Netzwerkstruktur mit Firewall und wohin mit den Zugangsdaten?

[Heikiel]

Hallo, hilfreiche Geister!

Ich kann berichten, dass ich alles soweit hinbekommen habe. Vielen Dank für die Hilfe! Ich habe mir einen Switch besorgt, die Fritzbox im Client-Modus ist jetzt nur noch für das kabelgebundene Festnetztelefon, Anrufbeantworter und die DECT-Geräte (Telefone und Thermostate) und gelegentliches (Gast-)WLAN zuständig. Alles andere läuft über die OPNsense und den Switch.

Leider funktioniert die IP-Telefonie nur halb: Sowohl bei aus- als auch bei eingehenden Gesprächen klappt zwar scheinbar der Verbindungsaufbau, aber man hört (sich) nicht und nach 10 sec. bricht die Verbindung ab. Ich bin bis zu diesem Ergebnis dieser Anleitung https://www.mg-sky.de/2018/05/11/voip-mit-einer-firtzbox-7490-hinter-opnsense/ gefolgt.

Einen schönen Abend!

[micneu]

zu voip sind im forum unzählige themen. nutze einfach die forum suche. ich hatte bei mir damals nur eine outbound nat regel erstellt. mehr nicht

[Heikiel]

Hallo,

heute kann ich berichten, dass mich micneu's Hinweis mit den NAT-Regeln hier im Forum auf unten stehenden Post geführt hat. Damit klappt jetzt die VoIP von meiner Fritzbox 7490 (Telekom DSL-Anschluss) hinter der OPNsense tadellos.

Ganz herzlichen Dank an alle und ein schönes Wochenende!

Hein

[Layer8]

Moin,

du hast zwar jetzt ein funktionierendes Setup, aber angesichts der aktuellen Energiesituation kannst du den Aufbau auch nochmal überdenken. Du verlierst dadurch keine Funktionen, die du im ersten Beitrag geschrieben hast.

Folgendes Szenario wäre dann anzuwenden:


Telefondose <-> Fritzbox <-> Port1/WAN OPNsense <-> Port2/PC1, Port3/PC2, Port3/Drucker

Vorteile:
- Man kann die Statistiken der DSL-Leitung in der Fritzbox anzeigen lassen (Zyxel ist da nicht so auskunftsfreudig)
- Du kannst das Zyxel-Modem und auch den extra Switch weg lassen, was Strom spart.
- Da die Fritzbox dann immer laufen kann, steht auch immer Smart-Home und VoIP zur Verfügung.
- Wenn kein PC oder Drucker benötigt wird, kannst du dann sogar auch die OPNsense mit ausschalten, sofern das praktikabel ist.
- Du hättest auch gleichzeitig noch immer einen Accesspoint für mobile devices laufen.
- Du würdest auch vom PC1/PC2 auf das Web-Interface der Fritte kommen.

So wäre das Vorgehen:

- Die Fritzbox baut die PPPoE-Verbindung ins Internet auf, hat somit auch die Zugangsdaten gespeichert.
- Zwischen Fritte und OPNsense wird ein Transfernetz eingerichtet, zum Beispiel Fritzbox hat intern die 192.168.178.1/24 und die OPNsense mit dem WAN-Anschluss die 192.168.178.2/24 (jeweils beide als feste IPs). Die OPNsense bekommt dann auf dem WAN-Anschluss die 192.168.178.1 als Gateway und DNS-Server eingetragen.
- In der Fritzbox wird dann die IP der OPNsense 192.168.172.2 als Exposed Host eingetragen. Das hat zur Folge, dass die Frotzbox stumpf jeden Traffic an die OPNsense weiter leitet. Somit sind keine Portforwardings notwendig. Die Fritzbox leitet nur die Protokolle nicht weiter, die sie selbst auf dem DSL-Anschluss nutzt (also VoIP wird nicht zur OPNsense geleitet, etc.).

In der OPNsense kann dann trotzdem gefiltert werden, welche Geräte intern miteinander kommunizieren dürfen.

Es gibt in dem Szenario noch ein paar andere, technische Vorteile, die bei dir aber nicht unbedingt zum Tragen kommen:
- PPPoE könnte nicht für CARP genutzt werden
- PPPoE wird auf der OPNsense immer nur mit einem Thread berechnet, weil das darunter liegende FreeBSD nicht mit zwei oder mehr Kernen PPPoE handeln kann. Das kann, je nachdem auch zum Bottleneck werden

[micneu]

@Layer8: sorry dann kannst du genauso empfehlen "wenn du stromsparen willst lass die sense weg und nutze nur die fritzbox". ich sehe es so wenn ich mir den strom nicht für eine sensee nicht leisten kann sollte man das thema sense einfach lassen. und willst du mir wirklich erzählen das du immer deine sense ein und aus machst, wozu setzt du dann eine sense ein?

[Patrick M. Hausen]

Mal ganz abgesehen davon, dass z.B. die kleinen Deciso-Appliances 20W oder weniger verbraten.

[Layer8]

Holla, ich wollte hier keine Gefühle verletzen. Wo ist denn euer Problem? Selbst wenn die Sense in dem von mir geschilderten Szenario durchläuft, kann er sich in jedem Fall den Switch und das Zyxel-Modem sparen.

Aus OPs erstem Beitrag geht außerdem hervor, dass er zwei PCs und einen Drucker hat, die er trennen will. Er schreibt explizit, dass die Fritte nicht zwingend hinter der Sense laufen muss. Also wo widerspricht denn mein Vorschlag jetzt den Anforderungen?

Ziemlich sicher darf angenommen werden, dass OP die Geräte an der Fritte durchgehend nutzen will (IoT-/Smart-/ VoIP-Devices). Dafür brauchts echt keine Sense, denn das macht die Fritzbox bestens und sicher noch dazu, vor allem wenn das alles AVM-Endgeräte sind. Die Sense vor die Fritte zu schalten, nur dass hier mit aller Gewalt eine Sense davor ist und ständig durchrennt, bringt in dem Szenario keinen Mehrwert. Mir fällt grad nicht ein was die Sense machen soll, dass da ein wirklicher Vorteil entsteht.

Selbst wenn man noch berücksichtigt, dass die Fritte noch Accesspoint für Smartphones spielt, ist das für die meisten Anwender völlig ausreichend und setzt nicht zwingend eine Sense dazwischen voraus. Das macht erst dann Sinn, wenn man Traffic von den Smartdevices irgendwie filtern will oder sonstige Sachen auf der Sense macht, die mit der Fritte nicht gehen.

Es darf auch angenommen werden, dass die zwei PCs und der Drucker nicht ständig laufen. Daher kann auch die Sense im von mir skizzierten Szenaio abgeschalten werden sobald die drei Endgeräte aus sind, aber es ist kein muss. OP ging es darum, die PCs und den Drucker zu filtern und das geht mit meinem Vorschlag ohne Probleme. Egal ob man die Sense aus schaltet wenn sie nicht benötigt wird oder sie einfach durchläuft.

Ich halte die Sense für ein großartiges Stück Software, aber ich muss nicht jedem einenen Anwendungsfall aufs Auge drücken, der gar nicht gefragt war. Jedenfalls verbaut er sich mit der Konfiguration auch nicht wirklich was. In der heutigen Zeit die Möglichkeit aufzuzeigen, wie man Ressourcen sparen kann schadet jedenfalls nicht. Zumindest wenn dadurch nicht mal ein Featurecut entsteht.

Ich hab meine Sense übrigens durchlaufen. Aber ich hab auch ein wesentlich komplexeres Netzwerk zu Hause als nur zwei PCs und einen Drucker.

Im Grunde soll jeder selber entscheiden welchen Strom er verbraten will und ich will hier jetzt auch gar nicht die Moralkeule schwingen. Trotzdem verbraucht der bisherige Aufbau dauerhaft etwa 30Watt mehr als mein Alternativvorschlag:

Mein Szenario 8-10Watt:
Fritzbox dauerhaft 8-10Watt

Euer Szenario 40-45Watt:
Fritzbox dauerhaft 8-10Watt
Zyxel dauerhaft 8-10 Watt
Extra Switch dauerhaft 4-5Watt
Sense 20Watt

[micneu]

gut, nur ich sehe es so das man dann sich die sense echt sparen kann nund nur die fritzbox einsetzt. bei meinem setup würdee ich ein problem haben mit einer fritzbox

Code Select Expand


                                            ┌──────────────────────────┐
                                            │                          │
                                            │  WAN / Internet (PPPoe)  │
                                            │        Willy.tel         │
                                            │ 1000/250Mbit/s Glasfaser │
                                            │                          │
                                            └─────────────┬────────────┘
─ ─ ─ ─ ─ ─ ─ ─WAN─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┼ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ WAN ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─
                                                          │
                                                          │
┌────────────────┐   ┌────────────────┐       ╔══════════╩════════════ pfSense+ 22.05 ══╗    Stand: ─ ─ ┐
│                │   │     Switch     ├───────╣                                         ║  │
│    TrueNAS     ├───┤  USW-Flex-XG   │       ║                Intel NUC BNUC11TNHV50L00║    23.09.2022 │
│                │   │                ├────┐  ║                      LAN: 192.168.3.0/24║  │
└────────────────┘   └────────┬───────┘    │  ║   Gäste (W)LAN (VLAN33): 192.168.33.0/24║   ─ ─ ─ ─ ─ ─ ┘
                               │            │  ║       IoT WLAN (VLAN34): 192.168.34.0/24║
                      ┌────────┴───────┐    │  ║     DynDNS über deSEC mit eigener Domain║
                      │      UBNT      │    │  ║                                   VPN's:║
                      │EdgeSwitch 8 XP │    │  ║         2 x Fritzbox (7490 & 6591) IPSec║
                      │                │    │  ║ 1 x OpenVPN Road Warrior (172.16.3.0/24)║
                      └───┬────────────┘    │  ║               1 x WireGuard Road Warrior║
┌────────────────┐       │                 │  ║                         (172.16.33.0/24)║
│ Fritzbox 7490  │       │                 │  ╚═════════════════════════════════════════╝
│   (Nur VoIP)   ├───────┤                 │
│                │       │               ┌─┴──────────────┐     ┌────────────────┐   ┌────────────────┐
└────────────────┘       │               │     Switch     │     │     Switch     │   │    1 x UBNT    │
┌────────────────┐       │               │  USW-Flex-XG   ├─────┤Netgear GS110TPP├───┤UniFi AP-Flex-HD│
│      UBNT      │       │               │                │     │                │   │                │
│UniFi Cloud Key ├───────┤               └───────┬────────┘     └─────────┬──────┘   └────────────────┘
│                │       │                       │  ┌────────────────┐    │          ┌────────────────┐
└────────────────┘       │                       │  │                │    │          │                │
┌────────────────┐       │                       └──┤    Clients     │    └──────────┤    Clients     │
│    2 x UBNT    │       │                          │                │               │                │
│UniFI AP AC Pro ├───────┘                          └────────────────┘               └────────────────┘
│                │
└────────────────┘


[Layer8]

Ja, klar, ich würde mit der Fritte auch nicht weit kommen. Aber es geht ja nicht um deine oder meine Anforderungen ;-)

Und nein, mit der Fritte würde OP auch nicht weit kommen. Er will ja offensichtlich PC1, PC2 und Drucker trennen. Das geht mit der Fitte nicht, aber mit der Sense.

[Patrick M. Hausen]

Die eigentliche Frage ist doch: weshalb will man 2 PCs und einen Drucker trennen?

[Heikiel]

Hi, sehr interessant Eure Diskussion und vielen Dank dafür!

Ich muss sagen, dass meine Vorstellungen, wie Netzwerk und Sicherheitsarchitektur aussehen sollen, genauso wie mein Wissen darüber, wie die Technik dahinter funktioniert, sich im Laufe dieses Theads geändert und erweitert haben. Heute würde ich sagen, dass das gesamte Netzwerk maximalen Schutz erhalten soll, d. h. PC1, PC2 und Smartphone im WLAN.

Das mit der Energie und dem Verzicht auf zwei der Geräte hätte ich gerne früher bedacht, jetzt habe ich alles so schön an die Wand gebohrt und chic verkabelt. Ist vielleicht doof, aber ich will das jetzt nicht schon wiederauseinander reißen.  ;-)

Vermutlich hat die Firewall bei mir wirklich nichts Ausgefallenes zu erledigen. Das einzige,  was noch nicht klappt, ist der Zugang über die Fritz!App von unterwegs und Teamviewer-Aufschaltungen von außen. Vermutlich muss ich hier noch die entsprechenden Regeln definieren?

Allen einen einigen Feiertag!

[micneu]

@Heikiel, wozu brauchst du die fritzapp, auf was willst du zugriefen?
meine empfehlung:
- erstelle dir ein vpn auf der sense, so hast du dann auf alle resourcen in deinem netzwerk von unterwegs zugriff

[Heikiel]

Ich will den Anrufbeantworter und die Heizkörper steuern können...

[JeGr]

@Layer8:

Also mal von irgendwelchen hochgekochten Gefühlen abgesehen: Wo ist denn bei deinem Vorschlag:

> Telefondose <-> Fritzbox <-> Port1/WAN OPNsense <-> Port2/PC1, Port3/PC2, Port3/Drucker

bei dem ich vermute, dass die beiden PCs am Port 2/3 der Fritte und der Drucker auf 4 sollen, denn die Netztrennung? Wenn die an einem Switch (der Fritte) hängen, ist da keine Netztrennung vorhanden, von der im OP die Rede war. Damit hängen einfach alle Geräte an der Fritte gleichberechtigt nebeneinander. Da kann man jetzt zwar tumb den PCs und dem Drucker die Sense als GW geben, aber ein effektives wirkliches LAN oder mehrere LANs existieren da nicht, denn die müssten hinter der Sense sein und nicht parallel daneben.

Verstehe da nicht wie man das als "filterndes Setup" beschreiben möchte?

Cheers

[Layer8]

Was du vermutest, ist schlicht was anderes wie es gemeint war. :)

Im ersten Beitrag steht, dass die Hardware auf der seine Sense läuft vier Netzwerkports hat. Seine Sense hätte beispielsweise dann folgende Konfig:

Port 1: WAN-Interface der Sense mit z.B. 192.168.178.0/24er Netz. Da käme dann ein beliebiger Switchport der Fritte dran.
Port 2: LAN-Port mit PC1. 192.168.10.0/24
Port 3: OPT1-Port mit PC2. 192.168.20.0/24
Port 4: OPT2-Port mit Drucker.  192.168.30.0/24