Fritzbox + OPNsense

[horizons]

Hi ich bin ein Neuling :)
Ich habe mir vor kurzen eine Kerio NG 100 zugelegt und habe darauf OPNsense installiert.
Hintergrund ich war mit der VPN Geschwindigkeit der Fritzbox nicht zufrieden deswegen "probiere" ich mal OPNsense (dachte ich mir)

Jetzt stehe ich vor dem Problem wie konfiguriere ich alles (ich bin leider ein Firewall Frischling)

Mal zu meiner Hardware:
Fritzbox 7590 firmware  07.10
VDSL 100/42 der Telekom + VOIP Telefonie (kein IPTV) ipv4 + ipv6
HP-1810-24gV2 (managed switch mit vlans)
2x FritzWlan1750e (für Wlan Mesh im Lan Bridge Modus)
2  Siemens Gigaset DECT Telefone verbunden mit der Fritzbox

mein Netzwerk läuft derzeit in 192.168.5.0/24.

Und baue derzeit dauerhafte VPN Verbindungen zu anderen 2x Fritzboxen (Eltern  192.168.6.0/24 + 192.168.25.0/24) und Sophos (192.168.1.0/24) auf und noch ab und zu von meinem Windows Laptop von der Arbeit über Shrew.

Zudem habe ich noch eine PS4 die die derzeit in der DMZ steht.

Jetzt zu meinen Fragen
ich habe gelesen dass man die FB nicht als reines Modem nutzen kann. Macht ja in meinem Fall auch wenig Sinn, da ich die FB fürs Wlan Mesh brauche.

Bisher habe ich mit meinem Managed switch noch keine Vlans aufgesetzt. Ich hatte es aber immer mal vor mich damit zu befassen und wenn nicht jetzt wann dann.

Die Kerio NG-100 hat diese Specifications:
1.33GHz Intel Atom E3825
4GB DDR3L
32GB mSATA
3 x Gigabit Ethernet
USB 2
USB 3
HDMI
RJ-45 console
External PSU

Laut einem Test der Original Kerio Firmware sollte dies eine VPN Geschwindigkeit mit 60mbit (7,5mb/sek) ermöglichen und daher meinen 42 mbit upload zu 100% ermöglichen (zumindest ist das meine Hoffnung)
https://www.itpro.co.uk/unified-threat-management/27122/kerio-control-ng100-review

Von der Original Firmware bin ich weg  wegen jährlichen Lizenzkosten.
Mit den 3 Lan ports sollte doch eine Physikalische Trennung in 2 Vlans möglich sein.

Jetzt zu meinem Problem... wie fange ich am besten an?
Ich brauche ja die FB noch für das Mesh Wlan und VOIP.
So wie ich das verstehe muß ich die FB vor die OPNsense stellen oder?

Ich habe mir sowas in der Art vorgestellt:

FB -> (Wan) OPNsense (LAN+VLANS) -> managed switch -> clients


Oder ist es besser über PPPoE OPNsense als Modem zu betreiben?
OPNsense -> FB -> managed switch -> clients


Gibt es irgendwo ein Tutorial/Anleitung wo beschrieben steht was wo einzustellen ist?
Welche der Beiden Boxen (FB / OPNsense) soll DHCP / DNS betreiben?

Hier gibt es bestimmt unzählige User die die selbe oder ähnliche Hardwarekonstellationen betreiben.
Ich tue mich gerade "etwas" schwer wo ich wie anfangen soll mein Netzwerk umzubauen :(

Vielen Dank im vorraus!

[micneu]

Ich sehe es so, ich kann es nicht empfehlen das wlan über die fritzbox weiter zu beteiben.
ich habe bei mir die fritzbox nur als telefonanlage und setze ein reines modem ein (draytek vigor 165)
und als ap ubnt ap ac pro. so bin ich komplett flexibel in meinem netz.
ich hänge mal einen plan meines netzes ran.

[horizons]

erst einmal Danke für die Antwort so etwas in der Art habe ich auch erwartet.
Prinzipiell gebe ich dir ja recht mit dem ubnt unifi wlan access points und dem draytek als modem denn nur so ist alles Physikalisch von einander getrennt.
Nur habe ich so was halt "noch" nicht ;)

Ich habe halt "leider" schon ne 7590 und 2x 1750e. (habe gerade gemerkt dass ich unten fälschlicherweise 7490 geschrieben habe)

Ich will erst einmal schauen wie ich mit meiner vorhandenen Hardware (oder zumindest ohne weitere Nennenswerte Ausgaben) zurecht komme.

