derhahntrut
Goto Top

VM Pfsense mit WAN auf Hyper-V

Hallo

System:
Windows Server 2012 R2 Datacenter 64bit
Hyper-V aktiviert

Ich möchte eine VM erstellen auf dieser sollte PFsense installiert werden.
Nun werde ich der Pfsense einen "WAN" Port zuweisen worüber auch wirklich eine öffentliche Adresse ankommen wird.

Wie es sich handhabt bei den Einstellungen der virtuellen Netzwerkkarten bei der VM Pfsense ist mir klar.
Was macht aber das Windows mit dem Ethernet Port wo dann der öffentliche Anschluss daherkommt?
Bin ich dann direkt im öffentliche Netz mit dem Host? (windows Server)
Das öffentliche Netz möchte ich aber nur in der PFsense / WAN port haben.
Gibt es eine möglichkeit, einen Ethernet Port direkt einer virtuellen Maschine zuzuweisen ohne das der Windows server "dazwischen" steht.

Sicherheitstechnisch ist es doch nicht tragbar, eine öffentliche Adresse direkt am Windows Server zu haben.

zum Vergleich:

Gleiches Szenario mit einem Esxi ist kein Problem, da der Host (ESXI) meines Wissens nichts mit den Ethernetport anstellt oder kontrolliert, sondern nur erkennt ob Link vorhanden ist oder nicht. Die "päckli" werden dann erst in einer virtuellen Maschine geöffnet.

Kurzgesagt:
Ich möchte ein WAN Anschluss direkt in eine Virtuelle Maschine schicken ohne das Windows mitbekommt was auf dem Anschluss passiert.

Besten Dank im Voraus


PS: Es ist spät, hoffe dennoch man versteht um was es geht face-smile

Content-ID: 282785

Url: https://administrator.de/forum/vm-pfsense-mit-wan-auf-hyper-v-282785.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

aqui
Lösung aqui 14.09.2015, aktualisiert am 16.09.2015 um 09:29:02 Uhr
Goto Top
Das öffentliche Netz möchte ich aber nur in der PFsense / WAN port haben.
Quadratur des Kreises was so nicht geht, klar.
Mit der Benutzung einer VM musst du ja das öffentliche Internet irgendwo ins Innere des Hypervisors lassen. Ein oder DER gravierende nachteil von Firewalls in einer VM. Eigentlich ein NoGo, denn bricht das da aus hast du den Super GAU.
Machbar ist es aber dennoch...
Bin ich dann direkt im öffentliche Netz mit dem Host?
Jein ! Du richtest ja im Hyper V einen dedizierten und vollkommen isoliertem vSwitch einem physischen Netzwerkkarten Port zu und an diesen vSwitch hängst du dann den WAN Port.
So ist das öffentliche Netz intern vollkommen isoliert und so ist die Vorgehensweise.
Bedenke aber immer das diese Isolation rein auf einem Stück Software beruht. Schafft jemand dort auszubrechen hast du natürlich ein Problem aber diese Kröte musst du bzw. willst du ja mit dem Einsatz einer FW in einer VM ja bewusst schlucken !
Heul also nicht und sei ein Admin ! Owohl Letzterer wenn er wirklich einer ist sowas aus den genannten Gründen nicht machen würde.
Es gibt ja durchaus Alternativen in HW:
PfSense auf APU1D4 Board mit mSata und 5-ghz WLAN - Erfahrungsbericht
und
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
DerHahntrut
DerHahntrut 14.09.2015 um 02:23:40 Uhr
Goto Top
Guten abend.
Danke fürs Antworten

Spielt es somit keine rolle ob hyper v oder esxi in bezug zu deinen punkten bzgl sicherheit? Wenn ausgebrochen werden könnte aus dem vswitch welches system hat mehr sicherheit?

Es ist ein Labor zum testen.
Habe hier nur einen Server mit potenter hardware. Ein apu besitze ich schon, doch diese schafft es nicht 1gb übers NAT zu schicken (ca 300mbit) Das Netzwerk sowie WAN sind 1gb.

Schönste Lösung wäre nat. eine weitere Kiste wo die pfsense lokal läuft und genug leistung hat. Momentan steht das jedoch (noch) nicht zur option.

Gruss

Gesendet vom mobile
108012
108012 14.09.2015 um 08:17:28 Uhr
Goto Top
Hallo zusammen,

Spielt es somit keine rolle ob hyper v oder esxi in bezug zu deinen punkten bzgl sicherheit?
Beides ist ###e! Nur wenn ich einen richtig fetten Server habe und dort nur ein VM drauf packe und das ist dann die VM mit der pfSense ist das in Ordnung und meistens ist dann
auch ein zweiter Server mit einer zweiten VM (pfSense) mit im Spiel und es handelt sich
auch um eine richtig große Firma! Dann mittels CARP lässt sich dann schon richtig was
aufziehen und auch richtig was über das Kabel wuppen!

Wenn ausgebrochen werden könnte aus dem vswitch welches system hat
mehr sicherheit?
Wenn ausgebrochen wird ist beides unsicher!

Es ist ein Labor zum testen.
Habe hier nur einen Server mit potenter hardware.
Zum testen kann man das sicherlich machen um sich die Hardware zu sparen
nur es sollte dann auch beim testen bleiben und nicht als produktiv System arbeiten.

Ein apu besitze ich schon, doch diese schafft es nicht 1gb übers NAT zu schicken
(ca 300mbit) Das Netzwerk sowie WAN sind 1gb.
Nein eine 1 GBit/s WAN Verbindung schafft sie nicht aber immerhin schon einmal
650 GBIt/s - 750 MBit/s als reinen Durchsatz und den Overhead noch drauf gerechnet
dann passt es schon fast, aber wie schon gesagt satte 1 GBit/s schafft es nicht!

Man misst aber auch mittels iPerf und von einem PC zu einem anderen PC und nur
durch die pfSense "durch" um so etwas zu ermitteln. Zum Anderen gibt es auch immer
Brutto und Netto Durchsatzraten und bei einer 1 GBit/s WAN Verbindung wirst Du nie
volle 1 GBit/s erhalten, denn den Anschluss bei Deinem Provider teilst Du Dir ja mit
mehreren anderen Kunden von Ihm.

Aktiviere mal bitte PowerD (high adaptive) und dann teste das noch einmal mit
dem Durchsatz, ohne PowerD hatten wir auch nur ~450 MBit/s und danach um die
~ 650 MBit/s - 750 MBit/s.

Schönste Lösung wäre nat. eine weitere Kiste wo die pfsense lokal läuft
und genug leistung hat. Momentan steht das jedoch (noch) nicht zur option.
Was heißt genug Leistung und wofür denn?
- 1 GBit/s WAN Anbindung alleine?
- 1 GBit/s & VPN & Snort & Squid & SquidGuard & DPI & SARG & 500 weitere Pakete?

Supermicro C2358 ~250/250 & wenig VPN aber guter Durchsatz
PC Engines APU ~bis 500/500 & wenig VPN & Snort
Intel G3260T @3,2GHz (mini ITX) ~1 GBit/s & wenig VPN & Snort
Jetway 2930N mini ITX barebone ~1 GBit/s & mehr VPN & Snort & Squid & SquidGuard
Supermicro C2558 & C2758 ~1 GBit/s & viel VPN & Snort & Squid & SquidGuard
Intel Xeon D-1520/40 ~multiple 1 GBit/s & viel VPN & Snort & Squid & SquidGuard
Intel Xeon E3-12xx zur Zeit unschlagbar aber zieht auch ordentlich Strom!
Damit geht aber alles und auch mit einem super Durchsatz und einer super Reaktion.

