6
VM Pfsense mit WAN auf Hyper-V
Hallo
System:
Windows Server 2012 R2 Datacenter 64bit
Hyper-V aktiviert
Ich möchte eine VM erstellen auf dieser sollte PFsense installiert werden.
Nun werde ich der Pfsense einen "WAN" Port zuweisen worüber auch wirklich eine öffentliche Adresse ankommen wird.
Wie es sich handhabt bei den Einstellungen der virtuellen Netzwerkkarten bei der VM Pfsense ist mir klar.
Was macht aber das Windows mit dem Ethernet Port wo dann der öffentliche Anschluss daherkommt?
Bin ich dann direkt im öffentliche Netz mit dem Host? (windows Server)
Das öffentliche Netz möchte ich aber nur in der PFsense / WAN port haben.
Gibt es eine möglichkeit, einen Ethernet Port direkt einer virtuellen Maschine zuzuweisen ohne das der Windows server "dazwischen" steht.
Sicherheitstechnisch ist es doch nicht tragbar, eine öffentliche Adresse direkt am Windows Server zu haben.
zum Vergleich:
Gleiches Szenario mit einem Esxi ist kein Problem, da der Host (ESXI) meines Wissens nichts mit den Ethernetport anstellt oder kontrolliert, sondern nur erkennt ob Link vorhanden ist oder nicht. Die "päckli" werden dann erst in einer virtuellen Maschine geöffnet.
Kurzgesagt:
Ich möchte ein WAN Anschluss direkt in eine Virtuelle Maschine schicken ohne das Windows mitbekommt was auf dem Anschluss passiert.
Besten Dank im Voraus
PS: Es ist spät, hoffe dennoch man versteht um was es geht
System:
Windows Server 2012 R2 Datacenter 64bit
Hyper-V aktiviert
Ich möchte eine VM erstellen auf dieser sollte PFsense installiert werden.
Nun werde ich der Pfsense einen "WAN" Port zuweisen worüber auch wirklich eine öffentliche Adresse ankommen wird.
Wie es sich handhabt bei den Einstellungen der virtuellen Netzwerkkarten bei der VM Pfsense ist mir klar.
Was macht aber das Windows mit dem Ethernet Port wo dann der öffentliche Anschluss daherkommt?
Bin ich dann direkt im öffentliche Netz mit dem Host? (windows Server)
Das öffentliche Netz möchte ich aber nur in der PFsense / WAN port haben.
Gibt es eine möglichkeit, einen Ethernet Port direkt einer virtuellen Maschine zuzuweisen ohne das der Windows server "dazwischen" steht.
Sicherheitstechnisch ist es doch nicht tragbar, eine öffentliche Adresse direkt am Windows Server zu haben.
zum Vergleich:
Gleiches Szenario mit einem Esxi ist kein Problem, da der Host (ESXI) meines Wissens nichts mit den Ethernetport anstellt oder kontrolliert, sondern nur erkennt ob Link vorhanden ist oder nicht. Die "päckli" werden dann erst in einer virtuellen Maschine geöffnet.
Kurzgesagt:
Ich möchte ein WAN Anschluss direkt in eine Virtuelle Maschine schicken ohne das Windows mitbekommt was auf dem Anschluss passiert.
Besten Dank im Voraus
PS: Es ist spät, hoffe dennoch man versteht um was es geht
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 282785
Url: https://administrator.de/contentid/282785
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
6 Kommentare
Neuester Kommentar
Das öffentliche Netz möchte ich aber nur in der PFsense / WAN port haben.
Quadratur des Kreises was so nicht geht, klar.Mit der Benutzung einer VM musst du ja das öffentliche Internet irgendwo ins Innere des Hypervisors lassen. Ein oder DER gravierende nachteil von Firewalls in einer VM. Eigentlich ein NoGo, denn bricht das da aus hast du den Super GAU.
Machbar ist es aber dennoch...
Bin ich dann direkt im öffentliche Netz mit dem Host?
Jein ! Du richtest ja im Hyper V einen dedizierten und vollkommen isoliertem vSwitch einem physischen Netzwerkkarten Port zu und an diesen vSwitch hängst du dann den WAN Port.So ist das öffentliche Netz intern vollkommen isoliert und so ist die Vorgehensweise.
Bedenke aber immer das diese Isolation rein auf einem Stück Software beruht. Schafft jemand dort auszubrechen hast du natürlich ein Problem aber diese Kröte musst du bzw. willst du ja mit dem Einsatz einer FW in einer VM ja bewusst schlucken !
Heul also nicht und sei ein Admin ! Owohl Letzterer wenn er wirklich einer ist sowas aus den genannten Gründen nicht machen würde.
Es gibt ja durchaus Alternativen in HW:
PfSense auf APU1D4 Board mit mSata und 5-ghz WLAN - Erfahrungsbericht
und
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Guten abend.
Danke fürs Antworten
Spielt es somit keine rolle ob hyper v oder esxi in bezug zu deinen punkten bzgl sicherheit? Wenn ausgebrochen werden könnte aus dem vswitch welches system hat mehr sicherheit?
Es ist ein Labor zum testen.
Habe hier nur einen Server mit potenter hardware. Ein apu besitze ich schon, doch diese schafft es nicht 1gb übers NAT zu schicken (ca 300mbit) Das Netzwerk sowie WAN sind 1gb.
Schönste Lösung wäre nat. eine weitere Kiste wo die pfsense lokal läuft und genug leistung hat. Momentan steht das jedoch (noch) nicht zur option.
Gruss
Gesendet vom mobile
Danke fürs Antworten
Spielt es somit keine rolle ob hyper v oder esxi in bezug zu deinen punkten bzgl sicherheit? Wenn ausgebrochen werden könnte aus dem vswitch welches system hat mehr sicherheit?
Es ist ein Labor zum testen.
Habe hier nur einen Server mit potenter hardware. Ein apu besitze ich schon, doch diese schafft es nicht 1gb übers NAT zu schicken (ca 300mbit) Das Netzwerk sowie WAN sind 1gb.
Schönste Lösung wäre nat. eine weitere Kiste wo die pfsense lokal läuft und genug leistung hat. Momentan steht das jedoch (noch) nicht zur option.
Gruss
Gesendet vom mobile
Hallo zusammen,
auch ein zweiter Server mit einer zweiten VM (pfSense) mit im Spiel und es handelt sich
auch um eine richtig große Firma! Dann mittels CARP lässt sich dann schon richtig was
aufziehen und auch richtig was über das Kabel wuppen!
nur es sollte dann auch beim testen bleiben und nicht als produktiv System arbeiten.
650 GBIt/s - 750 MBit/s als reinen Durchsatz und den Overhead noch drauf gerechnet
dann passt es schon fast, aber wie schon gesagt satte 1 GBit/s schafft es nicht!
Man misst aber auch mittels iPerf und von einem PC zu einem anderen PC und nur
durch die pfSense "durch" um so etwas zu ermitteln. Zum Anderen gibt es auch immer
Brutto und Netto Durchsatzraten und bei einer 1 GBit/s WAN Verbindung wirst Du nie
volle 1 GBit/s erhalten, denn den Anschluss bei Deinem Provider teilst Du Dir ja mit
mehreren anderen Kunden von Ihm.
Aktiviere mal bitte PowerD (high adaptive) und dann teste das noch einmal mit
dem Durchsatz, ohne PowerD hatten wir auch nur ~450 MBit/s und danach um die
~ 650 MBit/s - 750 MBit/s.
- 1 GBit/s WAN Anbindung alleine?
- 1 GBit/s & VPN & Snort & Squid & SquidGuard & DPI & SARG & 500 weitere Pakete?
Supermicro C2358 ~250/250 & wenig VPN aber guter Durchsatz
PC Engines APU ~bis 500/500 & wenig VPN & Snort
Intel G3260T @3,2GHz (mini ITX) ~1 GBit/s & wenig VPN & Snort
Jetway 2930N mini ITX barebone ~1 GBit/s & mehr VPN & Snort & Squid & SquidGuard
Supermicro C2558 & C2758 ~1 GBit/s & viel VPN & Snort & Squid & SquidGuard
Intel Xeon D-1520/40 ~multiple 1 GBit/s & viel VPN & Snort & Squid & SquidGuard
Intel Xeon E3-12xx zur Zeit unschlagbar aber zieht auch ordentlich Strom!
Damit geht aber alles und auch mit einem super Durchsatz und einer super Reaktion.
LANNER FW-889x Appliance für eine oder mehrere Firewall oder Router VMs
Gruß
Dobby
Spielt es somit keine rolle ob hyper v oder esxi in bezug zu deinen punkten bzgl sicherheit?
Beides ist ###e! Nur wenn ich einen richtig fetten Server habe und dort nur ein VM drauf packe und das ist dann die VM mit der pfSense ist das in Ordnung und meistens ist dannauch ein zweiter Server mit einer zweiten VM (pfSense) mit im Spiel und es handelt sich
auch um eine richtig große Firma! Dann mittels CARP lässt sich dann schon richtig was
aufziehen und auch richtig was über das Kabel wuppen!
