Hallo liebe Opnsensler,da ich recht neu im Bereich Netzwerk bin bräuchte ich etwas Hilfe von euch seit mehreren Tagen plane ich eine kleine Umstrukturierung meines Heimnetzes.Hierbei sollen nun ein paar neue Komponenten integriert werden, unter anderem eine Firewall.Ich würde gerne von euch wissen, ob ich das so umsetzen kann oder ob es sogar bessere Möglichkeiten gibt?!Folgende Hardware wird eingesetzt:1. alte FritzBox als Modem (sollte ich dies konfigurieren können)2. Server mit 4x Gbit/Lan (Grundsystem Win2k16, hier soll dann jeweils im eigenem VM, DNS/AD/Opnsense laufen)3. Fritzbox für WLan und VoIP4. TP Switch 24Port mit VLAN5. Server mit 2x Gbit/Lan (Ubuntu Server mit Nextcloud)6. Mehrere kleine Switche/Tvs/Sat>IP/IP-Kamera etc.Folgendes habe ich mir gedacht (siehe dann auch Skizze):- Internet kommt über Modem, geht direkt an einen Port des Servers.- Dieser wird dann weiterhin an die FritzBox, und zweimal an den Switch angeschlossen.- Dem Switch werden die verschiedenen VLANs zugeordnet- VLan 30 bekommt ein serpates Kabel vom Server - VLan 10/20/40/50 werden über einem Kabel und Trunks verbundenPasst das so grob?Folgende Fragen haben sich mir gestellt:- Ist dies alles mit OPENSENSE machbar?- Wollte beiden Servern eine Dual 4Gbit LWL Karte verpassen und diese untereinander Verbinden, damit diese für Backup und Syncaufgaben besser vernetz sind. Kann man das so machen oder birgt das wieder ein Sicherheitsrisiko, da ich DMZ und Serverlan verbinde?- Frage zu Windows, würdet Ihr DNS/AD/Backup jeweils seperat in einer VM laufen lassen oder das alles auf dem physischen Server?Ich bedanke mich im VorausGrußhttp://fs5.directupload.net/images/180425/iza9im6f.jpg
Mach es dir doch einfacher idem du die 4 Port Nic von deinem Server als LACP Bündel zusammenlegst. Darauf legst du dann alle VLANs als Trunk. Sonst hätte ich da keine Einwände zu.Bei der OPNsese musst du nur eines beachten, da die ja virtuell läuft. Du hast nur eine begrenzte Menge virtueller Netzwerkadapter die du deiner Router VM zuweisen kannst. Soweit ich noch weiß waren das 8 "Standard Netzwerk Adapter" und 4 "Legacy Netzwerk Adapter". Alternativ könntest du versuchen die VLANs innerhalb der OPNsense VM zu taggen. Dazu musst du den Hyper-V vSwitch Port (vNIC) per Powershell in den Trunk Modus schalten.Wie man das macht steht hier: https://www.kaiherzig.eu/hyperv-switch-vlan-trunking/
Moin,zunächst mal interessant, was Du so als 'kleines' Heimnetzwerk betrachtest! Ich kenne da Firmen, die eine weniger komplexe Infrastruktur nutzen. Ich würde grundsätzlich die Überlegung anstellen, ob eine virtuelle OPNsense für Dich überhaupt sinnvoll ist. Bei nur einem einzelnen Virtualisierunghost ist bei einem Neustart des Hosts auch immer gleich die Firewall betroffen (z.B. bei Wartungsarbeiten). Ergo geht dann nichts mehr im Netz! Eine kleine HW-Appliance (z.B. PCEngines APU2) macht da u.U. mehr Sinn.Und nein, es geht mir nicht um die Grundsatzfrage ob man eine FW überhaupt virtualisieren sollte oder nicht. Wir haben 2018 und Virtualisierung ist Stand der Technik! Unsere Firma nutzt auch schon seit Jahren eine virtuelle HA-FW-Lösung.Warum willst Du die FritzBox