VM Pfsense mit WAN auf Hyper-V
Hallo
System:
Windows Server 2012 R2 Datacenter 64bit
Hyper-V aktiviert
Ich möchte eine VM erstellen auf dieser sollte PFsense installiert werden.
Nun werde ich der Pfsense einen "WAN" Port zuweisen worüber auch wirklich eine öffentliche Adresse ankommen wird.
Wie es sich handhabt bei den Einstellungen der virtuellen Netzwerkkarten bei der VM Pfsense ist mir klar.
Was macht aber das Windows mit dem Ethernet Port wo dann der öffentliche Anschluss daherkommt?
Bin ich dann direkt im öffentliche Netz mit dem Host? (windows Server)
Das öffentliche Netz möchte ich aber nur in der PFsense / WAN port haben.
Gibt es eine möglichkeit, einen Ethernet Port direkt einer virtuellen Maschine zuzuweisen ohne das der Windows server "dazwischen" steht.
Sicherheitstechnisch ist es doch nicht tragbar, eine öffentliche Adresse direkt am Windows Server zu haben.
zum Vergleich:
Gleiches Szenario mit einem Esxi ist kein Problem, da der Host (ESXI) meines Wissens nichts mit den Ethernetport anstellt oder kontrolliert, sondern nur erkennt ob Link vorhanden ist oder nicht. Die "päckli" werden dann erst in einer virtuellen Maschine geöffnet.
Kurzgesagt:
Ich möchte ein WAN Anschluss direkt in eine Virtuelle Maschine schicken ohne das Windows mitbekommt was auf dem Anschluss passiert.
Besten Dank im Voraus
PS: Es ist spät, hoffe dennoch man versteht um was es geht
System:
Windows Server 2012 R2 Datacenter 64bit
Hyper-V aktiviert
Ich möchte eine VM erstellen auf dieser sollte PFsense installiert werden.
Nun werde ich der Pfsense einen "WAN" Port zuweisen worüber auch wirklich eine öffentliche Adresse ankommen wird.
Wie es sich handhabt bei den Einstellungen der virtuellen Netzwerkkarten bei der VM Pfsense ist mir klar.
Was macht aber das Windows mit dem Ethernet Port wo dann der öffentliche Anschluss daherkommt?
Bin ich dann direkt im öffentliche Netz mit dem Host? (windows Server)
Das öffentliche Netz möchte ich aber nur in der PFsense / WAN port haben.
Gibt es eine möglichkeit, einen Ethernet Port direkt einer virtuellen Maschine zuzuweisen ohne das der Windows server "dazwischen" steht.
Sicherheitstechnisch ist es doch nicht tragbar, eine öffentliche Adresse direkt am Windows Server zu haben.
zum Vergleich:
Gleiches Szenario mit einem Esxi ist kein Problem, da der Host (ESXI) meines Wissens nichts mit den Ethernetport anstellt oder kontrolliert, sondern nur erkennt ob Link vorhanden ist oder nicht. Die "päckli" werden dann erst in einer virtuellen Maschine geöffnet.
Kurzgesagt:
Ich möchte ein WAN Anschluss direkt in eine Virtuelle Maschine schicken ohne das Windows mitbekommt was auf dem Anschluss passiert.
Besten Dank im Voraus
PS: Es ist spät, hoffe dennoch man versteht um was es geht
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 282785
Url: https://administrator.de/forum/vm-pfsense-mit-wan-auf-hyper-v-282785.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
6 Kommentare
Neuester Kommentar
Das öffentliche Netz möchte ich aber nur in der PFsense / WAN port haben.
Quadratur des Kreises was so nicht geht, klar.Mit der Benutzung einer VM musst du ja das öffentliche Internet irgendwo ins Innere des Hypervisors lassen. Ein oder DER gravierende nachteil von Firewalls in einer VM. Eigentlich ein NoGo, denn bricht das da aus hast du den Super GAU.
Machbar ist es aber dennoch...
Bin ich dann direkt im öffentliche Netz mit dem Host?
Jein ! Du richtest ja im Hyper V einen dedizierten und vollkommen isoliertem vSwitch einem physischen Netzwerkkarten Port zu und an diesen vSwitch hängst du dann den WAN Port.So ist das öffentliche Netz intern vollkommen isoliert und so ist die Vorgehensweise.
