Hallo Zusammen,
ich bräuchte mal ein paar Gedanken zu folgendem Netz (auf Deutsch, weil viele Fritzboxen wohl in D stehen), da ich mich langsam im Kopf im Kreis drehe:
WAN / Internet
:
: Telekom FTTH
:
.-----+------. private DMZ .------------.
| OPNsense +-----------------+ Server |
'-----+------' '------------'
|
LAN | 192.168.111.0/24
|
.-----+-----.
| FritzBox | mit NAT
'-----+-----'
|
| 192.168.122./24
|
Die Fritzbox läuft im Router-Kaskadenmodus mit aktivierter Firewall. Das System hat die folgenden Vorteile:
Pro:
- FB hat idiotensichere Firewall falls auf der OPNSense doch was falsch ist
- FB macht VoIP
- FB hat DECT Repeater verbunden
- FB hat paar Mesh Repeater verbunden
- FB macht Gastnetz fürs Homeoffice
- IPv6 funktioniert
- Doppeltes NAT stört mich nicht, da DMZ vorhanden, außer...
Contra:
- Doppeltes NAT macht Netzwerkanalyse im FB Netz unmöglich, alle IPv4 Verbindungen kommen von der Fritzbox
Auf der Fritzbox habe ich ein bisschen mit den ar7.cfg Einstellungen gespielt und
no_masquerade = yes gesetzt, das hat fast funktioniert, außer dass es scheinbar auch die FB Firewall deaktiviert hat, alle Hosts waren hinter der Fritzbox erreichbar. Ob das Gastnetz damit geht habe ich gar nicht mehr versucht. So schwer kann es doch nicht sein das NAT auf der FB zu deaktivieren, das ist doch ein einfaches ip_forward mit paar iptables Regeln vom Embedded Linux aus gesehen.
Ein vollständiger Umbau auf Ubiquity +X würde wahrscheinlich gehen, da ein VLAN fähiger Switch vorhanden ist, allerdings müsste ich alle Komponenten umtauschen.
NtopNG zur Netzwerkanalyse habe ich auch gefunden, aber den kompletten Traffic auf einen dritten Rechner/VM zu streamen schreckt irgendwie auch ab.
Habt ihr noch weitere Ideen?
Danke,
VG
Robert