Firewall distro auf USB Stick
- Ersteller MisterY
- Erstellt am
hominidae
Urgestein
- Mitglied seit
- 23.10.2011
- Beiträge
- 4.165
...die Frage wäre, welche Features Du von so einer FW-Distro nutzen willst und wieviel RAM Du stattdessen brauchst (zB den HTTP-Proxy auf eine RAmDisk legen, Logs nur im RAM, aber mit welcher Tiefe usw...).
Alternativen zum Stick wären aber auch der Einsatz anderer Medien zu hinterfragen...zB ein USB-SD-Adapter oder ein S-ATA DOM (da gibt es für eigentlich wenig Geld 4,8 oder 16GB in SDLC).
Ebenso Strategien gegen Ausfall, zB eine Mirror-Partition auf dem Flash und das OS zieht diese, falls die erste ein Problem hat...
Als Distris, die auf x86 verfügbar sind und mit Flash-Soeicher sparsam umgehen (können), fallen mir spontan pfsense und mikrotik/routeros ein.
Alternativen zum Stick wären aber auch der Einsatz anderer Medien zu hinterfragen...zB ein USB-SD-Adapter oder ein S-ATA DOM (da gibt es für eigentlich wenig Geld 4,8 oder 16GB in SDLC).
Ebenso Strategien gegen Ausfall, zB eine Mirror-Partition auf dem Flash und das OS zieht diese, falls die erste ein Problem hat...
Als Distris, die auf x86 verfügbar sind und mit Flash-Soeicher sparsam umgehen (können), fallen mir spontan pfsense und mikrotik/routeros ein.
Ich will da keine stromfressende Platte oder SSD dranhängen, deshalb würde auch S-ATA DOM (hast du Links?) gehen. Der Einsatzgebiet ist normale Routingfunktion inkl Firewall und Portforwarding. Ggf. auch eine DMZ bilden. An RAM dachte ich an 4GB und würde das ganze gerne mit meinem A4-4000 ausprobieren, wie stromsparend das geht.
RouterOS ist mir leider zu teuer, deshalb sollte es etwas for free sein.
Grüße
RouterOS ist mir leider zu teuer, deshalb sollte es etwas for free sein.
Grüße
hominidae
Urgestein
- Mitglied seit
- 23.10.2011
- Beiträge
- 4.165
...dann versuche pfsense (nano edition)....dafür wäre ein USB-SD-Adapter ideal.
Edit: siehe Full Install and NanoBSD Comparison - PFSenseDocs
Edit2: oder den Ableger OPNSense: Initial Installation Documentation documentation
Für DOMs: Solid State Drives (SSD) mit Schnittstelle: SATA, Bauform: Disk-On-Module (DOM) Preisvergleich Geizhals Deutschland
Wie ich sehe sind die aber inzwischen wieder teuer...habe vor Jahren einen Mach-Extreme SLC DOM (4GB) für unter 30EUR für meinen openelec-HTPC gekauft.
Edit: siehe Full Install and NanoBSD Comparison - PFSenseDocs
Edit2: oder den Ableger OPNSense: Initial Installation Documentation documentation
Für DOMs: Solid State Drives (SSD) mit Schnittstelle: SATA, Bauform: Disk-On-Module (DOM) Preisvergleich Geizhals Deutschland
Wie ich sehe sind die aber inzwischen wieder teuer...habe vor Jahren einen Mach-Extreme SLC DOM (4GB) für unter 30EUR für meinen openelec-HTPC gekauft.
Zuletzt bearbeitet:
martingo
Experte
- Mitglied seit
- 17.01.2017
- Beiträge
- 1.300
Ein kleiner Mikrotik wäre für mich z.B. der hEX - RB750Gr3: MikroTik Routers and Wireless - Products: hEX Sollte als Internetrouter völlig ausreichen.
