Proxmox omgeving aan thuis netwerk knopen

Site-to-Site via OpenVPN met een virtuele server op je Kimsufi en thuis op je router getermineerd.

Tijsje schreef op vrijdag 30 januari 2015 @ 09:43:
Ik heb zitten kijken naar een site 2 site VPN, maar zo ver ik het begrijp hebben de twee netwerken daar wel een eigen subnet welke dan wel weer aan elkaar gekoppeld worden.

De meeste oplossingen/protocollen tunnelen op L3, maar dat neemt niet weg dat er ook L2-mogelijkheden zijn.

Hoe zou ik dit op kunnen zetten?

Met een tunnel op layer 2, ofwel, iets dat ethernet frames forward.

moet ik toch denken aan een VPN, of welke richting moet ik op zoeken?
Op de Proxmox omgeving zou ik hiervoor een Linux distro kunnen installeren.
Op mijn thuis netwerk een Raspberry

Yup. Zoals degene boven me zegt is OpenVPN waarschijnlijk de meest straightforward oplossing welke een authenticated & encrypted L2 tunnel oplevert. Alleen zou ik 'm leggen van je OVH-doos naar je Raspberry Pi. Aan de thuiskant heb je namelijk niets aan je Ziggo-modem (die doet geen OpenVPN, laat staan in tap-modus).

De bedoeling is dan dat je OpenVPN in tap mode gebruikt. Let erop dat de meeste 'how to setup OpenVPN' guides tunneled mode behandelen; voor tap heb je nog wat managementscripts nodig om de benodigde bridges op te zetten. In de OpenVPN-distributie/documentatie vind je wel een voorbeeldje.

Als OpenVPN zelf eenmaal werkt heb je aan beide kanten een tap interface (tap-lan en tap-ovh), vervolgens hang je tap-lan aan een bridge (br-lan) waar je ook je LAN-connectie aanhangt. Aan de OVH-zijde voeg je tap-ovh toe aan de bridge waar ook je Proxmox VMs aan hangen, en dan doet het allemaal precies wat je wilt.

Daarbij ga ik ervan uit dat je OpenVPN direct op de Proxmox host draait. Als je het in een VM wilt doen zul je daar ook een bridgingtruukje moeten doen (eth0 en tap op de 'OpenVPN-VM' bridgen), en er dan voor zorgen dat de desbetreffende VM met eth0 aan je VM bridge hangt. Volgt u hem nog?

tl;dr OpenVPN in tap mode en een boel bridges

Waarom wil je dat?
Het is zeker mogelijk, zoals je kan zien in de prachtige uitleg van Thralas, maar het is de vraag of het ook handig en verstandig is.
Als er iets in het hele traject fout gaat dan zitten die machines zonder IP-adres op die interface. Nu is dat waarschijnlijk niet echt een probleem omdat je er toch niet bij kan als bv het VPN stuk is, maar het is zo'n situatie waarin de problemen zich snel gaan opstapelen.
Ik zelf zou die servers ofwel een vast IP-adres geven, ofwel ook een DHCP-server draaien aan de proxmox kant. Je kan daar een stukje van je ip-range voor bewaren om conflicten te voorkomen.
Je kan ook twee DHCP-servers in HA-mode laten draaien maar dat brengt weer z'n eigen complexiteit met zich mee.