Netzwerkdesign: opnsense hinter Fritzbox

X_Burner · August 08, 2020, 08:09:15 PM

Hallo zusammen,

ich bin am überlegen mein Netzwerk zu "modernisieren".

Folgenden Aufbau habe ich mir überlegt:

Die Internetverbindung baue ich über eine Fritzbox von Vodafone über Kabelanschluß auf.

opnsense will ich auf folgender Hardware hinter der Fritzbox laufen lassen:
https://www.thomas-krenn.com/de/produkte/low-energy-systeme/les/les-v3.html

Dahinter einen Managed Switch von TP Link für die VLANs.

Was haltet ihr davon?

Grüße
X_Burner

superwinni2 · August 08, 2020, 08:10:52 PM

Keine Ahnung von der Hardware.. Kenne mich da nicht suuuper gut aus...
Ansonsten würde ich sagen: Funktioniert

Gesendet von meinem LG-H815 mit Tapatalk

micneu · August 08, 2020, 08:54:22 PM

ich denke ja, das wird gehen, aber ich würde überlegen die fritzbox als einwahl punkt lieber mal das https://shop.wernerelectronic.de/antennen-und-kabelfernsehtechnik/tc4400-eu-kabel-modem-docsis-3-1.html
bei der LES v3 kommt es drauf an was du genau alles machen willst, wird VPN genutz könnte ich mir vorstellen das die CPU doch recht mager ist (kommt auf deine leitung an).
hier die kann ich empfehlen, die hat genug reserve für zukünftige internet techniken (bandbreite)

X_Burner · August 08, 2020, 11:23:36 PM

Hi,

welchen Vorteil würde mir das Modem bringen...sind immerhin 165 Euronen.

Naja, nichts wildes...hin und wieder VPN, aber nur eine Verbindung.
DNSBL...Standardkram.

Anbindung ist 300MBit down und 30MBit up.

Qotom gibts wohl nur bei Alibaba?
Den Qotom Q450PY find ich ganz knuffig.
Habe aber nichts dazu hier im Forum gefunden bzgl. Erfahrungen damit.

Schon mal danke für euer Feedback.

X_Burner

micneu · August 09, 2020, 02:45:49 AM

Quote from: X_Burner on August 08, 2020, 11:23:36 PM
Hi,

welchen Vorteil würde mir das Modem bringen...sind immerhin 165 Euronen.

- kein doppeltes nat
- die externe ip hängt6 wirklich an deinem wan
- kein exposthost kram

X_Burner · August 09, 2020, 10:40:50 AM

Moin,

hmmm...ok, aber scheint auch nicht trivial zu sein, dass Modem bei vodafone zum Laufen zu bekommen:
https://forum.vodafone.de/t5/Internet-Ger%C3%A4te/TC4400/m-p/2235879#

Wie löse ich das dann mit Telefonie?

Was hältst Du von dem Qotom Q450PY?

micneu · August 09, 2020, 11:05:02 AM

die hardware ist meiner meinung nix:
- cpu ist 4.generation
- zu langsam
- 2 xRealtek RTL8111E Gigabit LAN lieber Intel NIC

mit der anderen hardware die ich empfohlen habe hast du genug reserven auch für die zukunft, ist eine cpu aus der 7. generation, bessere aes werte.

und das mit der Telefonie, ich nutze zwar kein vodafone, so habe ich es bei mir gelöst.

kruemelmonster · August 09, 2020, 11:34:54 AM

Quote from: X_Burner on August 09, 2020, 10:40:50 AM
Moin,

hmmm...ok, aber scheint auch nicht trivial zu sein, dass Modem bei vodafone zum Laufen zu bekommen:
https://forum.vodafone.de/t5/Internet-Ger%C3%A4te/TC4400/m-p/2235879#

Wie löse ich das dann mit Telefonie?

Was hältst Du von dem Qotom Q450PY?

Telefonie:
Entweder mittels VOIP oder du bleibst bei der Fritzbox. So habe ich das selbst auch gelöst. Ich brauche allerdings die Fritzbox auch schon allein wegen des ISDN-Anschlusses für meine Telefonanlage. Eigene Fritzbox vorweg und die OpnSense dahinter. Allerdings betreibe ich keinerlei Zugänge von außen, so das ich nichts dazu sagen kann, inwiefern sich in diesen Punkten doppeltes NAT usw. auswirkt. Zumindest ich habe damit keinerlei Probleme an meinem 32MB-Anschluss.

Modem:
Das habe ich auch schon mal überlegt, es aber aus den o. a. Gründen verworfen. Schau mal im kdgforum.de nach. Dort findest du zu dem Modem ellenlange Berichte. Und soweit ich das noch in Erinnerung habe, haben alle die Modems zum laufen bekommen und waren sehr zufrieden damit.

Als Hardware für die OpnSense nutze ich einen Mini-PC von pcengines.ch (AMD 4 x 1GHz incl. AES-NI, 4GB RAM). Ob der allerdings für deine Zwecke ausreicht, kann ich insbesondere nach den anderen Kommentaren hier nicht beurteilen.

