Avaleht
uus teema   vasta Tarkvara »  Linux & UNIX »  pfsense kvm virtuaalmasinas (networking) märgi kõik teemad loetuks
märgi mitteloetuks
vaata eelmist teemat :: vaata järgmist teemat
Hinnavaatlus :: m.hv.ee :: Foorum :: Uudised :: Ärifoorumid :: HV F1 ennustusvõistlus :: Pangalink :: Telekavad :: HV toote otsing
autor
sõnum Saada viide sõbrale. Teata moderaatorile
otsing:  
sakinaga
HV Guru

liitunud: 30.08.2006



Autoriseeritud ID-kaardiga

sõnum 29.02.2016 19:04 pfsense kvm virtuaalmasinas (networking) vasta tsitaadiga

Idee on panna virtuaalmasinasse jooksma pfsense, kuid jään hätta (ja ei leidnud googeldades) head infot kvm-i võrgunduse seadistamiseks. ESXi kohta on infot lademetes, kuid vähemalt praegu teen asja ubuntu peale, sest kavatsen datastore hoida zfs poolis, mida soovitatakse tungivalt jooksutada native'lt.

Praegune seis:
pfsense virtuaalmasin on loodud ja bootib, aga ei ole sealt edasi liikunud, sest ei mõista veel päris täpselt, mis asjad kuhu kirjutada tuleb, et kõik õhku ei lendaks.

Hosti /etc/networking/interfaces
# interfaces(5) file used by ifup(8) and ifdown(8)
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet manual

auto br0
iface br0 inet dhcp
        bridge_ports eth0
        bridge_stp off
        bridge_fd 0
        bridge_maxwait 0


pfsense installer näeb kahte võrguinterface'i
re0 - Host device br0 (Empty bridge)
re1 - Host device enp1s0f0 : macvtap - source mode: Passthrough

interfacede info on pärit Virtual Machine Managerist.

Mida soovin saavutada?
Liiklus tuleb sisse pfsense'i füüsilisest NICist (re1), ja re0 oleks ühendatud host'iga (ubuntu), mis jagaks siis br0 või mõne muu interface'i kaudu internetti teistele virtuaalmasinatele. Teise emaplaadi füüsilisse NICi ühendaks wifi-ruuteri, mis töötaks siis lihtsalt wifi-AP-na. Seda NICi ei ole veel pfsensele andnud, sest muidu ei saa ise üle ssh enam ligi praegu. Või on mingi mõistlikum lahendus?

Ilmselt saaks pikapeale näppides asja tööle, aga sellise asja puhul tahaksin tegemise käigus aru saada, mis toimub, lihtsalt näppides seda ei juhtu, ei tahaks enda võrku päris turvamata ka jätta :)

Kui keegi teab/leiab mõne hea õpetuse, siis võib samuti lingi edastada.
Kommentaarid: 125 loe/lisa Kasutajad arvavad:  :: 0 :: 1 :: 119
tagasi üles
vaata kasutaja infot saada privaatsõnum
kaabakas
HV veteran
kaabakas

liitunud: 31.03.2002



Autoriseeritud ID-kaardiga

sõnum 01.03.2016 16:20 vasta tsitaadiga

Tulemüür on dedicated raud. Wifi ap istub switchis. Host istub ühes vlanis, guestid teises ja wifi võibolla kolmandas. Kuskil on mingi lan ka? Ühesõnaga, võrgutopoloogia on asi, mis on võrgus ja mida teeb võrk. Siis jäab klientseadmetel teda ainult lauluga tarbida. Vastasel juhul on pudru ja kapsad kiirelt taga, töökindlus küsitav, hallatavus madal, arusaadavus nullilähedal - igal sammul raiskab aega ja vaeva.

Virtuaalne tulemüür, isegi kui bsd võrgundus peaks tänapäeval juba kvm'i peal inimliku kiirusega käima, on ikkagi see asi mis paistab naela moodi, kui haamer käes on. Selline lahendus tähendab et parimal juhul sa kulutad toores koguses hosti cpu võimsust tegemaks midagi millega spetsaparaat pingutuseta hakkama saaks. Aga reaalsuses sel ajal kui guestid tööd teevad löövad nad võrgu pingi lakke ja läbilaske auku. See tähendab et võrk on seda kehvema kvaliteediga, mida rohkem sa teda parajasti kasutad!
Mul on üks sarnane lahendus kasutuses sest provider tahaks eraldi tulemüüri eest 1000$/kuu. Sakib.

