Synology ds923+ und virtuelle Firewall

[spaceball]

Moin,
Aktuell habe ich auf meiner synology ds923+ neben dem reinen Plattenplatz 5-6 docker container und eine Home-Assistant als VM laufen.In BNenutzung habe ich von den pysikalischen Ports einen der beiden NIC's und einen der beiden USB-3 Ports.
Nun zu meinem Vorhaben:
Ich möchte gerne eine Software-Firewall in einer Synology VM laufen lassen.
Den verbleibenden 2 NIC Port würde ich mit meinem Glasfaser-Modem verbinden und den 2. USB-3 Port mit einem Adapter zum 3. NIC "wandeln".
Das 2. NIC und den "umgewandelten USB-Port" würde ich dann exklusiv der Firewall-VM zuweisen.

Kann das funktioneiren?
Meine Bedenken sind zum einen, dass die Leiistung der Synology (CPU, RAM) dann langsam knapp wird und zum anderen, dass es Probleme mit dem USB/NIC Adapter an der Synology oder im Zusammenspiel mit der VM gibt.

für gutgemeinte Kommentare wäre ich dankbar.

 

[plang.pl]

M.W. kann der VMM nicht einen Adapter in Hardware durchreichen, wie das ein "gescheiter" Hypervisor kann. Den USB NIC kannst du hingegen durchreichen. Der Treiber muss dann in der VM installiert werden.
Welche Firewall willst du laufen lassen? Was läuft sonst auf dem NAS?

Generell rate ich davon ab, eine Firewall / ein Gateway auf einem File-Server zu hosten.

 

[spaceball]

Auf dem NAS laufen noch
portainer (ist wohl aber nun obsolet)
Swag
mariadb
und Nextcloud im Docker
sowie Homeassistant als VM.

Es ist erstmal ein Test, ob es funktional geht. Grundgedanke war, für die Firewall nicht noch einen Verbraucher rund um die Uhr mit Strom versorgen zu müssen, wenn es die Synology auch kann.
Wenn das nicht geht, nicht sicher genug ist oder die Performance nicht reicht, werde ich die Firewall auf einem NUC laufen lassen.
Als Firewall habe ich an pfsense gedacht, habe vom Thema Firewall aber NOCH keine Ahnung.

 

[plang.pl]

Die Leistung der 923+ dürfte m.E. schon dafür reichen.
Der eine Adapter würde dann aber halt über OpenvSwitch laufen. Den USB-NIC kannst du wie gesagt in Hardware durchreichen. Den an der DS eingebauten NIC aber nicht.

 

[maxblank]

Wenn ich dich richtig verstehe, ist die DS923 dein produktives NAS? Dann würde ich solche Spielchen bleiben lassen.

 

[spaceball]

Wenn ich dich richtig verstehe, ist die DS923 dein produktives NAS? Dann würde ich solche Spielchen bleiben lassen.

naja, was heißt produktiv. Wir reden schon von einem heimischen Netzwerk und ja, für mich zuhause ist das alles produktiv.
Aber es soll erstmal ja auch nur eine Machbarkeitsprüfung sein. Über Sinn oder Unsinn brauchen wir hier nicht streiten. Auch, dass man einer Firewall eigentlich ein dediziertes Stück Blech gönnen darf, steht außer Frage. Ich will vorrangig probieren, ob es technisch geht.

 

[plang.pl]

Das tut es. Nur nicht mit Durchreichen beider Adapter in Hardware.

 

[spaceball]

Aber ich kann doch im virtual Machine Manager einen virtuellen Switch erstellen. Und da kann ich auf beide NIC's zugreifen. Seid ihr sicher, dass ich die NIC's nicht zur VM durchreichen kann?

 

[plang.pl]

Das ist nicht durchreichen. Durchreichen wäre, wenn der NIC allein in der VM vorhanden ist und nicht auf dem Host. Das geht wie gesagt nur mit USB-Devices und nicht mit Netzwerkkarten. Performancetechnisch ist das "Durchreichen" nämlich die performantere Option im Vergleich zu der Methode mit dem vSwitch. Das hatte ich oben auch geschrieben, dass es mit dem OpenvSwitch möglich ist. Das ist aber kein Durchreichen

 

[spaceball]

ok, verstehe. Wenn ich die Interfaces die ich über vSwitch an der vm verfügbar mache ansonsten in der Synology für nichts nutze, macht das dann performacetechnisch einen großen Unterschied?
Immerhin hat mein Internetanschluss "nur" 300 MBit und die physischen (sowie auch die virtuellen) 1 GB.
Und: Ist das dann ein realistisches Sicherheitsrisiko? Ich meine, jemand müsste auf dem Weg vom NIC der Synology bis zum virtuellen NIC in der VM der virtuellen Firewall einen breakout hinbekommen.
Netzwerken und Firewall ist nicht meine Stärke aber ich möchte ja versuchen mich da einzuarbeiten.

 

[plang.pl]

Einen großen Unterschied macht das nicht. Aber es ist ein Unterschied. Es ist eben kein Durchreichen mit allen vor- und Nachteilen: DSM nutzt den Adapter und das NAS bekommt eine weitere IP z.B.
Als Risiko würde ich es nicht betiteln. Im Heimnetz ist das grundsätzlich ok nach meiner Einschätzung. Man muss sich dessen halt bewusst sein, dass wenn das NAS offline ist oder es irgendeinen Fehler / ZeroDay im VMM oder sonstwo gibt, dass dann der File-Server kompromitiert ist.

