Grundsatzfragen zum Aufbau mit der OPNSense + Netzwerk dahinter

[maze-m]

Hallo zusammen!

Ich plane für unser Haus (drei Etagen) hinter der Frizbox eine OPNSense zu betreiben und baue mir das Setup gerade peut a peut auf und bastel rum :). Ich hoffe, ihr könnt mir bei einigen Fragen noch helfen... Das Setup soll folgendermaßen ausschauen:

              INTERNET
                  |
_________|_______________
|       Router (Fritzbox Cable)  | 
'--------------+-----------------------'
                  |
        WAN  | IP: 192.168.0.2 / 2a02:810d:bb40:877:a236:9fff:fe06:aff8
                  |
      .---------+---------------------------------------------.
      |  OPNsense                                               |
      '--------+------------------------------------|----------'
                 |                                           |
        LAN  | 192.168.1.1/24      MGMT | LAN 192.168.0.3
                 |
      .--------+----------------------.
      | LAN-Switch (8 Port)     |
      '--------+----------------------'
                 |
       --------+--------------------.
      | LAN-Switch (24 Port) |
      '--------+---------------------'   
       ...-----+------... (insgesamt 3 x 8 Port Switche in den einzelnen Etagen)
      ...------|------.... (an jeden 8 Port Switch jeweils eine AP angeschlossen)

Nun meine Fragen hierzu:

1.
Ich habe mir überlegt, sowohl das MGMT-Interface als auch das WAN-Interface im gleichen Netz stehen zu lassen (192.168.0.x-er Netz). Hintergedanke ist der, dass ich dann - falls die Fritzbox mal neu eingerichtet werden muss z.B. - direkt auf das MGMT-Interface zugreifen kann, ohne "Verbiegungen machen zu müssen".
Das WAN-Interface liegt ja wegen dem Doppel-NAT im gleichen Netzbereich wie die Fritzbox und das funktioniert momentan auch super.

Kann ich das so machen mit "zwei Interfacen im gleichen Netzbereich"? Mir wurde im OPNSense (DACH) Telegram Channel davon abgeraten, da die Sense dann ja nicht wisse, wo sie manchen Verkehr hinschicken soll.


2.
Da wir im Kellergeschoss häufig Airbnb-Gäste haben und meine Frau gerne in der DG-Wohnung ihrer Selbstständigkeit nachgehen möchte (wo wir wiederum auch Gäste haben), habe ich mir überlegt, folgende VLANs an den Switchen einzurichten, welche ich dann natürlich auch an der Sense verwalten möchte:

- VLAN 2 = 192.168.0.1/24 (MGMT-Netz für OPNSense, TrueNAS-Mgmt-Port, Mgmt-Port vom Switch etc.)
- VLAN 3 = 192.168.1.1/24 (Heim-Netz + Wifi-Netz von unserer Wohnung)
- VLAN 4 = 192.168.2.1/24 (Airbnb- / Gäste-Netz für DG-Wohnung)

Wie bekomme ich das sauber in der Sense aufgebaut? Ich will z.B. auch nicht, dass Airbnb-Gäste da irgendwelches "Schindluder" betreiben und ich habe dann Ärger letztendlich an der Backe, wenn die Gäste weg
sind...

Ich wäre euch erstmal sehr dankbar für Anregungen und Tipps.

[Patrick M. Hausen]

Man kann grundsätzlich keine 2 Interfaces mit unterschiedlichen Adressen im selben Netz haben. Das widerspricht allen Grundlagen von IP und Routing.

[maze-m]

Man kann grundsätzlich keine 2 Interfaces mit unterschiedlichen Adressen im selben Netz haben. Das widerspricht allen Grundlagen von IP und Routing.

Okay, danke dir für den Einwand. Wie kann ich das denn am besten und sinnvollsten "aufbrechen" und voneinander trennen?

[Patrick M. Hausen]

Warum brauchst du ein separates Management-Interface? Verwalte die Kiste doch vom LAN aus.

[maze-m]

Warum brauchst du ein separates Management-Interface? Verwalte die Kiste doch vom LAN aus.

Ehrlich gesagt brauche ich das Mgmt-Interface momentan noch, weil ich das LAN bzw. das ganze Geraffel dahinter noch nicht aufgebaut habe.
Sonst wäre es wahrscheinlich sinnnvoll, die OPNSense über die 192.168.1.2 direkt (also somit im LAN) erreichbar zu machen.
Aber versteh ich dich richtig, dass ich NIE NIEMALS zwei Interfaces mit unterschiedlichen Adressen im selben Netz konfigurieren sollte?

[Patrick M. Hausen]

Richtig. Dieses ganze "192.168.1.1/24" bedeutet ja, alles, was in den ersten 24 Bit mit dieser Adresse übereinstimmt, also alles, was mit 192.168.1 anfängt, befindet sich an diesem Interface. So ist IP einfach definiert. Ein Netz, ein Interface.

Wenn du jetzt zwei Interfaces mit z.B. 192.168.1.1/24 und 192.168.1.2/24 definierst - über welches wird dann der Rechner (z.B.) 192.168.1.100 erreicht? Deshalb funktioniert das nicht. Das muss eindeutig sein.

[meyergru]

Zum Thema "Schindluder": Das kommt mal sehr darauf an, welche Ziele Du mit der Firewall verfolgst:

a. Abtrennung von "Gast"-Netzen von Deinem eigenen Kram, um zu verhindern, dass irgendwas davon angegriffen/abgehört wird. Das ist erreichbar.

b. Verhindern, dass ungesetzliche Dinge mit dem Internet-Zugang getan werden, damit Du nicht in die "Störerhaftung" kommst: Schwierig.

Man kann zwar alles möglich tun von Sperrung bestimmter Seiten (oder Kategorien), Blockieren von bestimmten Traffic-Typen usw., aber das läuft am Ende alles darauf hinaus, dass der angebotene freie Internet-Zugang eben sehr beschränkt ist. Das fängt schon damit an, dass Du Traffic-Introspektion nur mit SSL-Terminierung machen kannst und Deine Gäste werden das wohl kaum mitmachen. Auf diese Weise kann man seine Kinder kontrollieren, Fremde aber nicht.

Lässt Du aber SSL oder sonstige Verschlüsselungen zu, bist Du praktisch "blind". Es gibt allerdings die Möglichkeit, ein VPN zu nutzen, so dass der Ausgang Deines Gastnetzes "woanders" liegt. Dann müsstest Du den gesamten Traffic des Gastnetzes dort durchtunneln.