Wo und wie fange ich nur an...?

[inkasso]

Hallo zusammen!

Ich bin neu hier und lese nun schon ein paar Tage das Forum quer. Aber je mehr ich lese, um so erschlagener fühle ich mich von all den Infos. Mehr wie ein hilfloses Gesicht kann ich momentan nicht machen :o

Offenbar habe ich das Thema Internet-Sicherheit echt zu lange stiefmütterlich behandelt. Jede zweite Abkürzung muss ich nachschlagen... aua.

Warum ich mich hier umsehe?
Ich hab schon länger den Wunsch, meine Internetverbindung zu Hause vernünftig abzusichern. Das Gefühl der Notwendigkeit dazu wächst stetig. Dabei möchte ich keine jährlichen Gebühren zahlen und scheue mich nicht davor, mich bei manchen Dingen durchwurschteln zu müssen. Für mich steht OPNsense als geeignete Lösung fest. Viel weiter bin ich aber noch nicht...

Was ich bisher so einsetze?
Aktuell "verlasse" ich mich auf meine FritzBox "Firewall" und den gesunden Menschenverstand beim Surfen und Installieren von Software, sowie bei der Inbetriebnahme von internet fähigen Geräten (in Deckung geh). Ich fühle mich damit nicht wirklich wohl - was einer der Gründe für mein Interesse an OPNsense ist. Bisher hab ich mich damit "beruhigt", dass bei meiner lahmen Internet-Verbindung das Risiko doch überschaubar ist. (Vielleicht nenne ich es lieber "fahrlässige Selbsttäuschung"?!)

Bevor jetzt die Backsteine geflogen kommen: ja, das ist nicht gut, so wie es ist. Das darf so nicht bleiben und ich gelobe Besserung  ::).

Mein Background
Ich hab schon in jungen Jahren mit der IT begonnen, war noch mit BTX und DatexJ unterwegs, bevor man hier anfing, sich ins Internet zu begeben. Habe auch eine Ausbildung im IT Bereich gemacht und bastle schon immer an allem herum, was mir so in die Finger kommt. Ich setze auch schon länger verschiedene Linux-Distros ein - angefangen hab ich in einer Zeit, wo man noch viel über das Editieren von Konfigurationsdateien machen musste. Daher denke ich auch, der "Aufgabe" gewachsen zu sein, mit OPNsense meine Sicherheitsbedürfnisse zu regeln.

Ausgangslage
Vom pinken quasi Monopolisten hab ich hier auf dem Land einen IP basierten DSL RAM 6000 Anschluss aus dem etwa 4,5 MBit/s down rauströpfeln. Daran hängt eine FritzBox 7490 als Firewall/Modem/Router/WLAN AP. Ferner hab ich hier noch einen TP Link Router, der es mir ermöglicht, ein zweites WAN parallel zu nutzen. Dahinter hängt ein Sat-Modem (SkyDSL - Nachts 20 MBit down / Tags ist es langsamer als das Festnetz DSL)

Ich arbeite schon seit Jahren im Home Office. Meine Frau tut das auch - für eine andere Firma. Daher stammen zwei permanente VPN Verbindungen nach draußen. Es gibt diverse Netzwerk-Teilnehmer hier im LAN, die aber letztendlich alle nur Clients sind und von außen aktuell nicht erreichbar sein müssen.

Thema Verkabelung: ich hab ne Mietswohnung... aber das hat mich nicht so wirklich vom Löcher bohren abgehalten. Cat7 Verkabelung (Kumpel hatte damals "noch so ne Rolle rumliegen") und einige Netzwerkdosen. 2 Gigabit Switche (einer davon managed).

langfristige Zielsetzung
Ich hab mir jahrelang überlegt, was ich alles haben möchte, wenn hier denn endlich mal schnelleres Internet verfügbar wird. Inzwischen ist es so weit - und dann auch noch schneller, als ich je zu hoffen gewagt habe. Aktuell wird bei uns FTTH ausgebaut.

Die Interessensliste ist demnach also lang - und es muss nicht alles auf einmal und von Anfang an da sein. Die Reise soll aber letztlich da hin gehen (sortiert nach Dringlichkeit).

Telekom SIP muss von Anfang an gehen
Transparent WebProxy
Internes Gäste WLAN (in separatem VLAN)
Entertainment Geräte (in separatem VLAN)
OpenVPN Client + IPSec Client (aktuell schon vorhandene VPNs einbinden)
Application Filtering
Tor
OpenVPN Server

Dabei wird künftig mit nur einem WAN gearbeitet, es soll aber Luft für ein zweites sein. Die tatsächlich verfügbaren Geschwindigkeiten am Ort sind noch nicht offiziell bekannt gegeben worden, weil ja noch ausgebaut wird. Ich glaube nicht, dass hier tatsächlich 1GBit/s aus der Leitung kommen, wenn man auf FTTH geht.

Der Ausbau der Internetverbindung wird zunächst auf das maximal verfügbare VDSL gehen (50 Mbit/s down sind wegen der Förderung vom Bund als Minimum garantiert) und hier wird die FritzBox wohl zunächst das Modem für stellen. Die alte Hardware soll aber schon nach und nach durch Einzelkomponenten (Modem / WLAN AP) abgelöst werden. Später ist Glasfaser mit 500 Mbit/s angedacht.

Das Budget ist wie so oft der Knackpunkt, deswegen möchte ich jetzt einmal die Firewall-Hardware groß genug kaufen und dann 8-10 Jahre damit glücklich sein können. Zeitgleich kann ich mir aber definitiv nichts leisten, was im hohen dreistelligen Bereich liegt oder drüber. (Ich spüre schon wieder Backsteine fliegen *duck*)

Mein aktuelles Problem
Oder: Warum schreibt er all das nur?

Ich hab schon einige Hardware Empfehlungen hier im Forum gelesen. Was ich sehe sind dann aber entweder Empfehlungen, wo ich denke, dass es vielleicht am Anfang reicht, später aber nicht - oder Dinge, die gleich mal bei ~1.500€ ansetzen. Einen "alten PC ausm Fundus" möchte ich für die Aufgabe auch nicht hinstellen - soll schon Hardware sein, die genau für diese Anwendung gedacht ist und dabei dann möglichst auch nicht groß Platz braucht und Strom frisst.

Und nu versteht ihr hoffentlich, waurm ich hier nur hilflos dreinschaue und nicht so recht vorwärts komme. Hilfe... bitte ;)

[micneu]

Willkommen, irgendwo musst du anfangen.
Du hast ja genug Beiträge gelesen, ich denke mit der Hardware solltest du anfangen entweder jetzt erstmal eine apu4d4 und später was besseres oder gleich ca. 450€ - 500€ in die Hand nehmen.
Hier meine Tipps:
- keine REALTEK NIC
- CPU nicht zu alt und bloß keinen celleron j1900
- mindestens 3xETH
- kein wlan über eingebaute wlan-Karte

Hier die Kisten bekommt man auch bei AliExpress
Ich habe davon auch (siehe footer)

https://protectli.com/product-comparison/
Für mein Core i7 System habe ich damals ca. 450€ ohne RAM und ssd gezahlt.


Gesendet von iPad mit Tapatalk Pro

[banym]

Hallo,

wenn Du dir schon sicher bist ,was Du für Bandbreiten später verarbeiten möchtest, kann so ein apu4d4 auch schon für später genügen. Sicher schaffen die Dinger so bis max. 500Mbit in der letzten Generation. Das ist denke ich doch auch eine relativ zukunftssichere Lösung. Persönlich genügen mir privat auch ca. 100/40Mbit, auch wenn ich aus der Firma 1/1Gbit gewohnt bin.

Die Geschwindigkeit eines Anschlusses hat auf die Sicherheit nur wenig Auswirkung. Ab einer bestimmten Bandbreite ist da alles egal. Da Du nicht von 56k kommst, hast Du da die gleichen Bedürfnisse wie alle im Netz.

Die Zeit für den transparenter Proxy würde ich streichen und durch was anderes ersetzen.
Schau dir an dessen Stelle lieber DNS Blacklisten und IDS/IPS an. Der meiste Traffic ist HTTPS und schließt in vielen Fällen den Nutzen eines HTTP Proxy aus, wenn du nicht das HTTPS aufbrichst.

