TL;DROPNsense läuft aktuell als Proxmox-VM. Möchte auf dedizierte Hardware umziehen für mehr Stabilität. Suche eine 2.5GbE-Appliance die Preis, Effizienz und Zukunftssicherheit vereint.
Aktuelles SetupNetzwerk:- ISP: 100 Mbit/s DSL (Glasfaser noch nicht verfügbar)
- Switch: UniFi USW-Flex-2.5 PoE
- AP: UniFi U7 Pro (WiFi 7), U6+
- 4 VLANs (Infra, Home, IoT, Guest)
Proxmox-Host:- Mini PC von Minisforum, 16GB RAM, Dual Nic, Gbe und 2.5Gbe
- Aktuell laufen darauf: OPNsense VM (v26.1), HAOS, Technitium DNS, Nginx Proxy Manager, UniFi Controller
- Anbindung zum Switch: 2.5GbE
- OPNsense nutzt real rund 1.2 GB RAM
Separater Unraid-Server:- Plex, Immich, Audiobookshelf u.a.
- Steht im Infra-VLAN, Clients sind im Home-/IoT-VLAN
Das Problem: Bei jedem Proxmox-Reboot (Kernel-Updates etc.) geht das gesamte Netzwerk runter, weil OPNsense als VM läuft. Daher suche ich dedizierte bezahlbare (max 250-300€) für OPNSense.
Ich fand dsa Edge4Go von Krenn spannend, aber frage mich, ob die Gigabit Ports ausreichend? Aktuell ist der Proxmox-Host mit 2.5GbE am Switch angebunden. Mit einer 1GbE-Appliance wäre Inter-VLAN-Traffic auf 1 Gbit/s begrenzt. Das reicht vermutlich für meine aktuellen Workloads, allerdings habe ich WiFi-7-Clients und möchte ungern downgraden.
Kennt ihr sonst gute Alternativen? Oder würde euch OPNSense auf dem Proxmox Host mit anderen Infra Diensten nicht weiter stören?
Danke im Voraus!
Vielleicht mal die Suche nutzen? Siehe auch: https://forum.opnsense.org/index.php?topic=42985.0, speziell Punkt 16.
https://forum.opnsense.org/index.php?topic=50961
https://forum.opnsense.org/index.php?topic=50357
https://forum.opnsense.org/index.php?topic=51055.0
Willkommen im Forum!
Protectli.... Notfalls eine gute gebrauchte. Ich habe nun die zweite in Folge. Als Vorbereitung für Fibre... In meinem Fall eine 6630.
Ja, mich würde eine virtualisierte FW stören. Sogar sehr. Die Gründe dafür sind vielfältig. Hier einige davon.
SPOF - Single Point of Failure
Fällt der Proxmox-Host aus, fällt gleichzeitig die gesamte Firewall und damit das komplette Netzwerk aus.
Boot-Abhängigkeit
Ohne laufende Firewall kann der Hypervisor evtl. keine Updates, NTP, DNS oder Remotezugriff bekommen. Wartung wird komplizierter.
Fehlkonfiguration kann alles lahmlegen
Fehler in virtuellen Switches, Bridges oder VLANs können die Firewall sofort unerreichbar machen.
Sicherheitsrisiko durch Hypervisor
Wird der Hypervisor kompromittiert, ist auch die Firewall kompromittiert. Die Isolation ist schwächer als bei dedizierter Hardware.
Netzwerk-Komplexität steigt
Virtuelle NICs, Bridges und VLAN-Konfigurationen erhöhen die Fehlersuche und machen das Setup anfälliger.
Ressourcenkonkurrenz
Firewall teilt sich CPU/RAM/IO mit VMs -> unter Last kann Routing, VPN oder IDS/IPS langsamer werden.
Wartung verursacht Downtime
Neustart oder Update des Hypervisors unterbricht automatisch die Verbindungen.
Vieleicht kann ein Foren-Admin die "Hardware-Empfehlung gesuncht" mal oben anpinnen, da die ja wöchtentlich kommen?