Grundsatzfrage

[openjs]

Hallo,

ich plane die Umstellung eines Netzwerks von Fritzbox auf "besser" ...

Nachdem ich mir OpnSense für Dummies (speziell für Fritzbox-Umsteiger) durchgelesen habe stellt sich mir die Frage, ob ich irgendetwas übersehe.

Info alle Netzwerke aktuell /24.

Iststand:
FB macht alles inkl. einer IPSec Verbindung zu einem anderen Standort.
                                                                       
                      WAN        IPSec                                 
                       |         Verbindung                             
                       |  +----------                                   
                       |  |                                             
                       |  |                                             
+---------+     +------------+        +-----------+                     
| Telefon |-----|  FritzBox  |--------| Kein WLAN |                     
|         |     |  + IPSec   |        +-----------+     +----------+   
+---------+     |192.168.80.1|--------------------------| GastWLAN |   
                +------------+                          +----------+   
                       |                                               
                       |                                               
                +------------+                                         
                | Internes   |                                         
                | LAN        |                                         
                |192.168.80.x|                                         
                +------------+                                         
                                                                       
Es ist kein Gerät im WLAN, das wird hier auch nicht gebraucht. Es sind alle Geräte im "normalen" Netz hinter der Fritzbox.

Wunschkonzert, es kommt eine sinnvolle Firewall rein.                                                                       
FB macht weiter Telefon und GastWLAN, sonst nix. Das Netzwerk der FB wandert von .80 auf .81
Die Firewall routet zwischen dem FB Netzwerk (das leer bleibt, nur FB und Firewall), hier wird kein Gerät reinkommen.
Die Firewall übernimmt auch die IPSec Verbindung.
                                                                       
                       WAN        IPSec                                 
                        |         Verbindung                           
                        |           |                                   
                        |           |                                   
                        |           |                                   
 +---------+     +------------+     |  +-----------+                   
 | Telefon |-----| FritzBox   |-----|--| Kein WLAN |                   
 |         |     | kein IPSec |     |  +-----------+     +----------+   
 +---------+     |192.168.81.1|--------------------------| GastWLAN |   
                 +------------+     |                    +----------+   
                        |           |                                   
           ZwischenLAN  |           |                                   
                        |           |                                   
                 +------------+     |                                   
                 |192.168.81.2|                                         
                 | OpenSense  |-----+                                   
                 |  + IPSec   |                                         
                 |192.168.80.1|                                         
                 +------------+                                         
                        |                                               
                        |                                               
                 +------------+                                         
                 | Internes   |                                         
                 | LAN        |                                         
                 |192.168.80.x|                                         
                 +------------+                                        

Aus den Beschreibungen aus dem für Dummies habe ich entnommen, dass es Probleme geben kann auf das WLAN und ZwischenLAN zuzugreifen. Ist aber bei mir kein Anwendungsfall. Im ZwischenLAN wird es keine Geräte geben, ebenso ist kein Zugriff auf das WLAN notwendig und auch nicht erwünscht.
GastWLAN macht nach wie vor sein eigenes Ding. Hier ist einfach Internet vorhanden.

Aus meiner Sicht sollte das so funktionieren oder habe ich etwas übersehen?

Danke

[viragomann]

Hallo,

ja, da gibt es auch keine großen Änderungen.
Für das Telefon bleibt alles gleich und selbiges gilt für die Geräte im LAN und für das Gast-WLAN.

Die OPNsense bekommt eine WAN IP hinter der FritzBox im .81er Netz. Diese IP ist auf der FB als Exposed Host einzurichten, damit alles (IPSec) auf die OPNsense weitergeleitet wird.

Wenn du IPSec auf OPNsense einrichtest, musst du am WAN auch Firewall-Regeln dafür setzen. Von Haus aus ist da nichts erlaubt.

Grüße

[meyergru]

Geht zwar, würde ich aber nicht so machen. Besser wäre es, die Fritzbox als Gast-LAN-Client an die OpnSense anzuschließen. Wo die FB Telefonie macht (also LAN oder Gast-LAN) ist egal und im Gast-LAN könnte sie sogar als Access Point dienen, wenn kein "LAN"-WiFi benötigt wird.

Vorteil: OpnSense läuft nicht mehr in einer Router-hinter-Router Konfiguration - ich weiß z.B. nicht, ob IPsec auf der OpnSense hinter einer Fritzbox als Eingangsrouter laufen würde (neben anderen Problemen wie DynDNS usw.).

Potentieller Nachteil: Je nachdem, wie das WAN angebunden ist, braucht man ein separates DSL-Modem. Bei Glasfaser mit externem ONT wäre das z.B. kein Problem.

[openjs]

WAN Anschluss ist Glasfaser (über die Deutsche Glasfaser). Aktuell 1000/500 MBit/s.
Ich denke wenn die OPNSense als Exposed Host eingerichtet ist, sollte ja alles weiter so funktionieren.
Ist dann "logisch" ja ein Router und kein Router-hinter-Router (denke ich).

Also ... vielen Dank und ich werde das ganze einmal so angehen.

Noch eine Frage. Gibt es für einen OPNSense Einsteiger ein gutes Tutorial in (möglichst) deutsch?

Danke und Grüße

[viragomann]

Router hinter Router wäre es doch, eben mit 2x NAT.
Probleme bereitet das aber nur in sehr speziellen Situationen. Bspw. wenn eine Applikation per UPnP einen Port am Router öffnen möchte. Das müsste am äußeren Router geschehen und inneren auch noch mal weitergeleitet werden. Das kann UPnP aber nicht bewerkstelligen, es erreicht nur den nächsten Router.

IPSec hinter einem Router sollte heutzutage (IKEv2) kein Problem sein. Hatte ich auch schon betrieben. Und das macht auch jeder IPSec Client im internen Netz.

Dynamisches DNS wurde angesprochen. Das müsste aber die FritzBox erledigen, damit das ordentlich funktioniert. Geht zwar auch von dahinter, dann aber nur mit gewisser Verzögerung, weil der innere Router den IP-Wechsel nur erkennt, wenn er es auch überprüft. Es muss also ein Job in regelmäßigen Intervallen laufen, der das macht.

Ein deutsches Tutorial kenne ich nicht, ich nutze meist die offiziellen Docs. Es sollte aber im Netz doch einiges zu finden sein, auch gute deutsche Videos zu einzelnen Themen auf YT.

Grüße

[meyergru]

Ich denke wenn die OPNSense als Exposed Host eingerichtet ist, sollte ja alles weiter so funktionieren.

Nein, tut es nicht. Nimm als Beispiel mal DynDNS: Die OpnSense "weiß" die WAN-IP nicht, das funktioniert also nur, indem man einen Dienst im Web anfragt, welche IP genutzt wird, nicht mit der normalen "Interface"-Methode. Je nachdem, ob der Request dann per IPv4 oder IPv6 gemacht wird, kann das Ergebnis unerwartet sein.

IPv6 wird ohnehin ein Problem, wahrscheinlich mit Sub-Delegation von Präfixen, aber keine Ahnung, man kann sich das Leben auch schwer machen.

Es gibt für andere Spezialfälle im Forum beliebig viele Beispiele, was dann alles nicht mehr so wie erwartet funktioniert. Aber das wirst Du dann Stück für Stück herausfinden...

Gerade, wenn Du sowieso einen externen ONT hast und nur Gast-WiFi brauchst, wäre doch "Fritzbox hinter OpnSense" die perfekte Lösung - offen gesagt, kann ich nicht verstehen, warum Du es nicht so machst, aber, wie Patrick oft sagt: you do you.