Spare nicht am WLAN Accesspoint.

Dein Telekom SIP kannst Du je nach Bedarf in eine kleine Telefonanlage laufen lassen oder Du holst dir ein SIP fähiges Gigaset und konfigurierst die Zugangsdaten direkt im Telefon. Thema erledigt. Privat nutze ich einfach ein Gigaset und das macht das SIP mit Telekom. Funktioniert sehr gut. Telekom Profil ist in dem Teil hinterlegt, wenig bis kein Stress damit gehabt.

Bei allen Funktionen einer Firewall ist die Sicherheit des Netzwerk aber abhängig von den Clients. Die Angriffsvektoren sind vielfältig und verändern sich schnell. IDS/IPS sind kein Wundermittel. Manchmal informieren sie auch nur, können aber nicht sicher verhindern.

Ein sinnvolles Regelwerk und Netzwerktrennung sind aber gute Ansatzpunkte.

Ach sorry und zu deiner Frage im Subject wo Du anfangen sollst: "Wenn man Hinten und Vorne keine Ahnung hat, am besten in der Mitte." ;-)

VG und viel Spaß hier.

[inkasso]

Zunächst mal Danke an euch beide fürs Durchhalten beim Lesen :D

Du hast ja genug Beiträge gelesen, ich denke mit der Hardware solltest du anfangen entweder jetzt erstmal eine apu4d4 und später was besseres oder gleich ca. 450€ - 500€ in die Hand nehmen.

Wenn ich jetzt nur die Firewall-Hardware kaufe, sind bis 400€ drin. Die tun dann aber schon weh.

Hier meine Tipps:
- keine REALTEK NIC
- CPU nicht zu alt und bloß keinen celleron j1900
- mindestens 3xETH
- kein wlan über eingebaute wlan-Karte

Das es kein REALTEK NIC sein soll hab ich glaub ich von dir schon in einem anderen Thread zu einer Hardware-Anfrage gelesen. Scheinst mit denen wohl schlechte Erfahrungen gemacht zu haben. Bisher hatte ich weder mit denen, noch mit Intel irgendein Theater. Es schadet sicher nicht, bewusst auf Intel zu setzen. Die werden schließlich auch im professionellen Bereich bevorzugt.

Nach allem was ich so überschlagen habe brauche ich 4 - 5 Ethernet Ports, spätestens wenn es Gigabit wird - sonst bau ich mir unnötig nen Flaschenhals.

Ein eingebautes WLAN... da will ich ja sowieso von weg. Sowas hab ich schon in der Fritzbox - und die kann noch nicht mal VLAN. War schon länger am Überlegen, ob ich da nicht mal Freetz drauf spiele, aber irgendwie macht mir der Haufen keinen so verlässlichen Eindruck mehr.

Hier die Kisten bekommt man auch bei AliExpress
Ich habe davon auch (siehe footer)

https://protectli.com/product-comparison/
Für mein Core i7 System habe ich damals ca. 450€ ohne RAM und ssd gezahlt.

Mein Wissen über AliExpress: Ich weiß, dass es existiert. Und daher wüsste ich jetzt erst einmal nicht, was ich davon halten soll. Auch darüber bin ich hier schon mehrfach gestolpert. Scheint beliebt zu sein, da was zu kaufen.

wenn Du dir schon sicher bist, was Du für Bandbreiten später verarbeiten möchtest, kann so ein apu4d4 auch schon für später genügen. Sicher schaffen die Dinger so bis max. 500Mbit in der letzten Generation. Das ist denke ich doch auch eine relativ zukunftssichere Lösung. Persönlich genügen mir privat auch ca. 100/40Mbit, auch wenn ich aus der Firma 1/1Gbit gewohnt bin.

Das Gemeine ist: mein Chef kommt gern mal auf verrückte Ideen. Ich war zufrieden mit meinem PC. Er schaltet sich per Fernwartung dazu und meint, das sei viel zu langsam... da kostet mich deine Wartezeit mehr als ein neuer PC. Und auf einmal bekomm ich einen neuen PC. Jetzt arbeite ich dank Windows 10 und Office 365 schlechter als vorher mit mienem Windows 7 und Office 2k. Ich fürchte, mit dem Internet kommt er auf ähnliche Ideen, sobald hier Gigabit verfügbar wäre. Nur da würde ich mich dann auch sicher nicht wehren, wenn er sich an den Kosten beteiligt.

Die Geschwindigkeit eines Anschlusses hat auf die Sicherheit nur wenig Auswirkung. Ab einer bestimmten Bandbreite ist da alles egal. Da Du nicht von 56k kommst, hast Du da die gleichen Bedürfnisse wie alle im Netz.

Ich weiß. Die Idee dahinter war: Ein Angreifer hat eh kein Bock mehr, wenn er auf die Resultate seiner Attacken nur lang genug warten muss :D
Das es blauäugig ist, ist mir klar. Dewegen soll ja jetzt auch was gescheites her. Zeitgleich lerne ich dann auch wieder was für die Arbeit hinzu.

Die Zeit für den transparenter Proxy würde ich streichen und durch was anderes ersetzen.
Schau dir an dessen Stelle lieber DNS Blacklisten und IDS/IPS an. Der meiste Traffic ist HTTPS und schließt in vielen Fällen den Nutzen eines HTTP Proxy aus, wenn du nicht das HTTPS aufbrichst.

Ja, da hast du Recht. HTTPS ist da echt der Knackpunkt. Nur IDS/IPS wollte ich bewusst erstmal nicht, weil ich denke, dass hier ein Großteil der Ressourcen für draufgehen würde, oder? Die Beispiele mit und ohne lagen irgendwie immer gleich so um die 500€ auseinander...

Spare nicht am WLAN Accesspoint.

Früher hätt ich noch gesagt, ich spar mir den WLAN AP komplett... In Zeiten von Smartphones und Tablets aber leider nicht mehr drin. Und ja, hier soll was vernünftiges her. Das ist aber eine spätere Anschaffung. Vorerst macht das weiter die Fritzbox.

Dein Telekom SIP kannst Du je nach Bedarf in eine kleine Telefonanlage laufen lassen oder Du holst dir ein SIP fähiges Gigaset und konfigurierst die Zugangsdaten direkt im Telefon. Thema erledigt. Privat nutze ich einfach ein Gigaset und das macht das SIP mit Telekom. Funktioniert sehr gut. Telekom Profil ist in dem Teil hinterlegt, wenig bis kein Stress damit gehabt.

Auch hier: aktuell nutze ich nur noch 2 DECT Telefone (auch Gigaset - aber eben keine SIP fähigen) und die FAX Funktion und den AB der Fritzbox. Auch die Rufnummern-Blockierung und das zentrale Adressbuch finde ich nicht verkehrt. Von daher würde ich auch das gern so belassen. Spannend wird dann noch ein echtes IP Telefon, was ich hier von meinem Arbeitgeber rumstehen hab...

Bei allen Funktionen einer Firewall ist die Sicherheit des Netzwerk aber abhängig von den Clients. Die Angriffsvektoren sind vielfältig und verändern sich schnell. IDS/IPS sind kein Wundermittel. Manchmal informieren sie auch nur, können aber nicht sicher verhindern.

Ein sinnvolles Regelwerk und Netzwerktrennung sind aber gute Ansatzpunkte.

Gut, das hab ich im Griff. Updates werden regelmäßig gemacht. Spy und Malware werden geblockt und es wird regelmäßig drauf gescannt... Vernünftiger Virenscanner ist auch am Start. Bei der Thematik sind wir hier schon recht gut aufgestellt. War mir auch wichtig, wenn man schon keine gescheite Firewall hat...

