Macht es Sinn in Bezug auf Durchsatz und Sicherheit, pfsense in einer virtuellen Umgebung zu betreiben?
Idee: Server-Mainboard mit Quad-Ethernetkarte und Proxmox Installation mit mehreren Linux-Gästen (virt. Maschinen). Auf einer soll pfsense laufen. WAN-Anbindung soll über Onboad-Ethernetport des Mainboards gehen. Im LAN max. 4 Rechner an Quad-Ethernet-Karte, diese soll u.a. als Switsch betrieben werden. Einer der Ports für eine DMZ. Der gesamte Datenverkehr intern/extern der Gäste soll also über pfsense laufen.
Bzgl. Sicherheit und Effizienz: Wenn der Hypervisor (hier Proxmox, also KVM) gehackt wird, sind alle Gäste kompromitiert. Das ist klar. Aber wie wahrscheinlich ist so ein Szenario mit KVM als Hyperv.? Und wie sieht das mit dem Durchsatz aus? Wenn alles über pfsense, hier also als Gast, läuft, wird der Datenverkehr dann trotzdem noch effizient weitergeleitet?
Grundsätzlich ist es kein Problem eine Firewall virtuell zu betreiben. Bezüglich der Sicherheit würde ich mir keine Sorgen machen, solange der Host nicht as dem externen Netz erreichbar ist. Am besten ist auf dieser Schnittstelle nut die Firewall erreichbar. Der Köngsweg ist hier eine separate Netzwerkkarte per PCIe pass through direkt an die VM zu leiten. Aber es ist fraglich ob das nötig ist.
Von der Performance her kommt es stark auf die CPU und Bandbreite an. Auf einem modernen Rechner ist alles unter 1Gbit/s recht uninteressant. Wenn man ein Stromsparenden Mini-Rechner einsetzt schaut das natürlich etwas anderes aus. Als Beispiele: Ein Properiäter Vyatta Router macht 10Gbit/s pro CPU Kern, mein Linux zu Hause 2Gbit/s auf einem Gen1 i7 Core mit Auslastung unter 50%. Werte zu kleineren Systemen habe ich keine aber wenn es um WAN Geschwindigkeiten geht sollte auch etwas kleines reichen. Ob das dann virtuell ist oder nicht ist vermutlich nicht relevant solange HW-Virtualisierung vorhanden ist.
Was meinst Du damit, ob das nötig ist, bzw. wie sollte es sonst gehen?
Ich glaube er meint, ob PCIe-Pass-Through in diesem Fall überhaupt notwendig ist oder ob man auch auf andere Art die Netzwerkkarte an eine VM binden kann. Letzteres ist problemlos der Fall:
Geht pass through auch mit Onboard Schnittstellen?
Wenn das Board es unterstützt, dann ja. Eine Onboard-Karte ist ja technisch gesehen auch nur eine normale Netzwerkkarte, nur das sie direkt auf das Motherboard gelötet ist.
Macht es Sinn in Bezug auf Durchsatz und Sicherheit, pfsense in einer virtuellen Umgebung zu betreiben?
Idee: Server-Mainboard mit Quad-Ethernetkarte und Proxmox Installation mit mehreren Linux-Gästen (virt. Maschinen). Auf einer soll pfsense laufen. WAN-Anbindung soll über Onboad-Ethernetport des Mainboards gehen. Im LAN max. 4 Rechner an Quad-Ethernet-Karte, diese soll u.a. als Switsch betrieben werden. Einer der Ports für eine DMZ. Der gesamte Datenverkehr intern/extern der Gäste soll also über pfsense laufen.
Bzgl. Sicherheit und Effizienz: Wenn der Hypervisor (hier Proxmox, also KVM) gehackt wird, sind alle Gäste kompromitiert. Das ist klar. Aber wie wahrscheinlich ist so ein Szenario mit KVM als Hyperv.? Und wie sieht das mit dem Durchsatz aus? Wenn alles über pfsense, hier also als Gast, läuft, wird der Datenverkehr dann trotzdem noch effizient weitergeleitet?
Grundsätzlich ist es kein Problem eine Firewall virtuell zu betreiben.
Bezüglich der Sicherheit würde ich mir keine Sorgen machen, solange der Host nicht as dem externen Netz erreichbar ist. Am besten ist auf dieser Schnittstelle nut die Firewall erreichbar.
Der Köngsweg ist hier eine separate Netzwerkkarte per PCIe pass through direkt an die VM zu leiten. Aber es ist fraglich ob das nötig ist.
Von der Performance her kommt es stark auf die CPU und Bandbreite an. Auf einem modernen Rechner ist alles unter 1Gbit/s recht uninteressant. Wenn man ein Stromsparenden Mini-Rechner einsetzt schaut das natürlich etwas anderes aus.
Als Beispiele: Ein Properiäter Vyatta Router macht 10Gbit/s pro CPU Kern, mein Linux zu Hause 2Gbit/s auf einem Gen1 i7 Core mit Auslastung unter 50%. Werte zu kleineren Systemen habe ich keine aber wenn es um WAN Geschwindigkeiten geht sollte auch etwas kleines reichen. Ob das dann virtuell ist oder nicht ist vermutlich nicht relevant solange HW-Virtualisierung vorhanden ist.
Ok, danke.
Was meinst Du damit, ob das nötig ist, bzw. wie sollte es sonst gehen? Geht pass through auch mit Onboard Schnittstellen?RHEL: Directly attaching to physical interface
Wenn das Board es unterstützt, dann ja. Eine Onboard-Karte ist ja technisch gesehen auch nur eine normale Netzwerkkarte, nur das sie direkt auf das Motherboard gelötet ist.Hier mal eine Anleitung:
How to assign devices with VT-d in KVM
Danke, alles klar.