pfSense als zentraler Router

[activetraffix]

Hallo Leute,

möchte die pfSense als zentrale Firewall in mein Homelab einbinden. Derzeit nutze ich eine UniFi Dream Machine Pro als Router, davor hängt ein DrayTek Vigor165 als VDSL-Modem. Zusätzliche habe ich im Homelab UniFi-Switche und UniFi-WLAN Geräte (Flex HD + AP AC-Mesh). Der UniFi Controller läuft auf der Dream Machine Pro.

Ein Mini-PC Minisforum HM90 soll als Proxmox-Host dienen, auf dem eine virtuelle Maschine mit pfSense und als zentraler DHCP-, DNS-Server usw. laufen soll. UniFi-Controller soll ebenfalls virtualisiert werden. Somit wäre die Dream Machine Pro überflüssig.

Habe bereits einen Rootserver mit VM pfSense als zentrale Firewall in Betrieb und durch deren einfache/erweiterten Konfigurationsmöglichkeiten möchte ich mein Homelab aktualisieren.

Jetzt stellt sich die Frage, welche Einstellungen auf dem Proxmox-Host und im UniFi-Controller einzustellen sind, damit das funktionieren wird?

Oder hat jemand einen anderen Lösungsansatz für mich?

Viele Grüße,
activeTraffiX

 

[chr1zZo]

Ergänzung (27. November 2021)

Jetzt stellt sich die Frage, welche Einstellungen auf dem Proxmox-Host und im UniFi-Controller einzustellen sind, damit das funktionieren wird?

Was soll denn nicht funktioneren? Wo siehst du jetzt Probleme? Die Frage, wozu noch ein Proxmox, wenn die pfsense als Standalone Installation auch das kann, was Proxmox in etwa beherrscht? Oder sollen noch andere Dienste auf dem Minisforum laufen?

Wieso editierst du dein Beitrag andauernd? xD. Wozu 2x pfsense?

 

[activetraffix]

Die Konfiguration über die pfSense finde ich gegenüber dem UniFI-Controller besser. Auch kann über die pfSense die Geräte im Homelab durch den Hostname (adguard.home.local etc.) über die WebGUI bequem administriert werden. Aktuell habe ich einen RaspberryPI als internen DNS-Server laufen, bei denen die internen Hostname auflöst und über Shell administriert werden muss. Auch die Firewall-Logs der pfSense hat man immer direkt den Überblick.

 

[chr1zZo]

UniFi hat nun mal ein sehr schönes GUI! (Das macht es für einfache Nutzer einfacher, es einzustellen) Für feinere Einstellungen und wesentlich mehr Umfang ist natürlich pfsense besser. (Oder vl. ein Mikrotik?)

Ansonsten brauchst du ja nur den Controller zum Verwalten der UniFi Geräte. Dort bräuchtest du dann aber nicht mehr allzu viel Konfigurieren, wenn die pfsense z.B. den Verkehr regelt.

 

[activetraffix]

Der Mini-PC HM90 hat 2 LAN-Ports. Hier würde ich den 1. Port als WAN und 2. Port als LAN konfigurieren. Port 1 als VLAN10 und Port 2 als VLAN101 konfigurieren. VLANs dann auf dem Proxmox-Host und der VM pfSense einrichten.
Oder doch lieber als Bond und beide VLANs auf die Ports konfigurieren?

 

[Raijin]

Die Konfiguration über die pfSense finde ich gegenüber dem UniFI-Controller besser. Auch kann über die pfSense die Geräte im Homelab durch den Hostname (adguard.home.local etc.) über die WebGUI bequem administriert werden. Aktuell habe ich einen RaspberryPI als internen DNS-Server laufen,

Hm? Du findest pfSense besser zu administrieren als Unifi - zumindest den DNS-Server, den du als Beispiel anführst - sprichst dann aber davon, dass der DNS auf einem PI läuft, den du ja über ssh administrierst. Äpfel schmecken besser als Birnen und weil du Pflaumen nicht magst, sind Birnen doof? Und was wurschtelst du denn überhaupt so häufig im DNS rum? Ich kann ja verstehen, das die grundsätzliche Konfiguration eines Routers und dessen Firewall mit einem dedizierten Router-/Firewall-OS umfangreicher ist als in Unifi - ich bin kein Fan von deren Routing-/Firewall-Sektion - aber gerade der DNS ist in meinen Augen das absolut schwächste Argument, insbesondere, wenn dieser bereits ausgelagert ist.

Der Mini-PC HM90 hat 2 LAN-Ports. Hier würde ich den 1. Port als WAN und 2. Port als LAN konfigurieren. Port 1 als VLAN10 und Port 2 als VLAN101 konfigurieren.

Auch da kann ich dir nicht folgen. Du hast 2 LAN-Ports und willst beide in jeweils ein VLAN packen. Why? Was sollen die VLANs an dieser Stelle bezwecken?

Vigor
(LAN)
|
(WAN)
pfSense @ Proxmox
(LAN)
|
Privates Netzwerk


Grundsätzlich funktioniert das so, aber ich persönlich hätte für solche Zwecke Hardware mit 3+ LAN-Schnittstellen eingesetzt damit man wenigstens 2 lokale Netzwerke physisch ausführen kann, ohne gleich mit VLANs rumhantieren zu müssen. VLANs kommen bei mir erst zum Einsatz, wenn mir die physischen Schnittstellen ausgehen oder wenn ich weiß, dass Netzwerk X und Y explizit keinen nennenswerten Traffic verursachen und sich problemlos eine Schnittstelle mittels VLAN teilen können (zB sowas wie IoT und mein quasi nie benutztes Gastnetzwerk)

 

[activetraffix]

Verfolge dieses Thema nicht mehr. Nutze weiterhin den UniFi Netzwerk-Controller. Durch den EInsatz von AdGuard im Netzwerk, gibt es dort eine Möglichkeit (DNS-Umleitung) über deren Weboberfläche auch eigene interne Domains einzutragen und zu nutzen.