Macht es Sinn eine 2. OPNsense intern im lokalen Netz zu installieren

[moonsorrox]

Guten Tag liebes Forum.

Stand jetzt, besitze ich eine Hardware OPNsense hinter meiner Fritzbox, welche seit längerer Zeit (über 4Jahre) absolut gut läuft. Eingerichtet mit Hilfe von Leuten auf dem Discord Server, den ich aktuell aber nicht mehr weiß.
Das soll auch alles so bleiben und vorab ich bin kein OPNsense Freak/Kenner der froh ist das diese OPNsense läuft.
Ich wollte in der OPNsense auch nicht mit VLAN herum pfuschen weil ich da noch erheblichen Nachholebedarf habe und so mache ich an der Sense auch nichts kaputt.
Daran möchte ich auch nichts verändern und deshalb eben meine Frage ob es Sinn macht eine 2. OPNsense auf meinem Proxmox zu installieren.

Dazu hier alles weitere:
Die Fritzbox hat die 192.168.10.10
Mein lokales Netz hat die IP 10.0.0.1/24

Ich habe mir auf meinem Proxmox zum testen schon mal die OPNsense VM installiert.

Die Abfrage der ARP Tabelle zeigt:
10.0.0.227   vtnet0 WAN --> per DHCP bekommen
10.0.0.1   vtnet0 WAN --> LAN Netzwerk aktuell

10.0.10.1   vtnet1 LAN --> LAN Netzwerk neu mit der ID 10
10.0.10.11   vtnet1 LAN --> LAN Zorin Linux VM auf dem Proxmox zum testen installiert.
Auf die OPNsense komme ich per LAN IP 10.0.10.1 auf die GUI

Mehr erstmal nicht von meiner Seite da ich eben wissen wollte ob das so OK ist.
Ich beantworte gern weitere Fragen so es mir möglich ist, seht es mir nach wenn ich nicht alles verstehe, dann frage ich.
Sollte das alles Blödsinn sein ist das auch OK.
Vielen Dank

[Patrick M. Hausen]

Was genau willst du denn mit der virtuellen OPNsense erreichen? Davon hängt doch ab, ob das sinnvoll ist.

[moonsorrox]

Ich möchte dahinter meine Netze aufteilen, also IP mäßig gesagt
10.0.10.1, 10.0.20.1 und 10.0.30.1 so in etwa sollte es aussehen. Viel wichtiger ist es mir aber eben nicht an meiner gut laufenden Hardware Firewall herum zu fummeln, die soll so bleiben.

[meyergru]

Ich würde mir den Aufwand der Konfiguration von zwei OpnSenses sparen, insbesondere, wenn Du sonst nicht mit VLANs arbeiten willst. Wenn Deine Netze alle im Proxmox sind, würde ich eher dort ein SDN aufziehen.

Selbst, wenn Du auch sonst VLANs machen willst: Aus Sicht der OpnSense sind das nur zusätzliche Netze, die den Betrieb Deines Haupt-LANs nicht stören - das Risiko ist also sehr begrenzt.

[moonsorrox]

Ich dachte eher so... meine Hardware OPNsense habe ich seitdem nie wieder angefaßt bzw., heißt ich brauchte daran nichts mehr konfigurieren und sie läuft, bis auf Updates nichts gemacht.

So dachte ich es mir eben in einer weiteren OPNsense. Und die IPs die ich geschrieben habe sollen ja meine VLANs sein und das wollte ich nicht auf der Hardware OPNsense machen.
Und auf dem Proxmox kann ich erstmal herum spielen sage ich mal, da habe ich ein Baclup und mache nichts kaputt,

OK ich werde mal ein wenig an der OPNsense auf dem Proxmox etwas einstellen/konfigurieren.
Dazu muss ich sagen sie ist einfach nur jungfraulich, komme auf die GUI, aber mehr geht noch nicht kann den DNS 1.1.1.1 anpingen das geht.
Habe da ein zweiten Client/LXC mit einer IP 10.0.10.10 da kann ich nicht pingen, aber ich denke das ist Sinn und Zweck der OPNsense das ersteinmal alles geblockt wird egal von wo aus wohin.

[meyergru]

Du wirst auch so langfristig um Änderungen an Deiner Hardware-OpnSense auch nicht herumkommen, weil Du gerade dabei bist, eine Router-behind-Router Konfiguration zu bauen mit Doppel-NAT.

Eine zentrale Konfiguration ist wesentlich einfacher zu handhaben. Die zusätzlichen Hürden wirst Du mit der zweiten OpnSense sehr schnell finden.