Neuer OPNsense Aufbau hinter FritzBox

[Sunzi]

Hallo zusammen,

hab hier einige Beiträge zum Thema OPNsense und FritzBox gefunden, aber gar nicht sehr viele in den letzten Wochen/Monaten. Daher frage ich zur Sicherheit nochmals nach, sowohl die FB als auch OPNsense erhalten ja ständig Updates.

Leider komme ich im neuen Haus nicht um die FB herum. Der FTTH Anbieter liefert auch gleichzeitig Telefon und IPTV. Leider bekomme ich keine VOIP Daten die OPNsense nutzen könnte und ggf. gäbe es auch mit IPTV Probleme (da bin ich aber unsicher).
Daten für die direkte Einwahl von OPNsense über das FTTH Modem bekomme ich zwar, aber bin zu Geizig mir nochmals SIP-Accounts zuzulegen wenn eh schon 3 Rufnummern im FTTH Vertrag sind  :-[

Als Hardware würde ich den QOTOM Mini PC Core i7 Q575G6 mit 16 GB Ram und 256 GB SSD einsetzen. Über QOTOM habe ich im Forum mehrheitlich gutes, natürlich nicht nur, gelesen. Was haltet ihr davon an einer 400 Mbit Leitung mit gelegentlich 2-5 OPNVPN (nur wenn mal jemand der Familie unterwegs ist, vermutlich selten mehr als 2-3 Verbindungen gleichzeitig).

Vorab würde ich OPNsense aber auf einem QNAP System in einer VM testen, noch in der alten Wohnung hinter einer FB Cable.

Wie wäre die FB einzustellen damit OPNsense voll funktionsfähig ist und auch für OPNVPN erreichbar wäre von außen?

[micneu]

das QOTOM wird bei deiner 400er leitung nicht überlastet sein (der upload wird ja nochmal geringer sein)
- wenn dein nas sehr potente hardware hat sollte das gehen, nur hast du eine komplexitäts level mehr durch die virtualisierung (ich persönlich würde das nicht machen)
- sollte deine cpu kleiner als ein core i3 sein, würde ich es nicht für als vm laufen lassen (und du brauchst natürlich ram für das nas, unter 16gb macht das kein sinn für mich)
- bei welchem provider bist du denn zukünftig?
- ich habe bei meinem provider alles benötigten info bekommen, habe einfach die voip daten in meine fritzbox (nur Telefonier) eingetragen und gut, läuft super.
- in der heutigen zeit, wie wichtig ist denn noch "Festnetz", ich habe in den letzten 3 jahren 10 telefonate über meine leitung gemacht und das waren nur testanrufe). mein haupt telefon ist mein handy.
- IPTV habe ich keine erfahrung, ich schaue kein normales TV mehr, meist streame ich meine sachen nur noch (z. b. amazon, netflix usw.) deshalb habe ich damit keinen stress/bedarf. ich habe aber mal iptv getestet und da war es einfach eine url in die app auf dem apple tv eintragen und fertig, läuft, welcher anbieter hast du denn/bekommst du denn?

[Sunzi]

Danke für die schnelle Antwort.

Upload soll bei 160 MBit liegen

NAS soll nur als Testlösung bis/über Weihnachten laufen. Hatte OPNsense schon ein ganz klein wenig getestet und war zufrieden, bevor ich aber Hardware anschaffe würde ich gerne einen "Live-Test" machen.
Hardware sollte ausreichen, das System hat nahezu keine Aufgaben zur Zeit außer als Netzwerkfestplatte zu dienen. Prozessor ist ein i7 und Speicher könnte ich um die 30 GB zur Verfügung stellen.
Ist OPNsense so Leistungshungrig beim Ram, sollte ich den QOTOM auch mit mehr als 16 GB versorgen?
Natürlich ist es mit einem NAS System komplexer, da ich dort aber noch 4 LAN Ports frei habe kann ich diese zur VM durchschleifen, sollte eigentlich verhältnismäßig einfach sein.
Den kleinen QOTOM habe ich schon bestellt, sollte mir OPNsense doch nicht gefallen benötige ich ihn noch in der Werkstatt, sollte es mir gut gefallen und ich klar kommen muss ich eben noch einen bestellen. NAS soll nur die Testphase sein.

Einem kleinen lokalen Provider, Stiegeler.
FTTH kommt ja erst im Neubau, ich hoffe das klappt im Januar/Februar, daher ist alles ein wenig theoretisch, möchte aber vorher schon mit der DSL Leitung in der Wohnung OPNsense testen.

Ich frage nochmal wegen den VOIP Daten. Leider ist VOIP oder Festnetz bei uns Pflicht. In unserer ländlichen Region sind wir gerade von Buschtrommeln auf Festnetz umgestiegen  :o
Handynetz kannst du bei uns gerade vergessen, daher geht es nicht anders. Ohnehin alles Makaber, wir haben ADSL mit 16 MBit (vermutlich ab Weihnachten mit 100 MBit, Telekom zieht nach  ::) ) oder FTTH mit bis zu 400 MBit, schon ein wenig krank.
Auch für das Homeoffice benötige ich eine VOIP Leitung da das Firmenhandy meist keinen Empfang hat.

