Virtualisierung von pfSense in VMware vSphere 5.5



  • Hallo,

    ich habe heute wieder eine Diskussion über die Virtualisierung  von Firewalls führen müssen. Bis heute laufen meine drei pfSensen alle auf jeweils einen Dell PowerEdge Server. Es kam das Argument mit dem IPCop… Dort ist ja verpännt, den Cop virtuell zu betreiben.

    Ich will zu Entwicklungs- und Testzwecken mit ein pfSense Cluster in meine Vmware Umgebung schieben. Ich habe ein Vier-Node-Cluster mit jeweil 2x 10 GBit und ein FC-SAN mit min. 2500 IOPS/Sek. Könnte also hunderte pfSense'n darin betreiben. Zudem habe ich ein leistungsfähiges (VLAN)-Routing.

    Hand aufs Herz, was ist eure persönliche Meinung dazu?



  • Hallo shiversc,

    ich virtualisiere gerade eine pfsense + unifi WiFi Controller für unserer Außenstelle. Dort hängen aber auch nur drei Schulungsrechner hinter der Hardware.
    Wenn Ihr ein VMware Cluster habt das identische Hardware hat und die VM´s bei Ausfall automatisch verschoben werden, spricht meiner Meinung nach nichts gegen die Virtualisierung. Wenn dir ein ESX ausfällt hast du eh andere gedanken als die pfSense ;-)

    mfg



  • Hallo Thomas, es geht weniger um den Ausfall, Inhalt der Diskussion war u. a. …  http://www.ipcop-forum.de/unipcop.php

    Es geht also um "Sicherheit"...

    Ich mache auch UniFi ;)



  • Ich finde den Artikel ja ganz nett und schön das sich das IPcop Team so sehr um die installationen der User kümmert.
    Eines kann ich da nur sagen, wenn es dir bzw. deiner Firma um Sicherheit geht. Ist das ein Fass ohne Boden. Wo fängst du an wo hörst du auf?
    retundantes RZ, Klimaanlage, Stromversorgung, Server, Netzwerkkomponenten(Firewall,Switch&Verkabelung). Abgesehen von OS und Anwendung die immer aktuell sein sollten. sollten Firmen USB-Sticks verschlüsselt sein und nur an PC/Notebooks der Firma verwendet werden, Fremde sticks dürfen nicht gemountet werden. CD Laufwerke sollten von den usern nicht verwendet werden können sind potentielle Virenschleudern. Festplattenverschlüsselung bei Mobilgeräten. Und was machst du mit Mobil Device? Mailserver mit activsync nach außen aufbohren? BYOD oder nicht? (ich empfehle kein BYOD zu machen). Ich hör hier jetzt mal auf mit Beispielen…

    Im Endeffekt will ich dir nur sagen das Sicherheit teuer ist und es sich um einen Prozess handelt, der nie endet! Spielt Geld keine Rolle dann mach Hardware-Firewalls. Ansonsten musst du für dich und deine Firma abschätzen, ob du VM´s machen möchtest und etwas Geld sparrst oder eben wo anderes etwas kürzer trittst.

    Bist du zufrieden mit UniFI? In der Außenstelle werde ich wohl nur einen AP aufbauen  ;)



  • Ich teile deine Argumentation. Ich wollte nur mal hören ob im pfSense-Bereich auch eine Doktrin in diesen Thema herrscht.

    Dieses Woche ist mein 34. Access Point online gegangen, hier am Standort. Das P/L-Verhältnis ist unschlagbar. Ich habe vier SSIDs und drei VLANS zzzgl. Management-Netz. Wirklich tolles Zeugs…


Log in to reply