OPNsense Forum
International Forums => German - Deutsch => Topic started by: saveNAT on January 12, 2023, 08:31:04 am
-
Hallo,
ich möchte mein aktuelles Netzwerk aus Fritz Produkten auf ein neues Level heben.
Aktuell habe ich ein Haupt und ein Gastnetz. Die Netze hängen an zwei Switchen (nicht VLAN fähig) und APs.
Da inzwischen einige IP-Außenkameras hinzugekommen sind und mir alles in eine Netz nicht gefällt, möchte ich langsam etwas verändern.
Bei der Neuauflage möchte ich auf verschiedene Netze inkl. VLANs setzten.
Ich habe mir vor ein paar Tagen auf meinem ESXi eine OPNsense mit zwei NICs per Passthrough zum testen installiert.
Leider habe ich nicht mehr als 2 NICs zur Verfügung, aber zum Testen hoffe ich, dass das jetzt kein KO-Kriterium ist.
Ich würde gerne zum Einstig und zum Testen die Fritzbox einfach so lassen wie sie ist und mich hinter ihrem NAT sicher fühlen. Auch eine Exposed-Host Konfiguration möchte ich erst einmal nicht!
Die OPNsense an WAN soll dann hinter der Fritz eigentlich das neue Hauptnetzwerk realisieren und in die verschiedenen VLANs routen und das Routing unter diesen reglementieren.
Ich hab schon viel probiert aber so richtig funktionieren tut es leider nicht.
Um vielleicht doch noch weiter zu kommen hätte ich ein paar Fragen:
1. Macht ein Betrieb hinter der Fritzbox aus eurer Sicht Sinn?
2. Soll dann die Fritz-Box weiter DHCP machen oder die OPNsense?
3. Solange ich an der Fritzbox nichts in Richtung Exposed-Host, Portweiterleitung oder ähnliches aktiviere, kann ich mich zum Internet hin sicher fühlen?
4. Gibt es ggf. ein euch bekanntes Tutorial das ich mir durchlesen könnte und das mir bei der Erstkonfiguration hilft?
-
Hallo,
nur paar kurze Antworten:
1. ja warum nicht - kommt auch drauf an, welchen Internetzugang du hast, du brauchst ja ein Einwahlmoden, das kann die OPNSense nicht in allen Fällen übernehmen.
2. DHCP auf der OPNSense, gerade wenn du VLAN nutzen willst, geht das garnicht anders, die FritzBox kann kein VLAN
3. ja, was nicht offen ist kann auch nicht zur Gefahr werden. Die OPNSense ist per Default aus Richtung Internet auch komplett dicht, solange du keine Firewallregeln erstellst, die das aufheben
4. Nutze den Einrichtungs-Wizard der OPNSense und für den Rest gibt es die Doku und unzählige Youtube-Videos, mehr oder weniger gute.
-
4. Gibt es ggf. ein euch bekanntes Tutorial das ich mir durchlesen könnte und das mir bei der Erstkonfiguration hilft?
mein tipp, nutze die forum suche, alles was du machen willst wurde zig mal hier behandelt.
-
mein tipp, nutze die forum suche, alles was du machen willst wurde zig mal hier behandelt.
Ich kann als Einsteiger sagen, dass das wirklich stimmt. Hier findet man wirklich einiges und bekommt bei speziellen Dingen echt gut geholfen.
-
Eine Frage zur Topologie hätte ich noch.
Die OPNsense läuft aktuell auf dem ESXi Server auf dem auch weiter VMs laufen.
Der ESXi kriegt aktuell sein IP über die Fritzbox per DHCP.
Wäre es jetzt besser den WAN Port der OPNsense über den virtuellen Switch des ESXi-Servers zu realisieren.
Heißt die VMs auf dem Server hängen über den virtuellen Switch wie die OPNsense noch an der Fritzbox.
Oder wäre es besser, wenn ich den WAN Port der OPNsense mit der Fritzbox verbinde und den virtuellen Switch des Servers im Anschluss an den LAN-Port der OPNsense anschließe.
Nachteil wäre hier, dass dann erst die DHCP-Konfig in der OPNsense perfekt funktionieren muss, dass ich den Server wieder erreiche.
-
Oder wäre es besser, wenn ich den WAN Port der OPNsense mit der Fritzbox verbinde und den virtuellen Switch des Servers im Anschluss an den LAN-Port der OPNsense anschließe.
Nachteil wäre hier, dass dann erst die DHCP-Konfig in der OPNsense perfekt funktionieren muss, dass ich den Server wieder erreiche.
Ich denke mal das wäre die bessere Lösung.
Du hast ja vor und hinter der OPNSense unterschiedliche Netze. Und zwischen OPNSense und FritzBox sollte der ESXi da nicht hängen, sondern dahinter.
Aber ich bin ehrlich gesagt kein großer Freund von OPNSense auf einem Virtualsierungs-Host, man baut sich das schnell Probleme ein, die man ohne nicht hätte - meine bevorzugte Lösung ist immer: eigene Hardware für die Firewall.
-
Ja, wenn ich mit OPNsense zurecht komme, dann kaufe ich mir eine dedizierte Hardware.
Aber zum Testen möchte ich jetzt nicht 300-600 Euro ausgeben. Aber ich stimme dir vollkommen zu!
-
Ja, wenn ich mit OPNsense zurecht komme, dann kaufe ich mir eine dedizierte Hardware.
Aber zum Testen möchte ich jetzt nicht 300-600 Euro ausgeben. Aber ich stimme dir vollkommen zu!
Zum testen völlig ausreichend.
Schön wäre es, wenn dein ESX noch einen NIC frei hat. Den würde ich für die WAN Schnittstelle der virtuellen OPNsense nehmen und direkt an die Virtuelle Maschine durchreichen.
-
Ja, wenn ich mit OPNsense zurecht komme, dann kaufe ich mir eine dedizierte Hardware.
Aber zum Testen möchte ich jetzt nicht 300-600 Euro ausgeben. Aber ich stimme dir vollkommen zu!
Zum testen völlig ausreichend.
Schön wäre es, wenn dein ESX noch einen NIC frei hat. Den würde ich für die WAN Schnittstelle der virtuellen OPNsense nehmen und direkt an die Virtuelle Maschine durchreichen.
Danke für den Tipp.
Der Server hat 4 NICs und 3 davon hatte ich frei und die sind jetzt per Passthrough in der Sense.
Also zum Spielen jetzt hoffentlich mehr als ausreichend!