Proxmox доступ к ВМ извне

«Подключить сервер к внешнему IP нет возможности.» С Вашего Debian http://www.ru пингуется? в интернет Debian напрямую ходит или через прокси?

Если Dеbian напрямую ходит в инет,

На постоянку - через внешний сервис у которого Вам нужно арендовать паблик IP. до этого IP с вашего Debian сделаете туннель. После с паблик IP пробросите к.л. порт до порта и ip Debian в туннеле.
аренда VPS с паблик IP и далее уже между VPS и Вашим Debian делаете то что выше описал, можно через ssh пробросить порт.
teamviewer интересно есть под Debian? или что то подобное?

Debian ходит в инет через виртуальный мост , который я создал в проксмоксе. Не очень понял для чего мне арендовать VP, чтобы подключиться к моей по сути VPS. Объясните дураку , может я чего то не знаю.

«Подключить сервер к внешнему IP нет возможности.»

что Вы имели ввиду? провайдер не дает в аренду паблик IP в тот же канал.

какая у Вас схема подключения proxmox к интернет? провайдер----eth----router----eth------proxmox
? роутер как получает ip?

109.185.ххх.ххх > роутер > 192.168.1.100(сервер/eno1) > vmbr0 > Debian

тогда на роутере нужно порт с паблик IP пробросить на порт и IP Debian
это уже к документации по роутеру ищите NAT,PAT проброс портов.

подключаться к ВМ извне

Что хотел спросить автор?

В «локальной сети» все работает прекрасно

Если нужен веб-интерфейс проксмокса, то поможет NAT, если сервис на самой виртуалке — то тоже NAT, если веб-интерфейс сервиса внутри виртуалки, то лучше использовать обратный прокси, и доступ по доменному имени.

Про проброс портов знаю, а если у меня не одна ВМ , у каждой ВМ разный IP, а роутер не видит IP виртуалок, то как тут быть? У меня сейчас дебиан приняла IP сервака.

как это роутер не видит IP виртуалок?
сеть между внутренним интерфейсом роутера, proxmox и виртуалками одна и та же? Debian в интернет выходит же? дебиан пингует внутренний IP роутера?
arp запись с MAC и IP роутера есть на debian?
# arp -an

У меня на физическом сервере установлен проксмокс и создана пока одна ВМ с дебиан. Мне не нужен доступ к вебморде, а только к самим виртуалкам, к которым я смогу подключиться из любого места, а не только из своей локальной сети.

а только к самим виртуалкам

Что ты имеешь ввиду? Из твоих слов, непонятно, к чему нужен доступ.

Возможно я тут туплю, но OpenWRT показывает только IP сервера и других физических устройств, которые подключены к роутеру

еще раз от печки
Debian пингует внутренний IP роутера?
arp запись с MAC и IP роутера есть на debian?
# arp -an

На сервере запущена ВМ, я хочу к ней приконнектиться с другой страны, например. Я это имею ввиду.

Этого нет, в понедельник буду у сервака , ещё раз все перекурю и напишу уже тут

Имею ввиду я не пробовал пинговать, в понедельник введу команду и скину сюда

я хочу к ней приконнектиться

Всё равно не понятно, что имеется ввиду.

если debian через vmbr подключен, то на Debain должен быть поднят IP из тойже самой подсети в которой находится внутренний интерфейс роутера. Шлюзом для debian будет внутренний IP роутера. Если debian пингует внутренний ip роутера, то на роутере проброс портов с внешнего IP на порт и IP debian решит задачу доступа к debian с внешнего IP роутера.

Ещё раз объясню, у меня на моем физическом сервере установлен проксмокс, на котором создана ВМ, на которую я установил Debian. Сервер подключен к роутеру и принимает IP от роутера (192.168.1.100). В своей локальной сети я могу подключаться и работать в виртуалке. Но я хочу иметь доступ к ней из другой сети, хочу к ней подключаться с любого устройства, то есть подключаться к ней удаленно , не только в локальной сети.

Теперь я более менее понял, что нужно сделать

порт ssh пробросить? ;-)

имелся ввиду вопрос - по какому протоколу доступ хотите иметь? ssh,telnet, ftp, rdp, web, vnc и т.д.

SSH + VNC

На дебиан поднят tightvncserver = ssh

я хочу иметь доступ к ней

Фраза, не отражающая чего-то конкретного.
Нужен один порт, или несколько, или все, какой протокол, сетевой, транспортный, или прикладной?

если на роутере не заняты порты этих служб, то на роутере порты один в один можно выставить из локалки, но лучше (из за безопасности) выставите эти порты на другие - для ssh (22) допустим на 34567 для vnc соответственно по такой же схеме

Если у вас нет внешнего ip адреса, как вы вообще хотите подключиться к вашей структуре? ХОтя бы один должен бытЬ, а дальше проброс или настроить openvnp

109.185.ххх.ххх -это же внешний IP, не?

У меня есть внешний IP от провайдера, который идет в роутер, и сервер к роутеру подключён. Вопрос : как настроить OpenVPN? Не нашёл нормального гайда.

но лучше (из за безопасности) выставите эти порты на другие - для ssh (22) допустим на 34567

скажи это китайцам

Да, это адрес от провайдера

SSH + VNC

Слава яйцам.
1. В проксмоксе в настройках узла, во вкладке сеть, создаёте bridge на том интерфейсе, который воткнут в роутер.
2. В настройках ВМ, выбираете режим сети bridged mode, и выбираете ранее созданный bridge.
3. ВМ начинает получать локальный адрес от роутера, так как будто она к нему подключена напрямую.
4. Настраиваете NAT средствами роутера.

Понял. Спасибо) OpenVPN нужен или это шик?

OpenVPN нужен или это шик?

Зависит от того, нужен или нет.
Это другой анон его приплёл.

А, понял. А нужен ли? Если нужен , то почему бы и нет

openvpn - это такая технология для организации туннелей(защищенных). у вас уже есть ssh сервер на debian. - к которому будете цепляться
если у к.л. клиентов не будет возможности использовать ssh клиентов для подключения к Debian, а будет возможность использовать только openvpn клиента, то на debian придется настраивать openvpn сервер

Понял , спасибо. Мне сначала надо вышеописанным разобраться, уже потом на досуге openvpn буду щупать)

смена ssh порта - это не 100% защита от брутфорсов всяких, понятное дело что найдут этот порт. + fail2ban еще как минимум

Я это делаю не на профессиональном уровне, пока что, пока изучаю и пытаюсь понять как это все работает. Это у меня по сути проект для дипломной работы, так что безопасность мне пока что не нужна)

проект для дипломной работы

Не может сформулировать вопрос, пока не переспросят 4 раза.

Ок.

fail2ban

Не спасает!(готовить его умею) Тот что по умолчанию. Ну есть и кастомная версия с увиличением времини на ^2 или как настроить, и белыми листами (есть на гите вроде как там брал последнию, странно, ЧТО в релиз не включают, есть вот это https://github.com/sebres/fail2ban/archive/ban-time-incr-debian.zip – РАБОТАЕТ но сдоработкими под сети /24 т.к. атакуют сетями и костыль в 88.8x.3x.123 преобразовать в => 88.8x.3x.0/24 получается нормально, уже есть те кто забанен на 3-4 месяЦА реальный сервер). OpenVPN ну и далее, я типо в сети, а там уже или AD или LDAP