videos. Eine kleine Anmerkung hätte ich noch als Ergänzung. Du könntest du auch mal erklären wie man einen Hetzner Cloud-Server erstellt und im Berreich "Cloud Config" direkt die Netzwerkkonfiguration vornehmen die notwendig ist.... also DHCP, Default Route und DNS Server. Ich denke das würde das ganze abrunden.
Tolle Video-Serie, die sehr hilfreich ist. Kommt noch ein Teil zur DMZ, die im Schaubild eingezeichnet ist? Würde mich sehr interessieren, wie hier das Best Practice wäre, um einerseits Dienste für das S2S-VPN "gesichert" in der Cloud zu betreiben und andererseits auch Dienste laufen zu lassen, die extern erreichbar sein sollen.
Solltet ihr Docker auf dem Cloud Server betreiben, passt die MTU size der Container an. Die Einstellung ist beim dockerdaemon vorzunehmen. 1450 funktioniert bei mir.
Ab Minute 14:40 der PING läufts leider bei mir nicht. Der PING kommt an der PFSense an und ich kann den auch via Diagnostics sehen, leider bekomme ich meine Server egal ob neuer Debian oder Ubuntu nicht ans Internet, der PING will einfach nicht durch kommen. Hat da jemand eine Idee was ich vergessen haben könnte? NAT Outbound ist aktiviert, ip add default route ist beim "Client" auch gemacht, eigentlich sollte hier alles soweit passen.
@@SirMarco80 Ich hab jetzt (die)/eine Lösung gefunden, in der Hetzner Community habe ich einen Artikel dazu gefunden. Go to Firewall -> Rules -> LAN and edit the rule with description Default allow LAN to any rule. Change the source from LAN net to any. Save and apply the changes. ~ Hetzner Wenn ich die Einstellung in der Firewall setze geht der PING und jeglicher anderer Traffic vom client server raus. ich weiß nicht ob das so richtig ist oder nur nen Workaround, hier gerne mal eure Meinung her :)
@@SGNetz Dann klappt es: Go to Firewall -> Rules -> LAN and edit the rule with description Default allow LAN to any rule. Change the source from LAN net to any. Save and apply the changes.
Tolles Video. Ich würde vermuten, dass Hetzner das mit dem Gateway so gemacht hat, damit deren portbasierte Firewall immer funktionieren würde, auch wenn sie für den Server hier nicht aktiviert ist.
Ich habe jetzt die anderen Videos nicht gesehen und komme sicher auch von einem anderen POV aber ich glaube ich würde es nicht so cool finden, wenn mein Smartphone mit den ganzen Tencent / Google kram direkt in mein HCloud network routen kann :) Trotzdem ein hilfreiches Video, du konntest meine offenen Fragen klären
Sehr gute Video Reihe, leider geht das mit dem 'ip route add default via 10.100.0.1` nach jedem Reboot verloren. Wie kann ich diese Route permant hinzufügen?
Hallo Dennis, super Videoreihe. kann ich auch irgendwie erreichen das ich aus dem Docker heraus meine Geräe im Heimnetz au erreichbarkei prüfen kann, bspw. mit Uptime Kuma oder checkmk?
Hab's heute versucht nachzubauen, klappt bis zu dem Punkt das der zweite Client nach draußen pingen kann, und es funktioniert nicht. Hat Hetzner irgendwas geändert? Hab vorhin noch mal alles kontrolliert und meine Regeln sind 1:1 gleich.
Tolles Video. Ich glaube das Routing wurde nun bei Hetzner per Default gemacht und ist daher nicht mehr nötig! Aber ja please L2 !! Gibt es keine Möglichkeit pfSense als DHCP Server zu nutzen?? und was auch sehr schade ist, dass man einem server nicht mehrere vnic zuweisen kann, um sich eine art mgmt-netz aufbauen zu können... 😀
Hallo Dennis! Wie kann ich mit der ganzen Methode einen Windows Server in der Hetzer Cloud ermöglichen, dass er ebenfalls Zugriff auf die Geräte auf der anderen Seite des Tunnels (also hinter meiner FritzBox) bekommt und auch Internet bekommt? In Linux ist es klar. Aber wie kann ich die Routing-Tabelle im Windows-Server anpassen? Danke und viele Grüße !!!
Alles funktioniert wie gezeigt! Wenn ich aber nun auf die LAN-Kiste einen simplen Apache2 aufsetze funktioniert das im Browser ein- zweimal dann ist Schluss. Der Browser döddelt dann nur noch und die Apache-Defaultseite lädt nicht mehr
Neben Wireguard u.A. auch wegen der Möglichkeit das Netzwerk (DMZ, Servernetz, etc,) weiter zu segmentieren und entsprechende filigrane FW-Roules hinterlegen zu können. Das geht bei der Hetzner Firewall nicht, die ist ja nur ein Schild einer VPS nach aussen. Pfsense bietet natürlich noch viele weitere Vorteile und Funktionen (DNS Resolver, etc.)
Wenn die Debiankiste neu gestartet wird, ist die default route wieder verschwunden.. wie bekommt man das static? Ebenso ist der Eintrag in /etc/resolv.conf wieder verschwunden. Bestimmt wieder son Hetzner-Ding :D LG
Befolgt man die Anleitung in den Hetzner Cloud Docs unter Statische IP-Konfiguration, bleibt nach einem reboot die default route und der Eintrag in der resolv.conf erhalten.
Frage dazu: Welche Firewall Regeln werden benötigt, wenn ich einen Host aus meinem Fritzbox-Netzwerk über die Public IP des hetzner Servers erreichbar machen möchte?
