Proxmox VE auf einem Hetzner Server einrichten

Da ich die Tage in den Genuss gekommen bin Proxmox VE auf einem Hetzner Server einzurichten, dachte ich mir ich teile mal meine Erfahrungen. Bei mir kommt ein PX Server zum Einsatz, es sollte aber eigentlich genau gleich auf allen Hetzner Servern funktionieren.

Wichtig vor Beginn ist, dass ihr die zusätzlichen IPs bestellt. Die schlagen mit 1€ zu Gewicht, sollte also somit machbar sein. Hetzner bietet ein eigenes Tutorial zur Installation von Proxmox VE an, ich kann aber nur jedem davon abraten. Natürlich habe ich es getestet, funktioniert hat es leider NICHT.

Also fangen wir mal an:

1. Server Installation

Als erstes aktivieren wir das Rescue Systtem des Servers (insofern noch kein Debian installiert ist). Dies geschieht über den Hetzner Robot, mit welchem ihr euren Server verwalten könnt. Unter dem Punkt Rescue müsst ihr lediglich die Architetktur auswählen. In unserem Fall ist das 64bit. Danach wird der Server über einen automatischen Reset unter dem Punkt Reset rebootet. Wichtig ist, dass ihr euch das Einmal-Passwort notiert, welches ihr bei Aktivierung des Rescue Systems bekommt.

Nachdem der Server neu gestartet hat könnt ihr euch am Rescue System anmelden. Installiert hier Debian wie unter folgendem Artikel beschrieben: http://wiki.hetzner.de/index.php/Installimage

Eigentlich ganz einfach, sollte keine Probleme bereiten.

2. Proxmox VE Installation

Nachdem Debian installiert wurde und wir uns wieder an unserem Server angemeldet haben, beginnen wir mit der Installation von Proxmox VE.

Wichtig ist, dass als erstes die Datei /etc/hosts überprüft wird. Hier solltet ihr auf 2 Sachen achten: 1. Hostname 2. IPV6

hosts

Fügt also den entsprechenden Hostnamen mit der öffentlichen IP hinzu

127.0.0.1 localhost.localdomain localhost
192.168.6.177 proxmox-6-177.proxmox.com proxmox-6-177 pvelocalhost

Und kommentiert die IPV6 Einträge aus

hosts_ipv6

Datei speichern und weiter.

Wir fügen als nächsten Schritt die Repository von Proxmox VE unserem System hinzu über den Editor „nano“

nano /etc/apt/sources.list
deb http://ftp.at.debian.org/debian wheezy main contrib

# PVE repository provided by proxmox.com, only for installation (this repo will stay on 3.1)
deb http://download.proxmox.com/debian wheezy pve

# security updates
deb http://security.debian.org/ wheezy/updates main contrib

laden den Schlüssel

wget -O- "http://download.proxmox.com/debian/key.asc" | apt-key add -

updaten das System

apt-get update && apt-get dist-upgrade

und beginnen mit der Installation

apt-get install pve-firmware pve-kernel-2.6.32-26-pve

Kernel Headers noch installieren

apt-get install pve-headers-2.6.32-26-pve

Das wars! Aber leeider noch nicht ganz …. Das Problem was jetzt nämlich auftaucht ist, dass wenn wir das System neu starten unser Kernel nicht geladen wird, da der erste Booteintrag noch auf unseren alten Kernel zeigt. Es gibt massig Beiträge wie ihr an dieser Stelle Grub bearbeitet um den richtigen Kernel zu booten. Der meiner Meinung nach einfachste ist, ihr kommentiert einfach alle anderen Einträge aus.

Dazu ruft ihr die config auf

nano /boot/grub/grub.cfg

Sucht nach folgendem Eintrag

grub_menu

und kommentiert die restlichen „menuentry“s aus. Sollte es hierbei Probleme geben und der Server startet nicht mehr findet ihr hier Hilfe: http://wiki.hetzner.de/index.php/Hetzner_Rescue-System

Solltet ihr alles richtig gemacht haben liefert der Befehl

uname -a

folgendes Ergebnis

Linux 2.6.32-26-pve ...

Wenn ihr wollt könnt ihr den alten Kernel jetzt deinstallieren und Grub wieder aufräumen

apt-get remove linux-image-amd64 linux-image-3.2.0-4-amd64 linux-baseupdate-grub

Als letzten Schritt installieren wir die nötigen Proxmox VE Pakete

apt-get install proxmox-ve-2.6.32 ntp ssh lvm2 postfix ksm-control-daemon vzprocps open-iscsi bootlogd

Wenn wir alles richtig gemacht haben können wir das Webinterface von Proxmox VE jetzt über die Adresse https://eureip:8006 erreichen

proxxmox_login

 

Hier verwenden wir den gleichen Login wie unter Debian. Die erste Einstellung, welche wir vornehmen ist unter „Network“ 2 Bridges anzulegen.

network_bridges

vmbr0 bekommt dabei die IP unseres Debian Hosts / vmbr1 eine interne IP hinter der wir ein privates Netzwerk anlegen können. Für das Routing sollte hier eine Firewall mit Gateway Funktion eingesetzt werden. Welche ihr da nehmt ist eigentlich egal, Hauptsache ihr kommt gut damit zurecht.

!WICHTIG! Bei der Firewall ist darauf zu achten, dass ihr dem roten Interface, also eurer Verbindung ins Internet, eine der drei zusätzlichen Hetzner IPs zuweist. Dies geschieht über die zusätzlichen MAC Adressen, die über den Robot freigeschaltet werden können, wenn ihr die zusätzlichen IPs bestellt habt.

firewall_network

Hier wird unter MAC einfach die von Hetzner vergebene MAC eingetragen. In der Firewall stellt ihr das Interface auf DHCP.

Kleiner Tipp am Rande: Das editieren der /etc/network/interfaces unter Debian macht eigentlich keinen Sinn, da die Datei jedesmal wenn ihr eine Bridge hinzufügt oder entfernt wieder überschrieben wird. Proxmox VE wählt sowieso die bestmöglichen Einträge.

Wie immer gilt: Bei Fragen oder Problemen meldet euch unter Google+

IPFire 2.15 – Core Update 79

IPFire erhält Update. Die deutsche Firewall hat heute ihr Update bekannt gegeben. Ich halt IPFire genau wie pfSense für eine sehr gute Gateway-Lösung für kleine und mittlere Unternehmen.

ipfire_tux_512x512

Ich will euch die Release Notes natürlich nicht vorenthalten, diese fallen aber ein wenig umfangreicher aus:

IPFire 2.15 – Core Update 79 is finally arriving with many bug fixes and enhancements. Among the big changes with this update are lots feature enhancements that massively increase the security level of OpenVPN connections, some enhancements of the web user interface and a lot more awesome stuff under the hood.

OpenVPN

The OpenVPN capabilities have been massively extended by Erik Kapfer:

Certificate Authorities

The certificate authority that can be created on the OpenVPN page now uses much better hashes to protect the integrity of itself. The CA root certificate uses a SHA512 hash and a RSA key with length of 4096 bit. All new created host certificates use a RSA key with 2048 bit length and a SHA256 hash.

Additionally, a set of Diffie-Hellman parameters can be generated for better protection of the session keys. The length of the pregenerated DH parameters can be chosen in the web interface.

Ciphers

The cipher that is used for each net-to-net connection can be changed now to for example take benefit of hardware crypto processors. To the list of already supported ciphers came SEED.

ATTENTION: Some other ciphers that are evidently broken have been removed for use with the roadwarrior server. Those are: DES-CBC, RC2-CBC, RC2-64-CBCand RC2-40-CBC. If you are using one of these, please replace all your roadwarrior connections.

HMAC/Hashing

To ensure that the transmitted data has not been altered on the way from sender to receiver a hash function is used. This hash is now configurable with a couple of options: SHA2 (512, 384 and 256 bit), Whirpool (512 bit) and SHA1 (160 bit).

To mitigate DoS attacks against the OpenVPN server, the tls-auth option can be enabled which uses a HMAC function that lets the server very quickly decide if a packet is coming from a legitimate sender and needs to be decrypted (which is a very costly operation) or if it is just some spoofed data sent to slow down the server. In the latter case the HMAC does not match and the packet can be discarded right away.

All this may sound a bit complicated, but in the end the OpenVPN feature is usable just in the same and easy way as you know it in IPFire. Everything described here works under the hood and gives you better protection for your data.