Ach sorry und zu deiner Frage im Subject wo Du anfangen sollst: "Wenn man Hinten und Vorne keine Ahnung hat, am besten in der Mitte." ;-)

Dann bin ich ja von Anfang an mitten drin statt nur dabei ;)

Danke nochmal ihr beiden! Ich werde mir heute Nachmittag nochmal die apu4d4 ansehen. Bei der dachte ich aber schon "das könnte eng werden". Und die QOTOM Q575G6 die du in der Signatur hast... die scheint mir ja schon arg an die Grenzen des finanziell möglichen zu gehen :-/

Schönen Gruß

[micneu]

Moin, alternativ kannst du dir ja sowas noch anschauen,
Müsstest nur noch eine dial oder Quad NIC nach stecken, hast aber genug Reserven schätze ich.

https://www.mindfactory.de/product_info.php/Supermicro-SuperServer-5019S-L-schwarz_1122713.html



Gesendet von iPad mit Tapatalk Pro

[inkasso]

Ich hab mir gerade nochmal die Q575G6 bei Ali angesehen.

Laut Verkäufer bekommt man die Sendung DDP - dann ist der Preis ja gleich mal ein ganz anderer. Bleibt nur noch der bittere Beigeschmack von fehlender rechtlicher Handhabe und Garantieleistung...

Hast du dir das Gerät damals komplett mit SSD und RAM genommen oder beides dann in der EU nachgekauft und eingebaut? all inclusive wären es atm ~ 413€

[micneu]

nur die nackte hardware (ssd + ram über amazon )

[lewald]

Ich hab mir gerade nochmal die Q575G6 bei Ali angesehen.

Laut Verkäufer bekommt man die Sendung DDP - dann ist der Preis ja gleich mal ein ganz anderer. Bleibt nur noch der bittere Beigeschmack von fehlender rechtlicher Handhabe und Garantieleistung...

Hast du dir das Gerät damals komplett mit SSD und RAM genommen oder beides dann in der EU nachgekauft und eingebaut? all inclusive wären es atm ~ 413€

Ich habe mir das auch mal angeschaut.
Habe da eine nackte Q575G6 gesehen. Für 312 $.
Aber da ist kein Netzteil dabei.
Und es muss ja noch Steuern(16%) und Zoll (Bei PCs wohl nicht) drauf.

Also Achtung. Bitte genau schauen ob das auch vollständig ist.

[inkasso]

Ich habe mir das auch mal angeschaut.
Habe da eine nackte Q575G6 gesehen. Für 312 $.
Aber da ist kein Netzteil dabei.
Und es muss ja noch Steuern(16%) und Zoll (Bei PCs wohl nicht) drauf.

Also Achtung. Bitte genau schauen ob das auch vollständig ist.

Danke für den Hinweis!

Ich hab bei dem Händler gesehen, dass er EU Versand mit DDP anbietet - dafür wartet man dann halt länger. Das hätt ich mir vorher auch nochmal bestätigen lassen. Wär ja noch schöner, wenn man etwas mehr für den Versand bezahlt, länger wartet, und dann noch die EinfuhrUSt. zahlen dürfte...

Was mir nicht schmeckt ist die geringe Anzahl an Bewertungen, die der Händler hat. Von daher ist mir das Risiko zu hoch.

Die 312 USD hatte ich auch - das ist das nackte Gerät. Davon kann ich aktuell Rabatt und Neukunden-Bonus abziehen. Aber egal wie schön ich es mir rechnen kann... es ist mir dann doch zu heikel.

[Gauss23]

Vom Netzwerk-Aufbau würde ich die Fritzbox als Router stehen lassen. Damit ist SIP wie gewohnt möglich und Du musst nichts Neues dafür kaufen. In das Netz der Fritzbox kommen dann alle nicht vertrauenswürdigen Geräte wie Entertain und co. WLAN und Gäste WLAN kann die Fritzbox dann auch erstmal weiterhin machen, bis Du Geld für eine richtige WLAN Lösung ausgeben willst. Allerdings kommen dann WLAN Geräte nicht ins Netz der OPNsense, was bei Tablets und co vermutlich nicht dramatisch ist.

Die OPNsense bekommt eine statische IP im Fritzbox-Netz. Um doppeltes NAT zu vermeiden trägst du in der Fritzbox die Netze als statische IPv4 Routen ein von der die Fritzbox wissen muss, um Pakete zu routen. NAT wird dann an der OPNsense deaktiviert. Für den OpenVPN Server trägst Du eine Port-Weiterleitung ein. So kannst es später auch ermöglichen, dass ein vielleicht nicht vertrauenswürdiges Gerät im Fritzbox Netz dennoch Zugriff auf einzelne Ports einzelner Geräte im OPNsense Netz erhält.

