Proxmox im RZ - pfSense VM oder Linux NAT

D

dc-pe

New Member
May 27, 2026
2
1
3
Hallo zusammen,
ich plane, meinen bisherigen lokalen Proxmox-Server in ein Rechenzentrum zu stellen. Es stehen drei öffentliche IPv4-Adressen zur Verfügung.

Ich frage mich, ob ich wirklich eine pfSense als VM brauche oder ob Routing/NAT direkt über Proxmox/Linux mit Proxmox-Firewall ausreicht.
Geplant ist grob: Proxmox mit öffentlicher IP, dahinter internes Netz/VMs per NAT.
Etwa 90 % der Dienste sollen nur per VPN erreichbar sein, nur wenige müssten direkt von außen erreichbar sein.
Dann mit der internen Firewall alles bis auf VPN dicht machen und die öffentlichen Dienste per Cloudflare Tunnel oder Netbird freigeben
Abgesehen von der klicki bunti Weboberfläche: Gibt es echte technische oder sicherheitstechnische Nachteile, wenn ich auf pfSense verzichte und das direkt mit Proxmox/Linux löse?
Danke euch!

Noch ein paar Infos:
1 Node
ca. 4 VMs (Debain & Win11)
ca. 2 LXC
 
also statt pfsense würde ich eher opnsense empfehlen, weil das kostenlose pfsense kaum noch gepflegt wird.

aus sicherheitssicht dürfte sich da nicht so viel tun, aber grundsätzlich ist so eine dedizierte security appliance da schon der bessere weg
 
  • Like
Reactions: Johannes S, Falk R. and UdoB
RolandK said:
also statt pfsense würde ich eher opnsense empfehlen, weil das kostenlose pfsense kaum noch gepflegt wird.
Click to expand...
ob opnsense oder pfsense werde ich dann nochmal schauen müssen bisher immer pfsense im einsatz aber da das Setup doch übersichtlich ist wäre ein wechseln nicht das größe problem.

RolandK said:
aus sicherheitssicht dürfte sich da nicht so viel tun, aber grundsätzlich ist so eine dedizierte security appliance da schon der bessere weg
Click to expand...
Ja dachte nur für so einen übersichtliche Node es so einfach wie möglich zu halten :-)
 
  • Like
Reactions: Johannes S
Für so ein überschaubliches Setup (1 Node, paar VMs, fast alles nur per VPN) kannst du das problemlos mit nativem Linux lösen. NAT/Masquerade über nftables, Proxmox-Firewall für die Regeln, fertig. Mach ich bei kleineren Setups auch so, das funktioniert super.

Der Hauptvorteil von OPNsense/pfSense wäre die GUI und Sachen wie IDS/IPS, Traffic Shaping, DHCP-Server mit schöner Übersicht etc. Aber wenn du eh 90% über VPN machst und den Rest über Cloudflare Tunnel oder Netbird, brauchst du das alles nicht wirklich.

Wichtig aber: wenn du die Firewall als VM auf dem gleichen Host laufen hast und die VM mal hängt oder nach nem PVE-Update nicht hochkommt, hast du kein Routing/keine Firewall mehr. VPN würd ich deshalb direkt auf dem PVE-Host (WireGuard geht da super) machen, nicht in einer Firewall-VM. Dann kommst du immer noch an den Host ran, auch wenn mal eine VM spinnt.

Was @RolandK zu OPNsense sagt stimmt, falls du doch ne Firewall-VM willst würd ich auch eher OPNsense nehmen. Aber bei deinem Setup ist das echt optional.
 
  • Like
Reactions: Johannes S
You must log in or register to reply here.
Top Bottom
Back