OPNsense Forum
International Forums => German - Deutsch => Topic started by: Reddi82 on February 13, 2024, 12:16:53 am
-
Hey!
Ich bin im Bereich Opnsense ein absoluter Noob und benötige etwas Hilfe.
Was möchte ich?
Ich möchte unser Hausnetzwerk durch eine Firewall (ggf. AdFilter) laufen lassen und dann splitten. D.h. die IoTs sollen ihr eigenes WLAN/LAN mit eigener DHCP Range bekommen, genauso wie die Eltern, wir, ggf. Kinder und Gäste. Für die VoIP/DECT wird eine Fritzbox genutzt, wobei alle IP Telefone (egal aus welchem Netzbereich) sich bei der Fritzbox immer anmelden können müssen. Genauso soll z.B. das Drucken übergreifend und die Bedienung von HomeAssistent (NUC) möglich sein.
Welche Hardware ist vorhanden?
Die Telekom liefert aktuell VDSL (100/40). Die Glasfaser ist schon eingeblasen, aber der Rest dauert noch... Am DSL hängt die FritzBox 7590AX. Hinter der Fritzbox sind die Switche TL-SG3428XPP-M2 und TL-SG2210P, ein OC200 (Omada Controller) sowie mehrere EAP660HD (AccessPoints) angeschlossen. Dazu das Übliche (NAS, Hue Bridge, NUC mit HomeAssistent...).
Wie geht's weiter
Nun stellt sich für mich die Frage, wie kann ich weiter vorgehen und welche Hardware benötige ich noch?! Wenn ich es richtig gelesen habe, benötige ich auf alle Fälle ein DSL Modem (Draytek Vigor 165)?! Dahinter müsste eine Hardware kommen, wo Opnsense mit dem vollständigen Routing für alle unterschiedlichen Netze/DHCPs läuft?! An dieser Hardware käme der ganze Rest via (un)tagged VLAN sowie die Fritzbox für das VoIP.
Die aktuellen AccessPoints können bis zu 2x8 WLANs (2.5G tagged VLAN) aufspannen.
Das NAS (QNAP TVS882) ist aktuell via SFP+ mit 10G angebunden. Grundsätzlich würde ich den Eltern, uns und den Kindern dort Speicherplätze einräumen wollen. Würde man das über VLAN und Co lösen oder lieber jedem Netzbereich mit einem 1G Ethernet Kabel separat verbinden? (Habe ja 4x 1G und 2xSFP+10G) Achja, im Verlauf soll via SFP+/LWL ein etwas entfernter Switch in Betrieb genommen werden, wo ein physikalisches Backup-NAS steht und mehrere APs sowie Kameras angeschlossen werden.
Alles in allem ein vermutlich einfaches Setup. Es sind aber die Kleinigkeiten, die das Leben als nicht Netzwerker schwer machen, auch wenn ich Informatiker bin. :-)
Also welche Hardware fehlt mir und/oder habe ich ein Gedankenfehler?!
Vielen Dank für Eure Hilfe im Voraus! 🙏
-
Auch wenn ich zum Aktuellen Zeitpunkt nicht viel bis garnichts beitragen kann, werde ich dem hier mal folgen. stehe zu 80% vor dem gleichen Problem. :)
-
Ich würde nen MiniPC mit 4 LAN-Interfacen ( 2,5GBit ) nutzen, N100 oder Core-i3 CPU, 8 oder 16GB Ram, 64GB SSD reicht dafür locker.
Ich hab vor paar Tagen noch ein Video ( bei Deniis Schröder ) gesehen, wo ein N100 mit PfSense drauf getestet wurde.
Ich hab nen Core-i5 mit 32GB Ram, der langweilt sich am GBit-Kabelanschluss komplett und ich hab auch einige VLAN, etliche FW-Regeln, 5 WLAN mit unifi-Hardware und AdGuard mit auf der OPNSense drauf
-
Vielen Dank für den Tipp!
Dann bin ich mit meiner bisherigen Vermutung (Barebone) ja auf dem richtigen Weg gewesen. Das Video habe ich durch Zufall gerade auch gesehen.