Hallo Dennis, ich habe mir das alles nach deinen Schritten nachgebaut, jedoch komme ich nicht weiter bei dem 2. Server, trotz der Einstellung in der pfsense mit NAT, kriegt der 2. Server kein Internet. VPN Site to Site funktioniert wunderbar.
Habe das selbe/gleiche Problem. Meine Hetzner Maschine verliert auch komischerweise immer wieder die route bei einem reboot. Hat hier jemand eine Idee?
Super Video - Danke dafür! Mich würde interessieren, ob und wie ein MACVLAN für Docker auf einem VPS in der Hetzner-Cloud einzurichten geht. Habe mehrere Container laufen und würde eine eigene IP aus der Host-Range (Sub-Netz Hetzner) pro Container benötigen. Alle bisherigen Versuche mit der "normalen Methode" der MACVLAN-Einrichtung schlugen fehl. (Auf dediziertem Hosts kein Problem) Hat sicherlich mit der gewöhnungsbedürftigen L3-Struktur und dem Gateway zu tun. Mein virtueller Docker-Host läuft hinter einer virtuellen PfSense (wie aus der Video-Reihe). Vielleicht hat da jemand einen Tip für mich oder das Thema ist sowieso ganz einfach und ich sehe den Wald vor lauter Bäumen nicht.
Also irgendwie raff ich nicht warum man das so, in meinen Augen, dämlich für den Kunden löst. Was bringt mir das Netzwerk in der Cloud, wenn die Geräte sich nicht erreichen können? Was bringt mir die pfSense in der Cloud wenn meine Geräte nicht "hinter" der Firewall hängen können? Verstehe ich hier irgendwas falsch oder komm ich da nicht hinter? Ich will doch das die pfSense z.B. Adressen per DHCP verteilt oder ich einen DHCP Server hinter dem Netz habe, welcher Adressen verteilt, aber ich habe doch keinerlei Chance die Geräte kommunizieren zu lassen? Bitte klärt mich jemand auf :(
es würde mich mega freuen wenn du noch zeigen könntest wie ich jetzt einen vswitch mit dedicated server anbinden kann an dieses CloudNetwork, es funktioniert einfach nicht bei mir, ich kann auch das CloudNetwork gw von einem dedicated server anpingen obwohl vlan und mtu stimmen
Kann man in dieses Setup auch vom Internet über Wireguard zugang zum ganzen Netzwerk (zuhause UND im Hetzner-Setup) bekommen und so zB. vom Starbucks arbeiten wie wenn man zuhause eingelogged wäre? (Roadwarrior ins eingene Netz) Am besten wäre wenn dies läuft über das Hetzner fix-IP, denn dann spare ich mir eine Lösung wegen Dynamische IP bzw. CGNAT von meinem Heimrouter..
Gibt es jetzt eigentlich eine Lösung, damit die Nameserver sowie das GW DAUERHAFT auf der VM existieren? Denn Stand jetzt darf mal alles nach jedem Reboot erneut eingeben, was auf Dauer echt nervig ist
Alles super und auch schlüssig erklärt. Internetzugriff für zusätzliche Server ist gegeben. Allerdings verstehe ich nicht warum ich abseits der pfsense keine Clients oder endpoints im netz hinter meiner FRITZ!Box erreichen kann, trotz default routes, etc. Kann hier jemand Abhilfe leisten?
@@RaspberryPiCloud ich liebe so kurze und knappe und aussagekräftige antworten :D und das war keine ironie. dann muss ich mir vermutlich abseits der fritzbox doch noch eine pfsense ins heimnetz stellen, um genau so etwas abzudecken, oder?
Mac spoofing wird auch bei deren dedicated Servern und vlan überwacht... Ich hatte mal versehentlich einer vm die falsche virtuelle nic zugeteilt so dass eine Mac aus dem internen Bereich nach außen kam... Hat 3 min gedauert dann kam eine ermahnende Email und eine Aufforderung einen Bericht zu schreiben was passiert ist und wie man es behoben hat
Toll, danke das hier meine Einträge gelöscht werden. Diese Videos funktionieren nicht. Der zweite Server hat keine Verbindung zum Internet. Alles ist so eingestellt.
Hallo Dennis, kannst du mir nicht helfen? Warum funktioniert es nicht obwohl ich alles gemacht habe wie du beschrieben hast ( also zweite Maschine ohne IP auf die PFSense legen) Für mein Routing auf dem Unifi kannst du mir bestimmt auch helfen oder ? Du bekommst auch gern was dafür :) @@RaspberryPiCloud
Update: Inzwischen hat der debian internet und kann upaten. Warum weiß ich nicht genau. Hab noch paar Regeln definiert. Outbound Nat LAN. WAN subnets TCP/UDP any. Außderdem hatte ich kurz das Gefühl bei der Schnittstellenkonfiguration ens10 "l" und "eins" verwechselt zu haben. Ganz schlau bin ich noch nicht aber scheinbar gehts. Achja und auf der Hetznerseite hatte ich noch einen VSwitch erstellt und ein VLan eingeführt. (Memo beim nächstenmal alles einzeln testen)
Ich habe die beiden Server erst einmal gelöscht. Vielleicht probiere es ich es noch ein 4.tes mal komplett von Anfang. Ich habe jede Konfig 3 mal durchgeführt und sie hat ja auch teilweise funktioniert. Was nicht ging, vom UniFi Netz zu den Servern und von den Servern ins Internet und UniFi Netz.
@@nickpruecklmaier2020 Es scheint so zu sein, dass die FW-Regel in der Zone LAN IPv4* nicht den Traffic ins Netz frei gibt. Da ist als Source "LAN subnets" hinterlegt. Warum auch immer die PfSense dies nicht verarbeitet. Wenn man stattdessen auf Adress 10.100.0.0/24 wechselt klappt der ping.