ich habe seit einiger Zeit schon mir ein miniPC geholt und drauf pfsense installiert. Das klappt ganz wunderbar!
Ich habe dort 2 Ethernet Ports. Der eine Port ist WAN mit PPPOE an einer Telekom Glasfasermodem und der zweite Port ist LAN.
In meinem Fall ist das WAN igc0 und LAN igc1.
Jetzt ist der mini PC mit dieser Aufgabe so gut wie gar nicht ausgelastet.
Daher meine Idee, ich installiere Proxmox darauf und kann dann pfsense, Unifi Networkserver und iobroker auf einem Gerät laufen lassen. Würde mir dann andere Hardware dafür sparen.
Was ich noch nicht verstehen ist, wie muss die configuration in Proxmox aussehen. Welche Port verwende ich für welchen Anschluss und wie kann Proxmox eine IP vom DHCP Server der pfsense bekommen, wenn pfsense doch erstmal eine IP von Proxmox braucht. Oder denke ich einfach zur kompliziert?
Moin, das geht ueber Bridges im Proxmox und einen Port wuerde ich (wenn es zwei unabhaengige Netzwerkkarten sind) hardware-maessig an die pfSense-VM durchreichen, sonst eine extra bridge mit nur diesem Port als WAN der pfSense. Die andere Bridge fuer das LAN der pfSense da den anderen Port nehmen und da auch eine IP fuer Proxmox drauf setzen.
Proxmox kannst weglassen, weil überflüssig. Einfach z.B. Debian (oder ein anderes Linux deiner Wahl) nehmen dort KVM/QEMU einrichten und die pfsense direkt in eine VM installieren. KVM ist seit Jahren Teil des Linux-Kernels.
Ja. tust du, denn sowohl der Host (egal ob Proxmox oder Debian mit KVM/QEMU) und die pfsense als Client brauchen an dem Interface, welches das LAN wird, eine statische IPv4-Adresse. Das zweite (WAN-)Interface sollte, wie vom @m-electronics bereits vorgeschlagen) in der Config direkt an die VM weitergereicht werden. Das Host-Betriebssystem hat dann keinen zugriff darauf. Die pfsense erhält dann via PPPoE vom ISP dafür die IP-Adressen zugewiesen, genau wie jetzt auch bereits.
Meine pfsense läuft jedenfalls genau so, also auf einem Debian-Host ohne dieses Proxmox-Gedöns.
Was hast du eigentlich gegen Proxmox? Ich habe beides bereits verwendet, aber finde Proxmox deutlich angenehmer zu verwalten. Denn es gibt den virt-manager bspw. nur für Linux usw.
Entschuldige, aber wer (mit [Sach-]verstand) benutzt denn etwas anderes als Linux als Desktop-OS? Und damit konfiguriere ich eben sehr bequem meine VM’s via virt-manager.
Vermutlich die Menschen, die entweder beruflich durch gewisse Software drauf angewiesen sind oder die einfach wissen wie sie das Endgerät konfigurieren und nutzen
Find ich auch nicht verwerflich. Im übrigen bin ich zufriedener Proxmox Nutzer und kann auch den Vorschlag bzgl. Bridges bestätigen, geht ohne weiteres.
Na das können dann ja nur Leute sein, die ein Endgerät mit Linux-OS nutzen. 95% von denen, die Windoof und 100% derer die macOS nutzen haben das noch nie selbst installiert. Bei Linux würd ich schätzen haben es hingegen 99% selbst installiert und konfiguriert, denn wo (außer bei Tuxedo) gubt es schon fertig installierte und konfigurierte Notebooks mit Linux zu kaufen.
Aber ich denke die Diskussion geht in Richtung offtoppic. Wer unbedingt Windoof oder macOS nutzen will darf das natürlich gern tun.
Dei Diskussion ist vollkommen überflüssig - muss jeder selber entscheiden, was er nutzt.
Ich arbeite im Job mit zig Linux-Server und Windows-Desktop, zuhause ziehe ich 1000mal MacOS vor jedem Linux-Desktop-OS vor und erst Recht vor Windows.
Mal gut, das Proxmox auif KVM mit Debian-Unterbau basiert und es einem Einsteier mit etwas Interesse recht einfacht macht, sich einen Virtualisierungs-Host aufzubauen.
Ich nutze Proxmox sehr gerne zuhause.
Die der Port der für WAN zuständig ist wird einfach per Bridge an pfsense weitergeleitet und nicht vom Host genutzt.
Der Port der für LAN verwendet wird, wird sowohl vom Host als auch von pfsense (und sopäter dann auch von iobroker und co genutzt).
