Nach Install von Opensense als VM Proxmox kein zugriff

[viragomann]

Also wenn es um Ausprobieren oder Erfahrung sammeln geht, kannst du es ja mit VLANs und externen VLAN-fähigen Switch mit der vorhanden Hardware realisieren. Den letzten VLAN-fähigen Switch hatte ich für 35 Euro erstanden.

Es muss dann halt alles über die eine Netzwerkschnittstelle, was ggf. ein Engpass sein könnte. Aber als Lab sollte es reichen.

Grüße

PS: Wo ist es sonnig?? Hier haben wir schon den ganzen Tag Regen.

[alfred_e1]

Ich trage die Sonne im Herzen ;-)

War grad nach einem Switch am schaun:

Netgear Prosafe Plus Switch 5 Gigabit GS105E v2 Netzwerk Switch für 20 €

Wenn ich mir dann noch einen Mini PC mit 2xLAN hole für die Firewall, reicht das?

Sonnige Grüße

[meyergru]

Ich würde mir ein Modell mit 2.5 Gbit holen und beim Mini PC auf keinen Fall einen mit Realtek-NICs.

[alfred_e1]

Servas mitnand,

habe da noch eine Frage:

Wenn ich eine Hardware speziell für Firewalls kaufe die 5 LAN Ports hat, brauche ich dann trozdem ein managebaren Switch?

Sonnige Grüße

[meyergru]

Siehe https://forum.opnsense.org/index.php?topic=42985.0, Punkt 2.

[viragomann]

Hallo!

Wenn ich eine Hardware speziell für Firewalls kaufe die 5 LAN Ports hat, brauche ich dann trozdem ein managebaren Switch?

Das hängt davon ab, wie viele Netzwerksegmente du haben möchtest (WAN, LAN, DMZ, Gast, IoT). Die kannst du direkt auf den Schnittstellen realisieren oder mit VLANs. Letzteres ermöglicht dir auf einer Netzwerkschnittstelle mehrere Netzwerksegmente einzurichten.
Aber VLANs müssen an 2 Seiten terminiert werden. Die eine Seite macht OPNsense, die andere müsste der ggf. Switch machen.

Es könnte aber auch das Endgerät selbst das VLAN terminieren (wenn es VLAN-fähig ist). Ein PC oder ein Multi-SSID Access Point kann das normalerweise, ein IoT Gerät eher nicht.

Die korrekte Antwort auf diese Frage erfordert also Kenntnis deines Vorhabens, wird aber vermutlich "nein" sein.

Grüße

[meyergru]

Eigentlich ist es ausschließlich von der Anzahl der insgesamt angeschlossenen Geräte abhängig, nicht von der Anzahl der VLANs:

Wenn das Gerät VLAN-fähig ist (z.B. ein Switch oder AP), kannst Du beliebig viele VLANs über den einen Port bedienen. Ist das jeweilige Gerät auf ein VLAN fixiert, führst Du das eben auf den Port raus (aber die Anzahl der anschließbaren Geräte limitiert die Anzahl der VLANs). Mehrere Geräte auf dem selben VLAN geht auch, dann braucht es eine Bridge.

Ergo: Du kannst die Nicht-WAN-Anschlüsse genauso nutzen wie einen managebaren Switch. Die Anzahl der Ports muss nur >= der Anzahl der angeschlossenen Geräte + 1 (WAN) sein. Es gibt übrigens von den China-Boxen auch welche mit 6 und 8 Ports.

[alfred_e1]

Danke für die Antworten.

Also ich würde, wie meyergru geschrieben hat, als Notlösung folgendes Zenario anwenden:

Internet <-> FB <-> Firewall ( Firewall Router Mini PC N100 für pfSense/OPNsense/OpenWrt/Proxmox/AESNI, Lüfterlose Firewall Appliance VPN Server mit DDR5 8GB 128GB NVMe SSD ) <-> Switch ( YuLinca 6 Port 2.5G Easy Web Managed Switch, 4 x 2.5Gbps Base-T Ports und 2 x 10G SFP+ Slot, unterstützt LACP/QOS/VLAN/IGMP, Mini Metal Fanless 2.5Gb Managed Switch ) <-> Bitcoin Node, DLAN <-> über DLAN/WIFI alle anderen Geräte ( Notebook, TV, Radio usw.)

