Noch ein Anfänger wie so viele, mit Fragen?

[moonsorrox]

Ich bin auch ein absoluter Anfänger was OPNsense betrifft und brauche etwas Hilfe für meinen Aufbau damit ich nicht gleich alles falsch mache.

Meine vorhandenen Geräte:
Fritzbox 7590 Mesh WLAN
Firtzbox 7490 Mesh WLAN
Edgerouter-X 5 Port (soll VLAN machen, wenn benötigt)
Ubiquiti LR-6 (noch nicht in Betrieb)
Netgear Switch JGS516 (etwas älter kann nichts)

1x Unraid Server
1x Synology DS1621+
3x Intel NUC mit Proxmox (LXCs und VMs)
1x HM80 mit Proxmox
sind noch einige Geräte so z.B SAT Receiver piCoreplayer, Squeezeboxen, aber die sollen dann alle im 10er Netzwerk bleiben...!

Die Fritzbox soll nach dem Glasfaser Modem so bleiben weil ich dort auch die Telefonie mache und ist auch vom Anbieter (htp Hannover/Deutsche Glasfaser) her so eingerichtet das sie das Modem nutzt.

Die OPNsense befindet sich auf dem HM80 in einer VM.
Meine gesamten Geräte befinden sich momentan im 10.0.0.xxx Netz.
Das soll auch so bleiben, aber evtl. gebe ich den Geräten die per WLAN angebunden sind dann eine VLAN IP, dabei handelt es sich fast nur um Hausautomations Geräte (weiß ich noch nicht genau und deshalb frage ich ja hier)

Noch eine Anmerkung:
Ich hatte eine UDM-Pro Dreamachine von Ubiquiti, aber die hatte erhebliche Probleme mit meinen DNS Adressen, selbst im Forum dort konnte mir nicht geholfen werden, es wurde nichts durch geleitet, deshalb bin ich wieder zur Fritzbox zurück und ich empfand die UDM-Pro auch zu überdimensioniert, dass brauche ich nicht.

Ich hatte mir den Aufbau, so vorgestellt.
Vom Glasfaser Modem --> Fritzbox --> OPNsense --> Edgerouter --> hier dann die weitere Verteilung auf die Geräte

Hier mal das was ich mir so denke, aber ob das so richtig ist weiß ich noch nicht.

Code Select Expand

      WAN / Internet
            :
            : Deutsche Glasfaser-htp
            :
      .-----+-----.
      |    Modem  |  (Glasfaser Modem)
      '-----+-----'
            |
            |
      .-----+-----.
      |  Fritzbox  |
      '-----+-----'
    IP 192.168.178.1 Fritzbox
            |
            |
    IP 192.168.178.2 OPNsense
           WAN   
      .-----+------.   
      |  OPNsense  |
      '-----+------' 
            |
        LAN | 10.0.0.1/24
            |
     .------+--------.
     | EdgeRouter-X  |  1.Port von der OPNsense
     '--+--+--+---+--'
        |   |     |
        |   |     |
        |   |  .--+---------------.   
        |   |  |  Netgear Switch  |
        |   |  '-----+------------' 
        |   |        |
        |   |        |
        |   |        |-+---... (Hausautomation..?/PCs/Laptop) IP 10.0.0.xxx
        |   |
        |   |------+---... (Hausautomation.?/Servers) IP 10.0.10.xxx
        |
        |
     +--+------------+                           
     | Ubiquiti LR-6 |     
     |  Accesspoint  | IP 10.0.20.xxx ? (nutze noch Fritzbox Mesh 7590/7490)
     |     WLAN      |     
     +---------------+   



Eine generelle Frage noch zu dem Zugriff mit meinen PCs Windows/Linux und Laptop.
Komme ich denn auf die Weboberflächen der jeweiligen Geräte so z.B. haben die Hausautomations Geräte alle einen Webserver, oder komme ich hinter der OPNsense noch auf meine Fritzbox drauf obwohl die ja in einem anderen Netzwerk sind.?
Ich hatte soetwas noch nie im Einsatz und frage vorsichtshalber mal.

Noch vergessen ich nutze einen Proxymanager für meine DNS Adressen, der soll natürlich weiter funktionieren.

[moonsorrox]

keiner eine Meinung dazu, alles richtig.??
Mmh ich warte lieber auf Antworten ehe ich garnicht mehr ins Internet komme  :-[

[ar]

Puh das ist eine Menge Holz für relativ wenig Effekt oder?

Ich persönlich würde OPNsense ans Modem anbinden, die FritzBox als IP-Client einrichten, du verlierst keine Dienste und hast eine vollständig konfigurierbare Firewall (entgegen den blockierten Ports einer Fritzbox die du nicht freigeben kannst, z.B. SIP falls sich das mal ändern sollte). Das Mesh funktioniert auch als IP-Client und du könntest alles auf den DHCP von OPNsense umstellen. Wüsste jetzt keinen unterschied zu VOIP über DSL oder Glasfaser, dürfte alles das gleiche sein oder nicht?

Außerdem würde dann die beiden LAN-Netzwerke wegfallen und somit eine Menge NAT vereinfachbar wäre.

Meist kommst du in Router-Kaskaden immer nach oben auf die Oberflächen, nur nach unten in deinem Diagram ist nicht so ohne weiteres möglich.

[tiermutter]

Ich würde die Sense auch direkt ans Modem hängen und die Fritten dann nur WLAN machen lassen, wenn Telefonie kein Thema ist.

Aber mal OT für mich:
nutzt htp die Leitungen der DG oder wie ist das zu verstehen? Würde nämlich auch lieber Glasfaser von htp haben statt von DG :)

[BigBopper]

Moin,
kurz zur Info: DG hat das Netz gebaut, betrieben und vertrieben wird es von htp. Das gilt zumindest für 2 Jahre, soweit ich weiß.

Ich habe die Sense direkt an den Medienwandler angeschlossen. Einwahl passiert per PPPOE, die Fritzbox dahinter als WLAN und als Telefonanlage. Das funktioniert einwandfrei...

[moonsorrox]

Ich habe ja oben geschrieben das ich mal eine UDM Pro hatte.... und diese hat mir Probleme mit meinem Proxymanager gemacht.

Aber gut ich kann ja mal den Test machen mit der OPNsense.
Aber wichtig ist die Fritzbox soll erstmal noch das WLAN machen, aber ganz wichtig die macht Telefonie und das soll auch so bleiben. Da ich auch FritzFons habe...

Und richtig htp ist der Anbieter hier im Raum Hannover und Partner der DG, die Leitungen sind von htp verlegt worden.

Da ich aber absolut keine Ahnung bisher von OPNsense habe brauch eich etwas Unterstützung, ganz besonders wenn die OPNsense auch die Einwahl machen soll.... ich muss ja alles komplett umbauen

[moonsorrox]

Moin,
kurz zur Info: DG hat das Netz gebaut, betrieben und vertrieben wird es von htp. Das gilt zumindest für 2 Jahre, soweit ich weiß.

Ich habe die Sense direkt an den Medienwandler angeschlossen. Einwahl passiert per PPPOE, die Fritzbox dahinter als WLAN und als Telefonanlage. Das funktioniert einwandfrei...

hast du dafür sowas wie ein Plan, denn so würde ich das auch probieren wollen, da ich absoluter Anfänger mit der Sense bin. Da brauche ich ne Art Anleitung. Geht dann auch ne DNS Einwahl von ausserhalb übe rmeinen Proxymanager?

[BigBopper]

Anleitung habe ich keine... Ich bin auch nicht der Netzwerker vor dem Herren. Sondern lesen und probieren ist angesagt, bis es funktionierte. Ansonsten ist youtube dein Freund, denn die Anleitungen zu pfSense kann man prinzipiell auch benutzen. Oder eben die Forensuche nutzen...

- Zugangsdaten für PPPOE stehen im Kundencenter
- VLAN anlegen unter Schnittstellen-->Andere Typen-->VLAN mit VLAN-Tag 22 auf Schnittstelle igb1
- WAN einrichten als IP4 PPPoE --> Benutzer und Passwort eingeben
- Dann sollte Internet schon mal gehen

- Fritzbox habe ich an der Schnittstelle igb2 physikalisch dran. Als IP-Client einrichten und Telefon geht über diese Anleitung https://forum.opnsense.org/index.php?topic=4712.30

Zum Proxy kann ich nicht viel sagen. Es geht, hatte ich schon auf einen Nginx Proxy Manager geleitet. Aber ich benutze derzeit keine nach aussen geöffnete Dienste, sondern lediglich VPN.

[moonsorrox]

OK, ich werde es mal probieren, hatte ich schon gemacht aber kein Erfolg. Dabei hatte ich aber das VLAN noch nicht drin.

EDIT:// bei mir klappt das leider nicht komme nicht ins Internet, evtl. muss ich die OPNsense anders konfigurieren da sie ja virtualisiert ist, aber über die LAN IP sollte es doch eigentlich funktionieren.
WAN habe ich so eingerichtet mit PPPoE, die Daten hatte ich mir schon vor einiger Zeit rausgeschrieben

[moonsorrox]

@BigBopper
bist auch bei htp.?
Ich habe einige Anleitungen gefunden, auch mit IPV6 anfordern und mit nutzen dann aber IPv4, dann noch sowas mit VLAN 7 usw. aber das hatte ich gestern schon alles gefunden und heute auch wieder.

Leider habe ich kein Erfolg mit einer Einwahl ins Internet, eine Regel hatte ich auch schon erstellt weil ja von Hause aus alles geblockt ist, aber keine Chance.

In meinen Daten aus dem Kundencenter steht auch das was du geschrieben hast mit VLAN 22, aber damit geht es bei mir auch nicht. Evtl. muss ich mal morgen bei denen anrufen.

[BigBopper]

@moonsorrox
Ja, ich bin bei htp...

Und es funktioniert einwandfrei wie ich beschrieben habe. Und Regeln braucht man erst später, nicht für die Einwahl.

Weiß htp/DG denn das du einen eigenen Router nutzen möchtest? Ansonsten erst mal deswegen bei denen melden.

Einwahl am Beispiel Telekom: https://www.du-consult.de/opnsense-so-konfiguriert-man-eine-deutschlandlan-pppoe-einwahl/. Analog dazu bei htp eben nicht VLAN 7 sondern 22...

Gerade noch virtualisiert gelesen: d.h. läuft auf dem Proxmox? Hast du denn alle Ports (ausser 22 und 8006) auf die VM (nicht als CT) weiter geleitet?

[MenschAergereDichNicht]

Ich bin auch bei HTP per Glasfaser angebunden.

Zuerst hatte ich die OpnSense-Box direkt an das Modem/den Medienkonverter angeklemmt. Mit Vlan-Id 22 hat es auch erstmal funktioniert.

Ich hatte dann irgendwann Probleme mit der Verbindung und deswegen den Support kontaktiert (ich hatte die Vermutung, dass sich etwas am Netz verändert hat). Als der mitbekommen hat, dass ich nicht die Fritzbox verwende, wurde direkt abgewiegelt und gesagt, dass sie nur Fritzbox supporten.
Dadurch ist die Router-Freiheit natürlich sehr theoretisch. Mir ist natürlich klar, dass sie nicht jede beliebige Box supporten können. Ich habe nur gehofft, dass sie wenigstens prüfen würden, ob es einstellungsrelevante Änderungen beim Netz-Zugang gab.

Deswegen habe ich jetzt wieder die Fritzbox vor der OpnSense-Box. Hat den Vorteil, dass VoIP/Telefon sehr einfach funktioniert. Abgesehen von den Anpassungen bei den Firewall-Regeln braucht man ja dann auch mehrere VLans (VoIp bei HTP läuft nicht über Vlan 22 sondern Vlan 10; steht zumindest bei mir im Kundencenter so in den Produktdaten).
Bei höheren WAN-Geschwindigkeiten ist PPP und Freebsd auch nicht die allerbeste Kombination. Wenn HTP die Verbindung über DHCP aufbauen würde (wie die DG), hätte ich die OpnSense vermutlich trotzdem vor der Fritzbox gelassen.

Ich habe eine ähnliche Konfiguration bei dem Rest. Allerdings anstelle der Kombination von EdgeRouter und NetgearSwitch habe ich einen einzigen Vlan-fähigen 24-Port Switch.

Bezüglich:
> "komme ich hinter der OPNsense noch auf meine Fritzbox drauf obwohl die ja in einem anderen Netzwerk sind.?"

Das sollte funktionieren weil die OpnSense weiß, dass sie die Adresse deiner Fritzbox über ihr WAN-Interface erreicht. Wenn du hinter dem EdgeRouter bist, könnte es sein, dass du dort eine Route eintragen musst. Da bin ich mir nicht sicher.

Das schöne an einem Ubiquiti Accesspoint für das WLAN ist, dass der auch Vlan-fähig ist und du dadurch in Kombination mit der OpnSense verschiedene WLAN-Netze mit angepassten Regeln verwenden kannst (nicht nur Gast und Normal wie bei der Fritzbox).

Fazit: Ich würde nochmal bezüglich des EdgeRouters in mich gehen. Das ist evtl. ein Router zuviel. Lieber ein Vlan-fähiger web managed Switch. Das funktioniert bei mir ganz gut. Mit der Fritzbox vor der OpnSense habe ich keinerlei Probleme. Manch einer verteufelt ja das doppelte NAT. Sehe ich nicht als Problem an und funktioniert gut bei mir. Ich benötige allerdings auch kein UPNP.

[moonsorrox]

@BigBopper
ich hatte schon einmal Kontakt zum Support, sobald die hören das ein anderes Gerät für die Einwahl genommen wird, blocken die ab und kennen sich nicht aus, dass kann ich also getrost vergessen.

Zu dem durchreichen, welchen Port soll ich denn durchreichen.
Ich habe doch den LAN IP Bereich und über WAN soll ja PPPoE kommen, da gibt es doch keinen speziellen Port, zumindest ist es mir nicht bekannt.
Mein Proxmox mit der OPNsense ist ja im LAN Bereich 10.0.0.xxx

@MenschAergereDichNicht
die OPNsense hinter Fritzbox habe ich noch nicht probiert, dass war ja mein Erster Gedanke (sieh oben meine Netzwerkzeichnung)

Dann würde ich der Fritzbox die Standard IP geben 192.168.178.1 und die Sense würde darauf gehen mit dem WAN Netz und mein LAN wäre 10.0.0.xx

[His.Dudeness]

Hi,
ich hab die OPNsense an einem Glasfaser-Modem der Telekom per PPPoE und dahinter eine Fritzbox als IP-Client im LAN für die Telefonie - wie hier schon einige beschrieben haben.

Läuft seit Jahren absolut stabil.  Ich hatte am Anfang ein paar Probleme mit dem SIP. Ich musste für die FB eine eigene Outbound-NAT Regeln bauen, bei der der Haken "static port" gesetzt war. (Ob das ein Feature oder ein Bug ist hab ich nie rausgefunden. So ging es aber jedenfalls)

Gruß
Michael

[MenschAergereDichNicht]

@moonsorrox:

> "die OPNsense hinter Fritzbox habe ich noch nicht probiert, dass war ja mein Erster Gedanke (sieh oben meine Netzwerkzeichnung)"

Deswegen habe ich mich auch darauf bezogen. Ich wollte zeigen, dass es so funktionieren kann.

> "Dann würde ich der Fritzbox die Standard IP geben 192.168.178.1 und die Sense würde darauf gehen mit dem WAN Netz und mein LAN wäre 10.0.0.xx"

Bei der Fritzbox das DHCP deaktivieren und LAN1 eine feste IP, z.B. 192.168.178.1, geben.
In der OPNSense dem WAN-Interface eine statische IP aus dem gleichen Adressbereich geben, z.B. 192.168.178.2 .
Ich habe dann mehrere interne /24-Netze auf den übrigen Interfaces erzeugt. Bei mir ist das z.B. 10.11.12.0/24 für das LAN, 10.11.13.0/24 für WLAN, 10.11.14.0/24 für das Arbeitsnetz,... .

Sämtliche LAN-Anschlüsse und den Unifi-AP habe ich über den managed Switch mit dem Router verbunden. Der AP spannt drei WIFI Netzwerke auf und liefert sie mit VLAN Tags aus. Über den Switch steuere ich auf welchem Router-Interface welches VLAN anliegt.