OPNsense als virtueller Router?

[Bob.Dig]

Ich überlege gerade, meinen vorhanden Router (ohne Modem) zum Accesspoint zu degradieren (ich hoffe der interne Switch geht dann immer noch, brauche die Ports) und würde dann auf meinem Homeserver (Win10 Pro), der eh immer läuft, in einer HyperV-VM OPNsense installieren wollen. Im Homeserver sind mehrere NICs, sodass ich eine davon komplett in die VM geben könnte um die Verbindung mit dem Modem zu realisieren.

Ich bin nicht vom Fach aber ein Router-OS dieser Güte interessiert mich schon und was soll schon schief gehen... 😉
CPU (Core i5) und RAM (16GB) sind ordentlich vorhanden, wobei auf dem Rechner auch noch weiterhin andere Sachen, wie weitere VMs, laufen sollen.

Ich hätte gerne gewusst:

1. Habe ich einen Denkfehler oder lässt sich das so realisieren?
2. Verliere ich arg Performance z.B. bei den PING-Times durch die Virtualisierung oder dürfte das eher vernachlässigbar sein (200 Mbit/s Cable)?

LG
Bob

 

[till69]

"Simply enabling HyperV, no VMs running, is taking about 5-20% CPU performance in the various AIDA64 tests."

Das liegt daran, dass Hyper-V sowohl Host und Gäste virtualisiert.

Wenn auf dem Rechner auch gespielt werden soll, ist VirtualBox oder VMWare Player evtl. besser geeignet.

Ansonsten spricht nix gegen Dein Vorhaben.

 

[memmex]

Lässt sich schon so machen. Ich hatte selbst zeitweise meinen Router virtualisiert.
Bedenken solltest du jedoch, wenn dein Server ausfällt, fällt auch dein Internet aus. Solltest du etwas falsch konfiguriert haben, dann kann auch dein Internet ausbleiben. Willst du deinen Hypervisor updaten und rebooten, ist auch das Internet weg.
Wenn du alleine wohnst, kann das ein nettes Experiment oder auch eine Dauerlösung sein. Aber du solltest immer mit einem Ausfall rechnen, der auch Stunden anhalten kann, wenn beispielsweise ein Update versagt.
Gerade als Anfänger würde ich erstmal mit pfsense in einer VM experimentieren und wenn du wirklich sicher bist, kannst du deinen Router virtualisieren.

CPU und RAM sind ordentlich vorhanden

Das ist sehr relativ. Poste am besten deine absoluten Komponenten.

 

[Bob.Dig]

"Simply enabling HyperV, no VMs running, is taking about 5-20% CPU performance in the various AIDA64 tests."

War das jetzt nur auf HyperV bezogen? Das läuft hier ausgezeichnet... und nein, ich will nicht darauf spielen. 😁

Ergänzung (19. Juli 2019)

Gerade als Anfänger würde ich erstmal mit pfsense in einer VM experimentieren und wenn du wirklich sicher bist, kannst du deinen Router virtualisieren.

Habe ich vorhin gemacht, kam aber nicht so gut klar, wahrscheinlich weil ich WAN und LAN nicht recht übertragen konnte in meine VM. Aber ich konnte mir pfsense angucken, es wird anspruchsvoll für mich aber hoffentlich machbar. Und zuerst würde der Router nicht umgestellt sondern nur abgeklemmt.

Das ist sehr relativ. Poste am besten deine absoluten Komponenten.

Habe ich inzwischen.

Wenn du alleine wohnst, kann das ein nettes Experiment oder auch eine Dauerlösung sein. Aber du solltest immer mit einem Ausfall rechnen, der auch Stunden anhalten kann, wenn beispielsweise ein Update versagt.

Das sind sehr gute Punkte, gerade Windows als Client ist ja nicht mehr wirklich kontrollierbar...
Ich könnte das "Modem" (Router im Bridge-Modus) auch als Router betreiben und dann die OPNsense-VM in dessen DMZ packen, dann wäre ich bei einem Problem schneller wieder "online".

 

[esb315]

Verbinde 2 NICs. Eine zum Modem und die andere zum Router.
Ich hab als Projekt etwas ähnliches aufgebaut (RADIUS), nur hab ich pfsense verwendet. Gab keine Probleme mit reduzierter Übertragungsrate oder relevant höheren Ping. Lief auf einen Ivy Bridge Xeon. Hat einen Kern und 1GB RAM bekommen. Reicht locker.

 

[Bob.Dig]

Lief auf einen Ivy Bridge Xeon. Hat einen Kern und 1GB RAM bekommen. Reicht locker.

Klingt gut! Ob nun pfSense oder OPNsense ist vermutlich für mich eher zweitrangig?

Oder gibt es klare Empfehlungen für das eine oder andere?