IPTV nutzen wir auch sehr wenig, dieses Jahr aber irgendwie doch wieder vermehrt, wenn man ja sonst nicht raus darf... Sonst halten wir es wie du Netflix, Amazon.... Kommt auch über den Provider und laut Support geht es nur mit dem Receiver vom Anbieter oder Via Apps. Da es aber eine Amazon App gibt habe ich vermutlich wenig Stress, an jedem TV sind Fire TV Geräte.

Hauptproblem ist VOIP, das muss sichergestellt sein!

[Gauss23]

Ich habe auch schon Setups hinter einer Fritzbox eingerichtet. Ich kann da jetzt nicht viele Nachteile ausmachen. Wichtig ist, dass man auf doppeltes NAT verzichtet. Die OPNsense macht also kein NAT mehr ausgehend. An der Fritzbox eine (oder mehrere) statische Route(n) zu den Netzen hinter der OPNsense mit Gateway OPNsense WAN IP. Und man kann die OPNsense entweder als exposed Host eintragen oder nur die Ports durchreichen, die man braucht von extern(ziehe ich vor).

Hat den Vorteil, dass die Fritzbox weiterhin das tut, was sie ganz gut kann. Auch können deine restlichen Familienmitglieder vorerst weiterhin direkt an der Fritzbox angeschlossen bleiben und ,,leiden" dann nicht unter deinen Experimenten. Du bräuchtest dann aber neue wlan Access Points. Ich empfehle die Unifi Serie von Ubiquiti. Der Controller wäre dann eine weitere VM auf deinem Host.

Des Weiteren finde ich virtualisierte OPNsense sympathischer, da man Snapshots erstellen kann (vor Updates super) und man über den VM Host immer an die Konsole kommt je nach Standort der Hardware, ist es manchmal etwas nervig zum Debugging Monitor und co in den Keller zu schleppen und sich davorzuhocken.

[Sunzi]

Da ich noch OPNsense Neuling bin, wie müsste ich NAT und FritzBox Route zu OPNsense einstellen damit es läuft und auch von außerhalb erreichbar ist?
Oder würde statt Route "einfach" exposed Host einstellen ausreichen für den Testlauf, bis ich genau weiß welche Ports es sind?

Die Idee zwei Netzwerke aufzubauen gefällt mir sehr gut, so kann ich mit meinem Laptop live testen ohne jemand zu beeinflussen. Einen VLAN-Fähigen Switch habe ich sogar noch übrig. Das neue Haus wird komplett mit diversen Unifi Switches und WLAN AP ausgestattet. Für den Anfang hätte ich noch einen RaspAP hier, reicht auch aus als WLAN AP für die Testzeit.
So könnte ich auch Gerät für Gerät integrieren oder Gruppenweise. So merkt hier wohl kaum jemand etwas von der Umstellung.

Das Argument OPNsense auf QNAP-VM laufen zu lassen für die Snapshots hatte ich gar nicht bedacht. Der Gedanke dahinter ist auch gut. Werde es ja bei den Testläufen merken. So könnte ich sogar automatisierte, tägliche, Backups von OPNsense machen. Mein System verfügt über 4 1GBit LAN, 2 10GB LAN und 4 Thunderbolt Anschlüsse die mit Adapter 1GBit Lan realisieren könnten, aktuell brauche ich nur 2 davon. Aber da wäre noch einiges verfügbar.

[Gauss23]

Da ich noch OPNsense Neuling bin, wie müsste ich NAT und FritzBox Route zu OPNsense einstellen damit es läuft und auch von außerhalb erreichbar ist?
Oder würde statt Route "einfach" exposed Host einstellen ausreichen für den Testlauf, bis ich genau weiß welche Ports es sind?

Also die Ports, die Du von außen erreichbar haben möchtest, solltest Du in- und auswendig kennen. Was soll denn von außen passieren? VPN (OpenVPN/IPsec/WireGuard?) oder hast Du Webdienste, die Du nach außen offen haben willst? Ich komme prima ohne exposed Host klar. Die 5 Ports, die man so braucht, legt man sich auf der Fritzbox zurecht und fertig.

Du hast z.B. das Fritzbox Netz: 192.168.178.0/24. FB is die .1. Die OPNsense könnte die .2 für ihre WAN Schnittstelle bekommen. Auf der OPNsense hast Du dann ein LAN mit z.B. 10.0.0.0/24, OPNsense bekommt die .1.
Nun legst Du auf der Fritzbox eine statische IPv4 Route fest: 10.0.0.0/24 mit Gateway 192.168.178.2. Das machst Du dann mit allen Netzen, die Du intern an der OPNsense hast und die aus irgendwelchen Gründen ins Fritzbox-Netz müssen (sei es zur Nutzung des Internets oder um auf einen Client zuzugreifen, der noch in diesem Netz steckt).

Auf der OPNsense kannst Du dann unter Firewall:NAT:Outbound auf "Manual outbound NAT rule generation" umstellen. Es sollten dann vorerst keine NAT Regeln mehr existieren in dieser Ansicht.

[Sunzi]

Verkabelt habe ich nun alles.
Einen RaspAP ebenfalls eingerichtet für die Tests.

OPNsense wird über die QNAP VirtualizationStation eingerichtet, habe noch 2 SSD Slots im System übrig um ein Raid System einzurichten.
Welche Festplattengröße wäre ideal?

[Sunzi]

Soweit läuft alles ganz gut, spiele gerade mit den Einstellungen,....

Der PC im OPNsense Netzwerk hat Zugriff auf alles im FritzBox Netzwerk und auf das Internet.
Wie müsste ich es einrichten das der PC im OPNsense Netzwerk sich nur darin aufhalten kann oder im Internet?

[Gauss23]

Dazu einfach einen Alias mit den Fritzbox Netz erstellen (geht zwar auch ohne, aber wenn nachher mal andere Netze dazukommen ist das ganz hilfreich mit einem Alias zu arbeiten).

Auf der OPNsense in der Firewall auf dem LAN Interface, die Regeln, die den Zugriff vom LAN ins WAN regeln sollen umbauen mit Destination Fritzbox-Netz (den Alias aus dem Absatz davor) und das Häkchen bei Destination Invert einschalten. Dann darf entsprechender Traffic ins Internet aber nicht ins Fritzbox Netz.

[Sunzi]

 :-[ ehrlich gesagt muss ich zugeben das ich nicht so wirklich weiß wie/wo das in der Fritzbox geht.

Kannst du mir da weiterhelfen?

[Sunzi]

Hab mich damit ein wenig beschäftigt, bin aber noch immer unsicher wo ich was an der FB einstellen müsste zur OPNsense.

Hat jemand einen Tipp oder kann es mir jemand besser erläutern?

OPNsense im Testsystem läuft auf einer QNAP VM richtig gut.
Täglich wird ein Snapshot erstellt, rückspielen habe ich auch schon erfolgreich getestet.
Den Aufbau finde ich prima!
Natürlich ist das nur für größere NAS-Systeme, meiner Meinung nach. Diese bieten genügend
LAN-Ports für diverse Spielereien um alles Hardwareseitig sauber zu trennen.

[Sunzi]

War es auf Seiten der FritzBox so gedacht unter Internet-Filter-Zugangsprofile ein Profil zu erstellen (den erwähnten Alias)?

Falls das so gemeint war habe ich dort nun einen erstellt der nur Surfen und Mailen (das war die vorhandene Einstellung) darf. Dieses Zugangsprofil habe ich nun bei der Netzwerkkarte unter Heimnetzwerk-Netzwerk zugeordnet welche das WAN für OPNsense stellt.

War das auf der Fritzbox so gemeint?

Über Filter-Liste könnte ich auch etwas gezielter erstellen aber da bin ich unsicher was genau eingetragen werden muss.

[micneu]

War es auf Seiten der FritzBox so gedacht unter Internet-Filter-Zugangsprofile ein Profil zu erstellen (den erwähnten Alias)?

Falls das so gemeint war habe ich dort nun einen erstellt der nur Surfen und Mailen (das war die vorhandene Einstellung) darf. Dieses Zugangsprofil habe ich nun bei der Netzwerkkarte unter Heimnetzwerk-Netzwerk zugeordnet welche das WAN für OPNsense stellt.

War das auf der Fritzbox so gemeint?

Über Filter-Liste könnte ich auch etwas gezielter erstellen aber da bin ich unsicher was genau eingetragen werden muss.

leider kann ich dir nicht mehr Folgen, was willst/hast du in der fritzbox eingestellt????

[Sunzi]

Über die Geräte hinter der OPNsense kann ich auch auf die Geräte vor der OPNsense im FritzBox LAN zugreifen.
Das möchte ich unterbinden. Alle Geräte die an OPNsense und den dazu gehörenden Netzwerken hängen sollen "nur" in das Internet können aber nicht in das FritzBox LAN.
Es ist ja erst noch alles ein Test, langfristig wäre das Ziel ohne FritzBox, aber das ist in absehbarer Zeit noch nicht möglich.

Wie von Gauss23 weiter oben beschrieben habe ich versucht den Zugang der Geräte hinter OPNsense quasi nur Richtung Web zu leiten, bin aber nicht wirklich sicher wie ich die FritzBox konfigurieren muss.
Wenn ich über Google Hilfe suche finde ich immer nur das Thema Kindersicherung mit Online-Zeiten, sperre einzelner Webseiten,...

Wie muss ich die FritzBox konfigurieren das das OPNsense WAN nur online kann nicht aber auf das FritzBox LAN?

[Sunzi]

Mal so nebenbei, danke für die gute Hilfe!!!  8)