Hardware und Setup Hilfe

[k42m]

Hallo Zusammen

Ich bin mich nun seit einigen Wochen intensiver daran mich mit dem Thema Netzwerk(sicherheit) auseinanderzusetzten und bin an dem Punkt angelangt das ich Hilfe von den Profis brauche.

Zu mir:
Ich bin 21 Jahre jung und arbeite als Software-Entwickler. Im Bereich Netzwerke kenne mich im Zuge der Grundbildung also ein wenig aus.

Ausgangslage:
In unseren Heimnetzwerk sind in letzter Zeit einige neue "smarte" Geräte(Lampen, Sensoren, Luftreiniger usw.) dazu gekommen. Diese laufen momentan noch alle im selben Netz wie unsere anderen Clients. Langsam wird mir das aber zu unsicher und ich möchte auf ein richtiges Setup umstellen. Bedeutet das der jetzige vom Provider gelieferte Router durch eine OPNSense-Kiste ersetzt werden soll.

Leitung:
Beim Provider habe ich eine 350Mbps/80Mbps Leitung

Ziel:
Die smarten Geräte sollen in ein eigenes Netzwerk. Dazu brauche ich dann wohl auch neue WLAN AccessPoints welche mehrere SSID's verwalten können. Des weiteren soll via WireGuard VPN von aussen auf das Netzwerk zugegriffen werden können (Synology NAS für Medien und Outdoor-Kameras). Das wären maximal 4 gleichzeitige User.

Was brauche ich an Hardware?

Mein jetziger Computer wird bald abgelöst. Dieser besteht aus folgenden Komponenten:

• Intel Xeon E3-1230v3
• H97 Mainboard
• 16GB Ram
• GTX 970
• 550W Gold Netzteil

Das alles ist in einem Bigtower verbaut. Könnte man daraus was anständiges basteln?
Vermutlich ein neues PC-Gehäuse? Auch ist das 550W Netzteil vermutlich Overkill?

Im Anhang ist der Plan wie ich mir mein Netzwerk etwa Vorstelle. Grün ist was ich schon habe, Rot was neu dazu kommen soll.

Welche AccessPoints sind für Multi-SSID/VLAN-Tagging emfpehlenswert?

Danke für eure Hilfe und Feedback :)

[Roger2k]

Die Hardware wäre aus meiner Sicht overkill für deine Anforderungen. Man könnte aber zum Beispiel VMware ESXi/vSphere oder Proxmox installieren und die Opnsense virtualisieren, dann kann die Hardware auch noch andere Aufgaben übernhemen, wie z.B. PiHole.
So habe ich das auch bei mir gemacht, hab die gleiche CPU wie du und dazu reiche ich eine separate Netzwerkkarte in die Opnsense VM durch.
Als WLAN-Accesspoint setzt ich einen von Ubiquiti ein und bin sehr zufrieden. Der nützliche UniFi-Controller läuft auch als VM ;).

[Gauss23]

Die Hardware wäre aus meiner Sicht overkill für deine Anforderungen. Man könnte aber zum Beispiel VMware ESXi/vSphere oder Proxmox installieren und die Opnsense virtualisieren, dann kann die Hardware auch noch andere Aufgaben übernhemen, wie z.B. PiHole.
So habe ich das auch bei mir gemacht, hab die gleiche CPU wie du und dazu reiche ich eine separate Netzwerkkarte in die Opnsense VM durch.
Als WLAN-Accesspoint setzt ich einen von Ubiquiti ein und bin sehr zufrieden. Der nützliche UniFi-Controller läuft auch als VM ;).

Gibt kein Overkill. Vor allem wenn die Hardware schon da ist. Interessant ist der Idle-Stromverbrauch.
Ich würde auch ESXi oder Proxmox einsetzen und dort einige VMs laufen lassen. Kannst ja mal ne Grundinstallation von einem der beiden machen und schauen was der PC dann an Strom frisst. Alles zwischen 20 und 40 Watt finde ich 24/7 kompatibel.

