Hardware für Opnsense (Firewall Routing DHCP) mehrere VLAN via Omada Netzwerk

[bimbar]

Hey meyergru!

Ja, dann bin ich gut davor. Für die NAS/Switch nutze ich wegen dem Stromverbrauch ein DAC Kabel. Die LWL kommt nur bei der entfernten Verbindung zum Tragen. Ein RJ45 wäre am Ende von der Entfernung vielleicht noch möglich, aber grenzwertig. Die APs  (und Kameras) dort benötigen keine Highspeed aber mir geht es hier um eine NAS Backup-Lösung (räumliche Trennung).

Das Port Trunkig ist/war nur eine Option. Ich glaube nicht, dass der Bedarf da entstehen wird, zumal ich das NAS vorher mit einem SSD/NVME Cache erweitern müsste.

VG

10G würde ich sowieso nur LWL / DAC machen, der Stromverbrauch dürfte sich auf die Kupfervariante beziehen.

[Patrick M. Hausen]

Es gibt ein Modell mit AMD und eines mit Intel-CPU. Ich vermute, die sind nicht beide gleich.  ;)

[bimbar]

Ok, da ist die Chuwi Larkbox X mit dem AMD und Chuwi Larkbox X 2023 mit dem N100. Beide haben die gleichen Netzwerkinterfaces mit 1 x RTL8111 und 1 x RTL8125.

[Patrick M. Hausen]

OK, das habe ich auf der Website nicht gefunden. Damit wären die für mich beide sofort "raus". Realtek kaufe ich einfach nicht, spart Ärger.

[bimbar]

Ist so billig :D .

Aber im Grundsatz teile ich diese Auffassung.

[Reddi82]

Vielleicht noch eine ergänzende Frage: wäre es sinnvoll doch eine IPU zu nehmen, dort Proxmox installieren und  dann HomeAssistent und opnsense als VMs? Zu betreiben? Ich spare dann sicherlich in der Summr etwas Strom... Aber ist Opnsense in einer Proxmox Maschine sinnig oder sollte man opnsense wirklich immer separat auf eigener Hardware installieren, um eine physikalische Trennung zu haben? In dem Fall würde ja doe Proxmox-Maschine direkt mit dem Modem verbunden sein...

VG

[bimbar]

Virtualisierte Firewalls sind immer so ein bißchen ein potentielles Problem, z.B. bei Updates der Virtualisierungsplattform, wo dann plötzlich das Internet weg ist.
Ansonsten, Homeassistant mit den potentiell vielen Hardwareschnittstellen bietet sich meiner Meinung nach nicht so für Virtualisierung an.

[Reddi82]

Ja, danke! Habe bei dem IPU Rack gerade gesehen, dass die nur 2 USB Ports hat: HMip Stick, ZigbeeStick und schon fehlt der USB Port für den BLE Stick.

Also dann bleibt's erstmal so: ein oversized N305 für Opnsense mit Draytek Modem vorweg und fertig. Und dann muss ich schauen, ob ich irgendwann mal einen Proxmox hinstelle, wo ich Omada, HomeAssistent, Webserver etc. installieren kann.

VG

[Tuxtom007]

Ansonsten, Homeassistant mit den potentiell vielen Hardwareschnittstellen bietet sich meiner Meinung nach nicht so für Virtualisierung an.

HomeAssistant läuft bei mir super gut als VM unter Proxmox. Meine Smarthome-Hardware ist aber auch per LAN-Interface angebunden, was ich eh für die bessere Lösung halte als USB-Sticks. ( Zigbeee & Homematic )

OPNSense auf Proxmox, da bin ich überhaupt kein Freund von, die läuft bei mir auf eigner Hardware VOR meinem restlichen Netzwerk und nicht auf einem Server IN meinem Netzwerk.

[wirefall]

Ja, danke! Habe bei dem IPU Rack gerade gesehen, dass die nur 2 USB Ports hat: HMip Stick, ZigbeeStick und schon fehlt der USB Port für den BLE Stick.

Deshalb hatte ich mich für die Desktop-Variante entschieden, die hat 4 USB Ports. Kostet zudem € 100 weniger, ist lüfterlos und verbraucht weniger Strom  :)

[Reddi82]

HomeAssistant läuft bei mir super gut als VM unter Proxmox. Meine Smarthome-Hardware ist aber auch per LAN-Interface angebunden, was ich eh für die bessere Lösung halte als USB-Sticks. ( Zigbeee & Homematic )

OPNSense auf Proxmox, da bin ich überhaupt kein Freund von, die läuft bei mir auf eigner Hardware VOR meinem restlichen Netzwerk und nicht auf einem Server IN meinem Netzwerk.

Ja, wegen dem Punkt, dass es auf einem Server IN dem Netzwerk läuft, bin ich da auch eher skeptisch. Mit was für ein LAN Interface hast Du BLE, Zigbee und Homematic gebridget?

VG

[cadzen]

OPNSense auf Proxmox, da bin ich überhaupt kein Freund von, die läuft bei mir auf eigner Hardware VOR meinem restlichen Netzwerk und nicht auf einem Server IN meinem Netzwerk.

Servus,

Egal wo sie läuft oder steht, ist sie immer EIN Teil deines Netzwerkes. Und wo sich der OPNsense Noob (Zitat OP) verkonfiguriert ist dann auch egal.  ;)

Prinzipiell bin ich bei dir, aber @Home reißt das IoT- und/oder Smarthomegedöns, billige Chinahardware, halbgares Foren- und fehlendes Netzerkgrundlagenwissen wahrscheinlich größere Sicherheitslöcher ins Netzwerk, als du mit der Sense auf eigenem Blech oder virtualisiert je stopfen könntest.

cz

[osmom]

Zu deinen Hardwareüberlegungen: Wenn du demnächst sowieso Glasfaser bekommst kannst du auch gleich die Fritz-Box für Internet und Telefonie nutzen. Du brauchst keinen seperaten DSL-Router.
In der OpenSense must du nur die Ports für Telefonie aus deinen Internen Netzen bis zur Fritz-Box schalten.

Ob du VLANs auf deinen Switchen nutzen willst oder mit mehreren pysikalischen Ports arbeitest sollte davon abhängen wie sicher du dich in den einzenen Konfigurationsinterfaces fühlst.
Der OpenSense ist es egal, die kann beides auf den pysikalischen Kabeln.

[Reddi82]

Zu deinen Hardwareüberlegungen: Wenn du demnächst sowieso Glasfaser bekommst kannst du auch gleich die Fritz-Box für Internet und Telefonie nutzen. Du brauchst keinen seperaten DSL-Router.
In der OpenSense must du nur die Ports für Telefonie aus deinen Internen Netzen bis zur Fritz-Box schalten.

Ob du VLANs auf deinen Switchen nutzen willst oder mit mehreren pysikalischen Ports arbeitest sollte davon abhängen wie sicher du dich in den einzenen Konfigurationsinterfaces fühlst.
Der OpenSense ist es egal, die kann beides auf den pysikalischen Kabeln.

Wie meinst Du das "die Fritzbox für Internet benutzen"? De Fritzbox vereint ja DSL Modem, Router, AP und Telefonie (SIP, DECT, ...). An die Glasfaser kommt ja letztlich ein LWL Modem und von dort geht's in einem Router mit AP und Telefonie. In alter Wohnung war es bei uns auch eine Fritzbox am LWL-Modem. Die Router-Funktion fällt ja so oder so weg, da OPNsense das Routing (NAT und Co) übernimmt. Die Fritzbox würde ich lediglich als DECT-Basis beibehalten zumal ich weiß, wie ich von meinem IP Telefon mich an der Fritz anmelden kann ohne direkt mit dem Telekom SIP Server verbinden zu müssen. Von dem SIP Kram habe ich absolut keine Ahnung. Ich möchte letztlich sowohl das IP Telefon, als auch das ein oder andere Schnurlose Telefon mit gleicher Nummer nutzen. However, das funktioniert soweit alles.

Mit VLAN bin ich mich noch am Einlesen. Da Schwiegereltern PC, Drucker und Fritzbox nebeneinander stehen haben, reicht theoretisch eine feste Zuordnung dieser einen Leitung. Es kommt das Aber: die APs können mehrere WLANs aufspannen. D.h. die müssen ja getagged werden, damit alle WLAN Geräte von Eltern nur untereinander kommunizieren können usw.. Da muss ich mich noch einlesen, wie man getaggte und ungetaggte VLANs verbinden kann/muss/darf.

Egal wo sie läuft oder steht, ist sie immer EIN Teil deines Netzwerkes. Und wo sich der OPNsense Noob (Zitat OP) verkonfiguriert ist dann auch egal.  ;)

Prinzipiell bin ich bei dir, aber @Home reißt das IoT- und/oder Smarthomegedöns, billige Chinahardware, halbgares Foren- und fehlendes Netzerkgrundlagenwissen wahrscheinlich größere Sicherheitslöcher ins Netzwerk, als du mit der Sense auf eigenem Blech oder virtualisiert je stopfen könntest.

Das Leben ist nie ohne Risiko. Und gerade weil es eben ein Sicherheitsrisiko darstellt, macht es umso mehr Sinn, IoT in separates Netzwerk auszulagern. Ich freue mich immer wieder fehlerfreie Menschen kennen zu lernen. Und natürlich ist schnell behauptet, dass jemand kein Netzwerkgrundlagenwissen hat, ohne denjenigen überhaupt zu kennen. Auch wenn ich Informatik studiert habe, muss ich gewiss nicht wissen, ob ein NIC, der fest an einer virtuellen Maschine zugeordnet ist, ein Angriffsvektor für den VM-Server sein kann oder ausschließlich für die zugeordnete VM. Dafür ist der Bereich Informatik in den letzten Jahren etwas zu komplex geworden, dass man alles Wissen kann.

Halbgares Forenwissen ist seit jeher schon ein Problem. Da gebe ich Dir recht. Hier bleibt einem sowieso nur über, viele verschiedene Beiträge zu lesen, recherchieren und Versuchen die Schnittmenge auf Plausibilität mit eigenem Wissen oder z.B. Manuals abzugleichen. Natürlich kann man auch jemanden Beauftragen alles einzurichten/konfigurieren, aber auch derjenige kann unter Umständen die Firewall verkonfigurieren - Zahlendreher, falsche Checkbox, falsches Protokoll gewählt, falsche Pen-Tests...

In dem Sinne sollten wir uns doch eher auf gegenseitige Unterstützung konzentrieren, anstatt das Staubkorn auf der Ablage zu suchen. ;-)

VG

[osmom]

"Wie meinst Du das "die Fritzbox für Internet benutzen"? De Fritzbox vereint ja DSL Modem, Router, AP und Telefonie (SIP, DECT, ...). An die Glasfaser kommt ja letztlich ein LWL Modem und von dort geht's in einem Router mit AP und Telefonie. "

Hallo Reddi82, es  gibt Fritz-Boxen die direkt am Glasfaseranschluss der Telekom laufen, also ohne Glasfasermodem.
Damit hast du ein Gerät weniger, einen Ethernet-Port für deine Opensense, die Telefonie in der von dir gewohnten Umgebung und meiner Meinung nach einen Besseren Überblick über deinen Internetanschluss als bei einer Modem-Router Kombination.

"Es kommt das Aber: die APs können mehrere WLANs aufspannen. D.h. die müssen ja getagged werden, damit alle WLAN Geräte von Eltern nur untereinander kommunizieren können usw.. Da muss ich mich noch einlesen, wie man getaggte und ungetaggte VLANs verbinden kann/muss/darf."

Schau dir deine Switche an ob die getaggte und ungetaggte Ports im gleichen VLan betreiben können. Dann hängst du deine WLAN-APs an einen getaggten Port und verarbeitest dies in den APs weiter. Deine Eltern bekommen einen ungetaggten Port führ Ihre Gerätschaften.