Eine pfSense-VM in Proxmox ist die ideale Lösung für ein professionell gesichertes Heimnetz. Sie trennt WAN und LAN sauber, bietet stateful Firewall, NAT, DHCP und optional VPN — alles in einer leichten VM.
Netzwerk-Topologie
Die klassische Struktur mit Proxmox:
- vmbr0 — WAN-Bridge (physischer Uplink zur öffentlichen IP)
- vmbr1 — internes Punkt-zu-Punkt-Netz zwischen Proxmox-Host und pfSense WAN-Interface
- vmbr2 — LAN-Bridge für alle VMs/CTs (internes Netz, z.B. 192.168.10.0/24)
pfSense hat zwei virtuelle NICs: eine zeigt auf vmbr1 (WAN), eine auf vmbr2 (LAN). Der Proxmox-Host selbst bekommt eine IP auf vmbr2 und routet über pfSense.
VM-Konfiguration
# pfSense VM — empfohlene Ressourcen
# RAM: 1–2 GB
# CPU: 2 Kerne (VirtIO)
# Disk: 16 GB (thin-provisioned)
# NIC1 (WAN): VirtIO, Bridge vmbr1
# NIC2 (LAN): VirtIO, Bridge vmbr2
# Boot: von pfSense ISO
# Nach Installation: Web-UI auf LAN-IP erreichbar
# Standard: https://192.168.1.1 → admin / pfsenseWichtige pfSense-Einstellungen
- Firewall → Rules → WAN: Default deny all (nur explizit erlaubte Ports öffnen)
- NAT → Outbound: Automatic oder Hybrid — sorgt für Masquerading
- System → Advanced → Networking: Hardware-Checksummen je nach NIC-Typ deaktivieren bei VirtIO
- Services → SSH: Nur auf LAN-Interface binden, niemals auf WAN
Port-Forwarding einrichten
# Via Web-UI: Firewall → NAT → Port Forward
# Beispiel: TCP 25565 → Minecraft-Server auf 192.168.10.x
# Alternativ per pfSense-CLI (ssh):
# esxcli equivalent gibt es nicht — immer Web-UI nutzen
# Oder pfSense API (fauxapi/pfSense-API Plugin)Hochverfügbarkeit
pfSense unterstützt CARP (Common Address Redundancy Protocol) für HA-Setups mit zwei Instanzen. Für ein einzelnes Heimlabor ist das übertrieben — aber es lohnt sich, regelmäßige Config-Backups unter Diagnostics → Backup & Restore anzufertigen. Die XML-Backup-Datei enthält die gesamte Konfiguration und ermöglicht schnellen Neuaufbau.