OPNsense Forum

Hallo zusammen,

ich bin ganz begeistert von dem auffällig positiven und hilfreichen Support hier (als Mitleser). Das ist nicht mehr selbstverständlich in solchen Foren.

Hätte mal gerne Euer Feedback zu folgendem Aufbau, den ich gerade umsetzen möchte (Diagramm im Anhang).

   
• Hardware ist schon da (und Entscheidung für OPNSENSE + Omada gefallen)
• EFH, 3 Etagen
• Kabel zu Access Points liegen
• Meine Hauptmotivation für das Netzwerk ist nicht eine erhöhte Sicherheit gegenüber einem Standard-Heimnetz (mit Ausnahme 1 ,,VPN" und Ausnahme 2 ,,IoT Untrusted", s.u.).
  Mir geht es im Aufbau also vor allem um Stabilität, Performance und Anwenderfreundlichkeit für den Rest der Familie

Ein paar Hintergründe zu den Devices:

   
• Auf meinem UNRAID laufen ein NAS sowie Docker, die für andere Netzwerkteilnehmer wichtig sind (z.B. Plex oder eine Überwachungskamera-Lösung ,,Frigate"). Er soll also im LAN schnell als NAS funktionieren, mit dem HASS interagieren können und manche Docker auch von außen über Internet erreichbar machen (auf dem UNRAID läuft eine eigene FW und eigenes VLAN-Management, das klappt bisher gut über Portfreigaben)
• Home Assistant (HASS) läuft auf einem eigenen Intel NUC, das wir sehr intensiv nutzen (inkl. Sprachkommandos über Alexa, usw). Auch der muss vom Internet erreichbar sein sowie mit zahlreichen Endgeräten der LAN Nutzer interagieren können (WebGUI aufrufen, aber auch Präsenz erkennen, usw).

Zwei besondere Segmente, die ich im Netzwerkplan markiert habe:

   
• IoT Untrusted: Ich nutze den Home Assistant komplett, um lokal unser IoT zu steuern. Dabei kommen auch teilweise WLAN fähige Teile zum Einsatz, die evtl. leichter zu hacken wären oder vom Hersteller gewollt nach Hause telefonieren möchten (z.B. Xiaomi Luftreiniger oder fast alle Staubsauger)
• VPN Streaming: Wir schauen teilweise internationalen Content. Dafür habe ich einen FireTV Stick mit einem VPN Client und Killswitch bespielt. Damit sind wir aber an dieses Device gebunden. Am liebsten hätte ich ein dezidiertes VLAN, das alle Geräte nach außen über einen VPN (inkl. Killswitch) sendet

Meine Fragen:

A)   Physikalisch

   
• Hat der Aufbau so, wie gezeichnet, Sinn? Vor allem mit Blick auf Performance?
• Am OPNSENSE wären in der aktuellen Version noch 3 NIC Ports frei. Soll ich bestimmte Geräte statt an dem Switch dort direkt anschließen oder lieber einige zusammenfassen und als LAG an den Hauptswitch führen?
• Ich habe noch (vermeintlich?) unnötige Switches über. Managed und Unmanaged. Gibt es dafür sinnvolle Einsatzfelder, um z.B. die Performance zu erhöhen (ggf. alle OMADA Geräte Controller, 2x AP an einen Switch und erst dann in Hauptswitch?, HASS, IPTV und UNRAID über einen Zwischen-Switch, o.ä.)
• Die 4 WIFI Kameras laufen 24/7 und senden immer mal wieder Daten an UNRAID. Ich spüre zwar keine Performance Einschränkungen im restlichen Netzwerk, aber wenn man schonmal alles umbaut...meint Ihr, ich sollte einen einfachen Omada AP nur für die Kameras nutzen und mit einem unmanaged switch in die UNRAID gehen?

