Hardware für Opnsense (Firewall Routing DHCP) mehrere VLAN via Omada Netzwerk

[Reddi82]

Hey!

Ich bin im Bereich Opnsense ein absoluter Noob und benötige etwas Hilfe.

Was möchte ich?
Ich möchte unser Hausnetzwerk durch eine Firewall (ggf. AdFilter) laufen lassen und dann splitten. D.h. die IoTs sollen ihr eigenes WLAN/LAN mit eigener DHCP Range bekommen, genauso wie die Eltern, wir, ggf. Kinder und Gäste. Für die VoIP/DECT wird eine Fritzbox genutzt, wobei alle IP Telefone (egal aus welchem Netzbereich) sich bei der Fritzbox immer anmelden können müssen. Genauso soll z.B. das Drucken übergreifend und die Bedienung von HomeAssistent (NUC) möglich sein.

Welche Hardware ist vorhanden?
Die Telekom liefert aktuell VDSL (100/40). Die Glasfaser ist schon eingeblasen, aber der Rest dauert noch... Am DSL hängt die FritzBox 7590AX. Hinter der Fritzbox sind die Switche TL-SG3428XPP-M2 und TL-SG2210P, ein OC200 (Omada Controller) sowie mehrere EAP660HD (AccessPoints) angeschlossen. Dazu das Übliche (NAS, Hue Bridge, NUC mit HomeAssistent...).

Wie geht's weiter
Nun stellt sich für mich die Frage, wie kann ich weiter vorgehen und welche Hardware benötige ich noch?! Wenn ich es richtig gelesen habe, benötige ich auf alle Fälle ein DSL Modem (Draytek Vigor 165)?! Dahinter müsste eine Hardware kommen, wo Opnsense mit dem vollständigen Routing für alle unterschiedlichen Netze/DHCPs läuft?! An dieser Hardware käme der ganze Rest via (un)tagged VLAN sowie die Fritzbox für das VoIP.

Die aktuellen AccessPoints können bis zu 2x8 WLANs (2.5G tagged VLAN) aufspannen.

Das NAS (QNAP TVS882) ist aktuell via SFP+ mit 10G angebunden. Grundsätzlich würde ich den Eltern, uns und den Kindern dort Speicherplätze einräumen wollen. Würde man das über VLAN und Co lösen oder lieber jedem Netzbereich mit einem 1G Ethernet Kabel separat verbinden? (Habe ja 4x 1G und 2xSFP+10G) Achja, im Verlauf soll via SFP+/LWL ein etwas entfernter Switch in Betrieb genommen werden, wo ein physikalisches Backup-NAS steht und mehrere APs sowie Kameras angeschlossen werden.

Alles in allem ein vermutlich einfaches Setup. Es sind aber die Kleinigkeiten, die das Leben als nicht Netzwerker schwer machen, auch wenn ich Informatiker bin. :-)

Also welche Hardware fehlt mir und/oder habe ich ein Gedankenfehler?!

Vielen Dank für Eure Hilfe im Voraus! 🙏

[IT-Newbi]

Auch wenn ich zum Aktuellen Zeitpunkt nicht viel bis garnichts beitragen kann, werde ich dem hier mal folgen. stehe zu 80% vor dem gleichen Problem. :)

[Tuxtom007]

Ich würde nen MiniPC mit 4 LAN-Interfacen ( 2,5GBit )  nutzen,  N100 oder Core-i3 CPU, 8 oder 16GB Ram, 64GB SSD  reicht dafür locker.

Ich hab vor paar Tagen noch ein Video ( bei Deniis Schröder ) gesehen, wo ein N100 mit PfSense drauf getestet wurde.

Ich hab nen Core-i5 mit 32GB Ram, der langweilt sich am GBit-Kabelanschluss komplett und ich hab auch einige VLAN, etliche FW-Regeln, 5 WLAN mit unifi-Hardware und AdGuard mit auf der OPNSense drauf

[Reddi82]

Vielen Dank für den Tipp!

Dann bin ich mit meiner bisherigen Vermutung (Barebone) ja auf dem richtigen Weg gewesen. Das Video habe ich durch Zufall gerade auch gesehen.

