Fragen zu kleinem Heimnetzwerk mit zwei Subnetzen

[JUK]

Hallo,

ich habe hier eine echte Newbie-Frage, die mir so auch die Suchfunktion nicht umfangreich beantworten konnte. Ich möchte von der Kabel-Fritzbox (Vodafone FB6490) auf ein Modem (TC4400) und einer OPNsense-Firewall umsteigen.

Die Gründe sind:
- Eine sichere Trennung zwischen meinem privaten Netzwerk und dem Gästenetzwerk
- Eine schnelle VPN-Verbindung von außen
- Zusätzliche Security-Features wie IPS/IDS

Gegeben sind folgende Bedingungen:
- Der Kabelanschluß ist im Sohn vom Junior, liegt aber für WLAN und DECT sehr zentral, es gibt im Haus leider keine LAN-Verkabelung.
- Daher sind alle Devices (bis auf PS4 und PC vom Junior) per WLAN verbunden.
- Da die Fritzbox dafür nicht ausreicht, existiert bereits ein sehr gut funktionierendes Mesh-WLAN mit 3x Netgear ORBI, dass aber leider im AP-Modus keine VLANs unterstützt.
- Der Kabelanschluß ist ein VF Business 400 Internet & Phone mit fester IPv4 Adresse und IPv6 Adresse (/56)
- Das Pi-Hole ist bereits im Betrieb und läuft gut - sowie ich das verstanden habe, ist das gegen Werbung und Tracker auch besser als die internen Möglichkeiten der OPNsense, oder?
- Das Modem ist bereits bestellt und OPNsense läuft im Testmodus auf einem IPC mit i5-5250.

Mein Junior soll am Gästenetzwerk hängen, so dass ich mir überlegt habe, für das Gäste-WLAN, die VOIP-Telefonanlgae (DECT) und als Switch für seine PS4 und seinen PC eine FB7390 zu kaufen und die im PC-Client-Mode an den OPT1-Port der OPNsense zu hängen (mit der bestehenden 6490 geht ja leider PC-Client Modus).

Das Ganze stelle ich mir so vor:



Funktioniert das Ganze so, wie ich mir das vorstelle?
Kann ich für die beiden Subnetze zwei DHCP-Server auf der OPNsense einrichten?
Und kann ich ohne VLANs mit einem PC aus 192.168.10.x auf die Fritzbox mit 192.168.20.x zugreifen? Andersrum dürfen aus dem .20-Netz natürlich keine Zugriffe auf das .10-Netz möglich sein.

Viele Grüße, Uwe

P.S.: Ich seh gerade einen Fehler im Diagramm, die beiden Devices am ORBI sollen natürlich auch 192.168.10.x und nicht 192.168.1.x bekommen..

[fabian]

Adresse und IPv6 Adresse (/56)

Die fehlen noch in deinem Netzplan - nur so zur Info

- Das Pi-Hole ist bereits im Betrieb und läuft gut - sowie ich das verstanden habe, ist das gegen Werbung und Tracker auch besser als die internen Möglichkeiten der OPNsense, oder?

Denke mit entsprechenden Erweiterungen ist da nicht viel unterschied

Mein Junior soll am Gästenetzwerk hängen, so dass ich mir überlegt habe, für das Gäste-WLAN, die VOIP-Telefonanlgae (DECT) und als Switch für seine PS4 und seinen PC eine FB7390 zu kaufen und die im PC-Client-Mode an den OPT1-Port der OPNsense zu hängen (mit der bestehenden 6490 geht ja leider PC-Client Modus).

Sie sollte möglichst als switch agieren

Kann ich für die beiden Subnetze zwei DHCP-Server auf der OPNsense einrichten?

Nein, das wird ein DHCP Server, der beide Netze bedient aber die halt mit unterschiedlichen Netzen. SLAAC für IPV6 nicht vergessen! Das geht mit dem Router Advertising Daemon

Und kann ich ohne VLANs mit einem PC aus 192.168.10.x auf die Fritzbox mit 192.168.20.x zugreifen? Andersrum dürfen aus dem .20-Netz natürlich keine Zugriffe auf das .10-Netz möglich sein.

Sicher - Firewall Regeln

[micneu]

also, ich habe es bei mir so gelöst.
schau mal mein bild an. mit der OPNsense kannst du das komplett umsetzetn.
da ich ein freund von ubnt ap´s bin empfehle ich die auch.
die können auch vlan / multi ssid.
was noch fehlt was ich bei dir nicht gesehen habe einen managed switch.
ist nur eine idee.

[JUK]

Danke an euch, das hat mir geholfen.

Die ORBIs werde ich allerdings trotz fehlenden VLAN-Möglichlichkeiten nicht ersetzen, dafür waren die zu teuer und haben eine Super-Leistung. Hinter einem Satelliten befindet sich ein managed HP-Switch, an dem mein Haupt-PC sowie meine NAS hängt.

[micneu]

wenn du das modem hast, kannst du mal bitte berichten wie das so ist. bitte auch beschreiben an welchem provider du es einsetzt usw.