Es hängt halt etwas davon ab, welche Ansprüche Du stellst. Von den Software-Möglichkeiten sind praktisch alle Routerbaords identisch. Es gibt unterschiedliche Lizenzlevel, aber die kommen im Heimgebrauch eigentlich kaum zum Tragen, da geht es eher um Anzahl der zugelassenen Hotspot-User usw: Manual:License - MikroTik Wiki (zumal auch die kleinsten Router normalerweise mind. Level 4 haben)
Am interessantesten ist die Anzahl der Ports - CPU, RAM usw. sind bei Heimgebrauch auch eher uninteressant.
Den von Dir schon gefundenen RB2011UiAS-RM haben wir ziemlich oft bei Kunden im Einsatz. Günstig, zuverlässig und kann eigentlich alles, was man braucht. Und halt 19" Gehäuse. Der RB3011 ist der Nachfolger und hardwaremäßig besser ausgestattet (10 GBit Ports statt 5/5, mehr RAM, CPU), aber ist x86 basierend und dafür gibt es aktuell noch keinen UserManager (für HotSpot Verwaltung) und teurer ist er auch.
Mein Plan für daheim war ein CSS326 als Switch und einen 2011 oder 3011 als Router. Habe dann kurzfristig umgeswitcht auf einen CRS-326, der beides übernimmt: MikroTik Routers and Wireless - Products: CRS326-24G-2S+RM
Nachdem Du Deinen CSS326 schon hast, würde ich auf Grund der 19" Einbaubarkeit vermutlich auch einen 2011 oder 3011 nehmen.
Auf Anhieb habe ich jetzt mal dieses Tutorial gefunden. Komische Typen, aber Du siehst mal, wie die Oberfläche von RouterOS aussieht und wie die Konfiguration von statten geht:
DMZ Tutorial: DMZ Firewall mit MikroTik - pascom - our blog
DMZ Tutorial: Setup mit MikroTik
Die benutzen winbox, das ist ein Softwaretool für die Konfiguration, das ich auch fast ausschließlich nutze. Darüber kommst Du auch in ein Terminal um Konfiguration zu scripten usw. Gibt noch ne Weboberfläche, die ähnlich aufgebaut ist, aber etwas träger.
Nachteile von Mikrotik gegenüber pfSense: pfSense ist sehr community-orientiert und schon recht alt. Bugs sind eher selten würde ich sagen und das meiste macht Sinn. Mikrotik ist proprietär und man ist der Wilkür der Entwickler ausgeliefert. Andererseits ist das bei Cisco, Juniper usw. auch nicht anders. Außerdem sind bei pfSense sicher mehr Features vorhanden, die über den reinen Firewall-Router-Betrieb hinausgehen. Beispielsweise der Mikrotik Webproxy ist sehr rudimentär. Nicht zu vergleichen mit Squid o.ä. RouterOS kann, was RouterOS kann. Du kannst keine Fremdpakete einspielen.
Dafür packe ich einen Mikrotik aus, stöpsel mich an und es kann los gehen. Wenn die Kiste mal kaputt ist, kann ich meine Konfig innerhalb von einer Minute auf einen anderen einspielen.
Wenn du weitere Fragen hast, kann ich gerne auch mehr ins Detail gehen.
Viele Grüße
Martin
Edit: Du könntest den CSS326 auch über das DAC Kabel mit dem RB2011/RB3011 verbinden, aber halt nur mit 1.25GBit: MikroTik SFP module compatibility table - MikroTik Wiki
Das wäre auch ein kleiner Router, der fünf/sechs SFP-Schächte hat, aber dafür nur einen/keinen GBit Port für die Anbindung ans Internet: MikroTik Routers and Wireless - Products: CRS106-1C-5S
Es hängt halt etwas davon ab, welche Ansprüche Du stellst. Von den Software-Möglichkeiten sind praktisch alle Routerbaords identisch. Es gibt unterschiedliche Lizenzlevel, aber die kommen im Heimgebrauch eigentlich kaum zum Tragen, da geht es eher um Anzahl der zugelassenen Hotspot-User usw: Manual:License - MikroTik Wiki (zumal auch die kleinsten Router normalerweise mind. Level 4 haben)
Am interessantesten ist die Anzahl der Ports - CPU, RAM usw. sind bei Heimgebrauch auch eher uninteressant.
Den von Dir schon gefundenen RB2011UiAS-RM haben wir ziemlich oft bei Kunden im Einsatz. Günstig, zuverlässig und kann eigentlich alles, was man braucht. Und halt 19" Gehäuse. Der RB3011 ist der Nachfolger und hardwaremäßig besser ausgestattet (10 GBit Ports statt 5/5, mehr RAM, CPU), aber ist x86 basierend und dafür gibt es aktuell noch keinen UserManager (für HotSpot Verwaltung) und teurer ist er auch.
Mein Plan für daheim war ein CSS326 als Switch und einen 2011 oder 3011 als Router. Habe dann kurzfristig umgeswitcht auf einen CRS-326, der beides übernimmt: MikroTik Routers and Wireless - Products: CRS326-24G-2S+RM
Nachdem Du Deinen CSS326 schon hast, würde ich auf Grund der 19" Einbaubarkeit vermutlich auch einen 2011 oder 3011 nehmen.
Definiere "wie mit pfsense"? Ich kenne mich mit pfsense nicht hinreichend aus, um das zu beantworten, aber in der Regel ist eine DMZ ja nur ein Interface/Adressbereich-definiertes Netz, das über die Firewall eingeschränkt wird. Ob es unter psSense dafür einen Wizard oder speziell erleichterte Konfiruation gibt, weiß ich nicht, Aber diese Beispiele sehen so aus, als ob es genauso funktionieren würde wie mit Mikrotik oder jedem anderen Firewall Router: Example basic configuration - PFSenseDocs
Auf Anhieb habe ich jetzt mal dieses Tutorial gefunden. Komische Typen, aber Du siehst mal, wie die Oberfläche von RouterOS aussieht und wie die Konfiguration von statten geht:
DMZ Tutorial: DMZ Firewall mit MikroTik - pascom - our blog
DMZ Tutorial: Setup mit MikroTik
Die benutzen winbox, das ist ein Softwaretool für die Konfiguration, das ich auch fast ausschließlich nutze. Darüber kommst Du auch in ein Terminal um Konfiguration zu scripten usw. Gibt noch ne Weboberfläche, die ähnlich aufgebaut ist, aber etwas träger.
Nachteile von Mikrotik gegenüber pfSense: pfSense ist sehr community-orientiert und schon recht alt. Bugs sind eher selten würde ich sagen und das meiste macht Sinn. Mikrotik ist proprietär und man ist der Wilkür der Entwickler ausgeliefert. Andererseits ist das bei Cisco, Juniper usw. auch nicht anders. Außerdem sind bei pfSense sicher mehr Features vorhanden, die über den reinen Firewall-Router-Betrieb hinausgehen. Beispielsweise der Mikrotik Webproxy ist sehr rudimentär. Nicht zu vergleichen mit Squid o.ä. RouterOS kann, was RouterOS kann. Du kannst keine Fremdpakete einspielen.
Dafür packe ich einen Mikrotik aus, stöpsel mich an und es kann los gehen. Wenn die Kiste mal kaputt ist, kann ich meine Konfig innerhalb von einer Minute auf einen anderen einspielen.
Wenn du weitere Fragen hast, kann ich gerne auch mehr ins Detail gehen.
