Netzwerkumstrukturierung Fritzbox > OpnSense

[martini2]

Hallo,

ich bin nicht aus der IT Branche und benötige Hilfe bei der Umstrukturierung meines kleinen Netzwerkes.
Z.Z ist das Netzwerk Fritzbox basiert und funktioniert soweit zufriedenstellend. Da ich mehrere Außenkameras hinzufügen muss und keine 100% Kontrolle über die Kabel und Hardware habe muss ich das Netzwerk absichern. Die Einrichtung eines VLANs bei der Fritzbox übersteigt meine Kenntnisse deshalb erwäge ich OpnSense zu nutzen und dadurch neben Sicherheit auch Komfort bei der Verwaltung zu gewinnen. 
Ich lese und schaue mich zwar ein, habe aber wenig Zeit. Die Umstellung muss ich an einem Wochenende bewerkstelligen. Probieren kann ich auch nur am Wochenende. P€rsönliche Hilfe im SO-HH wäre für mich eine Option.

Das Netzwerk sieht so aus. Die Segmente sind durch Fritzboxen, teils gefreetz für OpenVPN, und FritzboxVPN verbunden und nutzen die Dienste der anderen Segmente. Das blaue und rote Segment soll zum schwarzen hinzugefügt werden. Bei rot ist Manipulation möglich. Ein Draytek Modem V160 und einen i3 mit 6 Netzwerkanschlüssen mit OpnSense habe ich bereits.
Wie sollte ich das angehen?

            |
            +--- Server (OpenVPN)
            |                       |                      |
      .-----+-----------.     .-----+----------.     .-----+------------.   
      | Router          |     | Router         |     | Router           |   
      | Fritzbox 7490-1 |     | Fritzbox 7390  |     | Fritzbox 6480LTE |
      '-+---+---+---+---'     '-+---+---+------'     '-+---+---+---+----'
            :(OpenVPN)          :                      :(OpenVPN)
            :(FritzboxVPN)      :(FritzboxVPN)         :
            :                   :                      :
       Internet ----------------+----------------------.
            :
            :(OpenVPN)
            :(FritzboxVPN)
            :
      .-----+-----------.
      | Router / Modem  |
      | Fritzbox 7490-0 |
      '-+---+---+---+---'
        |   |     
        |   |     
        |   |         
        |   |                                                 
        |   |         
        |   |                                                     
        |   '---------------------------.                         
        |                               |                         
      .-+------------.           .------+------.           .------+------.
      | Switch 24P   |           | TI Box      |           | Switch 5P   |
      '-+------------'           '-------------'           '------+------'
        |                                                         |
        +--- Server                                               +--- Kamera 1
        |                                                         |
        +--- Clients                                              +--- Kamera 2                                                 
        |
        +--- Telefon
        |
        +--- Radio
        |
        +--- Kartenleser
        |
      .-+--------------.
      | WLAN Repater   |
      | FritzWLAN 450E |
      '--+--------+----'
         .WLAN    .WLAN Gast
         .        '-----------.
         .                    .
         +--- Sensor 1        +--- Telefon G1
         .                    .               
         +--- Sensor 2        +--- Telefon G2
         .
         +--- Telefon 1

[Gauss23]

Rückfrage dazu:
- Was ist eine TI Box?
- was wird aktuell über die Fritzbox abgewickelt: Telefonie, Fernsehen(IPTV)?
- wie willst Du das WLAN zukünftig aufbauen? Soll das die abgelöste Fritzbox machen?

Ich bin eher dafür die Fritzbox als Internetgateway zu behalten, wenn IPTV und Telefonie darüber laufen. Ich setze die OPNsense in einem solchen Fall eine Ebene dahinter. Alle Switches sollten dann VLAN-fähig sein, dann kann man im ganzen Haus nach Wahl das Fritzbox-Netz oder eines der OPNsense Netze an einem jeweiligen Netzwerkport oder in einem bestimmten WLAN anbieten.

Ein weiterer Vorteil ist, dass man das im laufenden Betrieb umbauen kann und kaum Downtime hat. Man zieht einfach jedes Themengebiet für sich isoliert um, wie man eben Zeit hat.

Doppeltes NAT sollte man vermeiden, daher müsste man auf der Fritzbox lediglich ein paar statische Routen setzen (nicht schwierig) und ggf Ports vom WAN an die OPNsense durchreichen.


Um das VLAN-handling übersichtlich zu gestalten empfehle ich eine Controller-basierte WLAN- und Switch-Lösung, wie das Unifi System. So hat man ganzheitlich die Übersicht, welche VLANs es gibt und wo sie zur Verfügung stehen. Wenn man sowas an jedem Switch isoliert konfiguriert, verzettelt man sich leider oft.

[martini2]

Die Fritzbox macht z.Z alles. WLAN brauche ich für Röntgensensoren und Fotokamera, Gast WLAN ist für private Telefone. Telefonie läuft über VOIP. IPTV nutze ich nicht. Dieses Segment bietet keine Dienste nach Außen an. Internet ist Bedarfsgemäß auf die notwendigen Server reduziert.

TI Box ist eine 'Blackbox' der Telematikinfrastruktur. Sie muss immer mit ihren Servern im Internet verbunden sein, da sonst einige Zertifikate ihre Gültigkeit verlieren und dann sehr aufwendig und teuer erneuert werden müssen.

Meine Überlegung ist die Fritzbox, den großen Switch und den keinen Switch für die Kameras an die OpnSense zu hängen und dort alles verwalten. Zusätzliche Fritzboxen sind vorhanden und könnten als WLAN Accesspoints verwendet werden wenn nötig. Das Telefon ist VOIP fähig, muss also nicht an der Fritzbox hängen obwohl ich die Anrufprotokolierung der Fritzbox schon sehr gut finde. Später möchte ich auch die anderen Segmente auch mit OpnSense absichern.
Alles aus einer Hand und zentral kontrollierbar wie beim Unifi System würde mir schon sehr gefallen aber Technologie die nach Hause telefoniert kann ich mir hier nicht erlauben. Außerdem wären die Kosten recht hoch. Die andere Hardware ist schon da.