12
LAN,WAN,DMZ und Firewall auf einem Server
Hallo zusammen,
derzeit laufen bei mir eine Proxmox Umgebung auf einem 19" Server, eine Pfsense auf einer alten Secure Computing Appliance. Auf dem Proxmox laufen mehrere Maschinen. W-Lan, Kontroller, Hausautomation etc. Nun hätte ich gerne auf eine Cloud über Nextcloud in einer dafür erichteten DMZ liegen.
Ebenfalls verbraucht der Server 70 Watt im Betrieb. Ich würde nun ungerne noch einen weiteren Server für die DMZ anschaffen. Daher meine Überlegung die DMZ ebenfalls auf den Proxmox Server laufen zu lassen. Ebenso würde ich die Pfsense per PCI Passthrough virtualisieren und somit die Appliance (20 Watt Verbrauch) abschalten.
Nun bin ich mir unsicher ob:
1.) eine gute Idee ist die FW zu virtualisieren
2.) es überhaupt geht eine DMZ und das LAN auf einem Host laufen zu lassen
3.) ob die Trennung hier per VLAN oder virtuellem Switch in Proxmox erfolgen muß.
Hat jemand hierzu noch eine Idee ? Das Ziel ist eine best practise dafür zu finden und den Stromverbrauch gering zu halten, aber das Netzwerk dennoch sicher zu halten.
Danke
derzeit laufen bei mir eine Proxmox Umgebung auf einem 19" Server, eine Pfsense auf einer alten Secure Computing Appliance. Auf dem Proxmox laufen mehrere Maschinen. W-Lan, Kontroller, Hausautomation etc. Nun hätte ich gerne auf eine Cloud über Nextcloud in einer dafür erichteten DMZ liegen.
Ebenfalls verbraucht der Server 70 Watt im Betrieb. Ich würde nun ungerne noch einen weiteren Server für die DMZ anschaffen. Daher meine Überlegung die DMZ ebenfalls auf den Proxmox Server laufen zu lassen. Ebenso würde ich die Pfsense per PCI Passthrough virtualisieren und somit die Appliance (20 Watt Verbrauch) abschalten.
Nun bin ich mir unsicher ob:
1.) eine gute Idee ist die FW zu virtualisieren
2.) es überhaupt geht eine DMZ und das LAN auf einem Host laufen zu lassen
3.) ob die Trennung hier per VLAN oder virtuellem Switch in Proxmox erfolgen muß.
Hat jemand hierzu noch eine Idee ? Das Ziel ist eine best practise dafür zu finden und den Stromverbrauch gering zu halten, aber das Netzwerk dennoch sicher zu halten.
Danke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1234887166
Url: https://administrator.de/contentid/1234887166
Ausgedruckt am: 24.11.2024 um 08:11 Uhr
12 Kommentare
Neuester Kommentar
Ich wollte sowas neulich auf nem Unraid machen (mit OPNsense) und da gabs durchaus auch warnende Stimmen. Weniger wegen der Sicherheit, sondern eher wegen technischer Implikationen, wenn die Firewall inkl vLANS virtuell läuft und ggfs. die einzelnen Komponenten nacheinander starten.
VG
VG
Hallo.
Bedingt > Ausbruch aus der VM eines Angreifers = Hypervisor komprimittiert.
Für eine Heimumgebung aber durchaus machbar.
In den VM Einstellungen bei Proxmox kann man ja beispielsweise auch VLAN IDs an den virtuellen Switches konfigurieren.
Damit sollte die Isolierung auch funktionieren.
Beides möglich und ist wahrscheinlich eine Geschmackssache.
Ich würde mir generell immer den Luxus einer eigenen Appliance für die Firewall leisten.
Ein APU Board reicht für KMU genauso, wie für Heimanwender hier völlig aus und ist mit maximal 12 W auch nicht der Stromfresser.
So bist du was Wartungen an dem Hypervisor angeht unabhängig und beispielsweise das Internet läuft für alle weiter, die nicht an deinem Proxmox hängen (falls der interne DNS Server darauf virtualisiert läuft = andere Geschichte).
Gruß
Marc
Bedingt > Ausbruch aus der VM eines Angreifers = Hypervisor komprimittiert.
Für eine Heimumgebung aber durchaus machbar.
2.) es überhaupt geht eine DMZ und das LAN auf einem Host laufen zu lassen
In den VM Einstellungen bei Proxmox kann man ja beispielsweise auch VLAN IDs an den virtuellen Switches konfigurieren.
Damit sollte die Isolierung auch funktionieren.
3.) ob die Trennung hier per VLAN oder virtuellem Switch in Proxmox erfolgen muß.
Beides möglich und ist wahrscheinlich eine Geschmackssache.
Hat jemand hierzu noch eine Idee ? Das Ziel ist eine best practise dafür zu finden und den Stromverbrauch gering zu halten, aber das Netzwerk dennoch sicher zu halten.
Ich würde mir generell immer den Luxus einer eigenen Appliance für die Firewall leisten.
Ein APU Board reicht für KMU genauso, wie für Heimanwender hier völlig aus und ist mit maximal 12 W auch nicht der Stromfresser.
So bist du was Wartungen an dem Hypervisor angeht unabhängig und beispielsweise das Internet läuft für alle weiter, die nicht an deinem Proxmox hängen (falls der interne DNS Server darauf virtualisiert läuft = andere Geschichte).
Gruß
Marc
Hallo,
ok das mit der eigenen Firewall ist schon richtig. Und 20 Watt sind zwar nicht wenig aber für den Leistungsumfang vollkommen ok.
Danke erstmal für die bisherigen Infos
ok das mit der eigenen Firewall ist schon richtig. Und 20 Watt sind zwar nicht wenig aber für den Leistungsumfang vollkommen ok.
Danke erstmal für die bisherigen Infos
...direkt verliebt 
Danke
Danke
Das nehme ich persönlich 😂
Aber der Preis ist heftig. Für weniger bekommt man schon eine hübsche gebrauchte UTM Firewall Appliance, die auch nicht mehr Strom zieht.
Guten Morgen,
habe es erfolgreich geschafft die FW zu virtualisieren. Per Proxmox und PCI Passtrhrough. Allerdings geht das nicht mit Microserver Gen 8 von HP. Der Kernel muss von Hand gepatcht werden. Daher habe ich es mit meinem X9SCL gemacht.
Thread kann geschlossen werden.
Danke
habe es erfolgreich geschafft die FW zu virtualisieren. Per Proxmox und PCI Passtrhrough. Allerdings geht das nicht mit Microserver Gen 8 von HP. Der Kernel muss von Hand gepatcht werden. Daher habe ich es mit meinem X9SCL gemacht.
Thread kann geschlossen werden.
Danke
Thread kann geschlossen werden.
Das kannst aus guten Gründen nur DU als Thread Owner SELBER !Wie kann ich einen Beitrag als gelöst markieren?
Dein Appell ist somit also etwas sinnfrei...
Warum PCI Passthrough? Hast du eine physische Netzwerkkarte an die VM weiter geleitet? Warum nicht einfach ein eigenes VLAN dafür?
habe ich als gelöst markiert. empfand ich nach dem lesen von mehreren artikeln als best practise. ja habe die nic durchgereicht.
Groß- Kleinschreibung hilft allen !
