pfsense auf ARM64? Und vLAN-Segmentierung

    Servus,

    bin grade eine wenig mit den Möglichkeiten der VPSen am Spielen.


    Ich würde gerne mal testweise ein pfsense-Image auf eine Kiste draufbügeln. Vorzugsweise würde ich das gerne auf einer Arm64-Kiste aufsetzen (schlicht weil ich noch eine unbespielte Arm64-VPS habe). Netgate sagt mir auch, dass sie ein Arm-Image haben, allerdings nur für einen Memstick und nicht als .iso-File. Würde das nur ungern auf einer AMD-64-Maschine ausrollen. Gibt es da dennoch eine Möglichkeit das Memstick-Image aufzuspielen oder einen anderen Weg, den jemand kennt?


    Hat das jemand schon jenseits der Image-Frage am Laufen und hat da Tips bzgl Besonderheiten und Fallstricke, die man beachten sollte? Habe schon hier im Forum gesucht, aber habe dazu wenig gefunden. Ich würde gerne eine Site-to-Site-VPN (routed VTI) hinter einer Firewall einrichten, um andere Ressourcen anzubinden.


    Was ich mich nebnebei auch frage ist, ob man die Cloud vLAN weiter Segmentieren kann. Die 100er vLANs sind ja in den VPSen schon mit drin, aber ist damit nur eine Cloud vLAN gemeint oder kann man sich da entsprechend der VPS-Zahl auch mehrere Cloud vLANs einrichten und den Netzwerkverkehr segmentieren, um Geräte miteinander zu verbinden, die nicht unbedingt in einem internen Netz zusammenarbeiten müssen/sollen? Das wäre ja sicherheitstechnisch etwas schöner.


    Vermutlich saudumme Fragen, aber wäre schön, falls jemand zu dem Ein oder Anderen einen Tip hätte. Danke!

    Quote from dsp78

    Was ich mich nebnebei auch frage ist, ob man die Cloud vLAN weiter Segmentieren kann. Die 100er vLANs sind ja in den VPSen schon mit drin, aber ist damit nur eine Cloud vLAN gemeint oder kann man sich da entsprechend der VPS-Zahl auch mehrere Cloud vLANs einrichten und den Netzwerkverkehr segmentieren, um Geräte miteinander zu verbinden, die nicht unbedingt in einem internen Netz zusammenarbeiten müssen/sollen? Das wäre ja sicherheitstechnisch etwas schöner.

    Du kannst meines Wissens auch mehrere der 100er VLAN-Produkte bestellen und diese dann den gewünschten Servern zuordnen. Wo genau das Limit liegt, also wie viele VLANs man haben darf und wie viele einem vServer zugeordnet werden können, weiß ich allerdings nicht.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Quote from KB19

    Du kannst meines Wissens auch mehrere der 100er VLAN-Produkte bestellen und diese dann den gewünschten Servern zuordnen. Wo genau das Limit liegt, also wie viele VLANs man haben darf und wie viele einem vServer zugeordnet werden können, weiß ich allerdings nicht.

    Ah, das ist schonmal cool, wenn dem so ist. Natürlich geht es auch anders, aber das wäre schonmal ein echter Gewinn, wenn nicht alles (ständig) im selben vLAN hängen muss. Unterschiedliche Sichtbarkeiten und Gruppierungen wären schon sehr hilfreich, zumal man dann auch Anderen gewisse Zugriffe ermöglichen kann, ohne damit andere Ressourcen mit auf der "Leitung" zu haben.


    Danke für die Info!

    Ich habe OPNSense genutzt. Lief absolut problemlos.
    Habe aber auf die vLAN's verzichtet und einfach WG genommen für die Kommunikation untereinander.
    Das funktionierte auch super.

    Nach der ersten Installation via Terminal (KVM) die firewall deaktivieren damit man von Außen Zugriff auf das Webinterface bekommt.

    Dort Wireguard einrichten um sich selbst einen Zugang zu erstellen.
    Wenn dieser läuft firewall wieder aktivieren.

    Der Rest ist dann wie immer.

    Quote from Homwer

    Ich habe OPNSense genutzt. Lief absolut problemlos.
    Habe aber auf die vLAN's verzichtet und einfach WG genommen für die Kommunikation untereinander.
    Das funktionierte auch super.

    Nach der ersten Installation via Terminal (KVM) die firewall deaktivieren damit man von Außen Zugriff auf das Webinterface bekommt.

    Dort Wireguard einrichten um sich selbst einen Zugang zu erstellen.
    Wenn dieser läuft firewall wieder aktivieren.

    Der Rest ist dann wie immer.

    Hi!


    Ich hab gestern opnsense beo mir installiert. Die FW deaktiviert und das webinterface auf 443 in der regel freigegeben. Danach die FW wieder aktiviert. Ggf. Lege ich den Port noch um. Sollte man sonst noch was beachten? Ich hab leider keine feste wan ip zuhause, so dass ich das nochmals eingrenzen könnte.

    Quote from Homwer

    Ich habe OPNSense genutzt. Lief absolut problemlos.
    Habe aber auf die vLAN's verzichtet und einfach WG genommen für die Kommunikation untereinander.
    Das funktionierte auch super.

    Nach der ersten Installation via Terminal (KVM) die firewall deaktivieren damit man von Außen Zugriff auf das Webinterface bekommt.

    Dort Wireguard einrichten um sich selbst einen Zugang zu erstellen.
    Wenn dieser läuft firewall wieder aktivieren.

    Der Rest ist dann wie immer.

    Ah, das ist cool, auch wenn mir die logische Darstellung bei der pfsense doch etwas näher wäre, aber wenn es über die OPN geht optimaler als dafür wieder umzubauen. Danke für den Hinweis! :thumbup::)

    Quote from Mike0185

    Ich hab leider keine feste wan ip zuhause, so dass ich das nochmals eingrenzen könnte.

    Dafür habe ich einen eigenen kleinen VPS der nur dafür da ist WG Verbindungen entgegenzunehmen damit ich mit einer festen IP "unterwegs" bin.
    Meine Proxmox-Server sind dann auch nur für diese IP offen und nehmen Verbindungen entgegen.
    Auf der Kiste ist außer dem WG Port alles zu, selbst SSH ist aus und wird nur bei Bedarf über das Webinterface von Netcup aktiviert.