Interesse an gemeinsamer Diskussion zur grundlegenden Netzwerkkonfiguration

[jpb1701]

Hallo zusammen,

aufgrund gesundheitlicher Einschränkungen fällt es mir leider schwer, mich über längere Zeit in technische Dokumentationen zu vertiefen. Trotzdem möchte ich mein Heimnetzwerk endlich auf den aktuellen Stand bringen – vor allem in Hinblick auf Sicherheit und eine saubere Strukturierung mit VLANs und Werbeblockern.

Meine Idee wäre, zunächst den aktuellen Ist-Zustand und meine Zielvorstellung schriftlich darzustellen, um dann mit eurer Unterstützung Schritt für Schritt an einer sauberen Lösung zu arbeiten. Ich denke, vieles davon betrifft Standardthemen, während andere Punkte sicherlich individuelle Entscheidungen erfordern, bei denen mir eure Erfahrung sehr helfen würde.

Mein derzeitiges Setup basiert auf einer OPNSense-Installation, die zwar aktuell gehalten, aber nicht so konfiguriert ist, wie ich es mir wünsche. Dabei gibt es noch einige Lücken, die ich gerne schließen möchte, ohne durch Ausprobieren größere Probleme zu riskieren. Daher möchte ich eine parallele OPNSense auf neuer Hardware einrichten und die alte ersetzen bzw. später als Backup verwenden.

Ich bin kein kompletter Anfänger, aber eben auch kein Netzwerkprofi – Grundlagen wie Subnetzaufteilungen oder kleine Anpassungen bekomme ich selbst hin. Mir geht es eher um den Austausch und eine stabile, nachvollziehbare Grundkonfiguration für den Heimgebrauch.

Bevor ich alle Details zusammenstelle, würde ich gern wissen, ob grundsätzlich Interesse an einem solchen Thread besteht. Vielleicht kann diese Diskussion ja auch anderen den Einstieg erleichtern.

Vielen Dank schon jetzt an alle, die sich dafür interessieren und mithelfen möchten!

Viele Grüße

[Patrick M. Hausen]

Wir haben alle zwei Wochen einen virtuellen (Videokonferenz) Stammtisch. Wäre das keine passende Runde dafür?

[jpb1701]

Wir haben alle zwei Wochen einen virtuellen (Videokonferenz) Stammtisch. Wäre das keine passende Runde dafür?

Klingt grundsätzlich gut, wenn ich dafür fit genug bin, würde ich da gerne dazukommen. Zusätzlich würde ich gerne diesen gemeinsamen Weg einschlagen wollen, denn ich nehme an, dass vielen mit einem aktuellen Leitfaden ebenfalls geholfen wäre, denn man findet durch aus nette Tutorials aber oft fehlt, dann doch der Spezialfall (ja man kann nicht alles abdecken).

Splitten in VLANS für Office, Guest, IoT, usw findet man oft und trotzdem gibt es viele Fallstricke und es ist, wie bei mir, besonders schlimm, wenn man mit Halbwissen konfiguriert und dann *bamm* keinen Zugriff mehr aufs www und schon steht man da und weiß nicht was man machen soll. Für mich ist der Lerneffekt im Austausch und dann machen - immer am Größten.

[Patrick M. Hausen]

Es gibt ein deutschsprachiges Buch:

https://der-opnsense-praktiker.github.io/

[meyergru]

Mir stellt sich die Frage, was Du genau vorhast:

a) Dein Netzwerk aufzubauen und vorab zu spezifizieren, was Du willst und dann dokumentieren wie Du es genau gemacht hast?
b) Dich beraten zu lassen, wie der Übergang Deines Wünschens zur Realisierung geht?
c) Einen allgemeinen Leitfaden für den A-bis-Z-Aufbau zu schreiben?

Die Probleme hast Du selbst schon benannt:

a) Das wird dann sehr spezifisch für Deinen Aufbau / Deinen Provider / Dein gewünschtes Setup. Der nächste Anwender mit geringen Netzwerkkenntnissen scheitert am ersten Unterschied zu Deinem Setup - ggf. bereits beim Verbindungsaufbau zu seinem Provider.

b) Ja, das hätten alle gerne, dass sie durchgecoacht werden - allerdings: da lernst Du nichts bei (Zitat: "fällt es mir leider schwer, mich über längere Zeit in technische Dokumentationen zu vertiefen") und stehst am Ende vor der Situation, dass Du das nicht warten kannst. Das ist potentiell gefährlich. Ich sage es immer wieder: wer OpnSense mit einem Consumer-Produkt wie die Fritzbox verwechselt und glaubt, sein Netzwerk damit "irgendwie sicherer" zu machen, irrt.

c) Wie Patrick schon schrieb: Anleitungen gibt auf drei Ebenen:

1. Bücher wie "Der OpnSense-Praktiker" - als Überblick und Starthilfe.
2. Tutorials, die bestimmte Themen im Zusammenhand behandelt.
3. Die OpnSense-Dokumentation für einzelne Teile im Detail.

