Neuvorstellung und IPV6-Verwirrung

Started by hobble, May 18, 2021, 05:46:31 PM

Previous topic - Next topic
Hallo Euch Allen!

Bei mir läuft seit kurzer Zeit mein erster Selbstbau Router mit OPNsense. Ausschlagebend für die Anschaffung war mehr Sicherheit und Konfigurabilität fürs Heimnetz zu gewinnen und zudem macht es mir auch einfach Spaß am Heimnetzwerk rumzubasteln. Zudem möchte ich sicher auf meine privaten und teilweise auch beruflichen Daten auf meinem TrueNAS von extern zugreifen können. Ich hoffe hier mein halbwissen aufbessern zu können und Hilfe von Profis zu erhalten sowie sich über neue Ideen austauschen zu können.

Hier ist mein aktueller Netzwerkplan:

Aktuell:
KABEL 1000/50
/
TC4400 Kabelmodem
/
OPNsense (i5 10400, 16GB Ram, ASUS Q470pro, Intel i350 4xGbit) <<<< Wireguard VPN
IDS/IPS
/
Unifii mini sw <----> TrueNAS (i3 9100, 32Gb Ram ECC, 4x4TB RAIDZ2)
/      /
FB 6591   Unifi 6 LiteAP

Die Hardware fällt jetzt eher üppig aus, vielleicht werde ich da noch etwas Downsizen. Die Installation sowie Inbetriebnahme der Grundfunktionen inklusive VOIP, Wireguard VPN ,Dyndsn über eigene Domain bei Cloudlfare als auch DDNSEC und DNS über TSL gingen mit Tutorials recht gut von der Hand.
Meine "alte" FB 6591 sorg aktuell fürs WLAN und VOIP, soll, Mangels Möglichkeit für Gastnetzwerke, durch Unifi Equipment ersetzt werden, welches auch schon bereit liegt. Hierzu muss ich mich aber erst noch einlesen. Die FB wird dann durch eine alte 7430 für VOIP ersetzt.

Folgendes ist dann geplant:

KABEL 1000/50
/
TC4400 Kabelmodem
/
OPNsense (i5 10400, 16GB Ram, ASUS Q470pro, Intel i350 4xGbit) <<<< Wireguard VPN
IDS/IPS
/                   /                 /                       /
VLAN Home        VLAN Guest       VLAN   IoT      VLAN VOIP
         /=/
Unifi mini sw.  <---- >TrueNAS (i3 9100, 32Gb Ram ECC, 4x4TB RAIDZ2)
/                  /
FB 7430 VOIP   Unifi 6 Lite AP


Über Anregung und Verbesserungsvorschläge würde ich mich freuen.
Hättet ihr eine Idee, wie man die FB 6591 als "Rückfallebene" falls die Sense streikt einbauen kann?

Weiterhin habe ich noch eine Frage zu eingehendem IPV6 Traffic, welcher mir den ganzen Firewall-Log vollballert (s. Screenshot). Nach Auslesung durch whois scheint es sich um einen regulären Dienst meines Providers zu handeln. IPV6 habe ich generell deaktiviert und auch eine BLOCK ALL IPV6 Regel erstellst (Screenshot2), aber trotzdem taucht der Traffic auf. Wie werde ich dies wieder los? Da erste mal ist es aufgetreten, als ich vom ISP-DNS auf Cloudflare gewechselt habe.
Hier die Screenshots https://postimg.cc/gallery/YQNq4mJ

LG
hobble