Dann werde ich wohl zu einem N305 mit 32 Gb RAM, 1 TB NVME und 4x2.5G sowie dem Draytek Vigor167 greifen. Mal sehen, ob ich es hinbekomme die verschiedenen Netze mit den unterschiedlichen IP-Ranges (DHCPs) und VLANs einzurichten. ::)

VG

[wirefall]

Habe ein solches Setup gemäß dieser wirklich hilfreichen Anleitung erstellt:

https://homenetworkguy.com/how-to/set-up-a-fully-functioning-home-network-using-opnsense/

Dazu gibt es auch eine mehrteilige Video-Reihe: https://www.youtube.com/playlist?list=PLZeTcCOrKlnDlyZCIxhFZukAnA0NNWL_I (der zunächst genutzte Cisco Switch wird in der Anleitung dann gegen TP-Link ausgetauscht).

Setup:
ISP: DTAG 250/50
Modem: Vigor 167
MiniPC: IPU613 mit der Sense (https://www.ipu-system.de/produkte/ipu613.html)
Switch: TP-Link TL-SG3210XHP-M2 (via LAGG an der IPU613, mit ruhigeren Lüftern ausgestattet  :))
APs: TP-Link EAP660HD

Das ganze mit 4 VLANs (Office, Kids, IoT, Gäste) und ein TP-Link Omada Controller (OC200, geht aber auch auf Pi).

[bimbar]

Vielen Dank für den Tipp!

Dann bin ich mit meiner bisherigen Vermutung (Barebone) ja auf dem richtigen Weg gewesen. Das Video habe ich durch Zufall gerade auch gesehen.

Dann werde ich wohl zu einem N305 mit 32 Gb RAM, 1 TB NVME und 4x2.5G sowie dem Draytek Vigor167 greifen. Mal sehen, ob ich es hinbekomme die verschiedenen Netze mit den unterschiedlichen IP-Ranges (DHCPs) und VLANs einzurichten. ::)

VG

Es gibt schöne N100 Kisten für nicht viel mehr als 100eu. Ich weiß nämlich nicht, was eine opnsense mit 32GB RAM und 1TB NVME machen würde.

[Tuxtom007]

Es gibt schöne N100 Kisten für nicht viel mehr als 100eu. Ich weiß nämlich nicht, was eine opnsense mit 32GB RAM und 1TB NVME machen würde.

Gebe ich dir Recht, 64 oder 128 GB SSD sind vollkommen ausreichend - ich hab selber ne 240GB verbaut, weil ich die hatte, aber da ist 2/3 von leer.
32GB Ram braucht es eher nur, meien OPNSense belegt von den 32GB gerade mal 6% und ich hab einige VLAN, FW-Regeln usw. aktiv

[bimbar]

https://www.mydealz.de/deals/chuwi-larkbox-x-mini-pc-intel-n100-12gb-ddr5-ram-512-gb-ssd-usb-c-dp-pd-hdmi-20-dp-4-x-usb-a-wifi-6-bt-52-ca-400g-2314303

[meyergru]

Bei der Chuwi Larkbox X sind nur zwei 1 GBit NICs verbaut, sie ist aktiv gekühlt und die SSD ist zwar M.2, aber nur SATA III, kein NVME. Der Preis ist natürlich sensationell.

[Reddi82]

Ja, die 100 Euro-Box ist der Hit. Aber die Ethernet Anschlüsse sind das Ko Kriterium - klar, es kommen aktuell nur 100 DSL an, aber die Netze untereinander sollen schon mit 2.5G fahren können. Habe einen Beelink N100 als HomeAssistent Server laufen.

Da war ich zu gierig und schnell. Aber glücklicherweise kostet Speicher und RAM ja nicht so viel. Wer weiß, was noch alles spannende auf den Markt kommt. Gerne möchte ich auch noch einen mini Apache/MySQL/PHP Server laufen lassen. Mal sehen, ob ich das damit zusätzlich kann. Auch muss ich mir das Proxmox anschauen, wo von an jeder Ecke geredet wird.

Versuche das gesamt Netzwerk mit 2.5G zu fahren, wobei NAS/Switch mit 10G angeschlossen ist (20G Trunk möglich) und ich noch eine 10G LWL in die Scheune legen will. Die IPUs hätte ich gerne, aber es sind halt locker 300 Euro Aufpreis. Mehr bekomme ich i5 statt i3 N305, allerdings DDR3 statt DDR5 und 6x2.5G statt 4x2.5G und ein cooles Rack Gehäuse - passend für mein Rittal-Rack. Bei zwei zusätzlichen SFP+ hätte ich es mir wirklich überlegt, aber so kommt das Desktop-Case mit 2 professionellen Kabelbindern auf einen Auszug. ;D Oder übersehe ich etwas so elementar Wichtiges, wofür ich die 300 locker machen sollte? Aktuell habe ich so ein Hunsn RJ35 (i3 N305, USB 3, 4x i226-V 2.5G, DP, HDMI...) bestellt...

VG

[meyergru]

Ein paar Tipps (Been there - done that):

1. 10 GBit Ethernet ist ziemliche Stromverschwendung: Pro Leitung benötigt man ca. 5-6 Watt Dauerleistung. Für lange Strecken, wenn möglich, LWL nutzen, bei Anschluss nahe am Switch oder von Server zu NAS am besten DAC-Kabel, das braucht alles viel weniger Strom. Am Rande bemerkt, schafft man mit "günstiger" Serverhardware sowieso kaum mehr als 300 MByte/s Durchsatz, z.B. beim Kopieren von Festplatten. Dazu reichen bereits 2.5 GBit/s, die auch noch viel weniger Strom verbrauchen und in vielen Geräten schon vorhanden sind. Für den Router benötigt man scheinbar höhere Bandbreiten, aber a. nicht für normale Internet-Verbindungen und b. kann man auch mehrere NICs nutzen (siehe nächster Punkt).

2. Vergiss Trunks: Die taugen nur für mehrere Streams, aber nicht für eine einzelne Verbindung. Insofern für Heimnetze mit wenigen Nutzern sinnlos. Das gilt auch für 2 x 1 GBit. Ich nutze z.B. inzwischen auch eine der China-Boxen mit 4 x 2,5 Gbit. Ich war versucht, zwei der Ports für den Anschluss an meinen Switch zu trunken, damit ich mehr Bandbreite habe, wenn z.B. Verkehr aus dem IoT-VLAN ins LAN läuft, weil das ja sonst den Anschluss zweimal durchläuft und die Bandbreite halbiert. Aus genau dem genannten Grund hilft das aber nicht. Stattdessen nutze ich jetzt einen Port für das LAN und einen zweiten für alle weiteren VLANs - zwischen denen läuft ja so gut wie kein Traffic.

3. Die meisten bezahlbaren Switches bieten nur 2 * SFP+ und sonst 1/2.5 GBit-Ports. Damit fehlt bei 1x NAS, 1x (Proxmox-)Server und 1x Router genau ein SFP+-Port. Ich hatte bis vor kurzem eine Deciso 750, einen USW Enterprise 24 POE und einen USW Aggregation im Einsatz - das wurde gerade durch einen N6005 mit 4x 2.5 GBit unter Wegfall des USW Aggregation ersetzt. Ergebnis: Genauso schnell, 15 Watt weniger Verbrauch, ein potentieller Point-Of-Failure weniger. Über die geringeren Hardwarekosten ganz zu schweigen.

4. Die HUNSN mit N305 ist fast schon Overkill: Für 1 GBit/s VPN und Internet reicht auch schon ein N100, für den VLAN-Cross-Traffic braucht man eben auch kaum mehr als 2.5 GBit/s. Das, was wirklich Speed braucht, läuft meist sowieso VLAN ab und muss gar nicht geroutet werden.

[Reddi82]

Hey meyergru!

Ja, dann bin ich gut davor. Für die NAS/Switch nutze ich wegen dem Stromverbrauch ein DAC Kabel. Die LWL kommt nur bei der entfernten Verbindung zum Tragen. Ein RJ45 wäre am Ende von der Entfernung vielleicht noch möglich, aber grenzwertig. Die APs  (und Kameras) dort benötigen keine Highspeed aber mir geht es hier um eine NAS Backup-Lösung (räumliche Trennung).

Das Port Trunkig ist/war nur eine Option. Ich glaube nicht, dass der Bedarf da entstehen wird, zumal ich das NAS vorher mit einem SSD/NVME Cache erweitern müsste.

VG

[bimbar]

Bei der Chuwi Larkbox X sind nur zwei 1 GBit NICs verbaut, sie ist aktiv gekühlt und die SSD ist zwar M.2, aber nur SATA III, kein NVME. Der Preis ist natürlich sensationell.

1 x 1Gb, 1 x 2.5Gb

[meyergru]

1 x 1Gb, 1 x 2.5Gb

Sicher? Chuwi selbst gibt das nicht an und die einzige Quelle, die ich gefunden habe, sagt etwas anderes. Es ist auch seltsam, dass es keine Markierungen auf dem Gehäuse gibt, die anzeigen, welcher welcher ist.

Chuwi scheint die Specs auch ständig zu ändern, es gibt Tests der Box von Mitte 2023, wo es noch ein Ryzen 7 3700U war. Damals hatte die Box wirklich 2.5 GBit.

[bimbar]

Hab hier eine, ist so.