B)   B. Logisch

   
• Ich weiß, dass es vermutlich klüger wäre, das LAN/Home VLAN noch weiter aufzuteilen und ggf. IOT und Gäste rauszunehmen, evtl. auch UNRAID, Media, usw. Aber ich will mich ungerne mit Multicast Problemen herumschlagen und Familienmitgliedern IT-Support geben müssen, wenn sie mal per Chromecast was aus dem Handy über den Fire Cube an das TV senden wollen, usw
• Spezielle Kandidaten würde ich dann auf Geräte-Ebene in der Firewall reglementieren, oder? Also z.B. Home Assistant in Richtung ,,IOT Untrusted" oder UNRAID und HASS in Richtung Internet, usw.
• Oder sollte ich lieber alle IOT in eines packen und den untrusted devices Regeln auf Geräte-Ebene auferlegen (Xiaomi soll möglichst nie nach hause telefonieren und schon gar nicht andere Netzwerkgeräte ausspionieren)?
• Ist der Rest dann Eures Erachtens so fein und machbar?
• Andere Vorschläge für eine VLAN Aufteilung?
• Alles tagged oder LAN/HOME untagged?

Ganz herzlichen Dank!

Hallo

ich hab mal kurz drübergeschaut, ein direkte Anmerkung.

Verkauf die unmanaged Switche

OMADA macht nur dann wirklich Sinn, wenn du alle Netzwerkgeräte, also Switch und AP im OMADA-Controller verwaltest.
Wenn du mehrere VLAN's anlegen willst, ist das der sinnvollste Weg, diese dort auch zentral einzurichten und den SwitchPorts die VLAN's zuzuweisen.
Mit unmanaged Switch kannst du dann eh nichts reissen.

Was Anschluss von Geräte direkt an die OPNSense betrifft. Ich bin da kein Freund von, weil ich da keinen Vorteil drin sehe.
Ich hab auch 3 LAN-Ports als LACP zum Switch geführt worüber alle VLAN's dann laufen. Am Switch selber ist dann auch meine NAS nochmal mit 3 LAN-Ports als LACP angeschlossen ( den 4. habe ich einzeln, damit Wake-on-LAN funktiont, geht über LACP nicht )


Wieviele VLAN's du am Ende einrichtest, muss du dir selber überlegen, ich habe zuhause aktuell 12, wobei da aber ein paar Testnetze bei sind für virtuelle OPNSense-Installationen, IoT und SmartHome habe ich getrennt, genauso wie Media ( TV, usw. )

Super, herzlichen Dank!

Dann bin ich ja zumindest nicht auf einem völlig falschen Pfad unterwegs.

Doch noch eine Verständnisfrage hierzu:

Quote from: Tuxtom007 on April 13, 2023, 02:56:22 PM
OMADA macht nur dann wirklich Sinn, wenn du alle Netzwerkgeräte, also Switch und AP im OMADA-Controller verwaltest.
Wenn du mehrere VLAN's anlegen willst, ist das der sinnvollste Weg, diese dort auch zentral einzurichten und den SwitchPorts die VLAN's zuzuweisen.

Andere *managed* switches als Nebenswitch sind aber grds. denkbar?

Stolpere über das "sinnvollste Weg, diese dort auch zentral einzurichten": Routing, FW, usw. mache ich am besten aber nach wie vor über OPNSense, oder? Du meinst lediglich die Port-Zuweisung im Omada Switch, richtig?

Nicht managed Switche haben üblicherweise auch keinen VLAN Support, kann man ja nicht konfigurieren. Und wenn du was manged kaufst, kannst du doch auch denselben Hersteller nehmen.

Danke, das hatte ich auch so verstanden.
Ich habe noch einen managed switch von Netgear übrig, aber, wenn das Diagramm oben grds. Sinn ergibt, dann brauche ich den ohnehin nicht und komme komplett mit den TP Switches aus.

Was haltet Ihr grds. von dem Aufbau, wie gezeichnet?