Gelöst: Fritz!Box mit VoIP HINTER OPNsense - VLAN je für Daten und VoIP

[meyergru]

1. Nein. Das FRITZ_LAN kann ein ganz normales Subnetz/VLAN sein. Das VLAN 201 wird ja nicht "durchgetunnelt", sondern ist nur der Träger für eine PPPoE-Verbindung in ein spezielles, nach außen sonst nicht gerouteten 10er Netzes beim Provider. Eine Netztrennung bei Dir wäre technisch nicht notwendig, aber möglich (ich mache es auch so, aber eher, weil die Fritzbox auch noch andere IoT-Geräte steuert, die bei mir alle im IoT-Netz landen). Die Fritte ist ein dummer LAN-Client, die im Wesentlichen nur noch VoIP macht. Wenn Du es anfangs nicht verkomplizieren willst, lasse sie zunächst im LAN!

2. Die Einstellungen der Fritzbox sind ein bisschen unlogisch. Es ist eben nicht "Zugang über LAN", sondern "anderer Internetanbieter". Das sieht dann so aus wie im Anhang. Sie zieht sich eine ganz normale IP für das jeweilige LAN oder IoT-Netz bei Dir. Die OpnSense sollte dann NAT dafür in das Telefonie-Netz des Providers machen. Die Fritzbox selbst macht hier kein NAT! Sämtliches Routing, NAT und Firewalling übernimmt die OpnSense.

Ich würde mal ausprobieren, welche IP hinter "versatel.sip" steht. Du sagst, das Gateway dort ist die 172.16.1.1, welche IP bekommt die OpnSense denn auf pppoe1 zugewiesen? Es kann sein, dass Du noch eine Route auf das 10er Netz von Versatel über das Gateway 172.16.1.1 einrichten musst, damit Du z.B. versatel.sip oder 10.0.0.4 aus Deinen Netzen erreichen kannst - wohlgemerkt: auf der OpnSense!

Eventuell reagieren die 10er IPs nicht auf Ping, man sollte aber feststellen können, ob UDP Port 5060 offen ist.
Ein Traceroute aus Deinem Netzwerk sollte dann über die OpnSense und 172.16.1.1 ins 10er Netz laufen und eben nicht über Dein Internet-Gateway.

[Baender]

Ich würde mal ausprobieren, welche IP hinter "versatel.sip" steht. Du sagst, das Gateway dort ist die 172.16.1.1, welche IP bekommt die OpnSense denn auf pppoe1 zugewiesen? Es kann sein, dass Du noch eine Route auf das 10er Netz von Versatel über das Gateway 172.16.1.1 einrichten musst, damit Du z.B. versatel.sip oder 10.0.0.4 aus Deinen Netzen erreichen kannst - wohlgemerkt: auf der OpnSense!

Für PPPoE1 bekomme ich bspw. die IP 172.16.33.68. Also in einem anderen Subnet. Ich habe mit Wireshark die Kommunikation mal angeschaut und es sieht so aus, als würde die Fritz!Box mit der IP 172.16.33.68 direkt die 10.0.0.4 über Port 5060 kontaktieren.
Ich würde also die Tage mal die OPNsense wieder anklemmen und eine Route bauen. Oder muss ich vorher noch etwas anderes beachten?

[Baender]

Hallo zusammen,

nach einem neuen Anlauf in 2024 habe ich nun auf beiden PPPoE eine IP.

• PPPoE0 (VLAN 101):
  
  
  
  • GW: 203.0.113.123
  • IP: 92.206.XX.XX
• PPPoE0 (VLAN 201):
  
  
  
  • GW: GW 172.16.XX.XX / SIP-Proxy 10.0.0.4
  • IP: 172.16.17.XX

Aktuell habe ich noch keine NATs oder sonstige Regeln eingestellt. Die FritzBox befindet sich im IP Client Modus und erhält von der OPNSense eine IP. Erwartungsgemäß kann die Fritzbox die Rufnummern nicht registrieren.

Wenn ich mir im Firewall Live View die Verbindungen der Fritzbox nach deren Neustart anschaue, habe ich den Verdacht, dass das Interface falsch ist. Da die meisten Tutorials jedoch nur mit einem WAN arbeiten und eben nicht ein WAN_INT und ein WAN_VoIP haben, weiß ich aktuell nicht weiter. Ich vermute, dass ich den Verkehr umleiten muss, und das er aktuell auf dem WAN_INT landet, weil die Automatik-Regeln dafür verantwortlich sind. Was in diesem Fall falsch ist.

Code Select Expand

Interface Time Source Destination Proto Label
WAN_INT 2024-01-15T21:36:49 92.206.XX.XX:49044 10.0.0.4:5060 udp let out anything from firewall host itself (force gw)

Verwendete Einstellungen des Live View:

Code Select Expand

src=169.254.1.1
dst=169.254.1.1
dst=192.168.1.101
src=192.168.1.101
src=10.0.0.4
dst=10.0.0.4
srcport=5060
dstport=5060


[Patrick M. Hausen]

Interface: LAN
Source: die feste IP deiner Fritzbox
Destination: any
Action: permit
Gateway: der Gateway deines VoIP WAN

Wenn das dann mal so weit funktioniert, dass wenigstens das Signaling/Registrierung klappt, dann in den NAT-Regeln auf dem WAN für VoIP noch eine Regel speziell für die Fritzbox mit "Static Ports: YES" anlegen.

[Baender]

Hallo Patrick,

ich habe unter Firewall > Rules > LAN eine neue Regel angelegt:

• Action: Pass (Ich finde kein Permit)
• Interface: LAN
• Direction: in
• Protocol: any
• Source: 192.168.1.5/32
• Destination: any
• Gateway: WAN_VOIP_PPPOE

Bevor ich jedoch mich an die NAT gewagt habe, schaute ich erst einmal in den Live View. Mir fiel wieder auf, dass meine öffentliche WAN_INT IP eine Anfrage an den SIP-Proxy sendete. Von daher greift bei der Fritzbox die Default NAT der "Datenleitung". Das sieht man auch schon im vorangegangenen Post. Ich habe daher erst einmal eine DO NOT NAT für das WAN_INT Interface, für die Fritzbox IP eingestellt:

• Do not NAT: Check
• Interface: WAN_INT
• Procol: UDP
• Source address: 192.168.1.5/32
• Source port: any

Jetzt geht die Fritzbox immerhin schon mal mit Ihrer IP in Richtung SIP-Proxy. Wenngleich das Interface noch falsch ist.

Code Select Expand

Interface Time Source Destination Proto Label
WAN_INT 2024-01-16T08:11:42 192.168.1.5:5060 10.0.0.4:5060 udp let out anything from firewall host itself

Kann es sein, dass ich bei deiner Regel statt dem Interface LAN, das Interface WAN_INT nehmen muss? Andernfalls greift die Regel doch nie, wenn ich sage, dass auf dem LAN Interface eine 192.168.1.5 bitte den VoIP Gateway benutzen solle?

Wenn ich nach dem DO not NAT jetzt einfach die WAN_VoIP NAT Regel erstelle, ändert sich natürlich die Source IP der Fritzbox nicht. Sie bleibt auf 192.168.1.5 stehen.

[meyergru]

Auch beim NAT kommt es auf die Reihenfolge der Regeln an. Du musst selbstverständlich die speziellere Regel für die Fritzbox vor die Default-Regeln stellen. Außerdem solltest Du NAT entweder auf Manual oder Hybrid Modus stellen, damit keine automatischen Regeln vorgezogen werden.

Kann sein, dass Du noch eine spezielle Route für die Fritzbox über das VoIP-GW brauchst. Das DO NOT NAT hilft m.E. nicht.

[Baender]

Hallo Ihr beiden,

ich habe große Fortschritte gemacht.

Folgende Regeln habe ich erstellt, jedoch sind nicht alle aktiv:

Firewall > Rules > LAN

• Action: Pass)
• Disable this rule: YES
• Interface: LAN
• Direction: in
• Protocol: UDP
• Source: 192.168.1.5/32
• Source port range: SIP_Port (5060:5061)
• Destination: any
• Gateway: WAN_VOIP_PPPOE

Firewall > NAT > Outbound

• Hybrid outbound NAT rule generation
• Interface: WAN_INT
• Protocol: UDP
• Source address: 192.168.1.5/32
• Source port: SIP_Port (5060:5061)
• Destination address: any
• Destination port: any
• Translation / target: WAN_VoIP address
• Log: YES (Log packets that are handled by this rule)
• Static-port: YES

Das Ziel war es ja, dass die Rufnummern wieder registriert sind. Sprich: die grüne Lampe wieder leuchtet.
Patrick, ich hatte dich so verstanden, dass die alleinige Regel unter Rules > LAN schon dafür sorgen würde, dass die Registrierung erfolgen kann. Dem ist nicht so. Vielleicht habe ich dich auch falsch verstanden. Erst die Anlage der NAT-Outbound Regel sorgte dafür, dass die Registrierung wieder erfolgen konnte. Da musste ich auch explizit angeben, dass das Target die WAN_VoIP Adresse sein soll. Das Deaktivieren der LAN Regel bringt auch, was die Registrierung angeht, keine negativen Konsequenzen mit sich. Aktuell frage ich mich daher, was deren Aufgabe ist.

Was mich aktuell etwas irritiert ist der Live View:
1. Wieso wird als Interface WAN_INT angezeigt, wenn gleich der Traffic über das WAN_VoIP verläuft.
2. Liegt das an meinem Haken bei LOG, dass ich zwei Einträge sehe? Wenn ich auf das i drücke beim oberen (let out anything ..) und klicke auf die rid, bringt er mich zu Firewall > Settings > Advanced > "Disable automatic rules which force local services to use the assigned interface gateway.". Das ist wohl gemerkt nicht angehakt.

Code Select Expand

Interface Time Source Destination Proto Label
▷ WAN_INT 2024-01-17T22:01:04 172.16.XXX.XXX:5060 10.0.0.4:5060 udp let out anything from firewall host itself (force gw)
↔ WAN_INT 2024-01-17T22:01:04 192.168.1.5:5060 10.0.0.4:5060 udp nat rule

Natürlich habe ich dann auch gleich das Raustelefonieren ausprobiert. Ich habe mein Handy angerufen. Es klingelte und ich ging ran. Die Verbindung stand, jedoch hörte ich nichts. Was anhand des Live Views natürlich klar war:

Code Select Expand


Interface Time Source Destination Proto Label
🛇 WAN_VoIP 2024-01-17T21:26:59 10.0.0.4:12992 172.16.XXX.XXX:7078 udp Default deny / state violation rule
▷ WAN_INT 2024-01-17T21:26:47 203.23.107.15:57036 10.0.0.4:12993 udp let out anything from firewall host itself (force gw)
🛇 WAN_VoIP 2024-01-17T21:26:35 10.0.0.4:12992 172.16.XXX.XXX:7078 udp Default deny / state violation rule
▷ WAN_INT 2024-01-17T21:26:35 203.23.107.15:57631 10.0.0.4:12992 udp let out anything from firewall host itself (force gw)
🛇 WAN_VoIP 2024-01-17T21:26:35 10.0.0.4:12992 172.16.XXX.XXX:7078 udp Default deny / state violation rule
🛇 WAN_VoIP 2024-01-17T21:26:35 10.0.0.4:12992 172.16.XXX.XXX:7078 udp Default deny / state violation rule
🛇 WAN_VoIP 2024-01-17T21:26:35 10.0.0.4:12992 172.16.XXX.XXX:7078 udp Default deny / state violation rule
🛇 WAN_VoIP 2024-01-17T21:26:35 10.0.0.4:12992 172.16.XXX.XXX:7078 udp Default deny / state violation rule
▷ WAN_INT 2024-01-17T21:25:34 172.16.XXX.XXX:5060 10.0.0.4:5060 udp let out anything from firewall host itself (force gw)
↔ WAN_INT 2024-01-17T21:25:34 192.168.1.5:5060 10.0.0.4:5060 udp nat rule

Etwas irritiert hat mich an der Stelle jedoch das Auftauchen der IP 203.23.107.15, hinter der sich meine öffentliche IP der Datenverbindung verbirgt. Ich kann das jedoch noch nicht einordnen. Klar, der Port führt dazu, dass über die WAN_INT genattet wird und nicht über die WAN_VoIP, ob ich das pauschal auf Any umstellen soll, daran habe ich so meine Zweifel. Immerhin ruft die Fritzbox auch ab und an Verbindungen auf, die nicht in das VoIP Netz gehören.

[Baender]

Hallo zusammen,

es geht gemütlich voran. Nach etwas weiterer Recherche konnte ich das Problem, dass das Interface mit WAN_INT angezeigt wird lösen. Weil ich OPNSense mehr oder weniger Out-of-the-Box nutze, waren natürlich unter Firewall: Rules: LAN Default Regeln hinterlegt. Die beiden Default Regeln "Default allow LAN to any rule" und "Default allow LAN IPv6 to any rule" habe ich deaktiviert. Anschließend habe ich zwei neue Regeln erstellt:

Action   Pass
Interface   LAN
TCP/IP Version   IPv4
Protocol   TCP/UDP
Source   LAN net
Source Port   any
Destination   LAN address
Destination Port   DNS (53)
Description   Allow access to the LAN DNS server

Action   Pass
Interface   LAN
TCP/IP Version   IPv4
Protocol   any
Source   LAN net
Source Port   any
Destination / Invert   checked
Destination   PrivateNetworks (alias containing: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
Destination Port   any
Description   Allow access to Internet and block access to all local networks

Dazwischen habe ich zwei Regeln einmal für den SIP-Proxy und einmal für die RTP-Ports angelegt. Während die RTP-Ports noch nicht im Live View erscheinen, werden nun endlich die Verbindungen zum SIP-Proxy mit dem richtigen Interface (WAN_VOIP) angezeigt.

Live View:

Code Select Expand


Interface Time Source Destination Proto Label
LAN > 2024-01-24T22:07:45 192.168.1.5:53805 255.255.255.255:53805 udp Allow access to Internet and block access to all local networks
WAN_VoIP < 2024-01-24T22:06:49 172.16.XXX.XXX:2281 10.0.0.4:5060 udp let out anything from firewall host itself (force gw)
LAN > 2024-01-24T22:06:49 192.168.1.5:5060 10.0.0.4:5060 udp [VoIP] Allow access from Fritzbox to SIP proxy


Bisher habe ich keine weiteren Regeln hinzugefügt. Wie du richtig vorausgesagt hast Patrick M. Hausen registriert damit die Fritzbox die Nummern. NAT habe ich noch nicht aktiviert.

Jetzt wüsste ich jedoch gerne, wie es weitergehen muss. Denn wenn ich bspw. von meinem Handy aus das Festnetz anrufe, dann bleibe ich in der Firewall hängen.

Code Select Expand


Interface Time Source Destination Proto Label
WAN_VoIP > 2024-01-24T21:16:16 10.0.0.4:5060 172.16.XXX.XXX:5060 udp Default deny / state violation rule
WAN_VoIP > 2024-01-24T21:16:01 10.0.0.4:5060 172.16.XXX.XXX:5060 udp Default deny / state violation rule
WAN_VoIP > 2024-01-24T21:15:53 10.0.0.4:5060 172.16.XXX.XXX:5060 udp Default deny / state violation rule


[Baender]

Hallo zusammen,

in der Zwischenzeit konnte ich noch ein paar Tests durchführen und habe nun endlich die OPNsense offiziell in Dienst gestellt. Die Herausforderungen und die nötigen Regeln für die sense, habe ich unten zusammen gefasst:

Der anfängliche, schwere Einstieg:

• Aus dem Informationsblatt des Providers, das dem Willkommensbrief beilag, wurde nicht ersichtlich, welche Anmeldeinformationen für den VoIP-Zugang verwendet werden müssen.
• In der Sense schaffte ich es anfänglich nicht, dass die Fritz!Box auf WAN_VoIP und nicht auf WAN_INT den SIP Proxy kontaktiert
• mir war nicht klar, wie ich die Fritz!Box einrichten müsste, hinsichtlich der Rufnummer-Einstellungen

Die nun funktionierenden Regeln:

• Firewall>Rules>LAN:


• Allow external RTP Port for VoIP
  
  
  
  • Action: Pass
  • Interface: LAN
  • Direction: in
  • TCP/IP Version: IPv4
  • Protocol: TCP/UDP
  • Source: Fritzbox
  • Source port range from: RTP_Ports to: RTP_Ports
  • Destination: SIP_Proxy
  • Destination port range: from: any to: any
  • Gateway: WAN_VOIP_PPPOE
• Allow external SIP Proxy for VoIP
  
  
  
  • Action: Pass
  • Interface: LAN
  • Direction: in
  • TCP/IP Version: IPv4
  • Protocol: TCP/UDP
  • Source: Fritzbox
  • Source port range from: SIP_Port to: SIP_Port
  • Destination: SIP_Proxy
  • Destination port range: from: SIP_Port to: SIP_Port
  • Gateway: WAN_VOIP_PPPOE
• NAT>Outbound>
  
  VoIP Fritzbox
  
  • Interface: WAN_VOIP
  • TCP/IP Version: IPv4
  • Protocol: UDP
  • Source address: Fritzbox
  • Source port : any
  • Destination address: any
  • Destination port: any
  • Translation/target: WAN_VOIP address
  • Static-port: yes
• Firewall: NAT: Outbound: Hybrid outbound NAT rule generation
  (automatically generated rules are applied after manual rules)
• Aliases:


• FritzBox: 192.168.1.5
• SIP_Port: 5060:5061
• RTP_Ports: 7078:7109
• SIP_Proxy: 10.0.0.4

Die Fritzbox habe ich entsprechend eingerichtet:

• Box auf IP-Client Modus umgestellt und ihr eine Adresse via DHCP zugewiesen. Die IP fixiere ich über OPNsense
• Eigene Rufnummern>Anschlusseinstellungen

Telefonieverbindungen:

• Portweiterleitung des Internet-Routers für Telefonie aktiv halten: yes
• Portweiterleitung aktiv halten alle: 30 Sek.
• VLAN für Internettelefonie wird benötigt: no
• Für Internettelefonie eine separate Verbindung nutzen (PVC): yes
• Werden Zugangsdaten benötigt?: yes
• Benutzername: vt-*******@adsl-versatel.voip
• Passwort des Internet-Zugangs, welcher unter vt-*******@adsl-versatel.int zu finden ist

Was bei meiner Fritz!Box vielleicht noch hilfreich zu wissen ist: ich habe keine Möglichkeit in die Menüs der Fritz!Box zu kommen, in der der Registrar, STUN, usw. eingestellt werden kann. Das Menü wurde entweder durch die Ersteinrichtung der Box so konfiguriert oder die Box wird bereits so ausgeliefert. Macht jedoch nichts, denn man muss die Box nur einmalig über den vom Provider gewollten Weg einrichten und kann dann die Box auf IP-Client umstellen. Das Einzige, was dann noch zu tun ist, man muss die Zugangsdaten unter Telefonieverbindungen wieder neu eintragen, weil die dabei gelöscht werden. Fertig.

[cottec]

Hi in die Runde :)

Ich hab mich direkt mal angemeldet, weil ich das hier so interessant finde.
Habe das in naher Zukunft auch vor und will exakt das gleiche wie du erreichen, auch mit o2 VoIP telen und gleichzeitig Smarthome via DECT und Wifi in der Box belassen, damit ich nicht noch mehr Hardware anschaffen muss.

Ich habe mal in meine Einstellungen geschaut (eine Fritz 7490 von o2 zur Verfügung gestellt):

Telefonie-Eigene Rufnummern-Rufnummer bearbeiten:
Telefonie Anbieter: o2
Rufnummer Vorwahl: leer Rufnummer: *****14
Zugangsdaten:
SIP Benutzername 492304*****14
SIP Passwort **** <--- Könnte ein Problem werden, kenne ich glaube ich nicht. Aber da müsste ja auch ranzukommen sein.

Weitere Einstellungen zur Verbindung
Anmeldung immer über eine Internetverbindung - UNCHECKED
Internettelefonie-Anbieter kontaktieren über IPv4 und IPv6, IPv4 bevorzugt

Anschlusseinstellungen
Land Deutschland
Landesvorwahl 00  49
Ortsvorwahl    0  2304

Telefonieverbindung
Portweiterleitung des Internet-Routers für Telefonie aktiv halten - UNCHECKED

Verbindungseinstellungen für DSL/WAN
VLAN für Internettelefonie wird benötigt - UNCHECKED
Für Internettelefonie eine separate Verbindung nutzen (PVC) - UNCHECKED






Ich habe 2014 als allererstes Gerät einen blöden o2 Router bekommen.
Der hatte die Zugangssdaten nicht sichtbar, ich wollte aber unbedingt damals ne ältere, nicht gebrandete Fritzbox benutzen.
Im Internet gabs Anleitungen, wie man die Zugangsdaten aus einem Usersetting-Backup extrahiert.
Da habe ich folgende Daten herausbekommen (Achtung, andere Telefonnummer damals und ich hab von damals nur ein Textdokument mit Fragmenten, die mir damals zum Erfolg gereicht hatten):

PPPoE1
Benutzer: 089******08
PW: Selbst definiert

Anschlusseinstellungen weitere: (die 6* sind Teil der 8stelligen Rufnummer, die auf 08 endet)

PPPoE2
3********9-001A2A@alice5-voip.de
nopw



$NOTIFY
$PROXY
sip.alice-voip.de
sip.alice-voip.de
sip.alice-voip.de
sip.alice-voip.de
4989******08
4989******08
089******08ec87c


Internetrufnummer
4989******08

Benutzername
4989******08

Kennwort
089******08ec87c

Registrar
sip.alice-voip.de




Das zu meinen Settings, vielleicht hilft es dir ja noch irgendwelche zusammenhänge festzustellen...

es geht gemütlich voran.

Noch zwei Fragen dazu...
Frage 1: Ich hab prinzipiell nichts mit Netzwerktechnik am Hut, aber könnte mich da mit Youtube Tutorials reinfuchsen. Kannst du mir das empfehlen, statt Fritz einen OpnSense aufzubauen oder drehe ich da irgendwann völlig durch? Ich hab noch eine zweite 7490, die ich mal zugeschickt bekommen habe, mit der könnte ich quasi ein Testsystem aufbauen und kann dann zur "normalen" Funktion fix die aktuelle Box einfach wieder an den Strom hängen und alles läuft wieder.

Frage 2: Falls Frage 1 mit Ja beantwortet werden kann: Welchen MiniPC kannst du derzeit empfehlen?

für so ein Setup

fritzbox mit pppoe durchleitung
  - opnsense
      - 2.5G switch (managed, VLAN)
          - Fritz als Client mit allen Funktionen
          - Wandkabel 1- noch ein 2.5G Switch - Endgeräte (PC, Dreambox)
          - Homeserver (wahlweise kommt der ins Zimmer hinters  Wandkabel 1, dann spar ich einen 2.5G Switch und hinter OPNsense kommt nur ein gbit...)
          - Wandkabel 2- Guest Network (Arbeit)
          - Gäste Wlan AP

[Baender]

Hallo cottec,

willkommen im Forum. Explizit kann ich Dir leider nicht helfen, was deine Verbindungsdaten Informationen angeht. Meinen Vertragsdaten lagen 2019 die Anmeldeinformationen, wie Login und Password sowie eine sehr sehr grobe Übersicht bei. Wie du meinen Posts entnehmen kannst, war trotzdem nicht ganz ersichtlich, was davon und wie es eingetragen werden muss. Da sollte es bei o2 jedoch etwas leichter sein, als bei mir, Hilfe im Internet zu finden.

Grundsätzlich bin ich der Meinung dass du dich auf die Freie Routerwahl stützen kannst, um die Zugangsdaten zu erfragen. Das wirst du sicherlich hartnäckig bleiben müssen. Ich persönlich würde es erst einmal ganz allgemein versuchen, in dem ich schreiben würde, dass ich mir einen eigenen Router eines bekannten Herstellers angeschafft habe und für die Herstellung der Internetverbindung und Telefonie die Zugangsdaten benötige. Da diese nur in unzugänglicher Form im aktuellen Router vorlägen.

Zum Thema, ist das was für mich:
Ich persönlich habe im beruflichen Kontext viel mit Daten und Datenanalyse zu tun und privat habe ich mir vor OPNsense bereits mit Docker und Linux Server beschäftigt und bin seit wahrscheinlich mehr als zehn Jahren privat in Linux statt Windows unterwegs. Erst später kam OPNsense als weiteres Thema "Firewall & Netzwerktechnik" hinzu.
Mich persönlich haben die genannten Themen einfach interessiert und zum Thema Docker bspw. kam ich, weil ich gerne eine Nextcloud aufsetzen wollte.

Zu OPNsense kam ich dann, als ich meinen Nextcloud Server in einem eigenen Subnet platzieren wollte und gerne auch die IOT Geräte jeweils in einem anderen. Bis dahin, hatte ich rudimentär die Möglichkeiten von der Fritzbox mit dem Gast-WLAN genutzt.

Die OPNsense war der Einstieg für mich in das Thema Netzwerktechnik. Dazu kaufte ich mir ein neues Patchfeld, um die Verkabelung zu ändern und einen Netzwerkschrank, um das und alles weitere unterbringen zu können. Dann kaufte ich mir noch ein Managed Switch von TP-Link, um das Thema VLANs abzubilden und erst dann konnte ich mich erst mit der Konfiguration der OPNsense beschäftigen.

Deine Idee eine zweite Fritzbox für das Ausprobieren zu nutzen finde ich gut. So habe ich das damals auch gemacht, als die Fritzbox nur noch für DECT zuständig sein sollte. Das ist gerade was das Einstellen der Firewall usw. angeht echt angenehm. Einfach die normale Fritzbox abklemmen, OPNsense und Testfritzbox dran und dann kann schon der grundsätzliche Zugang, als auch die DECT Thematik getestet werden. Wenns nicht klappt, einfach wieder die normale Fritzbox dran und nächsten Abend probieren. Das erspart Stress im Haushalt, falls man nicht alleine wohnt.

Das einzige, was ich später dann nicht bedacht hatte war, dass ich mit meinen vorhandenen Fritzbox APs keine mehreren WLANs abbilden konnte. Denn ich wollte natürlich alle IOT Geräte jetzt irgendwie in das IOT VLAN bringen und das über WLAN. Parallel jedoch auch ein Gäste-WLAN aufspannen. Ich verkaufte letztlich meinen Fritzbox AP und kaufte stattdessen einen Ubiquiti U6, mit dem all diese Anforderungen möglich sind.

Zur Frage nach der Hardware: ich nutze einen Topton 41XX, mit vier 2.5G NICs. Allerdings möchte ich den perspektivisch wegen des hohen Stromverbrauchs durch einen Intel N100 ersetzen. Sehr wahrscheinlich wieder von Topton, den ich auf aliexpress bestellen werde.

Was mir als Einstieg geholfen hat war der Guide von HomeNetworkGuy.com, der das Zusammenspiel zwischen Managed Switch und OPNsense sehr gut erläutert und schon mal die Grundlage erklärt, damit es lauffähig ist. Danach war aus meiner Sicht nur noch das Thema Firewall Regeln für DECT die größte Herausforderung. Und klar: nichts unüberlegtes tun, da wenn Firewall falsch konfiguriert, ist halt die Tür offen.
Daher mochte ich auch in dem Zusammenhang Videos als Format nicht, denn das ist meist zu schnell und viel zu sehr auf "komm, ich nehme dich kurz mal mit". Da ist wenig Zeit das zu hinterfragen. Denn entweder muss man es erst noch verstehen oder schlimmer noch ist es sogar falsch..

[meyergru]

Zur Frage nach der Hardware: ich nutze einen Topton 41XX, mit vier 2.5G NICs. Allerdings möchte ich den perspektivisch wegen des hohen Stromverbrauchs durch einen Intel N100 ersetzen. Sehr wahrscheinlich wieder von Topton, den ich auf aliexpress bestellen werde.

Stromsparen kannst Du knicken: Nach meiner Erfahrung brauchen die N100 eher etwas mehr als ein J4125. Der N100 ist lediglich ein bisschen schneller. Die TDP-Angabe von 6 Watt ist unrealistisch, es sei denn, Du kannst im BIOS PL1 und PL2 selbst anpassen. Zudem kommen da noch 2-3 Watt für RAM und Chipsatz, 2 Watt für NVME und ca. 1 Watt pro belegtem Port hinzu. Unter 12 Watt geht da praktisch nichts - und das ist Idle. Ich habe alle Generationen durch: J4125, N5105, N6005 und N100. Der J4125 ist nur ein bisschen langsam, im Verbrauch nehmen die sich praktisch nichts, ist eher so, dass der N100 ein bisschen höher liegt.

[Baender]

Oh, das ist krass. Das hätte ich nicht gedacht. Damit kann ich ja meine Upgrade-Pläne begraben.. Mein Netzwerkschrank verbraucht insgesamt 28 Watt, wovon gut 6 Watt für die Lüfter sind. Ich hatte gehofft den Wert weiter reduzieren zu können. Mit im Schrank sind ein 16-Port Managed Switch, das ONT und eine Fritzbox.

Wenn man im Smart Home erstmal die Verbraucher sieht, dann schaut man natürlich auf die höchsten Verbraucher..

[cottec]

Hi :)

Explizit kann ich Dir leider nicht helfen, was deine Verbindungsdaten Informationen angeht

Ach so, war eher so gedacht, dir noch mehr wilde o2 Nummern und Adressen um die Ohren zu schmeißen, die dir vielleicht helfen irgendwelche Zusammenhänge herzustellen, die wegen irgendwelcher Unbekannter nicht möglich waren.
Dass ich die Logindaten von o2 kriege setze ich mal voraus :)




Deinen Hintergrund habe ich bei weitem nicht und auch nicht beruflich damit zu tun, ich scheine mir nur selbst immer Schmerzen mit solchen DIY Projekten zufügen zu wollen und bis nachts um 2 daran rumzuspielen, wenn alle andere längst im Bett sind. Keine Ahnung was mit mir nicht stimmt (passenden Smiley hier einfügen...), aber ich habe das Gefühl in meinem Umfeld bin ich der einzige, der sich auch nur ansatzweise Gedanken um Datensicherheit macht.

Wie auch immer, tut ja nichts, wenn ich mir die neue Fritzbox spare und stattdessen Stück für Stück anfange mir ein System zu bauen.
Dann kann ich auch jedes Jahr eine weitere Komponente anschaffen und merke das gar nicht haha.

Das einzige, was ich später dann nicht bedacht hatte war, dass ich mit meinen vorhandenen Fritzbox APs keine mehreren WLANs abbilden konnte. Denn ich wollte natürlich alle IOT Geräte jetzt irgendwie in das IOT VLAN bringen und das über WLAN. Parallel jedoch auch ein Gäste-WLAN aufspannen. Ich verkaufte letztlich meinen Fritzbox AP und kaufte stattdessen einen Ubiquiti U6, mit dem all diese Anforderungen möglich sind.

Ich kann aber weiterhin das Guest LAN und Wifi der Fritz nutzen, richtig?
Kommen halt die iots mit ins normale Gäste Wifi bis ich mal nen neuen AP kaufe

Was mir als Einstieg geholfen hat war der Guide von HomeNetworkGuy.com, der das Zusammenspiel zwischen Managed Switch und OPNsense sehr gut erläutert und schon mal die Grundlage erklärt, damit es lauffähig ist.

Cool, da hab ich ein bisschen Abendlektüre ;)

[Patrick M. Hausen]

Ich kann aber weiterhin das Guest LAN und Wifi der Fritz nutzen, richtig?

Mit Fritzbox als LAN-Client hinter der Sense? Dann nein. Dann wird das Gäste-WLAN deaktiviert.