Messages

Zu deinen Hardwareüberlegungen: Wenn du demnächst sowieso Glasfaser bekommst kannst du auch gleich die Fritz-Box für Internet und Telefonie nutzen. Du brauchst keinen seperaten DSL-Router.
In der OpenSense must du nur die Ports für Telefonie aus deinen Internen Netzen bis zur Fritz-Box schalten.

Ob du VLANs auf deinen Switchen nutzen willst oder mit mehreren pysikalischen Ports arbeitest sollte davon abhängen wie sicher du dich in den einzenen Konfigurationsinterfaces fühlst.
Der OpenSense ist es egal, die kann beides auf den pysikalischen Kabeln.

Wie meinst Du das "die Fritzbox für Internet benutzen"? De Fritzbox vereint ja DSL Modem, Router, AP und Telefonie (SIP, DECT, ...). An die Glasfaser kommt ja letztlich ein LWL Modem und von dort geht's in einem Router mit AP und Telefonie. In alter Wohnung war es bei uns auch eine Fritzbox am LWL-Modem. Die Router-Funktion fällt ja so oder so weg, da OPNsense das Routing (NAT und Co) übernimmt. Die Fritzbox würde ich lediglich als DECT-Basis beibehalten zumal ich weiß, wie ich von meinem IP Telefon mich an der Fritz anmelden kann ohne direkt mit dem Telekom SIP Server verbinden zu müssen. Von dem SIP Kram habe ich absolut keine Ahnung. Ich möchte letztlich sowohl das IP Telefon, als auch das ein oder andere Schnurlose Telefon mit gleicher Nummer nutzen. However, das funktioniert soweit alles.

Mit VLAN bin ich mich noch am Einlesen. Da Schwiegereltern PC, Drucker und Fritzbox nebeneinander stehen haben, reicht theoretisch eine feste Zuordnung dieser einen Leitung. Es kommt das Aber: die APs können mehrere WLANs aufspannen. D.h. die müssen ja getagged werden, damit alle WLAN Geräte von Eltern nur untereinander kommunizieren können usw.. Da muss ich mich noch einlesen, wie man getaggte und ungetaggte VLANs verbinden kann/muss/darf.

Egal wo sie läuft oder steht, ist sie immer EIN Teil deines Netzwerkes. Und wo sich der OPNsense Noob (Zitat OP) verkonfiguriert ist dann auch egal.  ;)

Prinzipiell bin ich bei dir, aber @Home reißt das IoT- und/oder Smarthomegedöns, billige Chinahardware, halbgares Foren- und fehlendes Netzerkgrundlagenwissen wahrscheinlich größere Sicherheitslöcher ins Netzwerk, als du mit der Sense auf eigenem Blech oder virtualisiert je stopfen könntest.

Das Leben ist nie ohne Risiko. Und gerade weil es eben ein Sicherheitsrisiko darstellt, macht es umso mehr Sinn, IoT in separates Netzwerk auszulagern. Ich freue mich immer wieder fehlerfreie Menschen kennen zu lernen. Und natürlich ist schnell behauptet, dass jemand kein Netzwerkgrundlagenwissen hat, ohne denjenigen überhaupt zu kennen. Auch wenn ich Informatik studiert habe, muss ich gewiss nicht wissen, ob ein NIC, der fest an einer virtuellen Maschine zugeordnet ist, ein Angriffsvektor für den VM-Server sein kann oder ausschließlich für die zugeordnete VM. Dafür ist der Bereich Informatik in den letzten Jahren etwas zu komplex geworden, dass man alles Wissen kann.

Halbgares Forenwissen ist seit jeher schon ein Problem. Da gebe ich Dir recht. Hier bleibt einem sowieso nur über, viele verschiedene Beiträge zu lesen, recherchieren und Versuchen die Schnittmenge auf Plausibilität mit eigenem Wissen oder z.B. Manuals abzugleichen. Natürlich kann man auch jemanden Beauftragen alles einzurichten/konfigurieren, aber auch derjenige kann unter Umständen die Firewall verkonfigurieren - Zahlendreher, falsche Checkbox, falsches Protokoll gewählt, falsche Pen-Tests...

