pfSense oder OPNSense auf Proxmox

Tommes

Well-known member
Hi!

Ich gebe offen zu, das ich grad ein wenig zu faul bin, mir selber die nötigen Informationen einzuholen, daher erwarte ich jetzt auch keine ausschweifenden geschweige denn, tiefgründigen Antworten. Ich bin halt grade einfach über das Thema Proxmox gestolpert, von dem ich ebenfalls (noch) gar keine Ahnung habe. Bevor ich mich aber näher damit auseinandersetze wollte ich einfach nur mal die Frage in den Raum werfen, ob es ein guter und gangbarer Weg ist, Dinge wie eine pfSense oder auch eine OPNSense produkitv in einer Proxmox Umgebung laufen zu lassen?

Wie gesagt, mir würde schon ein einfaches ja oder nein genügen, wäre aber natürlich nicht abgeneigt, etwas aussagekräftigere, wenn auch oberflächliche Antworten zu erhalten. Wie gesagt, mich interessiert erst mal nur das „ob“ und nicht das „wie“

Tommes
 
guter und gangbarer Weg ist, Dinge wie eine pfSense oder auch eine OPNSense produkitv in einer Proxmox Umgebung laufen zu lassen?
Ich habe mich selbst noch nicht damit auseinander gesetzt, die globale Ansicht zumindest seitens OPNsense ist aber klar NEIN.
Den genauen Grund weiß ich nicht, es wird jedenfalls stets zu echtem Blech geraten, ich denke hauptsächlich wegen Kompatibilität. Keine Ahnung ob es auch sicherheitsrelevante Aspekte gibt...
 
Moinsen,
Gehen tut das, es sind auch immer mal Menschen in Foren unterwegs, die das produktiv im (Heim)Einsatz haben.
Ich selber halte das wie mit vpn Servern auf dem NAS...kannste machen, solltest aber nicht.
Irgendwie sträubt es sich in mir (ohne, dass ich da genug evidence based knowledge aufweisen könnte), dass mein Router, für WAN, VLANs, Firewall usw auf einem Server direkt sitzt. VM hin oder her. Zum Ausprobieren im Labor, ok, klar. Aber für den echten Einsatz tendiere ich immer zum eigenen Gerät.
 
Danke schonmal für eure Antworten, mit denen ich schon fast gerechnet habe. Wie gesagt, für mich ist das ganze Virtualisierungsthema auch absolutes Neuland, fand aber den Gedanken, eine pfSense o.ä. in solch einer Umgebung laufen zu lassen, aber ganz sympathisch, wie immer das am Ende auch aussehen mag.

Für den Moment reicht mir das schon als Antwort. Vielleicht gibt es aber auch noch weitere Meinungen und Ansichten.

Tommes
 
Aber für den echten Einsatz tendiere ich immer zum eigenen Gerät.
Ich liebäugle bereits seit längeren mit einem neuen Stück Hardware für meine Firewall, auf dem man halt auch Proxmox laufen lassen kann. Daher kam bei mir halt die Frage auf, ob Firewall unter Proxmox top oder pfuibah ist!
 
Ich sag's mal einfach so: "Kann man machen..." ☺️ Kommt halt ganz darauf an, was Du für Performance-Erwartungen hast, wie der Unterbau aussieht usw.

Ich persönlich habe an rein virtuelle Firewalls eigentlich keine großen Ansprüche, meist machen sie auch eher nur "kleinere" Dinge. Das schöne an der Virtualisierung ist jetzt allerdings, dass Du - wenn Du möchtest - auch erstmal "ganz in Ruhe" testen kannst. Wenn man mal davon ausgeht, dass Du vor der Firewall noch einen Router hast...

Router <-> Firewall <-> interne Netze

... kannst Du völlig problemlos daneben (z.B. virtuell) noch eine weitere Firewall nutzen. Das könnte dann z.B. so aussehen:

Hardware-Firewall:
- WAN: 192.168.178.2
- LAN: 192.168.100.1

Virtuelle Firewall:
- WAN: 192.168.178.3
- LAN: 192.168.100.2

Somit kannst Du einfach beides gleichzeitig laufen lassen. Musst halt ein wenig darauf achten, dass z.B. der DHCP-Dienst nicht auf beiden läuft.... Wenn Du dann ein bisschen testen möchtest, stellst Du einfach Dein Gateway vom Rechner auf die virtuelle Firewall um, fertig.