Wenn ausgebrochen werden könnte aus dem vswitch welches system hat
mehr sicherheit?
Wenn ausgebrochen wird ist beides unsicher!mehr sicherheit?
Es ist ein Labor zum testen.
Habe hier nur einen Server mit potenter hardware.
Zum testen kann man das sicherlich machen um sich die Hardware zu sparenHabe hier nur einen Server mit potenter hardware.
nur es sollte dann auch beim testen bleiben und nicht als produktiv System arbeiten.
Ein apu besitze ich schon, doch diese schafft es nicht 1gb übers NAT zu schicken
(ca 300mbit) Das Netzwerk sowie WAN sind 1gb.
Nein eine 1 GBit/s WAN Verbindung schafft sie nicht aber immerhin schon einmal(ca 300mbit) Das Netzwerk sowie WAN sind 1gb.
650 GBIt/s - 750 MBit/s als reinen Durchsatz und den Overhead noch drauf gerechnet
dann passt es schon fast, aber wie schon gesagt satte 1 GBit/s schafft es nicht!
Man misst aber auch mittels iPerf und von einem PC zu einem anderen PC und nur
durch die pfSense "durch" um so etwas zu ermitteln. Zum Anderen gibt es auch immer
Brutto und Netto Durchsatzraten und bei einer 1 GBit/s WAN Verbindung wirst Du nie
volle 1 GBit/s erhalten, denn den Anschluss bei Deinem Provider teilst Du Dir ja mit
mehreren anderen Kunden von Ihm.
Aktiviere mal bitte PowerD (high adaptive) und dann teste das noch einmal mit
dem Durchsatz, ohne PowerD hatten wir auch nur ~450 MBit/s und danach um die
~ 650 MBit/s - 750 MBit/s.
Schönste Lösung wäre nat. eine weitere Kiste wo die pfsense lokal läuft
und genug leistung hat. Momentan steht das jedoch (noch) nicht zur option.
Was heißt genug Leistung und wofür denn?und genug leistung hat. Momentan steht das jedoch (noch) nicht zur option.
- 1 GBit/s WAN Anbindung alleine?
- 1 GBit/s & VPN & Snort & Squid & SquidGuard & DPI & SARG & 500 weitere Pakete?
Supermicro C2358 ~250/250 & wenig VPN aber guter Durchsatz
PC Engines APU ~bis 500/500 & wenig VPN & Snort
Intel G3260T @3,2GHz (mini ITX) ~1 GBit/s & wenig VPN & Snort
Jetway 2930N mini ITX barebone ~1 GBit/s & mehr VPN & Snort & Squid & SquidGuard
Supermicro C2558 & C2758 ~1 GBit/s & viel VPN & Snort & Squid & SquidGuard
Intel Xeon D-1520/40 ~multiple 1 GBit/s & viel VPN & Snort & Squid & SquidGuard
Intel Xeon E3-12xx zur Zeit unschlagbar aber zieht auch ordentlich Strom!
Damit geht aber alles und auch mit einem super Durchsatz und einer super Reaktion.
LANNER FW-889x Appliance für eine oder mehrere Firewall oder Router VMs
Gruß
Dobby
Spielt es somit keine rolle ob hyper v oder esxi in bezug zu deinen punkten bzgl sicherheit?
Warum sollte es deiner Meinung nach eine Rolle spielen ?? Es ist doch auch egal ob du in einem BMW, Mercedes oder VW auf der Autobahn fährst.Die generelle Problematik bei VM basierten FWs ist das die Gefahr des Ausbruchs passieren kann und dann hast du ein öffentliches Netzwerk da wo man es nicht haben will. Da ist es dann natürlich "Latte" welchen Hypervisor du einsetzt, das prinzip bleibt ja immer gleich (siehe Autos und Autobahn !).
Generell funktioniert das und kann man so machen aber es bleibt immer ein gewisses Restrisiko gegenüber dedizierter HW, das leuchtet dir sicher ein.
Kiste wo die pfsense lokal läuft und genug leistung hat. Momentan steht das jedoch (noch) nicht zur option.
Warum steht denn das nicht zur Option ? Was ist der Grund ? Gibt es technische Ursachen dafür oder ist es mal wieder das liebe Geld ? Wenn letzteres musst du dich natürlich generell mal fragen was dir die Netzwerk Sicherheit bzw. Sicherheit deiner Daten wert ist.Eine preiswerte Plattform (wenn es denn ums Geld geht) ist ein APU1D von ALIX, alternativ wenn deine WAN / Internet Anbindung nicht höher als 100 Mbit/s liegt auch ein etwas preiswerteres 2D13 vom gleichen Hersteller.
