(Anfänger-)Fragen zur Einrichtung eines Heimnetzwerkes mit opnsense

[Sphyrna]

Liebe opnsense-Nutzer*Innen,

ich möchte unser Heimnetz ,,modernisieren" und habe da noch einige offene Fragen, von denen ich nicht genau weiß, wo ich sie stellen könnte, daher wende ich mich hier hoffnungsvoll an euch.

Wir (5 Personen) haben einen Anschluss der Deutschen Glasfaser (ONT, FTTH). Die Verbindung in unser LAN erfolgt über eine opensense. Alle Geräte im Haus sind entweder über einen 24-Port-Layer-3-Switch verkabelt oder finden ihren Weg über einen WLAN-Router von Ubiquiti (U6 long-range) ins Netz. Auf einem Raspi3 läuft der unifi-controller. Im LAN befinden sich eine Synology-NAS (bald zwei), ein Unraid-Server zum spielen, PCs (Ubuntu, Mint, Windows), Handys (Android und Apple), Tablett, Freifunk-Router, Receiver, libreelec, Smart-TV und verschiedene IOTs, wie Aquariensteuergeräte, für die es mal eine Android oder Windows-App gibt.

Ich möchte mich intensiver mit der opnsense auseinandersetzen und sie stärker nutzen. Die opnsense hat 4 NICs (I226-V), eine NIC für WAN, eine für LAN und eine fürs Management, die vierte ist sozusagen unbenutzt (Intel Celeron(R) N5105 @ 2.00GHz (4Kerne, 4 Threads), 256GB NVME, 8GB RAM).

Was ich nach und nach umsetzen möchte:
1. Ich möchte die Geräte gerne über VLANs trennen. VLAN1 für private Handys, PCs, NAS, VLAN2 für Gäste, VLAN3 für IOT und Smart-TV und VLAN4 für Freifunk.
2. Ich möchte den unbound-Server der opnsense als Werbefilter nutzen.
3. Ich möchte gerne eine site-to-site-VPN-Verbindung zu meinen Eltern aufbauen, damit wir uns gegenseitig besonders schützenswerte Daten auf das jeweilige externe NAS sichern können. Meine Eltern haben auch Deutsche Glasfaser und eine Fritzbox als Router.
4. Ich möchte gerne einen VPN-Server für Zugriffe von unterwegs einrichten.
5. Ich möchte mit der opnsense IDS und vielleicht später IPS machen.
6. Ich überlege für den WLAN-Zugriff einen Radiusserver auf der opnsense aufzusetzen.
7. Die opnsense, Switch und WLAN-Router sollen 24/7 laufen. Der Unraid-Server und NASen sollen bei Nichtbenutzung schlafen, wobei die NASen nicht runterfahren sollen, weil ich sonst jedes mal alle verschlüsselten Zugänge erst wieder freigeben muss. Um dennoch verschiedene Dienste im LAN betreiben zu können und die opnsense zu entlasten, überlege ich mit Debian einen kleinen stromsparenden 24/7-Server aufzusetzen. Darauf sollen unifi-controller, eigene Cloud mit Kalender etc, Log-Server, SearXNG und vielleicht noch andere Dienste laufen (Android-VM für Aquarien-Apps, damit ich das Tablett entsorgen kann?). Dafür habe ich noch einen MINISFORUM U700 (8GB RAM, i5-5257U@2.7 GHz, NVME) hier liegen.

Nun meine Fragen, bevor ich viel Zeit investiere:
8. klingt das Konzept sinnig oder habe ich irgendwo einen Denkfehler?
9. Ist die Hardware der opensense (Intel Celeron(R) N5105 @ 2.00GHz (4Kerne, 4 Threads), 256GB NVME, 8GB RAM) stark genug für meine Wünsche?
10. reicht der U700 für die angedachten (Server-)Aufgaben?
11. kann man den unbound-Server so einrichten, dass die VLANs jeweils unterschiedlich behandelt/gefiltert werden?
12. Gibt es irgendwo ein empfehlenswertes Howto für die site-to-site-Verbindung und VPN für Deutsche-Glasfaser-Anschlüsse? Am besten ein solches, das die Verbindung automatisch neu aufbaut, für den Fall dass die fritzbox bzw. opnsense eine neue IPv6 beziehen.
13. den Debian-Server stelle ich wohl am besten ins VLAN1 oder eher in ein eigens VLAN?

