💡 Proxmox bei Hetzner ans Netzwerk bringen – mein bewährtes Setup mit pfSense

Die Netzwerkkonfiguration eines dedizierten Servers bei Hetzner mit Proxmox als Virtualisierungsplattform ist eine häufige Herausforderung – vor allem, wenn Sicherheit, Flexibilität und Skalierbarkeit gefragt sind. In diesem Beitrag zeige ich eine Konfiguration, die sich in zahlreichen Kundenprojekten bewährt hat: Proxmox mit Bridge-Setup und pfSense-VM mit eigener IP.

1. Ausgangslage bei Hetzner

Bei Hetzner erhalten dedizierte Server in der Regel eine öffentliche IPv4-Adresse. Für zusätzliche IPs kann man über das Robot-Interface weitere Adressen mit zugehöriger MAC-Adresse bestellen – das ist wichtig für eine saubere pfSense-Integration.

2. Setup-Ăśberblick: Proxmox + pfSense mit je eigener IP

In dieser Konfiguration bekommen sowohl der Proxmox-Hypervisor (HV) als auch die pfSense-VM eine eigene öffentliche IP-Adresse. Beide sind über dieselbe physische Netzwerkschnittstelle (vmbrX) direkt mit dem Internet verbunden – über eine einfache Bridge in Proxmox.

Vorteile dieser Konfiguration:

  • Netzwerktrennung: HV und pfSense sind voneinander isoliert und kommunizieren nicht direkt.
  • Kein NAT: Das Routing erfolgt vollständig ĂĽber pfSense – transparent und nachvollziehbar.
  • Einfacher Zugriff auf den HV: Durch die eigene IP kann man per SSH oder Web-GUI direkt auf Proxmox zugreifen, ohne auf KVM-Konsolen angewiesen zu sein.
  • Konsistenz: Die Nutzung von pfSense – auch auf virtueller Ebene – ergänzt unsere bestehende Infrastruktur mit Netgate-Appliances.

3. Warum eine eigene IP fĂĽr den Hypervisor?

Man könnte auch alle Zugriffe über die pfSense-VM leiten – technisch machbar.
Aber in der Praxis hat sich der eigene IP-Zugriff auf den HV als deutlich praktischer erwiesen, vor allem bei diesen Punkten:

  • Kein permanenter KVM-Zugang bei Hetzner: FĂĽr Notfälle kann eine KVM nur temporär gebucht werden (3h kostenlos).
  • Schneller Zugriff ĂĽber SSH: Eine sichere Remote-Verbindung zum HV ist oft die deutlich schnellere Option – gerade bei Updates, Reboots oder Netzwerktests.

4. Virtuelle MAC-Adresse fĂĽr pfSense

Für die pfSense-VM benötigt man bei Hetzner eine eigene IP mit zugewiesener MAC-Adresse. Diese wird:

  • im Robot-Interface generiert und
  • in der Proxmox-VM-Konfiguration der pfSense als virtuelle MAC am WAN-Interface hinterlegt.

👉 Ohne korrekte MAC wird das Paketrouting durch Hetzner blockiert.

5. Ergänzende Hinweise zur Sicherheit

  • pfSense ĂĽbernimmt Firewall, Routing und Netzwerksegmentierung (z. B. LAN, DMZ, VLANs).
  • Proxmox bleibt dabei vollständig davon entkoppelt – das erhöht die Sicherheit zusätzlich.
  • Eine gezielte Absicherung der Proxmox-Admin-Zugänge (SSH, WebUI) ist dennoch Pflicht.

6. Fazit

Dieses Setup kombiniert Transparenz, Sicherheit und Flexibilität – ohne auf komplexe NAT-Regeln oder iptables-Anpassungen zurückgreifen zu müssen. Es eignet sich hervorragend für produktive Umgebungen mit professionellem Anspruch.

Wenn Sie Fragen zu alternativen Setups (z. B. mit VLANs, NAT oder direkter VM-IP) haben – oder Unterstützung bei der Einrichtung brauchen:
Ich helfe gerne weiter.

Schlagwörter
Teile deine Liebe
Francesco Mutmann
Francesco Mutmann

Ich bin Francesco Mutmann, selbstständiger IT-Dienstleister aus Duisburg. Schon als Kind habe ich an Technik herumgebastelt – angefangen bei der Modelleisenbahn meines Opas bis hin zu meinem ersten eigenen Serverrack im Kinderzimmer. Heute unterstütze ich Unternehmen dabei, ihre IT-Infrastruktur sicher, effizient und zukunftsfähig aufzubauen. Mein Schwerpunkt liegt auf Themen wie Automatisierung, Linux, Virtualisierung mit Proxmox und praxisnaher Systemintegration.

Was mich auszeichnet? Klare Kommunikation, technische Tiefe und der Anspruch, nachhaltige Lösungen zu schaffen, die auch in sechs Monaten noch sinnvoll sind.

Artikel: 6

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Plugin von Real Cookie Banner