Viele Grüße
Martin
Edit: Du könntest den CSS326 auch über das DAC Kabel mit dem RB2011/RB3011 verbinden, aber halt nur mit 1.25GBit: MikroTik SFP module compatibility table - MikroTik Wiki
Das wäre auch ein kleiner Router, der fünf/sechs SFP-Schächte hat, aber dafür nur einen/keinen GBit Port für die Anbindung ans Internet: MikroTik Routers and Wireless - Products: CRS106-1C-5S
Zuletzt bearbeitet:
martingo
Experte
- Mitglied seit
- 17.01.2017
- Beiträge
- 1.300
Darüber bin ich ehrlich gesagt, beim Lesen auch kurz gestolpert. Hatte mich aber noch nie mit dem Thema RouterOS auf PC befasst, daher dachte ich, dass das evtl. teuer ist. Ist aber doch nicht, L4 gibt es für 30€ und reicht meines Erachtens für alles, was man daheim machen wird. Ehrlich gesagt würde mir L3 schon reichen, aber das gibt´s nicht einzeln: MikroTik Software, RouterBoard Software, Software Lizenz, RB OS, RouterOS, Level 3, Level 4, Level 5 - varia-store.com
Die Lizenz Level suggerieren halt irgendwie, dass man eingeschränkte Funktionalität kauft. Das ist ja aber nicht so. Betrifft ja wirklich nur den Einsatz als Hotspot und in gewissem Umfang die Tunnelanzahl. Wobei die Grenzen so hoch sind, dass man das privat nie ausschöpfen wird und wenn doch, dann irgendwann auch Ressourcenprobleme bekommt.
Andererseits wüsste ich auch nicht, wieso man ros auf separater Hardware installieren sollte. Keinen der Router könnte ich selbst so billig bauen, wie Routerboard das macht. In meinen Augen machen die PC-Lizenzen nur Sinn, wenn man
a) Anforderungen hat, die selbst der dickste CCR nicht stemmen kann (unsere zwei CCR1036-12G-4S-EM als Core Router haben circa 0.1% Auslastung). Wenn die CCR nicht reichen, dann sollte man vermutlich auf "richtige" Router/Switches schwenken, die in Hardware gegossen sind und nicht in Software wie bei Mikrotik
b) virtualisieren will (sofern das geht, habe mich damit wie gesagt noch nicht beschäftigt und auch keinen Grund dafür)
Die Lizenz Level suggerieren halt irgendwie, dass man eingeschränkte Funktionalität kauft. Das ist ja aber nicht so. Betrifft ja wirklich nur den Einsatz als Hotspot und in gewissem Umfang die Tunnelanzahl. Wobei die Grenzen so hoch sind, dass man das privat nie ausschöpfen wird und wenn doch, dann irgendwann auch Ressourcenprobleme bekommt.
Andererseits wüsste ich auch nicht, wieso man ros auf separater Hardware installieren sollte. Keinen der Router könnte ich selbst so billig bauen, wie Routerboard das macht. In meinen Augen machen die PC-Lizenzen nur Sinn, wenn man
a) Anforderungen hat, die selbst der dickste CCR nicht stemmen kann (unsere zwei CCR1036-12G-4S-EM als Core Router haben circa 0.1% Auslastung). Wenn die CCR nicht reichen, dann sollte man vermutlich auf "richtige" Router/Switches schwenken, die in Hardware gegossen sind und nicht in Software wie bei Mikrotik
b) virtualisieren will (sofern das geht, habe mich damit wie gesagt noch nicht beschäftigt und auch keinen Grund dafür)
Zuletzt bearbeitet:
@hominidae: hattest du? 
zumindest nicht auf Hardwareebene, oder habe ich was überlesen?
@martingo: Danke für die Ausarbeitung. Im Endeffekt wäre es für mich wohl auch besser gewesen, einen CRS326 zu nehmen, aber zu dem Zeitpunkt, als ich den CSS326 kaufte, hatte mein aktueller Router noch nicht so lustige Sachen gemacht wie einfach mal Firewall komplett zu schließen und so
19" ist mir schon recht wichtig und ob der 5 oder 10 Gbit-Ports hat eigentlich egal. Da soll einmal ein Kabel vom Modem und dann ein Gbit-Kabel an den CSS326 Switch und an den 100mbit-Ports könnte ich, meine beiden NanoPIs anschließen. Am CSS sind aktuell 8 1000T-Ports belegt (davon zwei die NanoPIs) und viel mehr werden das auch nicht werden, da ein Server per DAC und meine Workstation auch per SFP+ verbunden ist (also beide Ports sind schon belegt). Drei Server und zwei ARM-Geräte sollten reichen. Hätte es den CSS326 auch als 16-Port gegeben, hätte ich den genommen, da ich nicht viel mehr in meinen Serverschrank packe und mehr als eine Dual-NIC (+ onboard) in meinem Proxmox-Server sehe ich aktuell als sinnlos an.
