pfsense als VM auf dem NAS - macht das Sinn

    Mich würde mal interessieren was ihr davon haltet pfsense als Virtuelle Maschine auf der NAS zu betreiben.
    Hat das so jemand schon produktiv in Betrieb oder ist das eher nur was für eine Test-Installation?


    Ich spiele mit dem Gedanken seit ich das TS-873A gegen das TS-h886 mit 4 Lan Ports getauscht habe.

    Ich habe derzeit eine sehr langsame Internetverbindung 12/1Mbit/s ADSL mit einer fritzBox aber das Glasfaser wird gerade bei uns im Ort gegraben und ist absehbar.

    Dann kommen erst mal 200/40Mbit/s und da möchte ich endlich auch eine "vernünftige FW" einsetzen.

    Ich habe einen Vlan fähigen Switch und mit den ausreichenden Lan Ports sollte sich das doch sicher aufsetzen lassen.


    Ich wäre euch für Pros, Cons und Erfahrungen mit dieser Konstellation dankbar.


    Mir fällt da vorerst folgendes ein:


    ProsCons
    eine appliance weniger
    		NAS down FW down / Bereithalten einer simplen Ersatzlösung
    snapshots der VM
    		Sicherheit?
    Ich denke die NAS sollte genügen Power für den Einsatz bieten

    Nachdem ich einige eurer Beiträge zum Thema gelesen habe, sehe ich das Thema nun schon etwas differenzierter und aktualisiere meinen Post:


    Eine Planung, bei der das NAS 24/7 laufen muss, ist für mich nicht geeignet, da ich das erste NAS nur am Abend und Wochenende in Betrieb habe und das Backup-NAS nur zum Backup am Wochenende laufen habe.


    Daher habe ich nach einer unabhängigen Lösung gesucht.


    Auf einem raspi pi4 läuft pfense nicht und der alte Firmenserver soll nicht mehr in Betrieb gehen, der wird verkauft.

    Damit ist klar, es müsste eigentlich etwas neues her.


    Nach längerem Zaudern habe ich ein Netgate SG-2100 bestellt. Kommt nächsten Dienstag.

    Dann noch Dokumentationen heruntergeladen und mir zwei ebooks zum Thema gekauft...


    Aber um mir die Konfiguration von pfsense anzueignen, zu testen und zu verstehen, wie pfsense "tickt", finde ich die VM in Ordnung.

    Habe diese Woche pfsense als VM aufgesetzt.


    Gruß Markus

    2 Mal editiert, zuletzt von MarGol ()

    Rechts:

    Schitty QTS Updates

    Schitty VQS Updates


    Lange Downtime bei QTS Wartungen, mein Netgate startet in unter 90 Sekunden neu.


    Je nach Hypervisor weniger gut für Echtzeitanwendungen wie Firewalls geeignet.


    Problem mit dem NAS, FW down, Internet down, wird aber benötigt um das NAS wieder zusammen zu setzen.


    Sicherheitsbedenken aufgrund der VM kannst du streichen, wenn du ein Firewall Appliance virtuell einsetzt.


    Ich habe auf dem NAS meine pfsense Testinstallation für neue Updates usw. Dafür ist die super.

    Ich hatte (bevor ich auf extra Hardware installiert habe) auch ne Sophos UTM auf der Syno am laufen gehabt.

    Inkl. vLANs. Meiner Meinung nach immer noch besser als nichts. Die Stabilität hängt halt von dem eingesetzten Hypervisor (KVM) ab. Hier muß man natürlich auch geplante Downtimes für Systempflege, Updates dergleichen einkalkulieren. Ist vermutlich auch so ne Art Glaubensfrage ob man jetzt FW virtualisiert oder auf Blech installiert.

    Hi,


    das es läuft ist bereits von QNAP beschrieben:

    https://www.qnap.com/de-de/how…nem-qnap-nas-installieren


    Ich habe ne 453a mit SSD und 16 GB auf der seit Jahren ne SophosXG Home als VM gelaufen hat.

