:strip_icc():strip_exif()/u/54374/kite.jpg?f=community)
Ik heb al jaren thuis een ESX server staan om een aantal VMs op te draaien, zo draait er ook een windows domein, nextcloud , Pihole ,Domoticz enz.
zo heb ik jaren een pfsense virtuele firewall gehad wat goed werkte, maar sinds begin dit jaar ben ik overgestapt naar OPNsense, ik ben an sich nog wel blij met de overstap omdat ik met name de GUI prettiger dan pfsense vind echter heb ik ook wel een aantal dingen die ik nog niet lekker werkend heb kunnen krijgen denk aan IPTV (XS4all) en een bepaald vlan via een VPN laten verbinden met de buitenwereld.
Daarnaast heb ik het mijzelf denk ik nodeloos complex gemaakt door enorm veel firewall regels te hebben op een aantal vlannen lees +- 30. Dit omdat ik bijvoorbeeld naar mijn unifi controller alleen 8443 toe staan voor de gui, en zo heb ik dat eigenlijk voor elke dienst die ik in dat vlan heb staan.
dus nu heb ik het plan opgevat om het een keer opnieuw in te richten en direct goed en dan heb ik een aantal vragen waar ik zelf de afgelopen jaren een aantal keer van mening ben gewisseld.
mijn hardware is:
2x ESX host (meterkast en op zolder)
2x Unifi switches (US-24-250W & US-8)
4x Unifi AP (elke verdieping + schuurtje)
XS4ALL glasvezel, (glas komt binnen op de unifi switch waar ik vlan 4+6 opvang)
Vriendin + 2 kinderen (dan weet je hoeveel tijd ik heb en dat ik alleen kan gaan kloten als deze liggen te slapen
)
mijn netwerk is ingericht alsvolgt:
vl10 = LAN
vl20 = INFRA
vl30 = Anoniem VPN naar buiten (dit werkt nu niet)
vl40 = IPTV lan (dit werkt nu niet, en heb nog niet kunnen vinden waarom
)
vl50 = IOT
vl60 = iSCSI (maar deze komt niet op de firewall)
vl100 = DMZ (nextcloud + mailserver)
vl110 = gasten
vl4 = IPTV wan
vl6 = internet ISP
Momenteel heb ik 2 netwerkkaarten in mijn firewall zitten 1 voor de WAN verbindingen, en een trunk op de rest,/f/image/3D3UglZ75Fhw7ZcM5fA8YO8C.png?f=fotoalbum_large)
zo heb ik jaren een pfsense virtuele firewall gehad wat goed werkte, maar sinds begin dit jaar ben ik overgestapt naar OPNsense, ik ben an sich nog wel blij met de overstap omdat ik met name de GUI prettiger dan pfsense vind echter heb ik ook wel een aantal dingen die ik nog niet lekker werkend heb kunnen krijgen denk aan IPTV (XS4all) en een bepaald vlan via een VPN laten verbinden met de buitenwereld.
Daarnaast heb ik het mijzelf denk ik nodeloos complex gemaakt door enorm veel firewall regels te hebben op een aantal vlannen lees +- 30. Dit omdat ik bijvoorbeeld naar mijn unifi controller alleen 8443 toe staan voor de gui, en zo heb ik dat eigenlijk voor elke dienst die ik in dat vlan heb staan.
dus nu heb ik het plan opgevat om het een keer opnieuw in te richten en direct goed en dan heb ik een aantal vragen waar ik zelf de afgelopen jaren een aantal keer van mening ben gewisseld.
mijn hardware is:
2x ESX host (meterkast en op zolder)
2x Unifi switches (US-24-250W & US-8)
4x Unifi AP (elke verdieping + schuurtje)
XS4ALL glasvezel, (glas komt binnen op de unifi switch waar ik vlan 4+6 opvang)
Vriendin + 2 kinderen (dan weet je hoeveel tijd ik heb en dat ik alleen kan gaan kloten als deze liggen te slapen
)mijn netwerk is ingericht alsvolgt:
vl10 = LAN
vl20 = INFRA
vl30 = Anoniem VPN naar buiten (dit werkt nu niet)
vl40 = IPTV lan (dit werkt nu niet, en heb nog niet kunnen vinden waarom
)vl50 = IOT
vl60 = iSCSI (maar deze komt niet op de firewall)
vl100 = DMZ (nextcloud + mailserver)
vl110 = gasten
vl4 = IPTV wan
vl6 = internet ISP
Momenteel heb ik 2 netwerkkaarten in mijn firewall zitten 1 voor de WAN verbindingen, en een trunk op de rest,
- Zou het beter zijn om per vlan een NIC in mijn firewall te plaatsen?
- Zou het beter zijn om per WAN een eigen NIC te hebben, en het IPTV te splitsen naar eigen NICS?
- Ik heb 6 fysieke NICS in de meterkast ESX host zitten ik kan ook een NIC(s) passthroughen naar de firewall om zo de VMware distributed switches over te slaan maar dan verlies ik vmotion flexibiliteit wat mij ook wat waard is.
- Hoe kan ik mijn firewall regels nu het best compacter maken?
- Om mijn interne verkeer af te schermen heb ik bijvoorbeeld een inverted rule:
:fill(white):strip_exif()/f/image/3D3UglZ75Fhw7ZcM5fA8YO8C.png?f=user_large){kind=small}
