Hardware Upgrade Gigabit WAN

[Schubbie]

Moin,
auf dem Motherboard ist 1x Realtek NIC und dann habe ich noch eine Broadcom PCi-Karre mit 2 NICs verbaut, die als WAN fungieren, was für meine bisher 7/2MBit locker gereicht hat...

Ideal wäre es, wenn eine andere Netzwerkkarte reichen würde, aber es ist anscheinend Prozessor und Netzwerkkarte nicht ideal...

i3 welcher Generation? Würde ja auch nichts bringen, wenn man sich wieder etwas grenzwertiges hinstellt. Stromverbrauch von unter 10W wäre wünschenswert, momentan liege ich glaube ich bei 6W.

[Tuxtom007]

Hallo,

ich nutze bei mir zuhause auch eine FritzBox 6591 im BridgeModus am Vodafone Anschluss mit 1GBit/s und dahinter dann eine OPNSense. Die FritzBox macht zudem noch den Telefonteil.

Die OPNsense läuft auch einem lüfterlosen MiniPC, Modell "NRG-System - ipu882", mit Core-i5 8250U Kaby Lake, 32GB Ram und ne 240 GB 2,5"-SSD drin. Zudem hat der 8x Intel LAN-Interface onboard. 
Neben OPNSense läuft noch AdGuard und mein Unifi-Controller mit der der Box und leistungsmässig ist die vollkommen unausgelastet.  CPU-Load deutlich unter 1.
Ich denke, das der Core-i3 mit 16GB Ram hier auch locker ausreichen würde.

Was ich allerdings empfehle, dem Gerät einen Lüfter zu spendieren. Bei mir steht der im Abstellraum, da wird es im Sommer schon mal recht warm drin und ein 120mm Lüfter mit 5V statt 12V betrieben, sorgt für stetige Luftzirkulation durch den Kühlkörper.  Die CPU-Core Temperaturen gehen schnell mal auf 70°C hoch.

Würde ich das System nochmal kaufen:  ja, aber dann in einer anderen Bauform als 19" Modell für den Rackeinbau.

[Schubbie]

Moin,
die FritzBox kann im Bridged Mode die Telefonie übernehmen? Die fungiert doch dann eigentlich nur als Modem?
Die Telefonie müsste bei mir über die DSL-Leitung geroutet werden, so lange die Nummern noch bei 1&1 liegen.

Ich informiere mich noch ein wenig und habe das Angebot von micneu im Hinterkopf. Allerdings sind wir heute am Reiseziel angekommen und ich habe nur das Smartphone zum Gucken mit...

[Tuxtom007]

die FritzBox kann im Bridged Mode die Telefonie übernehmen? Die fungiert doch dann eigentlich nur als Modem?

Wenn es ein Mietbox von Vodafone ist, kein Problem, dann funktioniert der BridgeModus auch richtig - zumindest hier in NRW, in anderen Bundesländern sieht es anders aus.
Die FritzBox bekommt dann 2 IP-Adresse zugewiesen, eine eben fürs Internet welche zur OPNSense durchgereicht wird und die andere für den Telefonieteil.

Vodafone muss dafür den sog. MaxCPE-Wert des Anschlusses von 1 auf >=2 stellen und das machen die nur bei gemieteten FritzBoxen und nicht bei Kaufgeräten.

[Schubbie]

Danke für die Info. Ich habe den einfachen Router genommen, da ich eh in den Bridged Mode wollte und dachte, dass ich durch eine FritzBox dann keinen Vorteil habe. Ich würde dann auch lieber eine kaufen als mieten und habe eine Telefonanlage. Aber gut zu wissen, falls ich auf weitere Probleme stoßen sollte.

Ich habe kurzentschlossen bei einem Angebot bei eBay zugeschlagen, jedoch mit 128GB SSD für 315,-€
Firewall Micro Appliance, Pfsense, Mikrotik, OPNsense, Untangle, VPN, Router PC, Intel Core I5 8265U, HUNSN RM02k, 6 x Intel 2.5GbE I225-V LAN, AES-NI, HDMI, SIM Slot, DDR4 8G RAM, 64G SSD https://amzn.eu/d/iMFcPXy

Das Teil sollte dann hoffentlich performat genug sein. Ich bin gespannt und werde berichten.
Vielen Dank für den Input und das Angebot von @micneu

[Schubbie]

Ich habe das Gerät noch nicht eingerichtet, kann aber schon folgendes sagen:
 - Download scheint voll da zu sein, rund 950.000kbit/s
 - Billige SSD-Festplatte (Fastsee) verbaut, unterstützt anscheinend keinen TRIM und verzögert den Start der OPNsense erheblich, da diese 5x versucht diesen zu starten
 - Board scheint ebenfalls billig zu sein. BIOS MNC91 1.06 vom 12.03.2020 und keine Ahnung, wie man das uodaten soll
 - immer wieder ein Erlebnis, bis man zumindest die Grundfunktion mit Internet am Laufen hat, wenn man es nicht ständig macht. Hürde: Zuweisung der Netzwerkkarten und das Kabelmodem muss immer neu gestartet werden, sobald ich an den LAN-Port eine andere Hardware klemme, sprich eine der beiden OPNsense tausche oder testweise den PC direkt anklemme. Ohne Neustart ist keine Verbindung zum Router möglich...

Nun muss ich mir noch überlegen, was ich nun genau machen werde. Kabel Vodafone denkt sich ja immer mehr Dinge aus, um die Kunden vor Hürden zu stellen. Der Router ist nun im Bridged Mode, jedoch bleibt die Telefonie in dem Router bestehen, so dass sich sicherlich der Port 5060 gekrallt wird und diese Daten gar nicht erst für meine PBX an der OPNsense ankommen werden. Vielleicht kann man das telefonisch deaktivieren lassen...
Ich bin ja schon kurz davor mir eine FritzBox zu bestellen, aber was mache ich dann mit meinen VLANs?

[micneu]

Ich bin ja schon kurz davor mir eine FritzBox zu bestellen, aber was mache ich dann mit meinen VLANs?

was hat die fritzbox mit vlans zzu tun, die willst du doch nur für die telefonie nutzen oder nicht?
aber die hardware hört sich für mich nicht so wirklich gesund an.

[Tuxtom007]

Ich bin ja schon kurz davor mir eine FritzBox zu bestellen, aber was mache ich dann mit meinen VLANs?

Die FritzBox kann nichts mit VLAN's anfangen, kennt die nicht.

Ich kann dir nur den Tip geben, keine FritzBox für Kabel zu kaufen, weil nicht sicher ist, ob danach noch der BridgeModus funktioniert.
Das hängt zudem stark vom Bundesland ab, was hier bei uns in NRW ( Ex-Unitymedia ) funktioniert, funktioniert z.b. in BaWue ( auch Ex-Unitymedia ) oder Bayern ( Vodafone KabelDeutschland ) noch lange nicht und ob das in 2 Jahre noch geht steht auch in den Sternen.

Ich hatte selber eine FB6660 hier in NRW als Kaufbox und der BrigdeModus hat überhaupt nicht funktioniert. Bin danach zu eine FB6591 als Mietbox von Vodafone gewechselt und die funktioiert, weil nur das von Vodafone unterstützt wird.
Die FritzBox macht bei mir Telefonie ( TelefonKomfortPaket ) und über den BridgeModus mit zweiter IP-Adressen den Internetteil durchgereicht zur OPNSense.

Die beste Lösung ist dann, eher auch ein reines Kabelmoden zu gehen und sich das zu kaufen und Telefonie komplett davon zu lösen über eine eigenen PBX.

Hier mal ein Screenshot, wie es da mir derzeit eingerichtet ist.

Und nochmal der Hinweiss:  das ist eine von Vodafone gemietet FB6591 im TelefonKomfort-Paket - die Box ist damit kostenlos, weil mit der Gebühr für Telefon-Komfort inklusive und gilt hier für NRW im Vodafone-Kabelnetz, ehemalig Unitymedia.
Telefonie geht bei mir zum einen per DECT-Telefon direkt zur FritzBox, VoIP-Telefon über VLAN50 und Smartphone-Apps, die im VLAN20 sitzen per WLAN.

