Forum Datorer och system Server Tråd Inlägg

Virtualisera mera; virtualisera brandväggen

1
Skriv svar
Permalänk
Medlem

Virtualisera mera; virtualisera brandväggen

Jag funderar mycket kring mitt nätverk hemma. Det är segmenterat i olika delar, brandväggat mellan VLAN:en, allmänt nedstrypt och bara öppnat för sådant som är tänkt att användas på respektive vlan.
Jag funderar också på elpriserna och skulle vilja köra mer virtualiserat, men jag har alltid dragit mig för att virtualisera brandväggen. I dagsläget kör jag brandväggen på en mini-pc med ett gäng 2,5Gbps-intel-kort och med en N5105-processor. Denna drar inte mycket, men är samtidigt inte så kraftfull (visserligen betydligt kraftfullare än de flesta konsumentroutrar) om man vill köra lite mer sofistikerade grejer på brandväggen för att hålla koll på trafiken.
Jag funderar nu på att ta min I7 10700K och köra en hypervisor i botten och köra brandvägg, filserver och lite andra tjänster på denna. Givetvis får brandväggen ett eget fysiskt nätverkskort tilldelat till sig för WAN-anslutningen.
Då det blir lite mer komplicerat om brandväggen skulle gå ner, funderar jag på att flytta ut DCHP-tjänsten, istället för att brandväggen ska stå även för detta. En av mina switchar skulle kunna lösa den biten. Detta är mest för att det blir oerhört bökigt om hela nätverket går ner enbart för att brandväggen inte startat.

Är det någon här inne som virtualiserar sin brandvägg, eller är det bara en dålig idé som ger mer huvudvärk än fördelar? Mer och mer enterprise-brandväggar börjar ju kunna fungera virtualiserat och det verkar som en hel del verksamheter går till mer och mer virtualiserade brandväggar. Jag vet att det finns både för och nackdelar med detta, men nu är detta för hemmabruk. Dock vill jag givetvis hålla en hög säkerhet även för mitt hemmanätverk och inte äventyra dom interna nätverken jag har.

Inte så mycket frågor här, mer lite reflekterande och jag skulle gärna vilja höra er take på detta?

Visa signatur

WS: Mac Studio M1 Max | 32 GB | 1TB | Mac OS
WS: Intel i5 12600K | 64 GB DDR4 @3600 Mhz | 2x1TB nvme 2x1TB SSD SATA | Windows 11 & Manjaro Linux
Bärbar: Macbook Pro 14" | M1 Pro | 16GB RAM | 512GB SSD | Mac OS
Servrar: Intel i7 10700K | 64 GB DDR4 @3600Mhz | 3 TB SSD + 22TB HDD | Unraid |
4x Raspberry pi 4b 8Gb | Dietpi |

Redigera
Citera flera Citera
Permalänk
Medlem

Har kört såväl OpenWRT som pfSense och OPNsense som vm och det funkar mkt bra

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av alundstroem:

Har kört såväl OpenWRT som pfSense och OPNsense som vm och det funkar mkt bra

Gå till inlägget

Kul att höra! 🙂 Vad har du använt för hypervisor i botten? Proxmox? Esxi?

Visa signatur

WS: Mac Studio M1 Max | 32 GB | 1TB | Mac OS
WS: Intel i5 12600K | 64 GB DDR4 @3600 Mhz | 2x1TB nvme 2x1TB SSD SATA | Windows 11 & Manjaro Linux
Bärbar: Macbook Pro 14" | M1 Pro | 16GB RAM | 512GB SSD | Mac OS
Servrar: Intel i7 10700K | 64 GB DDR4 @3600Mhz | 3 TB SSD + 22TB HDD | Unraid |
4x Raspberry pi 4b 8Gb | Dietpi |

Redigera
Citera flera Citera
Permalänk
Medlem

Det öppnar ju för betydligt fler timmar av felsökning. Men om du är öppen för det så är det väl inget tekniskt som begränsar.

Redigera
Citera flera Citera
Permalänk
Hedersmedlem

Har kört pfsense virtuellt på en nuc med dubbla inbyggda ethernet + usb-c ethernet under proxmox tillsammans med ett par windows-vm i snart ett år. Har fungerat över förväntan gällande stabilitet och att den alltid kommer upp efter omstart och så.

Det jag skulle ta med mig är väl att det blir lätt lite komplext när man har bryggor, virtuella interface och vlan som kan hanteras både i proxmox och i pfsense och som kan kopplas ihop på många olika sätt.

Att tänka ut vad man vill uppnå och bestämma sig för ett sätt att göra det på, hade nog hjälpt. Lätt hänt att man kollrar bort sig annars.

Visa signatur

Det kan aldrig bli fel med mekanisk destruktion

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av SanTeoX:

Kul att höra! 🙂 Vad har du använt för hypervisor i botten? Proxmox? Esxi?

Gå till inlägget

Proxmox, på en Lenovo m720x med ett 4ports intel nic

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av izzie:

Det öppnar ju för betydligt fler timmar av felsökning. Men om du är öppen för det så är det väl inget tekniskt som begränsar.