LANNER FW-889x Appliance für eine oder mehrere Firewall oder Router VMs

Gruß
Dobby
aqui
aqui 14.09.2015 aktualisiert um 08:34:31 Uhr
Goto Top
Spielt es somit keine rolle ob hyper v oder esxi in bezug zu deinen punkten bzgl sicherheit?
Warum sollte es deiner Meinung nach eine Rolle spielen ?? Es ist doch auch egal ob du in einem BMW, Mercedes oder VW auf der Autobahn fährst.
Die generelle Problematik bei VM basierten FWs ist das die Gefahr des Ausbruchs passieren kann und dann hast du ein öffentliches Netzwerk da wo man es nicht haben will. Da ist es dann natürlich "Latte" welchen Hypervisor du einsetzt, das prinzip bleibt ja immer gleich (siehe Autos und Autobahn !).

Generell funktioniert das und kann man so machen aber es bleibt immer ein gewisses Restrisiko gegenüber dedizierter HW, das leuchtet dir sicher ein.
Kiste wo die pfsense lokal läuft und genug leistung hat. Momentan steht das jedoch (noch) nicht zur option.
Warum steht denn das nicht zur Option ? Was ist der Grund ? Gibt es technische Ursachen dafür oder ist es mal wieder das liebe Geld ? Wenn letzteres musst du dich natürlich generell mal fragen was dir die Netzwerk Sicherheit bzw. Sicherheit deiner Daten wert ist.
Eine preiswerte Plattform (wenn es denn ums Geld geht) ist ein APU1D von ALIX, alternativ wenn deine WAN / Internet Anbindung nicht höher als 100 Mbit/s liegt auch ein etwas preiswerteres 2D13 vom gleichen Hersteller.
PfSense auf APU1D4 Board mit mSata und 5-ghz WLAN - Erfahrungsbericht

Oder....du nimmst erstmal das Risiko in Kauf und setzt es so um wie oben beschrieben mit deiner VM....
DerHahntrut
DerHahntrut 16.09.2015 aktualisiert um 09:50:52 Uhr
Goto Top
Hallo aqui

Es handelt sich um ein Labor (testumgebung). Es wurde ein server zur verfügung gestellt. Ich möchte mir keine hürdestellen bzgl. Leistung der firewall. Recherchen aben ergeben, dass die alix apu einfach keine 1gb hinbringt sowieso dann nicht wenn zb speziellere protokolle angewendet werden. Da es ein Labor ist, ist es mir wichtig in der sache leistung keinen engpass zu haben.

Zum thema/ Allgemeine Info:
Kann das projekt abschliessen. Fw in der vm auf hyper v funktioniert einwandfrei. Die nics welche per vswitch der vm (pfsense) zugewiesen wurden sieht man zwar in der netzwerumgebung jedoch in den eigenschaften verstehen diese kein ipv4 und 6 mehr sondern nur noch ein ms hyper v tunneling protokoll /vswitch protokoll. Es lässt sich auch nicht manuell das ipv4 oder ipv6 protokoll nachinstallieren!

Ich denke das problem der sicherheit bei windows server hyper v ist jenes, dass wenn ausgebrochen wird, direkt ein vollumfängliches gui und os "zur verfügung steht" was beim esxi sehr abgespeckt daher kommt. Ein anderes thema wäre nat. hyper-v core installation. Dein input bzgl. Sicherheit und kleiner seitenhieb dassdas ein admin nicht tun sollte habe ich verstandenface-smile Bei einer "wichtigeren" installation wird nat. die pfsense lokal auf einem dedizierten server hochgezogen.

Jetzt habe ich verstanden wie es bei hyper v gelöst wird. Esxi ist da zwar bisschen einfacher / logischer aber hyper-v ist auch eine ganz feine sache. Bin gespannt auf den hyper-v 2016. Angeblich sollte da der ganze netzwerkstack umgebaut sein und es soll episch werdenface-smile

Danke für deine Hilfe
Gruss Der Hahn

Auf dem smartphone getippt...
aqui
aqui 16.09.2015 um 20:22:05 Uhr
Goto Top