Ich kapiere gerade nicht, wo Du da zwischen willst.

[jpb1701]

Ok, ok hab es verstanden - der Titel sollte allerdings eine Richtung mitgeben.

Ich wollte die Arbeit nicht outsourcen und meine Hand über jede Option führen lassen und natürlich gibt es kein 100% Match eines Sonderfalls für alle aber vielleicht haben andere gleiche oder ähnliche Fragen bei Grundsatzentscheidungen. Und da wäre es super gewesen auf Erfahrungen und andere Blickwinkel zurückzugreifen.
Die Buchempfehlung finde ich toll aber letztendlich ist das Buch zur v26.x schon wieder veraltet. Tränendrüsenmodus [an] Und tatsächlich kann ich nicht stundenlang lesen und Videos schauen, möchte aber irgendwie noch Dinge tun die mich interessieren. Tränerndrüsenmodus [aus]

Beispiel für eine Frage:

Mein Board hat vier Interfaces IGC 0-3: IGC0 -> WAN, ICG1 -> Parent Port mit untagged VLAN (PVID=1), dazu tagged VLAN200/IoT und tagged VLAN300/Guest, IGC2-3 unused. Kann man machen aber ist das sinnvoll, oder schlauer jedes VLAN auf ein eigenes Interface zu legen?

Ich dachte eher an sowas. Das wäre vielleicht etwas für eine gemeinsame Diskussion mit erfahrenden Anwendern gewesen - aber hey was solls ich wollte vorsichtig vorfühlen und keinen Arbeitsauftrag an die Community einreichen.

[Patrick M. Hausen]

Schönes Beispiel. Denn die Antwort ist: es kommt darauf an 🙂

Man benutzt VLANs über einen Trunk ja, um Ports und Kabel zu sparen. Dafür teilen sich dann aber alle VLANs die Bandbreite des einen Ports.

Wenn das bei dir kein Thema ist, du also an Switch und OPNsense genügend freie Ports hast, dann kannst du natürlich auch 3 Patchkabel von der OPNsense zum Switch ziehen.

Das steht aber so nirgends zum Nachlesen, das ergibt sich, wenn man weiß, wie tagged VLANs funktionieren. So weit bist du ja eigentlich schon. Daher solltest du die Frage selbst beantworten können, mit kurz Nachdenken. 🙂 Nicht böse gemeint. Ich will nur illustrieren, dass ganz ganz viele Antworten nirgends stehen sondern sich aus Grundlagenwissen über Layer 2 (Switching/Bridging) und Layer 3 (Routing) ganz von selbst ergeben. Wenn du das lernen willst, kommst du um Grundlagen nicht herum. Produktspezifisch steht das wie gesagt nirgends.

Z.B. "Interconnections" von Radia Perlman. Es gibt eigentlich keinen besseren Text dazu.

[jpb1701]

Danke für den für die Rückmeldung. In der Tat hatte ich mich aufgrund der Portknappheit für diese Lösung entschieden. Den Traffic über ein Interface laufen zu lassen ist aktuell kein spübares Bottleneck.

Jetzt hab ich da noch ein paar Fragen und dann war es das auch erstmal.

Ich habe Zenarmor mit Home Lizenz. Zusätzlich habe ich noch Adguard laufen. Ist das doppelt gemoppelt oder besser einzeln oder beides, weil?

Unbound und ISC DHCP durch DNSmasq DNS & DHCP erstzen, weil?

Hier würde mich die Erfahrung von Euch interessieren, durch den Rest wurschtel ich mich weiter durch.

[bimbar]

Unbound würde ich nicht ersetzen.
Zenarmor + adguard - warum nicht.

Ansonsten, so eine Firewall und Netzdesign Best Practices Dokumentation gibt es meines Wissens nach nicht, es wäre aber mal spannend, zu sehen, was jeder einzelne so davon denkt.

[Patrick M. Hausen]

Ich habe Zenarmor mit Home Lizenz. Zusätzlich habe ich noch Adguard laufen. Ist das doppelt gemoppelt oder besser einzeln oder beides, weil?

Das sind völlig unterschiedliche Dinge. Zenarmor ist ein musterbasiertes IDS/IPS. AdGuard Home ist ein DNS basierte Filter gegen Werbung und Tracking. AGH setze ich intensiv ein mit vielen Filterlisten, die ich auch regelmäßig überprüfe. IDS/IPS halte ich generell für überflüssig. Aber das ist nur meine Meinung.

Ich hatte hier mal zusammengefasst, weshalb.

Unbound und ISC DHCP durch DNSmasq DNS & DHCP erstzen, weil?

Nun, ISC wirst du irgendwann ersetzen müssen, da der upstream schon jetzt EOL ist und auch aus OPNsense *irgendwann* raus fliegen wird.
Wenn du mit Unbound zufrieden bist, wäre der naheliegende Ersatz für ISC Kea. Benutze ich, läuft, ist übersichtlich.