PfSense auf APU1D4 Board mit mSata und 5-ghz WLAN - Erfahrungsbericht
Oder....du nimmst erstmal das Risiko in Kauf und setzt es so um wie oben beschrieben mit deiner VM....
Hallo aqui
Es handelt sich um ein Labor (testumgebung). Es wurde ein server zur verfügung gestellt. Ich möchte mir keine hürdestellen bzgl. Leistung der firewall. Recherchen aben ergeben, dass die alix apu einfach keine 1gb hinbringt sowieso dann nicht wenn zb speziellere protokolle angewendet werden. Da es ein Labor ist, ist es mir wichtig in der sache leistung keinen engpass zu haben.
Zum thema/ Allgemeine Info:
Kann das projekt abschliessen. Fw in der vm auf hyper v funktioniert einwandfrei. Die nics welche per vswitch der vm (pfsense) zugewiesen wurden sieht man zwar in der netzwerumgebung jedoch in den eigenschaften verstehen diese kein ipv4 und 6 mehr sondern nur noch ein ms hyper v tunneling protokoll /vswitch protokoll. Es lässt sich auch nicht manuell das ipv4 oder ipv6 protokoll nachinstallieren!
Ich denke das problem der sicherheit bei windows server hyper v ist jenes, dass wenn ausgebrochen wird, direkt ein vollumfängliches gui und os "zur verfügung steht" was beim esxi sehr abgespeckt daher kommt. Ein anderes thema wäre nat. hyper-v core installation. Dein input bzgl. Sicherheit und kleiner seitenhieb dassdas ein admin nicht tun sollte habe ich verstanden Bei einer "wichtigeren" installation wird nat. die pfsense lokal auf einem dedizierten server hochgezogen.
Jetzt habe ich verstanden wie es bei hyper v gelöst wird. Esxi ist da zwar bisschen einfacher / logischer aber hyper-v ist auch eine ganz feine sache. Bin gespannt auf den hyper-v 2016. Angeblich sollte da der ganze netzwerkstack umgebaut sein und es soll episch werden
Danke für deine Hilfe
Gruss Der Hahn
Auf dem smartphone getippt...
Es handelt sich um ein Labor (testumgebung). Es wurde ein server zur verfügung gestellt. Ich möchte mir keine hürdestellen bzgl. Leistung der firewall. Recherchen aben ergeben, dass die alix apu einfach keine 1gb hinbringt sowieso dann nicht wenn zb speziellere protokolle angewendet werden. Da es ein Labor ist, ist es mir wichtig in der sache leistung keinen engpass zu haben.
Zum thema/ Allgemeine Info:
Kann das projekt abschliessen. Fw in der vm auf hyper v funktioniert einwandfrei. Die nics welche per vswitch der vm (pfsense) zugewiesen wurden sieht man zwar in der netzwerumgebung jedoch in den eigenschaften verstehen diese kein ipv4 und 6 mehr sondern nur noch ein ms hyper v tunneling protokoll /vswitch protokoll. Es lässt sich auch nicht manuell das ipv4 oder ipv6 protokoll nachinstallieren!
Ich denke das problem der sicherheit bei windows server hyper v ist jenes, dass wenn ausgebrochen wird, direkt ein vollumfängliches gui und os "zur verfügung steht" was beim esxi sehr abgespeckt daher kommt. Ein anderes thema wäre nat. hyper-v core installation. Dein input bzgl. Sicherheit und kleiner seitenhieb dassdas ein admin nicht tun sollte habe ich verstanden
Bei einer "wichtigeren" installation wird nat. die pfsense lokal auf einem dedizierten server hochgezogen.Jetzt habe ich verstanden wie es bei hyper v gelöst wird. Esxi ist da zwar bisschen einfacher / logischer aber hyper-v ist auch eine ganz feine sache. Bin gespannt auf den hyper-v 2016. Angeblich sollte da der ganze netzwerkstack umgebaut sein und es soll episch werden
Danke für deine Hilfe
Gruss Der Hahn
Auf dem smartphone getippt...
Dieser Thread bestätigt das ja...
Pfsense unter Hyper-V Windows Server 2012 R2: Erfahrungen?
Pfsense unter Hyper-V Windows Server 2012 R2: Erfahrungen?
