Messages

1

German - Deutsch / Re: privates Netzwerk professioneller gestalten

« on: April 24, 2023, 01:02:38 pm »

Hallo

Ich wollte Berichten wie nun mein Projekt verlaufen ist:

Habe mir zwischenzeitlich sehr viele Netzwerkvideos angesehen, das Buch OPNsense Beginner to Professional ist auch sehr gut.

Als OPNSense läuft ein IPU802, völlig überdimensioniert aber wer weißt was noch dazu kommt.
Stromaufnahme hab ich noch nicht gemessen, wird aber trotz aller Stromsparoptionen ganz schön warm.

Dafür ist super performant, VPN läuft endlich wie gewünscht, Datenzugriff unterwegs als ob man zuhause ist.


Als Accesspoint habe ich einen Unifi pro. Mit wenigen Klicks hat man ein WLAN für jedes OPNSense VLAN.
Die Dokumentation und die Controller Software ist aber eine Frechheit, läuft unter Linux nur mit irgend einer alten MongoDB und Java. Hat mich viele Stunden gekostet bis das Ding funktioniert hat.


Was mir nicht bewusst war, dass scheinbar doch einiges DNS over HTTPS nutzt und sich nicht unter Kontrolle bringen lässt.

Auch unterschiedliche White/Blacklisten je Netzwerk und die Unmenge an Firewall Regeln erstellen/kopieren ist mühsam und unübersichtlich.


Insgesamt bin ich aber sehr zufrieden,eigentlich läuft nun alles wie gewünscht.
Nur der Stromverbrauch ist vermutlich etwas hoch. Werde ich bei Gelegenheit mal messen.

Danke für Eure Hilfestellung!

lg Lukas

2

German - Deutsch / Re: Disable reply-to on WAN rules -> Checkbox aus, kein WAN Verbindung mehr. Warum?

« on: March 26, 2023, 07:19:27 pm »

Hi
Ja platt machen ginge natürlich, damit habe ich schon Übung.
Der interessantere Ansatz ist aber zu verstehen was passiert.

3

German - Deutsch / Disable reply-to on WAN rules -> Checkbox aus, kein WAN Verbindung mehr. Warum?

« on: March 26, 2023, 03:47:42 pm »

Hallo
Ich habe nun seit kurzem eine OPNSense auf einem IPU laufen und versuche diese zu konfigurieren.
Aktuell hängt sie zum Testen noch hinter einem Router, daher habe ich zum bequemeren Arbeiten die Weboberfläche über WAN freigeschalten.

Dazu musste ich die Checkbox Disable reply-to on WAN rules aktivieren.
Mit aktivierter Checkbox geht der WAN-Webgui Login,  auch LAN usw hat Internet Zugang.

Nun würde ich die OPNSense gerne direkt ans Internet hängen und den WAN Webgui Zugriff wieder deaktivieren.

Deaktiviere ich die Checkbox (ich denke default war sie deaktiviert?) geht außer VPN nichts mehr. Kein DNS, nichts kommt rein/raus. Ich sehe keinerlei blocked im Firewall log.

Würde mir bitte jemanden erklären was diese Checkbox macht? Firewall->Settings->Advanced->Disable reply-to WAN rules.

Was muss ich konfigurieren damit der Webgui Login nur über LAN oder VPN(über WAN) geht, nicht  aber WAN und andere Interfaces? Settings->Administration->Listen Interfaces: auf LAN reduzieren sperrt mich komplett aus. Nur Serielle ging noch.

Internet
|
[Router
192.168.1.1]  - [Tablet VPN Client]
|
[OPNSense
WAN 192.168.1.200
LAN 192.168.10.1
IOT 192.168.20.1
...
]

Vielen Dank!

4

German - Deutsch / Re: privates Netzwerk professioneller gestalten

« on: February 27, 2023, 03:54:53 pm »

Hallo

Vielen Dank für alle Eure Antworten!
Am Wochenende habe ich in einem großen Buchgeschäft mal diverse Grundlagen Netzwerkbücher durchgeblättert, denke das meißte kenne ich, ob ich alles verstehe.. vermutlich nicht, aber bei der Anwendung in der Praxis siehts sowieso wieder anders aus.


Ich habe mal versucht alle Teilnehmer in Gruppen einzuteilen:
Gruppe1 Gast:
Firmengeräte (WLAN)
Besucher (WLAN)

Gruppe2 kein-vertrauen mit ad/trackerblocking
Chromecast/TV (WLAN)
WLAN Drucker (WLAN)
IO Selbstbau (WLAN)

Gruppe3 vertraut mit ad/trackerblocking
Handy, Tablet (WLAN)
Notebook (WLAN)
NAS (Kabel)

Gruppe4 Webserver
Projektrechner (Kabel)

Gruppe5 ist zum Entwickeln, nur bei Bedarf auf.

Sieht für mich so aus, als ob ich zumindest 3 WLAN mit je 2 und 5Ghz benötige.
Jede Gruppe könnte ich dann an einen eigenen opnsense Port anhängen.
Praktisch wäre es wenn ein WLAN Accesspoint/Router mehrere Gruppen versorgen könnte, sonst brauche ich 2 weitere Geräte.

