frontier
Goto Top

Umsetzung von VLANs und LAGs in pfSense in Kombination mit VM (Proxmox)

Liebe Gemeinde,

testweise würde ich gerne pfSense unter Proxmox installieren und einrichten. Die Hardware hat 4 NICS und wird mit einem Modem (PPPoE) sowie mit einem Switch verbunden (SG300; Layer-2-Betrieb). Eine NIC benötige ich für das WAN, die anderen drei würde ich gerne als LAG mit dem Switch verbinden. Diese würden als Trunk meine VLANs zwischen den Geräten verbinden. Nun komme ich zu meiner Frage. Welche Umsetzung wäre dafür eurer Meinung nach am besten? Bislang ziehe ich die folgenden in Betracht:

1.) Bond auf Proxmox einrichten (3 NICS) sowie Linux Brige. Proxmox-Gui in VLAN isolieren (ebenfalls auf Proxmox eingerichtet). Die anderen VLANs würde ich unter pfSense einrichten und verwalten.
2.) LAG unter pfSense einrichten (entweder mit Linux-Bridges in Proxmox, oder direkt in Proxmox durchreichen)

Ich habe also im Wesentlichen die folgende Fragen:

1.) Wo richte ich die LAG ein (Proxmox oder pfSense)?
2.) Wo richte ich die VLANs ein?
3.) Verwende ich besser Linux-Bridges (wie von Proxmox präferiert), oder reiche ich die Schnittstellen einfach durch?

Meine Fragen beziehen sich sowohl auf Sicherheit, als auch auf Performance.

Vielen Dank im Voraus!

Content-ID: 6283618551

Url: https://administrator.de/contentid/6283618551

Ausgedruckt am: 16.11.2024 um 07:11 Uhr

clubfreund
Lösung clubfreund 31.01.2024 um 09:51:10 Uhr
Goto Top
Moin.

hab ein ähnliches Setup.

1.) Wo richte ich die LAG ein (Proxmox oder pfSense)?

PVE -> Bond/LACP/Layer2+3 ... und den SG300 nicht vergessen face-wink LACP/IP/MAC

2.) Wo richte ich die VLANs ein?

pfsense

3.) Verwende ich besser Linux-Bridges (wie von Proxmox präferiert), oder reiche ich die Schnittstellen einfach durch?

Linux-Bridge. Ist für mich in Verbindung mit Pkt. 1 und 2 einfacher bei Backup/Restore der *sense VM oder Umzug auf andere Hardware.

cf
aqui
aqui 31.01.2024 um 10:28:27 Uhr
Goto Top
Frontier
Frontier 31.01.2024 um 13:57:42 Uhr
Goto Top
@aqui: Danke, die Seiten kenne ich.

@clubfreund: Die beschrieben Umsetzung hatte ich auch bereits ausprobiert.

Kann mir jemand sagen, wo die Vor- und Nachteile bzgl. der Sicherheit und der Performance liegen?

Das VLAN für die Proxmox-Gui definiere ich doch direkt in Proxmox, oder?
C.R.S.
Lösung C.R.S. 31.01.2024 um 17:10:10 Uhr
Goto Top
Hallo,

ich würde die VLANs immer in Proxmox konfigurieren, sprich auf pfSense mit untagged Interfaces arbeiten. Andernfalls wird das Zusammenspiel mit anderen VMs etwas unübersichtlich.

Die Aufteilung der physischen Ports ist nicht direkt erforderlich. Den Aspekt, ein WAN-Modem nicht auf dem Switch, sondern "direkt" an der pfSense zu haben, kann man meines Erachtens vernachlässigen, wenn ohnehin auch ein Hypervisor im Spiel ist. Ein Trunk über das 4-fach-LAG, der Switch koppelt alle VLANs für die physischen Geräte aus, Proxmox die VLANs der VMs.

Grüße
Richard
Frontier
Frontier 01.02.2024 um 17:16:43 Uhr
Goto Top
Vielen Dank für die Antworten!
Vermutlich sind meine Fragen noch nicht konkret genug.