Ühesõnaga, ma mõistan kust see plaan tuleb, aga tee parem hästi ja õigesti:)

_________________
Mida Ott ei õpi, seda Egon ei tea.
Kommentaarid: 102 loe/lisa Kasutajad arvavad:  :: 0 :: 2 :: 92
tagasi üles
vaata kasutaja infot saada privaatsõnum
aht0
HV veteran

liitunud: 14.10.2003



Autoriseeritud ID-kaardiga

sõnum 01.03.2016 18:21 Re: pfsense kvm virtuaalmasinas (networking) vasta tsitaadiga

maatriks kirjutas:
Idee on panna virtuaalmasinasse jooksma pfsense, kuid jään hätta (ja ei leidnud googeldades) head infot kvm-i võrgunduse seadistamiseks. ESXi kohta on infot lademetes, kuid vähemalt praegu teen asja ubuntu peale, sest kavatsen datastore hoida zfs poolis, mida soovitatakse tungivalt jooksutada native'lt.


Miks mitte FreeBSD 10.2-RELEASE host (ZFS native), bhyve (BSD hypervisor) ja sellel pfSense (kah sisuliselt FreeBSD10.x) virtuaalmasin. Dokumentatsioon BSD'del alati parem olnud ning infot ka foorumites aastatega rohkem kogunenud kui Ubuntu ZFS'iga, mis on suhteliselt värske asi. FreeBSD ja ZFS tunnevad üksteist juba varsti kümmekond aastat.
Kommentaarid: 70 loe/lisa Kasutajad arvavad:  :: 0 :: 1 :: 60
tagasi üles
vaata kasutaja infot saada privaatsõnum
sakinaga
HV Guru

liitunud: 30.08.2006



Autoriseeritud ID-kaardiga

sõnum 01.03.2016 18:46 vasta tsitaadiga

kaabakas, mul ei ole soovi koju racki ehitada. Iga lisamasin on lisakulu, lisahooldus, lisamüra jne. Teoreetiliselt lisanduvad mõned rünnakuvektorid (bugid hypervisoris?), aga võrreldes praeguse consumer-grade ruuteriga on olukord parem kindlasti. Üsna levinud praktika on pfSense'i just nii kasutada. Erilist sisulist vahet ei ole, kas jooksutada teda dedicated masinas või vm-s, kui võrgu sätted õiged on. Sellepärast ka see teema siin.

aht0, ausaltöeldes misiganes põhjusel ei olnud seda isegi kaalunud, loen nädalavahetusel sel teemal pikemalt.
Kommentaarid: 125 loe/lisa Kasutajad arvavad:  :: 0 :: 1 :: 119
tagasi üles
vaata kasutaja infot saada privaatsõnum
aht0
HV veteran

liitunud: 14.10.2003



Autoriseeritud ID-kaardiga

sõnum 01.03.2016 20:47 vasta tsitaadiga

kas tohib küsida mis riistvaraga konkreetselt tegu?

re0 ja re1 osutavad Realteki kaartidele (integr?). 2tk samal plaadil?
Kommentaarid: 70 loe/lisa Kasutajad arvavad:  :: 0 :: 1 :: 60
tagasi üles
vaata kasutaja infot saada privaatsõnum
sakinaga
HV Guru

liitunud: 30.08.2006



Autoriseeritud ID-kaardiga

sõnum 01.03.2016 20:56 vasta tsitaadiga

Emaplaat: http://www.supermicro.com/products/motherboard/QPI/5500/X8DTU-F.cfm

re1 on emaplaadi integreeritud pesa ja re0 on virtuaalne võrgukaart, mis on ühenduses Ubuntu br0-ga. Vähemalt minu arusaamist mööda. Teine emaplaadi integreeritud pesa on praegu ühendatud wifi ruuterisse, kustkaudu saan üle ssh masinale ligi. Kui kõik on seadistatud ja toimib, siis annan ka teise emaplaadi pesa pfsense'i kasutada ja jagan sealtkaudu võrku praegusele ruuterile, mis hakkab siis tööle switchi/Wifi-AP-na.

