Router virtualisieren, Vorteile und Nachteile?

Hi zusammen,

ich bin zur Zeit auf der Suche nach Hardware um mir einen pfSense Router zu bauen und dann hab ich mir Builds zusammengestellt und mittlerweile bin ich bei nem 350€ Build angekommen mit dem ich zufrieden wäre. Dennoch wäre Virtualisierung auch eine Idee, da mein Heimserver genug Ressourcen hätte und ich Passthrough nutzen könnte um eine Dual NIC Karte durchzureichen.

Anfangs hatte ich mich aus dem Grund, dass mein Heimnetz beim Neustart des Servers quasi down wäre, dagegen entschieden, was eben nach jedem Kernelupgrade von Proxmox passiert.
Nun hab ich mir aber gedacht, einfach wieder zu ESXi zu wechseln, da es keinen Grund gibt bei Proxmox zu bleiben und dann hätte sich das Problem mit häufigen Neustarts gelöst.

Ich müsste meinem Server nur ne statische IP geben damit ich auch Zugriff auf ESXi hab wenn der Router mal down ist.
Der Server läuft sowieso 24/7, durch den virtuellen Router würde ich Stromkosten sparen und natürlich die oben genannten 350€, ich bräuchte lediglich eine Dual NIC Karte und die kosten vielleicht ein Drittel und durch Passthrough hätte ich auch weniger Performance-Einbußen.

Was spricht aber gegen das Virtualisieren eines Routers? Was spricht für einen Standalone-Router?

Gruß
shawly

P.S.: Kann mir vielleicht noch jemand sagen was ein realistischer Preis für ein Quad Port Intel NIC ist? Ich seh auf Geizhals Angebote ab 60€ was doch etwas dubios klingt. Und die sind meist von irgendwelchen Händlern aus Asien.

Nachteil ganz klar Sicherheit. Stichwort Un-IPCop http://www.ipcop-forum.de/unipcop.php
Wie relevant das in deinem Fall ist musst du wissen.

Wegen Zugriff: Das auf den Server zugreifende Gerät braucht natürlich auch eine statische IP wenn der Router down geht. Besonders bei Handys recht umständlich.

Es kommt schon ein bischen (sehr viel) darauf was der Router tun soll. Als reiner Internet-Router (1x WAN, 1-2x LAN) wären 350€ für die Hardware schon arg viel. Da würde ich dann eher zu MikroTik, Ubiquiti und Co tendieren, Router mit ~3-5 LAN-Schnittstellen ab 50€. Stromkosten sind vernachlässigbar.

Das spricht zwar nicht wirklich für/gegen Virtualisierung, aber ich persönlich habe schon lieber ein handfestes Gerät als physikalischen Router stehen als eine weitere VM auf dem Server. Neben der logischen Trennung durch das Routing bzw. die Firewall, hat man dann nämlich auch noch eine physikalische Ebene der Trennung, was entsprechende Übergriffe auf andere Systeme weitestgehend verhindert.

@h00bi: Guter Hinweis!

@h00bi: Das ist ein guter Artikel! Ich war mir eben auch schon bewusst dass es ein gewisses Sicherheitsrisiko birgt meinen Router zu virtualisieren. Dennoch würde es meine Kosten extrem drücken weshalb ich nicht von dem Gedanken ablassen kann. Letzten Endes muss ich das wohl mit meinem Gewissen vereinbaren.

@Raijin: Der Router soll Gigabit ready sein sobald ich nächsten Monat umziehe und der Traffic soll zusätzlich über einen VPN laufen weshalb ich schon etwas kräftigere Hardware brauche um mit Encryption trotzdem noch den höchstmöglichen Throughput zu bekommen. Da ich auch nicht gerade das günstigste Gehäuse und Mainboard rausgesucht habe, ging der Preis halt hoch.
Aber wenn ich Abstriche machen muss dann bin ich letzten Endes wieder unglücklich und hol mir sowieso das teurere Zeug, so war es auch bei meinem Heimserver, welcher im Endeffekt total overkill ist, dafür dass er fast immer nur rumidelt.

Aber mein hätte eben Server genug Horsepower um die Anforderungen zu handeln, daher war es eben auch eine Überlegung wert den Router zu virtualisieren. Von einem Sicherheitsaspekt aus gesehen tendiere ich aber auch schon wieder eher zum Kauf der Hardware.

Aber eigentlich wollte ich auf der neuen Hardware auch virtualisieren weil ich eben gesehen hab dass selbst der günstigste Skylake Celeron eben auch VT-d unterstützt und ich überlegt hatte noch eine zweite VM mit ner Wi-Fi ac Karte drauf zu betreiben, die physikalische Trennung der Systeme wär ja auch weiterhin da also wär es immer noch ein dedizierter Router+AP oder nicht?

Du sprachst aber vom Router. Grundsätzlich hat das nur bedingt mit VPN zu tun. Es spricht nichts dagegen, einen VPN-Server zu virtualisieren. Eine einzelne Portweiterleitung im Router für das VPN und gut is.

Demnach wäre die Kombination (semi)professioneller Router (MikroTik oder Ubiquiti EdgeRouter-X) + VM für VPN für deine Anforderungen meiner Meinung nach ideal.

