Hardware: Firewall auf separater Hardware oder Proxmox

Hallo,

mich würde eure Einschätzung für eine neue Hardware-Anschaffung interessieren. Für unsere kleine Non-Profit-Organisation (15 Personen) planen wir aktuell als neue Hardware für unseren Proxmox-Server einen minisforum ms-01 anzuschaffen, auf dem ein paar VMs und ein paar Docker-Container laufen sollen.

Parallel dazu ist die Überlegung, eine OPNSense ebenfalls auf dem ms-01 laufen zu lassen und damit alles auf einer Hardware, oder die Hardware zu separieren und die OPNSense auf einer HUNSN Micro Firewall Appliance laufen zu lassen.

Habt ihr spontan eine Empfehlung?

Gruß Marcel

Moin,

ich persönlich würde es ruhig auf dem Server laufen lassen. Ihr habt ja mehrere LAN-Ports und könntet so theoretisch auch einen nur für die Verwaltung der Sense nehmen. Ansonsten ist es halt von der Konfiguration etwas mehr Aufwand z.B. mit HA-Proxy und co.

Ich mag aber auch die Idee dann über einen proxmox-backup-server die ganze Firewall zu sichern und in Notfall mit einem klick wiederherzustellen.

Ist aber wie gesagt nur meine persönliche Meinung und es gibt bestimmt auch Gründe es anders zu machen.

Liebe Grüße,
Maximilian

Bei einer Firewall kommt für mich nur eine Installation in Frage: Auf eigener Hardware.

Ich will ja mein Netzwerk schützen und da muss die Firewall VOR dem ganzen Netzwerk hängen und nicht mitten drin auf einem Server, wo noch anderen, vielleicht sogar wichige Dienste laufen oder kritische Daten gespeichert werden.

Daher Installation auf einem Proxmox für mich ein absolutes NoGo.

Backup der Firewall ( OPNSense bei mir ): tägliche Konfigsicherungen auf meine NAS und falls das Teil mal aussteigt, ist die vom USB-Stick in 20min wieder neu aufgesetzt und die letzte Konfig eingespielt.

2 Likes

Wenn du FW als VM laufen lässt und evtl. Mist bei der Konfiguration (z.B. VLANs) baust, kannst du ganz schnell den Ast absägen auf dem du sitzt. Daher Hardware mit einem LAN Port mehr als du brauchst. Da legt man in der Regel stupide eine IP-Subnetz drauf, was als Fallback für den Admin ist.

Unabhängig davon segmentiert man heute (Gäste WLAN, IoT (Staubsauger, Wetterstation, etc.), geschäftliche Geräte, etc.

Sag ich doch, mein PC mit der OPNSense drauf hat 8 LAN-Ports, davon sind 4 für LACP reserviert und einer für einen Management-Port, womit ich mit direkt per Notebook im Bedarfsfall dran hängen kann.

Kann ich nur unterstreichen

Vielen Dank für eure Einschätzung und Empfehlung – ich bleibe bei der separaten Hardware für die OPNSense :slight_smile: