11
Umsetzung von VLANs und LAGs in pfSense in Kombination mit VM (Proxmox)
Liebe Gemeinde,
testweise würde ich gerne pfSense unter Proxmox installieren und einrichten. Die Hardware hat 4 NICS und wird mit einem Modem (PPPoE) sowie mit einem Switch verbunden (SG300; Layer-2-Betrieb). Eine NIC benötige ich für das WAN, die anderen drei würde ich gerne als LAG mit dem Switch verbinden. Diese würden als Trunk meine VLANs zwischen den Geräten verbinden. Nun komme ich zu meiner Frage. Welche Umsetzung wäre dafür eurer Meinung nach am besten? Bislang ziehe ich die folgenden in Betracht:
1.) Bond auf Proxmox einrichten (3 NICS) sowie Linux Brige. Proxmox-Gui in VLAN isolieren (ebenfalls auf Proxmox eingerichtet). Die anderen VLANs würde ich unter pfSense einrichten und verwalten.
2.) LAG unter pfSense einrichten (entweder mit Linux-Bridges in Proxmox, oder direkt in Proxmox durchreichen)
Ich habe also im Wesentlichen die folgende Fragen:
1.) Wo richte ich die LAG ein (Proxmox oder pfSense)?
2.) Wo richte ich die VLANs ein?
3.) Verwende ich besser Linux-Bridges (wie von Proxmox präferiert), oder reiche ich die Schnittstellen einfach durch?
Meine Fragen beziehen sich sowohl auf Sicherheit, als auch auf Performance.
Vielen Dank im Voraus!
testweise würde ich gerne pfSense unter Proxmox installieren und einrichten. Die Hardware hat 4 NICS und wird mit einem Modem (PPPoE) sowie mit einem Switch verbunden (SG300; Layer-2-Betrieb). Eine NIC benötige ich für das WAN, die anderen drei würde ich gerne als LAG mit dem Switch verbinden. Diese würden als Trunk meine VLANs zwischen den Geräten verbinden. Nun komme ich zu meiner Frage. Welche Umsetzung wäre dafür eurer Meinung nach am besten? Bislang ziehe ich die folgenden in Betracht:
1.) Bond auf Proxmox einrichten (3 NICS) sowie Linux Brige. Proxmox-Gui in VLAN isolieren (ebenfalls auf Proxmox eingerichtet). Die anderen VLANs würde ich unter pfSense einrichten und verwalten.
2.) LAG unter pfSense einrichten (entweder mit Linux-Bridges in Proxmox, oder direkt in Proxmox durchreichen)
Ich habe also im Wesentlichen die folgende Fragen:
1.) Wo richte ich die LAG ein (Proxmox oder pfSense)?
2.) Wo richte ich die VLANs ein?
3.) Verwende ich besser Linux-Bridges (wie von Proxmox präferiert), oder reiche ich die Schnittstellen einfach durch?
Meine Fragen beziehen sich sowohl auf Sicherheit, als auch auf Performance.
Vielen Dank im Voraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6283618551
Url: https://administrator.de/contentid/6283618551
Printed on: April 27, 2024 at 21:04 o'clock
11 Comments
Latest comment
Moin.
hab ein ähnliches Setup.
PVE -> Bond/LACP/Layer2+3 ... und den SG300 nicht vergessen
LACP/IP/MAC
pfsense
Linux-Bridge. Ist für mich in Verbindung mit Pkt. 1 und 2 einfacher bei Backup/Restore der *sense VM oder Umzug auf andere Hardware.
cf
hab ein ähnliches Setup.
1.) Wo richte ich die LAG ein (Proxmox oder pfSense)?
PVE -> Bond/LACP/Layer2+3 ... und den SG300 nicht vergessen
LACP/IP/MAC2.) Wo richte ich die VLANs ein?
pfsense
3.) Verwende ich besser Linux-Bridges (wie von Proxmox präferiert), oder reiche ich die Schnittstellen einfach durch?
Linux-Bridge. Ist für mich in Verbindung mit Pkt. 1 und 2 einfacher bei Backup/Restore der *sense VM oder Umzug auf andere Hardware.
cf
1
Ggf. auch lesenswert zu der Thematik:
Link Aggregation (LAG) im Netzwerk
Pfsense in Proxmox als Router
Firewall VM Setup Proxmox
Link Aggregation (LAG) im Netzwerk
Pfsense in Proxmox als Router
Firewall VM Setup Proxmox
@aqui: Danke, die Seiten kenne ich.
@clubfreund: Die beschrieben Umsetzung hatte ich auch bereits ausprobiert.
Kann mir jemand sagen, wo die Vor- und Nachteile bzgl. der Sicherheit und der Performance liegen?
Das VLAN für die Proxmox-Gui definiere ich doch direkt in Proxmox, oder?
@clubfreund: Die beschrieben Umsetzung hatte ich auch bereits ausprobiert.
Kann mir jemand sagen, wo die Vor- und Nachteile bzgl. der Sicherheit und der Performance liegen?
Das VLAN für die Proxmox-Gui definiere ich doch direkt in Proxmox, oder?
Hallo,
ich würde die VLANs immer in Proxmox konfigurieren, sprich auf pfSense mit untagged Interfaces arbeiten. Andernfalls wird das Zusammenspiel mit anderen VMs etwas unübersichtlich.
Die Aufteilung der physischen Ports ist nicht direkt erforderlich. Den Aspekt, ein WAN-Modem nicht auf dem Switch, sondern "direkt" an der pfSense zu haben, kann man meines Erachtens vernachlässigen, wenn ohnehin auch ein Hypervisor im Spiel ist. Ein Trunk über das 4-fach-LAG, der Switch koppelt alle VLANs für die physischen Geräte aus, Proxmox die VLANs der VMs.
Grüße
Richard
ich würde die VLANs immer in Proxmox konfigurieren, sprich auf pfSense mit untagged Interfaces arbeiten. Andernfalls wird das Zusammenspiel mit anderen VMs etwas unübersichtlich.
Die Aufteilung der physischen Ports ist nicht direkt erforderlich. Den Aspekt, ein WAN-Modem nicht auf dem Switch, sondern "direkt" an der pfSense zu haben, kann man meines Erachtens vernachlässigen, wenn ohnehin auch ein Hypervisor im Spiel ist. Ein Trunk über das 4-fach-LAG, der Switch koppelt alle VLANs für die physischen Geräte aus, Proxmox die VLANs der VMs.
Grüße
Richard
1
Vielen Dank für die Antworten!
Vermutlich sind meine Fragen noch nicht konkret genug.
@c.r.s. mir ist bewusst, dass ich alles so wie bei Single-NIC konfigurieren kann, wenn ich einen Bond (LAG) über alle vier Ports verwende.
Ich würde dennoch gerne wissen, welche Variante ihr vor dem Hintergrund Sicherheit und Performance bevorzugen würdet. Natürlich ist Administrierfähigkeit ebenfalls wichtig.
Vermutlich sind meine Fragen noch nicht konkret genug.
@c.r.s. mir ist bewusst, dass ich alles so wie bei Single-NIC konfigurieren kann, wenn ich einen Bond (LAG) über alle vier Ports verwende.
Ich würde dennoch gerne wissen, welche Variante ihr vor dem Hintergrund Sicherheit und Performance bevorzugen würdet. Natürlich ist Administrierfähigkeit ebenfalls wichtig.
welche Variante ihr vor dem Hintergrund Sicherheit und Performance bevorzugen würdet.
Sowas zum Beispiel.Zitat von @Frontier:
Ich würde dennoch gerne wissen, welche Variante ihr vor dem Hintergrund Sicherheit und Performance bevorzugen würdet. Natürlich ist Administrierfähigkeit ebenfalls wichtig.
