Grundüberlegungen zur Netzwerkinfrastruktur

Started by br0ken.pipe, September 21, 2021, 08:43:56 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
September 21, 2021, 08:43:56 AM
Hallo zusammen,

ich habe eine OPNsense Installation auf einem ThinClient Futro S920 (4GB RAM, 8 GB SSD). Aktuell plane ich die Installation und Netzwerkinfrastruktur, um die Firewall am besten in mein Netzwerk zu integrieren.

Ausgangszustand:
Hausanschluss --> Fritzbox (Modem, Router, VOIP, WLAN) --> Clients

Zielzustand:
Hausanschluss --> Modem --> Firewall --> Fritzbox (VOIP, WLAN) --> Clients

VOIP sollte weiterhin möglich sein. Hier muss ich wsl. nur die Ports durch die Firewall an die Fritzbox weiter leiten? Das Fritzbox WLAN würde ich vorerst behalten, da das AVM Mesh WLAN recht stabil arbeitet.
Momentan haben wir VDSL 100, ab nächstem Jahr Gigabit Glasfaser. Somit wäre es mMn am praktischsten, wenn ich nur das Modem vor der Firewall austauschen müsste.

... oder:
Fritzbox 1 (Modem, VOIP, Backup WLAN) --> Firewall --> Fritzbox 2 (WLAN), Switches --> Clients

Hier war die Grundüberlegung, das VOIP funktionsfähig vor der Firewall zu halten, keine Ports durchschleifen zu müssen und noch eine Backup Internetleitung zu haben, falls die FW ausfällt. OPNsense bekommt dann "nur" eine DHCP IP von der Fritzbox.

Besteht die Möglichkeit, dass OPNsense die DHCP Vergabe übernimmt? Ich weiß nicht, ob man in den Fritzboxen einen externen DHCP Server einstellen kann. Könnte man dann auch entsprechend VLANs erstellen?

Ich bin dankbar für jeden Hinweis.

Viele Grüße
Markus
September 21, 2021, 09:09:08 AM #1
Ja, OPNsense kann DHCP im Client- und im Server-Modus. Server solltest du halt immer nur nach innen machen und nie am WAN.

Heißt wenn du das so machst:

Carrier - FB - OS - FB - Clients

Dann gibt der Carrier deiner FB ne IP Adresse, diese wiederum der OPNsense und diese wiederum der FB oder den Clients (Je nachdem ob die 2. FB im Router oder AP Modus ist).
September 21, 2021, 10:05:17 AM #2
Danke! Ich glaube das macht am meisten Sinn:


Carrier
  --> FB1 (Modem, VOIP, Backup WLAN)
    --> OS (Firewall, DHCP, DNS)
      --> FB2 (AP-Mode WIFI Mesh) --> WIFI Clients
      --> Switches --> Ethernet Clients
September 21, 2021, 10:59:54 AM #3
Hi, habe ich auch so gemacht. Das schöne ist, dass man in dieser Konstellation nichts falsch machen kann, wenn die FB weiterhin als Firewall aktiv ist. Einzig beim Thema IPv4-Routen und NAT muss man ein wenig nachdenken, aber selbst Double-NAT funktioniert problemlos.
Print
Go Up Pages1
User actions