Messages

Thanks for the tips and explanations.
---> About the RTL boards, I just got the cheapest (used) ones advertised here in my city. Overall, I got a total of items that, added together, cost me R$500.00 (~US$82.00) because the planners learned more before investing in hardware with better CPUs and PCIe i226 NICs. Yes, RTL is really scary, I had no problems using it for internet browsing, however, when using it for large transfers on the internal network, it was unsuccessful with files/folders larger than 4GB.
---> About the switch, I found it for a good price on Aliexpress, but I assumed that the VLAN network isolation would occur exclusively in the OPNSense settings so that there would be a way for the networks to communicate through the switch after isolation through the software. So, I'm wrong about VLAN isolation, right?

Good morning everyone, I would like to thank the community because it was with the content posted on the forum that I was able to advance in my firewall studies and start developing something more meaningful and efficient for my business and work. However, I still have questions that I have not been able to answer and I am asking for help from the community once again.

In this topic, I present my configuration and initial learning scenario (with the intention of replacing it in the future with something more robust and not necessarily professional).
*I'm using Google Translate*

---//---//---//---

I - Scenario:
---->a) I live in a loft house integrated with my offices (private lessons) and my wife's (lawyer);
---->b) the environment is not physically large, but there are many walls and so I plan to use at least three routers (without DHCP).

II - My limitations:
---->a) I am a beginner and therefore I cannot make OPNSense my only/main router (but I will still do so);
---->b) the providers of large internet companies in Brazil do not provide a good service in my region (constant instability), so we signed up for an internet plan from local third parties who provide better quality, however, they do not allow access to the configurations of these devices (not even in the pitiful "business plans" offered, forcing you to call/charge for any changes that may be made), therefore, I cannot configure a specific IP for OPNSense and try to do all the work through a second network of my own router (my own).

III - My settings (Hardware):
---->a) a Gigabyte miniPC with GA-H110MSTX-HD3 motherboard (rev. 1.0)
---->b) G4560 processor, 8GB RAM (2x4GB)
---->c) 256GB M.2 SATA SSD + 2TB (2x1TB) HDD
---->d) NIC on the motherboard + 2.5G NIC on the M.2 Wifi slot (model rtl8125bg - OPNSense LAN) + NIC on USB 3.0 (model RTL8153 - Home Assistant LAN)
---->e) 2 TP-Link routers (one Archer C20 and WR840N), Cat6 cables and an Ethernet Switch (Tenda-SG105M).

IV - Observations:
---->a) so far there have been no hardware recognition problems;
---->b) everything runs in virtualization on Proxmox, I do not want there to be a virtual connection between the OPNSense virtual machines and Ubuntu Server (with Home Assistant) and I do it only physically by connecting the USB NIC to the Switch (I find it more convenient to have fewer interfaces to manage by focusing only on the physical interfaces),
---->c) for now (given my lack of knowledge) all routers (including the one on the internet plan) have their Wi-Fi turned on to avoid problems until I can get a definitive configuration.

V - Physical configuration plan/topology (See image):

R1: this is my personal router (to manage everything)
R2: this is my router for cameras and other smart devices (without internet access)
R3: this is the router I want to dedicate to office clients (to only access the internet, it will be isolated from other networks).

VI - OPNSense configuration (with VLANs)
----> LAN IP (default)-> 10.0.1.1:10443 (access to the OPNSense GUI)
----> My intention is to create 2 VLANs so that Home Assistant and Router R1 connect to the default LAN and can see and see everything that is connected to router R2;
----> I want to prevent router R2 from accessing the internet, only. ----> I want to allow Router R3 to access the internet but not see anything related to other devices (isolate it from the VLANs and the default LAN) so that I can still see it accessing the LAN through R1.

VII - What I've done
----> I managed to configure everything until R1 connected to the internet and kept all routers as "Dumb-AC"
----> I created 2 VLANs with IP ranges completely different from the default (vlan0.20: 192.168.20.1 for R2 and vlan0.30: 192.168.30.1 for R3), with IP suffixes ranging from 100 to 199 and linked to the same NIC of the default LAN, because that's what I understood to be the Trunk method.

VIII - My difficulties/problems and doubts
----> I can't connect any of the routers to the VLAN networks; ----> at some point, by insistence, I managed to test the R1 router in vlan0.30-192.168.30.1, but I was not successful in accessing the internet;
----> I have doubts as to whether these problems are limitations of the routers and/or switches, or whether it is due to the fact that I did not apply the settings correctly in OPNsense.

bom dia a todos, desde já agradeço a comunidade pois foi com os conteúdos postados no fórum que consegui avançar em meus estudos de firewall e começar a desenvolver algo mais significativo e eficiente para meus negócios e trabalho, entretanto ainda carrego dúvidas que não consegui responder e venho solicitar a ajuda da comunidade mais uma vez.

