OPNsense Forum
International Forums => German - Deutsch => Topic started by: fapo on November 30, 2019, 09:40:20 am
-
Hallo zusammen ich bin der Neue ;)
Als Wan Anschluss habe ich eine 400/40 Dual Stack Anbindung von Unitymedia bis früher hing dort eine Fritzbox welche einigermaßen ihren dienst für alles erledigt hat.
Leider hat AVM mit dem Letzten Firmware Update die Internetverbindung so verschlechtert das ich mir ein TC4400 Modem besorgt habe.
Die Umstellung hat auch nur einge verwirrte Suport mitarbeiter und 5 Tage gedauert.
Bisher hatte ich ein VLAN für das gesamte hausnetz und ein VLAN welches in der Fritzbox das Gast Lan war welches fast nie benutzt wurde.
Eigentlich war der plan direkt vom modem über ein Vlan auf einen Windows Server 2012R2 zu gehen und dort eine Virtuelle Firewall zu betreiben.
Leider war die Leistung total Schlecht. Speedtest wie auch ping waren ok, allerdings war der Seitenaufbau Total Langsam.
Ich habe mir dann von meinem Arbeitgeber einen kleinen mini pc mit 2 Netzwerk Schnittstellen ausgeliehen und mit hilfe eines einfachen debian erstmal das Internet gerettet.
Aufgrund der Lautstärke, Stromverbrauch und erfahrung würde ich gerne eine Zotac Zbox CI329 veruschen welche sich derzeit irgendwo in einem dhl Fahrzeug befindet.
Diese müsste Ausreichend rechenleistung bieten, allerdings nur 2 Netzwerk Schnittstellen.
Als Switch kommt ein HP ProCurve 1810G - 24 GE zum einsatz.
Derzeit überlege ich mir ob es eine gute idee ist vom Modem erstmal in dem Switch(eigenes VLAN) zu gehen von dort ein Trunk (Link Aggregation) in die ZBox und in opensense sowohl WAN wie auch WLAN über VLAN zu realisieren.
Anbei eine Zeichnung.
WAN / Internet
:
: Cable- Unitimedia 400/40 Dual Stack
:
.-----+-----.
| TC4400 | CableModem
'-----+-----'
|
VLAN 99 Untagged
|
.-----+-----.
| Switch |------------Komplette Heimnetz incl Verschiedene VLANS
'-----+-----'
||
|| Trunk VLAN Tagged
||
.-----+-----.
| OPENsense| Zotac Zbox CI329
'-----+-----'
Die frage ist jetzt ob ich mir da etwas gutes ausgesucht und überhaupt so vernünftig zu lösen ist?
-
Ich habe auch die zBox ci329. Nutze allerdings einen VDSL Anschluss mit Draytek Vigor Modem.
Theoretisch könnte es funktionieren, alles über eine Ethernetschnitstelle laufen zu lassen und nur per VLAN zu trennen. Aber warum solltest man das machen? du hast ja extra die Ci329 wegen der zwei physikalischen Ethernetanschlüsse gekauft. Bei mir rennt Opnsense wunderbar mit einem Anschluss am WAN zum Modem und dem anderen zum Switch für das interne LAN. Switch habe ich zwei billige Smart Managed TP-Link und habe damit auf LAN Seite auch 10 VLANs um unterschiedliche Geräte auch intern voneinander abzuschirmen. WLAN läuft auf der fritzbox 4040 mit Openwrt als Firmware. Diese kann MultiSSID und unterstützt es auch die SSIDs unterschiedlichen VLANs zuzuordnen.
Edit: sorry habe irgendwie ignoriert, dass du Link aggregation machen willst. Dazu kannnich nicht viel sagen, das habe ich nicht getestet.
-
Eigentlich war der plan direkt vom modem über ein Vlan auf einen Windows Server 2012R2 zu gehen und dort eine Virtuelle Firewall zu betreiben.
Leider war die Leistung total Schlecht. Speedtest wie auch ping waren ok, allerdings war der Seitenaufbau Total Langsam.
Das ist erstaunlich, denn so ein Setup ist nicht unüblich. Auch hier läuft u. A. eine OPNsense in Hyper-V auf einem Windows Server 2012 R2, und zwar auf ziemlich betagter Hardware. Falls der Server sowieso vorhanden ist und immer läuft würde ich das nochmal angehen.
Machst Du das VLAN-Tagging in Hyper-V oder direkt in OPNsense? Würde immer ersteres empfehlen.
Ob sich Link Aggregation hier lohnt ist fraglich. Bringt auf jeden Fall mehr Komplexität in den Aufbau und das sollte gerechtfertigt sein. Es hätte nur dann einen Vorteil, falls Du sehr viel gerouteten Traffic zwischen den verschiedenen LANs hast. Dann würde ich es testen. Anderenfalls: Ein Port für das WAN und einer für die LANs. Ob Du das Modem direkt an die OPNsense hängst oder über den Switch gehst ist dann egal.
Grüße
Maurice
-
Der Server läuft immer, und hat eignetlich genug resourcen frei.
Arbeit ist nicht wirklich drauf nur paar vm's.
Das komische ist, egal welche Firewall distribution oder auch ein normales debian war immer das selbe Problem.
Vlan Tagging macht der Hyper-V
Langfristig wollte ich das Vlan Tagging auch ins Wlan ziehen.
noch macht mein wlan avm und die Können sowas nicht.
Jetzt ist eingeltlich nur ein gast netz wo nur selten etwas angeschlossen ist aktiv.
Aber irgendwie komme ich mit der Opnsense firewall leider auch nicht richtig zurecht (derzeit auf Hardware).
ich sehe immer wieder geblockte ipv6 Packete und merke das vorallem im Wlan seitenaufrufe teilweiße extrem Langsam sind.
bei Gotomeeting ist auch die webcam eine diashow.
Irgendwie alles ganz komisch.
Vorallem wieso blockt die Firewall wenn eine regel falsch ist nicht alles immer.
-
ich sehe immer wieder geblockte ipv6 Packete und merke das vorallem im Wlan seitenaufrufe teilweiße extrem Langsam sind.
Wenn die ipv6 Pakete nicht explizit erlaubt sind werden diese geblockt.
Der langsame Seitenaufbau könnte ein DNS Problem sein.
Vorallem wieso blockt die Firewall wenn eine regel falsch ist nicht alles immer.
Alles was nicht durch eine Regel erlaubt ist, wird geblockt.