Suche Lösungsansatz

[c.radi]

Hallo,

ich bin Christian und neu hier, und recht unerfahren im Router und Netzwerkumfeld.

Aktuell betreibe ich eine FritzBox mit Telekom-Anschluss. Daran angeschlossen sind mehrere WLAN Access Points von AVM (1760) und ich nutze die FritzBox für Telefonie auf Basis von DECT.
Im Netz bei mir befindet sich ein Synology NAS, sehr viel SmartHome Geräte, Drucker, und einige Sonos Komponenten. Also ein ordentlicher Zoo. Die FritzBox zeigt ca. 70 Geräte an.

Vom Grundatz her reicht mir die FritzBox von Ihren Funktionen aus, aber...

Ich habe Anforderungen, die ich so nicht umgesetzt bekomme:

• Ich habe ein zweites NAS bei einem Freund stehen, es soll als Backup außer Haus für mein NAS dienen. Ich bekomme dort aber keine Portfreigaben, somit muss sich das Remote-NAS aktiv zu mir connecten.
  
• Ich möchte mich von extern in mein Netz verbinden können. Dazu hätte ich gerne mehrere VPN Zugnagsmöglichkeiten, weil nicht immer alle funktionieren. Also IPSec, openVPN und vielleicht Wiregurard
• Ich würde gerne, sobald ich in meinem Netz eine IP Adresse eines fremden Netzes aufrufe, dass automatisch dahin eine VPN Verbindung aufgebaut wird. Also zB wenn ich eine Adresse bei meinen Schwiegereltern aufrufe, soll dort hin ein Tunnel aufgebaut werden. Wenn keine Daten mehr übertragen werden, kann der Tunnel wieder geschlossen werden

Damit das aber einfach wartbar bleibt würde ich gerne die FritzBox behalten. Denn die kann jeder bedienen, und man bekommt im Falle eines Defekktes auch schnell Ersatz. Backup einspielen, und man ist in wenigen Minuten wieder online. Das bekommt meine Frau auch mit telefonischer Anweisung hin, oder jeder IT Dienstleister, der privathaushalte unterstützt.

Ich hatte bereits ein komplexes Netzwerk auf Basis von Unifi mit VLAN usw. aber durch einen HW Defekt stand mal eben das ganze Haus still. Ersatz war am WE nicht zu bekommen, und es hätte nie jemand ans laufen bekommen, wenn ich nicht da gewesen wäre. Diese Erfahrung möchte ich nicht machen, wenn ich nicht da bin, was leider häufig vorkommt.

Bin ich mit meiner Anforderung bei opnsense richtig?
Ich habe ein AlixBoard hier, und könnte damit starten.

Wie sähe der Anschluss und eine mögliche Konfiguration aus?

Ich erwarte nicht eine ausfühliche Anleitung, sondern eher in Stichworten, was einzurichten ist, durch den Rest kämpfe ich mich dann schon durch oder stelle mal gezielt eine Frage.

VIelen Dank für die Unterstützung.

Gruß
Christian

[lfirewall1243]

Hi Christian ,

ich bin selbst noch OPNsense Neuling, hoffe ich kann dir trotzem etwas helfen.

1.
Dein Vorhaben sollte man im Grunde eigentlich mit OpenVPN realisieren können.
Da meines Wissens der NAS Speicher auch Opnvpn unterstützt kannst du diesen ja wahrscheinlich direkt per VPN mit deinem NAS verbinden.

2.
IPsec und OpenVPN wird beides unterstützt, daher sollte bei richtiger konfiguration eigentlich immer eine Lösung funktionieren

3.
Zu Punkt 3 ist mir keine Lösung bekannt, kannst aber auch mit OpenVPN eine Client Vernetzung sowie Standort Vernetzung nutzen, dies auch parallel.


Ich hoffe ich konnte dir etwas helfen.
Falls noch Fragen sind, immer her damit.


Beste Grüße

[JeGr]

> Ich habe ein zweites NAS bei einem Freund stehen, es soll als Backup außer Haus für mein NAS dienen. Ich bekomme dort aber keine Portfreigaben, somit muss sich das Remote-NAS aktiv zu mir connecten.

Oder du baust ein VPN zu dem Freund auf und verbindest darüber. Wäre eh zu empfehlen.

