Operation Guide — Zelogx MSL Setup

Zero-Trust Proxmox Multi-Project Secure Lab Setup — Powered by Pritunl VPN

VM Creation Requirements
VPN User Management
Additional Configuration

1. VM Creation Requirements

Network Interface Configuration

When creating a VM, the network interface card (NIC) must be connected to the appropriate project-specific virtual network.

Required Steps:

In the Proxmox GUI, navigate to the VM creation wizard
Go to the Network tab
Select the appropriate Bridge: vnetpjXX (where XX is your project ID: 01, 02, etc.)
Other network settings can be configured as needed

Example:

For Project 01: Select vnetpj01
For Project 02: Select vnetpj02

2. VPN User Management

The initial setup creates Organizations corresponding to each project (pj01, pj02, ..., pj08).

2.1. Adding VPN Users to Pritunl

Steps:

Navigate to Users → Add User
Fill in the user information:
- Name: User identifier (required)
- Select an organization: pjXX (specify the project number the user will access)
- Email: Optional (used as a memo in OSS Pritunl)
- Pin: Optional (additional security)

2.2. Distributing VPN Client Configuration

Method 1: Direct Download

Go to Users in the Pritunl interface
Click the download icon (↓) next to the user's profile
Download the configuration file (username.tar)
Send the configuration file to the user via secure email

Method 2: Temporary Link (Recommended for external users)

If your Pritunl GUI is publicly accessible (e.g., via Cloudflare):

Click "Get temporary profile links"
Copy the temporary URL (expires after 24 hours)
Send only the URL to the user via email
The user can download the configuration themselves

2.3. Email Template for User Distribution

Subject: VPN Configuration for Project XX Development Environment

Dear [User Name],

Please find attached your OpenVPN client configuration file for accessing 
Project XX development environment.

Installation Instructions:
1. Download and install one of the following VPN clients:
   - OpenVPN Client: https://www.openvpn.jp/download/
   - Pritunl VPN Client: https://client.pritunl.com/#install

2. Import the attached configuration file into your VPN client

Note: Pritunl VPN client supports both OpenVPN and WireGuard protocols. 
WireGuard generally offers better performance than OpenVPN.

Best regards,
[Your Name]
Zelogx Team

3. Additional Configuration

3.1. Adding Multiple NICs to a VM

General Guidelines:

✅ Safe: Connecting additional NICs to Linux bridges (not shared with VMs from other project networks) is generally safe
⚠️ Caution Required: Connecting to other vnetpjXX networks requires proper understanding
❌ Do Not Connect to:
- vmbr0 (main management network)
- vpndmzvn (VPN DMZ network)
- Other project networks (vnetpjXX with different project IDs)

Important Security Considerations:

When connecting to custom vnets, ensure proper firewall rules are configured to prevent unauthorized access to vnet gateways. Failure to do so may expose Proxmox GUI/CLI access to VPN users.

3.2. Firewall Configuration for Nested PVE

For VMs Running Nested Proxmox VE:

In the Proxmox GUI, navigate to:
Datacenter → <Host> → <VM ID> → Firewall
Change MAC Filter setting:
MAC filter: Yes → No

Why This is Required:

Leaving MAC filter enabled prevents:

Nested guest VMs from accessing the internet
Mainland network from accessing nested guest VMs

3.3. Pritunl Organization Best Practices

Important Design Principle:

⚠️ Do not use actual company names for Organizations

Reason:

Pritunl assigns Organizations to VPN Servers, not individual users. This means:

You cannot assign specific users within an Organization to specific servers
All users in an Organization have access to all servers that Organization is attached to

Recommended Approach:

Use Project IDs as Organization names for 1:1 mapping:

Organization	Purpose
pj01	Project 01 users
pj02	Project 02 users
pj03	Project 03 users
...	...

Architecture Overview:

Pritunl VPN Server → Development Network Mapping:
├── Server01 → vnetpj01
├── Server02 → vnetpj02
├── ...
└── Server08 → vnetpj08

Example Configuration:

Organization	User	Access
pj01	UserAA	Project 01 only
pj01	UserAB	Project 01 only
pj02	UserBA	Project 02 only
pj02	UserBB	Project 02 only
pj01, pj03	UserAC	Projects 01 and 03

Adding New Organizations:

If you need additional Organizations:

Navigate to Users → Add Organization
Enter the Organization name (use Project ID for clarity)
Assign the Organization to the appropriate VPN Server

Support

For questions or issues regarding this setup, please contact:

📧 Email: [email protected]

