- Was für ein Budget schwebt Dir denn vor?
- OpenVPN geht auf der OPNsense
- was für ein Modem/Router hast du von Vodafone bekommen? Fritzbox?
- ich würde die Box erstmal ohne IDS/IPS einrichten und das später dazu holen. IDS und IPS sind CPU hungrig. Daher würde ich schon was mit einem aktuellen i3 oder besser einem i5 vorschlagen. Ein älterer i7 geht natürlich auch.
Quote from: Gauss23 on January 22, 2021, 09:47:00 pm- Was für ein Budget schwebt Dir denn vor?Na ja, ich hatte mal als "magische Grenze" mir ~250€ gesetzt, allerdings habe ich mich nun dafür entschieden, doch etwas mehr Geld in die Hand zu nehmen und dafür was anzuschaffen, womit ich dann hoffentlich auch für höhere Bandbreiten und mehr Nutzer gut aufgestellt bin. Somit wäre denke ich ~400€ schon die absolute Schmerzgrenze.Quote from: Gauss23 on January 22, 2021, 09:47:00 pm- OpenVPN geht auf der OPNsenseSuper, das heißt ich könnte da auch Streams z.B. drüber laufen lassen etc? Also klar wäre das auch von meinem Internetanschluss abhängig, aber so in der Theorie!?Quote from: Gauss23 on January 22, 2021, 09:47:00 pm- was für ein Modem/Router hast du von Vodafone bekommen? Fritzbox?Ich habe die stinknormale Vodafone Station und würde die in den Bridge-Mode setzen (lassen). Jedoch weiß ich nicht, was ich am WAN-Port von der OPNSense dann einstellen muss und wie die gesamte Konfiguration dann weiter ginge ...Ich hoffe, ihr könnt mir da helfen!?Quote from: Gauss23 on January 22, 2021, 09:47:00 pm- ich würde die Box erstmal ohne IDS/IPS einrichten und das später dazu holen. IDS und IPS sind CPU hungrig. Daher würde ich schon was mit einem aktuellen i3 oder besser einem i5 vorschlagen. Ein älterer i7 geht natürlich auch.Okay, ehrlich gesagt habe ich bei bei meinem Link an ein IPU 662 System mit 8GB RAM gedacht, weil ich denke, dass ich damit noch "ordentlich Luft nach oben" haben werden ...Ich hoffe, ihr könnt mir dahingehend ein paar gute Tipps geben
Kommt darauf an, was du für Streams meinst und was du dann über einen Tunnel dir erhoffst für einen Vorteil. Außer dem panischen "Tunnel everything via VPN Marketing BS" wüsste ich jetzt abseits von Geoblocking nichts, warum ich Streams per VPN schauen müsste
Musste mich mit der glücklicherweise noch nicht rumschlagen. Bridge Mode - wenn möglich - wäre eine Option, dann stellst du an der Sense nur noch DHCP/DHCP6 ein denn du bekommst die IP dann selbst zugewiesen. Wenn Bridge nicht geht (und das könnte kommen), dann bleibt nur exposed Host - was ich nicht weiß ob die Büchse das kann. Sonst ist man da ggf. mit ner Kabelfritte dann etwas besser dran, muss aber auf DualStack pochen, damit man ne sinnvolle IP4 bekommt und nicht nur mit DS lite rumkaspern muss.
Ansonsten zu dem IPU System: Hyperthreading bringt dir auf ner Firewall eher wenig also rechne nicht mit großartig mit 2+2 Kernen, sondern eher mit 2 die du hast. Außerdem willst du ja OpenVPN was sehr immer noch recht SingleCore gebunden ist. Sprich dein Tunnel mit Crypto zieht dir auf einen Kern ordentlich Saft wenn da viel Bandbreite drüber soll. Daher ist für sowas GHz wichtig. Wenns das Budget zulässt würde ich daher dann eher versuchen die Kiste mit sinnvollster SingleCore Power zu bekommen. Bei IPsec oder WG ist das nicht so stark der Fall, daher für die weniger schlimm. 8GB RAM würde ich aber auch greifen.
also, ich habe ein ähnliches system wie die IPU (siehe footer).ich hatte irgendwann bei mir festgestellt das mir 3 NIC´s manchmal zu wenig waren.meine sense habe ich entsprechend so konfiguriert:WAN1: Willy.telWAN2: ist zurzeit nichts KonfiguriertLAN: mein ganz normales Netzwerk2 x Gäste LAN (Ethernet)
WAN / Internet : : Cable-Provider : .-----+----------------------------------------------------. | CableModem / gebridgte Vodafone Station | '-----+-----------------------------------------------------' | WAN | .-----+----------. | OPNsense | '----+-----------' | LAN_MGMT | 192.168.0.1/24 | .----+------. | LAN-Switch |------------------------------------------------------------------ '-----+----------' I I | I I LAN | 192.168.1.1/24 WLAN_Gäste | 192.168.2.1/24 WLAN_AirBNB_Gäste 192.168.3.1/24
Das Ganze Gäaste-Thema würde ich per VPN Anbieter abwickeln. Gerade Airbnb Gäste tendieren dazu gerne mal File-Sharing-Dienste anzuwerfen oder anderen Schmutz zu machen. Dafür bei einem VPN Anbieter Deiner Wahl einen Zugang buchen, diesen auf der OPNsense einbinden und alles was Gäste-Netzwerk ist, läuft darüber.Das Gäste VLAN kannst du bei Ubiquiti auch mit Port-Isolation versehen. Dann können die Gäste sich weder gegenseitig sehen, sondern nur mit dem Gateway (OPNsense) sprechen.
Also ich würde an Schnittstellen empfehlen:WAN -> Vodafone RouterLAN1 -> vertrauenswürdige Geräte im LANLAN2 -> per VLAN: falls Du IoT Geräte hast oder Geräte, die eigentlich nur ins Internet kommunizieren sollen, lokal aber nicht auf eine NAS kommen sollen oder soGäste-LAN -> auch ein VLAN, Port Isolation und per Policy Routing den gesamten Traffic aus diesem VLAN ins VPN kippen (ggf. Destination Ports beschränken)Theoretisch kannst Du das mit einem Gerät mit 2 Netzwerkports abbilden (extreme Variante sogar mit nur einer und selbst das WAN wird zum VLAN). Praktisch bedeutet das aber: je weniger Schnittstellen Du hast, desto weniger Bandbreite steht zur Verfügung. Beispiel: ein Gerät aus LAN2 soll auf ein NAS in LAN1 zugreifen und dort etwas runterladen. Wenn auf der OPNsense für LAN1 und LAN2 nur eine Schnittstelle zur Verfügung steht und diese per VLAN abgebildet sind, sinkt die Bandbreite bei einer Gigabit-Verbindung auf max 500 Mbps zwischen den Netzen.Daher sollte man die Netzwerke auf dem Router möglichst mit einem eigenen Kabel zuführen. Wenn es sich natürlich um absolute low traffic Netzwerke handelt, spielt das keine Rolle.
LAN1 -> vertrauenswürdige Geräte im LANLAN2 -> per VLAN: falls Du IoT Geräte hast oder Geräte, die eigentlich nur ins Internet kommunizieren sollen, lokal aber nicht auf eine NAS kommen sollen oder soGäste-LAN -> auch ein VLAN, Port Isolation und per Policy Routing den gesamten Traffic aus diesem VLAN ins VPN kippen (ggf. Destination Ports beschränken)
Danke @Gauss23 für deine sehr ausführliche Antwort.
Ich hoffe, die Frage ist nicht "zu naiv"... Aber ist's denn wirklich so, dass so viele AirBNB-Gäste eher in Richtung File-Sharing tendieren? Mittlerweile ist's doch auch so, dass man als der Betreiber des Wlans nicht mehr dafür haftbar gemacht werden kann, wenn jemand über den Anschluss File-Sharing-Angebote warnimmt, oder?
Okay, das klingt allerdings plausibel mit den Anschlüssen. Ich muss jedoch gestehen, dass ich ein wenig das Problem habe, dass in den Keller - wo unsere AirBNB-Gäste mitsamt der Access Points sind - nur ein einziges physikalisches Netzwerkkabel geht, sodass hier wahrscheinlich das Kabel das limitierende Faktor ist, wenn ich nach deiner Aufteilung gehe, oder?
Ich würde nämlich im Keller sowohl das AirBNB-Gäste-Wlan als auch unser normales "Besucher-Wlan" wie auch unser "vertrauenswürdiges Wlan" aufspannen wollen, sodass man folgende Möglichkeiten hat, sich dort einzuwählen:1. AirBNB-Gäste-Wlan ---> eigenes VLAN mit Voucher und ggf. Radius-Server zur authentifizierung (weiß nicht, ob RADIUS unbedingt sein muss)2. Besucher-Wlan ----> Für unsere Gäste, welche sich mit unserem "Gäste-WPA2-Schlüssel" authentifizieren.3. vertrauenswürdiges Wlan ---> Für uns, sodass wir unten im Keller auch ganz nomal übers Wlan mit unseren Endgeräten surfen können und auch ggf. aufs NAS und die dortigen sensiblen Daten zugreifen können....Ich hoffe, ihr könnt mir Tipps geben, inwiefern ich mein Netzwerk dahingehend aufbauen kann.
Hi Zusammen,auch ich gehöre in die Kategorie Noob.Habe aktuell eine Vodafone Station im Bridge Mode zu Hause und will von meiner fritz.box 7590 dahinter weg.Eigentlich war ich auf der Suche nach einer Kabel-Box 6591/6660.Doch habe ich mir jetzt überlegt, das Vorhaben zu lassen und evtl. lieber einen OPNsense zu nutzen und dahinter dann mein noch vorhandenes UniFi (Switch und AP) wieder zu aktivieren.Doch die Suche nach einem Gerät, was Preis und Leistung entspricht gestaltet sich nicht so einfach und ich weiß auch nicht, ob es das alles überhaupt Wert ist?!Was sind denn da so Eure Erfahrungen? Lohnt sich der Umstieg?Wenn ich die Vodafone Station behalte, kann ich selbst im Bridge Mode keine IPv6 bekommen (geht nur bei direkten Kabelboxen wie 6591/6660). Doch die jetzt auch noch zu Holen wäre glaube ich "Overkill".Bei der Suche bin ich auf die IPU882 gestoßen.https://www.ipu-system.de/produkte/ipu882.htmlDie sollte doch ausreichen für die Zukunft, oder? RAM würde ich dann auch 16GB holen.Bei der Festplatte/Speichermedium bin ich ratlos und ein wenig überwältigt der Auswahl. Was nimmt man denn da?Generell habe ich zu Hause:- 3 Rechner (Eltern, Kind)- div. Handys/iPads und Notebooks- NAS - Heizung (Homematic)- evtl. zukünftig ein Raspi als Nextcloud-Variante welcher evtl. ins Netz gehängt werden soll (für Kalender/Kontakte usw.). > genau die Nextcloud-Variante lässt mich überlegen, ob es da mit einer Fritz.box ausreicht?Freue mich auf ein wenig Hilfe hier - gerne auch 1-2 Tipps (auch ob sich das alles überhaupt lohnt, oder ob ich nicht einfach lieber ne 6591/6660 hole?
Schon mal drüber nachgedacht deine Services zu virtualisieren? Dann kannst du die OPNsense mit drauf schmeißen Gesendet von meinem BAH3-W09 mit Tapatalk
