Macht pfsense in einer VM sinn? / hardware suche



  • Hallo Volks! :)

    Ich bin nicht all zu tief in der IT Materie, ich habe 3 fireguard boxen selbst geflashed, und die laufen auch tip top,.. grund config hab ich auch alles selbst gemacht, firewall config hat mir dann aber unser IT Profi gemacht, to be sure all my cat pics are save ;P

    haben ein paar road worriers laufen, das klappt alles recht fein.

    Jetzt bin ich gerade am suchen was ich für ne Hardware für zu Hause nehmen soll, da ne site-to-site VPN in die Firma her soll. die Fireboxen fallen flach / hier steht kein Rack rum, und die sind nicht gerade leise,… ich hätte gerne einen kleinen Formfaktor so wie mein NUC,.. der läuft 24/7 als Media Kiste seit 2-3 Jahren und ist super leise und brav. die gibt es scheinbar jetzt auch mit 2 NICs

    http://www.jetwaycomputer.com/JBC311U93.html
    http://www.minipc.de/catalog/il/1874
    http://www.amazon.de/PC-Engines-APU-1D4-Netzteil-Speicher/dp/B00NXU0R7A/ref=pd_sim_147_3?ie=UTF8&dpID=41rymxRknNL&dpSrc=sims&preST=AC_UL160_SR160%2C160&refRID=0GRAFYZM6Y2ZEPMRWQCB

    Weiters würde ich gerne auf der Kiste auch gleich ne cloud laufen lassen, da ich mich in der glücklichen Lage bin hier eine 250/25Mbit leitung zu haben. und das für die paar Daten die ich da oben habe mit 25Mbit upload immer reichen wird.

    So und jetzt kommt die eigentliche Frage, soll ich die pfsense auf dem NUC in ner VM umgebung installieren, damit ich auch noch nen webserver und vl zukünfitig auch andere dienste laufen lassen kann, oder bin ich da am Holzweg? Habe ich das richtig verstanden dass die BSD-Umgebung auf der das pfsense läuft vermutlich keine weiteren Dienste zulässt? - ich bin nicht grad der Freund der Idee auf meiner Firewall ne Windows Kiste laufen zu haben...

    Bin offen für Vorschläge :) und schon mich nicht wenn ich am Holzweg bin -

    Lastenheft für die kleine Kiste

    • small form factor

    • dual nic

    • silent as possible

    • pfsense

    • option auf weitere Umgebungen, cloud ect,…

    • und es soll auch nicht mehr als 300€ kosten

    Ich sag mal Danke im Vorraus (.) (.)



  • Moin,

    eine Firewall würde ich persönlich nur zu Test- und Bastelzwecken virtulisieren, aber die Entscheidung muss jeder für sich treffen ;), ich kann nicht abschätzen wie hoch die Wahrscheinlichkeit für ein Sicherheitsproblem ist, deshalb schließe ich diesen Punkt durch separates Blech einfach aus.

    Für Deinen Anschluss (den ich auch gerne hätte :( )würde ich eine
    APU2 https://forum.pfsense.org/index.php?topic=101373.0 oder
    Lanner 1010 https://forum.pfsense.org/index.php?topic=104714.0 bzw. http://www.landitec.com/newsletter/newsletter_scope_16/news.html

    in die engere Wahl ziehen, sparsam, lüfterlos damit leise, keine bewegten Teile, außer Du baust eine konventionelle HD ein  ;).

    Wenn Du alles auf einer Kiste virtualisieren willst und nicht unbedingt einen Xeon (unverhältnissmäßig teuer)brauchst kannst Du ja auch über einen kleinen Server nachdenken: http://www.hardwareluxx.de/community/f101/hp-proliant-g8-g1610t-g2020t-i3-3240-e3-1220lv2-microserver-963207.html hat ebenfall 2x LAN + 1xLAN für iLo Management, damit kannst Du die Kiste ohne Monitor und Tastatur übers Netz aufsetzen, leider funktioniert die Konsole bei mir nur unter Windows, aber dafür bis auf Bios Ebene 8).
    Selbst der kleine Celeron läuft verdammt gut.

    -teddy


  • LAYER 8 Moderator

    Nur kurze Anmerkung: der Special Sale der NCA-1010 ist m.W. rum, den Sonderpreis gibts leider nicht mehr. Ansonsten kann ich Teddy nur zustimmen, bei 250/synchron solltest du unterhalb von NCA1010 oder APU2 nicht anfangen, da dir sonst die Bandbreite zu knapp wird, die die Kiste wuppen kann. Da bist du aber bei der NCA schon über 300€ leider. Und bei der APU2 ist auch nicht mehr soo viel Luft nach oben, da hast du aber KEINE weiteren Umgebungen drauf.

    Für 300€ was zu finden, wo du sinnvoll pfSense UND nocht was anderes draufpappen kannst, wird echt nicht ganz einfach, denn 250MBit synchron wollen auch gestemmt werden, und das ggf. auch verschlüsselt, wenn du VPN Tunnel in ne Firma bohrst.

    Grüße



  • Naja um mal eine andere Meinung zu vertreten.
    Ich habe diverse virtualisierte pfsense im Einsatz.
    Beruflich und privat.
    Sowohl unter ESXi als auch Hyper-V. Beides völlig problemlos und stabil.

    Sicherheitsbedenken? Keine. Eine dedizierte NIC an separatem vswitch für die VM nutzen. Oder wenn man sonst ganz unruhig schläft die NIC ganz an die VM durchreichen, dann hat der Hypervisor da gar keinen Zugriff drauf.

    Sonst gibt es nur die üblichen Vorteile einer Virtualisierung. Snapshots, einfache Backups, einfache Replikation, HA im Cluster.

    HW musst du selbst einigermaßen dimensionieren. 4 Kerne sind schon sinnvoll. Z.B. Atom C2558, nen i5 oder kleiner E3 Xeon.  400€ sind eher realistisch.
    Bei mir zu Hause langweilt sich die pfsense. Und das mit einem Kern.



  • Die vertretenen Meinungen zu diesem Thema sind eh immer die gleichen. Man braucht nur auf die letzten Threads dazu verweisen:
    https://forum.pfsense.org/index.php?topic=106143.0
    https://forum.pfsense.org/index.php?topic=107071.0

    @l4k3k3m4n:

    Oder wenn man sonst ganz unruhig schläft die NIC ganz an die VM durchreichen, dann hat der Hypervisor da gar keinen Zugriff drauf.

    Das funktioniert aber mit der angepeilten Hardware nicht, nicht mit einem embedded System und nicht mit einem Atom. Aber das wurde vermutlich auch schon in oben verlinkten Threads genannt.

    Es soll aber auch ganz sparsame Xeon Prozessoren geben, die können das, könnte aber den budgetären Rahmen etwas überziehen.



  • Also mein System zu Hause kann es (i5), aber die Funktion wird eh nicht genutzt da ich es (zumindest privat) für überflüssig halte  8)

    Ja die Meinungen gehen da weit auseinander, mal sehen ob das in 5 Jahren immer noch so ist.

    Mich würden da auch mal konkrete (!) Beispiele interessieren, wo eine Firewall tatsächlich kompromittiert wurde, nur weil sie virtualisiert war.
    Noch nie davon gehört.



  • Ich bin bei dir. Das hab in den anderen Threads, glaube ich, auch so zum Ausdruck gebracht.

    Egal ob die NIC durchgereicht wird oder nicht, in jedem Fall müsste erst der Hypervisor Host überlistet werden, um die virtualisierte Firewall zu umgehen. Auf dem Host läuft aber nichts Weiteres als die VMs, daher ist hier die Anfälligkeit gering, und von einer VM aus den Hypervisor zu kompromittieren ist bis dato eher nur in der Theorie möglich und unter ganz bestimmten Voraussetzungen.


  • LAYER 8 Moderator

    Aloha,

    ich sehe hier überhaupt keinen Grund, für zu Hause ein Fass aufzumachen was High-Security-Considerations angeht. Wenn man so hohe Anforderungen hätte, hat man eh ganz andere Probleme ;)
    Davon abgesehen halte ich wie gesagt eher den Price Point für zu niedrig um den ganzen Krams zu stemmen. 1-2 Kerne für die Sense reichen schon dicke, und für die 250MBit/s tuts ein kleiner Atom auch, der E-Atom bspw. aus der Lanner oder ein kleiner C2358 würden es schon tun. Aber dann ist da trotzdem keine große Luft mehr bei 300€ dann das noch so aufzubohren, dass man auf der Plattform noch nen NAS virtualisieren kann. Nicht das ich wüsste. Allein ein SOC mit C2358 oder sinnvollerweise C2558 oder C2758 (wenn schon virtualisieren), kommt mit RAM und kleiner SSD schon auf mehr als 300€ und da ist noch nichts in Richtung NAS gemacht (Platten etc.). Deshalb halte ich eher den Preispunkt für zu niedrig, wenn man hier noch zu virtualisieren anfangen möchte. Aber das ist nur meine Einschätzung, vielleicht gibts das supergünstige Hardware von der ich noch nichts weiß? Dann will ich solche auch :D



  • Hallo,
    bei uns läuft Pfsense seit 2013 quasi nebenbei unter Hyper-V unter Windows 10, ursprünglich Windows 8:
    Einachst core i5-Mainboard Bastelserver mit zusätzl. Twin-Realtek Netzwerkkarte, diese exkl. nur für pfsense im Multiwan (LTE und DSL) .
    Eine alte 80Gb Intel SSD als Bootlaufwerk und für die Hyper-V-VM.
    3x8 TB HDs als Speicher für unsere Netzwerkbackups und als Mediaserve mit Streamingdienste.  Diese nutzen exkl. eine 10 Gb Netzwerkarte für die Backupdienste. Brauche hier mind. 250Mb/s um alle unsere Vmware- und Windows-Server in der Nacht zu sichern.

    Alles in allem hat das unter 1.000 Euro gekostet (mit ursprl. 3x4TB), dabei war die 10Gb Netzwerkkarte mit Abstand das teuerste Teil.
    Die Firewallperformance ist um Lichtjahre besser als bei unserer Sophos-Kiste (wurde inzw. komplett stillgelegt) und Backups und Updates über Snapshots sind total einfach.
    Selbst bei Vollast auf dem 10Gb-Netz (max. 400Mb/s mehr schaffen die HDs beim Lesen nicht) merkt man bei der Firewallperformance nichts.


Log in to reply