Hier im Forum gibt es doch sicherlich einige die entweder OPNsense als "exposed host" hinter der Fritzbox betreiben bzw. die Fritzbox hinter der OPNsense benutzen.

Was ist denn das für und wieder beider Optionen?

[JeGr]

> Hier im Forum gibt es doch sicherlich einige die entweder OPNsense als "exposed host" hinter der Fritzbox betreiben bzw. die Fritzbox hinter der OPNsense benutzen.

> Was ist denn das für und wieder beider Optionen?

Hmm kommt drauf an ob man überhaupt noch klassisches Telefon braucht oder will. Wir habe bemerkt dass wir den VoIP Kram von UM/Kabel eh so gut wie nie brauchen weil Smartphones eh ständig dabei sind und man eher erreicht wird. Aber wenn mans braucht, ist es sicher am Einfachsten, die Box für Verbindungsaufbau und Telefon direkt vorne zu lassen, exposed host zu konfigurieren und die Sense dahinter zu hängen. Die Konstellation läuft bei mir mit zwei Sensen (einmal OPN, einmal pf) seit Jahren.

Hat man die FB mit Telefon hinter der Sense kann man ggf. das SIP Gedöns besser filtern und VoIP evtl. besser absichern. Das wäre ein Pro. Mit Modem vornedran vermeidet man dann auch doppelte NAT, was auch ein Pro ist (das mich bislang noch nie gestört hat). Contra sind mehr Geräte und komplexere Konfiguration sowie - je nach Supporter und ISP - wird man gern mal alleine gelassen wenn man nicht den Standard des ISPs benutzt.

Mit Fritte vorne und dahinter einer Sense ist - halbwegs ordentlich eingerichtet und konfiguriert und vom VoIP Part abgesehen - alles andere aber ziemlich unspektakulär. Durch exposed Host wird so ziemlich alles Wichtige auf die Sense durchgereicht, womit auch VPN und Co selten Probleme machen und notfalls hat man mit UPnP noch die Möglichkeit einem VLAN/Netz/einzelnen IPs gezielt Ports zuzuspielen, wenns mal richtig haken sollte mit Konsole und Co. Packt man dabei sein ganzes LAN ordentlich in mehrere VLANs ein und trennt sinnvoll, hat man da dann auch kein Problem damit.

Das WLAN der Fritte würde ich tatsächlich auch nicht benutzen, sondern den Step weiter gehen, Unifi AP und Controller und dann ggf. Radius auf die Sense werfen. Ist komplexer, ja. Warum? Weil man dann mit den Unifi APs Radius based VLANs machen kann. Sprich: man erstellt EINE SSID MeinTollesHomeWLAN und loggt sich hier aber nicht mit einem PSK ein, sondern mit User und PW - die man vorher im FreeRadius anlegt und dort noch ein VLAN Tag definieren kann. Schwupps ist der Client mit dem User "horizons" im echten "LAN" verbunden. Sohn und Tochter bekommen User und landen - wieder schwupps - anhand ihres Users im WLAN-Kids-Netz, das komplett vom LAN isoliert ist und nur ins Internet darf. Bis 23 Uhr. Mit OpenDNS gefilterten Servern. Beispielsweise.
Für echte Gäste kann man dann entweder ein eigenes Portal VLAN machen und einfach mit "OK klicken" ins Internet lassen (Gäste bekommen dann eben nen Gast/Password User) oder man lässt sich noch schön ein paar Codes generieren und hat dann später dank diesem (und der Mac/IP) eine Handhabe, wenn wer Unfug im Netz gemacht hat. Kann man. Muss man nicht.

Warum ist das besser als 3-4 verschiedene SSIDs? HomeLAN/Kids/Guest? Einfach: dazwischen müsste man ständig wechseln, wenn man tatsächlich mal zum Test in ein anderes Netz müsste. Oder es aus dem Smartphone rauspopeln und neu einbuchen. Am Ende hat man alle 3 drin und wenn man heim kommt wird wieder mal lustig zwischen dem einen oder anderen hin und hergesprungen weil das Handy alle kennt. Nervig. So? Einfach beim User die VLAN ID ändern, WLAN kurz aus und ein und fertig. User kann mehrfach benutzt werden. Oder einer pro Gerät, wie man will.
Zusätzlicher Punkt: Jede SSID reduziert die mögliche Bandbreite des APs. Je weniger desto schneller in diesem Fall. Gibts tatsächlich Guffelgeräte die WPA2 Enterprise nicht können kann/muss man eben noch eine SSID für nen klassischen WPA2/AES machen. Sind aber meist tumbe Geräte wie Assistenten (Alexa) oder Teile mit altem Standard.