Gå till inlägget

Jo, det blir ju som sagt mer komplext, men samtidigt får man en kraftfullare brandvägg som även kan dela resurser med andra tjänster istället för att ha flera servrar igång samtidigt.

Skrivet av Aphex:

Har kört pfsense virtuellt på en nuc med dubbla inbyggda ethernet + usb-c ethernet under proxmox tillsammans med ett par windows-vm i snart ett år. Har fungerat över förväntan gällande stabilitet och att den alltid kommer upp efter omstart och så.

Det jag skulle ta med mig är väl att det blir lätt lite komplext när man har bryggor, virtuella interface och vlan som kan hanteras både i proxmox och i pfsense och som kan kopplas ihop på många olika sätt.

Att tänka ut vad man vill uppnå och bestämma sig för ett sätt att göra det på, hade nog hjälpt. Lätt hänt att man kollrar bort sig annars.

Gå till inlägget

Jo här har jag tänkt mycket i olika banor hur man bör bygga upp det hela. Lurar fortfarande på det, men har nog en del färdigt hur jag ska bygga upp det hela.
Har ingen jätteerfarenhet med proxmox, så det blir nog en utmaning. Har dock labbat med liknande i esxi tidigare och där var det rätt smidigt hur man byggde upp switchar och vlan. Tyvärr är esxi väldigt duktiga på att ta bort stöd för saker så mina 10Gbps-kort stöds inte längre i esxi, så esxi är tyvärr uteslutet. Men får hoppas Proxmox inte är överjävligt jobbigt att bygga upp detta i. 🙂

Visa signatur

WS: Mac Studio M1 Max | 32 GB | 1TB | Mac OS
WS: Intel i5 12600K | 64 GB DDR4 @3600 Mhz | 2x1TB nvme 2x1TB SSD SATA | Windows 11 & Manjaro Linux
Bärbar: Macbook Pro 14" | M1 Pro | 16GB RAM | 512GB SSD | Mac OS
Servrar: Intel i7 10700K | 64 GB DDR4 @3600Mhz | 3 TB SSD + 22TB HDD | Unraid |
4x Raspberry pi 4b 8Gb | Dietpi |

Redigera
Citera flera Citera
Permalänk
Medlem

Jag kör sophos utm virtualiserat på hyper-v. Tycker att det fungerar bra. Är aldrig inne och pillar där

Redigera
Citera flera Citera
Permalänk
Medlem

Jag körde det ett tag - men jag var aldrig nöjd, körde lite esxi men mest proxmox. Det jobbiga var när man ville uppdatera hypervisorn eller göra andra större ändringar och blev av med funktionalitet. Så mycket skönare med dedikerad burk, nu kör jag en pfsense på APU4D4 från teklager och det är mer Quality of Life enligt min mening.

Visa signatur

AMD 7700X (EK 240mm AIO) | ROG Strix B650E-F Gaming | Gigabyte RX 6800 XT 16GB OC | Kingston Fury 32GB DDR5 5600mhz | Kingston Fury Renegade M2 2TB | Alienware AW2723DF 280hz

Redigera
Citera flera Citera
Permalänk
Medlem

Jag kör OPNsense på Proxmox med HA (på brandväggssidan, dvs CARP). Jag skulle starkt rekommendera att du gör det också om du ska köra virtualiserat. Går bra att ha på samma hypervisor och hjälper vid uppgraderingar rejält. Det har räddat mig från lite felsökning ibland. I mitt fall har jag två gamla datorer som kör Proxmox men jag skulle kunna tänka mig att ha en liten dedikerad maskin som primärnod i framtiden faktiskt.
Kör OpenWRT på gamla enterprise APs, men de är helt dumma utöver sitt mgmt-iface

Kan tillägga att jag inte kör någon passthrough av NICar eller nåt sånt, utan all VLAN-konf är gjord i OPNsense för att göra det så enkelt som möjligt (och mer kompatibelt med HA-lösningen då den förutsätter exakt samma nic-setup). Andra VMar i Hypervisorn har sina nätverkskort taggade på sitt VLAN.

Senast redigerat tillägg
Redigera
Citera flera Citera
Permalänk
Medlem

Gjorde inte Wendel från Level1Techs den så kallade Forbidden Router, där han virtualiserade i princip hela routern, brandvägg, switching osv.

Redigera
Citera flera Citera
Permalänk
Medlem

Kört virtuellt i mer än 15 år nu. Började med isa server via TMG till PF/opensense

Enda uppdateringar jag gör på min virtualiseringsserver är relevanta säkerhetspatchar och de sker när jag sover.
Tror aldrig det har strulat, däremot har jag fått backa Pf/Opensense uppdateringar/uppgraderingar och då är det väldigt trevligt med snapshots

Visa signatur

Arbetsdator: HFX Mini. Ryzen 3600, GTX1650. Skärmar: Dell 2415

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara