Pfsense in einer VM (KVM) auf Workstation Rechner
-
Zitat: Kannst du nicht einfach beide Netzwerkkarten an die pfSense VM durchreichen?
Sorry ich glaube das geht scheinbar nicht aus meinem Text hervor aber genau das mache ich.
Die eine ist per Bridge vmbr0 Wan und die andere per vmbr1 Lan.Zitat: Eine verbindest du mit dem Internet, eine mit dem Switch
Genau das mache ich...Zitat:und die Workstation bindest du via Bridge über ein virtuelles Netzwerkinterface am Switch an?
Und da liegt mein Problem. Wie mache ich genau diesen Schritt. Das bekomme ich irgendwie nicht hin.
Danke und Gruß
-
aber genau das mache ich
Mit Durchreichen meinte ich PCI passthrough, damit sollte sich die Konfiguration deutlich vereinfachen.
Ich dachte wenn ich den default gateway auf das vmbr1 lege welches ja das Lan Netzwerk der Pfsense entspricht würde dies funktionieren, was aber leider nicht der Fall ist.
Was genau klappt denn nicht, wenn du das machst?
-
Mit Durchreichen meinte ich PCI passthrough, damit sollte sich die Konfiguration deutlich vereinfachen.
Tut mir leid das ich mich erst jetzt melde aber ich hatte sehr viel zu tun. Ich verstehe leider gar nicht was ich machen soll und bis jetzt funktioniert es auch überhaupt nicht den KVM host hinter die Pfsense Wall zu legen. Ich hatte am WE nochmal einen Tag experimentiert aber bin leider zu keiner Lösung gekommen.
Das einzige was ich geschafft habe ist per route add default gw "vmbr1 bridge IP" die Firewall anzusprechen über die IP Adresse die Pfsense vergibt. Aber alles andere keine Chance.
Man müsste quasi meiner Meinung nach eine Virtuelle Netzwerkkarte mit der Pfsense verbinden quasi wie als würde man einen Rechner an den Switch anschließen und den kompletten Netzwerkverkehr des Host darüber leiten. Aber wie man das macht das verstehe ich leider nicht.
Danke und ich entschuldige mich für die späte Antwort.
-
Die Workstation hat zwei eth Interfaces diese sind per bridge in die VM gemappt. Eine Karte hängt am Internet die andere an einem Switch
...
Das einzige was ich geschafft habe ist per route add default gw "vmbr1 bridge IP" die Firewall anzusprechenWenn eth1 am Internet und eth2 am Switch hängt, dann müsste der Befehl doch eigentlich
route add default gw <pfSense IP> <eth2>lauten, um den Internetverkehr der Workstation über den Switch zur Firewall zu leiten. -
@thiasaef said in Pfsense in einer VM (KVM) auf Workstation Rechner:
Kannst du nicht einfach beide Netzwerkkarten an die pfSense VM durchreichen?
Beide durchreichen ist nich möglich. Dann könnte man die Workstation ja nicht mehr damit verbinden.
Es kann bestenfalls die Internet-Schnittstelle per PCI-passthrough an die pfSense gereicht werden. -
@sense_noop said in Pfsense in einer VM (KVM) auf Workstation Rechner:
Ich dachte wenn ich den default gateway auf das vmbr1 lege welches ja das Lan Netzwerk der Pfsense entspricht würde dies funktionieren, was aber leider nicht der Fall ist.
Es sollte genau so problemlos funktionieren. So betreibe ich das schon jahrelang.
Was genau nicht geht, habe ich noch nicht verstanden. Kein Zugriff auf die anderen Rechner oder aufs Internet? Auf die pfSense kommst du von der Workstation?
-
doch, indem er die Workstation über eine virtuelle Schnittstelle mit der virtuellen Firewall verbindet.
Aber du hast schon recht, nur eth1 durchzureichen, würde hier wohl mehr Sinn machen.
-
@thiasaef said in Pfsense in einer VM (KVM) auf Workstation Rechner:
doch, indem er die Workstation über eine virtuelle Schnittstelle mit der virtuellen Firewall verbindet
Wenn die Hardware exklusiv der VM gehört, is nix mit Verbinden, soweit ich das kenne.
-
ob der Host Zugriff auf eine physische Netzwerkkarte besitzt oder nicht, spielt keine Rolle, wenn es darum geht, Host und Guest auf ein und demselben Rechner miteinander zu verbinden. Trotzdem ist dein Vorschlag, eth1 durchzureichen und eth2 im Bridge Modus zu betreiben, mit Sicherheit die eleganteste Lösung.
poste doch mal die Ausgabe von
route -nauf der Workstation. -
Ok nach langem hin und her habe ich es geschafft. Ich hatte die ganze Zeit einen Denkfehler. Ich habe der Bridge vmbr1 eine IP aus meinem Netzwerk hinter der Firewall gegeben und dachte ich Route dann über diese IP, da diese in der Pfsense gemappt ist. Das war komplett falsch!!! Jetzt gebe ich der Bridge eine IP aus dem Netzwerk hinter der Firewall und zwar aus dem Pfsense Bereich. Der ist in meinem Fall ein ganz anderer. Und der Gateway der Bridge und des Host nachher ist die IP des Netzwerkadapters der Pfsense und nicht wie ich es vorher auch noch falsch hatte, die IP der Bridge.
Hier aktuelle Auszug aus meiner
/etc/network/interface
auto vmbr1 iface vmbr1 inet static address 10.10.1.2/24 gateway 10.10.1.1 bridge_ports enx000ec7825e12 #switch bridge_stp off bridge_fd 0 bridge_maxwait 0Soweit bis da hin. Dann sobald die VM gestartet ist habe ich ein kleines hook script für qemu geschrieben was dann die Routen setzt.
cat /etc/libvirt/hooks/qemu #!/bin/bash if [ "${1}" = "pfsense" ]; then route del default ifconfig vmbr0 0.0.0.0 # Netzwerk vor der Pfsense loeschen route add default gw 10.10.1.1 fiSo funktioniert das perfekt. Das ist wirklich hervorragen und für meine Zwecke hier genau passend. Alle VM´s liegen jetzt hinter der Pfsense und wenn ich will alle Physischen Rechner inklusive dem Host die an dem Switch angeschlossen werden.
Ich danke allen die mit geholfen haben.
Beste Grüße
-
@sense_noop said in Pfsense in einer VM (KVM) auf Workstation Rechner:
Dann sobald die VM gestartet ist habe ich ein kleines hook script für qemu geschrieben was dann die Routen setzt.
Gab es ohne dem Probleme? Oder läuft die pfSense nicht permanent?
Mein Host kann auch nur über die darauf laufende pfSense VM mit anderen Subnetzen verbinden. Das hat bislang noch nicht gestört und keine Probleme gemacht.
-
Gab es ohne dem Probleme? Oder läuft die pfSense nicht permanent?
Mein Host kann auch nur über die darauf laufende pfSense VM mit anderen Subnetzen verbinden. Das hat bislang noch nicht gestört und keine Probleme gemacht.
Richtig der Rechner läuft nicht permanent, wenn ich aufhöre zu arbeiten dann ist der aus aber dann brauche ich auch nicht mehr die VM´s und den Rest der über den Switch angeschlossen ist dann habe ich Feierabend.
-
@sense_noop
Verstehe. Das ist klar.
Meine Home-pfSense läuft eben virtualisiert auf einem Mini-PC. Und der läuft ständig. -
Verstehe. Das ist klar.
Meine Home-pfSense läuft eben virtualisiert auf einem Mini-PC. Und der läuft ständig.Darf ich mal fragen was das für ein Mini-PC ist und ist dieser Lüfterlos?
-
https://www.qotom.net/product/28.html, die Kosten für so ein Teil liegen bei rund 200 Euro inkl. Versand, Einfuhrumsatzsteuer und Abwicklungsgebühr.
Ansonsten: https://www.ipu-system.de/produkte/ipu662.html, der höhere Preis kommt vor allem dadurch zustande, dass man keinen Celeron auswählen kann.
-
@sense_noop
Genau so etwas wie im ersten Link von @thiasaef
Meiner ist ein i5-4200U mit 4 Intel I211 NICs. Ja, die sind lüfterlos, was aber doch die Dauerleistung dämpft. Heißt man merkt es, wenn die Kerntemperaturen in die höhe gehen, dass er runterregelt.
Eine solche Leistung wird dem Ding bei mir aber selten abverlangt.
Nachteil meiner CPU ist, dass sie kein VT-d unterstützt. Daher sind alle NICs mit virtuellen Bridges verbunden. Aktuelle Modelle haben dieses Manko aber nicht mehr.Die Mobilprozessoren haben den Vorteil, dass sie sehr sparsam arbeiten. Das ganze Ding, das neben pfSene auch einen Nextcloudserver betreibt, benötigt in Ruhe etwa 7 Watt. Auf dieser Höhe liegt ein ganz normaler Router auch.
-
Vielen Dank euch beiden. Ich werde mir das mal durch den Kopf gehen lassen. Aber ich muss wirklich sagen das meine Lösung hier wirklich gut läuft.
Was ich auch ganz interessant finde sind diese Zotac Zbox´en.
Danke nochmal.
-
@sense_noop
Seinerzeit als ich nach einer Hardware gesucht hatte, gab es keine Zotak mit 4 NICs, was meine Mindestanforderung war. Das schränkte die Auswahl erheblich ein.
Vielleicht ist das heute schon anders.