Bedenke aber immer das diese Isolation rein auf einem Stück Software beruht. Schafft jemand dort auszubrechen hast du natürlich ein Problem aber diese Kröte musst du bzw. willst du ja mit dem Einsatz einer FW in einer VM ja bewusst schlucken !
Heul also nicht und sei ein Admin ! Owohl Letzterer wenn er wirklich einer ist sowas aus den genannten Gründen nicht machen würde.
Es gibt ja durchaus Alternativen in HW:
PfSense auf APU1D4 Board mit mSata und 5-ghz WLAN - Erfahrungsbericht
und
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Hallo zusammen,
auch ein zweiter Server mit einer zweiten VM (pfSense) mit im Spiel und es handelt sich
auch um eine richtig große Firma! Dann mittels CARP lässt sich dann schon richtig was
aufziehen und auch richtig was über das Kabel wuppen!
nur es sollte dann auch beim testen bleiben und nicht als produktiv System arbeiten.
650 GBIt/s - 750 MBit/s als reinen Durchsatz und den Overhead noch drauf gerechnet
dann passt es schon fast, aber wie schon gesagt satte 1 GBit/s schafft es nicht!
Man misst aber auch mittels iPerf und von einem PC zu einem anderen PC und nur
durch die pfSense "durch" um so etwas zu ermitteln. Zum Anderen gibt es auch immer
Brutto und Netto Durchsatzraten und bei einer 1 GBit/s WAN Verbindung wirst Du nie
volle 1 GBit/s erhalten, denn den Anschluss bei Deinem Provider teilst Du Dir ja mit
mehreren anderen Kunden von Ihm.
Aktiviere mal bitte PowerD (high adaptive) und dann teste das noch einmal mit
dem Durchsatz, ohne PowerD hatten wir auch nur ~450 MBit/s und danach um die
~ 650 MBit/s - 750 MBit/s.
- 1 GBit/s WAN Anbindung alleine?
- 1 GBit/s & VPN & Snort & Squid & SquidGuard & DPI & SARG & 500 weitere Pakete?
Supermicro C2358 ~250/250 & wenig VPN aber guter Durchsatz
PC Engines APU ~bis 500/500 & wenig VPN & Snort
Intel G3260T @3,2GHz (mini ITX) ~1 GBit/s & wenig VPN & Snort
Jetway 2930N mini ITX barebone ~1 GBit/s & mehr VPN & Snort & Squid & SquidGuard
Supermicro C2558 & C2758 ~1 GBit/s & viel VPN & Snort & Squid & SquidGuard
Intel Xeon D-1520/40 ~multiple 1 GBit/s & viel VPN & Snort & Squid & SquidGuard
Intel Xeon E3-12xx zur Zeit unschlagbar aber zieht auch ordentlich Strom!
Damit geht aber alles und auch mit einem super Durchsatz und einer super Reaktion.
LANNER FW-889x Appliance für eine oder mehrere Firewall oder Router VMs
Gruß
Dobby
Spielt es somit keine rolle ob hyper v oder esxi in bezug zu deinen punkten bzgl sicherheit?
Beides ist ###e! Nur wenn ich einen richtig fetten Server habe und dort nur ein VM drauf packe und das ist dann die VM mit der pfSense ist das in Ordnung und meistens ist dannauch ein zweiter Server mit einer zweiten VM (pfSense) mit im Spiel und es handelt sich
auch um eine richtig große Firma! Dann mittels CARP lässt sich dann schon richtig was
aufziehen und auch richtig was über das Kabel wuppen!
Wenn ausgebrochen werden könnte aus dem vswitch welches system hat
mehr sicherheit?
Wenn ausgebrochen wird ist beides unsicher!mehr sicherheit?
Es ist ein Labor zum testen.
Habe hier nur einen Server mit potenter hardware.
Zum testen kann man das sicherlich machen um sich die Hardware zu sparenHabe hier nur einen Server mit potenter hardware.
nur es sollte dann auch beim testen bleiben und nicht als produktiv System arbeiten.
Ein apu besitze ich schon, doch diese schafft es nicht 1gb übers NAT zu schicken
(ca 300mbit) Das Netzwerk sowie WAN sind 1gb.
Nein eine 1 GBit/s WAN Verbindung schafft sie nicht aber immerhin schon einmal(ca 300mbit) Das Netzwerk sowie WAN sind 1gb.
650 GBIt/s - 750 MBit/s als reinen Durchsatz und den Overhead noch drauf gerechnet
dann passt es schon fast, aber wie schon gesagt satte 1 GBit/s schafft es nicht!
Man misst aber auch mittels iPerf und von einem PC zu einem anderen PC und nur
durch die pfSense "durch" um so etwas zu ermitteln. Zum Anderen gibt es auch immer
Brutto und Netto Durchsatzraten und bei einer 1 GBit/s WAN Verbindung wirst Du nie
volle 1 GBit/s erhalten, denn den Anschluss bei Deinem Provider teilst Du Dir ja mit
mehreren anderen Kunden von Ihm.
Aktiviere mal bitte PowerD (high adaptive) und dann teste das noch einmal mit
dem Durchsatz, ohne PowerD hatten wir auch nur ~450 MBit/s und danach um die
~ 650 MBit/s - 750 MBit/s.
Schönste Lösung wäre nat. eine weitere Kiste wo die pfsense lokal läuft
und genug leistung hat. Momentan steht das jedoch (noch) nicht zur option.
Was heißt genug Leistung und wofür denn?und genug leistung hat. Momentan steht das jedoch (noch) nicht zur option.
- 1 GBit/s WAN Anbindung alleine?
- 1 GBit/s & VPN & Snort & Squid & SquidGuard & DPI & SARG & 500 weitere Pakete?
Supermicro C2358 ~250/250 & wenig VPN aber guter Durchsatz
PC Engines APU ~bis 500/500 & wenig VPN & Snort
Intel G3260T @3,2GHz (mini ITX) ~1 GBit/s & wenig VPN & Snort
Jetway 2930N mini ITX barebone ~1 GBit/s & mehr VPN & Snort & Squid & SquidGuard
Supermicro C2558 & C2758 ~1 GBit/s & viel VPN & Snort & Squid & SquidGuard
Intel Xeon D-1520/40 ~multiple 1 GBit/s & viel VPN & Snort & Squid & SquidGuard
Intel Xeon E3-12xx zur Zeit unschlagbar aber zieht auch ordentlich Strom!
Damit geht aber alles und auch mit einem super Durchsatz und einer super Reaktion.
LANNER FW-889x Appliance für eine oder mehrere Firewall oder Router VMs
Gruß
Dobby
Spielt es somit keine rolle ob hyper v oder esxi in bezug zu deinen punkten bzgl sicherheit?
Warum sollte es deiner Meinung nach eine Rolle spielen ?? Es ist doch auch egal ob du in einem BMW, Mercedes oder VW auf der Autobahn fährst.Die generelle Problematik bei VM basierten FWs ist das die Gefahr des Ausbruchs passieren kann und dann hast du ein öffentliches Netzwerk da wo man es nicht haben will. Da ist es dann natürlich "Latte" welchen Hypervisor du einsetzt, das prinzip bleibt ja immer gleich (siehe Autos und Autobahn !).
Generell funktioniert das und kann man so machen aber es bleibt immer ein gewisses Restrisiko gegenüber dedizierter HW, das leuchtet dir sicher ein.
Kiste wo die pfsense lokal läuft und genug leistung hat. Momentan steht das jedoch (noch) nicht zur option.
Warum steht denn das nicht zur Option ? Was ist der Grund ? Gibt es technische Ursachen dafür oder ist es mal wieder das liebe Geld ? Wenn letzteres musst du dich natürlich generell mal fragen was dir die Netzwerk Sicherheit bzw. Sicherheit deiner Daten wert ist.Eine preiswerte Plattform (wenn es denn ums Geld geht) ist ein APU1D von ALIX, alternativ wenn deine WAN / Internet Anbindung nicht höher als 100 Mbit/s liegt auch ein etwas preiswerteres 2D13 vom gleichen Hersteller.
PfSense auf APU1D4 Board mit mSata und 5-ghz WLAN - Erfahrungsbericht
Oder....du nimmst erstmal das Risiko in Kauf und setzt es so um wie oben beschrieben mit deiner VM....
Dieser Thread bestätigt das ja...
Pfsense unter Hyper-V Windows Server 2012 R2: Erfahrungen?
Pfsense unter Hyper-V Windows Server 2012 R2: Erfahrungen?