Επιλογές hardware για Firewall/UTM

[kosath]

Ευχαριστώ για τις συμβουλές.

Openwrt ως managed switch για guest, Wan, Lan επειδή το nuc έχει μόνο μια lan Gbit (για να μην βάλω usb3 ethernet).

Μνήμη βάζω... Εναλλακτικά σκεφτόμουν μητρική με j4125, 16GB RAM, SATA SSD, 4 Ethernet σε pcie-e.

Το ακούω πολύ του redhat τελευταία. Θα το δοκιμάσω κι αυτό.

[BlueChris]

Καλησπέρα,

Αντίστοιχα με τον TS, έχω ένα nuc i3-4??? 8GB RAM 120GB msata. Σκέφτομαι να του βάλω esxi 7 με opnsense, pihole, 3cx. Εμπειρικά, πιστεύετε θα έχω θέμα σε επιδόσεις για 50/5 vdsl? Home use αλλά με 35 συσκευές.

Η μια θύρα δικτύου μπορεί να γίνει 5 με χρήση tp link 1043n & openwrt για τα vlan...

Σε nuci3 ακριβώς σαν το δικό σου αλλά με 16gb ram που πήρα από eshop (αν θες τον τύπο της μνήμης γιατί είναι περίεργα τα nuc) έχω πάνω
Esxi7 με
Vcsa
Untangle
Freepbx
Pihole
Και παίζει λαμπάδα σε 100/10
Έχω και 2η usb καρτα δικτυου με τους fling drivers αλλά δεν τη χρησιμοποιώ γιατί έχω switch με vlan.

[riddle3]

Καλησπέρα,

Αντίστοιχα με τον TS, έχω ένα nuc i3-4??? 8GB RAM 120GB msata. Σκέφτομαι να του βάλω esxi 7 με opnsense, pihole, 3cx. Εμπειρικά, πιστεύετε θα έχω θέμα σε επιδόσεις για 50/5 vdsl? Home use αλλά με 35 συσκευές.

Η μια θύρα δικτύου μπορεί να γίνει 5 με χρήση tp link 1043n & openwrt για τα vlan...

Δες το proxmox για hypervisor αντί του esxi. Πάντως σίγουρα θα χρειαστείς παραπάνω ram για να είσαι άνετος.

Επειδή τρέχω αντίστοιχο setup (virtual router, 3cx, καμιά 30αριά containers), είναι προβληματικό όταν θες να κάνεις εργασίες στον host και αφήνεις τους πάντες χωρίς internet.
Επίσης δεν είναι το πιο απλό στην διαχείριση των vlans, γιατί πρέπει να προσέξεις 3 τοποθεσίες πλέον, virtual router,managed switch και hypervisor virtual bridges.

Τo openwrt θα σου δουλέψει σαν managed switch, απλά κλείνεις τα dnsmasq,firewall,odhcpd.

[megahead13]

Δες το proxmox για hypervisor αντί του esxi. Πάντως σίγουρα θα χρειαστείς παραπάνω ram για να είσαι άνετος.

Επειδή τρέχω αντίστοιχο setup (virtual router, 3cx, καμιά 30αριά containers), είναι προβληματικό όταν θες να κάνεις εργασίες στον host και αφήνεις τους πάντες χωρίς internet.
Επίσης δεν είναι το πιο απλό στην διαχείριση των vlans, γιατί πρέπει να προσέξεις 3 τοποθεσίες πλέον, virtual router,managed switch και hypervisor virtual bridges.

Τo openwrt θα σου δουλέψει σαν managed switch, απλά κλείνεις τα dnsmasq,firewall,odhcpd.

Ακριβώς γι' αυτό το λόγω πήρα το κινεζοκουτάκι που ανέφερα σε προηγούμενο μήνυμά μου και του έχω βάλει pfSense. Έτσι δεν επηρεάζεται η δικτύωση του σπιτιού, όταν κάνω κάτι στον Proxmox server που τρέχει όλα τα υπόλοιπα services που έχω. Επίσης συμφωνώ για περισσότερη μνήμη.

[kosath]

Τι εργασίες κάνεις στον hypervisor ώστε να σου κόβει το ίντερνετ; κάποιο update λογικά (που δεν είναι πολύ συχνό) θα μπορούσες να το κάνεις ώρες μη αιχμής, σωστά;

[riddle3]

Τι εργασίες κάνεις στον hypervisor ώστε να σου κόβει το ίντερνετ; κάποιο update λογικά (που δεν είναι πολύ συχνό) θα μπορούσες να το κάνεις ώρες μη αιχμής, σωστά;

Αν έχει βγει κάποιος νέος kernel (το πιο σύνηθες), ή αν θες να αλλάξεις hardware (π.χ.νέος δίσκος) ή απλά να φυσήξεις το pc από τη σκόνη.

Από την άλλη αν τα έχεις όλα virtual, έχεις snapshots, εύκολα backup & restore και άλλες ευκολίες όπως provisioning του hardware στο κάθε vm/container.