    Die SophosXG hab ich jetzt gegen eine OPNSense getauscht und die läuft noch schneller und ist super.

    Ob nun pfsense und OPNsense ist vermutlich wie immer geschmackssache.


    Bei mir ist der Vodafone Kabelanschluss direkt nach dem Modem in de QNAP und dann natürlich nur mit der VM verbunden. Auf dem zweiten Port der virtuellen Firewall ist dann die "QNAP" bzw das LAN. Die Firewall macht alles für mich...außer kochen... Ne wirklich. DHCP, NAT, Reverse Proxy, DNS, OpenVPN und stellt die zentralste Applikation dar.

    ..ist sie aus - geht natürlich nichts mehr aber das ist halt ne Firewall.


    Das Aufsetzen der Firewall...das ist rel. spannend und vor Jahren eine echte Herausforderung. Dank der Beschreibung von QNAP und pfsense ist es sicherlich gut sich daran zu halten und auch etwas Linux Kenntnisse mitzubringen, ansonsten verirrt man sich bei den virtuellen Adaptern und warum das verdammte Dingen nich tdas macht was man haben möchte ;)


    Läuft!

    Danke für die Antworten!


    Ich werde wohl erste Test auch mal mit der VM machen. Eine eigene Appliance hat absolut seinen Reiz, aber halt auch zusätzliche Kosten in der Anschaffung und im Betrieb.

    Zitat von Crazyhorse

    Je nach Hypervisor weniger gut für Echtzeitanwendungen wie Firewalls geeignet.

    Den Hypervisor kann ich mir ja nicht aussuchen, das ist KVM bei Qnap richtig? Ist das nun gut oder schlecht?

    QEMU soweit ich weiß.


    Anschaffungskosten ja, Betriebskosten halten sich bei meinen Netgate ARM Devices sehr in Grenzen.

    Da braucht jede Fritzbox das x fache an Energie.

    Hi,


    ...das eine ist das was du vor hast und das andere was damit funktioniert.

    Bei mir in der Virtualization Station läuft OPNsense super und benötigt kaum Resourcen.

    0-5% CPU und derzeit mit nem Gig RAM von 4. Insgesammt hab ich ihr 10 GB Platte zugeordnet und sie läuft mit real 3 GB verwendet. Im Netz habe ich rund 24 Devices und ich habe echt keinen Schmerz. (Gegenüber der SophosXG Home Lösung verwende das System nur noch einen Bruchteil...)


    ...was du jedoch alles dahinter betreibst kann natürlich die Anforderungen und Auslastung verändern.

    steinradler schau dir den Link wirklich einmal an und auch die Bilder und die Datei(namen) die verwendet werden - was sicherlich hilft. Die virtuellen Adapter Einstellungen wie schon angemerkt.. sind mal wichtig je nach Aufbau - male es dir vorab mal auf ;)

    Und vor allem erstelle dir ein Netzkonzept, welches dir die Möglichkeit gibt, mit mehreren /24er Netzen intern zu arbeiten und VLANs zu verwenden, wenn du es einsetzen willst.

    Dann kannst du später auch einfach Standorte über VPN miteinander vernetzen, ohne das du gleich mit NAT anfangen musst.

    Werde ich machen!

    Ich kämpfe gerade noch mit dem initialen Setup der NAS, lass mir da Zeit da einige Einstellungen und Optionen für mich neu sind und ich mir einiges erst erarbeiten muss.

    Aus Erfahrung teste ich da lieber einiges aus und nerve Euch mit meinen Fragen. Aber besser als den Point of no return erreicht zu haben ab dem noch mal Alles zu ändern einen wahnsinnigen Aufwand bedeuten würde oder nur mehr mit Verlusten einhergeht.

    Testen werde ich die VM Lösung auf alle Fälle ob sie dann bleibt wird sich dann zeigen.