Hinter der OPNsense spannst Du dann Deine Netze auf.

Die firmenspezifischen VPN Verbindungen würde ich wohl eher auf dem Client belassen. Das macht nur Sinn wenn mehrere Geräte die gleiche VPN Verbindung nutzen sollen. Was in eurem Setup aber keine Rolle spielt. Sonst müsstest Du klar abgrenzen welche Endgeräte in welchen VPN Tunnel dürfen. Abgesehen davon werden die VPN Verbindungen, die Du da hast eher Roadwarrior Verbindungen sein und keine Site-to-Site Verbindungen. D.h. Du müsstest dann alle Verbindungen in die VPN Tunnel NATten. Das ist Unsinn.

Mit diesem Setup erreichst Du mit überschaubaren Mitteln (nur eine geeignete Box für OPNsense) einen Einstieg in die OPNsense Welt und musst Dich zu Beginn nur um die zu schützenden PCs kümmern und hast dennoch einen Gewinn an Funktionalität und Sicherheit.

Später dann kann man dann das WLAN umbauen und ggf irgendwann die Fritzbox komplett ablösen, wobei ich da keine Not drin sehe.

[inkasso]

Endlich mal Dinge, bei denen ich schon ohne lang überlegen zu müssen, mitreden kann :)

Vom Netzwerk-Aufbau würde ich die Fritzbox als Router stehen lassen. Damit ist SIP wie gewohnt möglich und Du musst nichts Neues dafür kaufen. In das Netz der Fritzbox kommen dann alle nicht vertrauenswürdigen Geräte wie Entertain und co. WLAN und Gäste WLAN kann die Fritzbox dann auch erstmal weiterhin machen, bis Du Geld für eine richtige WLAN Lösung ausgeben willst. Allerdings kommen dann WLAN Geräte nicht ins Netz der OPNsense, was bei Tablets und co vermutlich nicht dramatisch ist.

Fritz wird SIP und WLAN bereitstellen. Ferner kommen alle nicht vertrauenswürdigen Geräte ins GästeLAN/WLAN. Ich kann keine pauschale Trennung zwischen dem WLAN und dem sicheren Netz gebrauchen. WLAN Teilnehmer sind Laptops, Tablets und Smartphones. Selbst mit letzteren greife ich auf Dienste in meinem LAN zu. Die Androids sind gerootet, haben ein CustomOS und eine Firewall drauf und tauschen regelmäßig Dateien mit verschiedenen Rechnern im LAN aus. Ich nutze absichtlich keine Cloud Lösungen für sowas...

Die OPNsense bekommt eine statische IP im Fritzbox-Netz. Um doppeltes NAT zu vermeiden trägst du in der Fritzbox die Netze als statische IPv4 Routen ein von der die Fritzbox wissen muss, um Pakete zu routen. NAT wird dann an der OPNsense deaktiviert. Für den OpenVPN Server trägst Du eine Port-Weiterleitung ein. So kannst es später auch ermöglichen, dass ein vielleicht nicht vertrauenswürdiges Gerät im Fritzbox Netz dennoch Zugriff auf einzelne Ports einzelner Geräte im OPNsense Netz erhält.

Da sprichst du genau den Punkt an, der mir gerade im Kopf herum schwirrt. Ich weiß noch nicht genau, wie ich es mache, weil es, egal wie herum, immer irgendwo doof ist...

Bisher hab ich ausschließlich statische IPv4 Vergabe und IPv6 ist disabled.
Schwierig wird es, die Firewall zwischen Modem und Fritzbox zu bekommen, da das physisch nicht geht, solange ich das Modem der Fritzbox nutzen möchte. Auf der einen Seite möchte ich, dass die Firewall die Internetverbindung herstellt und da steht, wo sie hin gehört: Zwischen WAN und LAN. Andererseits ist der WLAN AP, SIP und Modem alles gemeinsam in der Fritzbox und damit nicht so zu verkabeln, wie ich es gern hätte.

Hinter der OPNsense spannst Du dann Deine Netze auf.