[megahead13]

Προσωπικά προτίμησα τη λύση του hardware για router. Αν γίνει το οτιδήποτε, απλώς κουμπώνω στα γρήγορα το WiFi router του ISP και όλα καλά.

Επίσης στο Proxmox περιβάλλον μου έχω VMs με PCIe passthrough κάτι που κάνει τα πράγματα λίγο πιο περίπλοκα. Κάποιες φορές έχω αναγκαστεί να κάνω restart όλο το server. Γι' αυτό προτιμώ το δικτυακό περιβάλλον να είναι εντελώς ανεξάρτητο από το Proxmox.

[riddle3]

Προσωπικά προτίμησα τη λύση του hardware για router. Αν γίνει το οτιδήποτε, απλώς κουμπώνω στα γρήγορα το WiFi router του ISP και όλα καλά.

Επίσης στο Proxmox περιβάλλον μου έχω VMs με PCIe passthrough κάτι που κάνει τα πράγματα λίγο πιο περίπλοκα. Κάποιες φορές έχω αναγκαστεί να κάνω restart όλο το server. Γι' αυτό προτιμώ το δικτυακό περιβάλλον να είναι εντελώς ανεξάρτητο από το Proxmox.

Και εγώ στο prox χρησιμοποιώ pcie passthrough σε GPU & usb3 controller για το main workstation vm και είναι κάτι που μπορεί να κρασαρει τον σέρβερ ή να χρειαστεί restart για να ξαναδεί τα devices.

Μέχρι πρόσφατα χρησιμοποιούσα passthrough και για την 2port nic στο openwrt vm, αλλά με το να του να την περνάω σαν 2 bridge interfaces από το proxmox, μου έδωσε την δυνατότητα να πειραματίζομαι με άλλες firewall διανομές χωρίς να χρειάζεται να πειράζω το main virtual router (ούτως ή άλλως στον ΟΤΕ έχουμε 4 pppoe connections διαθέσιμα).

Άν σε κάποιον αρέσει το συνεχές πείραγμα του firewall του, τότε είναι καλή φάση το να το έχεις σε vm, αλλά αν θες κατι πιο σταθερό πας σε κλασσική hardware λύση.

[BlueChris]

Γιατι περνατε καρτες και usb? Αν ειναι προσωπικό workstation με καρτα γραφικων κλπ το καταλαβαίνω και εγω ετσι είμαι σπιτι αλλα για router κλπ ποιος ο λογος? Ειδικα σε κάρτες δικτύου ολοι οι hypervisor δουλεύουν ρολόι.

[riddle3]

Γιατι περνατε καρτες και usb? Αν ειναι προσωπικό workstation με καρτα γραφικων κλπ το καταλαβαίνω και εγω ετσι είμαι σπιτι αλλα για router κλπ ποιος ο λογος? Ειδικα σε κάρτες δικτύου ολοι οι hypervisor δουλεύουν ρολόι.

Το pc που εκτελεί χρέη hypervisor τώρα ήταν και είναι το main μηχάνημα μου.

Πριν κάνα χρόνο είχα μείνει από ram για αυτά που ήθελα να τρέξω στο τότε mt7621 ρούτερ με openwrt που χρησιμοποιούσα και ενώ έψαχνα για νέο ρούτερ, μου ήρθε η ιδέα να το κάνω virtualized με passthrough. Οπότε με μια dual port nic(20€) επιπλέον έγινε η δουλειά.
Από τη στιγμή που το έκανα βέβαια, άνοιξε η όρεξη και πλέον έχω Nas τηλεφωνικό κέντρο, git, log management, home assistant, grafana όλα τα RR etc όλα στο ίδιο μηχάνημα σε διαφορετικά containers.

Σε οικιακό περιβάλλον με παίρνει να έχω αυτό το single point of failure για αυτά, σε production θα το έστηνα με HA και 3 nodes τουλάχιστον.

[BlueChris]

Το pc που εκτελεί χρέη hypervisor τώρα ήταν και είναι το main μηχάνημα μου.

Πριν κάνα χρόνο είχα μείνει από ram για αυτά που ήθελα να τρέξω στο τότε mt7621 ρούτερ με openwrt που χρησιμοποιούσα και ενώ έψαχνα για νέο ρούτερ, μου ήρθε η ιδέα να το κάνω virtualized με passthrough. Οπότε με μια dual port nic(20€) επιπλέον έγινε η δουλειά.
Από τη στιγμή που το έκανα βέβαια, άνοιξε η όρεξη και πλέον έχω Nas τηλεφωνικό κέντρο, git, log management, home assistant, grafana όλα τα RR etc όλα στο ίδιο μηχάνημα σε διαφορετικά containers.

Σε οικιακό περιβάλλον με παίρνει να έχω αυτό το single point of failure για αυτά, σε production θα το έστηνα με HA και 3 nodes τουλάχιστον.