Ich würde dennoch gerne wissen, welche Variante ihr vor dem Hintergrund Sicherheit und Performance bevorzugen würdet. Natürlich ist Administrierfähigkeit ebenfalls wichtig.
Die Frage nach dem Performaceunterschied zwischen durchgereichter und "virtualisierter" NIC wirst du dir selber mit Tests beantworten müssen. Da gibts, denke ich, zu viele individuelle Faktoren um da pauschal eine Antwort zu geben. Ich hatte da auch etwas recherchiert und auf Reddit, ServeTheHome und in den Foren von OPNSense, Proxmox und unraid auch einiges gefunden, für mich aus o. g. Grund, aber nicht weiter verfolgt.
Vielen Dank für die Antworten!
Meine Zusammenfassung wäre:
1.) Die meisten von euch präferieren, die VLANs direkt in Proxmox zu definieren (einfachere Administrierfähigkeit).
2.) In Hinblick auf Performance scheint es leider auf Trial-and-Error hinauszulaufen - eigentlich nicht so schön. Ich hatte gehofft, es gib bereits Benchmarks. Gefunden habe ich diese jedoch auch nicht.
Abschließende Frage:
3.) Was die Sicherheit anbelangt, so würde ich gerne noch eure Meinung hören. Im Groben sehe ich drei Vorgehensweisen.
Meine Zusammenfassung wäre:
1.) Die meisten von euch präferieren, die VLANs direkt in Proxmox zu definieren (einfachere Administrierfähigkeit).
2.) In Hinblick auf Performance scheint es leider auf Trial-and-Error hinauszulaufen - eigentlich nicht so schön. Ich hatte gehofft, es gib bereits Benchmarks. Gefunden habe ich diese jedoch auch nicht.
Abschließende Frage:
3.) Was die Sicherheit anbelangt, so würde ich gerne noch eure Meinung hören. Im Groben sehe ich drei Vorgehensweisen.
- Wie von C.R.S. vorgeschlagen: Einen LAG mit allen vier Ports und die Trennung von WAN und LAN durch VLANS (Ich fühle mich jedoch mit meinem alten SG300 Switch dabei nicht so wohl, dass WAN über den Switch zu führen).
- WAN (1 Port) und LAN (3 Ports; ebenfalls LAG) - der Rest wie oben.
- Wie im Link von Aqui: Hauptrouting im Layer-3-Switch - finde ich eigentlich aufgrund der Funktionalität der Firewall suboptimal.
... doch noch eine zweite Abschlussfrage:
Wie kann ich am besten das fertige Setup in Hinblick auf Sicherheit aus dem Internet testen? Ich hätte nur ungern Lücken im System. Da gibt es doch bestimmt Benchmarks bzw. Skripte.
Wie kann ich am besten das fertige Setup in Hinblick auf Sicherheit aus dem Internet testen? Ich hätte nur ungern Lücken im System. Da gibt es doch bestimmt Benchmarks bzw. Skripte.
finde ich eigentlich aufgrund der Funktionalität der Firewall suboptimal.
Das kommt auf deine Zielstellung an. Will man maximale Performance dann Routing auf dem Switch weil der das in Silizium macht. Nachteil: ACLs sind nicht Stateful will man Zugriffs Limitierungen.Gesamtes Routing auf der FW ist dann Stateful allergings ist die Performance über one armed LAG und dazu noch Virtualisierung dann niedriger.
Welchem du Priorität gibst ist dann deine persönliche Entscheidung.
Wie kann ich am besten das fertige Setup in Hinblick auf Sicherheit aus dem Internet testen?
nmap ist, wie immer, dein bester Freund dafür!
@aqui: Zu Hause ist nicht viel zu routen : - ). Hauptrouting ist zwischen LAN und WAN. Das könnte ich aber so oder so nicht "outsourcen".
Danke an alle!
Danke an alle!
