OPNsense Forum

International Forums => German - Deutsch => Topic started by: Ronny1978 on March 23, 2021, 08:41:32 pm

Title: Hilfe beim Neuprojekt OpnSense
Post by: Ronny1978 on March 23, 2021, 08:41:32 pm

Hallo Zusammen,

ich möchte ein neues Projekt beginnen und meine derzeitige UDM (Unifi Dream Machine - KEINE Pro Variante) gegen eine OpnSense Firewall tauschen und als Firewall und Router einsetzen, und hoffe das mir die starke Community hier helfen kann, da ich bei OpnSense ganz neu bin.

Wo komme ich her? (Netzwerkkonstellation):
T-DSL 100/40 --> Vigor 165 --> UDM (siehe Bild im Anhang)
an der UDM hängen:
Port 1: Unifi Switch 8-60 W --> 1x AP IW-HD / 1x AP AC Lite / 1x Switch Flex Mini
Port 2: Auerswald TK Anlage
Port 3: Unifi Switch 8-60 W --> 2x AP AC Pro
UDM fungiert als DNS/DHCP/Firewall
angelegt sind 4 Netzwerke (einmal Management LAN wo auch die anderen Unifi Geräte drin sind, die TK Anlage, eine Synology DS918+, die Laptops, Handys, Drucker / ein IoT Netz für die Alexa Dots, Steckdosen, usw. / ein Netz für Mitarbeiter vom Geschäft meiner Frau und ein GAST Netz für Kunden)
--> dahin gehend auch ein Management WLAN 192.168.1.x, IoT WLAN 192.168.10.x, Mitarbeiter WLAN 192.168.20.x und Gast WLAN 172.16.0.x)
--> alle Netze sind durch Firewall Regeln getrennt und auch die Gateways sind nicht anpingbar.

Wieso das ganze?
1. Weil ich mit der Stabilität der UDM unzufrieden bin.
2. Weil Update mittlerweile eine Katastrophe sind.
3. Weil ich mehr Möglichkeiten haben möchte DIE FUNKTIONIEREN!!! DNS Filter, Websiten blocken, eine bessere Firewall.

Wo will ich hin? (Was möchte ich erreichen)
1. Ich möchte die UDM ablösen und durch einen Mini PC mit OpnSense ersetzen.
2. OpnSense soll DNS, Threat Management und DHCP übernehmen.
3. Die Unifi Switche und AP's möchte ich behalten und per Software Controller einrichten. Da alle Kanäle manuell eingestellt sind, sollte es per Software Controller eigentlich gehen, die Switche und AP's mit VLAN's und SSID's einzustellen.
4. OpenVPN möchte ich nutzen, aber es fließen dann nicht sehr viele Daten.
5. Beim Gastnetzwerk/Gast WLAN möchte ich Captive Portal nutzen.

Wo brauche ich Hilfe?
1. Ich habe am ersten Switch nicht genügend Ports um, auch den 2. Switch und die TK Anlage anzuschließen und über EINEN LAN Port am zukünftigen Mini PC zu betreiben. Wenn ich einen mit 6 Ports (1x WAN und 5x LAN), wie stelle ich die Ports am besten ein, wenn die Switche und TK Anlage im Management LAN bleiben sollen? Ist eine Bridge zu empfehlen oder eher nicht.
2. Bringt es etwas, wenn ich die Synology DS918+ vom Netz trenne und per LAGG am Mini PC/OpnSense anschließe?
3. Oder ging dies auch über die Bridge? Hat das dann Nachteile?
4. Was sollte alles ins Management LAN rein? Wenn die SSID 192.168.1.x dann nicht mehr zum Management LAN führt sondern auch über VLAN abgeschottet ist, wie komme ich dann mit meinem Laptop über WLAN auf die OpnSense Konsole?
5. Kann ich in der Benutzer Oberfläche die angemeldeten Clients sehen und den jeweilen IP's auch Namen zuweisen? Oder führt das bei einer Firewall zu weit? Bei den Routern kann man den IP's ja reelle Namen zuweisen.

Für eure Hilfe vielen Dank im Voraus.

Ronny

Title: Re: Hilfe beim Neuprojekt OpnSense
Post by: Patrick M. Hausen on March 23, 2021, 08:58:33 pm

Sorry, hab grad keine Zeit für alle Details, aber ganz generell:

• Die FreeBSD bridge funktioniert, aber ist nicht ganz so prall, was Performance angeht. Wird mit FreeBSD 13 besser. Für OPNsense dann 2022.
• Um Ports zu sparen sind VLANs immer eine gute Alternative - das Unifi-Zeugs kann das und im Prinzip kannst Du Deine OPNsense mit einem einzigen Port mit dem Switch verbinden und darüber beliebig viele VLANs betreiben.
• Das bedeutet, Deine Peak-Bandbreite ist auf einen Port limitiert, aber normalerweise ist das kein Problem. Du kannst auch ein LAGG (LACP) Bündel aus zwei Ports bauen und darüber X VLANS abfackeln.

