Hilfe bei kleinem Heimnetzwerkprojekt

[BlackHawk3000]

Hallo liebe Opnsensler,

da ich recht neu im Bereich Netzwerk bin bräuchte ich etwas Hilfe von euch :)

seit mehreren Tagen plane ich eine kleine Umstrukturierung meines Heimnetzes.
Hierbei sollen nun ein paar neue Komponenten integriert werden, unter anderem eine Firewall.

Ich würde gerne von euch wissen, ob ich das so umsetzen kann oder ob es sogar bessere Möglichkeiten gibt?!

Folgende Hardware wird eingesetzt:

1. alte FritzBox als Modem (sollte ich dies konfigurieren können)
2. Server mit 4x Gbit/Lan (Grundsystem Win2k16, hier soll dann jeweils im eigenem VM, DNS/AD/Opnsense laufen)
3. Fritzbox für WLan und VoIP
4. TP Switch 24Port mit VLAN
5. Server mit 2x Gbit/Lan (Ubuntu Server mit Nextcloud)
6. Mehrere kleine Switche/Tvs/Sat>IP/IP-Kamera etc.

Folgendes habe ich mir gedacht (siehe dann auch Skizze):

- Internet kommt über Modem, geht direkt an einen Port des Servers.
- Dieser wird dann weiterhin an die FritzBox, und zweimal an den Switch angeschlossen.
- Dem Switch werden die verschiedenen VLANs zugeordnet
- VLan 30 bekommt ein serpates Kabel vom Server
- VLan 10/20/40/50 werden über einem Kabel und Trunks verbunden

Passt das so grob?

Folgende Fragen haben sich mir gestellt:

- Ist dies alles mit OPENSENSE machbar?
- Wollte beiden Servern eine Dual 4Gbit LWL Karte verpassen und diese untereinander Verbinden, damit diese für Backup und Syncaufgaben besser vernetz sind. Kann man das so machen oder birgt das wieder ein Sicherheitsrisiko, da ich DMZ und Serverlan verbinde?
- Frage zu Windows, würdet Ihr DNS/AD/Backup jeweils seperat in einer VM laufen lassen oder das alles auf dem physischen Server?

Ich bedanke mich im Voraus
Gruß

http://fs5.directupload.net/images/180425/iza9im6f.jpg

[NicholasRush]

Hallo liebe Opnsensler,

da ich recht neu im Bereich Netzwerk bin bräuchte ich etwas Hilfe von euch :)

seit mehreren Tagen plane ich eine kleine Umstrukturierung meines Heimnetzes.
Hierbei sollen nun ein paar neue Komponenten integriert werden, unter anderem eine Firewall.

Ich würde gerne von euch wissen, ob ich das so umsetzen kann oder ob es sogar bessere Möglichkeiten gibt?!

Folgende Hardware wird eingesetzt:

1. alte FritzBox als Modem (sollte ich dies konfigurieren können)
2. Server mit 4x Gbit/Lan (Grundsystem Win2k16, hier soll dann jeweils im eigenem VM, DNS/AD/Opnsense laufen)
3. Fritzbox für WLan und VoIP
4. TP Switch 24Port mit VLAN
5. Server mit 2x Gbit/Lan (Ubuntu Server mit Nextcloud)
6. Mehrere kleine Switche/Tvs/Sat>IP/IP-Kamera etc.

Folgendes habe ich mir gedacht (siehe dann auch Skizze):

- Internet kommt über Modem, geht direkt an einen Port des Servers.
- Dieser wird dann weiterhin an die FritzBox, und zweimal an den Switch angeschlossen.
- Dem Switch werden die verschiedenen VLANs zugeordnet
- VLan 30 bekommt ein serpates Kabel vom Server
- VLan 10/20/40/50 werden über einem Kabel und Trunks verbunden

Passt das so grob?

Folgende Fragen haben sich mir gestellt:

- Ist dies alles mit OPENSENSE machbar?
- Wollte beiden Servern eine Dual 4Gbit LWL Karte verpassen und diese untereinander Verbinden, damit diese für Backup und Syncaufgaben besser vernetz sind. Kann man das so machen oder birgt das wieder ein Sicherheitsrisiko, da ich DMZ und Serverlan verbinde?
- Frage zu Windows, würdet Ihr DNS/AD/Backup jeweils seperat in einer VM laufen lassen oder das alles auf dem physischen Server?

Ich bedanke mich im Voraus
Gruß

http://fs5.directupload.net/images/180425/iza9im6f.jpg

Mach es dir doch einfacher idem du die 4 Port Nic von deinem Server als LACP Bündel zusammenlegst. Darauf legst du dann alle VLANs als Trunk.

Sonst hätte ich da keine Einwände zu.

Bei der OPNsese musst du nur eines beachten, da die ja virtuell läuft. Du hast nur eine begrenzte Menge virtueller Netzwerkadapter die du deiner Router VM zuweisen kannst. Soweit ich noch weiß waren das 8 "Standard Netzwerk Adapter" und 4 "Legacy Netzwerk Adapter".

Alternativ könntest du versuchen die VLANs innerhalb der OPNsense VM zu taggen. Dazu musst du den Hyper-V vSwitch Port (vNIC) per Powershell in den Trunk Modus schalten.

Wie man das macht steht hier: https://www.kaiherzig.eu/hyperv-switch-vlan-trunking/

[monstermania]

Moin,
zunächst mal interessant, was Du so als 'kleines' Heimnetzwerk betrachtest! Ich kenne da Firmen, die eine weniger komplexe Infrastruktur nutzen.  ;)
Ich würde grundsätzlich die Überlegung anstellen, ob eine virtuelle OPNsense für Dich überhaupt sinnvoll ist. Bei nur einem einzelnen Virtualisierunghost ist bei einem Neustart des Hosts auch immer gleich die Firewall betroffen (z.B. bei Wartungsarbeiten). Ergo geht dann nichts mehr im Netz! Eine kleine HW-Appliance (z.B. PCEngines APU2) macht da u.U. mehr Sinn.
Und nein, es geht mir nicht um die Grundsatzfrage ob man eine FW überhaupt virtualisieren sollte oder nicht. Wir haben 2018 und Virtualisierung ist Stand der Technik! Unsere Firma nutzt auch schon seit Jahren eine virtuelle HA-FW-Lösung.

Warum willst Du die FritzBox als reines Modem nutzen? Du kannst ja die FritzBox ja auch die Einwahl erledigen lassen und richtest die OPNsense dann als Exposed-Host ein. D.H. der gesamte WAN-Traffic wird von der FritzBox direkt an die OPNsense durchgereicht. VoIP macht dann weiterhin die FritzBox. So haben wir das zumindest in unserem kleinen Außenstandort am Laufen.

Ob es Sinn macht alle NICS des Servers zu bündeln und dann Gemeinsam auf den Switch zu legen weiß ich auch nicht.  ::) Ich bin ja ein Freund davon das Management eines VM-Hosts auf einem eigenen NIC zu haben.
Ist ja auch die Frage welche Bandbreite für die Server Du da wirklich benötigst sprich welche Datenmengen Du durch Dein Netzt schaufeln willst.

Gruß
Dirk

[NilsS]

von dem LACP Trunk bin ich gerade wieder weg, da es Probleme macht (u.a. netmap support). Sowohl bei Netflow/Insight als auch bei IPS.

Was ich dabei Schade finde ist, dass wenn ich es virtualisiere und LACP/Trunking im Hypervisor mache, dann ist es kein Problem.

Ich werde daher bald neu installieren und die Firewall auf der selben Kiste auf der sie jetzt läuft, virtualisiert laufen lassen. Als einzige VM.

[BlackHawk3000]

Mach es dir doch einfacher idem du die 4 Port Nic von deinem Server als LACP Bündel zusammenlegst. Darauf legst du dann alle VLANs als Trunk.

Sonst hätte ich da keine Einwände zu.

Bei der OPNsese musst du nur eines beachten, da die ja virtuell läuft. Du hast nur eine begrenzte Menge virtueller Netzwerkadapter die du deiner Router VM zuweisen kannst. Soweit ich noch weiß waren das 8 "Standard Netzwerk Adapter" und 4 "Legacy Netzwerk Adapter".

Alternativ könntest du versuchen die VLANs innerhalb der OPNsense VM zu taggen. Dazu musst du den Hyper-V vSwitch Port (vNIC) per Powershell in den Trunk Modus schalten.

Wie man das macht steht hier: https://www.kaiherzig.eu/hyperv-switch-vlan-trunking/

Dazu werde ich mich noch etwas einlesen, ist auf jedenfall eine Überlegung wert.

Moin,
zunächst mal interessant, was Du so als 'kleines' Heimnetzwerk betrachtest! Ich kenne da Firmen, die eine weniger komplexe Infrastruktur nutzen.  ;)
Ich würde grundsätzlich die Überlegung anstellen, ob eine virtuelle OPNsense für Dich überhaupt sinnvoll ist. Bei nur einem einzelnen Virtualisierunghost ist bei einem Neustart des Hosts auch immer gleich die Firewall betroffen (z.B. bei Wartungsarbeiten). Ergo geht dann nichts mehr im Netz! Eine kleine HW-Appliance (z.B. PCEngines APU2) macht da u.U. mehr Sinn.
Und nein, es geht mir nicht um die Grundsatzfrage ob man eine FW überhaupt virtualisieren sollte oder nicht. Wir haben 2018 und Virtualisierung ist Stand der Technik! Unsere Firma nutzt auch schon seit Jahren eine virtuelle HA-FW-Lösung.

Warum willst Du die FritzBox als reines Modem nutzen? Du kannst ja die FritzBox ja auch die Einwahl erledigen lassen und richtest die OPNsense dann als Exposed-Host ein. D.H. der gesamte WAN-Traffic wird von der FritzBox direkt an die OPNsense durchgereicht. VoIP macht dann weiterhin die FritzBox. So haben wir das zumindest in unserem kleinen Außenstandort am Laufen.

Ob es Sinn macht alle NICS des Servers zu bündeln und dann Gemeinsam auf den Switch zu legen weiß ich auch nicht.  ::) Ich bin ja ein Freund davon das Management eines VM-Hosts auf einem eigenen NIC zu haben.
Ist ja auch die Frage welche Bandbreite für die Server Du da wirklich benötigst sprich welche Datenmengen Du durch Dein Netzt schaufeln willst.

Gruß
Dirk

Ja, so bisschen verrückt bin ich auch was IT angeht, die hälfte bräuchte man wahrscheinlich nicht wirklich :D

Ich gebe dir recht mit dem Punkt, was ist wenn nen Update etc. gemacht werden muss. Allerdings wollte ich mir erstmal keine weitere Hardware zulegen. Erstmal alles zum laufen bekommen, danach evtl. Firewall seperat aufsetzen!

Warum FB als reines Modem? Weil ich noch nen haufen hier rumliegen habe und so das Problem mit dem "doppelten" NAT umgehen möchte. Da ich evtl. noch VPN Verbindungen nutzen möchte.

Besteht das Problem mit doppelten NAT hier überhaupt und hat es Vor- bzw. Nachteile wenn ich Exposed-Host nutze?

Datenmenge im Netzwerk wird sich außer beim Kopieren/Sichern in Grenzen halten, denke da gibt es eher andere limitierende Faktoren. VLAN und LACP ist halt komplett Neuland für mich und sehe da noch nicht wirklich die Vor und Nachteile. Evtl hat da jemand Lust, dies kurz zu erläutern :D

[NicholasRush]

LACP hat den Vorteil, dass sich die Bandbreite/Verbindung auf mehrere Nics Dynamisch aufteilen lässt. Der VLAN Trunk obendrauf hat nur den Vorteil nicht für jedes VLAN eine Physikalische Nic im Server haben zu müssen.

Kombiniert man beides, kannst du beim kopieren von Daten von einem VLAN zum anderen, auch bei Vollauslastung von 2 Nics noch von einem dritten Host problemlos aufs Internet zugreifen, ohne das sich das gegenseitig ausbremsen würde.

[alienmz]

Dein Projekt hört sich ganz gut an. Ich würde allerdings die "alte Fritzbox" mit der "VOIP Fritzbox" ersetzen und diese nur für zwei Funktionen einsetzen: VOIP und Einwahl zum Provider und dann den WAN Verkehr einfach weiterreichen. Das WLAN würde ich in der Fritzbox abschalten und z.B. einen WLAN AP von Unify nutzen - da könntest du dann auch einfach mehrere WLANs mit unterschiedlichen VLANs abbilden.

