*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
Knogle
Enthusiast
Hat das gut geklappt, bzw. war es performanter als die SW Bridge vom Hypervisor? Ich bin halt am überlegen wie das technisch funktioniert bzw. wie ich das an die VM weitergebe. Habe immer LACP mit je 2 Links zum Proxmox zum Einsatz, wie das dann in der VM funktioniert mit SR-IOV.
Konnte letztens eine Präsentation zum zukünftige netbird PlugIn für die OPNsense sehen und das sah sehr vielversprechend aus. Wer Overlay-Networks nutzen mag, der scheint mir mit netbird.io richtig gut bedient zu sein: Alles grafisch und selbst auf der OPNsense lässt sich (der lokale Anteil) wie gewohnt kleinteilig regeln.
Außerdem eine Warnung an pfSense-User, die pfBlocker zusammen mit dem Python-Mode in Unbound nutzen und auf ZFS setzen. Dabei wurden wohl durchschnittliche Schreiblasten von 30 Gigabyte pro Tag beobachtet! Abhilfe soll das Einrichten der RAM Disk unter System/Advanced/Miscellaneous schaffen. Ich zumindest hab durch die RAM-Disk bis jetzt keine Nachteile ausmachen können.
Außerdem eine Warnung an pfSense-User, die pfBlocker zusammen mit dem Python-Mode in Unbound nutzen und auf ZFS setzen. Dabei wurden wohl durchschnittliche Schreiblasten von 30 Gigabyte pro Tag beobachtet! Abhilfe soll das Einrichten der RAM Disk unter System/Advanced/Miscellaneous schaffen. Ich zumindest hab durch die RAM-Disk bis jetzt keine Nachteile ausmachen können.
Zuletzt bearbeitet:
genau wie nativ, weil du mit SR-IOV auch nichts anderes hast
Gar nicht. Außer du hast Mellanox ConnectX-5, ConnectX-6 oder ConnectX-7. Dann möchtest du dir das Thema "SR-IOV VF LAG" anschauen (https://docs.nvidia.com/doca/sdk/ov...SKernelHardwareAccelerationv2.8.0-SR-IOVVFLAG)
TL;DR Du konfigurierst über OVS (OpenVSwitch) die Bridge und das LAG / LACP wird auf die NIC offloaded, bzw der embedded switch in der NIC wird so programmiert, dass alle SR-IOV VFs (die normalerweise jeweils auf einen physischen Port gebunden sind) stattdessen an das LAG gebunden sind und beide Ports ansprechen.
Knogle
Enthusiast
Schön wieder von dir zu hören, du hattest ja dieses riesige Mellanox Monster Setup.
Das klingt echt interessant, weißt du obs dazu auch eventuell treffende Guides gibt?
Du hast Recht, mein aktueller Ansatz klappt nicht, der zerschießt mir den Bond komplett.
Code:
2024 Sep 22 22:49:51 sin01-core-crsw01 %ETHPORT-5-IF_RX_FLOW_CONTROL: Interface port-channel4, operational Receive Flow Control state changed to off
2024 Sep 22 22:49:51 sin01-core-crsw01 %ETHPORT-5-IF_TX_FLOW_CONTROL: Interface port-channel4, operational Transmit Flow Control state changed to off
2024 Sep 22 22:50:01 sin01-core-crsw01 %ETH_PORT_CHANNEL-4-PORT_INDIVIDUAL: port Ethernet1/41 is operationally individual
2024 Sep 22 22:50:01 sin01-core-crsw01 %ETH_PORT_CHANNEL-4-PORT_INDIVIDUAL: port Ethernet1/42 is operationally individualDen habe ich extra verlinkt
Knogle
Enthusiast
Wie ich sehe ist das aber nicht so erschwinglich, dann muss ich wohl im Homelab auf na Linux Bridge bleiben.
CX556A aus USA ab US $189.00 (natürlich + Versandkosten, Einfuhrumsatzsteuer, usw).
Wer SR-IOV LAG haben will, muss halt zahlen
Dazu noch eine Warnung, die dev-Edition des pfBlockerNG macht wohl akut große Bauchschmerzen. Ich selbst bin auf der non devel und empfehle das auch generell.
MPHxxxLegend
Experte
Vielleicht hat hier jemand noch einen Input.