Kernel Update

The Linux kernel running inside IPFire has been updated to version 3.10.44 which adds better support for some hardware, comes with lots of stability fixes and closes some security issues. The vendor drivers for Intel network adapters have been updated, too.

One of the most significant changes is that the system now uses the PCIe ASPM configuration from the BIOS. The former option was to save as much power as possible which may lead to instabilities with some PCIe periphery. It is now possible to easily configure the desired operation mode in the BIOS of the system.

Various changes have been applied to the Xen image so installing IPFire on para-virtualized systems runs much more smoothly now.

PPP dial-in

pppd, the Point-to-Point-Protocol Daemon, has been updated to version 2.4.6 which comes with some stability and security fixes. For PPPoE sessions, the system will try to connect to the Internet for a longer time now before giving up. This helps us to establish a connection even if there is some really weird modems around that need some time to initialize when the network link goes up (seen with radio link antennas).

LTE/3G Modem Status

The IPFire web interface got a new status page for modems. This includes all serial modems from 56k analogue modems up to LTE and 3G modems. On this page there will be various information about the connected network, signal quality and SIM card if one is available.

Squid Web Proxy Update

The Squid web proxy server has been updated to version 3.4.5. As this is a major version update, several deprecated things and incompatibilities had to be resolved. The redirect wrapper process has been rewritten and all the redirect helpers (URL-Filter, Update Accelerator and squidclamav) have been patched to be able to communicate with the proxy process again.

When using proxy.pac for automatic client configuration, please note that access to the web proxy is now only granted for the actual subnets of the firewall and not for the entire private RFC1918 address space any more. In addition to that, accessing resources of the same subdomain as the clients (i.e. internet network access) circumvents the proxy as well.

Support for the internal Quality of Service has been compiled in.

Intrusion Detection System

snort, the Intrusion Detection System, has been updated to version 2.9.6.1. Downloading of rules will be possible for some time now.

Misc

  • Alf Høgemark contributed an updated version of vnstat which is a tool to measure the consumed traffic on each network interface and generates beautiful graphs out of it.
  • He also contributed a new log page on the IPFire web interface that shows from which country the most firewall hits originate from.
  • The new firewall GUI now supports blocking access to the GREEN firewall interface from the GREEN network.
  • The PIE packet scheduler has been added for experienced users to experiment.
  • Lots of cleanup of the generated HTML output of the CGI web interface scripts has been done.
  • The Turkish translating has been updated by Ersan Yildirim.
  • The net-utils which provided the basic tools like ping has been removed and now only the version of ping that comes with the iputils package is used. The hostname command has been replaced by a version that is maintained by Debian.
  • Updated packages: daq 2.0.2, libpcap 1.4.0, openvpn 2.3.4, sudo 1.8.10p3
  • The build system is now able to use qemu and compile for ARM on x86 machines.
  • Enabling the front LEDs on an ALIX system has been fixed when a RED device has been assigned but the system actually uses a dial-in connection.

Installer

  • Installation on systems that only got a serial console is now possible from the ISO image. The baudrate has been set to 115200 throughout the entire process which has formerly been broken and it was needed to change the baudrate a couple of times.
  • The default size of the root partition has been increased.
  • The backup ISO that can be generated on the backup page of the IPFire web interface is now a hybrid image as well so that it can be put on an USB key instead of burning it on a disk.

Dynamic DNS providers

Some new dynamic DNS providers have been added: spdns.de (Bernhard Bitsch), twodns.de, variomedia.de (Stefan Ernst)

Add-ons

New Arrivals

  • icinga 1.11.4 (The nagios package may be dropped in the near future)
  • sslscan 1.10.2 – A simple tool to scan which SSL features and ciphers a remote host supports

Updates

  • cacti 0.8.8b
  • clamav 0.98.4
  • nut 2.7.2 (Dirk Wagner)
  • samba 3.6.24
  • transmission 2.83

Dropped add-ons

  • icecc

Den offiziellen Post findet ihr hier: http://www.ipfire.org/news/ipfire-2-15-core-update-79-released

Ich werde mal versuchen in den kommenden Tagen einen Vergleich der beiden Gateway-Lösungen zu machen. Bin mal gespannt wer da die Nase vorn hat.