In dem Sinne sollten wir uns doch eher auf gegenseitige Unterstützung konzentrieren, anstatt das Staubkorn auf der Ablage zu suchen. ;-)

VG

HomeAssistant läuft bei mir super gut als VM unter Proxmox. Meine Smarthome-Hardware ist aber auch per LAN-Interface angebunden, was ich eh für die bessere Lösung halte als USB-Sticks. ( Zigbeee & Homematic )

OPNSense auf Proxmox, da bin ich überhaupt kein Freund von, die läuft bei mir auf eigner Hardware VOR meinem restlichen Netzwerk und nicht auf einem Server IN meinem Netzwerk.

Ja, wegen dem Punkt, dass es auf einem Server IN dem Netzwerk läuft, bin ich da auch eher skeptisch. Mit was für ein LAN Interface hast Du BLE, Zigbee und Homematic gebridget?

VG

Ja, danke! Habe bei dem IPU Rack gerade gesehen, dass die nur 2 USB Ports hat: HMip Stick, ZigbeeStick und schon fehlt der USB Port für den BLE Stick.

Also dann bleibt's erstmal so: ein oversized N305 für Opnsense mit Draytek Modem vorweg und fertig. Und dann muss ich schauen, ob ich irgendwann mal einen Proxmox hinstelle, wo ich Omada, HomeAssistent, Webserver etc. installieren kann.

VG

Vielleicht noch eine ergänzende Frage: wäre es sinnvoll doch eine IPU zu nehmen, dort Proxmox installieren und  dann HomeAssistent und opnsense als VMs? Zu betreiben? Ich spare dann sicherlich in der Summr etwas Strom... Aber ist Opnsense in einer Proxmox Maschine sinnig oder sollte man opnsense wirklich immer separat auf eigener Hardware installieren, um eine physikalische Trennung zu haben? In dem Fall würde ja doe Proxmox-Maschine direkt mit dem Modem verbunden sein...

VG

Hey meyergru!

Ja, dann bin ich gut davor. Für die NAS/Switch nutze ich wegen dem Stromverbrauch ein DAC Kabel. Die LWL kommt nur bei der entfernten Verbindung zum Tragen. Ein RJ45 wäre am Ende von der Entfernung vielleicht noch möglich, aber grenzwertig. Die APs  (und Kameras) dort benötigen keine Highspeed aber mir geht es hier um eine NAS Backup-Lösung (räumliche Trennung).

Das Port Trunkig ist/war nur eine Option. Ich glaube nicht, dass der Bedarf da entstehen wird, zumal ich das NAS vorher mit einem SSD/NVME Cache erweitern müsste.

VG

Ja, die 100 Euro-Box ist der Hit. Aber die Ethernet Anschlüsse sind das Ko Kriterium - klar, es kommen aktuell nur 100 DSL an, aber die Netze untereinander sollen schon mit 2.5G fahren können. Habe einen Beelink N100 als HomeAssistent Server laufen.

Da war ich zu gierig und schnell. Aber glücklicherweise kostet Speicher und RAM ja nicht so viel. Wer weiß, was noch alles spannende auf den Markt kommt. Gerne möchte ich auch noch einen mini Apache/MySQL/PHP Server laufen lassen. Mal sehen, ob ich das damit zusätzlich kann. Auch muss ich mir das Proxmox anschauen, wo von an jeder Ecke geredet wird.