Nesse tópico, trago minha configuração e cenário iniciais de aprendizado (com intuito de substituí-la futuramente por algo mais robusto e não necessariamente profissional).

---//---//---//---

I -Cenário:
---->a) moro numa casa loft integrada aos escritórios meus (aulas particulares) e de minha esposa (advogada);
---->b) o ambiente não é fisicamente grande, mas há muitas paredes e por isso planejo usar, pelo menos, três roteadores (sem DHCP).

II - Minhas limitações:
---->a) sou iniciante e por isso não posso tornar o OPNSense meu roteador único/principal (mas ainda o farei);
---->b) os provedores de grandes empresas de internet no BR não entregam um bom serviço na minha região (instabilidade constante), por isso, assinamos um plano de internet de terceirizados locais que o fazem com maior qualidade, porém, eles não permitem o acesso às configurações desses equipamentos (nem mesmo nos pífios "planos empresariais" oferecidos forçando a chamar/cobrar por quaisquer modificações que se façam necessárias), logo, não consigo configurar IP estático para o OPNSense e tento realizar todo o trabalho por uma segunda rede de um roteador próprio (meu).

III - Minhas configurações (Hardware):
---->a) um miniPC Gigabyte com placa-mãe GA-H110MSTX-HD3 (rev. 1.0)
---->b) processador G4560, 8GB de RAM (2x4GB)
---->c) 256GB de SSD SATA M.2 + 2TB (2x1TB) de HDD
---->d) NIC da placa mãe + NIC 2.5G no slot M.2 Wifi (modelo rtl8125bg - LAN do OPNSense) + NIC no USB 3.0 (modelo RTL8153 - LAN do Home Assistant)
---->e) 2 roteadores TP-Link (um Archer C20 e WR840N), cabos Cat6 e um Switch Ethernet (Tenda-SG105M).

IV - Observações:
---->a) até o momento não houve problemas de reconhecimento de hardware;
---->b) tudo roda em virtualização no Proxmox, não desejo que exista conexão virtual entre as máquinas virtuais do OPNSense e o Ubuntu Server (com o Home Assistant) e o faço apenas fisicamente conectando a NIC do USB no Switch (acho mais conveniente ter menos interfaces para gerenciar focando apenas nas interfaces físicas),
---->c) por hora (em vista de minha falta de conhecimento) todos os roteadores (inclusivo o do plano de internet) ficarão com wifi ligados para evitar transtornos até que eu consiga uma configuração definitiva.

V - Plano de configuração física/topologia (Vide imagem):


VI - configuração do OPNSense (com VLANs)
----> IP da LAN (padrão)-> 10.0.1.1:10443 (acesso à GUI do OPNSense)
----> Minha pretensão é criar 2 VLANs de modo que o Home Assistant e o Roteador R1 se conecten à LAN padrão e possam se enxergar e enxergar tudo que está conectado no roteador R2;
----> Quero impedir o acesso do roteador R2 à internet, apenas.
----> Quero Permitir que o Roteador R3 acesse a internet mas não enxergue nada relacionado aos demias dispositivos (isolar ele das VLAns e da LAN padrão) de modo que eu ainda consiga enxergá-lo acessando a LAN pelo R1.

VII - O que já fiz
----> consegui configurar tudo até fazer o R1 se conecatar à internet e mantendo todos os roteadores como "AC-Burro"
----> criei 2 VLANs com faixas de IP completamente diferentes da padrão (vlan0.20: 192.168.20.1 para o R2 e vlan0.30: 192.168.30.1 para o R3), com sufixo de IP indo de 100 até 199 e vinculadas à mesma NIC da LAN padrão, pois foi isso que entendi ser o médotodo de Trunk.

VIII - Minhas dificuldades/problemas e dúvidas
----> não consigo conectar nenhum dos roteadores às redes VLAN;
----> em algum momento, por insistência, consegui testar o roteador R1 na vlan0.30-192.168.30.1, mas não obtive sucesso em acessar a internet;
----> estou em dúvida se esses problemas são limitações dos roteadores e ou switch, ou se é sobre o fato de não ter aplicado corretamente as configurações no OPNsense.

Sou Jonathan Yuri C. A. Ferreira - Brasileiro, natural da UF Mato Grosso do Sul. Entrei nessa comunidade apenas porque gosto do universo da tecnologia e tenho muito interesse na integração do opnsense com home assistant e demais coisas relacionadas à smarthouse. Comecei a estudar sobre opnsense há menos de 2 semanas, quando ainda cogitava o uso do openwrt.