GTX 970

Die würde ich allerdings rauswerfen. Da der Xeon aber keine GPU drin hat, würde ich irgendwas sparsames passiv gekühltes einbauen. Besser noch wäre ein Mainboard mit IPMI Fähigkeiten. Aus der Ferne alles (inklusive Bios) einrichten zu können hat schon was.

[k42m]

Danke für eure Antworten!

1. Ja die GTX 970 würde ich rausnehmen. Bzw. fürs Grundsetup drinn lassen und dann abschalten? (muss mal nachschauen ob das überhaupt geht)

2. Macht Virtualisierung für Router/Firewall sicherheitstechnisch überhaupt Sinn?
Kann ich dann z.B den virtualiserten Pi-Hole im Netzwerk verfügbar machen? oder einen kleinen Webserver (eigene Website) ins Internet stellen? Kenne mich im Bereich Virtualisierung nur für Client-OS aus(also mehr oder weniger, hab mal Ubuntu in ner VM auf dem PC aufen gehabt).

Falls ich jetzt meinen alten PC zur Firewall umfunktioniere, brauche ich wohl noch eine neue Netzwerkkarte mit 2-3 Ports oder? Intel ist da wohl "the way to go" oder?
Wie sieht das dann anschlusstechnisch aus? wo stecke ich blöd gesagt das Kabel vom Modem ein? Ans Mainboard oder auf die Zusätzliche Netzwerkkarte?

Danke für eure Geduld  ;D

[k42m]

Interessant ist der Idle-Stromverbrauch.
Ich würde auch ESXi oder Proxmox einsetzen und dort einige VMs laufen lassen. Kannst ja mal ne Grundinstallation von einem der beiden machen und schauen was der PC dann an Strom frisst. Alles zwischen 20 und 40 Watt finde ich 24/7 kompatibel.

Brauche ich zum messen ein externes Gerät?

[Gauss23]

2. Macht Virtualisierung für Router/Firewall sicherheitstechnisch überhaupt Sinn?
Kann ich dann z.B den virtualiserten Pi-Hole im Netzwerk verfügbar machen? oder einen kleinen Webserver (eigene Website) ins Internet stellen? Kenne mich im Bereich Virtualisierung nur für Client-OS aus(also mehr oder weniger, hab mal Ubuntu in ner VM auf dem PC aufen gehabt).

Klar, das kannst Du über die Virutalisierungssoftware wunderschön einrichten, welche VM an welchem virtuellen Switch teilnehmen soll.

Falls ich jetzt meinen alten PC zur Firewall umfunktioniere, brauche ich wohl noch eine neue Netzwerkkarte mit 2-3 Ports oder? Intel ist da wohl "the way to go" oder?
Wie sieht das dann anschlusstechnisch aus? wo stecke ich blöd gesagt das Kabel vom Modem ein? Ans Mainboard oder auf die Zusätzliche Netzwerkkarte?

Danke für eure Geduld  ;D

Ja, eine Intel Netzwerkkarte mit 2-4 Ports würde ich Dir empfehlen. Je nachdem was Du für eine Onboard-NIC hast, kann man die mitverwenden oder eben nicht. Du kannst über ESXi oder Proxmox dann zuweisen welcher Port der WAN Port sein wird und eben diesen nur der OPNsense VM zur Verfügung stellen.
Der Rest kann der Einfachheit halber alles auf das virtuelle LAN Switch. Das kann man dann später immer noch verfeinern, wenn man Geräte voneinander trennen/isolieren will.

Brauche ich zum messen ein externes Gerät?

Ja, an der Steckdose, wo der PC angeschlossen ist, messen.

[k42m]

Danke, dann werde ich mich mal erst ein wenig ins Thema Virtualisierung einlesen und mal ESXi oder Proxmox installieren.

Messgerät habe ich jetzt nichts zuhause rumliegen, wird bestellt.

Main Mainboard hat hat wohl ein Realtek-NIC.. also fällt der weg.

Habe mich eben ein wenig umgeschaut, 3/4-Port Netzwerkkarte sind bei 130.- (CHF) aufwärts. Kann das sein? Für das Geld bekomme ich ein PC-Engines APU und hätte dann dedizierte Hardware.

[Gauss23]

Das ist dann aber echt schwache Hardware im Vergleich.

Bei "350Mbps/80Mbps" Anbindung kommt es darauf an, was Du so vor hast. Wartungsärmer ist so ein APU vermutlich schon.

[micneu]

Moin.
1. zu Hardware und Bandbreite nutze am besten die suche im Forum, vergiss die Anzahl der Benutzer.
- schau auf deine Bandbreite Down/Up und schau mal was wir im Forum schon mehrfach geschrieben haben, auch google liefert dazu ganz gute Artikel (manche auch zu pfände, das kann man ein wenig ableiten).
2. zu deiner vorhandenen Hardware, ich sage es mal so, da hast du mehr als genug Reserven
3. zu den Vorschlägen von den anderen forummitgliedern, ja du kannst das alles gerne Virtualisierungssoftware, es ist nur eine etwas komplexere Geschichte gerade für Netzwerk Einsteiger.
4. ich empfehle dir gerade für den einstieg das opnsense buch, nicht alle Themen sind vielleicht relevant, es sind auch gute Ideen/Konzepte in dem buch beschrieben die du dir dann anschauen kannst. (Ich setze nicht alles ein/um aus dem buch, will mich ja nicht tot administrieren in meinem privaten netz).
5. du bist der admin in deinem netz, wenn du meinst du musst 20 vlańs und 6 ssid´s haben, ich halte es für mich privat recht simpel.
- 1 x lan wo meine Geräte reinkommen
- 1 x Gäste lan, in dem mein besuch rein kommt mit einer eigenen ssid.

Hier noch mal für mein simples privates netz


Und danke das du dir die Arbeit gemacht hast auch gleich einen netzwerkplan zu posten.


Gesendet von iPad mit Tapatalk Pro

[monstermania]

@kj42m
Ich halte mich für mein Heimnetzwerk schlicht an das KISS-Prinzip. Keep it simple, stupid.
Und damit fahre ich eigentlich ganz gut.
Ähnlich wie micneu habe ich nur 2 Netze bei mir zu Hause. Mein Heimnetz (LAN/WLAN) und ein Gäste-WLAN.
Dafür ist dann der Internetzugriff meiner Geräte aus meinem Heimnetz recht streng reglementiert.
Dafür habe ich verschiedene Regelgruppen für die unterschiedlichen Geräte angelegt (z.B. Laptop, Tablet, Smartphone, usw.). D.H. wenn z.B. meine Frau ein neues Smartphone bekommt und Sie sich in unser Heim-WLAN einloggt, hat Sie erstmal kein Internetzugriff. Ich muss dem neuen Gerät erstmal eine Feste-IP-Lease zuweisen und diese IP/Device in die entsprechenden Regelgruppen auf der OPNsense aufnehmen. Erst dann kann das Smartphone per WLAN ins Internet oder z.B. WhatsApp nutzen.
Der Vorteil daran ist m.E. dass die Geräte untereinander sehr gut vernetzt sind, da Sie sich alle im gleichen Netz/IP-Bereich befinden. So gibt es z.B. keine Probleme mit dem Streamen vom Smartphone auf den Smart-TV.

1. Virtualisierung der FW
Kann man Alles machen. Und in einem Unternehmen mit entsprechender Ausfallsicherheit/Redundanz inzwischen durchaus häufig anzutreffen. Aber immer im Auge behalten, dass man zu Hause zumeist keine redundanten Systeme einsetzt. Wenn dann der VMHost ausfällt, geht gar nix mehr im Heimnetz.
Gut, mit 21 und ohne Familie mag es egal sein, aber was glaubst Du, was in vielen Familien los ist, wenn z.B. am Wochenende das Internet ausfällt?  ;)
Ich würde daher lieber auf eine eigene HW für die Firewall setzen.

