Um nochmal auf das Thema Hardware zurück zu kommen - ich habe mir kürzlich eine FW6B von Protectli besorgt (https://protectli.com) und bin sehr zufrieden. Super verarbeitet und montiert - läuft 1a.
Das wird dann aber mit der Fritzbox schwierig. Die Zeiten in denen die FritzBox zum DSL Modem umfunktioniert werden konnten sind offenbar vorbei. Du kannst wie gesagt an der OPNsense dann Regeln anlegen für diese Geräte aus dem Fritzbox-WLAN (statische DHCP Leases helfen dabei) anlegen, um die Zugriffe, die diese Geräte benötigen zuzulassen.Wenn das für Dich keine Option ist, würde ich Dir direkt zum Kauf einer WLAN-Lösung wie der Unifi-Serie von Ubiquiti raten. Dann kannst Du das konfigurieren wie Du magst mit mehreren SSIDs, die dann in unterschiedlichen VLANs landen.
Aprospos VLANs: VLAN-fähiges Switch ist vorhanden?
Ich finde es nicht doof. Wenn man kein doppeltes NAT hat, hat man keine echten Nachteile. Das Fritzbox-Netz, was vor der OPNsense liegt, betrachtet man einfach als DMZ. Entertain Geräte und anderen Krempel, den man nicht im Griff hat aber Internetzugriff benötigt, rein und gut is.
Die OpenVPN Clients würde ich auf den Clients belassen, wenn diese tatsächlich jeweils nur einen Rechner bedienen. Die zusätzlich NAT-Ebene macht da mehr Probleme, als Du damit löst.Die IPSec Verbindung könnte man auf der OPNsense terminieren. Ist aber vermutlich keine Site-to-Site Verbindung, oder? Wenn nicht Site-to-Site musst Du wieder NATten. Muss man abwägen.
Ich bin von dem Setup überzeugt, da es einem kostengünstig den Einstieg in die OPNsense Welt ermöglicht. Und man kann sich Stück für Stück an weitere Themen rantrauen. Ich hatte mal ein Setup ohne die Fritzbox und hatte nur Ärger mit dem IGMP Entertaintraffic und die SIP Funktionen von einer kleinen Gigaset-Anlage fand ich auch nicht so überzeugend.
Die Fritzbox hat m.E. ein gutes (V)DSL Modem drin und stellt die Internetverbindung stabil zur Verfügung. Auch die Telefonie-Funktionen sind sehr brauchbar. Gerade Fax und co nachzubauen ist doch ziemlich nervig. Ich habe meine Fritzbox sogar als SIP-Gateway eingerichtet und habe per VPN von unterwegs eine SIP Verbindung zu dieser. D.h. eine Nebenstelle auf einer Telefonnummer ist mein Smartphone. Funktioniert alles über die ergänzenden Möglichkeiten der OPNsense, die hinter der Fritzbox steht.
Hmmm... Das hat mich nun echt überrascht. Ich fange an, die Fritzbox immer weniger zu mögen. Früher waren die mal toll - inzwischen gehen die aber immer mehr in Richtung "für Ahnungslose" und beschneiden die Möglichkeiten.Ich hab hier noch eine alte 3270er Fritzbox. Da muss ich aber erstmal schauen, was das Modem überhaupt mitmacht.
Das war auch nicht aufs doppelte NAT bezogen. Das würd ich auch vermeiden wollen.Die Firewall soll u.A. aber den Entertainment-Geräten einen Maulkorb verpassen, nach dem Motto: ihr wollt ins Internet? Gut... ich sag euch wohin ihr dürft und wohin nicht.Ferner werden die Geräte auch über das sichere (W)LAN gesteuert. Ist also leider auch nicht ganz so trivial zu lösen, wie ichs gern hätte.
Gut, ich hab kein Problem mit den openVPN Clients - die laufen ja schließlich sauber vor sich hin und ich hatte nie Theater damit. Denke demnächst wird hier zumindest vorübergehend noch eine weitere Verbindung dazu kommen. (Arbeitgeber hat vorübergehend einen weiteren Standort)Die IPSecs sind IPSecs, weil es so am Einfachsten zu konfigurieren war. Gegenstelle hat feste IP, aber eben auch nur eine Fritzbox... Letztendlich greift man nur auf eine einzelne NAS im Zielnetz zu.
Na ich stelle es mal sicherheitshalber klar: ich habe und bekomme kein Entertain, kein Netflix, kein was auch immer. Solange ich unfreiwillig das GEZ PayTV habe, gibt es kein anderes für mich.Entertainment Geräte: Smart TV, Spielekonsole, BluRay Player - die wollen alle ins Internet und überwiegend sehe ich aktuell kaum gute Gründe dafür. Updates... ja. Sonst eher nichts. Und ja... ich gehör nach wie vor zu der Fraktion die lieber Single Player offline spielen.Da die Konsole aber auf Internet besteht zum Funktionieren und der Fernseher nicht über das Netzwerk steuerbar ist, wenn man ihm keinen Netzwerkanschluss gibt, macht es auch wenig Sinn, kein Kabel einzustöpseln... Und der BluRay Player weint mir immer alle 10 Sekunden einen vor, wenn er kein Kabel hat.
Zumindest am Anfang werde ich es sicher auch so konfigurieren müssen. Die erste Neuanschaffung wird dann nach der Firewall aber wohl am Ehesten ein separates Modem sein (entweder VDSL oder Glasfaser).
@inkassoIch habe jetzt nicht alle Beiträge en Detail gelesen, möchte aber meine Sichtweise als Denkanstoß beitragen.
Ich würde mir keine "Rechenleistung" langfristig auf Vorrat kaufen! Nur weil es in Deinem Anschlussbereich möglicherweise mal Gigabit geben könnte und ich z.B. OpenVPN machen will, würde ich mir jetzt noch keine HW anschaffen, die dass dann auch in 2 Jahren (noch) schafft. In den 2 Jahren gibt es dann wieder ganz andere Hardware für gas Gleiche oder sogar weniger Geld!Kauf Dir jetzt eine vernünftige Einstiegslösung und komm erst einmal an und lerne die Möglichkeiten von OPNsense kennen. Die bereits genannten APU2D4 bekommst Du komplett für ~ 200€ neu.Wenn Du etwas Zeit hast, kannst Du auch bei ebay nach einem Securepoint BlackDwarf G3 oder einer 100/200G3 schauen. Gebraucht bekommt man die Securepoint mit etwas Glück für nen schmalen Taler (~100€). Die sind mit dem Atom E38x5 und 4GB RAM auch ein guter Einstieg.Achtung: Von den häufig angebotenen BlackDwarfG2 bzw. 100/200G2 würde ich inzwischen die Finger lassen! Ach ja, Überleg genau, wie viele LAN Ports Du wirklich benötigst (>4 LAN Porst wird es i.d.R. immer teuer). OPNsense kommt prima mit VLAN zurecht, so dass man problemlos mehrere Netzwerksegmente per VLAN auf einen Port laufen lassen kann. Gerade bei WLAN absolut üblich, dass man das interne Netz und das Gäste-WLAN über einen Port und VLAN laufen lässt.
Du wirst ja wahrscheinlich von der Telekom einen Router gestellt bekommen (allein schon wegen Telefonie). Sollte das eine AVM FritzBox sein, spricht m.E. überhaupt nichts dagegen diese weiter zu nutzen. Machen hier neben mir einige so. FritzBox für Telefonie und die OPNsense läuft als Exposed Host an der FritzBox und kümmert sich um Alles andere. Hat auch den charmanten Vorteil, dass man zur not mal eben über die Fritte ins Internet gehen kann, wenn es mit der OPNsense mal hakt. EDIT: Gauss23 hat das Thema ja bereits ausführlich dargelegt.
Zum WLAN ist ja bereits gesagt worden, lass von FW-internen WLAN-Lösungen die Finger!!! Im SOHO Umfeld habe ich sehr gute Erfahrungen mit WLAN-AP (Access Points) von Ubiquiti gemacht. Sehr einfach zu konfigurieren und laufen sehr stabil. Gerade Dinge wie Band Steering und WLAN-Handover möchte man nicht mehr missen, wenn man das mal genutzt hat. Ist schon genial, mit seinem Tablet vom Keller in den Garten zu laufen, ohne dass die Videokonferenz abbricht.Sogar noch etwas günstiger sind AP von Mikrotik. Aber leider ist die Lernkurve bei Mikrotik recht steil! Bei Mikrotik lässt sich jede Kleinigkeit konfigurieren. Nur leider muss eben auch jede Kleinigkeit konfiguriert werden. Da kommt schnell Frust auf.
Und dann noch etwas Grundsätzliches zum Thema FW. Nicht Alles was geht, macht auch in jedem Umfeld wirklich Sinn! Stell Dir immer die Frage, was Du überhaupt erreichen kannst (techn. Wissen) und wirklich erreichen willst. Ein Voll-Ausgerüstete FW mit allen möglichen Optionen ist ein fulltime Job! Wir haben in der Fa. 2 Kollegen, die sich ausschließlich um FW/Security kümmern. Das braucht man nicht im SOHO. Zumal ich gesehen habe, dass Du nach Außen hin keine Dienste anbieten willst. Und bisher scheinst Du ja mit der Lösung "Brain" auch nicht schlecht gefahren zu sein. Eine FW ist immer nur ein Baustein eines ganzen Sicherheitskonzepts. Und ich hatte etwas gelesen von Windows7 und Office 2000. Was nutzt Dir die FW, wenn Du Dich mit einem inzwischen unsupportetem BS und einem uralten Office dann noch per VPN in ein Firmennetz einwählst!? Sorry, aber da fehlt mir dann jegliches Sicherheitsbewustsein sowohl Deines AG als auch von Dir.
GrußDirk
Quote from: Raketenmeyer on September 22, 2020, 08:15:38 amUm nochmal auf das Thema Hardware zurück zu kommen - ich habe mir kürzlich eine FW6B von Protectli besorgt (https://protectli.com) und bin sehr zufrieden. Super verarbeitet und montiert - läuft 1a.das ist mein System2, nur habe ich damals meine hardware bei aliexpress gekauft.
Die Hardware kommt im Endeffekt immer aus China/Asien, ganz egal ob den Händler der an dich verkauft in DE/EU oder CN sitzt.Wenn du dem Projekt was Gutes tun willst kaufst du was von Applianceshop oder von den OPNsense Partnern (Thomas Krenn und Landitec/scope7)
Zum Thema Securepoint HW.Securepoint selbst stellt ja keine HW her, sondern nutzt OEM-Produkte. Früher wurden Barebones von Lexcom genutzt. Inzwischen nutzt Securepoint für den BlackDwarf bzw. die 100/200 Serie Barebones von AAEON (FWS-225x). Da es sich dabei prinzipiell um 08/15 x86 Hardware handelt, lässt sich problemlos auch eine beliebige FW-Distribution installieren.
Ich habe hier eine FritzBox, die wir kostenlos von unserem Kabelnetzbetreiber zur Verfügung gestellt bekommen haben. Das Ding ist locked, wird also durch den Netzbetreiber mit FW-Updates versorgt, was sogar mal am Sonntag Nachmittag passiert ist. Dachte erst, Holy Shit, jetzt ist die OPNsense abgeschmiert, weil das I-Net plötzlich weg war. War aber 'nur' das FW-Update! Kann man so etwas nicht nachts einspielen! Egal, Jeder wie er mag und Du willst halt partout keine Provider-HW.
@inkasso, schau mal bitte in deinen "My Messages" bereich, habe dir nachrichten geschickt (hast du warscheinlich übersehen).