Dann werde ich wohl zu einem N305 mit 32 Gb RAM, 1 TB NVME und 4x2.5G sowie dem Draytek Vigor167 greifen. Mal sehen, ob ich es hinbekomme die verschiedenen Netze mit den unterschiedlichen IP-Ranges (DHCPs) und VLANs einzurichten. ::)
VG
-
Habe ein solches Setup gemäß dieser wirklich hilfreichen Anleitung erstellt:
https://homenetworkguy.com/how-to/set-up-a-fully-functioning-home-network-using-opnsense/
Dazu gibt es auch eine mehrteilige Video-Reihe: https://www.youtube.com/playlist?list=PLZeTcCOrKlnDlyZCIxhFZukAnA0NNWL_I (der zunächst genutzte Cisco Switch wird in der Anleitung dann gegen TP-Link ausgetauscht).
Setup:
ISP: DTAG 250/50
Modem: Vigor 167
MiniPC: IPU613 mit der Sense (https://www.ipu-system.de/produkte/ipu613.html)
Switch: TP-Link TL-SG3210XHP-M2 (via LAGG an der IPU613, mit ruhigeren Lüftern ausgestattet :))
APs: TP-Link EAP660HD
Das ganze mit 4 VLANs (Office, Kids, IoT, Gäste) und ein TP-Link Omada Controller (OC200, geht aber auch auf Pi).
-
Vielen Dank für den Tipp!
Dann bin ich mit meiner bisherigen Vermutung (Barebone) ja auf dem richtigen Weg gewesen. Das Video habe ich durch Zufall gerade auch gesehen.
Dann werde ich wohl zu einem N305 mit 32 Gb RAM, 1 TB NVME und 4x2.5G sowie dem Draytek Vigor167 greifen. Mal sehen, ob ich es hinbekomme die verschiedenen Netze mit den unterschiedlichen IP-Ranges (DHCPs) und VLANs einzurichten. ::)
VG
Es gibt schöne N100 Kisten für nicht viel mehr als 100eu. Ich weiß nämlich nicht, was eine opnsense mit 32GB RAM und 1TB NVME machen würde.
-
Es gibt schöne N100 Kisten für nicht viel mehr als 100eu. Ich weiß nämlich nicht, was eine opnsense mit 32GB RAM und 1TB NVME machen würde.
Gebe ich dir Recht, 64 oder 128 GB SSD sind vollkommen ausreichend - ich hab selber ne 240GB verbaut, weil ich die hatte, aber da ist 2/3 von leer.
32GB Ram braucht es eher nur, meien OPNSense belegt von den 32GB gerade mal 6% und ich hab einige VLAN, FW-Regeln usw. aktiv
-
https://www.mydealz.de/deals/chuwi-larkbox-x-mini-pc-intel-n100-12gb-ddr5-ram-512-gb-ssd-usb-c-dp-pd-hdmi-20-dp-4-x-usb-a-wifi-6-bt-52-ca-400g-2314303
-
Bei der Chuwi Larkbox X sind nur zwei 1 GBit NICs verbaut, sie ist aktiv gekühlt und die SSD ist zwar M.2, aber nur SATA III, kein NVME. Der Preis ist natürlich sensationell.
-
Ja, die 100 Euro-Box ist der Hit. Aber die Ethernet Anschlüsse sind das Ko Kriterium - klar, es kommen aktuell nur 100 DSL an, aber die Netze untereinander sollen schon mit 2.5G fahren können. Habe einen Beelink N100 als HomeAssistent Server laufen.
Da war ich zu gierig und schnell. Aber glücklicherweise kostet Speicher und RAM ja nicht so viel. Wer weiß, was noch alles spannende auf den Markt kommt. Gerne möchte ich auch noch einen mini Apache/MySQL/PHP Server laufen lassen. Mal sehen, ob ich das damit zusätzlich kann. Auch muss ich mir das Proxmox anschauen, wo von an jeder Ecke geredet wird.
Versuche das gesamt Netzwerk mit 2.5G zu fahren, wobei NAS/Switch mit 10G angeschlossen ist (20G Trunk möglich) und ich noch eine 10G LWL in die Scheune legen will. Die IPUs hätte ich gerne, aber es sind halt locker 300 Euro Aufpreis. Mehr bekomme ich i5 statt i3 N305, allerdings DDR3 statt DDR5 und 6x2.5G statt 4x2.5G und ein cooles Rack Gehäuse - passend für mein Rittal-Rack. Bei zwei zusätzlichen SFP+ hätte ich es mir wirklich überlegt, aber so kommt das Desktop-Case mit 2 professionellen Kabelbindern auf einen Auszug. ;D Oder übersehe ich etwas so elementar Wichtiges, wofür ich die 300 locker machen sollte? Aktuell habe ich so ein Hunsn RJ35 (i3 N305, USB 3, 4x i226-V 2.5G, DP, HDMI...) bestellt...