Hoffe es ist ersichtlich was ich meine.

Sonnige Grüße

[alfred_e1]

Ist die Hardware für das Vorhaben ausreichend?

Sonnige Grüße

[alfred_e1]

Hallo!

[quoe Das hängt davon ab, wie viele Netzwerksegmente du haben möchtest (WAN, LAN, DMZ, Gast, IoT).

Also Gast brauch ich nicht. Habe keine Gäste ;-)

IoT weiß ich nicht was das ist, also nein.

DMZ versuche ich zu vermeide.

Bleiben WAN und LAN

Sonnige Grüße

[viragomann]

IoT weiß ich nicht was das ist, also nein.

Internet der Dinge (TV, Internetradio, Kühlschrank, Heizung,...). Geräte, die üblicherweise Internetzugriff haben wollen oder müssen und auf die man eventuell auch von seinem Rechner aus zugreift.

Ich kann mir nicht vorstellen, dass man 2025 noch daran vorbei kommt.
Aber solche Geräte möchte ich nicht im selben Subnetz mit meinem PC oder Server haben.

DMZ versuche ich zu vermeide.

Demilitarisierte Zone. Geräte / Maschinen, auf die vom Internet aus zugegriffen wird, bspw. Webserver.

Sollte vielleicht noch ergänzen, dass die Separation von IoT Geräten die Zugriffe darauf oft erschwert, doch gibt es Lösungen.

[alfred_e1]

Hab mich gerade auch darüber informiert.

Du hast recht, das braucht man.

Tja, manchmal ist Hirn etwas langsam. ;-)

OK, überzeugt. DMZ brauch ich dann auch noch.
Also alles ausser Gast.

[meyergru]

IoT = Internet of Things, also z.B. alle cloudbasierten Sensoren, vernetzten Küchengeräte usw., im weiteren Sinn aber alles, was Deine Firewall durchlöchert, indem es "nach Hause telefoniert", also auch Smart-TVs usw. Solche Geräte haben eigentlich nichts in Deinem LAN zu suchen (oder eben nur per Firewall kontrolliert).

Die DMZ wäre für alles, was gehackt werden kann, weil es von außen zugänglich gemacht wird, also Dein Bitcoin Fullnode - auch der hat im LAN nichts zu suchen.

Wenn Du das beides nicht brauchst, stellt sich mir die Frage, wozu Du eine OpnSense überhaupt einsetzen willst? Reine Abschottung von WAN zu LAN per NAT kann die Fritzbox genauso.

Was die Hardware angeht:

Ich glaube, die DLAN-Geräte können keine VLANs bzw. mehrere SSIDs. Damit geht eben genau die Netzsegmentierung nicht, obwohl sie wichtig wäre, weil die meisten IoT-Geräte ja gerade per WLAN verbunden sind. Geeignet sind Unifi oder Mikrotik, bedingt auch TP-Link, wobei da die Konfiguration m.W. grottig ist.

Wenn Du beim Switch schon einen mit SFP+ nutzt, kannst Du auch so eine Box nehmen, die hat auch SFP+ und kann dann per DAC-Kabel verbunden werden:

https://www.amazon.de/FakestarPC-Industrial-Firewall-Appliance-pf-Sense/dp/B0DZ6GHM82?th=1

Damit lassen sich dann ggf. VLANs mit 10 Gbps über den Uplink verbinden - der Inter-VLAN-Traffic läuft ja zweimal über die physische Schnittstelle.

[alfred_e1]

Es gib immer Lösungen. Die Frage ist nur, ob das alles mein Hirn verarbeiten kann. Ist im Moment ziemlich viel für mich.

Aber ich beiß mich irgendwie durch. Auf das ich weiter nerve. :-))

[viragomann]

Es gibt ja hilfsbereite Menschen hier. :-)

Grüße