Gruß
Kruemelmonster

iam · August 09, 2020, 12:01:39 PM

Quote from: kruemelmonster on August 09, 2020, 11:34:54 AM
doppeltes NAT usw. auswirkt

Man braucht kein doppeltes NAT! Man kann in der Fritzbox Routen für die die von der OPNsense verwalteten Netze erstellen und dann das NAT bei der OPNsense abschalten.

X_Burner · August 09, 2020, 06:54:52 PM

Nettes Netzwerk ;)

OK, da hast Du natürlich Recht.
Wo hast Du deine Hardware gekauft?

Kann man auf die Ports mehrere VLANs legen?
Hab vor z.B. mehrere SSIDs mit unterschiedlichen VLANs aufzubauen.
Dann würde ich mir den Managed Switch sparen.

Quote from: micneu on August 09, 2020, 11:05:02 AM
die hardware ist meiner meinung nix:
- cpu ist 4.generation
- zu langsam
- 2 xRealtek RTL8111E Gigabit LAN lieber Intel NIC

mit der anderen hardware die ich empfohlen habe hast du genug reserven auch für die zukunft, ist eine cpu aus der 7. generation, bessere aes werte.

und das mit der Telefonie, ich nutze zwar kein vodafone, so habe ich es bei mir gelöst.

Ok, dann versuche ich erst mal mit der Fritzbox vor der opnsense.

Quote from: kruemelmonster on August 09, 2020, 11:34:54 AM
Quote from: X_Burner on August 09, 2020, 10:40:50 AM
Moin,

hmmm...ok, aber scheint auch nicht trivial zu sein, dass Modem bei vodafone zum Laufen zu bekommen:
https://forum.vodafone.de/t5/Internet-Ger%C3%A4te/TC4400/m-p/2235879#

Wie löse ich das dann mit Telefonie?

Was hältst Du von dem Qotom Q450PY?

Telefonie:
Entweder mittels VOIP oder du bleibst bei der Fritzbox. So habe ich das selbst auch gelöst. Ich brauche allerdings die Fritzbox auch schon allein wegen des ISDN-Anschlusses für meine Telefonanlage. Eigene Fritzbox vorweg und die OpnSense dahinter. Allerdings betreibe ich keinerlei Zugänge von außen, so das ich nichts dazu sagen kann, inwiefern sich in diesen Punkten doppeltes NAT usw. auswirkt. Zumindest ich habe damit keinerlei Probleme an meinem 32MB-Anschluss.

Modem:
Das habe ich auch schon mal überlegt, es aber aus den o. a. Gründen verworfen. Schau mal im kdgforum.de nach. Dort findest du zu dem Modem ellenlange Berichte. Und soweit ich das noch in Erinnerung habe, haben alle die Modems zum laufen bekommen und waren sehr zufrieden damit.

Als Hardware für die OpnSense nutze ich einen Mini-PC von pcengines.ch (AMD 4 x 1GHz incl. AES-NI, 4GB RAM). Ob der allerdings für deine Zwecke ausreicht, kann ich insbesondere nach den anderen Kommentaren hier nicht beurteilen.

Gruß
Kruemelmonster

Sobald ich mit der Umsetzung anfange, komme ich noch mal auf Dich zurück ;)

Quote from: iam on August 09, 2020, 12:01:39 PM
Quote from: kruemelmonster on August 09, 2020, 11:34:54 AM
doppeltes NAT usw. auswirkt

Man braucht kein doppeltes NAT! Man kann in der Fritzbox Routen für die die von der OPNsense verwalteten Netze erstellen und dann das NAT bei der OPNsense abschalten.

Danke an alle für euer Feedback!

X_Burner

lfirewall1243 · August 11, 2020, 02:09:28 PM

Quote from: X_Burner on August 09, 2020, 06:54:52 PM
Nettes Netzwerk ;)

Kann man auf die Ports mehrere VLANs legen?
Hab vor z.B. mehrere SSIDs mit unterschiedlichen VLANs aufzubauen.
Dann würde ich mir den Managed Switch sparen.

X_Burner

Klar kannst du pro Interface mehrere VLANs hinterlegen. Aber du brauchst dann einen AP direkt an dem Port, der mehrere Vlans und SSIDs unterstützt.

Netzwerkdesign: opnsense hinter Fritzbox

X_Burner

August 08, 2020, 08:09:15 PM

superwinni2

August 08, 2020, 08:10:52 PM #1

micneu

August 08, 2020, 08:54:22 PM #2

X_Burner

August 08, 2020, 11:23:36 PM #3 Last Edit: August 09, 2020, 12:01:57 AM by X_Burner

micneu

August 09, 2020, 02:45:49 AM #4

X_Burner

August 09, 2020, 10:40:50 AM #5

micneu

August 09, 2020, 11:05:02 AM #6 Last Edit: August 09, 2020, 11:22:20 AM by micneu

kruemelmonster

August 09, 2020, 11:34:54 AM #7

iam

August 09, 2020, 12:01:39 PM #8

X_Burner

August 09, 2020, 06:54:52 PM #9

lfirewall1243

August 11, 2020, 02:09:28 PM #10