> Ich möchte mich von extern in mein Netz verbinden können. Dazu hätte ich gerne mehrere VPN Zugnagsmöglichkeiten, weil nicht immer alle funktionieren. Also IPSec, openVPN und vielleicht Wiregurard

Sehr selten(!), dass bspw. OpenVPN nicht funktioniert, und dafür kann man ggf. die Ausweichlösung mit Konfiguration auf Port 443/tcp machen, die in den meisten Fällen dann rauskommt. Aber sofern du nicht in aller Herren Länder rumfährst und dort die Probleme hast - zumindest aus DE hatte ich mit OVPN noch nie ein Problem mein VPN zu rufen.
IPSec, OVPN und Wireguard alles zu haben ist vielleicht nett, wäre mir aber viel zu viel Overkill, zumal gerade mobile-IPSec auch nicht gerade einfach zu konfigurieren ist IMHO und je nach Gerät wieder unterschiedliche Anforderungen hat.
Den Wireguard Hype kann ich nicht ganz nachvollziehen, ich finde es natürlich schön, dass sich da was Neues an der VPN Sphäre tut, das auch schöne Funktionen bietet, aber solang ein VPN (P!) noch Alpha Status hat und die Entwickler selbst darauf hinweisen, dass sich viel ändern kann und es nicht als "stable/release" genutzt werden sollte - sorry. Vor allem muss ich mir da vor den Kopf schlagen, wenn mich Firmen bei OPNsense Setups dann darauf ansprechen, dass das ja toll und neu und hipp und total viel könnte - aber keine Ahnung haben, dass das noch unter heftiger Entwicklung ist.

> Ich würde gerne, sobald ich in meinem Netz eine IP Adresse eines fremden Netzes aufrufe, dass automatisch dahin eine VPN Verbindung aufgebaut wird. Also zB wenn ich eine Adresse bei meinen Schwiegereltern aufrufe, soll dort hin ein Tunnel aufgebaut werden. Wenn keine Daten mehr übertragen werden, kann der Tunnel wieder geschlossen werden

Was stellst du dir da vor und wie soll das funktionieren? Mit _was_ soll denn ein Tunnel aufgebaut werden? Vielleicht ist das auch nur ein Verständnisproblem aber so macht die Anfrage gerade überhaupt keinen Sinn. Ein VPN Tunnel braucht immer eine Gegenstelle. Du kannst ja nicht einfach zu jeder x-beliebigen Adresse im Internet jedes Mal nen Tunnel aufbauen (wozu auch!?).

> Damit das aber einfach wartbar bleibt würde ich gerne die FritzBox behalten.

Das was du oben möchtest, funktioniert aber mit keiner FritzBox

>  Diese Erfahrung möchte ich nicht machen, wenn ich nicht da bin, was leider häufig vorkommt.

Wenn du komplexere Funktionen möchtest (siehe oben), wirst du IMMER an einen Punkt kommen, an dem das eben kein Hobby-Admin wie die werte Gattin mehr bedienen kann (außer man lotst sie telefonisch durch). That's life. Wenn das die Vorgabe ist, würde ich bei der FB bleiben, du wirst sonst immer Mal solche Tage haben. Auf der anderen Seite habe ich schon seit 10+ Jahren eine Sense im Schrank, HW nie gestorben, etc. - kommt eben drauf an was und wie mans macht

> Ich habe ein AlixBoard hier, und könnte damit starten.

Wenn du wirklich(!) eine ALIX meinst und keine APU (sicher?) dann: nein. Lass es sein. Die Alix ist einfach zu alt und hat zu wenig Feuer.

> Wie sähe der Anschluss und eine mögliche Konfiguration aus?

Das hängt davon ab, was du jetzt konkret möchtest. Einerseits schreibst du, dass du die FB behalten willst. Dann fragst du ob OPNsense dein Freund ist. Deine Vorgaben 1+2 sind wie oben beschrieben machbar. Nummer 3 macht für mich bislang keinerlei Sinn, da könntest du noch etwas mehr zu schreiben, dann versteht man ggf. auf was du raus möchtest.

Also bist du gefragt!

Gruß
Jens

[lfirewall1243]

> Damit das aber einfach wartbar bleibt würde ich gerne die FritzBox behalten.

Das was du oben möchtest, funktioniert aber mit keiner FritzBox [/pre]

Mit eventueller Portweiterleitung, für VPN, in der FritzBox könnte man es eventuell doch hintereinander Nutzen.

Mit einem anderen Router und OpnSense (für Übergangszwecke) läuft es bei mir.

[c.radi]

Hallo,

danke für die umfangreiche Antwort.

- Ich habe ein aktuelles APU Bord, sorry kein ALIX.

- zu den Road Worrior:
Ich fände es einfach schön, wenn ich merhere Möglichkeiten habe und ausweichen kann. Aber Du hast sicherlich recht, dass openVPN normalerweise funktioniert.
Wireguard würde ich mir gerne anschauen, sehe aber auch, dass es noch nicht release ist, und damit noch ein Risiko darstellt. Das schöne an Wireguard ist scheinbar der super schnelle Verbindungsaufbau, und die Konfiguration in der App am Mobilgerät für "onDemand".

- Zu den VPN Zielen
Ich warte einige Router und Geräte in fremden Netzen. Dafür ist es manchmal notwendig Zugriff auf das Netz zu haben. Z.B um von der FritzBox ein Backup erstellen zu können.
Angenommen opnSense erhält die IP 192.168.114.2, meine Fritz Box hat die .1. In der FritzBox stelle ich eine statische Route ein, 192.168.178.0/24 zeigt auf 192.168.114.2. Versuche ich nun eine Adresse im 178er Netz aufzurufen wird die Anfrage an opnSense gereicht, und der baut dann ein VPN zu diesem Ziel auf. Das Ziel wurde natürlich vorher entsprechend eingerichtet.

