Umsetzung von VLANs und LAGs in pfSense in Kombination mit VM (Proxmox)
Liebe Gemeinde,
testweise würde ich gerne pfSense unter Proxmox installieren und einrichten. Die Hardware hat 4 NICS und wird mit einem Modem (PPPoE) sowie mit einem Switch verbunden (SG300; Layer-2-Betrieb). Eine NIC benötige ich für das WAN, die anderen drei würde ich gerne als LAG mit dem Switch verbinden. Diese würden als Trunk meine VLANs zwischen den Geräten verbinden. Nun komme ich zu meiner Frage. Welche Umsetzung wäre dafür eurer Meinung nach am besten? Bislang ziehe ich die folgenden in Betracht:
1.) Bond auf Proxmox einrichten (3 NICS) sowie Linux Brige. Proxmox-Gui in VLAN isolieren (ebenfalls auf Proxmox eingerichtet). Die anderen VLANs würde ich unter pfSense einrichten und verwalten.
2.) LAG unter pfSense einrichten (entweder mit Linux-Bridges in Proxmox, oder direkt in Proxmox durchreichen)
Ich habe also im Wesentlichen die folgende Fragen:
1.) Wo richte ich die LAG ein (Proxmox oder pfSense)?
2.) Wo richte ich die VLANs ein?
3.) Verwende ich besser Linux-Bridges (wie von Proxmox präferiert), oder reiche ich die Schnittstellen einfach durch?
Meine Fragen beziehen sich sowohl auf Sicherheit, als auch auf Performance.
Vielen Dank im Voraus!
testweise würde ich gerne pfSense unter Proxmox installieren und einrichten. Die Hardware hat 4 NICS und wird mit einem Modem (PPPoE) sowie mit einem Switch verbunden (SG300; Layer-2-Betrieb). Eine NIC benötige ich für das WAN, die anderen drei würde ich gerne als LAG mit dem Switch verbinden. Diese würden als Trunk meine VLANs zwischen den Geräten verbinden. Nun komme ich zu meiner Frage. Welche Umsetzung wäre dafür eurer Meinung nach am besten? Bislang ziehe ich die folgenden in Betracht:
1.) Bond auf Proxmox einrichten (3 NICS) sowie Linux Brige. Proxmox-Gui in VLAN isolieren (ebenfalls auf Proxmox eingerichtet). Die anderen VLANs würde ich unter pfSense einrichten und verwalten.
2.) LAG unter pfSense einrichten (entweder mit Linux-Bridges in Proxmox, oder direkt in Proxmox durchreichen)
Ich habe also im Wesentlichen die folgende Fragen:
1.) Wo richte ich die LAG ein (Proxmox oder pfSense)?
2.) Wo richte ich die VLANs ein?
3.) Verwende ich besser Linux-Bridges (wie von Proxmox präferiert), oder reiche ich die Schnittstellen einfach durch?
Meine Fragen beziehen sich sowohl auf Sicherheit, als auch auf Performance.
Vielen Dank im Voraus!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6283618551
Url: https://administrator.de/forum/umsetzung-von-vlans-und-lags-in-pfsense-in-kombination-mit-vm-proxmox-6283618551.html
Ausgedruckt am: 21.12.2024 um 16:12 Uhr
11 Kommentare
Neuester Kommentar
Moin.
hab ein ähnliches Setup.
PVE -> Bond/LACP/Layer2+3 ... und den SG300 nicht vergessen LACP/IP/MAC
pfsense
Linux-Bridge. Ist für mich in Verbindung mit Pkt. 1 und 2 einfacher bei Backup/Restore der *sense VM oder Umzug auf andere Hardware.
cf
hab ein ähnliches Setup.
1.) Wo richte ich die LAG ein (Proxmox oder pfSense)?
PVE -> Bond/LACP/Layer2+3 ... und den SG300 nicht vergessen LACP/IP/MAC
2.) Wo richte ich die VLANs ein?
pfsense
3.) Verwende ich besser Linux-Bridges (wie von Proxmox präferiert), oder reiche ich die Schnittstellen einfach durch?
Linux-Bridge. Ist für mich in Verbindung mit Pkt. 1 und 2 einfacher bei Backup/Restore der *sense VM oder Umzug auf andere Hardware.
cf
Ggf. auch lesenswert zu der Thematik:
Link Aggregation (LAG) im Netzwerk
Pfsense in Proxmox als Router
Firewall VM Setup Proxmox
Link Aggregation (LAG) im Netzwerk
Pfsense in Proxmox als Router
Firewall VM Setup Proxmox
Hallo,
ich würde die VLANs immer in Proxmox konfigurieren, sprich auf pfSense mit untagged Interfaces arbeiten. Andernfalls wird das Zusammenspiel mit anderen VMs etwas unübersichtlich.
Die Aufteilung der physischen Ports ist nicht direkt erforderlich. Den Aspekt, ein WAN-Modem nicht auf dem Switch, sondern "direkt" an der pfSense zu haben, kann man meines Erachtens vernachlässigen, wenn ohnehin auch ein Hypervisor im Spiel ist. Ein Trunk über das 4-fach-LAG, der Switch koppelt alle VLANs für die physischen Geräte aus, Proxmox die VLANs der VMs.
Grüße
Richard
ich würde die VLANs immer in Proxmox konfigurieren, sprich auf pfSense mit untagged Interfaces arbeiten. Andernfalls wird das Zusammenspiel mit anderen VMs etwas unübersichtlich.
Die Aufteilung der physischen Ports ist nicht direkt erforderlich. Den Aspekt, ein WAN-Modem nicht auf dem Switch, sondern "direkt" an der pfSense zu haben, kann man meines Erachtens vernachlässigen, wenn ohnehin auch ein Hypervisor im Spiel ist. Ein Trunk über das 4-fach-LAG, der Switch koppelt alle VLANs für die physischen Geräte aus, Proxmox die VLANs der VMs.
Grüße
Richard
welche Variante ihr vor dem Hintergrund Sicherheit und Performance bevorzugen würdet.
Sowas zum Beispiel.Zitat von @Frontier:
Ich würde dennoch gerne wissen, welche Variante ihr vor dem Hintergrund Sicherheit und Performance bevorzugen würdet. Natürlich ist Administrierfähigkeit ebenfalls wichtig.
Ich würde dennoch gerne wissen, welche Variante ihr vor dem Hintergrund Sicherheit und Performance bevorzugen würdet. Natürlich ist Administrierfähigkeit ebenfalls wichtig.
Die Frage nach dem Performaceunterschied zwischen durchgereichter und "virtualisierter" NIC wirst du dir selber mit Tests beantworten müssen. Da gibts, denke ich, zu viele individuelle Faktoren um da pauschal eine Antwort zu geben. Ich hatte da auch etwas recherchiert und auf Reddit, ServeTheHome und in den Foren von OPNSense, Proxmox und unraid auch einiges gefunden, für mich aus o. g. Grund, aber nicht weiter verfolgt.
finde ich eigentlich aufgrund der Funktionalität der Firewall suboptimal.
Das kommt auf deine Zielstellung an. Will man maximale Performance dann Routing auf dem Switch weil der das in Silizium macht. Nachteil: ACLs sind nicht Stateful will man Zugriffs Limitierungen.Gesamtes Routing auf der FW ist dann Stateful allergings ist die Performance über one armed LAG und dazu noch Virtualisierung dann niedriger.
Welchem du Priorität gibst ist dann deine persönliche Entscheidung.
Wie kann ich am besten das fertige Setup in Hinblick auf Sicherheit aus dem Internet testen?
nmap ist, wie immer, dein bester Freund dafür!