VG
-
Ein paar Tipps (Been there - done that):
1. 10 GBit Ethernet ist ziemliche Stromverschwendung: Pro Leitung benötigt man ca. 5-6 Watt Dauerleistung. Für lange Strecken, wenn möglich, LWL nutzen, bei Anschluss nahe am Switch oder von Server zu NAS am besten DAC-Kabel, das braucht alles viel weniger Strom. Am Rande bemerkt, schafft man mit "günstiger" Serverhardware sowieso kaum mehr als 300 MByte/s Durchsatz, z.B. beim Kopieren von Festplatten. Dazu reichen bereits 2.5 GBit/s, die auch noch viel weniger Strom verbrauchen und in vielen Geräten schon vorhanden sind. Für den Router benötigt man scheinbar höhere Bandbreiten, aber a. nicht für normale Internet-Verbindungen und b. kann man auch mehrere NICs nutzen (siehe nächster Punkt).
2. Vergiss Trunks: Die taugen nur für mehrere Streams, aber nicht für eine einzelne Verbindung. Insofern für Heimnetze mit wenigen Nutzern sinnlos. Das gilt auch für 2 x 1 GBit. Ich nutze z.B. inzwischen auch eine der China-Boxen mit 4 x 2,5 Gbit. Ich war versucht, zwei der Ports für den Anschluss an meinen Switch zu trunken, damit ich mehr Bandbreite habe, wenn z.B. Verkehr aus dem IoT-VLAN ins LAN läuft, weil das ja sonst den Anschluss zweimal durchläuft und die Bandbreite halbiert. Aus genau dem genannten Grund hilft das aber nicht. Stattdessen nutze ich jetzt einen Port für das LAN und einen zweiten für alle weiteren VLANs - zwischen denen läuft ja so gut wie kein Traffic.
3. Die meisten bezahlbaren Switches bieten nur 2 * SFP+ und sonst 1/2.5 GBit-Ports. Damit fehlt bei 1x NAS, 1x (Proxmox-)Server und 1x Router genau ein SFP+-Port. Ich hatte bis vor kurzem eine Deciso 750, einen USW Enterprise 24 POE und einen USW Aggregation im Einsatz - das wurde gerade durch einen N6005 mit 4x 2.5 GBit unter Wegfall des USW Aggregation ersetzt. Ergebnis: Genauso schnell, 15 Watt weniger Verbrauch, ein potentieller Point-Of-Failure weniger. Über die geringeren Hardwarekosten ganz zu schweigen.
4. Die HUNSN mit N305 ist fast schon Overkill: Für 1 GBit/s VPN und Internet reicht auch schon ein N100, für den VLAN-Cross-Traffic braucht man eben auch kaum mehr als 2.5 GBit/s. Das, was wirklich Speed braucht, läuft meist sowieso VLAN ab und muss gar nicht geroutet werden.
-
Hey meyergru!
Ja, dann bin ich gut davor. Für die NAS/Switch nutze ich wegen dem Stromverbrauch ein DAC Kabel. Die LWL kommt nur bei der entfernten Verbindung zum Tragen. Ein RJ45 wäre am Ende von der Entfernung vielleicht noch möglich, aber grenzwertig. Die APs (und Kameras) dort benötigen keine Highspeed aber mir geht es hier um eine NAS Backup-Lösung (räumliche Trennung).
Das Port Trunkig ist/war nur eine Option. Ich glaube nicht, dass der Bedarf da entstehen wird, zumal ich das NAS vorher mit einem SSD/NVME Cache erweitern müsste.
VG
-
Bei der Chuwi Larkbox X sind nur zwei 1 GBit NICs verbaut, sie ist aktiv gekühlt und die SSD ist zwar M.2, aber nur SATA III, kein NVME. Der Preis ist natürlich sensationell.