Was mir wichtig ist bei der Firewall:
Beispielsweise möchte ich Port 80/443 und einen weiteren nur über ein Kabel ausgeben (alle anderen Ports sind zu) und dieses Kabel geht dann an den Switch. Dort wird dann per LAN-Port Isolation diese freigegebenen Ports an eine NIC meines Proxmox-Servers weitergeleitet. Es darf von aussen nur auf diese eine NIC ein zugriff über Port 80/443 etc sein. Und die VMs, die auf diesem Port horchen, dürfen mit keinem anderen Gerät kommunizieren im LAN.
Auch nutze ich openVPN, das würde ich gerne weiterhin nutzen, genauso wie eine No-IP DDNS.
zumindest nicht auf Hardwareebene, oder habe ich was überlesen?@martingo: Danke für die Ausarbeitung. Im Endeffekt wäre es für mich wohl auch besser gewesen, einen CRS326 zu nehmen, aber zu dem Zeitpunkt, als ich den CSS326 kaufte, hatte mein aktueller Router noch nicht so lustige Sachen gemacht wie einfach mal Firewall komplett zu schließen und so
19" ist mir schon recht wichtig und ob der 5 oder 10 Gbit-Ports hat eigentlich egal. Da soll einmal ein Kabel vom Modem und dann ein Gbit-Kabel an den CSS326 Switch und an den 100mbit-Ports könnte ich, meine beiden NanoPIs anschließen. Am CSS sind aktuell 8 1000T-Ports belegt (davon zwei die NanoPIs) und viel mehr werden das auch nicht werden, da ein Server per DAC und meine Workstation auch per SFP+ verbunden ist (also beide Ports sind schon belegt). Drei Server und zwei ARM-Geräte sollten reichen. Hätte es den CSS326 auch als 16-Port gegeben, hätte ich den genommen, da ich nicht viel mehr in meinen Serverschrank packe und mehr als eine Dual-NIC (+ onboard) in meinem Proxmox-Server sehe ich aktuell als sinnlos an. Was mir wichtig ist bei der Firewall:
Beispielsweise möchte ich Port 80/443 und einen weiteren nur über ein Kabel ausgeben (alle anderen Ports sind zu) und dieses Kabel geht dann an den Switch. Dort wird dann per LAN-Port Isolation diese freigegebenen Ports an eine NIC meines Proxmox-Servers weitergeleitet. Es darf von aussen nur auf diese eine NIC ein zugriff über Port 80/443 etc sein. Und die VMs, die auf diesem Port horchen, dürfen mit keinem anderen Gerät kommunizieren im LAN.
Auch nutze ich openVPN, das würde ich gerne weiterhin nutzen, genauso wie eine No-IP DDNS.
Zuletzt bearbeitet:
martingo
Experte
- Mitglied seit
- 17.01.2017
- Beiträge
- 1.300
Ich bin mir auch nicht ganz sicher, ob der CRS zu Beginn schon verfügbar war. Ist ja einer der ersten mit DualBoot (SwitchOS / RouterOS). Hatte den auch nicht auf dem Schirm, habe ich erst bei der Bestellung gemerkt, dass es den auch noch gibt und ich meine zwei Wunschgeräte durch eines ersetzen kann.
Also, mal der Reihe nach:
In Summe sind Deine bisherigen Anforderungen mit Leichtigkeit auf SwOS und ROS abbildbar. Wenn Du Netzwerkmäßig nicht so fit bist, wird es etwas Einarbeitung sein, aber das wird es auch bei pfSense.