 

[esb315]

Ich muss sagen das ich pfsense übersichtlicher finde. Opensense ist ein Fork von pfsense, Primärunterschied ist aber die Weboberfläche.
Schau einfach womit du besser zurecht kommst.

 

[Bob.Dig]

Ich muss sagen das ich pfsense übersichtlicher finde. Opensense ist ein Fork von pfsense, Primärunterschied ist aber die Weboberfläche.

Ich hab mir mal Anleitungen zur Installation als OpenVPN-Client dazu angeguckt, es ist bei beiden ein Graus. 😡

 

[esb315]

Ja, ist wirklich so einiges an Bastelei. Aber wenns einmal läuft dann hast du Ruhe.
Hatte mit RADIUS auch einen ziemlichen Aufwand.

Es ist hauptsächlich die Ersteinrichtung die die meiste Arbeit verursacht.

 

[n0dau42]

Hab ich in meiner Abschlussarbeit gemacht. Allerdings auf ner Separaten Hardware, nicht virtuell. Lief anständig. APU das Board mit ner mSATA SSD. Darauf OPNSense. Nur als Alternative. Virtualisiert hab ich's bis jetzt nur in ner Testumgebung.

 

[memmex]

Ist auf jeden Fall ein interessantes Projekt.

Ein i5 reicht auch für deine Anforderungen. Das reine Routing braucht relativ wenig Ressourcen. Aufwändiger wird es mit VPNs, vielen Firewallregeln oder Deep Packet Inspection. Schau einfach mal, wie dein Speed bei VPN ist, aber sollte zufriedenstellend sein.

pfsense oder opnsense ist ein gewisser Glaubenskrieg. Die Community ist ziemlich toxic und es gibt hunderte Seiten in Foren und reddit, wo sich gegenseitig beschimpft wird. Es haben sich beide Seiten objektive Schnitzer geleistet, aber ich habe das nur am Rand mitbekommen und es ist nichts, was einen Heimanwender tangiert. Ich persönlich tendiere auch zu pfsense.

In HyperV erstellst du erstmal 2 vSwitches und ordnest dem ersten NIC1 zu und die restlichen NICs mit Failover dem zweiten vSwitch. Dann kannst du deine pfsense-VM erstellen und entsprechend konfigurieren.

 

[Bob.Dig]

Damn, schon 2:0 für pfsense. Dann werd ich mir die besser doch noch mal genauer angucken. Mich interessieren Features wie LE-Zertifikatserstellung und Integration gleich auf dem Router z.B. in einen reverse Proxy etc., damit ich weniger von Linux wissen muss. 😅

Hab ich in meiner Abschlussarbeit gemacht. Allerdings auf ner Separaten Hardware, nicht virtuell.

Ich hätte letztens fast einen neuen Router gekauft, aber hab das Schnäppchen dann verpasst. Also warum nicht mal virtuell, günstiger geht es wohl nicht. 😁

 

[n0dau42]

pfsense oder opnsense ist ein gewisser Glaubenskrieg.

Hieß es nicht Mal, dass pfsense nicht mehr weiterentwickelt wird?

 

[dj-melo]

Man könnte noch ipfire in den Ring werfen ipcopnNachfolger auf linuxbasis grade für den Einstieg wie ich finde einiges einfacher.

 

[esb315]

Hieß es nicht Mal, dass pfsense nicht mehr weiterentwickelt wird?

Wird immernoch aktiv weiterentwickelt.

 

[memmex]

LE-Zertifikatserstellung und Integration gleich auf dem Router z.B. in einen reverse Proxy

Ist beides mit pfsense einfach realisierbar. Aber höchstwahrscheinlich auch mit opnsense. Das sind jeweils noch "relativ einfache" Aufgaben.

pfsense wird immer noch aktiv weiterentwickelt.

 

[n0dau42]

Okay.. dann hab ich bei der Thematik wohl den Anschluss verloren..

 

[esb315]

ipfire

Habs mal versucht, finde es aber vom Handling schlimmer als pfsense. Netzwerke nach Farben, nee. Muss nicht sein.

 

[Bob.Dig]

@dj-melo Deren Site scheint down zu sein. Da ich nicht soviel Ahnung von Netzwerken habe, könnte mich das Farbmodell interessieren, aber wichtiger ist mir der GUI-basierte Funktionsumfang gerade was reverse proxy mit LE-Zertifikat betrifft, was ich selbst so nicht hinkriege und zu faul bin mir beizubringen. Wenn IPFire das auch kann, dann sach bescheid.
DNS-Server im LAN und sowas bieten sie hoffentlich alle OOTB.

 

[esb315]

pfsense hat ne eigene CA schon dabei, und Squid kannst du als Paket nachinstallieren.