Firewall mit OPNsense für Vodafone-Anschluss, was für Hardware?

[maze-m]

Hallo zusammen!

Ich hoffe, ihr könnt mir ein wenig helfen und sinnvolle Tipps zum Aufbau eines Hardware-Setups für eine OPNsense Firewall geben...

Ich überlege, mir einen Rechner bei https://www.ipu-system.de/ zu bestellen und weiß nicht genau, was ich da am besten nehme...

Ich habe ein Vodafone -Anschluss mit 250 Mbit/s down und 50 Mbit/s up.
Ich würde eventuell ein IDS/IPS auf der OPNsense betreiben wollen und insgesamt drei getrennte WLANs, wovon eins ein eigenes Gäste-WLAN im VLAN sein soll und abgeschottet vom Rest mit Vouchern betrieben wird vom   Unifi-Controller aus.

Nun meine Fragen:

- Was könnt ihr mir für Hardware empfehlen?
- Kann ich einen OpenVPN-Server auf dem OPNsense betreiben?
- Was muss ich konfigurieren, um das mit meinem Vodafone-Anschluss eingerichtet zu bekommen?
- Wie richte ich IDS / IPS ein?

Ich hoffe, ihr könnt mich bei meinen Projekt unterstützen und freue mich auf eure Rückmeldungen.

VG Maze-M

[Gauss23]

- Was für ein Budget schwebt Dir denn vor?
- OpenVPN geht auf der OPNsense
- was für ein Modem/Router hast du von Vodafone bekommen? Fritzbox?
- ich würde die Box erstmal ohne IDS/IPS einrichten und das später dazu holen. IDS und IPS sind CPU hungrig. Daher würde ich schon was mit einem aktuellen i3 oder besser einem i5 vorschlagen. Ein älterer i7 geht natürlich auch.

[maze-m]

- Was für ein Budget schwebt Dir denn vor?

Na ja, ich hatte mal als "magische Grenze" mir ~250€ gesetzt, allerdings habe ich mich nun dafür entschieden, doch etwas mehr Geld in die Hand zu nehmen und dafür was anzuschaffen, womit ich dann hoffentlich auch für höhere Bandbreiten und mehr Nutzer gut aufgestellt bin. Somit wäre denke ich ~400€ schon die absolute Schmerzgrenze.

- OpenVPN geht auf der OPNsense

Super, das heißt ich könnte da auch Streams z.B. drüber laufen lassen etc? Also klar wäre das auch von meinem Internetanschluss abhängig, aber so in der Theorie!?

- was für ein Modem/Router hast du von Vodafone bekommen? Fritzbox?

Ich habe die stinknormale Vodafone Station und würde die in den Bridge-Mode setzen (lassen). Jedoch weiß ich nicht, was ich am WAN-Port von der OPNSense dann einstellen muss und wie die gesamte Konfiguration dann weiter ginge ;)...
Ich hoffe, ihr könnt mir da helfen!?

- ich würde die Box erstmal ohne IDS/IPS einrichten und das später dazu holen. IDS und IPS sind CPU hungrig. Daher würde ich schon was mit einem aktuellen i3 oder besser einem i5 vorschlagen. Ein älterer i7 geht natürlich auch.

Okay, ehrlich gesagt habe ich bei bei meinem Link an ein IPU 662 System mit 8GB RAM gedacht, weil ich denke, dass ich damit noch "ordentlich Luft nach oben" haben werden :)...
Ich hoffe, ihr könnt mir dahingehend ein paar gute Tipps geben :)

[JeGr]

- Was für ein Budget schwebt Dir denn vor?

Na ja, ich hatte mal als "magische Grenze" mir ~250€ gesetzt, allerdings habe ich mich nun dafür entschieden, doch etwas mehr Geld in die Hand zu nehmen und dafür was anzuschaffen, womit ich dann hoffentlich auch für höhere Bandbreiten und mehr Nutzer gut aufgestellt bin. Somit wäre denke ich ~400€ schon die absolute Schmerzgrenze.

- OpenVPN geht auf der OPNsense

Super, das heißt ich könnte da auch Streams z.B. drüber laufen lassen etc? Also klar wäre das auch von meinem Internetanschluss abhängig, aber so in der Theorie!?

- was für ein Modem/Router hast du von Vodafone bekommen? Fritzbox?

Ich habe die stinknormale Vodafone Station und würde die in den Bridge-Mode setzen (lassen). Jedoch weiß ich nicht, was ich am WAN-Port von der OPNSense dann einstellen muss und wie die gesamte Konfiguration dann weiter ginge ;)...
Ich hoffe, ihr könnt mir da helfen!?

- ich würde die Box erstmal ohne IDS/IPS einrichten und das später dazu holen. IDS und IPS sind CPU hungrig. Daher würde ich schon was mit einem aktuellen i3 oder besser einem i5 vorschlagen. Ein älterer i7 geht natürlich auch.

Okay, ehrlich gesagt habe ich bei bei meinem Link an ein IPU 662 System mit 8GB RAM gedacht, weil ich denke, dass ich damit noch "ordentlich Luft nach oben" haben werden :)...
Ich hoffe, ihr könnt mir dahingehend ein paar gute Tipps geben :)

Kommt darauf an, was du für Streams meinst und was du dann über einen Tunnel dir erhoffst für einen Vorteil. Außer dem panischen "Tunnel everything via VPN Marketing BS" wüsste ich jetzt abseits von Geoblocking nichts, warum ich Streams per VPN schauen müsste ;)

- Was für ein Budget schwebt Dir denn vor?

Na ja, ich hatte mal als "magische Grenze" mir ~250€ gesetzt, allerdings habe ich mich nun dafür entschieden, doch etwas mehr Geld in die Hand zu nehmen und dafür was anzuschaffen, womit ich dann hoffentlich auch für höhere Bandbreiten und mehr Nutzer gut aufgestellt bin. Somit wäre denke ich ~400€ schon die absolute Schmerzgrenze.

- OpenVPN geht auf der OPNsense

Super, das heißt ich könnte da auch Streams z.B. drüber laufen lassen etc? Also klar wäre das auch von meinem Internetanschluss abhängig, aber so in der Theorie!?

- was für ein Modem/Router hast du von Vodafone bekommen? Fritzbox?

Ich habe die stinknormale Vodafone Station und würde die in den Bridge-Mode setzen (lassen). Jedoch weiß ich nicht, was ich am WAN-Port von der OPNSense dann einstellen muss und wie die gesamte Konfiguration dann weiter ginge ;)...
Ich hoffe, ihr könnt mir da helfen!?

- ich würde die Box erstmal ohne IDS/IPS einrichten und das später dazu holen. IDS und IPS sind CPU hungrig. Daher würde ich schon was mit einem aktuellen i3 oder besser einem i5 vorschlagen. Ein älterer i7 geht natürlich auch.

Okay, ehrlich gesagt habe ich bei bei meinem Link an ein IPU 662 System mit 8GB RAM gedacht, weil ich denke, dass ich damit noch "ordentlich Luft nach oben" haben werden :)...
Ich hoffe, ihr könnt mir dahingehend ein paar gute Tipps geben :)

Musste mich mit der glücklicherweise noch nicht rumschlagen. Bridge Mode - wenn möglich - wäre eine Option, dann stellst du an der Sense nur noch DHCP/DHCP6 ein denn du bekommst die IP dann selbst zugewiesen. Wenn Bridge nicht geht (und das könnte kommen), dann bleibt nur exposed Host - was ich nicht weiß ob die Büchse das kann. Sonst ist man da ggf. mit ner Kabelfritte dann etwas besser dran, muss aber auf DualStack pochen, damit man ne sinnvolle IP4 bekommt und nicht nur mit DS lite rumkaspern muss.


Ansonsten zu dem IPU System: Hyperthreading bringt dir auf ner Firewall eher wenig also rechne nicht mit großartig mit 2+2 Kernen, sondern eher mit 2 die du hast. Außerdem willst du ja OpenVPN was sehr immer noch recht SingleCore gebunden ist. Sprich dein Tunnel mit Crypto zieht dir auf einen Kern ordentlich Saft wenn da viel Bandbreite drüber soll. Daher ist für sowas GHz wichtig. Wenns das Budget zulässt würde ich daher dann eher versuchen die Kiste mit sinnvollster SingleCore Power zu bekommen. Bei IPsec oder WG ist das nicht so stark der Fall, daher für die weniger schlimm. 8GB RAM würde ich aber auch greifen. :)

Cheers
\jens

[maze-m]

Kommt darauf an, was du für Streams meinst und was du dann über einen Tunnel dir erhoffst für einen Vorteil. Außer dem panischen "Tunnel everything via VPN Marketing BS" wüsste ich jetzt abseits von Geoblocking nichts, warum ich Streams per VPN schauen müsste

Na ja, ich würde schon gerne mal von unterwegs auf Videos und Musik auf meiner Diskstation zugreifen wollen und dies dann ggf. Streamen wollen. Über das VPN sollte das dann ja eigentlich kein Problem sein, oder?

Musste mich mit der glücklicherweise noch nicht rumschlagen. Bridge Mode - wenn möglich - wäre eine Option, dann stellst du an der Sense nur noch DHCP/DHCP6 ein denn du bekommst die IP dann selbst zugewiesen. Wenn Bridge nicht geht (und das könnte kommen), dann bleibt nur exposed Host - was ich nicht weiß ob die Büchse das kann. Sonst ist man da ggf. mit ner Kabelfritte dann etwas besser dran, muss aber auf DualStack pochen, damit man ne sinnvolle IP4 bekommt und nicht nur mit DS lite rumkaspern muss.

Okay, der Bridge Mode lässt sich laut einiger Arbeitskollegen ziemlich einfach via Hotline oder selber im Kundenmenü einschalten, sodass ich ja - wenn ich dich richtig verstanden habe - mein WAN-Interface nur auf DHCP / DHCP6 stellen muss und dann vom Provider schon automatisch ne IP zugewiesen bekomme, oder?

Ach und wie erstelle ich denn sinnvolle Firewall-Regeln, sodass ich auch überhaupt erstmal ins Internet komme? Ich kenne das von der pfSense, dass ich da ja auch erstmal ein 'pfctl -d' machen muss, um selber auf das Dashboard der Firewall zugreifen zu können. Ist das bei der OPNSense auch so?

Ansonsten zu dem IPU System: Hyperthreading bringt dir auf ner Firewall eher wenig also rechne nicht mit großartig mit 2+2 Kernen, sondern eher mit 2 die du hast. Außerdem willst du ja OpenVPN was sehr immer noch recht SingleCore gebunden ist. Sprich dein Tunnel mit Crypto zieht dir auf einen Kern ordentlich Saft wenn da viel Bandbreite drüber soll. Daher ist für sowas GHz wichtig. Wenns das Budget zulässt würde ich daher dann eher versuchen die Kiste mit sinnvollster SingleCore Power zu bekommen. Bei IPsec oder WG ist das nicht so stark der Fall, daher für die weniger schlimm. 8GB RAM würde ich aber auch greifen. :)

Okay, hmm ich habe ehrlich gesagt bei den IPU-Systemen und vielen anderen Systemen ebenso noch nicht vertanden, warum sie soo viele Netzwerkschnittstellen haben!?
Ich meine, eigentlich brauche ich doch nur eine Schnittstelle, welche vom gebridgten Modem / Router zur Firewall geht und eine zweite Schnittstelle welche dann zum Switch geht, um da Ganze ins Netzwerk zu "verteilen", oder seh ich das jetzt komplett falsch?

Oder kann ich auch die restlichen Ports an den IPU und anderen Systemen als eine Art Switch konfigurieren?

[micneu]

also, ich habe ein ähnliches system wie die IPU (siehe footer).
ich hatte irgendwann bei mir festgestellt das mir 3 NIC´s manchmal zu wenig waren.
meine sense habe ich entsprechend so konfiguriert:

• WAN1: Willy.tel
• WAN2: ist zurzeit nichts Konfiguriert
• LAN: mein ganz normales Netzwerk
• 2 x Gäste LAN (Ethernet)

[maze-m]

also, ich habe ein ähnliches system wie die IPU (siehe footer).
ich hatte irgendwann bei mir festgestellt das mir 3 NIC´s manchmal zu wenig waren.
meine sense habe ich entsprechend so konfiguriert:

• WAN1: Willy.tel
• WAN2: ist zurzeit nichts Konfiguriert
• LAN: mein ganz normales Netzwerk
• 2 x Gäste LAN (Ethernet)

Moinsen @micneu!

PS.:

• WAN1: Willy.tel

(Willy.tel  :D... Ich habe lange in Hamburg gewohnt und war da auch :). Sehr gute Provider *g*)

Vielen Dank dir erstmal für deine Antwort. Ich bin mir ehrlich gesagt noch nicht so ganz sicher, wie ich mein Netzwerk gestalten soll, aber daher ist's dann vielleich doch besser, ein Gerät mit mehreren Devices zu haben.

Ich kann ja mal ein bisschen was zu meinem Vorhaben berichten und hoffe, ihr könnt mir da vielleicht ein paar Tipps geben, wie ich das mit OPNSense umsetzen kann....

Wir haben uns ein Haus gekauft und haben zur Zeit einen 200 Mbit/s Down- und 50 Mbit/s Upstream Vodafone Kabelanschluss. Ich hoffe immernoch, dass wir in den nächsten 5 - 10 Jahren Glasfaser ins Haus gelegt bekommen, sodass ich daher auch die Hardware für die OPNSense dementsprechend "zukunftssicher" gestalten möchte :).

Das Kellergeschoss (via einem CAT7-Kabel nach unten aus dem Wohnzimmer in den Keller angebunden) haben wir ausgebaut und bieten dort auf ca. 60qm einige Räume als Gästezimmer + AirBNB-Unterkünfte an. Daher habe ich mir auch vor einiger Zeit einen Ubiquiti AP UAP-AC-LR gekauft, wodrüber ich das Wlan im Keller ausleuchte und überlege mir, zusätzlich dort noch einen weiteren Ubiquiti AP hinzusetzen um noch besseren Empfang zu garantieren.
Das AirBNB-Gäste-Wlan am Uifi-Controller angelegt, jedoch leider momentan noch unverschlüsselt und die Gäste authentifizieren sich via Voucher. Das würde ich ggf. gerne auf Radius oder eine andere "Anmeldemethode" umstellen.

In unserer Erdgeschosswohnung haben wir die zwei Kinderzimmer via Netzwerkkabel an einen Ubiquiti UniFiSwitch Flex Mini angeschlossen und ich habe mir überlegt, die Firewall (OPNSense) als auch einen Ubiquiti UniFi Switch 8 bei uns direkt ins Wohnzimmer in der Nähe des jetzigen (noch nicht gebridgten) Routers zu setzen, um dort auch ggf. weitere Geräte aus dem Entertainment-System (Bluray-Player, TV, etc) anschließen zu können.

Der Netzplan sähe somit glaube ich in etwa so aus:

Code Select Expand



     WAN / Internet
              :
              : Cable-Provider
              :
      .-----+----------------------------------------------------.
      |  CableModem / gebridgte Vodafone Station | 
      '-----+-----------------------------------------------------'
             |
         WAN
             |
      .-----+----------.
      |  OPNsense |
      '----+-----------'                                                                             
            |                                                                                           
        LAN_MGMT | 192.168.0.1/24     
            |
      .----+------.
      | LAN-Switch |------------------------------------------------------------------
      '-----+----------'                             I                                                   I
             |                                           I                                                   I
        LAN | 192.168.1.1/24      WLAN_Gäste | 192.168.2.1/24   WLAN_AirBNB_Gäste 192.168.3.1/24
     


@micneu: Wie du es ja in deinem Post beschrieben hast, hast du die Ports an deiner Firewall ja auch zum physikalischen Trennen der Netze genommen, oder seh' ich das falsch? Ich glaube, ich würde dies bei mir ähnlich gestalten, da ich mir z.B. auch noch ein NAS (Synology) gerne zum Sichern von (Baby-)Fotos etc. hinstellen will, wo natürlich unsere AirBNB-Gäste definitiv keinen Zugriff drauf haben sollen.

Ausserdem möchte ich gerne auch deren Bandbreit beschränken, dass die Leute teilweise nicht auf "dumme Gedanken" kommen....

Ich hoffe, ihr könnt mir ein wenig unter die Arme greifen und ein paar weiter Denkanstöße geben.

Vielen Dank und viele Grüße,

Matthias

[Gauss23]

Das Ganze Gäaste-Thema würde ich per VPN Anbieter abwickeln. Gerade Airbnb Gäste tendieren dazu gerne mal File-Sharing-Dienste anzuwerfen oder anderen Schmutz zu machen. Dafür bei einem VPN Anbieter Deiner Wahl einen Zugang buchen, diesen auf der OPNsense einbinden und alles was Gäste-Netzwerk ist, läuft darüber.
Das Gäste VLAN kannst du bei Ubiquiti auch mit Port-Isolation versehen. Dann können die Gäste sich weder gegenseitig sehen, sondern nur mit dem Gateway (OPNsense) sprechen.

Also ich würde an Schnittstellen empfehlen:
WAN -> Vodafone Router
LAN1 -> vertrauenswürdige Geräte im LAN
LAN2 -> per VLAN: falls Du IoT Geräte hast oder Geräte, die eigentlich nur ins Internet kommunizieren sollen, lokal aber nicht auf eine NAS kommen sollen oder so
Gäste-LAN -> auch ein VLAN, Port Isolation und per Policy Routing den gesamten Traffic aus diesem VLAN ins VPN kippen (ggf. Destination Ports beschränken)

Theoretisch kannst Du das mit einem Gerät mit 2 Netzwerkports abbilden (extreme Variante sogar mit nur einer und selbst das WAN wird zum VLAN).

Praktisch bedeutet das aber: je weniger Schnittstellen Du hast, desto weniger Bandbreite steht zur Verfügung. Beispiel: ein Gerät aus LAN2 soll auf ein NAS in LAN1 zugreifen und dort etwas runterladen. Wenn auf der OPNsense für LAN1 und LAN2 nur eine Schnittstelle zur Verfügung steht und diese per VLAN abgebildet sind, sinkt die Bandbreite bei einer Gigabit-Verbindung auf max 500 Mbps zwischen den Netzen.
Daher sollte man die Netzwerke auf dem Router möglichst mit einem eigenen Kabel zuführen. Wenn es sich natürlich um absolute low traffic Netzwerke handelt, spielt das keine Rolle.

[maze-m]

Danke @Gauss23 für deine sehr ausführliche Antwort.

Das Ganze Gäaste-Thema würde ich per VPN Anbieter abwickeln. Gerade Airbnb Gäste tendieren dazu gerne mal File-Sharing-Dienste anzuwerfen oder anderen Schmutz zu machen. Dafür bei einem VPN Anbieter Deiner Wahl einen Zugang buchen, diesen auf der OPNsense einbinden und alles was Gäste-Netzwerk ist, läuft darüber.
Das Gäste VLAN kannst du bei Ubiquiti auch mit Port-Isolation versehen. Dann können die Gäste sich weder gegenseitig sehen, sondern nur mit dem Gateway (OPNsense) sprechen.

Ich hoffe, die Frage ist nicht "zu naiv"... Aber ist's denn wirklich so, dass so viele AirBNB-Gäste eher in Richtung File-Sharing tendieren? Mittlerweile ist's doch auch so, dass man als der Betreiber des Wlans nicht mehr dafür haftbar gemacht werden kann, wenn jemand über den Anschluss File-Sharing-Angebote warnimmt, oder?

Also ich würde an Schnittstellen empfehlen:
WAN -> Vodafone Router
LAN1 -> vertrauenswürdige Geräte im LAN
LAN2 -> per VLAN: falls Du IoT Geräte hast oder Geräte, die eigentlich nur ins Internet kommunizieren sollen, lokal aber nicht auf eine NAS kommen sollen oder so
Gäste-LAN -> auch ein VLAN, Port Isolation und per Policy Routing den gesamten Traffic aus diesem VLAN ins VPN kippen (ggf. Destination Ports beschränken)

Theoretisch kannst Du das mit einem Gerät mit 2 Netzwerkports abbilden (extreme Variante sogar mit nur einer und selbst das WAN wird zum VLAN).

Praktisch bedeutet das aber: je weniger Schnittstellen Du hast, desto weniger Bandbreite steht zur Verfügung. Beispiel: ein Gerät aus LAN2 soll auf ein NAS in LAN1 zugreifen und dort etwas runterladen. Wenn auf der OPNsense für LAN1 und LAN2 nur eine Schnittstelle zur Verfügung steht und diese per VLAN abgebildet sind, sinkt die Bandbreite bei einer Gigabit-Verbindung auf max 500 Mbps zwischen den Netzen.
Daher sollte man die Netzwerke auf dem Router möglichst mit einem eigenen Kabel zuführen. Wenn es sich natürlich um absolute low traffic Netzwerke handelt, spielt das keine Rolle.

Okay, das klingt allerdings plausibel mit den Anschlüssen. Ich muss jedoch gestehen, dass ich ein wenig das Problem habe, dass in den Keller - wo unsere AirBNB-Gäste mitsamt der Access Points sind - nur ein einziges physikalisches Netzwerkkabel geht, sodass hier wahrscheinlich das Kabel das limitierende Faktor ist, wenn ich nach deiner Aufteilung gehe, oder?

LAN1 -> vertrauenswürdige Geräte im LAN
LAN2 -> per VLAN: falls Du IoT Geräte hast oder Geräte, die eigentlich nur ins Internet kommunizieren sollen, lokal aber nicht auf eine NAS kommen sollen oder so
Gäste-LAN -> auch ein VLAN, Port Isolation und per Policy Routing den gesamten Traffic aus diesem VLAN ins VPN kippen (ggf. Destination Ports beschränken)

Ich würde nämlich im Keller sowohl das AirBNB-Gäste-Wlan als auch unser normales "Besucher-Wlan" wie auch unser "vertrauenswürdiges Wlan" aufspannen wollen, sodass man folgende Möglichkeiten hat, sich dort einzuwählen:

1. AirBNB-Gäste-Wlan  ---> eigenes VLAN mit Voucher und ggf. Radius-Server zur authentifizierung (weiß nicht, ob RADIUS  unbedingt sein muss)

2. Besucher-Wlan ----> Für unsere Gäste, welche sich mit unserem "Gäste-WPA2-Schlüssel" authentifizieren.

3. vertrauenswürdiges Wlan ---> Für uns, sodass wir unten im Keller auch ganz nomal übers Wlan mit unseren Endgeräten surfen können und auch ggf. aufs NAS und die dortigen sensiblen Daten zugreifen können....

Ich hoffe, ihr könnt mir Tipps geben, inwiefern ich mein Netzwerk dahingehend aufbauen kann.

[Gauss23]

Danke @Gauss23 für deine sehr ausführliche Antwort.

Gerne

Ich hoffe, die Frage ist nicht "zu naiv"... Aber ist's denn wirklich so, dass so viele AirBNB-Gäste eher in Richtung File-Sharing tendieren? Mittlerweile ist's doch auch so, dass man als der Betreiber des Wlans nicht mehr dafür haftbar gemacht werden kann, wenn jemand über den Anschluss File-Sharing-Angebote warnimmt, oder?

Gerade Gäste aus dem Ausland haben da keinerlei Rechtsverständnis. Den Nachweis zu erbringen, dass das WLAN anderweitig genutzt wurde etc ist schon nervig genug. Die Abmahnung flattert Dir ins Haus und Du musst Dich kümmern. Ausgang ungewiss. Daher empfehle ich meinen Kunden diesen Traffic lieber auf andere Weise abzuwickeln.

Okay, das klingt allerdings plausibel mit den Anschlüssen. Ich muss jedoch gestehen, dass ich ein wenig das Problem habe, dass in den Keller - wo unsere AirBNB-Gäste mitsamt der Access Points sind - nur ein einziges physikalisches Netzwerkkabel geht, sodass hier wahrscheinlich das Kabel das limitierende Faktor ist, wenn ich nach deiner Aufteilung gehe, oder?

Ein Kabel reicht doch für alle VLANs. Über das Kabel können insgesamt 1Gbps übertragen werden (nehme mal an, dass es kein CAT5 Kabel ist). Das sollte doch für alle WLAN/LAN-Aktivitäten im Keller ausreichen?!

Ich würde nämlich im Keller sowohl das AirBNB-Gäste-Wlan als auch unser normales "Besucher-Wlan" wie auch unser "vertrauenswürdiges Wlan" aufspannen wollen, sodass man folgende Möglichkeiten hat, sich dort einzuwählen:

1. AirBNB-Gäste-Wlan  ---> eigenes VLAN mit Voucher und ggf. Radius-Server zur authentifizierung (weiß nicht, ob RADIUS  unbedingt sein muss)

2. Besucher-Wlan ----> Für unsere Gäste, welche sich mit unserem "Gäste-WPA2-Schlüssel" authentifizieren.

3. vertrauenswürdiges Wlan ---> Für uns, sodass wir unten im Keller auch ganz nomal übers Wlan mit unseren Endgeräten surfen können und auch ggf. aufs NAS und die dortigen sensiblen Daten zugreifen können....

Ich hoffe, ihr könnt mir Tipps geben, inwiefern ich mein Netzwerk dahingehend aufbauen kann.

Das betrifft dann ja alles nur noch Unifi. Wenn die Netze inkl DHCP etc auf der OPNsense eingerichtet sind, legst Du die VLANs auf dem Unifi Controller ein und weist sie den jeweiligen Netzwerkports (Unifi Switches vorausgesetzt) und WLAN Netzen zu.

[dumbo]

Hi Zusammen,

auch ich gehöre in die Kategorie Noob.

Habe aktuell eine Vodafone Station im Bridge Mode zu Hause und will von meiner fritz.box 7590 dahinter weg.

Eigentlich war ich auf der Suche nach einer Kabel-Box 6591/6660.

Doch habe ich mir jetzt überlegt, das Vorhaben zu lassen und evtl. lieber einen OPNsense zu nutzen und dahinter dann mein noch vorhandenes UniFi (Switch und AP) wieder zu aktivieren.

Doch die Suche nach einem Gerät, was Preis und Leistung entspricht gestaltet sich nicht so einfach und ich weiß auch nicht, ob es das alles überhaupt Wert ist?!

Was sind denn da so Eure Erfahrungen? Lohnt sich der Umstieg?
Wenn ich die Vodafone Station behalte, kann ich selbst im Bridge Mode keine IPv6 bekommen  (geht nur bei direkten Kabelboxen wie 6591/6660).
Doch die jetzt auch noch zu Holen wäre glaube ich "Overkill".

Bei der Suche bin ich auf die IPU882 gestoßen.
https://www.ipu-system.de/produkte/ipu882.html

Die sollte doch ausreichen für die Zukunft, oder?

RAM würde ich dann auch 16GB holen.

Bei der Festplatte/Speichermedium bin ich ratlos und ein wenig überwältigt der Auswahl. Was nimmt man denn da?

Generell habe ich zu Hause:
- 3 Rechner (Eltern, Kind)
- div. Handys/iPads und Notebooks
- NAS
- Heizung (Homematic)
- evtl. zukünftig ein Raspi als Nextcloud-Variante welcher evtl. ins Netz gehängt werden soll (für Kalender/Kontakte usw.). > genau die Nextcloud-Variante lässt mich überlegen, ob es da mit einer Fritz.box ausreicht?


Freue mich auf ein wenig Hilfe hier - gerne auch 1-2 Tipps (auch ob sich das alles überhaupt lohnt, oder ob ich nicht einfach lieber ne 6591/6660 hole?

[lfirewall1243]

Hi Zusammen,

auch ich gehöre in die Kategorie Noob.

Habe aktuell eine Vodafone Station im Bridge Mode zu Hause und will von meiner fritz.box 7590 dahinter weg.

Eigentlich war ich auf der Suche nach einer Kabel-Box 6591/6660.

Doch habe ich mir jetzt überlegt, das Vorhaben zu lassen und evtl. lieber einen OPNsense zu nutzen und dahinter dann mein noch vorhandenes UniFi (Switch und AP) wieder zu aktivieren.

Doch die Suche nach einem Gerät, was Preis und Leistung entspricht gestaltet sich nicht so einfach und ich weiß auch nicht, ob es das alles überhaupt Wert ist?!

Was sind denn da so Eure Erfahrungen? Lohnt sich der Umstieg?
Wenn ich die Vodafone Station behalte, kann ich selbst im Bridge Mode keine IPv6 bekommen  (geht nur bei direkten Kabelboxen wie 6591/6660).
Doch die jetzt auch noch zu Holen wäre glaube ich "Overkill".

Bei der Suche bin ich auf die IPU882 gestoßen.
https://www.ipu-system.de/produkte/ipu882.html

Die sollte doch ausreichen für die Zukunft, oder?

RAM würde ich dann auch 16GB holen.

Bei der Festplatte/Speichermedium bin ich ratlos und ein wenig überwältigt der Auswahl. Was nimmt man denn da?

Generell habe ich zu Hause:
- 3 Rechner (Eltern, Kind)
- div. Handys/iPads und Notebooks
- NAS
- Heizung (Homematic)
- evtl. zukünftig ein Raspi als Nextcloud-Variante welcher evtl. ins Netz gehängt werden soll (für Kalender/Kontakte usw.). > genau die Nextcloud-Variante lässt mich überlegen, ob es da mit einer Fritz.box ausreicht?


Freue mich auf ein wenig Hilfe hier - gerne auch 1-2 Tipps (auch ob sich das alles überhaupt lohnt, oder ob ich nicht einfach lieber ne 6591/6660 hole?

Schon mal drüber nachgedacht deine Services zu virtualisieren? Dann kannst du die OPNsense mit drauf schmeißen

Gesendet von meinem BAH3-W09 mit Tapatalk

[Gauss23]

Schon mal drüber nachgedacht deine Services zu virtualisieren? Dann kannst du die OPNsense mit drauf schmeißen

Gesendet von meinem BAH3-W09 mit Tapatalk

Sonst bin ich ja immer der von der Pro-Virtualisierungsfront. Für einen Noob ist ein dediziertes Gerät evtl am Anfang sinnvoller. Gerade wenn die OPNsense DHCP und DNS im Netz macht, ist es durchaus unpraktisch, wenn diese dann mal nicht geht, weil man was am VM-Host umbauen will. Auch muss beim Reboot des VM Hosts die Boot-Reihenfolge der VMs richtig konfiguriert werden, sonst bekommen VMs, keine DHCP IP und man wundert sich, warum dies und das nicht geht.

Wenn man sich allerdings bereits mit Virtualisierung beschäftigt hat, kann das mitunter erhebliches Einsparpotential bei besserer Performance mit sich bringen.

[banym]

Security und VM ist immer mit Vorsicht zu genießen.
Auch haben wir mit FreeBSD / HBSD nicht die beste Basis für das Thema.
Es kommen immer wieder Rückfragen nach Performance in virutellen Umgebungen. Das kann man einfach nicht immer gut vorhersagen.

Meine Meinung: Wenn es das Budget hergibt immer Hardware für alles was Security machen soll.

[dumbo]

Danke für Euer Feedback.

Dann wird es wohl die IPU882.

Denke 16GB RAM, doch was ist mit der SSD?

Was genau holt man da? Da gibt es eine große Auswahl...
- Data Power mSATA SSD
- Transcend MSA370S mSATA SSD
- Transcend MSA230S mSATA SSD
- Transcend MSA430S M.2 SATA SSD inkl. Adapter
- Kingston SSDNow UV500 mSATA SSD