1 x 1Gb, 1 x 2.5Gb
-
1 x 1Gb, 1 x 2.5Gb
Sicher? Chuwi selbst gibt das nicht an und die einzige Quelle, die ich gefunden habe, sagt etwas anderes (https://www.derstandard.de/story/3000000204570/chuwi-larkbox-x-im-test-arbeiten-und-spielen-mit-einer-6-watt-cpu). Es ist auch seltsam, dass es keine Markierungen auf dem Gehäuse gibt, die anzeigen, welcher welcher ist.
Chuwi scheint die Specs auch ständig zu ändern, es gibt Tests der Box von Mitte 2023, wo es noch ein Ryzen 7 3700U war (https://www.youtube.com/watch?v=B87k84fP1to). Damals hatte die Box wirklich 2.5 GBit.
-
Hab hier eine, ist so.
-
Hey meyergru!
Ja, dann bin ich gut davor. Für die NAS/Switch nutze ich wegen dem Stromverbrauch ein DAC Kabel. Die LWL kommt nur bei der entfernten Verbindung zum Tragen. Ein RJ45 wäre am Ende von der Entfernung vielleicht noch möglich, aber grenzwertig. Die APs (und Kameras) dort benötigen keine Highspeed aber mir geht es hier um eine NAS Backup-Lösung (räumliche Trennung).
Das Port Trunkig ist/war nur eine Option. Ich glaube nicht, dass der Bedarf da entstehen wird, zumal ich das NAS vorher mit einem SSD/NVME Cache erweitern müsste.
VG
10G würde ich sowieso nur LWL / DAC machen, der Stromverbrauch dürfte sich auf die Kupfervariante beziehen.
-
Es gibt ein Modell mit AMD und eines mit Intel-CPU. Ich vermute, die sind nicht beide gleich. ;)
-
Ok, da ist die Chuwi Larkbox X mit dem AMD und Chuwi Larkbox X 2023 mit dem N100. Beide haben die gleichen Netzwerkinterfaces mit 1 x RTL8111 und 1 x RTL8125.
-
OK, das habe ich auf der Website nicht gefunden. Damit wären die für mich beide sofort "raus". Realtek kaufe ich einfach nicht, spart Ärger.
-
Ist so billig :D .
Aber im Grundsatz teile ich diese Auffassung.
-
Vielleicht noch eine ergänzende Frage: wäre es sinnvoll doch eine IPU zu nehmen, dort Proxmox installieren und dann HomeAssistent und opnsense als VMs? Zu betreiben? Ich spare dann sicherlich in der Summr etwas Strom... Aber ist Opnsense in einer Proxmox Maschine sinnig oder sollte man opnsense wirklich immer separat auf eigener Hardware installieren, um eine physikalische Trennung zu haben? In dem Fall würde ja doe Proxmox-Maschine direkt mit dem Modem verbunden sein...
VG
-
Virtualisierte Firewalls sind immer so ein bißchen ein potentielles Problem, z.B. bei Updates der Virtualisierungsplattform, wo dann plötzlich das Internet weg ist.
Ansonsten, Homeassistant mit den potentiell vielen Hardwareschnittstellen bietet sich meiner Meinung nach nicht so für Virtualisierung an.
-
Ja, danke! Habe bei dem IPU Rack gerade gesehen, dass die nur 2 USB Ports hat: HMip Stick, ZigbeeStick und schon fehlt der USB Port für den BLE Stick.
Also dann bleibt's erstmal so: ein oversized N305 für Opnsense mit Draytek Modem vorweg und fertig. Und dann muss ich schauen, ob ich irgendwann mal einen Proxmox hinstelle, wo ich Omada, HomeAssistent, Webserver etc. installieren kann.
VG
-
Ansonsten, Homeassistant mit den potentiell vielen Hardwareschnittstellen bietet sich meiner Meinung nach nicht so für Virtualisierung an.
HomeAssistant läuft bei mir super gut als VM unter Proxmox. Meine Smarthome-Hardware ist aber auch per LAN-Interface angebunden, was ich eh für die bessere Lösung halte als USB-Sticks. ( Zigbeee & Homematic )
OPNSense auf Proxmox, da bin ich überhaupt kein Freund von, die läuft bei mir auf eigner Hardware VOR meinem restlichen Netzwerk und nicht auf einem Server IN meinem Netzwerk.
-
Ja, danke! Habe bei dem IPU Rack gerade gesehen, dass die nur 2 USB Ports hat: HMip Stick, ZigbeeStick und schon fehlt der USB Port für den BLE Stick.