[BlackHawk3000]

Dein Projekt hört sich ganz gut an. Ich würde allerdings die "alte Fritzbox" mit der "VOIP Fritzbox" ersetzen und diese nur für zwei Funktionen einsetzen: VOIP und Einwahl zum Provider und dann den WAN Verkehr einfach weiterreichen. Das WLAN würde ich in der Fritzbox abschalten und z.B. einen WLAN AP von Unify nutzen - da könntest du dann auch einfach mehrere WLANs mit unterschiedlichen VLANs abbilden.

Moin,

du wirst es nicht glauben aber ich habe mir so einen AP gestern bestellt :D
Wenn ich die FritzBox nicht nur als Modem nutze, habe ich dann nicht doppelten NAT, von der FB und OPNsene?

[magicteddy]

Moin,

Wenn ich die FritzBox nicht nur als Modem nutze, habe ich dann nicht doppelten NAT, von der FB und OPNsene?

Ja, aber glaub mir das tut überhaupt nicht weh ;)
Ich doublenate seit Jahren und nicht mal meine Zwerge mit ihren Spielen merken da was von. wenn ich Nachts wget mal auf Knoppix ansetze kommt das auch mit Volldampf rein. Ich habe die Zwerge testweise mal in das VLan direkt hinter die Fritte verfrachtet, sie haben keinen Unterschied bemerkt.

-teddy

[BlackHawk3000]

Moin,

Wenn ich die FritzBox nicht nur als Modem nutze, habe ich dann nicht doppelten NAT, von der FB und OPNsene?

Ja, aber glaub mir das tut überhaupt nicht weh ;)
Ich doublenate seit Jahren und nicht mal meine Zwerge mit ihren Spielen merken da was von. wenn ich Nachts wget mal auf Knoppix ansetze kommt das auch mit Volldampf rein. Ich habe die Zwerge testweise mal in das VLan direkt hinter die Fritte verfrachtet, sie haben keinen Unterschied bemerkt.

-teddy

Alles klar vielen Dank, dann werde ich das so mit der FB machen und sie als erstes einbinden.
Hoffe das meine Quad Netzwerkkarte noch bis Freitag ankommt, damit ich damit anfangen kann alles zu konfigurieren.

Was findet die Allgemeinheit hier eigentlich besser zum virtualisieren, Proxmox oder VMware?

[NicholasRush]

Moin,

Wenn ich die FritzBox nicht nur als Modem nutze, habe ich dann nicht doppelten NAT, von der FB und OPNsene?

Ja, aber glaub mir das tut überhaupt nicht weh ;)
Ich doublenate seit Jahren und nicht mal meine Zwerge mit ihren Spielen merken da was von. wenn ich Nachts wget mal auf Knoppix ansetze kommt das auch mit Volldampf rein. Ich habe die Zwerge testweise mal in das VLan direkt hinter die Fritte verfrachtet, sie haben keinen Unterschied bemerkt.

-teddy

Alles klar vielen Dank, dann werde ich das so mit der FB machen und sie als erstes einbinden.
Hoffe das meine Quad Netzwerkkarte noch bis Freitag ankommt, damit ich damit anfangen kann alles zu konfigurieren.

Was findet die Allgemeinheit hier eigentlich besser zum virtualisieren, Proxmox oder VMware?

VMware, weil dort die Gast Betriebssystem Untersützung einfach besser ist, als bei Proxmox. Liegt aber tatsächlich an FreeBSD und KVM, sowie Omnios und KVM. Man sollte zwar meinen, das OpenSource aufgrund offener Quellen besser miteinander Harmoniert. Aber das dies nicht immer so ist, zeigt sich bei KVM mit FreeBSD oder Omnios (Solaris) Gast sehr gut.

[BlackHawk3000]

Servus,

ich bin am verzweifeln.
Habe nun folgendes schon gemacht:

ESXI installiert, OPNsense installiert alles angeschlossen.

Nun stellt sich folgendes Problem, nachdem ich schon meine ganzen VLANs nicht zum laufen bekommen habe, wollte ich klein anfangen und OPNsense ans Netz bringen für Updates.

FB - OPNsene über Lan angeschlossen, im WAN der OPN feste IP vergeben und in der FB ExHost eingerichtet. Doch leider kann die OPN keine Updates ziehen etc.

Kann mir da einer weiterhelfen?
Danach würde ich nämlich gerne an das konfigurieren der Vlans gehen.