Δικός μου είσαι
Αυτό εννοούσα λέγοντας δεν χρειάζεται bypass αν δεν δουλεύεις στο pc. Εγώ πάλι το γύρισα σε vm κυρίως για λόγους backup... Όλο έκαιγα motherboard και βαρέθηκα την ταλαιπωρία με driver κλπ.

[megahead13]

Off Topic

Και εγώ στο prox χρησιμοποιώ pcie passthrough σε GPU & usb3 controller για το main workstation vm και είναι κάτι που μπορεί να κρασαρει τον σέρβερ ή να χρειαστεί restart για να ξαναδεί τα devices.

Μέχρι πρόσφατα χρησιμοποιούσα passthrough και για την 2port nic στο openwrt vm, αλλά με το να του να την περνάω σαν 2 bridge interfaces από το proxmox, μου έδωσε την δυνατότητα να πειραματίζομαι με άλλες firewall διανομές χωρίς να χρειάζεται να πειράζω το main virtual router (ούτως ή άλλως στον ΟΤΕ έχουμε 4 pppoe connections διαθέσιμα).

Άν σε κάποιον αρέσει το συνεχές πείραγμα του firewall του, τότε είναι καλή φάση το να το έχεις σε vm, αλλά αν θες κατι πιο σταθερό πας σε κλασσική hardware λύση.

Το μόνο πρόβλημα που έχω με το PCIe passthrough είναι σε ένα VM που τρέχω το Volumio και του περνάω μια αρχαία Radeon HD 6450. Όλα καλά εκτός αν χρειαστεί να κάνω reboot το VM. Δεν παίζει με την καμία σωστά τότε η κάρτα, εκτός αν κάνω reboot όλο το Proxmox περιβάλλον. Και αυτό είναι κάτι που προέκυψε πρόσφατα, χωρίς προφανή λόγο (εκτός κι αν ήταν πάντα έτσι, αλλά δεν το είχα καταλάβει).

Γιατι περνατε καρτες και usb? Αν ειναι προσωπικό workstation με καρτα γραφικων κλπ το καταλαβαίνω και εγω ετσι είμαι σπιτι αλλα για router κλπ ποιος ο λογος? Ειδικα σε κάρτες δικτύου ολοι οι hypervisor δουλεύουν ρολόι.

Εδώ, εδώ κι εδώ είναι το setup μου. Όπως είπα προσωπικά προτιμώ το router κομμάτι να είναι εντελώς ξεχωριστό. Ο λόγος είναι ότι το συνδέω απευθείας στο fiber termination της BT (πιο πριν ήταν το cable modem/router της Virgin). Αυτό απλοποιεί αρκετά τα πράγματα στη δικτύωση του σπιτιού. Είναι πολύ απλό να ρίξω πάνω το wifi router της ΒΤ σε περίπτωση προβλήματος με τη γραμμή για διαγνωστικό έλεγχο, κτλ.

Από την άλλη θα μπορούσα να κάνω passthrough μια ξεχωριστή NIC όπως ο riddle3, αλλά και πάλι προτιμώ dedicated hardware για router, εντελώς ξεχωριστό από το virtualised περιβάλλον. Για μένα δικτύωση <> virtualisation

[RpMz]

Ακρiβώς για τον ίδιο λόγο που θέλω να βάλω ένα UTM Firewall να λειτουργεί σε bridge mode. Ώστε άμα σκάσει όλο το vm host, με bypass lan στο switch (extra lan) να περνάει η κίνηση απ' ευθείας στο LAN.

Άσε που έχω στήσει ένα σωρό πράγματα στο κεντρικό router, θα πρέπει να φάω μέρες για να τα περάσω όλα στο UTM.

[ChriZ]

To firewall/gateway εγώ το έχω πάντα ξεχωριστά. Και μάλιστα έχω και backup firewall αλλά και μόντεμ προρυθμισμένα ούτως ώστε αν συμβεί κάτι να ξαναπαίζει το ίντερνετ ΑΜΕΣΑ, γιατί έχω δεχτεί απειλές για τη ζωή μου..
Σκέφτομαι να τα βάλω και σε HA mode στο μέλλον ώστε να κινδυνεύω ακόμη λιγότερο..

[EnDLess]

Δες το proxmox για hypervisor αντί του esxi.

Υπάρχει κάποιος ιδιαίτερος λογος που προτείνεις το prox έναντι του esxi?


Προς ολους, κατεβασα πρόσφατα το pfsense και μου έκανε ενα παράξενο που πριν μια 7 ετια το είχα καταφέρει. Δεν μου δέχεται αστεράκια για πολλαπλά subdomains στο alliases. Πχ να βάλω *.Microsoft.com ώστε να το χρησιμοποιωσω ως whitelist για την ms και όλα τα subdomains της.

Λέω δεν μπορεί το είχα στήσει πριν χρόνια έτσι... κατέβασα και το opnsense και εκεί το ίδιο. .. έχει αλλάξει; κάνω κάτι λάθος;;;