Meine Ziele:
• Trennung von vertraueswürdigen Geräten und dem Rest
• Steigerung der Netzperformance
• Spaß/Interesse/Neugier

Über Antworten freue ich mich sehr!

[knebb]

Moin!

Du kannst natürlich vieles machen. Und auf den erstetn BLick habe ich jetzt keinen Punkt gesehen, der sofort ein "geht nicht" ausgelöst hätte.

Aaaaber:

Mache eines nach dem Anderen. Wenn ein es sicher, stabil und zuverlässig läuf, nimm das nächste in Angriff. Nicht alles auf einmal. So wie ich Dich aufgrund des Postes einschätze solltes Du ca. ein Jahr einplanen, bis Du alles aus der Liste umgesetzt hast!

Ein paar Tipps zur Reihenfolge:

• Tatsächlich zuerst die VLANs einrichten. Mit Firewall-Regeln etc. hast Du genug zu tun, bis die Netze auch untereinander wirklich so getrennt sind, wie Du das willst. Server, NAS etc. kommen ins gleiche VLAN wie die Clients. Üblicherweise da auch Tablets, Handys etc. Alles, was IoT ist und "nach Hause telefoniert" geht ins VLAN IOT. GästeVLAN ist eine gute Idee, macht aber nur Sinn, wenn Du da kein Passwort hast (oder das ganz einfach via QR-Code o.ä. den Gästen mitteilen kannst. Wenn man eh' ein Passwort fragen muss, kann man auch gleich das vom "richtigen" Netz geben --> wird sind alle menschlich. Ich habe mein Gäste-(V|W)LAN hier wieder abgeschafft.
• Dann gerne Unbound als WErbefilter- und sehen, ob der die gewnschte Unterscheidung nach VLAN macht (glaube nicht!)

Das würde ich tatsächlich so umsetzen. Die folgenden Sachen würde ich ganz sein lassen, das ist oft mit Kanonen auf Spatzen geschossen:

• IDS und IPS. Die Einrichtung UND Überwachung frißt wahnsinnig viel Zeit und lohnt sich in den seltensten Fällen (99% fake alarms)
• Radiusserver. Dafür brauchst Du ein zentrales Benutzerverzeichnis (LDAP, AD,...). Auch hier das Gleiche: Riesenaufwand, auch mit der Pflege, lohnt sich für Heimanwender nicht

Und dann kommen noch die VPN-Sachen:

• Net2NEt-VPN zu den Eltern. Nicht ganz trivial aufzusetzen, da Du beide Geräte konfigurieren musst (Fritz! und OPNSense) und jede ein wenig einen anderen UI-Dialekt hat... musst Du hier nachlesen, klappen sollte das. Und: einmal eingerichtet, läuft das stabil
• RoadWarrior-VPN: Am besten mit Wireguard umsetzen, das funktioniert echt gut und für viele Geräte (Tablets, etc. gibt es auch eigene WireguardApps). Ist aber grundsätzlich ein wenig "Fummelei" und erfordert wirkliches beschäftigen mit der Materie.

Bei den wenigen VPN-Nutzern sollte die CPU das gut schaffen, zu den anderen Server/LAN-Fragen sage ich mal nichs, ist hier etwas off-Topic.

Also, Fahrplan:
-OPNSense installieren (sofern noch nicht gemacht), im bestehenden LAN schauen wie sie so funktioniert und nur absolute Basiskonfiguration machen.
-VLANs trennen, Geräte entsprechend dorthin verschieben
-RoadWarrior VPN einrichten
-NEt2NEt VPN einrichten
Mit ausgibigem Testen und dem Erleben in der Praxis rechne mal pro Punkt 2-3 Monate. Nicht das erstmalige Einrichten, aber das Testen in der Praxis...

/KNEBB

[Sphyrna]

Vielen herzlichen Dank!