Deshalb hatte ich mich für die Desktop-Variante entschieden, die hat 4 USB Ports. Kostet zudem € 100 weniger, ist lüfterlos und verbraucht weniger Strom :)
-
HomeAssistant läuft bei mir super gut als VM unter Proxmox. Meine Smarthome-Hardware ist aber auch per LAN-Interface angebunden, was ich eh für die bessere Lösung halte als USB-Sticks. ( Zigbeee & Homematic )
OPNSense auf Proxmox, da bin ich überhaupt kein Freund von, die läuft bei mir auf eigner Hardware VOR meinem restlichen Netzwerk und nicht auf einem Server IN meinem Netzwerk.
Ja, wegen dem Punkt, dass es auf einem Server IN dem Netzwerk läuft, bin ich da auch eher skeptisch. Mit was für ein LAN Interface hast Du BLE, Zigbee und Homematic gebridget?
VG
-
OPNSense auf Proxmox, da bin ich überhaupt kein Freund von, die läuft bei mir auf eigner Hardware VOR meinem restlichen Netzwerk und nicht auf einem Server IN meinem Netzwerk.
Servus,
Egal wo sie läuft oder steht, ist sie immer EIN Teil deines Netzwerkes. Und wo sich der OPNsense Noob (Zitat OP) verkonfiguriert ist dann auch egal. ;)
Prinzipiell bin ich bei dir, aber @Home reißt das IoT- und/oder Smarthomegedöns, billige Chinahardware, halbgares Foren- und fehlendes Netzerkgrundlagenwissen wahrscheinlich größere Sicherheitslöcher ins Netzwerk, als du mit der Sense auf eigenem Blech oder virtualisiert je stopfen könntest.
cz
-
Zu deinen Hardwareüberlegungen: Wenn du demnächst sowieso Glasfaser bekommst kannst du auch gleich die Fritz-Box für Internet und Telefonie nutzen. Du brauchst keinen seperaten DSL-Router.
In der OpenSense must du nur die Ports für Telefonie aus deinen Internen Netzen bis zur Fritz-Box schalten.
Ob du VLANs auf deinen Switchen nutzen willst oder mit mehreren pysikalischen Ports arbeitest sollte davon abhängen wie sicher du dich in den einzenen Konfigurationsinterfaces fühlst.
Der OpenSense ist es egal, die kann beides auf den pysikalischen Kabeln.
-
Zu deinen Hardwareüberlegungen: Wenn du demnächst sowieso Glasfaser bekommst kannst du auch gleich die Fritz-Box für Internet und Telefonie nutzen. Du brauchst keinen seperaten DSL-Router.
In der OpenSense must du nur die Ports für Telefonie aus deinen Internen Netzen bis zur Fritz-Box schalten.
Ob du VLANs auf deinen Switchen nutzen willst oder mit mehreren pysikalischen Ports arbeitest sollte davon abhängen wie sicher du dich in den einzenen Konfigurationsinterfaces fühlst.
Der OpenSense ist es egal, die kann beides auf den pysikalischen Kabeln.
Wie meinst Du das "die Fritzbox für Internet benutzen"? De Fritzbox vereint ja DSL Modem, Router, AP und Telefonie (SIP, DECT, ...). An die Glasfaser kommt ja letztlich ein LWL Modem und von dort geht's in einem Router mit AP und Telefonie. In alter Wohnung war es bei uns auch eine Fritzbox am LWL-Modem. Die Router-Funktion fällt ja so oder so weg, da OPNsense das Routing (NAT und Co) übernimmt. Die Fritzbox würde ich lediglich als DECT-Basis beibehalten zumal ich weiß, wie ich von meinem IP Telefon mich an der Fritz anmelden kann ohne direkt mit dem Telekom SIP Server verbinden zu müssen. Von dem SIP Kram habe ich absolut keine Ahnung. Ich möchte letztlich sowohl das IP Telefon, als auch das ein oder andere Schnurlose Telefon mit gleicher Nummer nutzen. However, das funktioniert soweit alles.
