Proxmox с openwrt в вм как маршрутизатор локальной сети

Правильно ли я понимаю что имея белый динамический ip имеется возможность извне добраться до гуи и ссш порта?

если у тебя на vmbr1 настроен внешний адрес (или dhcp) то да, pve будет доступен из вне.

Если да, то где и как ограничить работу веб интерфейса и ссш определенными бриджами или физическими сетевыми интерфейсами у прокмокса?

Перенеси адрес управления на vmbr0, ограничь через iptables (firewall в gui тоже сойдет для этих целей)

Сейчас моя конфигурация выглядит так: Витая пара от провайдера подключена к сетевому интерфейсу на сервере который добавлен в vmbr1, в него добавлен виртуальный сетевой интерфейс что идет в виртуалку опенврт на ван порт, бридж vmbr0 объединяет все остальные сетевые разъемы системника для подключения устройств к локальной сети и подключен к опенврт как лан.

Если других vm у тебя не планируется то проще было openwrt на железо поставить, а лучше отдельный роутер купить (можно с openwrt)

отдельно инфы по настройке доступа к веб гуи тоже как-то не получилось найти

Это есть в документации.

Адрес (публичный IPv4) на мосту должен быть на роутере, а не на хосте.

Другие виртуалки имеются, я просто не видел смысла указывать информацию о них, айпи адреса у бриджа vmbr1 сатического не имеется, dhcp не включен. Перенеси адрес управления на vmbr0, где я могу найти информацию о этой процедуре? Возможно я слеп и не углядел что-то в документации.

Правильно ли я понимаю что имея белый динамический ip имеется возможность извне добраться до гуи и ссш порта?

нет, возможности не будет, если vmbr1 не имеет настроенного адреса в proxmox, то и подключаться не к чему, единственный адрес который будет доступен это виртуальный сетевой интерфейс от openWRT. если жы ты настроишь на бридже адрес, а провайдер роутинг на этот адрес, то тогда можно будет подключиться.

на vmbr0 настраиваешь адрес который у тебя относится к lan и def.route через vm с openwrt, звучит костылево но работать будет

Почему костылево-то? Если ТС так и хочет – виртуалку, как маршрутизатор.

Через встроенный файервол в Proxmox запрети коннекты на интерфейс, в который у тебя «воткнут» wan-интерфейс OpenWRT. По идее, должно решить твою проблему кардинально.

Доступ к интерфейсу имеется из локалки, на vmbr0 стоит статический ip. А у опенврт настроено что доступ к гуи только по интерфейсу ван, но я так обнимаю нужно озаботиться запретом подключения к ссш опенврт.

Доступ к интерфейсу имеется из локалки, на vmbr0 стоит статический ip. А у опенврт настроено что доступ к гуи только по интерфейсу ван, но я так обнимаю нужно озаботиться запретом подключения к ссш опенврт.

ты про подключение к openwrt? так тут никакой разницы proxmox или baremetal, в system -> Admininstration -> ssh access выбери lan как interface

Правильно ли я понимаю что имея белый динамический ip имеется возможность извне добраться до гуи и ссш порта?

Возьми и просканируй

Причём тут OpenWRT, когда ТС явно писал:

где и как ограничить работу веб интерфейса и ссш определенными бриджами или физическими сетевыми интерфейсами у прокмокса?

Эти порты по умолчанию в firewall закрыты. Можно увидеть что выставлено в зоне wan для input, forward, output

Ну тоесть на vmbr1 никаких адресов на proxmox не настроено? Тогда он просто как мост рабоатет.

А у опенврт настроено что доступ к гуи только по интерфейсу ван, но я так обнимаю нужно озаботиться запретом подключения к ссш опенврт.

Настрой доступ через lan, убери через wan или ограничь через firewall.

Проще отдельный роутер купить или pve настроить как роутер, а тут трафик туда-сюда, ну костыли жеж.

У ТС сервер с Proxmox как раз для экспериментов, зачем ему что-то покупать, если всё и так работает?

а тут трафик туда-сюда, ну костыли жеж

не понял в чем костыльность? У меня так работало пару месяцев. Отказался по причинам организационного плана - не оставлять остальные ПК, ноутбуки без интернета во время работ с сервером.

К сожалению на пве нормально не настроить дополнительные плагины для доступа к некоторым недоступным ресурсам. А отдельно роутер не вижу смысла содержать когда есть возможность его к остальному подкинуть в виртуалку.

А после написал

А у опенврт настроено что доступ к гуи только по интерфейсу ван, но я так обнимаю нужно озаботиться запретом подключения к ссш опенврт.

ТС явно путает виртуальный бридж и виртуальный интерфейс и не совсем понимаем как оно работает.

