Hallo an alle IT Spezialisten,
ich möchte zuhause ein sicheres Netzwerk aufbauen und mir stellt sich die Frage, wie der Aufbau hierfür am besten wäre.
Modem - Router mit Gäste WLAN - OPNsense - Router mit sicherem WLAN
Kann das Gäste WLAN auch theoretisch die Sonos Boxen im sicheren WLAN nutzen?
Aber auch nur die und keine anderen Geräte?
Vielen Dank für eure antworten.
Quote from: aproxxo on January 30, 2025, 11:52:37 AMModem - Router mit Gäste WLAN - OPNsense - Router mit sicherem WLAN
Zuerst einmal - nimm es bitte nicht übel - befasse dich mit den Themen Netzwerk, Firewall und Routing. Ohne entsprechendes Wissen wirst du das nicht hinbekommem. Du wirst hier im Forum Hilfe bekommen, aber niemand hat die Zeit oder nimmt sie sich, um dich "an die Hand zu nehmen" und dir alles Schritt für Schritt zu erklären.
Was Du da konfigurieren möchtes sieht mir danach aus als wenn du 2 Fritzboxen o .Ä. im Bestand hast und die unbedingt mit verwenden willst. Das ist erstmal nicht grundsätzlich unmöglich. Aber so wie du das denkst, zumindest mal sehr kompliziert. Du hast da nämlich mehrere Router hintereiander, was wenn überhaupt sinnvoll möglich, sehr komplziert werden düfte.
Wenn du schon ein Modem und eine OpenSense (hoffentlich mit passender Hardware - alles hier im Forum mehrfach durchgekaut) hast, dann setze die OpnSense direkt an das Modem und lass sie die Einwahl machen. Befasse dich auch noch mal gründlich mit dem Thema Vlan. Das könnte der einfachste Weg für die Umsetzung deiner Vorstellungen werden.
Auch keine Schritt-für-Schritt Anleitung (https://forum.opnsense.org/index.php?topic=42985.0), aber immerhin.
Und zu den geäußerten Ideen: Ein Router-hinter-Router-Setup hat eklatante Nachteile. Eigentlich will man nämlich eine zentrale Stelle, an der man sein Netzwerk konfigurieren kann, nicht mehrere. Genau das kann OpnSense leisten, beispielsweise auch den Zugriff zwischen verschiedenen Subnetzen zu regeln. Allerdings sollten sich diese vorzugsweise
hinter der OpnSense befinden.
Eine Fritzbox vor der OpnSense ist also im gewissen Sinn eine Notlösung. Allerdings finden viele Anwender erst später heraus, dass in einem Idealszenario die unterschiedlichen Aufgaben, die die Fritzbox früher erledigt hat, jetzt nicht mehr zusammenfallen, was u.a. Kosten verursacht.
Die Fritzbox macht:
- Modem/ONT, d.h. Signal- und Protokollwandlung für den Anschluss.
- Router/Firewall
- Switch
- WiFi Access Point
- Telefonanlage
Die OpnSense kann im Grunde nur Nummer 2, aber natürlich besser als eine Fritzbox, da sie verschiedene Netzwerke aufziehen und separieren kann - inklusive spezifischer Zugriffsregeln. Sie kann insbesondere nicht (oder nicht besonders gut):
- Modem/ONT: Selbst, wenn die OpnSense-Hardware einen SFP(+)-Slot hat, sind Glasfaser-SFP-Transceiver oft komplex aufzusetzen. Ein externer ONT oder ein (V)DSL-Modem (im Bridge-Modus!) sind sinnvoller - aber ein zusätzliches Gerät. Fritzboxen lassen sich meist nicht in den Bridge-Modus schalten, sind also hierfür ungeeignet. Selbst wenn, entfallen andere Funktionen.
- Wifi Access Point: FreeBSD als Grundlage für OpnSense ist notorisch schlecht bei WLAN-Support. Versucht es nicht, kauft einen externen Access Point (Unifi oder Mikrotik), der auch VLANs unterstützt (sonst kann man per WiFi keine Separation machen). Wieder: Zusatzkosten hierfür. Und nein, die Fritzbox kann/sollte man auch dafür nicht nutzen, weil dann z.B. verschiedene VLANs nicht unterstützt werden, was eben einer Separation zuwider läuft.
- Switch: Auch, wenn die OpnSense-Hardware noch freie Netzwerkports hat, sollte man eher einen managebaren Switch anschaffen, der dann VLANs zur Netzwerkseparation unterstützt. Wieder: Zusatzkosten.Wenn man die Netzwerkports der OpnSense trotzdem als Bridge nutzen will, bitte unbedingt alle Schritte der offiziellen Anleitung (https://docs.opnsense.org/manual/how-tos/lan_bridge.html) beachten, sonst geht's wieder nicht richtig.
- Telefonanlage: Dürfte klar sein. Hierfür lässt sich die alte Fritzbox oft noch nutzen - unter Abschaltung aller anderen Features.
Am Ende der Reise hat man also oft folgenden Zoo:
1. Externes Modem/ONT
2. OpnSense (bei heutigen Internet-Geschwindigkeiten oft ein N100-basiertes System)
3. VLAN-fähiger Switch
4. Access Point(s)
5. Fritzbox als Telefonanlage (und eventuell für AVM Smart Home)
Also sollte man sich vorher gut überlegen, ob die "Consumer"-Hardware Fritzbox für die eigenen Zwecke nicht ausreichend ist.
Vielen Dank für die schnelle Rückmeldung.
Von einer Fritz!Box war bis her von meiner Seite nicht die Rede. Aber trotzdem danke für den Hinweis ;)
Der Proxmox Server also auch die OPNsense läuft aktuell auf einem N305 mit 16GB RAM. Für das DSL Modem habe ich mir das Zyxel rausgesucht (aber noch nicht bestellt)
So wie ich eure Empfehlung verstehe, habe ich nur ein Wlan AP? Das heißt das Gäste Wlan wäre auch hinter der Firewall. Ist dies so zu empfehlen?
Gibt es ein VLAN Switch den ihr speziell empfehlen könntet?
Du brauchst einen AP, der mehrere SSIDs betreiben und diese mit VLANs verbinden kann. Dann ist das vertrauenswürdige Netz hinter einem Interface (VLAN) der Firewall, das Gästenetz hinter einem anderen, das IoT Netz hinter einem dritten ...
Wenn du AP(s) und Switch(e) unter einer einheitlichen Oberfläche verwalten willst, führt wenig an Unifi vorbei. Für einen einzelnen managed Switch mit Web UI bin ich persönlich ein Fan vom Mikrotik CRS326-24G-2S+IN/RM - den gibt es als Tisch/Regalmodell (IN) oder rackmount (RM).
Und den Unifi Controller kannst Du auch als VM auf dem Proxmox laufen lassen.
Quote from: Patrick M. Hausen on January 30, 2025, 06:14:40 PMFür einen einzelnen managed Switch mit Web UI bin ich persönlich ein Fan vom Mikrotik CRS326-24G-2S+IN/RM - den gibt es als Tisch/Regalmodell (IN) oder rackmount (RM).
Aber als Einsteiger würde ich von Mikrotik dringend abraten, die Konfig ist ja nicht wirklich einfach zu verstehen.
Da wäre Unifi doch eher die bessere Wahl.
Quote from: Tuxtom007 on January 31, 2025, 11:19:32 AMQuote from: Patrick M. Hausen on January 30, 2025, 06:14:40 PMFür einen einzelnen managed Switch mit Web UI bin ich persönlich ein Fan vom Mikrotik CRS326-24G-2S+IN/RM - den gibt es als Tisch/Regalmodell (IN) oder rackmount (RM).
Aber als Einsteiger würde ich von Mikrotik dringend abraten, die Konfig ist ja nicht wirklich einfach zu verstehen.
Da wäre Unifi doch eher die bessere Wahl.
Mikrotik Switches mit SwitchOS drauf sind sehr vernünftig bedienbar. Von RouterOS auf dem Switch würde ich abraten, aber deswegen lassen die sich ja auf switchos umstellen.
Anscheinend nicht mehr. Ich hatte neulich einen CRS310-8G+2S+IN, da ist SwOS nur noch ein kleiner Eintrag in der normalen RouterOS-Oberfläche, kein separater Boot von einer alternativen Partition. Um in RouterOS VLANs zu konfigurieren, habe ich (!) 2h und vorher ein einleitendes Video gebraucht, sonst hätte ich mich dabei garantiert ausgesperrt.
Bedanke mich erstmal für alle Antworten 👍
Ich habe mich jetzt erstmal eingelesen und zufällig günstig ein Ubiquiti EdgeSwitch 24 Port mit PoE ergattert.
Würdet ihr mir als reines Modem ein Draytek oder Zyxel empfehlen?
Auch bin ich bei meiner Recherche an AP bei Ubiquiti fast verzweifelt. Welchen nimmt man da?
Habe mehrfach gelesen. Der pro soll besser sein als der Long Range.
Es geht um eine Ebene und benötigt kein 6GHz.
Ich hab mein Zyxel durch einen Draytek Vigor 167 ersetzt, weil der SNMP kann und Zyxel nicht. Lag in der Firma noch unbenutzt rum.
Von dem, was man liest, scheint es mit dem Draytek aber gelegentlich Stabilitätsprobleme an Telekom-Leitungen zu geben. Offiziell supportet, sogar mit eigener Firmware, wird von der Telekom nur Zyxel.
Ich hab mit dem Vigor keinen Ärger und freu mich über SNMP. Wenn du die wenigsten zu erwartenden Probleme haben willst, und eine Telekom-Leitung hast, nimm Zyxel.
Generell ist es aber wohl relativ wurst.