- Zum internen Anschluss/Verkabelung
Da das ganze ja "hinter" meiner FritzBox laufen soll stellt sich für mich die Frage, wie man so etwas anschließt. Also nur den WAN Port von opnSense an die FritzBox mit entsprechenden Portweiterleitungen an opnSense? Denn der LAN Port kann ja nicht im gleichen Netz hängen, wie der WAN Port.

Oder liege ich mit meinem Wunsch an möglichen Lösungen weit vorbei, dann verwerfe ich das wieder und nutze weiterhin das VPN der FritzBox, welches ja ordentlich funktioniert.

Danke und Gruß
Christian

[JeGr]

> - Ich habe ein aktuelles APU Bord, sorry kein ALIX.

Was ist denn ein "aktuelles"? APU1? APU2/3/4?

> Ich fände es einfach schön, wenn ich merhere Möglichkeiten habe und ausweichen kann. Aber Du hast sicherlich recht, dass openVPN normalerweise funktioniert.

Schön ist relativ. Mit was nutzt du es? Laptop? Telefon? Und dort dann jedes Mal 3 verschiedene Zugänge konfigurieren für den Fall dass einer nicht geht? Das fände ich weniger schön weil umständlich und fehleranfällig wenn mal an einer Schraube gedreht werden muss. Aber das ist nur meine Meinung.

Was nebenbei zu testen (wie Wireguard) ist davon ja entkoppelt, aber als daily-driver würde ich mich auf eines festlegen und nicht mehrere Baustellen aufreißen.

>  Versuche ich nun eine Adresse im 178er Netz aufzurufen wird die Anfrage an opnSense gereicht, und der baut dann ein VPN zu diesem Ziel auf. Das Ziel wurde natürlich vorher entsprechend eingerichtet.

So funktioniert aber kein VPN. Die Route setzt das VPN auf der OPNsense. Dass du diese ggf. auf der FB noch zusätzlich brauchst (oder mehrere) sind davon erstmal entkoppelt. Aber ein VPN Tunnel wird normalerweise stehend aufgebaut. Der bleibt und wird nicht ondemand auf- und wieder abgebaut. Könnte man sich ggf. hinskripten, aber das hört sich für den tatsächlichen Sinn viel zu umständlich an. Entweder man möchte Tunnel - die bleiben aufgebaut und sind immer da! - oder man macht EinwahlVPN und baut das on demand auf. Wenn ich die Sachen warten müsste, hätte ich eher die entsprechenden Zugänge als VPN von den Kunden vor Ort auf meinem Laptop etc. und baue die dann auf wenn ich sie brauche und danach wieder ab. Wenn du regelmäßig Backups machen willst dann ist das ein Job für einen Tunnel und der sollte dann immer offen bleiben. On-Demand Tunnel auf/abbauen halte ich aber für unnötig/umständlich. Da vermischst du m.E. zwei Einsatzzwecke die so keinen Sinn ergeben.

> Da das ganze ja "hinter" meiner FritzBox laufen soll stellt sich für mich die Frage, wie man so etwas anschließt. Also nur den WAN Port von opnSense an die FritzBox mit entsprechenden Portweiterleitungen an opnSense? Denn der LAN Port kann ja nicht im gleichen Netz hängen, wie der WAN Port.

Kommt auf das restliche Netz an, ob das hinter der FB laufen soll oder ob alles hinter der OPNsense hinterher läuft. Wenn letzteres, dann einfach WAN/OPN an irgendeinen LAN Port der Fritte hängen, DHCP Bereich der FB anpassen, WAN der OPN statisch auf .2 setzen und exposed Host von FB auf OPN stellen und fertig. Dann muss an der FB nichts mehr gedreht werden weil alles dann an der OPN ankommt.
Ansonsten wird es entsprechend komplexer.

> Oder liege ich mit meinem Wunsch an möglichen Lösungen weit vorbei, dann verwerfe ich das wieder und nutze weiterhin das VPN der FritzBox, welches ja ordentlich funktioniert.

Das kann aber auch nicht so funktionieren wie du das hier zusammenschreibst und wünschst

[c.radi]

Hallo,

danke für die schnelle und lange Antwort.

Ich verwerfe das dann erst mal, und nutze die VPN Funktion der FritzBox weiter. Sie funktioniert in den allermeisten Fällen, und wenn ich damit vom Notebook nicht dran komme, dann ist das eben so.

Auch mein Wunsch mit VPN on Demand schint nicht ohne weiteres lösbar zu sein, schade, aber ist eben so.

VIelen Dank an alle, für die Unterstützung.

Gruß
Christian

[micneu]

Warum nutzt du nicht ipsec um ein vpn zwischen opnsense & fritzbox aufzubauen (ich habe 5 stück, läuft gut)