Toon posts:

Pfsense op remote locatie, wat niet vergeten

Pagina: 1
Acties:

Vraag

zondag 14 februari 2021 00:09

Acties:
  • 0Henk 'm!
  • shure-fan
  • Registratie: Maart 2002
  • Laatst online: 01-06 00:43

shure-fan

Topicstarter
Ik ben momenteel bezig voor een vriend om een hp proliant rackserver klaar te maken om bij hem gebruikt te worden als VM server onder vmware esxi,

Esxi draait prima, en heb er tevens pfsense op gezet omdat hij dat graag wil gebruiken als firewall / routerings platform (gaat eerst via dmz ter test draaien achter een ziggolijn, als hij happy is gaat modem in bridge)

De 2 nics zijn toegewezen als lan en wan, de ILo is statisch ingesteld binnen het lan subnet


Ik beheer de server via vpn, en heb op zijn verzoek een adblocker (pfblockerng) geinstalleerd

De basis werkt al prima, echter zullen er vast zaken zijn die ik vergeten ben te doen

En dat is de vraag dan ook: wat zijn dingen binnen esxi en/of pfsense die ik absoluut geregeld moet hebben voordat de server op locatie gaat draaien?

Voip enthousiastelling, Liever een kabel dan wifi

Alle reacties

zondag 14 februari 2021 00:30

Acties:
  • 0Henk 'm!
  • Zenix
  • Registratie: Maart 2004
  • Laatst online: 16:50

Zenix

BOE!

Aantal suggesties:

- Een virtuele DMZ. Dan kan je gewoon portgroup aanmaken op ESXi en de PfSense een virtuele interface geven in dit netwerk. VM's die toegankelijk zijn vanaf het internet plaats je dan in dit netwerk, op de PfSense geef je aan dat je vanaf dat netwerk niet naar LAN mag komen, en vanaf LAN mag je alleen naar bepaalde poorten op dat netwerk komen.

- IP blocklists. Met PfBlockerNG is het ook mogelijk om blocklists te gebruiken, kan geen kwaad om te gebruiken bij inkomende poorten of uitgaand verkeer. Probeer dan te gaan voor bijvoorbeeld de blocklists die onderdeel zijn van Firehol lvl1 en lvl2 (exclusief bogons, want die heb je al) zodat je geen false positives hebt.

- Zijn er nog meer NIC's naast de LAN en WAN NIC? Als je bijvoorbeeld 4 poorten hebt, kan je ook meerdere NICS toewijzen aan het LAN en eventueel teaming doen (als je vCenter hebt)

- Kijk of ESXi alle patches heeft.

- Kijk of de server alle firmware updates heeft, zeker iLo heeft nogal wat patches gehad de laatste jaren.

- Is opensource belangrijk? Dan kan je ook overwegen om naar OPNsense over te stappen, aangezien PfSense plus er aan komt en er dus minder focus komt op de opensource variant. Pfsense plus is gratis voor thuisgebruikers of labbers.

- Backup's hoe ga je Backup's maken? Denk aan Veeam bijvoorbeeld.

[Voor 3% gewijzigd door Zenix op 14-02-2021 00:37]

10680Wp | Stuur DM voor Raisin of IBKR bonus

zondag 14 februari 2021 00:43

Acties:
  • 0Henk 'm!
  • shure-fan
  • Registratie: Maart 2002
  • Laatst online: 01-06 00:43

shure-fan

Topicstarter
Zenix schreef op zondag 14 februari 2021 @ 00:30:
Aantal suggesties:

- Een virtuele DMZ. Dan kan je gewoon portgroup aanmaken op ESXi en de PfSense een virtuele interface geven in dit netwerk. VM's die toegankelijk zijn vanaf het internet plaats je dan in dit netwerk, op de PfSense geef je aan dat je vanaf dat netwerk niet naar LAN mag komen, en vanaf LAN mag je alleen naar bepaalde poorten op dat netwerk komen.

Een leuk idee maar voor op dit moment nog te ingewikkeld, het is een simpele server waar hooguit 4 simpele VM’s op gaan draaien (onder esxi: pfsense, windows 10, misschien nog een freenas achtig iets, en misschien een unifi controller (al kan die ook prima draaien onder de win10 vm))


- IP blocklists. Met PfBlockerNG is het ook mogelijk om blocklists te gebruiken, kan geen kwaad om te gebruiken bij inkomende poorten of uitgaand verkeer. Probeer dan te gaan voor bijvoorbeeld de blocklists die onderdeel zijn van Firehol lvl1 en lvl2 (exclusief bogons, want die heb je al) zodat je geen false positives hebt.

Goed idee, ga ik mee bezig


- Zijn er nog meer NIC's naast de LAN en WAN NIC? Als je bijvoorbeeld 4 poorten hebt, kan je ook meerdere NICS toewijzen aan het LAN en eventueel teaming doen (als je vCenter hebt)

Nee, heb enkel 2 fysieke poorten waar ik het mee moet doen (wan / lan)

- Kijk of ESXi alle patches heeft.

Dat is een goed idee

- Kijk of de server alle firmware updates heeft, zeker iLo heeft nogal wat patches gehad de laatste jaren.

En ook een goed punt

- Is opensource belangrijk? Dan kan je ook overwegen om naar OPNsense over te stappen, aangezien PfSense plus er aan komt en er dus minder focus komt op de opensource variant. Pfsense plus is gratis voor thuisgebruikers of labbers.

Ik gebruik zelf pfsense vandaar dat hij er ook op gaat, heeft puur te maken met het feit dat ik ermee bekend ben

- Backup's hoe ga je Backup's maken? Denk aan Veaam bijvoorbeeld.

Backup’s ga ik met hem overleggen wat hij wil doen, zal eens kijken of veaam geschikt is voor hem
Bedankt voor je input

Voip enthousiastelling, Liever een kabel dan wifi

Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee