Pfsense in einer VM (KVM) auf Workstation Rechner

sense_noop

Hallo,

ich hoffe das ich hier eventuell Hilfe bekomme, zu einer Frage die nicht direkt mit der Pfsense
etwas zu tun hat.

Es ist so, auf einem Workstation PC betreibe ich eine Pfsense, die verschiedene VM´s sichert. Das funktioniert alles soweit.

Die Workstation hat zwei eth Interfaces diese sind per bridge in die VM gemappt. Eine Karte hängt am Internet die andere an einem Switch an dem andere Rechner hängen die dann auch über die Pfsense gesichert werden. Dies funktioniert auch perfekt.

Jetzt zu meiner Frage. Ich würde jetzt gerne meine Workstation auf der die VM von Pfsense läuft
auch über die VM absichern. Sprich den kompletten Datenverkehr über die Pfsense leiten als wäre die Workstation am Switch angeschlossen.

Ich versuche das jetzt seit 2 Tagen mit der Kernel routing Tabelle hinzubekommen aber leider absolut ohne Erfolg.

Ich dachte wenn ich den default gateway auf das vmbr1 lege welches ja das Lan Netzwerk der Pfsense entspricht würde dies funktionieren, was aber leider nicht der Fall ist.

Hat vielleicht jemand schon mal sowas gemacht oder ist es generell unmöglich dies umzusetzen.

Ja ich weiß das geht wahrscheinlich mehr in die Linux ecke aber ich dachte wenn ich vielleicht noch was in der Pfsense ändern muss bin ich doch wieder hier im Forum richtig.

Danke schon mal fürs lesen.

thiasaef

@sense_noop

Kannst du nicht einfach beide Netzwerkkarten an die pfSense VM durchreichen? Eine verbindest du mit dem Internet, eine mit dem Switch und die Workstation bindest du via Bridge über ein virtuelles Netzwerkinterface am Switch an?

Aber nur weil etwas geht, muss man es noch lange nicht machen. Ich würde über dedizierte Hardware für die Firewall nachdenken.

sense_noop

@thiasaef

Zitat: Kannst du nicht einfach beide Netzwerkkarten an die pfSense VM durchreichen?

Sorry ich glaube das geht scheinbar nicht aus meinem Text hervor aber genau das mache ich.
Die eine ist per Bridge vmbr0 Wan und die andere per vmbr1 Lan.

Zitat: Eine verbindest du mit dem Internet, eine mit dem Switch
Genau das mache ich...

Zitat:und die Workstation bindest du via Bridge über ein virtuelles Netzwerkinterface am Switch an?

Und da liegt mein Problem. Wie mache ich genau diesen Schritt. Das bekomme ich irgendwie nicht hin.

Danke und Gruß

thiasaef

aber genau das mache ich

Mit Durchreichen meinte ich PCI passthrough, damit sollte sich die Konfiguration deutlich vereinfachen.

Ich dachte wenn ich den default gateway auf das vmbr1 lege welches ja das Lan Netzwerk der Pfsense entspricht würde dies funktionieren, was aber leider nicht der Fall ist.

Was genau klappt denn nicht, wenn du das machst?

sense_noop

@thiasaef

Mit Durchreichen meinte ich PCI passthrough, damit sollte sich die Konfiguration deutlich vereinfachen.

Tut mir leid das ich mich erst jetzt melde aber ich hatte sehr viel zu tun. Ich verstehe leider gar nicht was ich machen soll und bis jetzt funktioniert es auch überhaupt nicht den KVM host hinter die Pfsense Wall zu legen. Ich hatte am WE nochmal einen Tag experimentiert aber bin leider zu keiner Lösung gekommen.

Das einzige was ich geschafft habe ist per route add default gw "vmbr1 bridge IP" die Firewall anzusprechen über die IP Adresse die Pfsense vergibt. Aber alles andere keine Chance.

