VM Virtual Firewall

Mijn vraag
Ik heb thuis een in ontwikkeling zijnde lab. Dit wil zeggen nu staat er nog vrij weinig op mijn homeservertje, maar wil dit gaan uitbreiden en meer gaan testen. Echter wil ik dit wel wat beter aanpakken qua beveiliging van het netwerk dan de ingebouwde router firewall.

Mijn huidige ESXi server staat binnen in het lan. Met port forwarding kom ik waar ik wezen moet.
Echter voor mijn pbx project wil ik dus een firewall/SBC gaan configureren.

Ik wil deze ook virtueel gaan oplossen. Dus dan zal de ESX host moeten gaan verhuizen tussen het modem en de router.

Op zich de touwtjes omprikken is het probleem niet. Maar de inrichting hiervan, hier sla ik even dicht.

Modem --> WANport router
Moet dus worden
Modem --> LAN0 esx
LAN1 --> WANport Router

Mijn vrees is een beetje, stel dat ik een FW/SBC inricht, gaat deze mijn traffic reguleren.
Maar, als ik mijn servers aan de LAN 1 kant naar mijn router stuur. kan ik hier dan intern nog bij, en hebben de servers nog toegang tot internet als ik dat wil en toch beveiligd door de FW/SBC
Helaas heeft de router geen volledige beschikking over VLAN's om een juiste inrichting te maken.

Ik heb in de ESX al een Server 2012 draaien en deze kan functioneren als DHCP server voor het interne netwerk.

Als ik de NAT functie uitschakel op de router, word de wan port dan gezien als "switch" port?

Relevante software en hardware die ik gebruik
Ziggo modem in bridge modus.
Asus RT-AC88U met Merlin firmware (380.64)
HP MicroServer Gen8 met 2 LAN interfaces met ESXi.

Wat ik al gevonden of geprobeerd heb
Nog niets, ideeen zijn ideeen en wil nog niets blind exposed op het internet knallen.

ShadowAS1 schreef op woensdag 11 januari 2017 @ 21:03:
Dat is nogal afhankelijk van het type router. Dus dat zou je moeten testen.
Iig word het LAN dan geswitched, maar waarom zou je die router nog gebruiken dan?

Anyhow: let er wel op dat je die NIC aan de kant van je modem maar 1 host hangt, anders gaat je lijn zo lekker klapperen.

Router zou ik dan even moeten testen.

In de ESX maak ik dan twee vSwitches.. 1 voor WAN interface, die assign ik alleen aan de FW/SBC
1 voor LAN stukje

Router wil ik blijven gebruiken om dat het een homelab is er geen andere switch voorhanden in. Router is nog niet zo oud en was duur zat om nu zo aan de kant te schuiven

Aapie schreef op woensdag 11 januari 2017 @ 21:20:
Ik heb hier een zelfde soort situatie alleen iets anders ingericht, ik zal je een opzetje geven voor het idee:

Modem ---> Wan Pfense(router) in hyper-v (dus 1 netwerk fysieke Netwerkkaart voor de inkomende verbinding)
Switch ---> Pfense(lan) (hier ook weer 1 fysieke Netwerkkaart voor de Pfense Lan)
Switch ---> Hyper-v server Lan (ook weer 1 fysieke Netwerkkaart voor Lan) Voor de overige vm's)

Dus je hebt 3 fysieke interfaces op je serverHW.
Ik heb er helaas maar 2.
Gebruik jij een router of een managed switch voor je ETH aansluitingen?
Gezien ik mijn router nóg niet wil vervangen voor een managed switch kan ik helaas niet aan de slag met vlans dat had een stuk makkelijk geweest namelijk

Ik ben gewoon aan het kijken of het met de huidige spullen een reëel idee is om het zo in te richten

Aapie schreef op woensdag 11 januari 2017 @ 21:39:
Ja, ik heb er 4 draadjes heen lopen.

Als je echt gebruik wil maken van vlan's kan je ook gewoon dual nics aanschaffen, die zijn goedkoop op ebay te vinden voor paar tientjes. Deze kan je dan managen in pfsense.

Ik maak geen gebruik van vlans hoewel ik wel een managed switch heb. Ik maak gewoon gebruik van verschillende subnetten.

Er zijn meerdere mogelijkheden voor jou "Probleem"

Dus gewoon in het kort, negeer je WAN port en plug maar raag.. zolang je 1 fysieke (en in ESX vswitch) dedicated voor je WAN houd.

Aapie schreef op woensdag 11 januari 2017 @ 22:04:
Als jij de modem verbinding koppelt aan een NIC van je esx bak en deze kaart ALLEEN koppelt aan de "virtuele router"

En vervolgens een kabel van de andere NIC naar jouw router(switch). Deze netwerkkaart (virtuele switch) kan je dan wel delen met meerder vm's.

Dan loopt alle internetverkeer via de virtuele router mits goed ingesteld natuurlijk.

Thanks! Dan heb ik in ieder geval een opstapje, Tijd om te knutselen!

Oké, na wat wikken en wegen, toch maar een switch erbij gekocht met vLAN support. Is toch effe wat makkelijker. Nu wachten tot ie binnen is.

Dit project is toch wat gegroeid en tot een werkende situatie gebracht!

Helemaal naar tevredenheid tot nu toe.

1 interface voor de WAN
en 1 interface voor de LAN met vlans.

Ik heb gekozen voor de sophos oplossing, die sprak mij aan. Echter nog geen SBC aanwezig. Volgende traject.

Alles wat ik vind wat op internet mag, komt er gewoon door. nieuwe devices moet ik eerst toestaan..
Volledig gesloten begonnen en poort voor poort open gezet.

Inmiddels is er ook een upgrade geweest op het wifi vlak (Ubiquiti) en daar is het fijn om gebruik te kunnen maken van vlans icm met de firewall. dus compleet gescheiden traffic voor gasten netwerk.

Kost wat, maar dan heb je ook wat

Binnenkort nog wat upgrades (fully managed switch) en dan ben ik een blij man..
De vrouw wat minder blij