Nur wie streamt man in dieser Konfiguration vom Handy auf den Chromecast.
Wer kann den Drucker dann noch nutzen?
MQTT Broker oder DLNA am NAS ist dann auch nicht optimal.
Was erreiche ich per VPN (NAS wäre am wichtigsten)?

5

German - Deutsch / Re: privates Netzwerk professioneller gestalten

« on: February 24, 2023, 09:39:02 pm »

Hallo

Ich habe jetzt mal intensiv nach Literatur gesucht, grundsätzlich lese ich sehr gerne jedemenge Fachbücher aller Art.
Zu Netzwerktechnik finde ich entwender Grundlagenbücher, da kenne ich gefühlt den Großteil. Für die Tiefe wirds dann aber sehr trocken, teuer und meißt >10 Jahre alt oder mies bewertet. Das englische OPNsense Beginner to Professional klingt gut, aber denke soweit bin ich noch nicht.

sehr schwierig, weiß nicht recht wo ich anfangen soll.

Wohne in einer Mietwohnung, die Anzahl an möglichen Kabel ist durch meine Frau und meiner gewünschten Bequemlichkeit begrenzt.
Daher viel WLAN.
Elektronikprojekte laufen auch einfacher über WLAN, ein ESP32 oder USB-Wifi Dongle und ich bin super flexibel in der Entwicklung, wo und wie ich will. Unterwegs Handy Hotspot und das Ding läuft sofort wie zuhause.

Ein P-Hole hatte ich schon, war aber in Kombination mit vermutlich meinen Router-Konfigurations-Fähigkeiten nur Teilweise brauchbar, hab dann ziemlich bald den Pi für anderes genutzt. Aber Ja das wäre auch eine Option.

VLAN Unterteilung wäre schon mal etwas, aber in Kombination mit meinen WLANs überschreitet das mein Umsetzungsverständniss.

Durch die fixe IP und schnellen Zugang wäre meine erste Priorität etwas sicheres als den Asus Router zu installieren, oft übersehen ich, dass es Updates gibt und VPN läuft auch nicht zuverlässig. Als zweite Priorität wäre das Filtern von Tracking, Werbung usw.  weil zum Beispiel IP TV Android Boxen schwer kompatibel zu rooten sind. Da bräuchte ich außerhalb brauchbare Filter. Beim Traffic eines Fire Tv Sticks wird mir schlecht. Der neue Internet Anschluss hat kein Kabel TV mehr, daher muss irgend ein IP TV her.

6

German - Deutsch / Re: privates Netzwerk professioneller gestalten

« on: February 24, 2023, 03:35:42 pm »

Danke für deine Rückmeldung, da sind ja schon einige tolle Hinweise dabei.
Das Forum und Tutorials lese ich schon länger rauf und runter :-)
Gibt es vielleicht eine Literatur Empfehlung für erweiterte Netzwerktechnik?
Vielen Dank!

7

German - Deutsch / privates Netzwerk professioneller gestalten

« on: February 24, 2023, 01:56:18 pm »

Hallo

Nach vielen Jahren des Wartens ist bei mir nun ordentliches Internet mit 500Mbit up/down verfügbar, sogar mit fixer IP4 wenn ich das möchte.
Der Anschluss ist gelegt, nun würde ich das gerne zum Anlass nehmen und meine Netzwerkstruktur überarbeiten.
Opensense klingt für mein Vorhaben sehr verlockend.

Anbei befindet sich ein Plan meines aktuellen Netzwerkes.

Ich habe einiges an Erfahrung im Bereich Elektronik, Software, Linux,..  leider nicht so viel Ahnung von Netzwerktechnik.

Meine Wünsche:
Mir ist Datenschutz wichtig, ich möchte die Möglichkeit haben Tracker, Werbung usw. für bestimmte Teilnehmer zu limitieren oder spezifisch (z.B. NAS Update) nur eine white list zuzulassen.
Die meisten meiner Geräte laufen unter Linux oder sind entsprechend modifizert (root, adblock,...).
Leider ist das nicht überall und vollständig möglich z.B. Chromecast, Drucker, Besucher, initiale Einrichtung oder Reparaturen usw.

Bisher habe ich 2 Asus WRT Merlin Router in verwendung. Firmen Notebook, Chromecast usw. hängen im getrennten Gastnetzwerk.

Nun habe ich aber noch einige selbstgebaute Geräte (Raspi, ESP32 usw.) die eventuell ein Sicherheitsthema sind.
VPN Zugang zum NAS und eventuell weiteres wäre auch wichtig.
Früher hatte ich auch auch einen öffentlichen Webserver laufen, das wäre auch wieder interessant.

Macht Opensense für mich Sinn?
Wie würdet Ihr das Netzwerk strukturieren?
Welche Hardware benötige ich?
Wie setze ich WLAN am besten um, ein IPU6xx hat ja zum Beispiel höchstens eine PCIe Wlan Karte oder USB Stick? Genügt das?
Könnt Ihr mir Begriffe, Literatur nennen in die ich mich einlesen kann?
Kann ich das mit meinem Wissen überhautp sicher umsetzen (sicherer als ein Asus WRT)?

Vielen Dank für Eure alle Tipps und Ratschläge!

Lukas