Man müsste quasi meiner Meinung nach eine Virtuelle Netzwerkkarte mit der Pfsense verbinden quasi wie als würde man einen Rechner an den Switch anschließen und den kompletten Netzwerkverkehr des Host darüber leiten. Aber wie man das macht das verstehe ich leider nicht.

Danke und ich entschuldige mich für die späte Antwort.

thiasaef

Die Workstation hat zwei eth Interfaces diese sind per bridge in die VM gemappt. Eine Karte hängt am Internet die andere an einem Switch
...
Das einzige was ich geschafft habe ist per route add default gw "vmbr1 bridge IP" die Firewall anzusprechen

Wenn eth1 am Internet und eth2 am Switch hängt, dann müsste der Befehl doch eigentlich route add default gw <pfSense IP> <eth2> lauten, um den Internetverkehr der Workstation über den Switch zur Firewall zu leiten.

viragomann

@thiasaef said in Pfsense in einer VM (KVM) auf Workstation Rechner:

Kannst du nicht einfach beide Netzwerkkarten an die pfSense VM durchreichen?

Beide durchreichen ist nich möglich. Dann könnte man die Workstation ja nicht mehr damit verbinden.
Es kann bestenfalls die Internet-Schnittstelle per PCI-passthrough an die pfSense gereicht werden.

viragomann

@sense_noop said in Pfsense in einer VM (KVM) auf Workstation Rechner:

Ich dachte wenn ich den default gateway auf das vmbr1 lege welches ja das Lan Netzwerk der Pfsense entspricht würde dies funktionieren, was aber leider nicht der Fall ist.

Es sollte genau so problemlos funktionieren. So betreibe ich das schon jahrelang.

Was genau nicht geht, habe ich noch nicht verstanden. Kein Zugriff auf die anderen Rechner oder aufs Internet? Auf die pfSense kommst du von der Workstation?

thiasaef

@viragomann

doch, indem er die Workstation über eine virtuelle Schnittstelle mit der virtuellen Firewall verbindet.

Aber du hast schon recht, nur eth1 durchzureichen, würde hier wohl mehr Sinn machen.

viragomann

@thiasaef said in Pfsense in einer VM (KVM) auf Workstation Rechner:

doch, indem er die Workstation über eine virtuelle Schnittstelle mit der virtuellen Firewall verbindet

Wenn die Hardware exklusiv der VM gehört, is nix mit Verbinden, soweit ich das kenne.

thiasaef

@viragomann

ob der Host Zugriff auf eine physische Netzwerkkarte besitzt oder nicht, spielt keine Rolle, wenn es darum geht, Host und Guest auf ein und demselben Rechner miteinander zu verbinden. Trotzdem ist dein Vorschlag, eth1 durchzureichen und eth2 im Bridge Modus zu betreiben, mit Sicherheit die eleganteste Lösung.

@sense_noop

poste doch mal die Ausgabe von route -n auf der Workstation.

sense_noop

Ok nach langem hin und her habe ich es geschafft. Ich hatte die ganze Zeit einen Denkfehler. Ich habe der Bridge vmbr1 eine IP aus meinem Netzwerk hinter der Firewall gegeben und dachte ich Route dann über diese IP, da diese in der Pfsense gemappt ist. Das war komplett falsch!!! Jetzt gebe ich der Bridge eine IP aus dem Netzwerk hinter der Firewall und zwar aus dem Pfsense Bereich. Der ist in meinem Fall ein ganz anderer. Und der Gateway der Bridge und des Host nachher ist die IP des Netzwerkadapters der Pfsense und nicht wie ich es vorher auch noch falsch hatte, die IP der Bridge.

Hier aktuelle Auszug aus meiner

/etc/network/interface

auto vmbr1
iface vmbr1 inet static
        address 10.10.1.2/24
        gateway 10.10.1.1
        bridge_ports enx000ec7825e12 #switch
        bridge_stp off
        bridge_fd 0
        bridge_maxwait 0

Soweit bis da hin. Dann sobald die VM gestartet ist habe ich ein kleines hook script für qemu geschrieben was dann die Routen setzt.

cat /etc/libvirt/hooks/qemu

#!/bin/bash

if [ "${1}" = "pfsense" ]; then
        route del default
        ifconfig vmbr0 0.0.0.0 # Netzwerk vor der Pfsense loeschen
        route add default gw 10.10.1.1
fi

So funktioniert das perfekt. Das ist wirklich hervorragen und für meine Zwecke hier genau passend. Alle VM´s liegen jetzt hinter der Pfsense und wenn ich will alle Physischen Rechner inklusive dem Host die an dem Switch angeschlossen werden.

Ich danke allen die mit geholfen haben.

Beste Grüße

viragomann

@sense_noop said in Pfsense in einer VM (KVM) auf Workstation Rechner:

Dann sobald die VM gestartet ist habe ich ein kleines hook script für qemu geschrieben was dann die Routen setzt.

Gab es ohne dem Probleme? Oder läuft die pfSense nicht permanent?

Mein Host kann auch nur über die darauf laufende pfSense VM mit anderen Subnetzen verbinden. Das hat bislang noch nicht gestört und keine Probleme gemacht.

sense_noop

Gab es ohne dem Probleme? Oder läuft die pfSense nicht permanent?

Mein Host kann auch nur über die darauf laufende pfSense VM mit anderen Subnetzen verbinden. Das hat bislang noch nicht gestört und keine Probleme gemacht.

Richtig der Rechner läuft nicht permanent, wenn ich aufhöre zu arbeiten dann ist der aus aber dann brauche ich auch nicht mehr die VM´s und den Rest der über den Switch angeschlossen ist dann habe ich Feierabend.

viragomann

@sense_noop
Verstehe. Das ist klar.
Meine Home-pfSense läuft eben virtualisiert auf einem Mini-PC. Und der läuft ständig.

sense_noop

Verstehe. Das ist klar.
Meine Home-pfSense läuft eben virtualisiert auf einem Mini-PC. Und der läuft ständig.

Darf ich mal fragen was das für ein Mini-PC ist und ist dieser Lüfterlos?

thiasaef

@sense_noop

https://www.qotom.net/product/28.html, die Kosten für so ein Teil liegen bei rund 200 Euro inkl. Versand, Einfuhrumsatzsteuer und Abwicklungsgebühr.

Ansonsten: https://www.ipu-system.de/produkte/ipu662.html, der höhere Preis kommt vor allem dadurch zustande, dass man keinen Celeron auswählen kann.

viragomann

@sense_noop
Genau so etwas wie im ersten Link von @thiasaef

Meiner ist ein i5-4200U mit 4 Intel I211 NICs. Ja, die sind lüfterlos, was aber doch die Dauerleistung dämpft. Heißt man merkt es, wenn die Kerntemperaturen in die höhe gehen, dass er runterregelt.
Eine solche Leistung wird dem Ding bei mir aber selten abverlangt.
Nachteil meiner CPU ist, dass sie kein VT-d unterstützt. Daher sind alle NICs mit virtuellen Bridges verbunden. Aktuelle Modelle haben dieses Manko aber nicht mehr.

Die Mobilprozessoren haben den Vorteil, dass sie sehr sparsam arbeiten. Das ganze Ding, das neben pfSene auch einen Nextcloudserver betreibt, benötigt in Ruhe etwa 7 Watt. Auf dieser Höhe liegt ein ganz normaler Router auch.

sense_noop

@viragomann @thiasaef

Vielen Dank euch beiden. Ich werde mir das mal durch den Kopf gehen lassen. Aber ich muss wirklich sagen das meine Lösung hier wirklich gut läuft.

Was ich auch ganz interessant finde sind diese Zotac Zbox´en.

Danke nochmal.

viragomann

@sense_noop
Seinerzeit als ich nach einer Hardware gesucht hatte, gab es keine Zotak mit 4 NICs, was meine Mindestanforderung war. Das schränkte die Auswahl erheblich ein.
Vielleicht ist das heute schon anders.