Firewall distro auf USB Stick

[DieQuelle]

Ich kann den TE schon verstehen warum er Proxmox und den Monitoring PI Extra haben will (falls es das ist was Martingo meint).
Beim PiHole (Werbefilter) würde ich aber auch schauen das dies entweder der Router übernimmt oder als VM auf dem Proxmox läuft. Wird garantiert nicht mehr verbrauchen als Proxmox+Pihole zusammen.

Zur Proxmox NIC Konfiguration: Das hängt halt davon ab ob du DMZ brauchst oder nicht.

RED Zone: Eine Bridge zum Internet (Modem?!)
GREEN Zone: Zweite Bridge fürs interne LAN.
DMZ Zone: Dritte Bridge (Virtuelles Netz) für deine Proxmox VMs

Als Distribution würde ich dir ipfire empfehlen.

Was sind denn deine Hardware Ansprüche? Soll der Router auch HW sein oder eher nicht?

Falls nicht würde ich zu einer IPfire Appliance raten (300€) oder zum apu Board (z.B.: APU2C4 als Kit) 200€.

 

[MisterY]

Pihole lief mal testweise auf ner VM, dies funktionierte leider nicht so gut, was aber auch am Router gelegen haben könnte. Wichtig ist hier jedoch, dass auch dann gefiltert wird, wenn der Proxmox aus ist (ich hasse Werbung abgrundtief)

DMZ ist die Frage, ob ich das brauche. nur über bridges möchte ich das nicht laufen lassen, da mir das dann doch zu unsicher ist. Ich möchte für die DMZ eine eigene NIC und ein eigenes Kabel haben (oder gar VLAN, da muss ich mich aber noch einfuchsen)

Hardwareansprüche: Router inkl Firewall ist mir lieber als HW, geht aber zur Not auch per software. da müsste dann aber immer der Proxmox-Server laufen.

Preislich ist der Mikrotik mit knapp 100€ so das maximum (die 300 oder 200€ sind teurer als meine beiden Server zusammen )

 

[DieQuelle]

Pihole lief mal testweise auf ner VM, dies funktionierte leider nicht so gut, was aber auch am Router gelegen haben könnte. Wichtig ist hier jedoch, dass auch dann gefiltert wird, wenn der Proxmox aus ist (ich hasse Werbung abgrundtief)
DMZ ist die Frage, ob ich das brauche. nur über bridges möchte ich das nicht laufen lassen, da mir das dann doch zu unsicher ist. Ich möchte für die DMZ eine eigene NIC und ein eigenes Kabel haben (oder gar VLAN, da muss ich mich aber noch einfuchsen)

Ob pihole in einer VM läuft oder auf einem nanopi sollte nun kein unterschied machen. Das Problem solltest du erstmal lösen.

Bridge kann natürlich auch nen echter NIC sein.

Hardwareansprüche: Router inkl Firewall ist mir lieber als HW, geht aber zur Not auch per software. da müsste dann aber immer der Proxmox-Server laufen.

Preislich ist der Mikrotik mit knapp 100€ so das maximum (die 300 oder 200€ sind teurer als meine beiden Server zusammen )

Wenn du so ein knappes Budget hast ist das natürlich klar.
Für mich hört sich das halt einfach nur nach Spielerei an.
Dann kannst du auch ne VM mit Bridges machen und 0 € investieren in deine Firewall.
Wenn die VM ausfällt steckst halt deine Fritzbox wieder an. Damit muss man dann einfach rechnen.

 

[MisterY]

Natürlich ist es in erster Linie Spielerei. Die aber produktiv genutzt wird

 

[MisterY]

So, ich habe mir das nochmal überlegt, ob ich das nicht doch virtualisiere. Aktuell habe ich nur 3 NICs, würde aber wohl noch ne Dual-NIC verbauen.

Ist der Aufbau so möglich/sinnvoll (WLAN-Router fehlt; soll aber nur noch als WLAN-AP fungieren)?


Und: Wenn ich pfsense einrichte auf die IP meines jetzigen LANs, kann ich dann, wenn ich den DHCP-Server meines Routers deaktiviere, das so weiternutzen, ohne die ganzen IP-Bereiche ändern zu müssen?
Wenn der Server mal abschmieren sollte, könnte ich dann mit einem Client, der eine feste IP hat, den DHCP-Server im Router + umstecken des WAN-Kabels bis zur Reparatur weiter surfen und auf alles zugreifen?