Heimnetz Aufbau allgemein

[SensenNeuling]

Hallo,
ich mache mir seit einer Weile Gedanken über meinen Netzwerk Aufbau daheim.Was ich habe:- Kabel Anschluss- Fritzbox 6591 Kabel- Firewall OPNSense Community (aktuell)- Switch (Level One GSW-2494 24-port Gigabit w/2SFP L2 SNMP)- 18 HE Netzwerkschrank (Leider Geräte bis max. 300mm Tiefe)
 - Private PC in verschiedenen Räumen
- Synology NAS DS216j (Private Datensicherung der einzelnen PC
   Soll ersetzt werden durch eine Rack Version Synology RS1221+
- verschiedene Fernseher und Av-Receiver sowie Yamaha Music cast 20Streaming Boxen
- Arbeits Computer welcher in ein eigenes Lan Netz gehen soll.
   So das keine Verbindung zu dem Privaten Netz besteht
- Synology DS120j welche früher durch Portfreigabe Extern fürs Internet freigegeben war.
   Dies möchte ich jetzt auch wieder aber so das sie wie der Arbeits Computer nicht auf die anderen Netze von  selbst zugreifen kann.
Ist mein Switch dafür mit der Firewall geeignet?Oder muss ich alles über die einzelnen Anschlüsse an der Firewall anschliessen?(emc0 WAN / emc1 Privat LAN / emc2 Extern Synology / emc3 Arbeits Computer

[micneu]

Ist mein Switch dafür mit der Firewall geeignet?Oder muss ich alles über die einzelnen Anschlüsse an der Firewall anschliessen?(emc0 WAN / emc1 Privat LAN / emc2 Extern Synology / emc3 Arbeits Computer

ja, kannst du, stichwort VLAN damit kannst du es ganz einfach machen (nur wie man das an deinem switch macht musst du aus der doku des herstellers suchen)

[SensenNeuling]

OK lese ich nachher in der Switch Anleitung nach.Verbinde ich wenn VLan unterstützt wird meine opnsense mit 3 Lan Kabel dann an den Switch (emc1+emc2+emc3)?

Verbinde ich die opnsense mit dem Router über einen Lan Anschluss 2,3 oder 4 worüber ich einen Bridge Modus habe?

[micneu]

- dein Modem/Router kommt logischer weise an den WAN Port (am besten liest du auch die OPNsense doku)
- wenn du es mit VLANS machst reicht ein LAN anschluß (die restlich kannst du dann später noch für andere sachen konfigurieren (ich bisher bei mir nur 2 x Ethernet (1 x LAN, 1 x WAN) den rest machen ich bei mir über VLAN am LAN)
ich hänge dir mal meinen grafischen netzwerkplan als beispiel an:

Code: [Select]

                                            ┌──────────────────────────┐
                                            │                          │
                                            │  WAN / Internet (PPPoe)  │
                                            │        Willy.tel         │
                                            │ 1000/250Mbit/s Glasfaser │
                                            │                          │
                                            └─────────────┬────────────┘
─ ─ ─ ─ ─ ─ ─ ─WAN─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┼ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ WAN ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─
                                                          │
                                                          │
 ┌────────────────┐   ┌────────────────┐       ╔══════════╩════════════ pfSense+ 22.05 ══╗    Stand: ─ ─ ┐
 │                │   │     Switch     ├───────╣                                         ║  │
 │    TrueNAS     ├───┤  USW-Flex-XG   │       ║                Intel NUC BNUC11TNHV50L00║    23.09.2022 │
 │                │   │                ├────┐  ║                      LAN: 192.168.3.0/24║  │
 └────────────────┘   └────────┬───────┘    │  ║   Gäste (W)LAN (VLAN33): 192.168.33.0/24║   ─ ─ ─ ─ ─ ─ ┘
                               │            │  ║       IoT WLAN (VLAN34): 192.168.34.0/24║
                      ┌────────┴───────┐    │  ║     DynDNS über deSEC mit eigener Domain║
                      │      UBNT      │    │  ║                                   VPN's:║
                      │EdgeSwitch 8 XP │    │  ║         2 x Fritzbox (7490 & 6591) IPSec║
                      │                │    │  ║ 1 x OpenVPN Road Warrior (172.16.3.0/24)║
                      └───┬────────────┘    │  ║               1 x WireGuard Road Warrior║
 ┌────────────────┐       │                 │  ║                         (172.16.33.0/24)║
 │ Fritzbox 7490  │       │                 │  ╚═════════════════════════════════════════╝
 │   (Nur VoIP)   ├───────┤                 │
 │                │       │               ┌─┴──────────────┐     ┌────────────────┐   ┌────────────────┐
 └────────────────┘       │               │     Switch     │     │     Switch     │   │    1 x UBNT    │
 ┌────────────────┐       │               │  USW-Flex-XG   ├─────┤Netgear GS110TPP├───┤UniFi AP-Flex-HD│
 │      UBNT      │       │               │                │     │                │   │                │
 │UniFi Cloud Key ├───────┤               └───────┬────────┘     └─────────┬──────┘   └────────────────┘
 │                │       │                       │  ┌────────────────┐    │          ┌────────────────┐
 └────────────────┘       │                       │  │                │    │          │                │
 ┌────────────────┐       │                       └──┤    Clients     │    └──────────┤    Clients     │
 │    2 x UBNT    │       │                          │                │               │                │
 │UniFI AP AC Pro ├───────┘                          └────────────────┘               └────────────────┘
 │                │
 └────────────────┘


[SensenNeuling]

So da bin ich wieder. Hat ein wenig gedauert da ich die Doku und Foren Beiträge rauf und runter gelesen habe :-)
Ich habe jetzt kein VLan umgesetzt sondern ich verwende die Physischen Ports der opnsense.
So sieht es aktuell bei mir aus.Alle Geräte kommen in das Internet.
Woran es aktuell bei mir hapert ist wie ich meine Synology NAS DS120j wieder über Portfreigabe ins Internet bekomme.
Bleibt der DynDNS Eintrag in der Fritzbox welcher sich mit der Subdomain.domain.de koppelt?
Oder wo kann ich was nachlesen damit ich das richtig umsetzen kann.

Code: [Select]

     WAN / Internet
            :
            : Kabel Vodafone-Provider
            :
      .-----+-----.
      | Fritz Box |
      |6591 Kabel |  (Dynamische automatische IP vom Provider)
      '-----+-----'  (Könnte auch eine Feste IP Nummer bekommen)
            | |  |
        WAN | |  |                      |-----------------------|
    igc0WAN | |  |----------------------|  Gigaset Haustelefon  |
            | |                         |-----------------------|             |-----------------------|
            | |---------------------------------------------------------------|  Wlan in der Fritzbox |
            |                                                                 |-----------------------|
            |
      .-----+------.   
      |  OPNsense  |  192.168.178.212  (von Fritzbox feste IP)
      '-----+------'
            |  |  |
    LAN     |  |  |
192.168.1.1 |  |  |        igc2Synology   192.168.10.1     |----------------------------------------------------------------------------------------------------------------------------
igc1LAN     |  |  |-------------------------------------| Synology DS120j
            |  |                                        | 192.168.10.5
            |  |                                        | Extern erreichbar über subdomain.domain.de (DNNS aktuell mit meiner Fritzbox da früher da die Synology direkt daran hing)
            |  |                                        |----------------------------------------------------------------------------------------------------------------------------
            |  |
            |  |
            |  |
            |  |       
            |  |       
            |  |       igc3Firma    192.168.20.1      |------------------------------------------------------------------   
            |  |-----------------------------------|   Firmen Laptop im extra Arbeitszimmer           
            |                                      |   192.168.20.5
            |                                      |   Benötigt Internet und geht über ein VPN ins Firmen Netzwerk
            |                                      |------------------------------------------------------------------
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)
   
    ...-----+------... (Wlan Repeater AVM Fritz Repeater 3000
                        Kann es sein das dieser auch ohne die Wlan Funktion in der Fritzbox funktioniert?


[MauriceMoss]

Hallo,

du musst in der FritzBox die OpnSense als sogenannten "Exposed Host" frei schalten.
Bei der FritzBox machst du das unter "Internet" - "Freigaben".
Dann werden die Anfragen von aussen direkt durchgeschleift und die Sense kann tun
wofür sie da ist- hier kannst du dann in der Regel auch die Portfreitgaben hinterlegen.

[Tuxtom007]

du musst in der FritzBox die OpnSense als sogenannten "Exposed Host" frei schalten.
Bei der FritzBox machst du das unter "Internet" - "Freigaben".
Dann werden die Anfragen von aussen direkt durchgeschleift und die Sense kann tun
wofür sie da ist- hier kannst du dann in der Regel auch die Portfreitgaben hinterlegen.

Dann kann er aber das WLAN der FritzBox nicht mehr nutzen, so wie er das wohl derzeit lt. dem Bild oben macht.

[SensenNeuling]

Leider muss ich die Fritzbox (automatisch und fest mit dabei) verwenden.Ich könnte aber auch eine zweite Fritzbox nach der opnsense noch anschließen.

[SensenNeuling]

Hier die Fritzbox Einstellungen wo Du meintest richtig?

[Tuxtom007]

Leider muss ich die Fritzbox (automatisch und fest mit dabei) verwenden.Ich könnte aber auch eine zweite Fritzbox nach der opnsense noch anschließen.

"Exposed Host" und WLan der FritzBox zusammen nutzen kannst vergessen, das wird nicht funktionieren, weil du aus dem LAN nicht mehr in das WLAN kommst und umgekehrt aus dem WLAN nicht mehr ins LAN.
"Exposed Host" ist eine Pseudo-BridgeModus, der die Routerfunktion der FritzBox umgeht.

Wenn du die Verbindung bauen willst zwischen dem FritzBox WLAN und deinem LAN hinter der OPNSense kannst du die OPNSense auf direkt weglassen.

Bevor du dir aber jetzt ne zweite FritzBox in LAN hängt für WLAN würde ich dir raten, lass es sein und kauf dir dann direkt lieber ordentliche WLAN-Access-Points z.b. von Unifi und bau dein Netzwerk direkt richtig auf.
Ich kann dir nur aus Erfahrung sagen, das wird sonst ein Gefrickel sonst, mit dem du nicht happy wirst. Ich hab eine Bekannte bei auch meine Hilfe dabei verweigert, der das so ähnlich machen wollte.

[MauriceMoss]

Hier die Fritzbox Einstellungen wo Du meintest richtig?

ja genau das ist der Punkt.
Wenn du eine zweite FritzBox rumliegen hast dann kannst du die natürlich als WLan-AP nehmen.Wenn du allerdings Geld in die Hand nehmen musst hat der Kollege schon recht- dann lieber in ein gutes WLan-System investieren (ob es Unifi sein muss sei mal dahin gestellt).