Pfsense op remote locatie, wat niet vergeten

Pagina: 1
Acties:

Vraag


Acties:
  • 0 Henk 'm!

  • shure-fan
  • Registratie: Maart 2002
  • Laatst online: 14-05 16:58
Ik ben momenteel bezig voor een vriend om een hp proliant rackserver klaar te maken om bij hem gebruikt te worden als VM server onder vmware esxi,

Esxi draait prima, en heb er tevens pfsense op gezet omdat hij dat graag wil gebruiken als firewall / routerings platform (gaat eerst via dmz ter test draaien achter een ziggolijn, als hij happy is gaat modem in bridge)

De 2 nics zijn toegewezen als lan en wan, de ILo is statisch ingesteld binnen het lan subnet


Ik beheer de server via vpn, en heb op zijn verzoek een adblocker (pfblockerng) geinstalleerd

De basis werkt al prima, echter zullen er vast zaken zijn die ik vergeten ben te doen

En dat is de vraag dan ook: wat zijn dingen binnen esxi en/of pfsense die ik absoluut geregeld moet hebben voordat de server op locatie gaat draaien?

Voip enthousiastelling, Liever een kabel dan wifi

Alle reacties


Acties:
  • 0 Henk 'm!

  • Zenix
  • Registratie: Maart 2004
  • Laatst online: 19:12

Zenix

BOE!

Aantal suggesties:

- Een virtuele DMZ. Dan kan je gewoon portgroup aanmaken op ESXi en de PfSense een virtuele interface geven in dit netwerk. VM's die toegankelijk zijn vanaf het internet plaats je dan in dit netwerk, op de PfSense geef je aan dat je vanaf dat netwerk niet naar LAN mag komen, en vanaf LAN mag je alleen naar bepaalde poorten op dat netwerk komen.

- IP blocklists. Met PfBlockerNG is het ook mogelijk om blocklists te gebruiken, kan geen kwaad om te gebruiken bij inkomende poorten of uitgaand verkeer. Probeer dan te gaan voor bijvoorbeeld de blocklists die onderdeel zijn van Firehol lvl1 en lvl2 (exclusief bogons, want die heb je al) zodat je geen false positives hebt.

- Zijn er nog meer NIC's naast de LAN en WAN NIC? Als je bijvoorbeeld 4 poorten hebt, kan je ook meerdere NICS toewijzen aan het LAN en eventueel teaming doen (als je vCenter hebt)

- Kijk of ESXi alle patches heeft.

- Kijk of de server alle firmware updates heeft, zeker iLo heeft nogal wat patches gehad de laatste jaren.

- Is opensource belangrijk? Dan kan je ook overwegen om naar OPNsense over te stappen, aangezien PfSense plus er aan komt en er dus minder focus komt op de opensource variant. Pfsense plus is gratis voor thuisgebruikers of labbers.

- Backup's hoe ga je Backup's maken? Denk aan Veeam bijvoorbeeld.

[ Voor 3% gewijzigd door Zenix op 14-02-2021 00:37 ]


Acties:
  • 0 Henk 'm!

  • shure-fan
  • Registratie: Maart 2002
  • Laatst online: 14-05 16:58
Zenix schreef op zondag 14 februari 2021 @ 00:30:
Aantal suggesties:

- Een virtuele DMZ. Dan kan je gewoon portgroup aanmaken op ESXi en de PfSense een virtuele interface geven in dit netwerk. VM's die toegankelijk zijn vanaf het internet plaats je dan in dit netwerk, op de PfSense geef je aan dat je vanaf dat netwerk niet naar LAN mag komen, en vanaf LAN mag je alleen naar bepaalde poorten op dat netwerk komen.

Een leuk idee maar voor op dit moment nog te ingewikkeld, het is een simpele server waar hooguit 4 simpele VM’s op gaan draaien (onder esxi: pfsense, windows 10, misschien nog een freenas achtig iets, en misschien een unifi controller (al kan die ook prima draaien onder de win10 vm))


- IP blocklists. Met PfBlockerNG is het ook mogelijk om blocklists te gebruiken, kan geen kwaad om te gebruiken bij inkomende poorten of uitgaand verkeer. Probeer dan te gaan voor bijvoorbeeld de blocklists die onderdeel zijn van Firehol lvl1 en lvl2 (exclusief bogons, want die heb je al) zodat je geen false positives hebt.

Goed idee, ga ik mee bezig


- Zijn er nog meer NIC's naast de LAN en WAN NIC? Als je bijvoorbeeld 4 poorten hebt, kan je ook meerdere NICS toewijzen aan het LAN en eventueel teaming doen (als je vCenter hebt)

Nee, heb enkel 2 fysieke poorten waar ik het mee moet doen (wan / lan)

- Kijk of ESXi alle patches heeft.

Dat is een goed idee

- Kijk of de server alle firmware updates heeft, zeker iLo heeft nogal wat patches gehad de laatste jaren.

En ook een goed punt

- Is opensource belangrijk? Dan kan je ook overwegen om naar OPNsense over te stappen, aangezien PfSense plus er aan komt en er dus minder focus komt op de opensource variant. Pfsense plus is gratis voor thuisgebruikers of labbers.

Ik gebruik zelf pfsense vandaar dat hij er ook op gaat, heeft puur te maken met het feit dat ik ermee bekend ben

- Backup's hoe ga je Backup's maken? Denk aan Veaam bijvoorbeeld.

Backup’s ga ik met hem overleggen wat hij wil doen, zal eens kijken of veaam geschikt is voor hem
Bedankt voor je input

Voip enthousiastelling, Liever een kabel dan wifi