_________________
M: iPhone 6S 64GB Gold
M: Microlab Solo 7C
M: Canon Legria HF G10
Kommentaarid: 125 loe/lisa Kasutajad arvavad:  :: 0 :: 1 :: 119
tagasi üles
vaata kasutaja infot saada privaatsõnum
kaabakas
HV veteran
kaabakas

liitunud: 31.03.2002



Autoriseeritud ID-kaardiga

sõnum 01.03.2016 21:53 vasta tsitaadiga

Ega ma ei pakugi et peaksid racki ehitama. Ma pigem vihjan sellele et sul on juba olemas ruuter, seal sees tulemüür ja switch? Kas need jäävad tõesti nii jänni et ei suuda planeeritud liiklust läbi lasta? Kui see tõesti nii on siis ntks mikrotiku purgid algavad paarikümnest tugrikust, see on kindlasti väärt jätmaks ära seda vaeva ja vindumist mis on virtualiseeritud tulemüür.

aht0, hypervisori emuleeritud realteki võrgukaart on tüüpiline nähtus virtualiseerimise guestis, sest pole ilmselt opsüsteemi, millel tolle draiverit poleks. Kui võrgu läbilase huvitab, vahetad need ilmselt hypervisori pakutavate spetskaartide vastu - ntks kvm puhul virtio. Kui pfsense/freebsd seda tänapäeval normaalselt toetab, võib mingil juhul isegi söödava tulemuse saada.

Millest ei järeldu, et virtualiseeritud tulemüür oleks hea mõte. Seda võib teha siis kui kõik muud võimalused on ammendatud. Muude võimaluste alla kuulub lisaks eelpoolmainitud bhyve'le veel ka näiteks iptables host masinas.

_________________
Mida Ott ei õpi, seda Egon ei tea.
Kommentaarid: 102 loe/lisa Kasutajad arvavad:  :: 0 :: 2 :: 92
tagasi üles
vaata kasutaja infot saada privaatsõnum
aht0
HV veteran

liitunud: 14.10.2003



Autoriseeritud ID-kaardiga

sõnum 02.03.2016 00:31 vasta tsitaadiga

kaabakas kirjutas:

aht0, hypervisori emuleeritud realteki võrgukaart on tüüpiline nähtus virtualiseerimise guestis, sest pole ilmselt opsüsteemi, millel tolle draiverit poleks. Kui võrgu läbilase huvitab, vahetad need ilmselt hypervisori pakutavate spetskaartide vastu - ntks kvm puhul virtio. Kui pfsense/freebsd seda tänapäeval normaalselt toetab, võib mingil juhul isegi söödava tulemuse saada.

pani jah suht imestama.Et 're' asemel peaks ju siis olema 'em' kuna Supermicro'l Inteli kivid. Tänan harimast icon_wink.gif

leidsin virtioga seoses kohe ka bugi.https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=165059
mööda saab sellest https://doc.pfsense.org/index.php/VirtIO_Driver_Support#Disable_Hardware_Checksum_Offloading

Loodan et ksf maatriks hoiab meid kursis kuidas projekt õnnestub.
Kommentaarid: 70 loe/lisa Kasutajad arvavad:  :: 0 :: 1 :: 60
tagasi üles
vaata kasutaja infot saada privaatsõnum
Armagedon
HV kasutaja

liitunud: 31.08.2004




sõnum 20.07.2017 10:20 vasta tsitaadiga

Mul jookseb pfSense mõnda aega juba virtuaalmasinas. Setup selline, et serveriks on Tyani serveri emaplaat + Xeon protsessor (4x2 coret) ja peale see tasuta versioon VMVarest (kuni 8 coret). Serveri 3 võrgukaardist üks on antud ainult sellele virtuaalmasinale, milles on pfSense ja see on tulemüüri WAN, mille otsas on Interneti modem. Serveri ülejäänud 2 võrgukaarti on virtuaalmasinate ja erinevate VLANide vahel jagatud. pfSense virtuaalmasin sai 1 CPU core ja 1GB RAM'i ning koormus on tegelikult väga väike.
Kõik tundub toimivat samamoodi, kui eraldi raua peal pfSense (proovisin ka sellist varianti, kuid elektri kokkuhoiu nimel sai tulemüür ikkagi virtuaalmasinasse lükatud, sest server nagunii 24/7 voolu all).
Kommentaarid: 18 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 17
tagasi üles
vaata kasutaja infot saada privaatsõnum
näita postitusi alates eelmisest:   
uus teema   vasta Tarkvara »  Linux & UNIX »  pfsense kvm virtuaalmasinas (networking)
[vaata eelmist teemat] [vaata järgmist teemat]
 lisa lemmikuks
näita foorumit:  
 ignoreeri teemat 
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis



Hinnavaatlus ei vastuta foorumis tehtud postituste eest.