Gruß

Update 2215Uhr

Es hat sich nichts getan, außer zwei Neuinstallationen, da ich nach einem Neustart der OPN nicht mehr aufs Interface gekommen bin, obwohl sie sauber gestartet ist und erkannt wurde...

Versuch VLan einzurichten ist auch gescheitert :(
Schnittstellen konfiguriert, LACP eingerichtet, VLAN der Schnittstelle zugewießen, in der Firewall mal alles erlaubt und im Switch die VLANs eingerichtet. Doch alles brachte keinen Erfolg.

Langsam glaube ich, ich bin zu doof...

Anbei noch ein paar Screenshots von Einstellungen die ich vorgenommen hatte.

[NicholasRush]

Hast du für jedes VLAN ein ESXI Netzwerk Interface genommen oder Tagst du in der OPNsense VM selbst? Bei letzterem würde es mich nicht wundern falls es da zu Problemen kommen kann.

Update 01:31
Habe gerade im Bild gesehen wie du es gemacht hast.

In der VM und LAG ist es normal das es so nicht funktionieren kann. Da wahrscheinlich zuerst LAG Protokoll vom Virtuellen Switch nicht zugelassen wird. Definiere das LAG lieber im Vswitch direkt. Und lasse OPNsense nur 2 Virtuelle Interfaces, auf dem ersten lässt du WAN laufen und auf dem zweiten TAGst du die VLANs direkt.

Deinen Switch hast du laut dem Bild richtig konfiguriert.

[BlackHawk3000]

Hast du für jedes VLAN ein ESXI Netzwerk Interface genommen oder Tagst du in der OPNsense VM selbst? Bei letzterem würde es mich nicht wundern falls es da zu Problemen kommen kann.

Update 01:31
Habe gerade im Bild gesehen wie du es gemacht hast.

In der VM und LAG ist es normal das es so nicht funktionieren kann. Da wahrscheinlich zuerst LAG Protokoll vom Virtuellen Switch nicht zugelassen wird. Definiere das LAG lieber im Vswitch direkt. Und lasse OPNsense nur 2 Virtuelle Interfaces, auf dem ersten lässt du WAN laufen und auf dem zweiten TAGst du die VLANs direkt.

Guten Morgen,

so im ESXI unter Netzwerken auf dem Switch VLAN (alle) eingestellt und schon weißt er eine IP des VLANs zu...
Was so ein Haken ausmacht oO
Werde es aber später noch versuchen die LAC im ESXI einzurichten so dass ich nur zwei Interface habe. Muss nur schauen wie es da geht.

Allerdings bekommt das Netz sowie die OPN immer noch kein Internet. Wan Eingang ist die 192.168.1.3 habe hierfür auch ein Uplink Gateway eingerichtet. Danach konnte ich wenigstens über das Interface Google anpingen. Allerdings zieht die OPN immer noch keine Updates. (Konnte das Repository auf dem ausgewählten Spiegelserver nicht finden.) Ich habe dir Vermutung das irgendwas mit den DNS Einträgen nicht stimmt. Oder an was könnte dies liegen?

Dankeschön

Update:

Hier mal nen Ping an Google von der LAN Schnittstelle
PING www.google.de (216.58.214.67) from 192.168.1.1: 56 data bytes

36 bytes from localhost (127.0.0.1): Time to live exceeded
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
4  5  00 0054 9f24   0 0000  01  01 aa5d 192.168.1.1  216.58.214.67

Update:

Habe noch ein paar Screenshots von Einstellungen angehängt.

[NicholasRush]

Ich glaube du hast den Wald vor lauter Bäumen übersehen.  :)

Laut deinem Bild, wo du den DNS-Server einstellst, ist deine FritzBox IP die 192.168.1.2

Und laut deinem WAN Interface hast du dort die IP-Adresse "192.168.1.3" eingestellt. Mit dem Upstream Gateway der ebenfalls auf dieses Interface zeigt. So gehen alle anfragen die ans "Internet" => 0.0.0.0/0 sollen wieder an die OPNsense selber und nicht an deine FritzBox. Richtig müsste beim WAN Interface der WAN-Gateway "192.168.1.2" lauten.

Warum du allerdings so Google anpingen kannst ist mir immer noch ein Rätsel.

Gruß
NR