Proxmox VM -> OPNSense

blackraven

Commander
Registriert
Dez. 2004
Beiträge
2.277
Moin,

ich habe einen Server aufgesetzt und OPNSense, Pi-hole installiert.
Der Server hat 2 NIC und ist mit vmbr0 an LAN und vmbr1 an WAN, also direkt am Glasfaser-HÜP.

OPNsense läuft auch soweit, allerdings stell ich mir die Frage ob es richtig konfiguriert ist. Der Proxmoxserver ist ja quasi mit dem WAN ungeschützt angeschlossen, da die OPNSense virtuell läuft. Oder denke ich da zu kompliziert?

Danke euch.
 

Anhänge

  • NIC.jpg
    NIC.jpg
    36,8 KB · Aufrufe: 230
ich würde eine firewall opnsene appliance vor proxmox packen oder zumindest das Wan Interface explizit in die VM packen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Azdak
Ich sehe das Problem nicht.
Die WAN Nic exklusiv der VM zuweisen.
Wie soll über den HÜP etwas rein kommen? Opnsense baut eine PPPoE Verbindung zum Modem auf und darüber läuft alles.
Welche Regeln sollte eine Firewall zwischen Modem und /am Proxmox den haben?
 
  • Gefällt mir
Reaktionen: Domi83
Ich würde die Firewall nie virtualisieren :)

Aber zu deinem Problem: mach doch einfach HW passtrough der nic an die VM, dann hat der Server sie nicht mehr und kann sich auch nichts einfangen.
 
  • Gefällt mir
Reaktionen: blackraven, andimo3 und dj-melo
Ja wollte ich auch noch ergänzen - ein virtualisierter Router hat natürlich eine höhere Ausfallwahrscheinlichkeit.
Proxmox zerschossen oder Opnsense zerschossen.
 
@cloudman
Hat auch Vorteile:
  • Snapshot von der laufenden Firewall VM ziehen
  • Update in der Firewall installieren
  • nach dem Update funktioniert nix mehr
  • Snapshot zurückspielen
  • Firewall funktioniert wieder 👍


Aber ja, den NIC auf der WAN Seite würde ich auch per PCIe Passthrough an die VM durchreichen.
 
  • Gefällt mir
Reaktionen: kamanu
Firewall in eine VM, sehe ich ebenfalls keine Probleme. Genau das Szenario hab ich auch.

Hab nen kleinen Mini PC, Proxmox drauf und darin läuft ne OPNsense und daneben ein Pi-Hole.

Die Systeme machen regelmäßig Backups und wenn die VM kaputt ist, zurückspielen, freuen, weitermachen.

Warum diese Massen an Ressourcen verschwenden, wenn man sie recht Sinnvoll verwenden kann.

Wenn man jetzt eventuell ein System mit mehreren zig Leuten hat, dann könnte man überlegen ob man die Firewall wirklich dediziert (als eigenes Gerät) laufen lässt, aber falls es sich hier um eine Home Lösung handelt, warum nicht?!

Zumal ich sogar drei Ports durch gereicht habe. 1x LAN, 2x WAN aufgrund eines geplanten Fail-Overs ;)

polyphase schrieb:
den NIC auf der WAN Seite würde ich auch per PCIe Passthrough an die VM durchreichen.
Wie lässt sich das denn im Proxmox direkt durchschleifen? Ich hab im Proxmox bisher auch ein Bridge Device angehlegt und fand den Gedanken auch eher un-sexy :)
 
cloudman schrieb:
Wie soll über den HÜP etwas rein kommen? Opnsense baut eine PPPoE Verbindung zum Modem auf und darüber läuft alles.

Es ist ein aktiver HÜP (Genexis Hybrid).

@All
Ich habe auch eine APU2D4 mit pfsense, aber aktuell vom Netz und eigentlich wollte ich keine Diskussion über Sinn und Unsinn anstoßen, da kann ja jeder handhaben wie er möchte.

Mir stellt sich nur die Frage ob der Proxmox VM nun über den WAN NIC exposed im Netz steht oder nicht.
Wenn ich es direkt durchreiche an den OPNsense VM dann jedenfalls nicht mehr?
 
blackraven schrieb:
Mir stellt sich nur die Frage ob der Proxmox VM nun über den WAN NIC exposed im Netz steht oder nicht.
Wenn ich es direkt durchreiche an den OPNsense VM dann jedenfalls nicht mehr?
Wurde doch schon zig Mal gesagt. Einfach den WAN Nic direkt an die Opnsense VM durchreichen, dann hast du deine Probleme gelöst. Wie man es macht, wurde ja auch schon als Link gepostet
 
Hm, hättest Du Interesse an einer OPNsense auf einem N450 mit 4xLAN? :D
Ich habe meine Hardware heute zurückgesetzt und rüste gerade um auf Sophos bzw Fortinet.
Die steht dann auch vor meinem Proxmox.
 
Zurück
Oben