 

[spaceball]

naja, wenn jemand die synology flachlegt ist dann ja eh das Internet weg

 

[Ronny1978]

Ich würde das nicht so machen. Einen Mini PC holen und den die Arbeit übernehmen lassen. Das ist nicht das "Gebiet" von Synology. Und bei schlechter Konfiguration holst du dir vielleicht eher ungebetene Gäste ins Haus, wie dir lieb ist. Ich stimme hier @plang.pl zu.

 

[spaceball]

ja, ihr habt ja Recht. Und der NUC PC ist ja auch bestellt. Ich wollte nur gerne versuchen einerseits das vertretbare Maximum aus der Synology rauszuholen und auf der anderen Seite durch eine weitere Virtualisierung mehr Hardware und damit auch Steckdosenplätze und Strom sparen.
Ich werde das als Test einmal versuchen aufzubauen und dann aber auf die NUC setzen.
...Dann bleibt halt etwas mehr Puste für meinen Nextcloud Container und meine Home-Assitant VM

 

[plang.pl]

Nur weil eine DS alles kann, heißt das nicht, dass sie auch alles tun sollte. Lass die DS File-Server sein. Alles andere auf ein separates Gerät und du hast mehr Freiheiten + Features und mehr Sicherheit.

 

[metalworker]

Ich würde dir eher empfehlen den Spieß umzudrehen.

Dann kauf dir nen Mini PC mit 4 NICs , darauf nen Proxmox . Da kannst dann alles Virtuell darstellen.

DIe DS macht dann das was sie am Besten kann , daten Bereit stellen. Und deine Applikationen hast auf dem Proxmox server.
Kannst auch ganz einfach sichern das ganze .

 

[Jim_OS]

Dann kauf dir nen Mini PC mit 4 NICs , darauf nen Proxmox .

Das Kind ist vermutlich schon in den Brunnen gefallen, weil

Und der NUC PC ist ja auch bestellt.

Das war damals ja auch der Grund warum ich einen NUC durch einen Fujitsu SFF-PC ersetzt habe, weil ich dort dann eine Intel i-350-T4 NIC einbauen konnte. Ich wollte bei OPNsense nicht mit virtuellen NICs unter Proxmox arbeiten.

BTW NAS und pfSense: https://www.qnap.com/de-de/how-to/tutorial/article/pfsense-auf-einem-qnap-nas-installieren Auch für ein Synology NAS findet man natürlich solche Infos/Anleitungen (z.B.), allerdings nicht von Synology selber. Das heißt nicht das ich auf einem NAS pfSense/OPNsense installieren würde, sondern ist einfach nur FYI.

VG Jim

 

[metalworker]

also für mich hat eine Firewall nichts auf nem NAS zu suchen.

Idealerweise hat sie ein eigenes Blech.

Aber die Variante mit nem Proxmox ( oder anderem Hypervisor) ist fürs HomeLab ein guter Kompromiss.

 

[spaceball]

Nur weil eine DS alles kann, heißt das nicht, dass sie auch alles tun sollte. Lass die DS File-Server sein. Alles andere auf ein separates Gerät und du hast mehr Freiheiten + Features und mehr Sicherheit.

ich denke, das ursprüngliche Thema entwickelt sich hier jetzt zur Glaubensfrage. Wenn ich ein NAS habe und das bei weitem mit seinen Aufgaben nicht ausgelastet ist, spricht absolut nichts dagegen die Hardware mit Virtualisierten Umgebungen und ein paar Docker-Containern zusätzlich zu betrauen. Ich arbeite auch schon 27 Jahre in der IT und bin da nicht nur Kaffee kochen gewesen.
Für jeden Popatz ne extra dedizierte Hardware hinzustelen widerstrebt mir einfach und etwas Home-Assistant und eine Docker-basierte Nextcloud lassen meine Synology nicht mal richtig warm werden.
Es geht mir dabei ja auch um den Anreiz, gerade auf vorhandenen Komponenten Erfahrungen im Bereich Docker und VM im privaten Umfeld zu sammeln. Wenn ich das Thema dan in größerem Stil weiter betreiben will, wird die Virtualisierung sicher irgendwann umziehen.

Ich beherzige gerne den guten Rat, die Firewall nicht länger als "den Umständen entsprechend" auf einer virtualisierten Umgebung der Synology zu betreiben. Das leuchtet mir schon ein. Wenn dann aber jemand schreibt, dass aufgrund der Anschaffung eines NUC PC's "das Kind ja schon wieder in den Brunnen gefallen ist", dann doch wohl nur, weil ich nicht seine persönliche Vorliebe für eine Firewall-Bodenblech getroffen habe. Das finde ich wenig hilfreich und am Thema vorbei. Natürlich hätte ich mir stattdessen einen mini-PC mit vier NIC's kaufen können, der wäre aber teurer gewesen als der NUC den ich nun gebraucht gefunden habe und ich brauche an der Stelle einfach keine 4 NIC's
Aber so ist es halt, man macht ne harmlose Frage auf und oft wird man dann als Honk dargestellt, weil man nicht den Vorlieben der Ratgeber gefolgt ist.

So, nun schauen wir mal, was das hier wieder lostritt...

 

[metalworker]

Vieles ist durchaus eine Glaubensfrage.

Und das sind ja nur vorschläge und denkanstöße .

Mir selbst würden sich die Fußnägel hochkringeln wenn ich die Firewall auf meinem NAS laufen hätte.
Ich hab aber auch getrennte VLANS und nehme da die Sicherheit sehr ernst.

Wenn du aber für das entspannter siehst ist das deswegen nicht falsch.



Ist wie bei vielen in der eine IT eine abschätzung von Kosten , Geld und Komfort