На этой сборочке в космос летать можно. Настроить бы сеть нормально суметь, а не абы как. Не ленится что ли и порезать все на виртуальные сетки с изоляцией всего и вся. Наверное пока нет, сделаю мост изолированный и маскарадинг с обрезкой всего кроме летящего в впн. Что бы ни одна зараза не пролезла. На второй уровень спускаться кажется ради десятка виртуалок жирновато.
Пока идея такая. Мост будет не соединен с внешкой, полный изолят. Но хост будет гейтом маскарадить виртуалки на впн сервер. Каждая виртуалка будет соединена с впн сервером по вайргарду и сможет видеть все виртуалки локально на своем мосту, а так же интернет через свой впн. В итоге даже пробравшись в сеть виртуалок можно только мост увидеть наглухо зааернутый на впн сервак и пару виртуалок. Все же вланы крутить пока лень.
А, не, сделаю общий гейт с pfsense в одной из виртуалок лучше наверное. Надо подумать насколько лень.
Тогда виртуалки будут его как гейт юзать, он будет висеть на мосту с выходом в инет, а виртуалки гейтить. При этом он будет подцеплен по впн один к внешнему пфсенсу в амазоне, который впн сервером будет. Такая конструевина. Хост же будет вообще отрезан от всех и вся. Но надо еще подумать, поднять, сломать, снести пять раз и потом будет понятно. На то мне проксмокс и нужен был.
А, внутри лучше все виртуалки цеплять все же по отдельности. Но иметь пфсенс в качестве фаервола просто. В остальном схема почти та же. Тогда на внешнем сенсе можно реверс прокси установить и он сразу бэкенды увидит. Вот, так норм. Буду крутить.
Сначала попробую все через него одним коннектом. Так меньше крутить. Потом по вкусу.
Да, наверное я возьму пфсенс, сделаю из него внешний сервер и его же использую как внутренний сервер гейт для виртуалок. Так будет проще огород так как не придется тогда на хосте маскарадинги руками писать...две строчки, но приятно. Надо попробовать и видно будет.