Ich will keinen VPN Server, ich will meinen Traffic durch einen VPN verschlüsseln, der VPN Server steht schon woanders.
Zumal ich eben keinen fertigen Router möchte, ich will einen selbst aufsetzen weil ich mich unter anderem mit pfSense oder vielleicht auch Alternativen auseinandersetzen will und ich es einfach mag die Freiheit zu haben jegliche Software auf meinen Computern nutzen zu können, diese Freiheit bleibt mir mit fertigen Systemen einfach nicht.

Edit: Ich will im Übrigen auch noch Snort, Clamav und einen Squid Cache auf der Maschine laufen lassen.

Dann ersetze VPN-Server durch VPN-Gateway. Den DHCP stellst du so ein, dass das Standardgateway nicht direkt der Router, sondern das VPN-Gateway ist, das wiederum nach außen tunnelt. Vorteil daran ist, dass man am Client im Netzwerk aktiv umschalten könnte zwischen www via VPN oder www via Router. Wenn du zentral alles ins VPN schickst, kann das durchaus problematisch werden. zB Shopsysteme, die bekannte VPN-Dienste blacklisten, oder beliebige andere Dienste, die aktiv VPNs blocken. Netflix hat vor ca. einem halben Jahr angekündigt, das sie das tun wollen - oder schon tun?

Wie auch immer, du scheinst klare Vorstellungen zu haben was du willst und was du nicht willst. Dann will ich dich da nicht weiter aufhalten

Eine Ähnliche Konfiguration habe ich bereits seit 3 Jahren ohne am laufen... Homeserver mit Debian und pfsense mit KVM virtualisiert.

Klar erhöht man damit das Sicherheitsrisiko, allerdings fragt sich wie hoch das Risiko speziell im privaten Bereich wirklich ist.

Wie oft kommt es vor, das ein privater Server tatsächlich erfolgreich angegriffen wird (aktuelle Software und gute nicht fahrlässige Konfiguration vorausgesetzt)?

So wie ich das sehe liegt das primäre Risiko speziell beim Angriff des Wirtes ueber einem, im Internet erreichbaren, Dienst. Was waere, wenn man diese Dienste ebenfalls in eine VM steckt, dann sollte das Risiko doch sinken, oder?

Das ist ne gute Idee, ich werd es in Erwägung ziehen sobald ich dann entschieden hab ob ich die Hardware kaufe oder virtualisiere, ich danke dir und h00bi für die Hilfe!

Aus einer VM auszubrechen, erfordert schon mehr als einen Privatanwender mit ner Phishingmail zu infizieren.

Wenn ein Router infiziert ist bzw. die VM hier, ist das Problem weniger, dass dann der Hostserver auch infiziert werden könnte, sondern eher das Gerät/die VM, welches meinen Zugang zum Internet bereitstellt, infiziert ist und die Malware den Traffic nach belieben manipulieren und umleiten kann. Darüber würde ich mir im privaten Bereich eher Gedanken machen (gibt Malware, die sich vom Clientrechner aus auf unsichere Router raufsetzt und DNS-Abfragen dann umleitet) als um einen Ausbruch aus der VM.
Lieber eine virtuelle PfSense-Maschine als einen ASUS-Router mit Sicherheitslücken mal so als Beispiel im privaten Umfeld ;-) es bleibt jedem natürlich selbst überlassen, wie er das Risiko einschätzt, aber ich halte es für vertretbar eine PfSense im privaten Umfeld virtuell zu betreiben, sofern sich dadurch eine messbare Kostenersparnis ergibt.

Selbst im professionellen umfeldern bis hin zum Enterprise Kunden sind virtuelle Firewalls kein Thema.
Und dann fragt euch mal wo Software Defined Networking hingeht? Da läuft ein OS auf dem Switch.

Im privaten Umfeld ist selbst eine virtuelle FW mit nur einer Nic und VLANs vollkommen legitim, da wohl kaum einer 1Gbit traffic darüber jagen kann.
Wichtig ist dabei nur, dass das WAN tagged reinkommt und per PPPoE bzw. Ohne DHCP lauft, so dass kein client durch Fehler an ungefiltertes Internet kommt.
Und ja wenn man so ein komplexes Setup hat sollte man zumindest bis hierhin, sprich Clients haben sicheres Internet ohne fremde hilfe kommen können.Ansonsten ist das ganze eher ein Sicherheitssverlust.


Btw. Was ist dein Server und wie schnell ist deine Leitung bzw welchen durchsatz erwartest du?

Also ich hab mich entschieden, dass ich fürs erste mal den Router virtualisieren werde. Mir fehlt nur noch ein Intel NIC mit 2 oder 4 Ports je nachdem ob man die Quad Port NICs unter 100€ bekommt.

Mein Server besteht aus nem Supermicro X10SL7-F, 32GB RAM mit einem Xeon E3-1230v3 und meine aktuelle Leitung beschränkt sich auf 16k DSL, aber ich möchte wie gesagt die Möglichkeit haben den Router auch mit ner Gigabit Leitung zu nutzen da ich plane auszuziehen nächsten Monat. Mein Server sollte da aber genug Power haben um 1gbps zu handeln, daher seh ich kein Problem.

Edit: Okay hab ne gebrauchte Dell Quad Port Karte für 50€ auf ebay ergattert.