@c.r.s. mir ist bewusst, dass ich alles so wie bei Single-NIC konfigurieren kann, wenn ich einen Bond (LAG) über alle vier Ports verwende.

Ich würde dennoch gerne wissen, welche Variante ihr vor dem Hintergrund Sicherheit und Performance bevorzugen würdet. Natürlich ist Administrierfähigkeit ebenfalls wichtig.
aqui
aqui 01.02.2024 um 17:26:14 Uhr
Goto Top
welche Variante ihr vor dem Hintergrund Sicherheit und Performance bevorzugen würdet.
Sowas zum Beispiel.
clubfreund
clubfreund 02.02.2024 aktualisiert um 09:03:09 Uhr
Goto Top
Zitat von @Frontier:

Ich würde dennoch gerne wissen, welche Variante ihr vor dem Hintergrund Sicherheit und Performance bevorzugen würdet. Natürlich ist Administrierfähigkeit ebenfalls wichtig.

Die Frage nach dem Performaceunterschied zwischen durchgereichter und "virtualisierter" NIC wirst du dir selber mit Tests beantworten müssen. Da gibts, denke ich, zu viele individuelle Faktoren um da pauschal eine Antwort zu geben. Ich hatte da auch etwas recherchiert und auf Reddit, ServeTheHome und in den Foren von OPNSense, Proxmox und unraid auch einiges gefunden, für mich aus o. g. Grund, aber nicht weiter verfolgt.
Frontier
Frontier 02.02.2024 um 10:48:14 Uhr
Goto Top
Vielen Dank für die Antworten!

Meine Zusammenfassung wäre:

1.) Die meisten von euch präferieren, die VLANs direkt in Proxmox zu definieren (einfachere Administrierfähigkeit).
2.) In Hinblick auf Performance scheint es leider auf Trial-and-Error hinauszulaufen - eigentlich nicht so schön. Ich hatte gehofft, es gib bereits Benchmarks. Gefunden habe ich diese jedoch auch nicht.

Abschließende Frage:

3.) Was die Sicherheit anbelangt, so würde ich gerne noch eure Meinung hören. Im Groben sehe ich drei Vorgehensweisen.

  • Wie von C.R.S. vorgeschlagen: Einen LAG mit allen vier Ports und die Trennung von WAN und LAN durch VLANS (Ich fühle mich jedoch mit meinem alten SG300 Switch dabei nicht so wohl, dass WAN über den Switch zu führen).
  • WAN (1 Port) und LAN (3 Ports; ebenfalls LAG) - der Rest wie oben.
  • Wie im Link von Aqui: Hauptrouting im Layer-3-Switch - finde ich eigentlich aufgrund der Funktionalität der Firewall suboptimal.
Frontier
Frontier 02.02.2024 um 12:02:33 Uhr
Goto Top
... doch noch eine zweite Abschlussfrage:

Wie kann ich am besten das fertige Setup in Hinblick auf Sicherheit aus dem Internet testen? Ich hätte nur ungern Lücken im System. Da gibt es doch bestimmt Benchmarks bzw. Skripte.
aqui
Lösung aqui 02.02.2024 aktualisiert um 12:25:03 Uhr
Goto Top
finde ich eigentlich aufgrund der Funktionalität der Firewall suboptimal.
Das kommt auf deine Zielstellung an. Will man maximale Performance dann Routing auf dem Switch weil der das in Silizium macht. Nachteil: ACLs sind nicht Stateful will man Zugriffs Limitierungen.
Gesamtes Routing auf der FW ist dann Stateful allergings ist die Performance über one armed LAG und dazu noch Virtualisierung dann niedriger.
Welchem du Priorität gibst ist dann deine persönliche Entscheidung.
Wie kann ich am besten das fertige Setup in Hinblick auf Sicherheit aus dem Internet testen?
nmap ist, wie immer, dein bester Freund dafür! face-wink
Frontier
Frontier 02.02.2024 um 12:31:00 Uhr
Goto Top
@aqui: Zu Hause ist nicht viel zu routen : - ). Hauptrouting ist zwischen LAN und WAN. Das könnte ich aber so oder so nicht "outsourcen".

Danke an alle!