Die firmenspezifischen VPN Verbindungen würde ich wohl eher auf dem Client belassen. Das macht nur Sinn wenn mehrere Geräte die gleiche VPN Verbindung nutzen sollen. Was in eurem Setup aber keine Rolle spielt. Sonst müsstest Du klar abgrenzen welche Endgeräte in welchen VPN Tunnel dürfen. Abgesehen davon werden die VPN Verbindungen, die Du da hast eher Roadwarrior Verbindungen sein und keine Site-to-Site Verbindungen. D.h. Du müsstest dann alle Verbindungen in die VPN Tunnel NATten. Das ist Unsinn.

Aktuell:
3 verschiedene Rechner hängen an 2 verschiedenen VPN Endpunkten.

Rechner 1 => openVPN Client => Internet => Roadwarrior

Rechner 2 => openVPN Client => Internet => Roadwarrior
Rechner 2 => Fritzbox => IPSec => Internet => Fritzbox

Rechner 3 => Fritzbox => IPSec => Internet => Fritzbox

Bei den Endpunkten handelt es sich um statische öffentliche IPs. Natürlich können bei der aktuellen Konfiguration alle Rechner auf die VPN der Fritzbox gehen - ist aber nicht der use case.

Später dann kann man dann das WLAN umbauen und ggf irgendwann die Fritzbox komplett ablösen, wobei ich da keine Not drin sehe.

Na Not sehe ich nicht. Aber Geräte mit "alles drin" kann man im Netzwerk nur unflexibel einsetzen, wie du ja selbst schon mit deinem Vorschlag zu umschiffen versuchst.

Danke auch dir für deinen Gehirnschmalz! Ich freu mich immer über konstruktive Vorschläge - hab hier keinen mit dem ich über solche Themen reden kann.

[JeGr]

Bevor ich länger in das Thema einsteige ^^ ;) kurz vorab die Frage:

Hast du bzgl. deiner Hardware fürs Gateway dich schon festgelegt? Und wenn nicht, wann willst du denn das ganze starten (auch mit den anderen Punkten die du aufführst)?

[Gauss23]

Ich kann keine pauschale Trennung zwischen dem WLAN und dem sicheren Netz gebrauchen. WLAN Teilnehmer sind Laptops, Tablets und Smartphones. Selbst mit letzteren greife ich auf Dienste in meinem LAN zu. Die Androids sind gerootet, haben ein CustomOS und eine Firewall drauf und tauschen regelmäßig Dateien mit verschiedenen Rechnern im LAN aus. Ich nutze absichtlich keine Cloud Lösungen für sowas...

Das wird dann aber mit der Fritzbox schwierig. Die Zeiten in denen die FritzBox zum DSL Modem umfunktioniert werden konnten sind offenbar vorbei. Du kannst wie gesagt an der OPNsense dann Regeln anlegen für diese Geräte aus dem Fritzbox-WLAN (statische DHCP Leases helfen dabei) anlegen, um die Zugriffe, die diese Geräte benötigen zuzulassen.

Wenn das für Dich keine Option ist, würde ich Dir direkt zum Kauf einer WLAN-Lösung wie der Unifi-Serie von Ubiquiti raten. Dann kannst Du das konfigurieren wie Du magst mit mehreren SSIDs, die dann in unterschiedlichen VLANs landen.

Aprospos VLANs: VLAN-fähiges Switch ist vorhanden?

Da sprichst du genau den Punkt an, der mir gerade im Kopf herum schwirrt. Ich weiß noch nicht genau, wie ich es mache, weil es, egal wie herum, immer irgendwo doof ist...

Ich finde es nicht doof. Wenn man kein doppeltes NAT hat, hat man keine echten Nachteile. Das Fritzbox-Netz, was vor der OPNsense liegt, betrachtet man einfach als DMZ. Entertain Geräte und anderen Krempel, den man nicht im Griff hat aber Internetzugriff benötigt, rein und gut is.