Ich versuche folgendes umzusetzen bin aber auf ein Problem gestoßen, was ich mir selbst nicht genau erklären kann. Will einen WatchyourLan Container installieren der auf all meinen VLAN/LANs lauscht, jedoch nur von spezifischen Geräten Zugiff darauf gewähren. Also ufw installieren und routing vom docker selbst übernehmen, somit iptables für docker ausschalten. Dies hat soweit funktioniert, bis ich das Interface hinzufüge, von welchem Subnet aus ich die VM manage per SSH.
Somit VM zurückgesetzt und nur die Interfaces mal hinzugefügt und siehe da Problem gefunden, die OPNSense blockiert nach einer gewissen Zeit den SSH Traffic.
Überblick.:
VM - 10.20.20.16/24 - VLAN ID 20 Homelab
PC - 10.20.10.2/24 - VLAN ID 10 User
VM als auch OPNSense läuft auf Proxmox als VM
Sobald ich mit dem PC im gleichen Subnetz befinde kein Problem, klar wird auch nicht geroutet
Erstellen einer Firewallregel die den Traffic erlaubt, wird die Verbindung nach 30 sec geblockt von OPNSense
MAC Adressen gecheckt ob irgendwo ident, nein nur die des VLANs mit dem parent Interface
Des Weiteren sind im ARP Table unter OPNSense die für die VM hinterlgeten fixen IPs jener VLAN/LANs nicht ersichtlich bzw. kurz und verschwinden wieder.
Proxmox Hardware
Warum ich bis jetzt noch nicht auf das Problem gestoßen bin, weil ich keine VM habe welche ein gleiches Interface hat in welchem sich mein Management-PC befindet.
Ich versuche folgendes umzusetzen bin aber auf ein Problem gestoßen, was ich mir selbst nicht genau erklären kann. Will einen WatchyourLan Container installieren der auf all meinen VLAN/LANs lauscht, jedoch nur von spezifischen Geräten Zugiff darauf gewähren. Also ufw installieren und routing vom docker selbst übernehmen, somit iptables für docker ausschalten. Dies hat soweit funktioniert, bis ich das Interface hinzufüge, von welchem Subnet aus ich die VM manage per SSH.
Somit VM zurückgesetzt und nur die Interfaces mal hinzugefügt und siehe da Problem gefunden, die OPNSense blockiert nach einer gewissen Zeit den SSH Traffic.
Überblick.:
VM - 10.20.20.16/24 - VLAN ID 20 Homelab
PC - 10.20.10.2/24 - VLAN ID 10 User
VM als auch OPNSense läuft auf Proxmox als VM
Sobald ich mit dem PC im gleichen Subnetz befinde kein Problem, klar wird auch nicht geroutet
Erstellen einer Firewallregel die den Traffic erlaubt, wird die Verbindung nach 30 sec geblockt von OPNSense
MAC Adressen gecheckt ob irgendwo ident, nein nur die des VLANs mit dem parent Interface
Des Weiteren sind im ARP Table unter OPNSense die für die VM hinterlgeten fixen IPs jener VLAN/LANs nicht ersichtlich bzw. kurz und verschwinden wieder.
Proxmox Hardware
Warum ich bis jetzt noch nicht auf das Problem gestoßen bin, weil ich keine VM habe welche ein gleiches Interface hat in welchem sich mein Management-PC befindet.
besterino
Legende
Was ist denn derzeit so die präferierte Hardware-Basis für ne Firewall? Am liebsten auf der internen Seite mit 10GBE-SFP+, extern reicht Gbit-RJ45.
Am liebsten wäre mir ja was, das FW rein in Hardware macht, aber das ist wohl nen ganz anderes Preisregal?
Am liebsten wäre mir ja was, das FW rein in Hardware macht, aber das ist wohl nen ganz anderes Preisregal?
p4n0
Legende
Wuerde sagen Minisforum MS-01.
Nutze das Ding seit n paar Monaten und bin absolut zufrieden damit.
Nutze das Ding seit n paar Monaten und bin absolut zufrieden damit.
besterino
Legende
Ich hätt noch so ein MC12-LE0 mit nem 5600G und diverse 10GBE NICs übrig… Müsste doch auch reichen, oder?
p4n0
Legende
Habe die 13900h genommen.