Also, mal der Reihe nach:
- DDNS: MikroTik hat einen eigenen DDNS Service: Manual:IP/Cloud - MikroTik Wiki Wenn Du auf no-ip angewiesen bist, dann würde ich vorher schauen, ob es dafür schon ein fertiges Script gibt. Scripten unter ROS ist nicht komfortabel und auch sehr stark eingeschränkt. Denke aber, ich habe schon mal was für no-ip gesehen. Edit: Ja, habe ich. Hier: Dynamic DNS Update Script for No-IP DNS - MikroTik Wiki - ist von 2012, aber die API bei no-ip wird sich wohl nicht fundamental geändert haben. Würde trotzdem den MikroTik Service nutzen.
- opvenVPN: geht: OpenVPN - MikroTik Wiki
- Beispielsweise möchte ich Port 80/443 und einen weiteren nur über ein Kabel ausgeben (alle anderen Ports sind zu) und dieses Kabel geht dann an den Switch:
Ich verstehe das so, dass Du aus dem Internet ein PortForwarding/DstNAT 80/443 auf einen Server o.ä. machen willst. Das geht natürlich: Manual:IP/Firewall/NAT - MikroTik Wiki - Dort wird dann per LAN-Port Isolation diese freigegebenen Ports an eine NIC meines Proxmox-Servers weitergeleitet. Es darf von aussen nur auf diese eine NIC ein zugriff über Port 80/443 etc sein. Und die VMs, die auf diesem Port horchen, dürfen mit keinem anderen Gerät kommunizieren im LAN:
D.h. Du hast auf Deinem Switch VLANs eingerichtet? Diese VLANs kannst Du auch auf dem Router einrichten und über einen VLAN Trunk dann die Verbindung zwischen Router und Switch realisieren. Einmal Routerseite Manual:Interface/VLAN - MikroTik Wiki und einmal Switchseite SWOS/CSS326-VLAN-Example - MikroTik Wiki
In Summe sind Deine bisherigen Anforderungen mit Leichtigkeit auf SwOS und ROS abbildbar. Wenn Du Netzwerkmäßig nicht so fit bist, wird es etwas Einarbeitung sein, aber das wird es auch bei pfSense.
Zuletzt bearbeitet:
hominidae
Urgestein
- Mitglied seit
- 23.10.2011
- Beiträge
- 4.165
@hominidae: hattest du?
...ja, hatte ich in meinem ersten reply:
...Stichwort x86....also PC-Hardware....ich zB nutze einen CHR (die 1Gbit Lizenz war 25USD) auf einem vServer "da draussen", der beide WANs meines hEX (G2) "bündelt".
@martingo: Das Thema OpenVPN auf mikrotik sehe ich nicht als "geht"...eher als "geht so"...kein UDP und kein TLS-Auth...IMHO ein Grund es nicht zu verwenden...aber IPSEC Support mein Mikrotik ist sehr gut und damit wird auch iOS und Android unterstützt...wenn das Setup wohl auch nicht gaaaanz einfach zu sein scheint.
Achso, software melhast du genannt, ja. Aber so ein Routerboard ist ganz nett.
Aber ein openvpn Server dahinter kann ich betreiben, oder?
@martingo: bin gerade unterwegs, antworte dir später
(muss erst alles lesen)
Aber ein openvpn Server dahinter kann ich betreiben, oder?
@martingo: bin gerade unterwegs, antworte dir später
(muss erst alles lesen)
Zuletzt bearbeitet:
hominidae
Urgestein
- Mitglied seit
- 23.10.2011
- Beiträge
- 4.165
...musst Du halt die Ports durchreichen, aber warum willst Du wieder stückeln?...pfsense oder opnsense kann das auch....und x86-basierte Hardware mit genug LAN ports gibt es auch...siehe zB hier: [Kaufberatung] Suche Hardware für Home-Router
martingo
Experte
- Mitglied seit
- 17.01.2017
- Beiträge
- 1.300
Du kannst den openVPN Server natürlich auch dahinter betreiben, aber ich finde das genauso wenig sinnvoll wie hominidae. Die Konfiguration wird dadurch eher aufwendiger. Du musst von der VM ja wieder zurück zum Router und von dort trotzdem mit Policies steuern.