als reines Modem nutzen? Du kannst ja die FritzBox ja auch die Einwahl erledigen lassen und richtest die OPNsense dann als Exposed-Host ein. D.H. der gesamte WAN-Traffic wird von der FritzBox direkt an die OPNsense durchgereicht. VoIP macht dann weiterhin die FritzBox. So haben wir das zumindest in unserem kleinen Außenstandort am Laufen.Ob es Sinn macht alle NICS des Servers zu bündeln und dann Gemeinsam auf den Switch zu legen weiß ich auch nicht. Ich bin ja ein Freund davon das Management eines VM-Hosts auf einem eigenen NIC zu haben. Ist ja auch die Frage welche Bandbreite für die Server Du da wirklich benötigst sprich welche Datenmengen Du durch Dein Netzt schaufeln willst. GrußDirk
Dein Projekt hört sich ganz gut an. Ich würde allerdings die "alte Fritzbox" mit der "VOIP Fritzbox" ersetzen und diese nur für zwei Funktionen einsetzen: VOIP und Einwahl zum Provider und dann den WAN Verkehr einfach weiterreichen. Das WLAN würde ich in der Fritzbox abschalten und z.B. einen WLAN AP von Unify nutzen - da könntest du dann auch einfach mehrere WLANs mit unterschiedlichen VLANs abbilden.
Wenn ich die FritzBox nicht nur als Modem nutze, habe ich dann nicht doppelten NAT, von der FB und OPNsene?
Moin,Quote from: BlackHawk3000 on April 27, 2018, 10:04:25 amWenn ich die FritzBox nicht nur als Modem nutze, habe ich dann nicht doppelten NAT, von der FB und OPNsene?Ja, aber glaub mir das tut überhaupt nicht weh Ich doublenate seit Jahren und nicht mal meine Zwerge mit ihren Spielen merken da was von. wenn ich Nachts wget mal auf Knoppix ansetze kommt das auch mit Volldampf rein. Ich habe die Zwerge testweise mal in das VLan direkt hinter die Fritte verfrachtet, sie haben keinen Unterschied bemerkt.-teddy
Quote from: magicteddy on April 30, 2018, 11:42:49 amMoin,Quote from: BlackHawk3000 on April 27, 2018, 10:04:25 amWenn ich die FritzBox nicht nur als Modem nutze, habe ich dann nicht doppelten NAT, von der FB und OPNsene?Ja, aber glaub mir das tut überhaupt nicht weh Ich doublenate seit Jahren und nicht mal meine Zwerge mit ihren Spielen merken da was von. wenn ich Nachts wget mal auf Knoppix ansetze kommt das auch mit Volldampf rein. Ich habe die Zwerge testweise mal in das VLan direkt hinter die Fritte verfrachtet, sie haben keinen Unterschied bemerkt.-teddyAlles klar vielen Dank, dann werde ich das so mit der FB machen und sie als erstes einbinden.Hoffe das meine Quad Netzwerkkarte noch bis Freitag ankommt, damit ich damit anfangen kann alles zu konfigurieren.Was findet die Allgemeinheit hier eigentlich besser zum virtualisieren, Proxmox oder VMware?
Hast du für jedes VLAN ein ESXI Netzwerk Interface genommen oder Tagst du in der OPNsense VM selbst? Bei letzterem würde es mich nicht wundern falls es da zu Problemen kommen kann.Update 01:31Habe gerade im Bild gesehen wie du es gemacht hast.In der VM und LAG ist es normal das es so nicht funktionieren kann. Da wahrscheinlich zuerst LAG Protokoll vom Virtuellen Switch nicht zugelassen wird. Definiere das LAG lieber im Vswitch direkt. Und lasse OPNsense nur 2 Virtuelle Interfaces, auf dem ersten lässt du WAN laufen und auf dem zweiten TAGst du die VLANs direkt.
