Råd, pfsense och NAS i samma burk

Tror jag inte är några problem alls. Om du vill kan du ju köra VMWare workstation eller VirtualPC och installera pfsense för att testa, du behöver såklart lite nätverkskunskaper för att kunna testa det men jag tror inte heller det kommer vara några som helst problem. En CPU i en dator är väl et par tusen procent snabbare än de som sitter i en router man köper på elgiganten.

Du vet att många köpes NAS har under 1GB, typ 512mb i minne och klarar ändå av samba med flera klienter.

vSphere kostar pengar. Däremot kan du såklart köra ESXi, däremot är det inte säkert att vmware stödjer din hårdvara.

Att köra ESXi på whitebox kan vara lite problematiskt med drivrutiner, realtekstöd finns t.ex inte som standard, men går oftast att fixa.
Processorn ska ha stöd för vt-d/iommu, annars får man starta installation med noIOMMU.

I övrigt är det relativt lätt att använda sig av, kör själv pfSense och NAS (m.m) virtualiserat.

Ur ett säkerhetsperspektiv är det inte rätt att köra mer än pfSense på burken. Det lämnar flera oövervakade angreppsytor.
(Personligen väntar jag på att det ska komma brandväggar med färdigt system för att använda brandväggen som värd för VM's. Det tar hand om både de oövervakade angreppsytorna, och slöseriet med överpresterande hårdvara.)
B!

Super enkelt, kicka igång Sophos Home (bästa brandväggen imho!, grymt gränssnitt) i Hyper-V så kan du ha burken som den är. Det enda du behöver är två nic!

Detta är väl delvis sant i teorin men praktiskt så är det betydligt större risk att du konfigurerar något fel än att något skulle hacka sig igenom hypervisorn. Det finns redan många mig inkluderad som kör virtuell brandvägg sedan lång tid utan problem..

Även jag kör virtualiserad brandvägg och visst det är en extra angrepps yta men som hemma användare är man helt enkelt inte intressant nog för en hacker att lägga ner så mycket tid och energi på. Den enda risken som inte är obefintlig liten är egentligen en "zero day" i ESXi och då är man återigen som hemanvändare inte särskilt intressant.
Största risken är alltså att man konfigurerar något fel och det kommer troligtvis vara ett problem oavsett om man kör virtualiserat eller ej.

Slutligen vill jag bara tips TS om att köpa begagnade Intel NIC på ebay eller liknande (undvik kinesiska säljare, vanligt med fejk grejer vilket skapar nya problem). Intel NIC stöds nämligen direkt i ESXi eller liknande och drivrutinerna är dessutom stabilare. För att inte tala om hårdvaran som har mer minne och inte belastar CPUn lika mycket. Just hårdvaran spelar inte så stor roll i hemma miljö men man slipper huvudvärk så värt några hundra lappar enligt mig.

Något av vitsen med ZFS är just dess funktioner som äter minne. Visst kan man både skära ner på aktiva funktioner, och nöja sig med lägre prestanda, för att klara sig med mindre minne, men det känns kanske inte helt motiverat att köra ZFS då...

Angående virtuell brandväg, eller inte... Jag kan inte gärna påverka, men jag kände att det behövde nämnas. "De flesta" brandväggsdistributionerna är inte avsedda att köras virtuellt, och har inte testats ordentligt på det viset. Det stöd som finns för att köra dem virtuellt är "för det mesta" för att utvecklare ska kunna köra testversioner utan att behöva dedikerade system. Så länge man är medveten om att det inte är "best practice" men väljer att göra det i alla fall, så har man åtminstone tagit ett informerat beslut.

Men som jag skrev innan, inom en snar framtid är det förhoppningsvis inte längre ett problem. Det blir antagligen KVM i stället för mer... specialiserade tillverkares lösning, men att köra brandväggen i grunden, och på insidan köra en host för virtuella maskiner tar bart hela problemet med fler angreppsytor från utsidan.
Jag håller tummarna, eftersom jag byggt en dedikerad brandväggsburk med kraftigt överdimensionerad hårdvara, bara för det.
Säkert en felinvestering det med, som så mycket annat jag gör ;- )
B!

Det kanske är sant vad gäller PfSense, även om det finns officiella instruktioner hur man gör. Själv kör jag dock Juniper SRX serie med JunOS som är helt supportat, fullt utvecklat och verifierat med VMWare. Det är trevligt att kunna trycka ett par Gigabit genom brandväggen, framförallt då nätet är L3 överallt i huset och en hel del trafik måste vända i Firewall (Olika routing instanser och säkerhetszoner)

Sen generellt är du inte mer skyddad om du ändå inte är medveten om attackerna. Om du lyckas ta dig igenom en hypervisor kommer ändå dina IP paket att landa på ett virtuellt interface på något sätt om du inte kan ta dig runt RE. Jag sysloggar all trafik (Även RT_Create) till ELK och mina dashboards ger mig en rätt bra överblick om vad det är för trafik som går hemma, dels den som jag vill ska gå och eventuell trafik jag vill stoppa.

c/vSRX ?
B!

Nej, Pfsense är en mardröm och ESXi har lite av en lärningskurva. Ta och tanka hem Sophos UTM 9 Home och aktivera Hyper-V i ditt Windows OS så är du klar

Virtuellmaskin är det du vill ha, du behöver som sagt oavsett två NICs. Sophos har en guide på deras hemsida hur man fixar det i Hyper-V.
Wan in, Lan ut till switch.

Nja vet jag inte om jag håller med om, du kan ju alltid stänga av uppdateringarna (bökigt) eller installera Hyper-V Server (core).
Ett företag där jag är använder de en Synology som filserver och jag hade föredragit en VM i ESXi/Hyper-V alla dagar i veckan. Mycket lättare att migrera, backa up, uppdatera etc etc.