Ciao,
devo gestire Proxmox da remoto su un impianto cliente.
Tentazione: fare port forwarding della 8006 e basta.
Però mi spaventa esporre la GUI su internet.
Qual è la best practice?
- VPN (WireGuard/OpenVPN)?
- reverse proxy con 2FA?
- IP whitelist?
Irene
Proxmox da remoto: VPN sì/no? 8006 esposto? Best practice per non farsi bucare
Re: Proxmox da remoto: VPN sì/no? 8006 esposto? Best practice per non farsi bucare
Ciao Irene,
best practice “pulita”: NON esporre 8006 su internet.
Soluzioni consigliate:
1) VPN (WireGuard top): accesso come se fossi in LAN, fine.
2) Se proprio devi: reverse proxy + MFA + IP whitelist + fail2ban (ma è più complesso e delicato)
3) Separare rete management (Proxmox) dalla rete VM/produzione.
In pratica: WireGuard su un gateway (o sul nodo) e poi accedi alla GUI solo via VPN.
best practice “pulita”: NON esporre 8006 su internet.
Soluzioni consigliate:
1) VPN (WireGuard top): accesso come se fossi in LAN, fine.
2) Se proprio devi: reverse proxy + MFA + IP whitelist + fail2ban (ma è più complesso e delicato)
3) Separare rete management (Proxmox) dalla rete VM/produzione.
In pratica: WireGuard su un gateway (o sul nodo) e poi accedi alla GUI solo via VPN.
Re: Proxmox da remoto: VPN sì/no? 8006 esposto? Best practice per non farsi bucare
Ok, WireGuard mi piace.
Meglio mettere WireGuard su firewall dedicato o posso metterlo direttamente sul nodo Proxmox?
E lato sicurezza: mi conviene anche cambiare porta o non serve?
Meglio mettere WireGuard su firewall dedicato o posso metterlo direttamente sul nodo Proxmox?
E lato sicurezza: mi conviene anche cambiare porta o non serve?
Re: Proxmox da remoto: VPN sì/no? 8006 esposto? Best practice per non farsi bucare
Se puoi: WireGuard su firewall/gateway è più “pulito” (non carichi il nodo e separi ruoli).
Se non puoi: anche sul nodo va, ma restringi bene firewall e subnet VPN.
Cambiare porta non è sicurezza: è solo “rumore”.
La sicurezza vera:
- niente esposizione diretta
- chiavi WireGuard + allowed IP
- aggiornamenti costanti
- account Proxmox con permessi minimi e 2FA dove applicabile
E tieni log e alert: meglio sapere subito se qualcuno tenta accessi.
Se non puoi: anche sul nodo va, ma restringi bene firewall e subnet VPN.
Cambiare porta non è sicurezza: è solo “rumore”.
La sicurezza vera:
- niente esposizione diretta
- chiavi WireGuard + allowed IP
- aggiornamenti costanti
- account Proxmox con permessi minimi e 2FA dove applicabile
E tieni log e alert: meglio sapere subito se qualcuno tenta accessi.