Bisher hab ich ausschließlich statische IPv4 Vergabe und IPv6 ist disabled.
Schwierig wird es, die Firewall zwischen Modem und Fritzbox zu bekommen, da das physisch nicht geht, solange ich das Modem der Fritzbox nutzen möchte. Auf der einen Seite möchte ich, dass die Firewall die Internetverbindung herstellt und da steht, wo sie hin gehört: Zwischen WAN und LAN. Andererseits ist der WLAN AP, SIP und Modem alles gemeinsam in der Fritzbox und damit nicht so zu verkabeln, wie ich es gern hätte.

Wie ich schon schrieb. Die Fritzbox baut die Internetverbindung auf und das LAN der Fritzbox ist eine DMZ. Die OPNsense hat in diesem Netz ihr WAN Interface und filtert alle Anfragen, die zu ihr durchdringen.

Aktuell:
3 verschiedene Rechner hängen an 2 verschiedenen VPN Endpunkten.

Rechner 1 => openVPN Client => Internet => Roadwarrior

Rechner 2 => openVPN Client => Internet => Roadwarrior
Rechner 2 => Fritzbox => IPSec => Internet => Fritzbox

Rechner 3 => Fritzbox => IPSec => Internet => Fritzbox

Bei den Endpunkten handelt es sich um statische öffentliche IPs. Natürlich können bei der aktuellen Konfiguration alle Rechner auf die VPN der Fritzbox gehen - ist aber nicht der use case.

Die OpenVPN Clients würde ich auf den Clients belassen, wenn diese tatsächlich jeweils nur einen Rechner bedienen. Die zusätzlich NAT-Ebene macht da mehr Probleme, als Du damit löst.

Die IPSec Verbindung könnte man auf der OPNsense terminieren. Ist aber vermutlich keine Site-to-Site Verbindung, oder? Wenn nicht Site-to-Site musst Du wieder NATten. Muss man abwägen.

Na Not sehe ich nicht. Aber Geräte mit "alles drin" kann man im Netzwerk nur unflexibel einsetzen, wie du ja selbst schon mit deinem Vorschlag zu umschiffen versuchst.

Danke auch dir für deinen Gehirnschmalz! Ich freu mich immer über konstruktive Vorschläge - hab hier keinen mit dem ich über solche Themen reden kann.

Ich bin von dem Setup überzeugt, da es einem kostengünstig den Einstieg in die OPNsense Welt ermöglicht. Und man kann sich Stück für Stück an weitere Themen rantrauen. Ich hatte mal ein Setup ohne die Fritzbox und hatte nur Ärger mit dem IGMP Entertaintraffic und die SIP Funktionen von einer kleinen Gigaset-Anlage fand ich auch nicht so überzeugend.

Die Fritzbox hat m.E. ein gutes (V)DSL Modem drin und stellt die Internetverbindung stabil zur Verfügung. Auch die Telefonie-Funktionen sind sehr brauchbar. Gerade Fax und co nachzubauen ist doch ziemlich nervig. Ich habe meine Fritzbox sogar als SIP-Gateway eingerichtet und habe per VPN von unterwegs eine SIP Verbindung zu dieser. D.h. eine Nebenstelle auf einer Telefonnummer ist mein Smartphone. Funktioniert alles über die ergänzenden Möglichkeiten der OPNsense, die hinter der Fritzbox steht.

[inkasso]

Bevor ich länger in das Thema einsteige ^^ ;) kurz vorab die Frage:

Hast du bzgl. deiner Hardware fürs Gateway dich schon festgelegt? Und wenn nicht, wann willst du denn das ganze starten (auch mit den anderen Punkten die du aufführst)?

Dir kann ich heute noch kurz antworten. Für Gauss23 brauch ich länger :)

Ich schätze, "das schnelle Internet" wie es der pinke Rise nennt, dürfte innerhalb der nächsten 8 Wochen spätestens verfügbar sein. Dann möchte ich eigentlich mit dem Ganzen an den Start gehen.

So ganz weiß ich noch nicht, was ich nehme. Aber Zeit, mich nochmal etwas intensiver umzuschauen, hab ich erst wieder am Wochenende.

[Raketenmeyer]

Um nochmal auf das Thema Hardware zurück zu kommen - ich habe mir kürzlich eine FW6B von Protectli besorgt (https://protectli.com) und bin sehr zufrieden. Super verarbeitet und montiert - läuft 1a.