QNAP TS-x53(Be) für VM's, VLANS und Container

    Hallo,


    z. Z. benutze ich Proxmox auf einer Workstation Hardware würde diese aber gern tauschen gegen ein kompaktes x86 NAS. Leider kenne ich aber weder QNAP noch Synology so wirklich und weiß auch nicht um die Möglichkeiten der Software. Hier angemeldet habe ich mich, da es mir so scheint als wäre QNAP geeignet für mich (zwei Netzwerkanschlüsse, PCIe Erweiterungsschacht... )

    Die Livedemo der QNAP Softwre und von Synology habe ich mir angesehen. Leider aber gibt es den Virtualization Manager nicht in der Demo und auch VLANs habe ich nicht gefunden. Da das System aber ja Linuxbasiert ist, sollte ja alles wie bisher auch laufen. Als Hypervisor wird ja sicherlich KVM genutzt. Gern hätte ich nur dazu ein paar Infos von jmd. der Erfahrungen hat mit der QNAP. Da es aktuell die x53(Be) mit 20% Nachlass in einem großen Onlineshop gibt überlege ich auf die TS-453Be umzusteigen. Diese würde leer aktuell 359 € kosten.


    Meine IST-Situation:

    - Proxmox host (Xeon E3 CPU, 24 GB RAM, 2x 3 TB IronWolf, 2x 128 GB SSD Cache und Log (z. Z. ZFS Filesystem)

    - 1x OPNSense VM (Fork von pfSense) mit diversen VLAN Netzwerkadaptern

    - diverse LX Container (UniFi Wifi und Video Controller, Samba, Plex, ioBroker, Repetier)

    - VLANs für LAN, DMZ, Guest Wifi, IoT und Management


    SOLL:

    - im Grunde alles wie oben, dass Samba etwa nativ läuft weiß ich. Daher wäre kein Container mehr nötig.

    - VLANs wie bisher auch

    - 1x OPNsense VM

    - Samba nativ auf der QNAP. Für UniFi gibt es ja auch entsprechend fertige Vorlagen (als Docker Image?!). Hier gibt es wohl keine Probleme.


    Meine Fragen sind:

    1. Kann ich problemlos einen Port Trunk mit VLANs einrichten, diesen an die OPNSense durchreichen um alle notwendigen VLANs nach draussen an meinen Switch zu geben?

    2. Und kann ich VLANs zwischen VM's und Containern einrichten? (Plex läuft z. Bsp. in der DMZ, UniFi Controller, bzw. alles was Management ist (Access Points, Switch IP usw. im Managementnetzwerk). Smarthome Geräte wie Staubsauger, Logitech Harmony usw. laufen im IoT VLAN.


    Vielen Dank für eure Antworten.


    P.S.: Ich weiß, dass meine jetzige Hardware wesentlich leistungsfähiger ist als die QNAP es wäre. Ich brauche diese Leistung aber nicht wirklich. Die Maschine dümpelt nur so vor sich hin.

    Der vSwitch kann nix, keine Vlans und damit keine Zuweisungen an die einzelnen VMs.


    Du kannst aber tagged Frames auf einen Link packen und einen eigenen vSwitch erstellen und nur mit dem DMZ Interface der FW verbinden.

    Den anderen vSwtich nutzt du für das LAN Interface für NAS und FW.


    Dann kannst du Subinterfaces für die Firewall ansprechen.


    Ich weiß ja nicht was du mit der OPNsense machst, wenn du Surikata aktiv hast, dann ist bei 20-30MB/s schluss, wenn du 2 Kerne zuweist.

    Mehr macht nicht viel Sinn, da das NAS sonst in den Keller geht.


    Ich habe da pfSense und OPNsense zum Testen drauf installiert, jetzt steht hier ein SG-1100 den ich gerade einrichte, da die VM das nicht bringt.

    Zudem hatte ich schon Probleme, das ich die eingerichteten Snapshop Auto Backups nicht wiederherstellen konnte.


    Von daher nutze ich die VM Umgebung auf dem Teil nur noch zum spielen.


    Das kann sich mit dem neuen QTS in kürze aber wieder alles ändern. Von der Leistung, gerade was die Firewall angeht, musst du dir aber Gedanken machen ob du damit auskommst.


    Für mich kam schon wegen der Sicherheit nur ein eigene Appliance in Frage.


    Der Unifi Controller rennt im Container, hat 512MB Ram und idelt vor sich hin. Das funktioniert Mega gut, Update, Export der Config, löschen vom Container und der Vorlage, Download, IP rein, start, BU rein, fertig.

    War bisher zu faul das zu Skripten, wenn ich mal Zeit und Lust habe.

    Danke für dein Feedback was mich doch etwas nachdenklich stimmt.

    Ich benutze die OPNSense ausschließlich als Internetgateway + VPN Gateway sowie DHCP und DNS für meine Frau und mich an meinem 200 MBit/s. Anschluss. Schnickschnack wie IDS habe ich mal zum Test benutzt, ist aber jetzt für mich privat nicht notwendig.


    Gemäß Hardware Guide von OPNSense sind 1 GHz Dual Core und 1 GB RAM die empfohlene Hardware bis etwa 350 mbps. Aber ich glaub ich werde mir noch mal in Ruhe überlegen

    200Mbit bekommst du auch mit IDP/IPS durch, da war meine VM, 2Cores, 4GB Ram aber am Limit.

    Aktiv war, Squit, Surikata, Clamav inkl. https decrytion.


    Der J3455 ist schon nicht langsam, wenn du das direkt auf der Hardware laufen lassen würdest, würde das nach meiner Einschätzung Faktor 4 bringen.

    Also ich denke etwa 50% bleiben im Hypervisor stecken, obwohl die CPU auf passthrough steht.


    War mit der pfSense VM das gleiche.


    Kein vergleich zu den ca. 800Mbit die die SG-1100 jetzt mit Snort durchschiebt.


    Wollte dir halt ein realistisches Bild vermitteln, nicht das du die kaufst und dann merkst, es geht ja gar nicht.

    Hmm... deine Ausführungen lassen mich doch überlegen ob ich nicht die OPNSense auf eine eigene Appliance schiebe. Eigentlich wollte ich für daheim keine zwei Geräte mehr haben.


    Was mich etwas verwundert ist, dass der Hypervisor selbst so viel Leistung wegschluckt. Damit habe ich nicht gerechnet. Ich werden für den Moment doch noch etwas Abstand nehmen von der Anschaffung eines NAS.

    Hallo, ich habe mich jetzt entschieden die OPNSense wegzunehmen von meinem Proxmox. Habe günstig einen 19" Rack mit APU1D4 erstanden. Dann brauche ich die Virtualisierung ausschließlich noch für die Container