deethree
Goto Top

LAN,WAN,DMZ und Firewall auf einem Server

Hallo zusammen,

derzeit laufen bei mir eine Proxmox Umgebung auf einem 19" Server, eine Pfsense auf einer alten Secure Computing Appliance. Auf dem Proxmox laufen mehrere Maschinen. W-Lan, Kontroller, Hausautomation etc. Nun hätte ich gerne auf eine Cloud über Nextcloud in einer dafür erichteten DMZ liegen.

Ebenfalls verbraucht der Server 70 Watt im Betrieb. Ich würde nun ungerne noch einen weiteren Server für die DMZ anschaffen. Daher meine Überlegung die DMZ ebenfalls auf den Proxmox Server laufen zu lassen. Ebenso würde ich die Pfsense per PCI Passthrough virtualisieren und somit die Appliance (20 Watt Verbrauch) abschalten.

Nun bin ich mir unsicher ob:

1.) eine gute Idee ist die FW zu virtualisieren
2.) es überhaupt geht eine DMZ und das LAN auf einem Host laufen zu lassen
3.) ob die Trennung hier per VLAN oder virtuellem Switch in Proxmox erfolgen muß.

Hat jemand hierzu noch eine Idee ? Das Ziel ist eine best practise dafür zu finden und den Stromverbrauch gering zu halten, aber das Netzwerk dennoch sicher zu halten.

Danke

Content-ID: 1234887166

Url: https://administrator.de/forum/lan-wan-dmz-und-firewall-auf-einem-server-1234887166.html

Ausgedruckt am: 27.12.2024 um 04:12 Uhr

Visucius
Visucius 07.09.2021 um 12:21:13 Uhr
Goto Top
Ich wollte sowas neulich auf nem Unraid machen (mit OPNsense) und da gabs durchaus auch warnende Stimmen. Weniger wegen der Sicherheit, sondern eher wegen technischer Implikationen, wenn die Firewall inkl vLANS virtuell läuft und ggfs. die einzelnen Komponenten nacheinander starten.

VG
radiogugu
radiogugu 07.09.2021 aktualisiert um 12:34:55 Uhr
Goto Top
Hallo.

Zitat von @deethree:
1.) eine gute Idee ist die FW zu virtualisieren

Bedingt > Ausbruch aus der VM eines Angreifers = Hypervisor komprimittiert.

Für eine Heimumgebung aber durchaus machbar.

2.) es überhaupt geht eine DMZ und das LAN auf einem Host laufen zu lassen

In den VM Einstellungen bei Proxmox kann man ja beispielsweise auch VLAN IDs an den virtuellen Switches konfigurieren.

Damit sollte die Isolierung auch funktionieren.

3.) ob die Trennung hier per VLAN oder virtuellem Switch in Proxmox erfolgen muß.

Beides möglich und ist wahrscheinlich eine Geschmackssache.

Hat jemand hierzu noch eine Idee ? Das Ziel ist eine best practise dafür zu finden und den Stromverbrauch gering zu halten, aber das Netzwerk dennoch sicher zu halten.

Ich würde mir generell immer den Luxus einer eigenen Appliance für die Firewall leisten.

Ein APU Board reicht für KMU genauso, wie für Heimanwender hier völlig aus und ist mit maximal 12 W auch nicht der Stromfresser.

So bist du was Wartungen an dem Hypervisor angeht unabhängig und beispielsweise das Internet läuft für alle weiter, die nicht an deinem Proxmox hängen (falls der interne DNS Server darauf virtualisiert läuft = andere Geschichte).

Gruß
Marc
deethree
deethree 07.09.2021 um 13:15:55 Uhr
Goto Top
Hallo,

ok das mit der eigenen Firewall ist schon richtig. Und 20 Watt sind zwar nicht wenig aber für den Leistungsumfang vollkommen ok.

Danke erstmal für die bisherigen Infos
Visucius
Visucius 07.09.2021 um 17:30:44 Uhr
Goto Top
deethree
deethree 07.09.2021 um 20:18:57 Uhr
Goto Top
...direkt verliebt face-smile

Danke
Visucius
Visucius 07.09.2021 um 20:34:06 Uhr
Goto Top
Zitat von @deethree:

...direkt verliebt face-smile

Danke

Das nehme ich persönlich 😂
NordicMike
NordicMike 08.09.2021 um 09:49:10 Uhr
Goto Top
Aber der Preis ist heftig. Für weniger bekommt man schon eine hübsche gebrauchte UTM Firewall Appliance, die auch nicht mehr Strom zieht.
deethree
deethree 11.10.2021 um 10:34:11 Uhr
Goto Top
Guten Morgen,

habe es erfolgreich geschafft die FW zu virtualisieren. Per Proxmox und PCI Passtrhrough. Allerdings geht das nicht mit Microserver Gen 8 von HP. Der Kernel muss von Hand gepatcht werden. Daher habe ich es mit meinem X9SCL gemacht.

Thread kann geschlossen werden.

Danke
aqui
aqui 11.10.2021 aktualisiert um 11:11:52 Uhr
Goto Top
Thread kann geschlossen werden.
Das kannst aus guten Gründen nur DU als Thread Owner SELBER !
Wie kann ich einen Beitrag als gelöst markieren?
Dein Appell ist somit also etwas sinnfrei... face-wink
NordicMike
NordicMike 11.10.2021 aktualisiert um 11:15:03 Uhr
Goto Top
Warum PCI Passthrough? Hast du eine physische Netzwerkkarte an die VM weiter geleitet? Warum nicht einfach ein eigenes VLAN dafür?
deethree
deethree 11.10.2021 um 13:42:32 Uhr
Goto Top
habe ich als gelöst markiert. empfand ich nach dem lesen von mehreren artikeln als best practise. ja habe die nic durchgereicht.
aqui
aqui 11.10.2021 um 17:34:30 Uhr
Goto Top
Groß- Kleinschreibung hilft allen !