Ich habe div. Firewalls (Hardware als auch div. virtuelle Appliances) im Einsatz und kann mich nicht beschweren. Wichtig zu erwähnen wäre ggf. noch, dass man z.B. unter PVE beim CPU-Typ "host" auswählen sollte (und nicht kvm64 oder derlei), damit auch die entsprechenden CPU-Features genutzt werden können.

Wie Du siehst, ist also alles kein Problem. Wenn Du nach o.g. Schema vorgehst, kannst Du auch alles gleichzeitig laufen lassen (Hardware, pfSense-VM und OPNsense-VM).

EDIT: Die kurze Antwort fehlt ja noch! .... "Ja." 😁
EDIT2: Kleine Anmerkung noch am Rande, da es hier auch ein "Nein" gab: Was denkt ihr denn, wie die ganzen Cloud-Provider das machen, wenn man sich dort eine "Firewall" mietet? Die stellen für euch sicherlich kein Blech bereit... Von daher gibt es auch von recht vielen Firewall-Herstellern virtuelle Appliances bei den großen Cloud-Anbietern, oder man nutzt eben die Firewall-Möglichkeiten, welche einem durch den Cloudbetreiber selbst zur Verfügung gestellt werden (meist in Form von virtuellen Routern).
 
Ich lasse 2 OPNsense auf einem 3 Knoten Proxmox-Cluster in meinem Homelab laufen.

Allerdings nicht als Firewall am WAN, sondern um das "Schmutz-Netz" (Tablets, Telefone, Fernseher, Mediaplayer und Co) von meinem Homelab abzusondern. Das Schmutz-Netz kommt an der 1GbE Nic an, dass Homelab Geraffel hängt an einer 10GbE nic.
 
Moinsen,
Wenn du demnächst sowas zur Verfügung hast, probier es aus! Wie gesagt, muss ja nicht ans WAN bzw mit nem anderen Router davor als Lab oder intern...dann sieht das anders aus auch bzgl meiner oben erwähnten Bauchschmerzen...:)
 
Wie in meiner Signatur zu erkennen ist, hängt eine Fritzbox am Internet und dahinter erst meine pfSense (auch nicht als Exposed Host) auf einem APU Board. Von daher ja @blurrrr, ich könnte alles in Ruhe testen. Praktisch werde ich das sogar tun, da ich, wie bereits erwähnt, mit einem neuen Stück Hardware liebäugel. Darauf wollte ich, neben meiner produktiv laufenden pfSense mal eine OPNSense werfen um damit ein wenig rumzuspielen. Je nachdem würde ich ggfl. wechseln, andernfalls wandert meine pfSense auf die neue Hardware. Ich habe also keinen Stess und könnte lustig drauf los experimentieren. Ich habe eh kein Stress, habe ich noch nicht mal das neue Stück Hardware. Am Ende brauche ich aber etwas Handfestes, das auch zuverlässig und sorgenfrei läuft. Würde ich das mit virtuellen Umgebungen hinbekommen, würde ich mir die Mühe machen, mich näher mit Proxmox zu beschäftigen. Aber sollte es am Ende nur bei einer Spielerrein bleiben, weiß ich nicht, ob ich mir das alles antun will. So ein System will ja auch erstmal verstanden und gut konfiguriert sein. Das macht man ja nicht im Vorbeigehen.

Vielleicht weder ich ein wenig mit Proxmox rumspielen, aber ich merke innerlich schon, selbst wenn es an einigen Stellen gängige Praxis ist, werde ich wohl doch bei dem alt hergebrachten bleiben und auf virtuelle Umgebungen verzichten. Mal sehen
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
4.386
Beiträge
45.276
Mitglieder
3.987
Neuestes Mitglied
angrybobcat
Zurück
Oben