Вот сейчас не понял в каком месте путаю

и ещё бонус в Proxmox не обязательно OpenWRT. Можно pfsense, opnsense, routeros, vyos, хоть просто debian.

У тебя ОП-пост написан довольно коряво и многословно. (Ещё и) поэтому народ и путается с ответами.

Постарался изложить все параметры которые могут касаться ситуации чтоб не было дополнительных вопросов.

У тебя «смешались в кучу кони, люди». Давай ты ещё раз сформулируешь свои вопросы?

А получился какой-то поток сознания, из которого не понятно, что ты на самом деле хочешь.

ноутбуки без интернета во время работ с сервером.

А что если с железом роутера надо поработать? Или накотить обновление, а обновление всё сломало? У меня роутер в VM проксмокса, недавно мигрировал с opnsense на openwrt, downtime меньше минуты, домашние и не заметили, при обновлении полный бекап, и в случае проблем восстановление занимает секунды, если хочется поковыряться с железом, мигрируется Vm на другой хост, перетыкается провод в патч панели (на свитче места нет чтоб всё загнать в vlan), и всё никто даже не замечает что инета не было.

Ответ на основной вопрос по доступу к гуи проксмокса извне я получил, если нет адреса на бридже то и доступа нет, но параллельно задумался, а что с доступом к опенврт, настройка для выбора интерфейсов сетевых через которые можно попадать в гуи опенврт есть в гуи, извините за тавтологию, а вот про ссш настройки нет, соответственно надо ссш настроить чтоб был доступен только из локалки.

Тьфу ты. Говорил, же, «смешались в кучу кони, люди»)

Там точно про гуи? https://ibb.co/qd5WmGk

Вот это повальное увлечение Proxmox от хипстеров не иначе

Это ж надо такое выдумать, под каждую задачу свою ОС запускать

Гениально

Колхоз стайл в лучших традициях виндузятников

блин, а вот видимо я уже сам запутался, не выспался сегодня, получается настройка ссш есть, а вот где настройка на каких сетевых интерфейсах гуи доступен должен быть?

Мда уж.

Доступ к OpenWRT GUI ограничивается настройками firewall в зоне WAN. В редких случаях - настройками uhttpd/nginx

1. ты можешь сам определить на каком интерфейсе слушать ssh, про настройку уже сказал.
2. По умолчанию файрвол отклоняет все соединения напрямую к роутеру из WAN, если его не менял ничего делать не надо https://imgur.com/a/ii8D0UJ

подключиться из локальной сети используя внешний IP можно будет так как оно из локальной сети идёт.

2 – это при установке на железо. В виртуалке и lxc – не так, а наоборот: по-умолчанию есть только WAN и на нём всё открыто. Это из того, что я пробовал, ессно.

Я когда его устанавливал уже оба интерфейса были добавлены в виртуалку при первом запуске, соответственно система сама определила ван и добавила br-lan, данное правило у меня есть. Тяжеловато разбираться в механизме этих правил когда до этого не сталкивался с таким. Благодарю за помощь!

2 – это при установке на железо. В виртуалке и lxc – не так, а наоборот: по-умолчанию есть только WAN и на нём всё открыто. Это из того, что я пробовал, ессно.

не знаю, что ты пробовал, но разницы никакой, у меня openwrt в виртуалке (то же самое для LXC) и WAN ни на что не отвечает, дефолтное правило блокировать всё.

Образ для LXC: OpenWrt 22.03.5 r20134-5f15225c1e / LuCI openwrt-22.03 branch git-23.093.57104-ce20b4a

Откуда брал – уже не вспомню, но у него реально из коробки WAN и WAN6. Возможно, утянул с убунтовского LXC/LCD регистри.

я брал с https://downloads.openwrt.org/releases проблем никаких не было, всё стандартно. reject input для wan был по-умолчанию во всех комбинациях.

Хм. Возможно, у оригинальных образов так и есть. Я, кажется, нашёл, на какой гайд я опирался, когда делал контейнер с OpenWRT: https://virtualizeeverything.com/2022/05/23/setting-openwrt-in-proxmox-lxc/

Тяжеловато разбираться в механизме этих правил когда до этого не сталкивался с таким.

Если интересно и дружишь с «мертвыми языками», вот объяснения как работает iptables и openwrt UI для управления ими.

https://youtu.be/UvniZs8q3eU?t=158

Если хочешь поизучать firewall, то лучше начать с микротика, то есть routeros. Имхо. Потому что по ним больше русскоязычных (видео)гайдов не только на тему как настроить, но и как оно устроено. И из коробки ты получаешь пустой firewall и видишь как то, что ты делаешь, влияет.

Потом уже полученные знания, навыки экстраполировать на openwrt. Например, в openwrt добавится понятие зон.