Mit VLAN bin ich mich noch am Einlesen. Da Schwiegereltern PC, Drucker und Fritzbox nebeneinander stehen haben, reicht theoretisch eine feste Zuordnung dieser einen Leitung. Es kommt das Aber: die APs können mehrere WLANs aufspannen. D.h. die müssen ja getagged werden, damit alle WLAN Geräte von Eltern nur untereinander kommunizieren können usw.. Da muss ich mich noch einlesen, wie man getaggte und ungetaggte VLANs verbinden kann/muss/darf.
Egal wo sie läuft oder steht, ist sie immer EIN Teil deines Netzwerkes. Und wo sich der OPNsense Noob (Zitat OP) verkonfiguriert ist dann auch egal. ;)
Prinzipiell bin ich bei dir, aber @Home reißt das IoT- und/oder Smarthomegedöns, billige Chinahardware, halbgares Foren- und fehlendes Netzerkgrundlagenwissen wahrscheinlich größere Sicherheitslöcher ins Netzwerk, als du mit der Sense auf eigenem Blech oder virtualisiert je stopfen könntest.
Das Leben ist nie ohne Risiko. Und gerade weil es eben ein Sicherheitsrisiko darstellt, macht es umso mehr Sinn, IoT in separates Netzwerk auszulagern. Ich freue mich immer wieder fehlerfreie Menschen kennen zu lernen. Und natürlich ist schnell behauptet, dass jemand kein Netzwerkgrundlagenwissen hat, ohne denjenigen überhaupt zu kennen. Auch wenn ich Informatik studiert habe, muss ich gewiss nicht wissen, ob ein NIC, der fest an einer virtuellen Maschine zugeordnet ist, ein Angriffsvektor für den VM-Server sein kann oder ausschließlich für die zugeordnete VM. Dafür ist der Bereich Informatik in den letzten Jahren etwas zu komplex geworden, dass man alles Wissen kann.
Halbgares Forenwissen ist seit jeher schon ein Problem. Da gebe ich Dir recht. Hier bleibt einem sowieso nur über, viele verschiedene Beiträge zu lesen, recherchieren und Versuchen die Schnittmenge auf Plausibilität mit eigenem Wissen oder z.B. Manuals abzugleichen. Natürlich kann man auch jemanden Beauftragen alles einzurichten/konfigurieren, aber auch derjenige kann unter Umständen die Firewall verkonfigurieren - Zahlendreher, falsche Checkbox, falsches Protokoll gewählt, falsche Pen-Tests...
In dem Sinne sollten wir uns doch eher auf gegenseitige Unterstützung konzentrieren, anstatt das Staubkorn auf der Ablage zu suchen. ;-)
VG
-
"Wie meinst Du das "die Fritzbox für Internet benutzen"? De Fritzbox vereint ja DSL Modem, Router, AP und Telefonie (SIP, DECT, ...). An die Glasfaser kommt ja letztlich ein LWL Modem und von dort geht's in einem Router mit AP und Telefonie. "
Hallo Reddi82, es gibt Fritz-Boxen die direkt am Glasfaseranschluss der Telekom laufen, also ohne Glasfasermodem.
Damit hast du ein Gerät weniger, einen Ethernet-Port für deine Opensense, die Telefonie in der von dir gewohnten Umgebung und meiner Meinung nach einen Besseren Überblick über deinen Internetanschluss als bei einer Modem-Router Kombination.
"Es kommt das Aber: die APs können mehrere WLANs aufspannen. D.h. die müssen ja getagged werden, damit alle WLAN Geräte von Eltern nur untereinander kommunizieren können usw.. Da muss ich mich noch einlesen, wie man getaggte und ungetaggte VLANs verbinden kann/muss/darf."
Schau dir deine Switche an ob die getaggte und ungetaggte Ports im gleichen VLan betreiben können. Dann hängst du deine WLAN-APs an einen getaggten Port und verarbeitest dies in den APs weiter. Deine Eltern bekommen einen ungetaggten Port führ Ihre Gerätschaften.
-
Hallo Reddi82, es gibt Fritz-Boxen die direkt am Glasfaseranschluss der Telekom laufen, also ohne Glasfasermodem.
Damit hast du ein Gerät weniger, einen Ethernet-Port für deine Opensense, die Telefonie in der von dir gewohnten Umgebung und meiner Meinung nach einen Besseren Überblick über deinen Internetanschluss als bei einer Modem-Router Kombination.
Der Nachteil ist, dass man das WLAN der Fritzbox dann nicht im LAN hinter der OPNsense nutzen kann.