Netzwerk-Umbau nach Glasfaser-Umstellung - FRITZ!Box vor oder hinter OPNsense?

[end-of-fritte]

Hallo,

ich bin neu hier im Forum und habe mich in den letzten Tagen quer
durch die Fäden zur FRITZ!Box gelesen. Im Laufe der Zeit hat sich
auch die ein oder andere Hardware zu mir verirrt, die zukünftig in
unserem Netzwerk benutzt werden soll.

Zur Ausgangslage:

Seit ein paar Wochen haben wir einen Glasfaser-Anschluss von (PŸUR) für
das Internet und nach anfänglichen Problemen und Ausfällen läuft jetzt
alles stabil an einer FRITZ!Box 7530 AX mit WLAN-Repeater. Für Anrufe
haben wir zwei FRITZ!Fon-Geräte.

Es gibt die üblichen privaten WLAN-Geräte, ein Gäste-WLAN und per LAN
angeschlossene Computer, ein NAS sowie IoT-Geräte (Fernseher, ...) sowie
den zukünftigen Bedarf an weiteren LAN und WLAN-Geräten.

Im Gäste-WLAN tummelt sich ein beruflich genutztes Notebook, im LAN
ein selbstständig beruflich genutzter iMac, welcher mit einem MacBook Air
per WLAN Daten austauscht.

Der iMac und die privaten Notebooks machen regelmäßig Backups auf das NAS.

Dazu kommt noch ein Drucker-Scanner-Kombigerät, sowie ein 3D-Drucker, welche
per WLAN/Gäste-WLAN genutzt werden.

Dieses Kuddelmuddel möchte ich aufräumen und das Netzwerk sinnvoll trennen.

Hardware

Für den Aufbau des Netzes habe ich die folgende Hardware zur Verfügung:

• FRITZ!Box 7530 AX mit FRITZ!Repeater 1200
• Protectli 2-Port Backbone mit OPNsense
• Mikrotik CSS610-8G-2S+IN Switch
• Mikrotik cAP ac Access Point
• Netgear 5-Port Switch
• TP link 8-Port Switch

Sollte da noch etwas ergänzt werden?

Die LAN-Verkabelung

Unser Haus ist fest verkabelt und alle LAN-Kabel sammeln sich im Keller in
einem kleinen Netzwerk-Schrank. Der ONT ist auch im Keller und per LAN-Kabel
angeschlossen.

Das Netz möchte ich mit mehreren VLANs aufbauen, hierzu habe ich mir auch
schon Gedanken gemacht und eine vernünftige Anzahl für uns ermittelt.

Klingt ganz schön kompliziert, aber vielleicht gibt es ja eine vernünftige
Lösung?

Erste Frage: FRITZ!Box vor oder hinter der OPNsense?


FRITZ!Box vor OPNsense

Aufbau:

    Internetanschluss → FRITZ!Box → OPNsense (WAN-Port) → LAN

Vorteile:

• Einfache Telefonie (VoIP): Die FRITZ!Box übernimmt die gesamte Telefonie-Konfiguration und -Funktion (DECT, Anrufbeantworter). Dies ist der Hauptgrund, warum viele die FRITZ!Box vorne behalten, da VoIP-Einrichtung auf OPNsense komplexer sein kann.
• Problemlose Konfiguration: Es ist einfacher einzurichten, da die FRITZ!Box ihre Standardfunktionen (DHCP, NAT) beibehält und die OPNsense einfach eine IP-Adresse aus dem Netz der FRITZ!Box bezieht.
• Integriertes WLAN: Du kannst das WLAN der FRITZ!Box weiterhin nutzen, was für viele Haushalte ausreicht.
• Fallback-Option: Falls die OPNsense mal ausfällt, funktioniert das Grundnetzwerk und die Telefonie über die FRITZ!Box weiter.

Anmerkung: Ein neuer WLAN-Access Point liegt bereit

Nachteile:

• Doppeltes NAT (Network Address Translation): Dies ist der größte Nachteil. Dein Netzwerk befindet sich dann "hinter" zwei NAT-Ebenen. Das kann bei einigen Anwendungen (Online-Gaming, VPN-Server, Port-Weiterleitungen) zu Problemen führen.
• Weniger Kontrolle über den Internetzugang: Die erste Firewall ist die FRITZ!Box. Deine OPNsense hat erst dahinter die volle Kontrolle über den Datenverkehr deines internen Netzes.
• IPv6-Herausforderungen: IPv6 kann bei dieser Konstellation etwas kniffliger zu konfigurieren sein, besonders wenn du eine öffentliche IPv6-Adresse für deine internen Geräte über die OPNsense haben möchtest.