Ich persönlich würde Dir empfehlen, den VPN Server auf der Firewall zu betreiben. Dann kannst Du z.B. auch bei abgeschaltetem/abgestürzten Server in Dein Heimnetz und mit iLO/IPMI den Server rebooten oder was auch immer.
Ob Du bei openVPN bleibst oder IPsec mit IKEv2 nimmst, oder was auch immer, bleibt Dir überlassen.
Ich persönlich würde Dir empfehlen, den VPN Server auf der Firewall zu betreiben. Dann kannst Du z.B. auch bei abgeschaltetem/abgestürzten Server in Dein Heimnetz und mit iLO/IPMI den Server rebooten oder was auch immer.
Ob Du bei openVPN bleibst oder IPsec mit IKEv2 nimmst, oder was auch immer, bleibt Dir überlassen.
hominidae
Urgestein
- Mitglied seit
- 23.10.2011
- Beiträge
- 4.165
...wenn Du eh ne VPN-VM hast, warum diese nicht als FW/Router nehmen?
Dediziertes WAN Ethernet oder VLAN vom I-Net Modem/Router....pfsense, opnsense oder Mikrotik (CHR, zB P2 Lizenz für 10GBit) laufen da auch gut in einer VM....gerade Mikrotik läuft in einer kleinen VM saugut (1x vCPU und 512MB reichen locker).
Ein verteiltes Setup ist einfach nur Arbeit und die würde ich mir nur machen, wenn es nötig ist.
Dediziertes WAN Ethernet oder VLAN vom I-Net Modem/Router....pfsense, opnsense oder Mikrotik (CHR, zB P2 Lizenz für 10GBit) laufen da auch gut in einer VM....gerade Mikrotik läuft in einer kleinen VM saugut (1x vCPU und 512MB reichen locker).
Ein verteiltes Setup ist einfach nur Arbeit und die würde ich mir nur machen, wenn es nötig ist.
Tandaril
Enthusiast
- Mitglied seit
- 07.05.2007
- Beiträge
- 109
Moin
Was genau verstehst du nicht?
Sollte es um den DNS Server gehen. Du kannst deinen PiHole natürlich weiterhin als DNS Server nutzen, denn das ist er ja auch.
V/R
tandaril
verstehe ich nicht
Was genau verstehst du nicht?
Sollte es um den DNS Server gehen. Du kannst deinen PiHole natürlich weiterhin als DNS Server nutzen, denn das ist er ja auch.
V/R
tandaril
Zuletzt bearbeitet:
Ich verstehe nicht, warum das nicht die existenz der beiden NanoPis berechtigt 
und was bedeutet DC und was MT?
Ich habe diese Teile, genau wie den Router am liebsten dediziert, falls ich mal wieder etwas kaputt-konfiguriere und das Internet nicht funktioniert. Das hat einen ganz ganz schlechten WAF
und was bedeutet DC und was MT?Ich habe diese Teile, genau wie den Router am liebsten dediziert, falls ich mal wieder etwas kaputt-konfiguriere und das Internet nicht funktioniert. Das hat einen ganz ganz schlechten WAF
Zuletzt bearbeitet:
martingo
Experte
- Mitglied seit
- 17.01.2017
- Beiträge
- 1.300
Sorry, DC Domaincontroller und MT MikroTik.
Pihole ist natürlich ein Argument für einen dedizierten DNS. Würde den aber trotzdem nur als einen Upstream DNS im Mikrotik eintragen.
Eben weil du dann noch Internet und DNS hast, wenn mal irgendwas nicht funktioniert.