2. WLAN-AP
Grundsätzlich sind AP von Ubiquiti eine gute Wahl. Habe ich selbst schon genutzt und Sie auch Bekannten empfohlen Aber, wenn Du mehrere AP nutzen willst benötigst Du einen Unifi-Controller um alle Features nutzen zu können (z.B. Handover). Den Controller kannst Du fertig kaufen, die Software herunter laden und als VM oder auf einen RasPI laufen lassen.
Die WLAN-AP von Mikrotik haben einen solchen Controller bereits integriert. Ist halt wieder eine mögl. Problemquelle weniger. Allerdings ist die Lernkurve bei Mikrotik deutlich steiler. Dafür kannst Du mit den Mikrotik wirklich jedes Detail konfigurieren.

[JeGr]

Ich würde da gern im Anhang an die WiFi Geschichte einwerfen:

Mikrotik und Ubiquiti sind gern gesehene Empfehlungen bei WiFi. Ich würde bei dem vorhandenen Bild aber ggf. auf Ubiquiti setzen aus zwei Gründen:

* Passt zur Aufgabenstellung wegen MultiSSID etc. sehr gut rein und man kann in Zusammenspiel mit dem Controller und OPNsense (FreeRadius und Co) viel realisieren
* Kann einfach um weitere APs aber auch um Switche ergänzt werden und läuft dann immer noch alles über den gleichen Controller.

Korrigiert mich gerne aber soweit ich weiß laufen Mikrotik Switche und APs nicht über die gleiche UI. Und da der OP oben noch zwei "kleine" Netgear Switche drin hat, die eh nicht so das hellste Licht im Kronleuchter sind, könnte man da (ggf. im zweiten Schritt mittelfristig) über Ersatz nachdenken. Dann kann man problemlos zwei 8er oder auch einen größeren Unifi Switch mit reinnehmen und hat - dank Controller - eine zentrale Anlaufstelle für alles "Netzwerkige" außer der Firewall.

Wenn zudem die Hardware OK ist und halbwegs sauber als Hypervisor für Proxmox, ESXi o.ä. läuft, kann man das auch alles virtuell aufziehen. Ich bevorzuge zwar wie viele Kollegen hier eher eigene Hardware für die Firewall selbst, aber selbst da habe ich momentan eine schöne HW auf dem Tisch bei der es eben absolut Sinn machen würde, die nicht (nur) physikalisch zu nutzen. Und die Möglichkeit dann zu haben noch einen PiHole (oder zwei) und den Unifi Controller dann als VM oder Container laufen zu lassen ist da schon sehr angenehm :)

Da kann man dann auch schöne Struktur ins Netz bekommen. Ich habe bei mir auch eine Zone ähnlich wie @monstermania, wo Smartphones nur nach Anlegen von mir reinkommen, damit die dann auf den Stream-Krempel zugreifen können (TV, Sonos Boxen, Chromecasts) aber alles andere ist da recht gut compartmentalized und als eigene VLANs aufgezogen. Infrastruktur (NAS, Container mit Pi-Holes, Ansible, Monitoring etc.), LAN Clients, IoT (relativ viele smarte Steckdosen, die kein Cloud Gebimsel brauchen sondern lokal funktionieren!), Media (Streaming, Casts, Smartphones wenn gestreamt wird), Lab (voll-isoliertes LAN von allem anderen für Tests), Work (voll-isoliertes LAN mit VPN Tunnel zum Office) um sauber arbeiten zu können, Public (Gäste und WiFi Phone/Tablet Netz, isoliert von LANs und nur für Internet).
Durch die Unifi Switche und APs hab ich Radius-based VLANs mit einer SSID (an Hand des Logins wird dann das Gerät automatisch in VLAN xy gesteckt) und eine zweite SSID für Media (weil gerade der StreamingKram oft kein enterprise WiFi kann).
Familie nutzt meistens auf Mobilgeräten die normale Radius SSID und landet im Public Netz. Wenn die was streamen wollen/müssen (müssen sie meist eh nicht), switchen sie kurz ins andere WLAN und gut. Das Public ist aber priorisiert. Andere Geräte wie Laptops landen im LAN oder wo sie hingehören (Firmenlaptop im Work Netz). "Dumme" WiFi Geräte sind meist eh Konsolen oder Streaming Kram die alle im Media Netz rumhängen :)

So hat alles seinen Platz :)

(Und sollte das jemand interessieren, kann ich das gern mal beim nächsten UserGroup Meeting zeigen, ist aber jetzt nichts mega-abgefahrenes ^^)

[micneu]

Ich finde es mal spannend, gerne


Gesendet von iPad mit Tapatalk Pro

[k42m]

Danke euch allen für die Inputs.  :)

Ich überlege mir gerade was ich effektiv für Anforderungen habe bzw. wie ich mein Netzt gestalten will.

Mit Frau im Haus muss wohl alles möglichst einfach funktionieren... da darf Sonntags nicht das Internet aussteigen.

Bezüglich WLAN-AP: Wie siehts da mit Wifi 6 aus? Ich hätte schon das eine oder andere Endgerät mit entsprechender Unterstützung, Ubiquiti hat da ja noch nichts im Angebot soweit ich weiss. Gibt's da schon was bezahlbares auf dem Markt?

WAN/ISP: Kann ich das Modem irgendwie direkt in meine OPNSense Kiste integrieren (ob's ne VM wird oder eigene Hardware ist noch offen)? Da bräuchte ich wohl eine eigene PCIE Karte welche als Modem funktioniert oder? Mein Anschluss ist vom typ g.Fast und die Swisscom listet hier https://www.swisscom.ch/dam/swisscom/en/ws/documents/E_BBCS-Documents/e_bbcs_supporting-documentproved-equipment.pdf alle unterstützten Geräte.

Ihr seit echt eine super Community danke nochmal für eure Unterstützung. Ich halte euch hier weiter auf dem laufenden wie sich mein Netzwerk so entwickelt  ;)

[monstermania]

Bezüglich WLAN-AP: Wie siehts da mit Wifi 6 aus? Ich hätte schon das eine oder andere Endgerät mit entsprechender Unterstützung, Ubiquiti hat da ja noch nichts im Angebot soweit ich weiss. Gibt's da schon was bezahlbares auf dem Markt?

Hab noch ca. 4 Wochen Geduld.  ;)
Die Unifi AP mit Wifi6 sollen im Dezember kommen:
https://eu.store.ui.com/collections/unifi-network-access-points/products/unifi-ap-6-lite

[k42m]

Meldung von der Proxmox/Opnsense-Front:

• Proxmox auf dem alten PC installiert - check
• OPNSense VM installiert - check
• Komme ins Internet - check

das einzige was mich ein wenig stört ist das ich 2 Kabel Verbindungen zum Proxmox-Server habe (1x LAN OPNSense & 1x mal damit Proxmox im Netz erreichbar ist). Grund Dafür ist, dass ich es nicht hinbekommen habe das Proxmox Web GUI hinter die OPNSense VM zu schalten mit vbr's.. hat da jemand noch einen Tip?

Meine Interface-Config:

Code Select Expand

auto lo
iface lo inet loopback

iface enp3s0 inet manual

iface enp6s0f0 inet manual

iface enp6s0f1 inet manual

iface enp6s0f2 inet manual

iface enp6s0f3 inet manual

auto vmbr0
iface vmbr0 inet static
        address xxx.xxx.xxx.xxx/24
        gateway xxx.xxx.xxx.xxx
        bridge-ports enp6s0f2
        bridge-stp off
        bridge-fd 0

auto vmbr1
iface vmbr1 inet manual
        bridge-ports enp6s0f0
        bridge-stp off
        bridge-fd 0
#WAN

auto vmbr2
iface vmbr2 inet manual
        bridge-ports enp6s0f1
        bridge-stp off
        bridge-fd 0
#LAN

Zusätzlich suche ich noch einen besseren switch.. die Lösung mit den 2 netgear Teilen ist mir zu mühsam und lässt sich nicht richtig konfigurieren.

AccessPoints werdens wohl 1x UniFi 6 LR AP & 1x UniFi 6 Lite AP

Grüsse aus der Schweiz :)