Stromverbrauch kann ich dir nicht genau sagen, da ich lediglich meinen ganzen Schrank gemessen habe. Muesste irgendwo im Bereich 30-85w sein. Je nach Last
@besterino
Reicht dicke! Hatte nur recht wenig Platz, sonst haett ich auch zu was anderem geriffen
besterino
Legende
Ich Honk, hab doch hier eh nen Hyper-V 5950X stehen, der sich nur langweilt und noch 2 1Gbit-Ports frei hat…. VM, here we go.
Hi,
ich möchte meinem Netz eine Firewall gönnen: Opensense mit Zenarmor. Jetzt bin ich auf der Suche nach einer entsprechenden Hardware. Meine Eckdaten:
- 1 GBit Verbindung WAN
- bis zu 2,5 GBit LAN
- Bis zu 70 Geräte
- Zenarmor sollte in der $99 Version darauf laufen
- Hardware sollte 2 bis 4 Ethernet-Anschlüsse haben
Vielleicht ein Mini-PC, der nicht so viel Strom verbraucht, wäre schön. Vielleicht sogar ohne Lüfter?
Ich habe an 16 GB RAM gedacht.
CPU: N100 oder N305. Ist ein N100 genug?
Hättet Ihr da ein paar Vorschläge?
ich möchte meinem Netz eine Firewall gönnen: Opensense mit Zenarmor. Jetzt bin ich auf der Suche nach einer entsprechenden Hardware. Meine Eckdaten:
- 1 GBit Verbindung WAN
- bis zu 2,5 GBit LAN
- Bis zu 70 Geräte
- Zenarmor sollte in der $99 Version darauf laufen
- Hardware sollte 2 bis 4 Ethernet-Anschlüsse haben
Vielleicht ein Mini-PC, der nicht so viel Strom verbraucht, wäre schön. Vielleicht sogar ohne Lüfter?
Ich habe an 16 GB RAM gedacht.
CPU: N100 oder N305. Ist ein N100 genug?
Hättet Ihr da ein paar Vorschläge?
Darkwing Duck
Enthusiast
- Mitglied seit
- 18.11.2003
- Beiträge
- 270
Hallo, ich hänge mich rein und suche auch genau das! Nur mit der "Erweiterung", dass ich die Kiste als meinen ProxmoxServer aufbauen würde und dann sukzessive als NAS bzw Firewall erweitern möchte. Ist hier ein N305 Board ala https://www.amazon.de/MNBOXCONET-Mo...lpcontext&ref_=fplfs&smid=A259LKIJG8CK9X&th=1 empfehlenswert?
Ich würde gerne meine Syno RS818RP in Zukunft ablösen und eben ein einzelnes Gerät werkeln haben.
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 853
Hatten wir nicht den Konsens, dass ein einzelnes Gerät für Firewall, Storage UND Virtualisierung eher suboptimal ist? =)
p4n0
Legende
Je nach Gegebenheiten kann das schon i.O. sein.
Wenn man extrem auf die Lautstaerke/Groeße/Stromverbrauch achten will dann kann auch so ne All-In-One Kiste passend sein.
Hatte so ein Setup etwa 3 Jahre lang in Betrieb. War stressfrei und gab keine Ausfaelle.
konfetti
Urgestein
Das mag ja in der Theorie so stimmen, sehe ich aber im Home-Use eher pragmatisch.
Der minimale mehrverbrauch der zusätzlichen VM vs. eigener Hardware inkl. Wartung Verkabelung, etc...
mein A.i.O. muckt auch nicht rum und musste da auch seit dem Umzug auf neuere Hardware noch nicht wieder Hand anlegen.
vorallem die Gameserver machen ja Host-Only-Netzwerk - ich hab da eigentlich nur 3 Kabel dran - Strom, WAN und LAN fürs Haus...
Wenn wir mal endlich Glasfaser bekommen würden, wäre das sicher was anderes, aber mit der VDSL-Leitung reicht das dicke...
Der minimale mehrverbrauch der zusätzlichen VM vs. eigener Hardware inkl. Wartung Verkabelung, etc...
mein A.i.O. muckt auch nicht rum und musste da auch seit dem Umzug auf neuere Hardware noch nicht wieder Hand anlegen.
vorallem die Gameserver machen ja Host-Only-Netzwerk - ich hab da eigentlich nur 3 Kabel dran - Strom, WAN und LAN fürs Haus...