Aber mach, wie Du magst. Kann nur sagen, was ich machen würde und wieso.
Pihole ist natürlich ein Argument für einen dedizierten DNS. Würde den aber trotzdem nur als einen Upstream DNS im Mikrotik eintragen.
Eben weil du dann noch Internet und DNS hast, wenn mal irgendwas nicht funktioniert.
Aber mach, wie Du magst. Kann nur sagen, was ich machen würde und wieso.
ich bin ja für Tipps und Anregungen dankbar
Hatte vorher überlegt pfsense zu virtualisieren, das ist mir aber etwas zu kompliziert, da ich dafür das Netzwerk bzw den Server und einen Client umstellen müsste um es zu konfigurieren. Und das würde eine etwas längere downtime in anspruch nehmen. Wenn ich einen dedizierten Router nehme, dann kann ich einfach nur n Client anstöpseln, konfigurieren und beide Router einfach tauschen. Und schon fertig. Auch ist der Stromverbrauch von so 6-9W besser als die 47W die mein Proxmox im Idle zieht.
Wenn aber jemand ein paar Tipps gibt, wie man den Proxmox so konfiguriert, dann lasse ich mich gerne überzeugen.
Aktuell nutze ich 3 NICs im Proxmox. Diese sind als vmbr1, vmbr2 und vmbr3 konfiguriert.
vmbr1 (onboard) wird aktuell für Proxmox, eine Observium-LXC und VPN-VM genutzt.
vmbr2 (realtek dualnic Port1) ist aktuell ungenutzt
vmbr3 (realtek dualnic Port2) wird aktuell für Nextcloud und Website genutzt.
vmbr3 wird per Port-Isolation und Proxmox-Firewallregeln die Kommunikation mit allen anderen Geräten im Netzwerk verboten (Ausnahme: Gateway und DNS-Server).
Wie könnte ich das denn mit pfsense am besten Regeln?
welchen Port wie einrichten? Ich würde gerne vmbr3 in eine DMZ packen. Brauche ich dafür noch mehr NICs?
Oder wie soll ich das mit der DMZ besser regeln? Ist die überhaupt nötig, weil auch so ist kein Zugriff in mein LAN möglich.
Hatte vorher überlegt pfsense zu virtualisieren, das ist mir aber etwas zu kompliziert, da ich dafür das Netzwerk bzw den Server und einen Client umstellen müsste um es zu konfigurieren. Und das würde eine etwas längere downtime in anspruch nehmen. Wenn ich einen dedizierten Router nehme, dann kann ich einfach nur n Client anstöpseln, konfigurieren und beide Router einfach tauschen. Und schon fertig. Auch ist der Stromverbrauch von so 6-9W besser als die 47W die mein Proxmox im Idle zieht.
Wenn aber jemand ein paar Tipps gibt, wie man den Proxmox so konfiguriert, dann lasse ich mich gerne überzeugen.
Aktuell nutze ich 3 NICs im Proxmox. Diese sind als vmbr1, vmbr2 und vmbr3 konfiguriert.
vmbr1 (onboard) wird aktuell für Proxmox, eine Observium-LXC und VPN-VM genutzt.
vmbr2 (realtek dualnic Port1) ist aktuell ungenutzt
vmbr3 (realtek dualnic Port2) wird aktuell für Nextcloud und Website genutzt.
vmbr3 wird per Port-Isolation und Proxmox-Firewallregeln die Kommunikation mit allen anderen Geräten im Netzwerk verboten (Ausnahme: Gateway und DNS-Server).
Wie könnte ich das denn mit pfsense am besten Regeln?
welchen Port wie einrichten? Ich würde gerne vmbr3 in eine DMZ packen. Brauche ich dafür noch mehr NICs?
Oder wie soll ich das mit der DMZ besser regeln? Ist die überhaupt nötig, weil auch so ist kein Zugriff in mein LAN möglich.
Zuletzt bearbeitet:
