Ich hab bei der Telekom die Anschlüsse noch eingerichtet,. so mit den tollen BTX-Boxen mit 1200/75 baud.
Und ich kenne auch noch die großen BTX-Rechner bei uns in der Telekom-Niederlassung - 3 Schränke pro Rechnerknoten und davon 6 Stück.
Die wurden dann man abgelösst von Industrie-Server, 1/2 19" reichte dafür komplett aus.
Lang ist her.
Was meine Firewall betrifft, dito. Mein OPNSense läuft auch auf eigener Hardware und im Falle eines Defektest wird die eben neu aufgesetzt vom USB-Stick ( liegt im Schrank ) und aktuelle Konfig aus dem lokalen Backup.
SSD’s usw. hab ich immer noch welche im Schrank liegen, die reichen erst mal bei einem Defekt für schnellen Ersatz.
Einzig auf Proxmox hab ich zwei OPNSense-Installation, die aber ausschliesslich zum testen von HA-Konfigurationen usw. sind.
Redundantest Internet - hab ich nicht.
Selbst wenn mein Kabel-Internet ausfällt, kann ich notfalls weiter HomeOffice über den Hotspot vom Firmen-Handy machen, das geht problemlos.
Testinstallationen der Router-SW laufen bei mir auch unter Proxmox. Ich bezog mich ausschließlich auf die PROD.
Gerade im Kontext OpenWrt hat eine Testinstallation unter Proxmox zwei riesige Vorteile:
Man sieht das Bootlog. Wenn das System beim Booten hängen bleibt, kann man, ohne serielle Konsole, direkt sehen wo es hakt.
Wenn man sich i.R. eines komplexen Netzwerksetups (so, wie ich das hier bei mir fahre) „einen Knoten“ einbaut und das Netzwerk nicht mehr hochfährt (dann ist ja mit ssh erstmal Essig), kommt man immer noch über die lokale /virtuelle Proxmox Konsole an das System heran und kann das Problem fixen.
Ich teste meine Konfiguration also erst komplett in Proxmox aus und übernehme dann die Config auf den echten Router.
Ich habe zwar eine Ahnung worauf das hinterlaufen könnte, aber…anyway.
Das könnte z.B. so etwas sein wie mehrere VLANs, mehrere WLANs im Mesh, mit RADIUS-Authentisierung per TLS EAP (worüber man ganze Netzsegmente freischaltet oder blockiert), zweistufige Firewallsysteme etc.
Wollen wir ehrlich sein: Ein Proxmox Hypervisor ist eine tolle Sache. Wenn man hier aber auch noch SDN am Start und / oder mehrere Trunk Ports im Bonding laufen hat, erreicht man (spätestens) den Punkt an dem man sich mal ein paar Notizen dazu machen könnte / sollte.
Da bin ich froh, wenn ich einzelne Komponenten „isoliert“ installieren und konfigurieren kann. Das erleichtert die Fehlersuche enorm, wenn man das neue System in die Produkition überführt.
Auf meinem OpenWrt Core-Router laufen mir eigentlich zu viele Dienste. Da sich das aber mit OpenWrt sehr elegant auf einem System betreiben lässt, mache ich das halt so. Da versuche ich natürlich, bei einem SW-Upgrade, ein möglichst gut (vor-)konfiguriertes und ausgetestetes System in einer „Sandbox“ vorzubereiten.
Ich nutze OPNSense als Firewall und Unifi für Switche und WLAN-System.
Die OPNSense verwaltet bei mir alle VLAN ( rund 15 derzeit, mehere davon aber reine Testnetzt z.b für die OPNSense auf Proxmox zu spielen ), DHCPv4/v6, DNS ( mit AdGuard und Unbound ) , NTP usw.
Unifi macht dann nur noch die Konfiguration der Switchports und WLAN, mehr nicht.
Bounding hab ich zur NAS hin und demnöchst zum zweiten Switch im Arbeitszimmer.
Der Proxmox bekommt den Trunk mit allen VLAN’s und in der Netzwerk-Konfig sag ich der VM bzw. dem LXC, in welchem VLAN der hängen soll und darüber zieht der vom DHCP dann seine IP’s aus dem VLAN. IPv4-Adressen werden bei mir alle per DHCP-Reservation fest vergeben.
Software-Updates der OPNSense teste ich vorher nie, die werden eingespielt, rebootet und gut ist. Die sind so stabil und ausgetestet, da hab ich noch nie Probleme mit gehabt.
Und die Konfig sichert die OPNSense eh bei jeder Änderung nach klicken des „Save“ Buttons in eine neue XML-Datei und die schreibe ich täglich weg auf meine NAS, somit kann ich auch problemlos nach vielen Änderungen auf jeden Stand zurück.
Selbst wenn mal was kaputt geht, über die serielle Konsole kann ich immer noch per Notebook direkt drauf und das letzte Backup zurückspielen.
Ich nagele in meinen Corerouter keine ungeprüften Updates. Wenn die Mühle steht, kann ich „wer weiß wie lange“, wieder mit dem Auto zur Arbeit fahren. 1x testen kostet mich nur 1/10 der einfachen Fahrt zur Arbeit. Ich finde; ein guter Deal.
Aaabääärrr…ich steige im Juni auf Glasfaseranschluss mit 250Mbit/s um. Evtl. macht der gute alte Netgear R7800 die Speed im 2-stufigen Firewallsetup nicht mehr mit. Wenn dem so wäre, brauche ich gaaaanz bestimmt irgendeinen Minisforum mit 50 Zillionen LAN-Ports:sweat_smile:…und dann wird es vielleicht auch OpenSense…
Zwei Ports ( WAN, LAN, evtl. noch DMZ falls benötigt ) reichen in Mindest-Konfig, den Rest kann ein VLAN-tauglicher Switch besser machen.
OPNSense würde ich immer empfehlen und vor allen der PfSense vorziehen, weil in Europa ( NL / DE ) entwickelt.
Ich würde dafür kein Miniforms nehmen sondern eher ein Mini-Barebone vom großen A vom China-Hersteller, oder alternativ ( da ist meiner von ) NRG-System, deutscher Händler. Die haben unterschiedliche MiniPCs mit 4 bis 8 NIC’s auch als 19" Modell.
Minisforum war nur als Beispiel genannt. NRG-System mit Deutschem Händler klingt aber schon Mal gut.
Wichtig wäre mir, dass ich i.R. von OpenSense und bzgl. der benötigten HW-Ressourcen meine zentralen Services wie RADIUS, DNS, DHCP etc. laufen lassen kann. …aber das werde ich dann alles sehen, wenn es soweit ist.
Läuft alles als Addon auf der OPNSense ( FreeRadius, Unbound-DNS evtl zusammen mit AdGuard und DHCP mit ISC ( abgekündigt ) oder KEA ( kann noch kein IPv6 ) )