[Schubbie]

Die FritzBox hat insoweit etwas mit dem VLANs zu tun, als dass diese keine kann und man dann doch wieder ein zusätzliches Gerät benötigt ;-)

Sicherlich ist es keine top Hardware, jedoch sollte das Board ausreichend sein, die NICs sind Intel und eine kleine SSD kostet nicht viel, habe ich vielleicht auch noch liegen.

Das mit den Unterschieden, die Vodafone macht, ist auch wieder so ein Gewirr. In der Firma (die ich bald wechseln werde und nach Einarbeitung in der neuen ins Home Office gehen werde, weshalb ich zuverlässig Internet benötige), eine Straße weiter, habe ich eine FritzBox Cable gekauft und konnte somit die PBX direkt an dem Cable SIP-Server anmelden, was seit über 2 Jahren ohne größere Probleme funktioniert. Da haben wir aber auch keine Firewall (nicht meine Entscheidung) dahinter und die PBX bekommt fleißig Anfragen aus Russland etc. auf Port 5060, welche bei mir zu Hause gar nicht erst durch die OPNsense kommen.

Momentan liegt meine private Telefonie noch bei 1&1 und muss somit über DSL geroutet werden, allerdings reicht die Bandbreite hier von 1&1 nicht für die zukünftige Arbeit aus, daher der Kabelanschluss.

Das mit der gemieteten Box sagt mir auch irgendwie zu, dann die eigene PBX rauswerfen (die kam aus Neugierde und da die FritzBoxen früher für VoIP per WLAN nicht schnell genug waren, was mittlerweile kein Problem mehr sein sollte, ggf. dann auch auf ein doppeltes NAT eingehen und die OPNsense als Exposed Host einstellen. Die FritzBox kann mittlerweile auch WireGuard (Laborversion) und die OPNsense wäre dann überwiegend für VLANs, wobei ich dann nicht weiß, ob bei WireGuard über die Fritte alle Geräte in den VLANs von außen erreichbar sind.
Verbaut habe ich Ubiquiti APs (PoE) für WLAN. Die VLANs habe ich für:
 - Hauptnetz
 - VoIP (könnte ich drauf verzichten)
 - SmartHome (soll bestehen bleiben, da ich so für jeden Raum einen eigenen Bereich habe)
 - Gastnetz
 - Gastnetz offen mit Anmeldung über das Captibe Portal (Spielerei)

Die für mich komplizierte Konfiguration der OPNsense (da ich mich selten damit beschäftige (Failover funktioniert nicht, da es wohl einen Bug gibt, wenn ein WAN auf DHCP steht; WireGuard lief nur einmal kurz, Fehler konnte nicht gefunden werden und ich hoffe, dass es nach der Neueinrichtung wieder läuft) raubt mir halt Zeit und Nerven. Aber wenn es dann läuft, dann ist man glücklich und fühlt sich sicherer. Daher muss ich mir momentan halt überlegen, wie ich es nun machen will, da eine Lösung oft zum nächsten Problem führt, seien es Zusatzkosten oder Eigenarten von Vodafone.

[Tuxtom007]

....Die für mich komplizierte Konfiguration der OPNsense....

Ich arbeite zwar im IT-Bereich, bin aber auch kein Netzwerk-Experte und ich hab mit OPNSense gegen Ende letzten Jahres angefangen.
Bei mir läuft eben auch OPNSense auf eigenere Hardware mit derzeit 10 VLan, als zentrale Firewall, DHCP-Server, usw.
Das Netzwerk dahinter ist auch Unifi mit Access-Point, der Controller dafür läuft mit auf der OPNSense, der macht ja nicht viel, ausser die VLANs / Switchprofile und WLAN zu verwalten.