TL;DR - lass die Finger von der Bridge, wenn Du richtige Switche hast. Die ist am ehesten für Installationen, wo die OPNsense das einzige Netzwerk-Gerät ist. So wie eine Fritzbox ja auch 4 interne Ports hat.

Title: Re: Hilfe beim Neuprojekt OpnSense
Post by: Ronny1978 on March 23, 2021, 09:07:39 pm

Hallo pmhausen.

Danke für deine schnelle Info. Dann müsste ich mit überlegen, ob ein LAGG für die DS918+ am Mini PC mache und den 2. Switch dann auch am Mini PC klemme. Am 1. Switch stehen mir leider nicht genügend Ports zur Verfügung. Daher wollte ich den Mini PC mit der OpnSense mit 6 Ports kaufen und die anderen freien Ports "missbrauchen" wie halt die normalen Router (AVM oder die UDM).

Danke vorab.

Title: Re: Hilfe beim Neuprojekt OpnSense
Post by: Ronny1978 on March 24, 2021, 05:43:26 am

P.S. Ich formuliere noch einmal eine bessere Frage:

Wenn ich ein Mini PC mit OpnSense habe und 1x WAN und 6x LAN Interfaces, ist es dann möglich
am LAN 1 den IP Bereich 192.168.1.1 zu vergeben UND diesen auch am LAN 2, LAN 3 ebenso einzustellen?

Oder geht das nur über eine LAN Brücke/Bridge?

Title: Re: Hilfe beim Neuprojekt OpnSense
Post by: ascii on March 24, 2021, 07:00:53 am

das geht nur über eine Bridge.

Da würde ich lieber ein paar Euro in einen ordentlichen Switch investieren.

Lass den Switch switchen. Dafür ist die ASIC und Backplane ausgelegt

Die Firewall/Router sollte im Netzwerk immer als "Edge" Device angesehen werden. Also das Router on a Stick Prinzip (Bei genug Ports auch pro VLAN 1 Port statt eines Trunks, macht es mit Sensei einfacher)

Es gibt ein Community Projekt das die Unifi Software auf der opnsense bereitstellt. (Habe selber keine und kann nichts genaues dazu sagen)

Title: Re: Hilfe beim Neuprojekt OpnSense
Post by: Ronny1978 on March 24, 2021, 08:53:20 am

Hallo ascii.

Danke für deine Hilfe und schnelle Info. Ich bin noch nicht so erfahren mit OpnSense, daher noch einmal mein "nervige" Nachfrage:

Also im besten einen Mini PC mit Power und 2 Interfaces (1x WAN / 1x LAN) und einen Switch mit mehr Ports.

1. Kommt es dann zu "Verlusten", wenn hinter dem Switch noch ein Switch hängt (beim kaskadieren), statt statt den 2. Switch direkt an der OpnSense zu betreiben?
2. Bringt es Vorteile am 1. Switch hinter OpnSense einen Trunk (mit 2x LAN) zu bilden (wenn mehr LAN Anschlüsse da sind? Kann man da die Performance erhöhen?

Danke für deine/eure Hilfe. Ich arbeite mich gerade in das Thema ein und freue mich über Hilfe und Feedback.

Title: Re: Hilfe beim Neuprojekt OpnSense
Post by: ascii on March 24, 2021, 11:29:38 am

wenn du genug Ports auf der Firewall und dem Switch hast dann jedes Netz einzeln.
Ich habe es bei mir so.
FW WAN -> WAN Modem
FW LAN -> Switch port 1
FW Trunk -> Switch port 2 Trunk  (Vlan für IoT, VoIP und Gäste)

somit kann mein LAN mit 1Gig ins WAN (Unitymedia/Vodafone Gigabit Anbindung)
meine anderen 3 VLANs teilen sich 1Gig Link zur Firewall.

Aktuell habe ich im LAN Sensei aktiv. da es nur auf dem physischen Port als access Port läuft muss da auch nicht in die einzelnen Ethernet Header geschaut werden.
Ich überlege Sensei auf den anderen Netzen zu aktivieren. (Muss noch Performance Tests machen)

Die Frage ist am Ende wie viel Traffic hast du zwischen den Netzen?

Bei 1 Port mit Trunk und 2 VLANs hast du halt keinen 1Gig Durchsatz zwischen den Systemen

Traffic bei deinem IoT Netz wird sicher in Grenzen halten. Gäste Netz ist im Normalfall auch egal. Ist es eben langsam.

Wenn du 4 NICs hast dann würde ich es so machen:
1x WAN
1x LAN/Mgmt
1x Mitarbeiter WLAN/LAN
1x Trunk mit IoT Vlan und Gäste Vlan

Title: Re: Hilfe beim Neuprojekt OpnSense
Post by: Ronny1978 on March 24, 2021, 11:43:32 am

Hallo ascii.

Vielen Dank für deine Hilfe.  :) Das hilft mir schon einmal sehr.

Hab eine schöne Woche und bleib gesund.