Wenn wir mal endlich Glasfaser bekommen würden, wäre das sicher was anderes, aber mit der VDSL-Leitung reicht das dicke...
besterino
Legende
@Darkwing Duck: Sowas?
www.servethehome.com
The Everything Fanless Home Server Firewall Router and NAS Appliance
This fanless server might have everything including an Intel Atom C3758, 4x SFP+ 10GbE, 2.5GbE, SSD slots, and external HDD connections
www.servethehome.com
Darkwing Duck
Enthusiast
- Mitglied seit
- 18.11.2003
- Beiträge
- 270
Ja, solche Teile habe ich auch schon länger im Warenkorb. Wahrscheinlich muss ich mich nochmal separat beraten lassen bzw einlesen. Mir wär wahrscheinlich eine Tower-Lösung lieber, Platz habe ich eigentlich genug!@Darkwing Duck: Sowas?
The Everything Fanless Home Server Firewall Router and NAS Appliance
This fanless server might have everything including an Intel Atom C3758, 4x SFP+ 10GbE, 2.5GbE, SSD slots, and external HDD connections
Darkwing Duck
Enthusiast
- Mitglied seit
- 18.11.2003
- Beiträge
- 270
Ja, das stimmt natürlich - aktuell habe ich noch einen ER605 am Laufen - Aber du hast recht, alles, was den Weg ins Internet ebnet, sollte separat laufen.
p4n0
Legende
Fummelt ihr echt soviel an euren Virtualisieren herum? An so nem ESX kann man doch eh nicht soviel herumspielen. Das Teil hat bei mir Regelmaeßig Uptimes von >180Tagen.
Netzwerkkram an die Firewall durchgereicht, dann laeuft das ewig und drei Tage.
Netzwerkkram an die Firewall durchgereicht, dann laeuft das ewig und drei Tage.
Hallo!
Irgendwie dürfte ich ein kleines Konfigurationsproblem mit OPNSense+Wireguard haben.
Setup läuft seit ca. 2 Jahren und wurde bisher eigentlich nur mit iPhones genutzt (hauptsächlich um von unterwegs die Fotos auf den Heimserver zu sichern) – dies funktioniert auch ohne Probleme.
War vor Kurzem auf Urlaub und hatte mein Notebook mit – Verbindung, Surfen, etc… läuft alles ohne Probleme, nur als ich via Netzwerkumgebung (Win11) auf meinen Heimserver zugreifen wollte, war dort keiner zu finden.
Habe dann die IP-Adresse vom Server händisch in den Explorer eingetragen – siehe da, alle Ordnerfreigaben erschienen und ich konnte auch normal damit arbeiten.
Wie/wo liegt denn ev. mein Fehler, dass mir mein Heimnetzwerk nicht in Windows angezeigt wird, wenn ich unterwegs bin und via VPN verbunden bin!?
Danke!
LG
Irgendwie dürfte ich ein kleines Konfigurationsproblem mit OPNSense+Wireguard haben.
Setup läuft seit ca. 2 Jahren und wurde bisher eigentlich nur mit iPhones genutzt (hauptsächlich um von unterwegs die Fotos auf den Heimserver zu sichern) – dies funktioniert auch ohne Probleme.
War vor Kurzem auf Urlaub und hatte mein Notebook mit – Verbindung, Surfen, etc… läuft alles ohne Probleme, nur als ich via Netzwerkumgebung (Win11) auf meinen Heimserver zugreifen wollte, war dort keiner zu finden.
Habe dann die IP-Adresse vom Server händisch in den Explorer eingetragen – siehe da, alle Ordnerfreigaben erschienen und ich konnte auch normal damit arbeiten.
Wie/wo liegt denn ev. mein Fehler, dass mir mein Heimnetzwerk nicht in Windows angezeigt wird, wenn ich unterwegs bin und via VPN verbunden bin!?
Danke!
LG
p4n0
Legende
Nope. Jeden zweiten Dienstag im Monat gibt es einen Neustart und wer weiß, vielleicht in Zukunft nicht mal das. 😉
besterino
Legende
Wenn alle Stricke reißen und mein Hypervisor mit der FW down sein sollte, stöpsele ich zur Not einfach physisch ein oder zwei Kabel um und zumindest die Familie ist erstmal wieder glücklich.
Ähnliche Themen
- Artikel