Wie werden dann dort die einzelnen VM mit einer eigenen IP versorgt?
Ist jede VM wie ein eigener Rechner der vom DHCP Server eine eigene IP bekommt, da jede VM an der Netzwerkschnittstelle eine eigene MAC-Adresse hat?
Und mir ist noch nicht ganz klar wie es mit den VLAN Tags funktioniert. Werden die dann noch von der pfsense geregelt oder muss Proxmox diese annehmen und an einer Bridge an die VM weiterleiten?
Moin, der LAN-Port ist ja auch Teil einer Bridge auf diese auch VMs und LXCs geklemmt werden. Darüber kriegen die dann, wie auch Geräte die extern per Switch dranhängen, eine IP von der pfSense…
Das mit den VLANs kann man sowohl in der pfSense als auch im Proxmox machen. Da ist immer die Frage was will man
Also ich vermute mal bisher ist deine pfsense auch dein DHCP-Server im LAN. Das bleibt dann am besten auch so. Auch jetzt hat deine pfsense im LAN ja bereits eine statische IPv4-Adresse und dürfte ihre LAN-IPv6-Adresse per „Track Interface“ von der des WAN ableiten, da du ja mutmaßlich einen IPv6-Präfix vom ISP anforderst. Auch das kann so bleiben.
Für den Host (egal ob KVM/QEMU oder Proxmox) kann kein DCHPv4 verwendet werden. Damit die Bridge startet muss eine IPv4-Adresse anliegen. Also braucht es eine statische IPv4–Adresse für den Host. Der DCHPv4-Server der pfsense startet dafür zu spät. Für DCHPv6 ist das hingegen egal. Das ist nicht zeitkritisch und daher kann der Host am LAN-Interface auch etwas warten, bis die pfsense dem Host eine IPv6-Adresse per DCHPv6 zuteilt. Man kann aber auch kompelett auf IPv6 im Host verzichten. Das kannste halten wie es dir beliebt.
Du hast mit PfSense auf Promox eine Henne-Ei-Probleme.
Ist dein Proxmox kaputt, kommt nicht mehr drauf, weil auch die Firewall nicht läuft und die darauf keinen Remotezugang ins Netz hast
Ist deine Firewall kaputt, kommst auch nicht mehr auf den Proxmox, weil keien Netzwerkzugang.
Ich bin kein Freund davon, die Firewall auf Proxmox laufen zu lassen, ich hab meine OPNSense auf eigener Hardware und wenn die streikt kommt ich per Konsole immer noch drauf.
Zudem gebe ich mal zu bedenken: Eine Firewall gehört vor das Netzwerk an der Schnittstelle zum Internet und nicht auf einem Server mitten im Netz.
Aber wie schon geschrieben, das muss jeder selber für sich entscheiden.
Das stimmt ja so gar nicht. Wenn Firewall kaputt kommt er nicht mehr ins Internet, an den Proxmox sehr wohl. Einmal eine statische IP aus seinem LAN vergeben, schon kommt er wieder dran.
Selbst dann kommt man noch dran. VLAN-fahiger Switch am VLAN des Proxmox würde es ermöglichen. EInfach irgendein Notebook per LAN-Kabel damit verbinden und schon gehts.
So wie von mir und @m-electronics vorgeschlagen wäre die pfsense VOR Netzwerk an der Schnittstelle zum Internet. Wenn man das PCI-Network-Device an die VM mit der pfsense weiterreicht, ist dies für den Host nicht mehr vorhanden. Sämtlicher Traffic vom WAN ins LAN muss über die pfsense und durch deren Firewall-Rules.
Hardwaremäßig kann die als VM gar nicht kaputt gehen. Nur der Host (Proxmox oder KVM/QEMU könnte das. Ist hingegen irgendetwas an der Software vermukst (eigene Fehlkonfiguration / vermurkstes Update) ist die Virtualisierung als VM sogar ein Riesenvorteil. Einfach das letzte funktionsfähige vollständige Backup der virtuellen Festplatte der pfsense-VM wieder zurück auf den Host kopieren.
Bei mir mit KVM/QEMU ist das eine zur Zeit 8,4 GB große *.qcow2-Datei, die ich regelmäßig auf eine externe Platte sichere. Das dauert nur wenige Minuten. zurück auf den Host kopiert ist die genauso schnell. Das ist deutlich schneller als beim physischen pfsense-Server per USB-Stick ein Linux zu starten und das Dateisystem der pfsense zu mounten und irgendetwas zu reparieren.