Grüße
Jens

[lenny]

Eine Frage:
Warum muss bei den LAN Regeln als Ziel
"jeglich"
ausgewählt werden - wenn die opnsense hinter eine FB ist?
Wenn ich als Ziel
"WAN Netzwerk"
auswähle, funktioniert es nicht.
Kann aber auch nicht ganz richtig sein, oder?

[lfirewall1243]

Eine Frage:
Warum muss bei den LAN Regeln als Ziel
"jeglich"
ausgewählt werden - wenn die opnsense hinter eine FB ist?
Wenn ich als Ziel
"WAN Netzwerk"
auswähle, funktioniert es nicht.
Kann aber auch nicht ganz richtig sein, oder?

Doch, die Zieladresse in so einem Paket ist ja z.B. der Webserver im Internet. mit WAN-Netzwerk ist das Netz zwischen der OPNsense und der FB gemeint, daher für einen einfachen Internet Zugang immer eine "Allow LAN to ANY" Regel. Davor kann man dann Regeln schalten die z.B den Zugriff aufs Gast Netz verbieten.

[lenny]

Ah okey.
Ich hätte es eher als Bug einsortiert.
Nach meinem Verständnis war bzw. ist mit WAN Netzwerk sämtliches der Defaultroute gemeint.
Aber so kann man es natürlich auch einschränken.
Dankeschön für die Aufklärung!

p.s.
wäre es anders, wenn die OPN direkt im WAN wäre, ohne FB dazwischen?
Oder ist es dort auch nur das Netz zwischen Router und OPN

[lfirewall1243]

Ah okey.
Ich hätte es eher als Bug einsortiert.
Nach meinem Verständnis war bzw. ist mit WAN Netzwerk sämtliches der Defaultroute gemeint.
Aber so kann man es natürlich auch einschränken.
Dankeschön für die Aufklärung!

p.s.
wäre es anders, wenn die OPN direkt im WAN wäre, ohne FB dazwischen?
Oder ist es dort auch nur das Netz zwischen Router und OPN

Also WAN ist eigentlich nur ein Name und wird genau so Behandelt wie jedes andere Netz auch, kannst es auch HansPeter nennen :)


Da du denke ich von deinem Provider ein Subnetz zugewiesen bekommst und eine WAN-Schnitstelle eine IP Adresse aus diesem Subnetz bekommt, wirst du das gleiche Thema auch haben, nur statt mit dem Zwischennetz zur FB halt mit dem Netz deines Providers.

Alternativ könntest du einen Alias mit Privaten netzen erstellen, und eine Allow Regel mit dem Alias als Ziel erstellen (das Ziel aber invertieren).  Dann wird alles erlaubt was nicht zum Privaten Adressbereicht gehört.

Ich mache aber im Normalfall immer eine Allow Any Regel und blockiere vorher den Zugriff auf andere Netze.

[JeGr]

> wäre es anders, wenn die OPN direkt im WAN wäre, ohne FB dazwischen?
> Oder ist es dort auch nur das Netz zwischen Router und OPN

Wie @lfirewall1243 schon sagt ist WAN lediglich eine Definition in der Oberfläche. Ändere es auf "BLUBB" und du hast weiterhin BLUBB_adresse und BLUBB_netz. Beide Aliase heißen immer wie das entsprechende Interface und beschreiben lediglich die eigene Adresse im entsprechenden Netz (also WAN Adresse) und das WAN Netz (also selbst wenn du per Modem direkt eine Adresse bekommst, wäre damit nur das vergebene Netz des ISPs gemeint).

Das ist für alle Interfaces gleich, es gibt hier keine Sonderstellung oder Aliase wie "Internet" oder "interne Adressen" wie es manche andere Firewalls haben (wo das aber niemand genau deklariert, was zum Geier damit eigentlich gemeint ist).

Prinzipiell lässt sich OHNE eine DMZ (oder öffentliche Adressen die lokal geroutet/genutzt werden) sagen, dass "Internet" sich einfach als "ANY" minus "RFC1918"-Adressblock darstellt. Gut rein theoretisch auch noch minus APIPA Range und Doku Prefixe aber das wird dann eh vom Upstream Router weggefiltert. Somit kann man schon recht einfach sagen: RFC1918 Alias mit den 3 Netzbereichen anlegen, blocken, darunter alles erlauben -> erlaubt Internet only.

[lenny]

Das klingt tatsächlich nach einem "workaround" dafür. :)

[MathiasJ]

ich habe im Moment die Fritzbox 6490, hinter der ich mir via OPNsense eine DMZ aufbauen will.
Zusätzlich habe ich einen 12 Port +12 Port PoE managed Switch, mit dem ich mir dann VLAN einrichten könnte.
Nun zur Frage:
Ist in meinem Fall das Einrichten vom VLAN auf der Firewall, oder auf dem Switch besser?
Konfig, wenn möglich
VLAN0 = meine NAS, Fax- und Mailserver
VLAN1 = Videoüberwachung über die PoE-Ports
VLAN2 = Smarthome (Raspberrymatic - IObroker)
VLAN3 = die gesamte TK-Anlage samt RasPBX und ATA's
WLAN soll über einem Radiusserver auf OPNsense laufen.
Das WLAN-Gastnetz kann ich doch auch direkt über OPNsense machen, oder?

Gruß,
Mathias

[micneu]

Nun zur Frage:
Ist in meinem Fall das Einrichten vom VLAN auf der Firewall, oder auf dem Switch besser?
Konfig, wenn möglich
VLAN0 = meine NAS, Fax- und Mailserver
VLAN1 = Videoüberwachung über die PoE-Ports
VLAN2 = Smarthome (Raspberrymatic - IObroker)
VLAN3 = die gesamte TK-Anlage samt RasPBX und ATA's
WLAN soll über einem Radiusserver auf OPNsense laufen.
Das WLAN-Gastnetz kann ich doch auch direkt über OPNsense machen, oder?

Gruß,
Mathias

VLAN0 ist meines wissen der standar wenn man einen VLAN fähigen switch kauft (glaube das können andere hier noch besser begründen)
WLAN auf der Sense kann ich echt nicht empfehlen, besser einen UBNT kaufen, entweder multi-ssid nutzen oder die können auch VLAN. die laufen richtig gut.

[JeGr]

> ich habe im Moment die Fritzbox 6490, hinter der ich mir via OPNsense eine DMZ aufbauen will.

@Mathias das ist aber ein neues Thema, da würde ich hier jetzt nicht unbedingt weiter den Thread mit verwässern?

Zudem: Bitte ein Netz hinter einem Providerrouter NICHT als DMZ ansehen. Es IST KEINE. Der Providerrouter, auch die ömmelige Fritzbox, gehört zum Provider und dessen Netz. Der Provider kann (und wird) ggf. in die Kiste reinschauen und kann damit auch mal die Konfiguration zermanschen oder verändern. Ein Gerät was DU nicht komplett selbst in der Hand hast und konfigurierst, kann kein sicheres Gateway sein, an dem eine DMZ hängt. Du hast damit einen Netzbereich vor der Sense, den ich als WAN/ähnlich Internet einstufen würde, aber sicher nicht wie eine DMZ.

> Das WLAN-Gastnetz kann ich doch auch direkt über OPNsense machen, oder?

Will man nicht. FreeBSD ist keine gute Basis für WLAN und die Treiber kommen nicht hinterher. Mit einem extra AP wird man wesentlich glücklicher, zudem ist die Ausleuchtung für WLAN besser, wenn die Antenne nicht aus der Firewall kommt die man ggf. nicht dort platzieren kann wo es Sinn macht.

> Ist in meinem Fall das Einrichten vom VLAN auf der Firewall, oder auf dem Switch besser?

Was hat a) mit b) zu tun? Wenn du VLANs durchziehen möchtest, müssen die auf einem Switch UND der Firewall konfiguriert sein (je nachdem ob tagged oder untagged), sonst funktioniert es eh nicht. Nur wenn du eh schon VLANs einsetzen willst, warum überhaupt der Unsinn der Pseudo-DMZ zwischen FB und Sense? Dann kannst du auch gleich ne ordentlich richtige DMZ an der Sense mit extra VLAN aufmachen?

Wie gesagt passt das aber IMHO nicht mehr zum OT und sollte als extra Thema behandelt werden.