Hardware Proxmox Netzwerkkarten Anzahl

Kann man machen

Zitat von bubba

Aber wie verhält sich das denn mit den Netzwerkkarten?

Du willst Proxmox installieren auf dem "Metall" und weitere Server innerhalb von VMs, welche das Proxmox-Betriebssystem (basiert derzeit auf Debian 12) bereitstellt und welche Du mit dem Webinterface einrichten kannst.

Proxmox richtet auf dem Metall für jede physische Netzwerkkarte einen virtuellen Switch ein. In den kannst Du die VMs mit einem virtuellen Patchkabel sozusagen reinstecken. Jedes Patchkabel und auch der gesamte Switch nach außen besitzen jeweils eine Firewall-Konfiguration, mit der Du dir Netzwerkverbindungen filtern kannst.

Die Proxmox-Konzepte sind ziemlich gut verständlich dokumentiert (finde ich): https://pve.proxmox.com/pve-docs/. Aber diese Konzepte zielen auf Server, Hochverfügbarkeit, professionelle Virtualisierung, ... Alles Themen, die ein Desktop-User garnicht braucht und deshalb neu & fremd sind. Proxmox ist nicht "einfach eine weitere Distribution", sondern eine Virtualisierungslösung. Das gut geschriebene, ~600seitige Handbuch wird man schon lesen müssen.

Zitat von bubba

Weil ja dann opnsense und Adguard auf einer Maschine laufen?

Ich gleube, Du denkst noch falsch: Proxmox arbeitet sozusagen eine Ebene darunter.

Zitat von bubba

Aber wie verhält sich das denn mit den Netzwerkkarten?

So fit bin ich auch noch nicht mit Proxmox, aber bisher habe ich es so verstanden: Sollte z.B. wie in meinem Fall nur eine physische Netzwerkkarte vorhanden sein, wird der VM eine virtuelle Netzwerkkarte zugeteilt (so erhält die dahinterliegende VM z.B. eine eigene IP-Adresse vom Router zugewiesen).

Man kann allerdings auch die physische Netzwerkkarte direkt in die VM durchreichen, dann erhält die VM exklusiv die Hardware/Netzwerkkarte zur Konfiguration in der VM. Oder man nimmt eine Netzwerkkarte die mehrere Ports zur Verfügung hat (ich habe hier z.B. so eine ähnliche Karte wie diese hier, welche ich noch übrig habe und mit der möchte ich demnächst/irgendwann ein kleines Firewall-Projekt starten auf Basis von OpnSense). Mit solch einer Netzwerkkarte kann man, ähnlich wie bei dem von Dir verlinkten Mini-PC, kann man jede Netzwerkkarte einzeln ansprechen und separat konfigurieren, z.B. als WAN-Anschluss, LAN-Anschluss, spezielle VLAN usw...

Jede Netzwerkkarte kann man einzeln in Proxmox zuordnen, ggf. muss hierzu vorher IOMMU konfiguriert werden um die Hardware aus den IOMMU-Gruppen "herauszulösen" um einzelne Geräte zuweisen zu können, ansonsten können nur komplette Gruppen zugeordnet werden die zusammengefasst sind.

Auf meinem Proxmox sieht das beispielsweise so aus:

Hier kann dann ggf. weitere Hardware der VM zugeordnet werden:

Und über "Bearbeiten" kann man die Einstellungen ändern.

Hierzu, zum Durchreichen von PCI-Geräten, habe ich nach kurzer Suche dieses Video gefunden, ggf. ist das ja hilfreich?

Zitat von bubba

Weil ja dann opnsense und Adguard auf einer Maschine laufen?

Physisch auf einem PC ja, aber Proxmox ist hier ja der Hypervisor und das sollte kein Problem sein. Ich habe neulich sogar ein Video geschaut in dem wurde TrueNAS eigenständig installiert und in Proxmox eingebunden, das hatte den Vorteil, dass das TrueNAS noch funktionieren würde und separat gebootet werden könnte wenn was mit der Proxmox-Installation nicht stimmen sollte... Leider habe ich dieses Video auf die Schnelle nicht wiedergefunden.

Wenn du eine Firma hast finde ich das sinnvoll eine gute Firewall zu haben. Oder du willst damit etwas herumspielen. Ansonsten für einen Privathaushalt over the top. Wenn du eine Firewall virtualisieren willst benötigst du zwei LAN Ports. Anschluss Router und LAN.

Da du alles Weitere mit Proxmox virtualisieren willst reichen diese zwei LAN Ports. Die Container und VMs laufen intern über die Firewall, oder untereinander.

Nun könnte man noch Ports bündeln für mehr Bandbreite, jedoch wie gesagt, für einen Privathaushalt ist das nicht nötig.

Zitat von bubba

Danke @all an die Erklärungen.
Sollte also machbar sein die opnsense auf Proxmox laufen zu lassen.
Ich spiele mit dem Gedanken meine Metall opnsense gegen was potenteres zu ersetzen und ein Adguard und einige Test-VMs zu haben
wäre halt nicht schlecht. Als Hardware für eine Proxmox sollte es dann aber schon was sein mit min. 4 physische Netzwerkkarten, oder? Nicht nur eine, oder?

Aus Deinem Post spricht Basteltrieb/-hype. Du brauchst nur für jedes physische LAN-Segment ein LAN-Interface.

Für Deine Vorhaben brauchst Du wahrscheinlich keine zusätzlichen physischen Netzwerke, weil Deine verschiedenen Netzwerke sowieso nur Virtuelle Maschinen auf demselben Host beinhalten. Ein inneres LAN und ein externes WAN-Interface sind erstmal notwendig. Sicher praktisch wäre ein DMZ-Segment, aber das wird nicht physisch sein, denn da hängt nur ein VM-Server drin. Ein physisches Konfigurationsinterface brauchst Du nicht, das geht am sichersten über einen VPN-Tunnel, der nur von innen aufgebaut werden kann.

Wer Router/Firewalls zu Hause einsetzen will, muss sich im klaren darüber sein, dass er dann für sein LAN Infrastrukturkomponenten braucht (Switch und WLAN Access Point). Diese Geräte brauchen auch wieder Strom und WLAN Access Points, die so gut funktionieren wie ein Fritz WLAN, sind außerdem nicht ganz billig. Man kann das alles machen, aber es ist Verschwendung von Strom, Zeit und Geld.

Zitat von bubba

Was haltet Ihr denn davon eine Firewall wie opnsense zu virtualisieren?Ist das überhaupt sinnvoll und kein Sicherheitsnachteil?
Vielleicht doch lieber die opnsense auf Metall?

Es ist total egal, ob Deine opnsense bare metal oder virtualisiert läuft. (Als VM ist besser, weil Du die Hardware auch gleichzeitig für was anderes verwenden kannst -das spart.)

Die Konfiguration so einer Firewall (opnsense oder andere) ist keine Freude, sondern lange konzentrierte Arbeit. Wenn Du irgendwas vergisst, ist das alles unterm Strich für die Katz.

Potente Hardware ist günstig in einem Desktop/Tower-Gehäuse verstaut. Zwei LAN-Interfaces braucht man, um sowas wie eine Firewall aufzubauen. Weitere VMs können das LAN-Interface für das geschützte innere LAN mitbenutzen. Für Aufbau, Test und Nutzung muss für die Clients ein inneres physisches LAN-Interface und meist ein Switch und ein Access Point angeschlossen werden. Falls der Wunsch nach weiteren physichen Netzwerken aufkommt, brauchen dies auch wieder Switches & Access Points , aber man kann Netzwerkkarten in einem üblichen Desktop-Rechner nachrüsten. Für 1Gbit/s gibt es günstige Karten mit wenig Anforderungen - das einfach. Gut sind Intel i350 Karten, die mit ihrem eigenen Prozessor die CPU entlasten.

Sollen da richtig viele Daten schnell übertragen weren, braucht man aber 10GBit-Interfaces mit eigenem Prozessor, die es ab gut 200Euro/Karte gibt. Die machen aber nur Sinn, wenn man auch einen 10Gbit/s-Switch anschließt. Oft gab es Probleme mit den RJ-45-Kupferanschlüssen bei 10Gbit/s LAN-Karten und Switches, weshalb viele noch SFP-Slots empfehlen, für die man die passenden Module besorgen muss... 10Gbit/s-LAN ist noch mega teures Zeug. Falls Du an sowas denkst - Mach erstmal alles auf 1Gbit/s fertig, denn in ganz wenigen Jahren wird das Zeug stabil einsetzbar und günstig.

Potente & bezahlbare Rechner, die einige VMs aufnehmen und sich flexibel erweitern lassen, kommen als richtiger PC* ins Haus. Auf so einem Rechner baust Du die ganze Konfiguration auf und testest das. Den fährst Du herunter, wenn Du nicht daran arbeitest (Strom sparen). Wenn Du mit einer VM-Konfiguration komplett fertig bist, weist Du auch, was für Hardwareanforderungen die VM hat. Danach kannst Du die VM umziehen auf eine stromsparende, 24/7 durchlaufende Hardware.

Der Dauerbetrieb von Rechnern ist inzwischen schwierig, weil der Stromverbrauch immens wichtig ist. Man muss genau wissen, welche Anforderungen bestehen und jedes Stück Ausstattung (zusätzliche SSD/HDD oder RAM-Modul) muss abgewogen werden. Es gilt strukturell Überflüssiges unbedingt zu vermeiden (zusätzliche Switches, Access Points).

---------------------------------------------------

* "Richtige PCs" sind die Dinger mit externem Monitor&Tastatur, wo man viele RAM-Module, Steckkarten und Festplatten ein-/aubauen kann. Die Netzteile in diesen Kisten sind überdimensioniert und sie verbrauchen zuviel Strom. Aber sie sind eben das Tool, um Dinge flexibel aufzubauen und zu erweitern. Solche Geräte hat man noch (Gaming-PC?), oder man kauft sie sich günstig gebraucht. Für Konfiguration und Aufbau von Linux basierten Servern spielt das Alter der <= 10 Jahre alten Prozessoren (noch) keine Rolle.

Wer einen preiswerteren Einstieg in Sachen Firewall sucht, der kann sich auch bei Mikrotik umschauen. Ist zwar nicht OpnSense sondern RouterOS, aber es lässt sich so ziemlich alles konfigurieren.

z. B. dieses Teil hier

MikroTik L009UiGS-2HaxD-IN - mikrotik-shop.de

Firewall

Zitat von bubba

Finde es schadet nicht einen gute FW auch privat zu haben. Klar, damit muss man sich dann auch etwas beschäftigen. Aber ich finde das ganz interessant, deshalb mache ich das mit der opnsense. Meine Vodafone Station z.B. hat nur als FW ein oder aus, das wars. Und Portforwording noch.

Eine Vodafone Station ist auch kein Router, geschweige Firewall. Das ist schlicht Müll. Gebaut für die Tonne.

Wenn du sowieso noch einen Switch hast dann reichen 2 LAN Ports

Zitat von bubba

Aktuell habe ich 3 Ports, weil ich mein Wlan noch vom Lan getrennt habe. Das habe ich so gemacht weil ich sonst ein vlan fähiges Switch benötigt hätte. Proxmox ist sehr interessant, aber auch nicht einfach, das ist schon mehr was für Profis. Ist bestimmt eine Herausforderung.

Wenn du einen AP nutzt benötigst du kein VLAN und auch keinen dritten Port.

Zitat von bubba

Wie schliesse ich denn den AP sonst an?
Aktuell habe ich es an meiner opnsense so, 3 LAN-Ports:

1.) WAN --> DHCP vom Provider
2.) LAN --> 192.168.0.1 --> PC direkt angeschlossen mit 192.168.0.10
3. WLAN --> 192.168.2.1 --> AP angeschlossen mit 192.168.2.2 --> Da dann WLANClients die kein Zugriff auf das LAN haben

Am Switch

Zitat von bubba

Aber am Switch kann ich die Netze dann ja nicht trennen, es sei denn ich richte auf der opnsense ein VLAN ein, dann muss das Switch aber VLANS können. Und ich habe wieder ein Gerät mehr am Strom. Oder ist mein Gedankengang da falsch?

Aktuell habe ich es so das Wlan und LAN getrennt sind, nur vom LAN aus kann ich auf die GUI vom AP zugreifen um das Gerät zu verwalten. Auf dem AP habe ich noch ein GAST-WLAN für IoT-Geräte was von allem komplett isoliert ist, nur Internet hat.

Nein du trennst das WLAN über den AP mit einem eigenen IP Adresseraum und routest mit der Netzwerkmaske 255.255.0.0

Beispiel LAN Adressenraum 192.168.1. und WLAN 192.168.2.

Zitat von bubba

Aber am Switch kann ich die Netze dann ja nicht trennen, es sei denn ich richte auf der opnsense ein VLAN ein, dann muss das Switch aber VLANS können. Und ich habe wieder ein Gerät mehr am Strom. Oder ist mein Gedankengang da falsch?

Du brauchst nur VLAN, wenn Du irgendeine keine LAN-Interfaces an der OPNSENSE, sondern ein Switch hast?). Wenn Du richtige LAN-Interfaces hast, brauchst Du für das zweite interne LAN-Segment mind. 3 Interfaces an der OPNSENSE, aber keine VLAN-Geschichten (sind sowieso nicht sicher).

Solange Du WLAN trennen willst vom LAN (das musst Du nicht), brauchst Du für eine virtualisierte OPENSENSE natürlich auch 3 LAN-Interfaces. Wichtiger als die Trennung zwischen LAN und WLAN ist die Einrichtung eines Gast-WLans für Gäste und Smartphones und ähnlche nonsense-Geräte.