Versuche das gesamt Netzwerk mit 2.5G zu fahren, wobei NAS/Switch mit 10G angeschlossen ist (20G Trunk möglich) und ich noch eine 10G LWL in die Scheune legen will. Die IPUs hätte ich gerne, aber es sind halt locker 300 Euro Aufpreis. Mehr bekomme ich i5 statt i3 N305, allerdings DDR3 statt DDR5 und 6x2.5G statt 4x2.5G und ein cooles Rack Gehäuse - passend für mein Rittal-Rack. Bei zwei zusätzlichen SFP+ hätte ich es mir wirklich überlegt, aber so kommt das Desktop-Case mit 2 professionellen Kabelbindern auf einen Auszug. ;D Oder übersehe ich etwas so elementar Wichtiges, wofür ich die 300 locker machen sollte? Aktuell habe ich so ein Hunsn RJ35 (i3 N305, USB 3, 4x i226-V 2.5G, DP, HDMI...) bestellt...

VG

Vielen Dank für den Tipp!

Dann bin ich mit meiner bisherigen Vermutung (Barebone) ja auf dem richtigen Weg gewesen. Das Video habe ich durch Zufall gerade auch gesehen.

Dann werde ich wohl zu einem N305 mit 32 Gb RAM, 1 TB NVME und 4x2.5G sowie dem Draytek Vigor167 greifen. Mal sehen, ob ich es hinbekomme die verschiedenen Netze mit den unterschiedlichen IP-Ranges (DHCPs) und VLANs einzurichten. ::)

VG

[Was möchte ich?]

Hey!

Ich bin im Bereich Opnsense ein absoluter Noob und benötige etwas Hilfe.

Was möchte ich?
Ich möchte unser Hausnetzwerk durch eine Firewall (ggf. AdFilter) laufen lassen und dann splitten. D.h. die IoTs sollen ihr eigenes WLAN/LAN mit eigener DHCP Range bekommen, genauso wie die Eltern, wir, ggf. Kinder und Gäste. Für die VoIP/DECT wird eine Fritzbox genutzt, wobei alle IP Telefone (egal aus welchem Netzbereich) sich bei der Fritzbox immer anmelden können müssen. Genauso soll z.B. das Drucken übergreifend und die Bedienung von HomeAssistent (NUC) möglich sein.

Welche Hardware ist vorhanden?
Die Telekom liefert aktuell VDSL (100/40). Die Glasfaser ist schon eingeblasen, aber der Rest dauert noch... Am DSL hängt die FritzBox 7590AX. Hinter der Fritzbox sind die Switche TL-SG3428XPP-M2 und TL-SG2210P, ein OC200 (Omada Controller) sowie mehrere EAP660HD (AccessPoints) angeschlossen. Dazu das Übliche (NAS, Hue Bridge, NUC mit HomeAssistent...).

Wie geht's weiter
Nun stellt sich für mich die Frage, wie kann ich weiter vorgehen und welche Hardware benötige ich noch?! Wenn ich es richtig gelesen habe, benötige ich auf alle Fälle ein DSL Modem (Draytek Vigor 165)?! Dahinter müsste eine Hardware kommen, wo Opnsense mit dem vollständigen Routing für alle unterschiedlichen Netze/DHCPs läuft?! An dieser Hardware käme der ganze Rest via (un)tagged VLAN sowie die Fritzbox für das VoIP.

Die aktuellen AccessPoints können bis zu 2x8 WLANs (2.5G tagged VLAN) aufspannen.

Das NAS (QNAP TVS882) ist aktuell via SFP+ mit 10G angebunden. Grundsätzlich würde ich den Eltern, uns und den Kindern dort Speicherplätze einräumen wollen. Würde man das über VLAN und Co lösen oder lieber jedem Netzbereich mit einem 1G Ethernet Kabel separat verbinden? (Habe ja 4x 1G und 2xSFP+10G) Achja, im Verlauf soll via SFP+/LWL ein etwas entfernter Switch in Betrieb genommen werden, wo ein physikalisches Backup-NAS steht und mehrere APs sowie Kameras angeschlossen werden.

Alles in allem ein vermutlich einfaches Setup. Es sind aber die Kleinigkeiten, die das Leben als nicht Netzwerker schwer machen, auch wenn ich Informatiker bin. :-)

Also welche Hardware fehlt mir und/oder habe ich ein Gedankenfehler?!

Vielen Dank für Eure Hilfe im Voraus! 🙏