    Ich habe gestern auch mal kurz nach Appliances gegoogelt und schon welche mit 3-4 NICs, 4GB RAM und 8GB SSD um ca. 230€ gesehen. Teilweise schwierig einen Distributer dafür zu finden.

    Bzw. ist auch diese Appliance von Ubiquiti interessant, Anschaffungskosten ähnlich der Netgate Geräte, die Betriebskosten könnten höher sein: https://store.ui.com/products/udm-pro


    Wo bezieht ihr eure Netgates?

    Auf der Netgate Seite findest du Reseller, das Problem ist, nicht alle verkaufen an Endkunden. ESBYTE macht das.


    Die Dream Machine ist nett, aber mir wäre der Funktionsumfang zu eingeschränkt.


    Ok also KVM, hatte noch den Thread im Kopf wo jemand das Snapshot Backup was die QVS zerstört hat mit QEMU wieder zusammen setzten konnte.

    Zitat von Crazyhorse

    Die machen aber nur B2B.

    Ja, stimmt bei Voleatech, aber dann würde ich als "EDV-Beratung" bestellen.


    Auf der ESBYTE Webseite waren keine Preise zu finden.


    Die französische Viatitude richtet sich auch an Unternehmen, aber wer lehnt schon Aufträge mit Vorkasse ab?

    Bei Voleatech kannst du auch bestellen, musst aber auf dein Widerrufsrecht verzichten. Habe da mein SG-3100 bestellt.

    Das SG-1100 habe ich von ESBYTE.


    An letztes Mail hin gesendet, Angebot bekommen, angenommen am Montag und am Mittwoch war die Kiste hier.


    So hat das ein Arbeitskollege mit dem SG-2100 auch gemacht.

    @steinradler

    ..was ist nochmal dein Bedarf?

    Was willste denn überhaupt machen?

    Oben schreibste das du eine Fritzbox hast.... also Heimnetz.

    Schreib mal auf was du vorhast und mal es mal auf...


    "Ich wollte einen Taschenrechner und besitze nun ein Rechenzentrum"

    Einmal editiert, zuletzt von ApPzLaNd ()

    Gefällt mir 1
    Zitat von ApPzLaNd

    ..was ist nochmal dein Bedarf?

    erst mal geht es eben um die Frage ob der Betrieb der pfSense auf dem NAS Sinn macht.

    FW ist ein zukünftiges Projekt, wann genau ich das umsetzte weiß ich noch nicht. Zum Glück habe ich neben der IT auch noch andere Hobbies und der Sommer klopft auch schon an.

    Aber das muss reifen, ich hatte früher für spezielle Einsatzzwecke mit Astaro und diversen Anderen Lösungen umgesetzt. Das ist aber jetzt schon lange her und ich muss mir selbst erst wieder die Richtigen Fragen stellen was die Anforderungen sind. Klar ist aber, dass bei der derzeitigen Umsetzung mit FB bis auf das Gast-WLAN nichts sauber getrennt ist was getrennt gehört. Z.B. hat jeder „dumme“ Fernseher schon einen Fuß im Netz und sowas gehört sicher nicht zu den vertrauenswürdigen Geräten in meinem Netz. Benutzen tut man die Dinger dann doch...

    Eigene Cloud, VPN und Homeautomatisierung kommen dann auch dazu.
    Es geht aber klar um den privaten Einsatz geht. Sicherheit scheint mir beim Einsatz von Standard Routern eher zu kurz zu kommen.

    Dann installiere die einfach, lege ein paar VLANs an, packe mal ein paar Geräte hinter die Sense und spiele mit rum.


    Da wirst du dir die Frage am ehesten selber beantworten können.

    Zitat von steinradler

    erst mal geht es eben um die Frage ob der Betrieb der pfSense auf dem NAS Sinn macht.

    Nein.

    Die Probleme bei FW-Updates der QNAPS, würden mich abschrecken. QNAP down und Router down, nein danke.
    Zum Testen ist das ok, aber im täglichen Betrieb gehört eine Firewall auf separate Hardware.