Last Updated: December 2025
Document Version: 1.0

Zero-Trust Proxmox マルチプロジェクトセキュアラボセットアップ — Pritunl VPN

1. VM作成時の必須事項

ネットワークインターフェース設定

VM作成時は、必ず適切なプロジェクト専用の仮想ネットワークにNICを接続してください。

必須手順:

Proxmox GUIでVM作成ウィザードを開く
Networkタブに移動
Bridge欄でvnetpjXXを選択（XXはプロジェクトID: 01, 02等）
その他のネットワーク設定は任意で構いません

設定例:

プロジェクト01の場合: vnetpj01を選択
プロジェクト02の場合: vnetpj02を選択

2. VPNユーザー管理

初期セットアップでは、各プロジェクトに対応するOrganization（pj01, pj02, ..., pj08）が作成されています。

2.1. PritunlへのVPNユーザー追加

手順:

Users → Add Userに移動
ユーザー情報を入力:
- Name: ユーザー識別名（必須）
- Select an organization: pjXX（ユーザーがアクセスするプロジェクト番号）
- Email: オプション（OSS版Pritunlではメモとして使用）
- Pin: オプション（追加セキュリティ）

2.2. VPNクライアント設定の配布

方法1: 直接ダウンロード

PritunlのUsers画面に移動
ユーザー横のダウンロードアイコン（↓）をクリック
設定ファイル（ユーザー名.tar）をダウンロード
セキュアなメールでユーザーに送信

方法2: 一時リンク（外部ユーザー推奨）

Pritunl GUIが外部公開されている場合（Cloudflare経由など）:

"Get temporary profile links"をクリック
一時URL（24時間有効）をコピー
URLのみをメールで送信
ユーザー自身で設定ファイルをダウンロード

2.3. ユーザーへの配布メールテンプレート

件名: プロジェクトXX開発環境用VPN設定

[ユーザー名] 様

プロジェクトXX開発環境へアクセスするためのOpenVPNクライアント設定ファイルを
添付いたしました。

【インストール手順】
1. 以下のいずれかのVPNクライアントをダウンロード・インストール:
   - OpenVPN Client: https://www.openvpn.jp/download/
   - Pritunl VPN Client: https://client.pritunl.com/#install

2. 添付の設定ファイルをVPNクライアントにインポート

【参考】
Pritunl VPNクライアントはOpenVPNとWireGuardの両方に対応しています。
WireGuardは一般的にOpenVPNより高速です。

よろしくお願いいたします。

[担当者名]
株式会社Zelogx

3. 追加設定

3.1. VMへの複数NIC追加

基本ガイドライン:

✅ 安全: Linux bridge（他のPJネットワークに属すVMと共有しない）への接続は一般的に安全
⚠️ 注意が必要: 他のvnetpjXXネットワークへの接続は十分な理解が必要
❌ 接続禁止:
- vmbr0（メイン管理ネットワーク）
- vpndmzvn（VPN DMZネットワーク）
- 他プロジェクトのネットワーク（異なるプロジェクトIDのvnetpjXX）

重要なセキュリティ考慮事項:

独自vnetに接続する場合、vnetゲートウェイへの不正アクセスを防ぐため、適切なファイアウォールルールを設定する必要があります。これを怠ると、VPNユーザーにProxmox GUI/CLIへのアクセスを許可してしまう可能性があります。

3.2. ネストされたPVE用のファイアウォール設定

ネストされたProxmox VEを実行しているVMの場合:

Proxmox GUIで以下に移動:
Datacenter → <Host> → <VM ID> → Firewall
MAC Filter設定を変更:
MAC filter: Yes → No

この設定が必要な理由:

MAC filterを有効のままにすると、以下の問題が発生します:

ネストされたゲストVMがインターネットにアクセスできない
メインランドネットワークからゲストVMにアクセスできない

3.3. Pritunl Organization のベストプラクティス

重要な設計原則:

⚠️ Organization名に実際の企業名を使用しないでください

理由:

PritunlはOrganizationをVPN Serverに割り当てますが、個別のユーザーを指定することはできません。つまり:

Organization内の特定ユーザーのみを特定のサーバーに割り当てることは不可能
あるOrganizationの全ユーザーが、そのOrganizationが割り当てられた全サーバーにアクセス可能

推奨アプローチ:

プロジェクトIDをOrganization名として使用し、1:1マッピングを実現:

Organization	用途
pj01	プロジェクト01ユーザー
pj02	プロジェクト02ユーザー
pj03	プロジェクト03ユーザー
...	...

アーキテクチャ概要:

Pritunl VPN Server → 開発ネットワーク マッピング:
├── Server01 → vnetpj01
├── Server02 → vnetpj02
├── ...
└── Server08 → vnetpj08