Die derzeit für mich beste Lösung ist eben mit der FritzBox von Vodafone inkl. Telefon-Komfort, aktiven BridgeMode und der OPNSense dahinter, dann hab ich kein Doppeltes-NAT ( wobei ich keinen kenne, der damit Probleme hat )

[Schubbie]

Den Controller lasse ich in einer Home Assistant VM als AddOn auf einer Synology laufen, so lässt der sich sehr einfach updaten.
Mit dem Switch von Ubiquiti hatte ich Probleme, überwiegend in der Telefonie, welche mit meinem relativ günstigem ZyXEL-Switch verschwunden sind. Für mich also nur noch APs von Ubiquiti, von anderer Hardware habe ich Abstand genommen.

Die Komfort Option (gibt es nicht mehr?) ist nun anscheinend gleichzusetzen mit der Miete der FritzBoxen.
Falls man einen günstigen SIP-Trunk bekommt, wäre das eventuell auch noch eine Option, dann muss aber die Telefonie in dem Kabelrouter wahrscheinlich deaktiviert werden (wenn das geht), damit Port 5060 durchgereicht wird.

Ich muss mir da für mich Gedanken machen. Es hat alles sein Vor- und Nachteile und ggf. Hürden, die man zuvor nicht erkennt. Mein Vertrag mit der Telefonie läuft noch knapp 1 Jahr bei 1&1.

[Schubbie]

Leider etwas OffT, aber ansonsten endet es in einem Crossposting...
Letztes OffT, da hier angesprochen:

Variante 1:
OPNsense hinter FritzBox ohne Bridged Mode.
VLANs können erhalten bleiben, ggf. wird mit doppeltem NAT oder statischen Routen in der FritzBox gearbeitet. Ohne Bridge Mode bekomme ich nie die externe IP direkt an die OPNsense? VPN etc. in der OPNsense ist per DynDNS jedoch trotzdem möglich?

Variante 2:
OPNsense einstampfen (beinhaltet auch, dass ich 1&1 DSL als Failover abschalte, bzw. vielleicht durch meinen Switch Route und primär nur die Telefonie darüber abwickle, ich würde dann einen LTE-Unlimited Tarif für den Notfall buchen).
Stattdessen kaufe ich mir eine FritzBox (Cable), wodurch ich die SIP-Daten erhalte, möchte ich doch wieder eine eigene Telefonanlage und wäre damit flexibel. Hier könnte es allerdings engere Begrenzungen der Gesprächskanäle und bei der Anzahl der Rufnummern geben, wenn man nicht die Fritte von Kabel Vodafone mietet - das Risiko würde ich jedoch eingehen, Festnetztelefonie wird hier eh nicht permanent genutzt.
VLANs einstampfen (vielleicht hat jemand eine Idee, wie die Adressbereiche simpel erhalten bleiben können und diese auch untereinander kommunizieren können, ggf. Synology als DHCP-Server, Switch kann Layer 2 oder 3?), um der Ordnung meiner IPs nicht zu sehr hinterher zu trauern, würde ich die Clients (IoT-Geräte) dann per Hostnamen anstelle der IP ansprechen.
WLAN-SSIDs minimieren und nur noch ein eigenes WLAN und ein Gast-WLAN einrichten.
Dazu Port 4 der FritzBox als Gast-Netz deklarieren, den Port 4 an den Switch stöpseln und dem Port des Switches einen VLAN-TAG verpassen. Die Ports der Ubiquiti-APs bleiben VLAN Trunks und für die SSID des Gast-WLANs gebe ich entsprechendes VLAN an (ist ja nun auch so), somit müsste ich das Gastnetzwerk der FritzBox sauber trennen und nutzen können.

Meine Geräte halten sich in folgenden VLANs in Grenzen:
Synology (6 Netzwerkkarten) und APs in allen VLANs verfügbar
Heimnetz: Smartphones, Tablets, 4 PCs
Gastnetz: Gäste
VoIP: PBX auf Synology als VM, 1x DECT-Basis, 1x Tischtelefon (Smartphones per Heimnetz & Zoiper)
SmartHome: SmartHome-Zentralen als VM auf Synology, ca. 25 IoT-Geräte (überwiegend Shelly)
Gastnetz-Offen: Gäste ohne Zugangsdaten durch Zustimmung der Nutzungsbesdinungen

Gäste würde ich zusammenfassen und offen lassen, Nutzungsbestimmungen können in der FritzBox als Bedingung zur Nutzung gewählt werden (wie Captive Portal in der OPNsense).

Mein Site2Site-VPN läuft eh zu einer anderen Fritte und die Smartphones können bald direkt per WireGuard an der Fritte angemeldet werden, bis dahin kann WireGuard auf der Synology laufen.

Ich tendiere der Einfachkeit halber, und da meine Zeit immer weniger wird, zu Variante 2. Habt ihr eine unparteiische Einschätzung? Ich habe in Vergangenheit mit Kanonen auf Spatzen geschossen, da es Hobby ist, aber die Zeit wird mit den Kindern nicht mehr ;-)

Vielleicht dann noch eine einfache Möglichkeit ohne zusätzlicher Hardware doch die VLANs beizubehalten (managebarer Switch vorhanden, vielleicht sogar darin einstellbar), Netze müssen untereinander sprechen können, eventuell per DHCP-Server auf der Synology realisierbar? Würde man die Clients dann auch in der Fritte sehen?

Vielen Dank für Euren Input, der mir schon weitergeholfen hat und das Gefühl verleiht, dass ich kurz vor der vorläufigen Finalen Lösung stehe ;-)

[Tuxtom007]

Variante 1:
OPNsense hinter FritzBox ohne Bridged Mode.
VLANs können erhalten bleiben, ggf. wird mit doppeltem NAT oder statischen Routen in der FritzBox gearbeitet. Ohne Bridge Mode bekomme ich nie die externe IP direkt an die OPNsense? VPN etc. in der OPNsense ist per DynDNS jedoch trotzdem möglich?

Alternativ Variante 3:
keine FritzBox sondern Kabelmodem kaufen ( TC4400 ),
damit bekommst du deine SIP-Daten, hast kein doppeltes NAT und kannst problemlos deine eigene PBX betreiben.

Setzt aber dann eine Firewall voraus = OPNSense, die dann auch den Inter-VLNA-Traffic regelt.

[Schubbie]

Die Fragen sind ja, welche Vorteile ich durch PBX und OPNsense habe.
Ich habe eben mit einem Bekannten die Gesprächsqualität per FritzFon-App per WLAN durch einen VPN getestet. Qualität war sehr gut, nicht vergleichbar mit dem, was vor ca. 10 Jahren war, weshalb ich die PBX angeschafft habe.

Die OPNsense brauche ich dann nur noch für VLAN, alles andere kann die Fritte.

Da fragt man sich dann doch, ob es den Aufwand noch wert ist. Hätte ich mehr Zeit, dann ja, alleine aus Interesse, aber ohne Zeit rechtfertigt der Aufwand den Nutzen nicht.

Variante 3 hatte ich bis jetzt, allerdings mit DSL.

[Tuxtom007]

Die OPNsense brauche ich dann nur noch für VLAN, alles andere kann die Fritte.

Eher ist die Frage, was du von einer OPNSenser erwartest ?
Klar macht die Arbeit ( Konfiguration, Pflege, vorherige Überlegungen ) und kostet Geld ( für Hardware, Strom )

Ich nutze die in erster Linie mal als Firewall um meine System bzw. Netze mal untereinander und gegen das Internet zu sperren und das kann z.b. die FritzBox überhaupt nicht. Z.b. sollen meine IoT und Smarthome-Geräte zwar mit dem Servern kommunizieren dürfen, aber nichts ins Internet rein und nicht mit anderen Systemen sprechen können. Zudem hab ich auch das Firmennotebook fürs HomeOffice komplett in ein eignes VLANgepackt, komplett vom Rest abgetrennt.

Die FritzBox ist dann gut, wenn man einen All-In-One Router/WLan-AccessPoint/Telefonanlage für den Hausgebrauch will und der möglichst keine Arbeit macht - dann sage ich klar, bleibe bei der FritzBox.