Anmerkung: Online-Gaming, VPN-Server und Port-Weiterleitungen betreiben wir (aktuell) nicht, genauso wenig IPv6.


Frage: Wäre das für den Anfang die einfachere und für Neulinge besser geeignete Variante?


FRITZ!Box hinter OPNsense

Aufbau:

    Internetanschluss → Modem (ONT) → OPNsense (WAN-Port) → LAN → FRITZ!Box (als IP-Client)

Anmerkung: Der ONT ist vorhanden

Vorteile:

• Kein doppeltes NAT: OPNsense ist dein primärer Router und deine einzige Firewall zum Internet. Du hast die volle Kontrolle über alle Verbindungen.
• Maximale Kontrolle und Flexibilität: Alle Firewall-Regeln, VPNs, Traffic Shaping, etc. werden zentral auf der OPNsense verwaltet.
• Optimale Performance: Die OPNsense kann in der Regel höhere Durchsätze und mehr parallele Verbindungen verwalten als eine FRITZ!Box.
• Professionellerer Aufbau: Dies ist die bevorzugte Methode in anspruchsvolleren Heimnetzwerken und kleinen Unternehmen.

Nachteile:

• Komplexere Telefonie-Einrichtung: Die FRITZ!Box müsste als reiner IP-Client fungieren. Du müsstest die VoIP-Zugangsdaten auf der OPNsense konfigurieren (was je nach Anbieter schwierig oder unmöglich sein kann) oder die FRITZ!Box über ihr LAN-Interface mit den SIP-Servern des Anbieters kommunizieren lassen, was spezielle Firewall-Regeln auf der OPNsense erfordert. Dies ist oft der Hauptgrund, warum dieser Aufbau seltener gewählt wird.
• FRITZ!Box-WLAN: Die FRITZ!Box würde als Access Point fungieren, und die WLAN-Geräte bekämen ihre IP-Adressen von der OPNsense.

Anmerkung: Telefon muss funktionieren, da auch geschäftlich genutzt. Zusätzlicher Access-Point für WLAN-Abtrennung ist vorhanden.


Gemini hat dazu die folgende Meinung, aber was meint das Forum dazu?

FRITZ!Box VOR OPNsense ist die beste Wahl für dich.

Da die FRITZ!Box am Glasfaseranschluss (hinter dem ONT) direkt die Internetverbindung aufbauen und vor allem die Telefonie (VoIP) verwalten kann, ist es am sinnvollsten, sie als primären Router zu betreiben. Die OPNsense wird dann dahinter geschaltet.

Danke und Gruß

Sabine


 

[robgnu]

Guten Morgen,

beide Varianten haben gute Argumente. Wir nutzen bei unseren Kunden, je nach Einsatzzweck, beide Möglichkeiten.

Wenn du dich für die Box vor der OPNsense entscheiden solltest, kannst du das doppelte-NAT vermeiden. Hierfür trägst du die IPv4-Netze zu deinen Netzwerken hinter der OPNsense als IPv4 Routen in die FRITZ!Box ein. Dann kannst du das NAT in der OPNsense ausschalten. Das funktioniert sehr zuverlässig.
IPv6 selbst ist für Prefeix-Delegation ausgelegt und die FRITZ!Box kann das. D.h. du kannst ein paar IPv6 Netze an die OPNsense delegieren, die diese dann wiederum ihren LANs zur Verfügung stellt. Bleibt noch das Argument mit der Telefonie. Das kann schon manchmal schwierig sein und bei manchen Setups ist es sinnvoller, der FRITZ!Box die Telefonie zu überlassen. In kleinen Unternehmen und Privathaushalten sollte meiner Meinung nach, die FRITZ!Box vor die OPNsense.

In etwas komplexeren Netzen mit mehreren VLANs und einer eigenen TK-Anlage, bzw. Cloud-Telefonie, kann die FRITZ!Box komplett weg. Hier sollte die OPNsense sich dann um die Verbindung kümmern.

Gruß
Robert

[Patrick M. Hausen]

Alternative 3: OPNsense direkt am Internet (Modem), Fritzbox als LAN-Client für die Telefonie hinter der OPNsense.

Läuft seit Jahren super, die Fritzbox ist eine ganz passable kleine Telefonanlage, die DECT-Handapparate sind gut. Eine 7510 reicht dafür völlig.

[bananajoe78]

Hab auch Variante 3 am laufen. Auch seit langer Zeit ohne Probleme.
Vorher mit DSL, jetzt mit Glasfaser

[meyergru]

Mache ich auch so. Und wenn man einen "richtigen" (d.h. VLAN-fähigen) AP hat, ist die Fritzbox dann nur noch für VoIP und eventuell noch AVM Smart Home zuständig.

Hatte ich hier auch so beschrieben.