NAS + Firewall + Telefonanlage virtualisieren?

[Highrise]

Hallo Boardgemeinde,

habe im Keller mal aufgeräumt und da einen netten 19" Server (1HE) ausgegraben.
Dieser besitzt folgende Spezifikationen:

Bauweise: 19" Rack, 1 HE
Funktion: Ehemaliger Loadbalancer
CPU: Xeon (Quadcore, genaue Bezeichnung ist mir gerade nicht bekannt)
RAM: 4GB
Speicher: 2GB SSD (Bootmedium)
Einschübe: 4x 3,5HDD
Ethernet: 4x100Mbit, 2x1000Mbit
Meine Idee:

Da ich schon lange mein Heimnetzwerk ein wenig optimieren wollte, plane ich nun meine Telefonanlage, NAS und IPCop als Firewall Lösung auf dem Gerät laufen zu lassen.
da ich 3x3TB für das NAS plane, kann das System auch auf einer kleinen 120er laufen.

Ich dachte das ganze via ESXi zu virtualisieren, und dann entsprechend der Funktionalität eine VM zu installieren. (also 1x IPcop, 1x Freenas, 1x Asterisk, und eventuell 1x Ubuntu für TS3 und andere Spielerein).
Da die ersten 3 Kandidaten ja eigentlich kaum Ressourcen verbrauchen sehe ich das nicht so als Problem an. (Gut, die ZFS encryption von Freenas könnte hier etwas ressourcenhungriger sein )

Meine Frage: Sollte man hier virtualisieren? Oder 1x Linux installieren, und dann entsprechend die benötigten Pakete installieren?

schonmal danke im Vorraus.

mfg
Highrise

 

[redbeard]

Sicherheitstechnisch ist es imho egal ob du die Firewall virtualisierst oder zu anderen Diensten dazupackst. Ist beides nicht soo sexy.

LXC ist schoen schmal (falls es nicht unbedingt ESXi sein muss), du muesstest aber auf FreeNAS verzichten und auf Linux-Alternativen wie Openfiler zurueckgreifen. Rein logisch faende ich die Trennung der Dienste korrekt, aber auf Grund der Gegebenheiten spricht auch nicht wirklich was gegen ein dediziertes System inkl. aller Dienste.

Meine Antwort: wie du magst

 

[Highrise]

hey redbeard,

ist Freenas nicht Linux? Ich meine ich schau mir gern alternativen an. LXC sagt mir ehrlich gesagt noch nichts, aber ich schau es mir gern mal an.
Werd heut Abend mal ein wenig basteln und schauen wie ich das am besten hinbekomme

 

[redbeard]

AFAIR ist FreeNAS immernoch auf FreeBSD aufgebaut, irgendwann wollte/sollte man das wohl durch Debian ersetzen. Raus kam dabei

You do not have permission to view link please Anmelden or Registrieren

 

[Whuntwo]

Schau dir mal Sophos an, es gibt eine Home Edition mit der du "bis zu 25 IPs" kostenlos managen kannst. Die Astaro Software kann noch weit mehr als nur eine simple Firewall Gerade wenn du Kinder hast, ist der Webfilter zum Beispiel eine sehr feine Sache Gibts neben iso zum selber installieren auch als fertige VM.

 

[redbeard]

[...]Die Astaro Software kann noch weit mehr als nur eine simple Firewall[...]

Das unterschreibe ich. Allerdings wird die ASG schnell zum Ressourcenfresser wenn du bspw. den Application Filter, Web Filter, Virenscan mit beiden Engines etc. aktivierst.

 

[Whuntwo]

Nja, Ressourcenfresser geht, also ne Büchse mit 4GB RAM und nem kleinen QuadCore passt schon, es kommt halt auch auf die Anzahl der Clients an

 

[Highrise]

naja ich bin (war?) ASE - Astaro Sales Expert, also hab die Dinger verkauft.
Als Astaro noch Astaro war, waren die wirklich top. Super Produkt, Interface übersichtlich aber trotzdem jedes fitzelchen einstellbar.
Jetzt nachdem Sophos die gekauft hat bin ich da ein wenig misstrauischer wer weiss

Hab von IPCOP bisher nur gutes gehört. und das werd ich erstmal testen, wenns doof is, fliegts runter
Was mir dort ganz gut gefällt ist z.b. die Trennung in differenzierte VLANS für den traffic..

Bin heute dummerweise nicht weiter zum basteln gekommen, also wirds wohl die Tage werden.
Schonmal vielen Dank für die zahlreichen Tips

 

[redbeard]

OT:

Astaro war vorher auch nicht viel besser. Sowohl unter Astaro als auch unter Sophos hats uns schon mehr als 1x die Box durch krumme Patches zerhauen (dazu muss ich sagen, dass ich die Software auf eigener Hardware betreibe). Von den Features her ist die V9 natuerlich super, das UI ist nur lahmer geworden. Und der Webauftritt ist seit Sophos so richtig schoen beschissen. Dafuer gehts mit dem Premium Support _langsam_ bergauf.

Falls dir IPCop nicht zusagt, ist pfsense einen Blick wert (basiert jedoch auch auf Unix).

 

[MartyMc]

Eine Firewall zu virtualisieren beinhaltet das Risiko des Angriffs auf den Hypervisor. Da die Firewall ja nicht mehr direkt die Netzwerkschnittstelle kontrolliert, sondern nur noch die virtuelle Version, ist der Hypervisor unter Umständen ja direkt ansprechbar. Das sollte man beachten. Wenn möglich, würde ich eine Firewall nicht virtualisieren.