Anfänger-Plan für ein Heimnetzwerk mit Opnsense

Mitglied: scriptorius

scriptorius (Level 1) - Jetzt verbinden

22.02.2020, aktualisiert 18:42 Uhr, 4402 Aufrufe, 15 Kommentare

Hallo,

ich plane, mein Netzwerk zu Hause umzugestalten.
Ich habe einen Glasfaser-Anschluss (Deutsche Glasfaser).
In meinem Netzwerk befinden sich PCs, Notebooks, Tablets, Handys, Server.
Eine Fritzbox, die ich plane zu ersetzen, kümmert sich um/ist router, firewall, Telefonanlage, Wlan.
Ich lese mich dazu schon länger in unterschiedlichen Foren und Zeitschriften ein;
u.a. auch >hier<,
deshalb stelle ich hier im Forum meine Frage:

Mein Plan:

Die Hardware, die ich kaufen möchte:
1. APU.2E4
2. Cisco SG220 24x RJ-45, 2x RJ-45/SFP
3. DrayTek VigorAP 903
4. Gigaset C430A Go

Die Software, die ich einsetzen möchte:
- Opnsense

Zur Vorgehensweise:
1. Aufbau des Netzwerkes und Zusammenbau APU.2
2. Installation Opnsense auf APU.2
3. Konfiguration Opnsense

3.1. Internetzugang
3.1.1 Konfiguration WAN-Schnittstelle
3.1.2 Konfiguration LAN-Schnittstelle

3.2. Zonen einrichten Opnsense, Switch (VLAN)
- privat (= PCs, Notebooks, Handys, Tablets, Server)
- DMZ (=Telefonanlage)
- Gastzugang (Wlan)

3.3 Firewall Opnsense
3.3.1 Regeln für die einzelnen Zonen definieren

3.4 VPN Wireguard konfigurieren
(> „Zugriff“ von außen auf den Nextcloud-Server)

Meine grundsätzliche Frage:
Ist mein Vorhaben so sinnvoll oder gibt es Verbesserungsvorschläge hinsichtlich der Hardware, Software und Vorgehensweise?

Sicherlich ist mir noch nicht im einzelnen ganz klar, wie ich die Punkte konkret umsetzen kann.
Die sich ergeben "Probleme" möchte ich nach und nach lösen.
Mitglied: lcer00
LÖSUNG 22.02.2020 um 13:43 Uhr
Hallo,

klingt erst mal nach einem Plan.

Du solltest an der Opensense eine Managementschnittstelle einplanen, die Du als erstes konfigurieren solltest. Das ist wichtig, falls Du doch mal irgendwas fehlkonfigurierst.

Wichtig ist es, konkret zu planen, was wovon durch Vlan und/oder Firewall getrennt werden soll.

Dabei ist es insbesondere wichtig zu klären, ob netzübergreifend mDNS oder multicasts erforderlich sind. Das wäre beispielsweise der Fall, wenn eine Handy-App im WLAN mit einem Gerät im LAN kommunizieren will. Sonos wäre da ein Kandidat.

Grüße

lcer
Bitte warten ..
Mitglied: aqui
22.02.2020, aktualisiert um 14:21 Uhr
Cisco SG220 24x RJ-45, 2x RJ-45/SFP
So ein Modell gibt es von Cisco nicht !
Du meist vermutlich einen SG250-26, richtig ?
Ansonsten sind die Hardware Komponenten absolut richtig und für dein Vorhaben machst du damit nichts falsch.
Wie du die Punkte konrekt umsetzt erklären dir, wie immer, die hiesigen Tutorials:
https://administrator.de/wissen/preiswerte-vpn-fähige-firewall-eige ...
https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...
pfSense oder OPNsense sind dabei identisch.
Bitte warten ..
Mitglied: magicteddy
22.02.2020 um 15:15 Uhr
Moin aqui,

siehe Cisco SG220

-teddy
Bitte warten ..
Mitglied: aqui
22.02.2020 um 15:30 Uhr
Oooops...shame on me. Wieder was gelernt, oder sind die brandneu ?
Ich nehme alles zurück und behaupte das Gegenteil... ;-) face-wink
Im Vergleich zum SG250 sieht es so aus als ob die 220er dann rein L2 only sind aber sonst gleiches Feature Set. Die SG250er können auch L3.
Bitte warten ..
Mitglied: RKo1979
22.02.2020, aktualisiert um 18:46 Uhr
Zitat von scriptorius:

Hallo,

ich plane, mein Netzwerk zu Hause umzugestalten.
Ich habe einen Glasfaser-Anschluss (Deutsche Glasfaser).


3.4 VPN Wireguard konfigurieren
(> „Zugriff“ von außen auf den Nextcloud-Server)


Hallo,

also Hardwaremäßig klingt das doch gut. Der Markt ist halt groß und bietet dementsprechend viel Auswahl.
Bitte dran denken die Deutsche Glasfaser macht CGN. Heißt keine Portfreigabe ins Internet da der Anbieter ebenfalls ein NAT betreibt.

VG
René
Bitte warten ..
Mitglied: aqui
22.02.2020 um 18:07 Uhr
wegen dem Anbieter NAT
Autsch... Der Dativ ist dem Genitiv sein Tod !

Das ist aber ein generelles Provider Problem und hat mit der vom TO geplanten Hardware natürlich nichts zu tun.
Auch ein goldener Router mit Brillianten könnte die CGN Problematik nicht lösen... ;-) face-wink
Bitte warten ..
Mitglied: scriptorius
22.02.2020 um 18:49 Uhr
Vielen Dank für die Rückmeldungen.

Managementschnittstelle und multicast sind zwei Stichwörter mit denen ich mich noch intensiver beschäftigen muss (ja, ich habe auch den ein oder anderen Sonos Lautsprecher)

Ich denke für meinen Anwendungsfall reicht ein L2 switch.

Zur Zeit habe ich auf einem Intel Nuc DN2820FYKH
unter Debian einen Wireguard-VPN-Server eingerichtet. Das funktioniert recht gut.

Aber ich lese raus, dass ich grundsätzlich nicht völlig daneben liege und es riskieren kann, das "Projekt" mal anzugehen.
Ich hoffe, die Konfigurationsschwierigkeiten halten sich in Grenzen und der Schmerz wird relativ erträglich.
Bitte warten ..
Mitglied: aqui
LÖSUNG 22.02.2020, aktualisiert um 22:27 Uhr
sind zwei Stichwörter mit denen ich mich noch intensiver beschäftigen muss
Sind aber eher zweitrangig und kosmetisch für dein Vorhaben an sich.
unter Debian einen Wireguard-VPN-Server eingerichtet.
Ein Raspberry Pi 4 hätte das preiswerter genau so gut getan... ;-) face-wink
dass ich grundsätzlich nicht völlig daneben liege
Nein, eher liegst du voll auf der Spur ! Mit den Komponenten machst du alles richtig !
Ich hoffe, die Konfigurationsschwierigkeiten halten sich in Grenzen und der Schmerz wird relativ erträglich.
Mit den hiesigen Tutorials, wie immer, eine Lachnummer:
https://administrator.de/wissen/preiswerte-vpn-fähige-firewall-eige ...
https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...

Wenns das denn war
https://administrator.de/faq/32
Bitte warten ..
Mitglied: lcer00
22.02.2020 um 22:33 Uhr
Hallo,
Zitat von aqui:

sind zwei Stichwörter mit denen ich mich noch intensiver beschäftigen muss
Sind aber eher zweitrangig und kosmetisch für dein Vorhaben an sich.

Na ja, wenn das WLAN und das LAN für die SonosGeräte, die Handys und die PCs (die mit Sonos Conttoller drauf) im gleichen Subnetz liegen, ist es egal. Wenn nicht, wird es etwas kompliziert.

Grüße

lcer
Bitte warten ..
Mitglied: scriptorius
22.02.2020 um 23:49 Uhr
Ja, danke, für das erste war es das.
Wahrscheinlich werden sich noch einige Fragen auftun bei der Umsetzung.
Ich denke, dann werde ich hier gute Ansprechpartner finden.

Diesen Nuc hatte ich noch "übrig", eigentlich nicht mehr im Gebrauch, so ist seine Weiterverwertung auch nachhaltig.
Bitte warten ..
Mitglied: aqui
23.02.2020 um 08:29 Uhr
Wahrscheinlich werden sich noch einige Fragen auftun bei der Umsetzung.
Dafür gibts ja in der Tat dann das Forum hier... ;-) face-wink
Bitte warten ..
Mitglied: ichi1232
23.02.2020 um 12:27 Uhr
Zur Vorgehensweise:
1. Aufbau des Netzwerkes und Zusammenbau APU.2
2. Installation Opnsense auf APU.2

Vergiss' das s.g. Nullmodemkabel und ggf. den RS232 auf USB Adapter nicht.

Da die APU Headless, also ohne VGA Schnittstelle kommt. Das erspart dir ggf. einige Neuinstallationen falls du dich mal aussperrst.

Außerdem klappt die Installation dann ebenfalls headless, als alternative zu dd.
Bitte warten ..
Mitglied: scriptorius
23.02.2020 um 13:49 Uhr
Danke für den Tipp, das "Zubehör" kann man ja bei NRG Systems bequem mitbestellen.
Zum Zusammenbau und zur Installation gibt es auch ganz gute und ausführliche Anleitungen im Netz.

Spannend wird für mich die Konfiguration der Zonen und der Firewallregeln, da diese individuell angepasst sein müssen.

Grundsätzlich bin ich aber immer dankbar für jeden Tipp, denn für mich ist dies mehr oder weniger ein Hobby, manche Zusammenhänge werden mir erst beim konkreten ausprobieren klar.

Ich habe aber Lust darauf, mich damit zu beschäftigen, dabei werde ich eine Menge lernen.
Was ich hier vorhabe, sind natürlich absolute Grundlagen, das ist mir klar. Ich denke, die Möglichkeiten werden mit zunehmenden Wissen wachsen.

Ich möchte mich auch damit beschäftigen, weil bestimmt in absehbarer Zeit meine Fritzbox nicht mehr unterstützt wird. So bin ich ein wenig unabhängiger.
Bitte warten ..
Mitglied: aqui
24.02.2020 um 09:21 Uhr
gibt es auch ganz gute und ausführliche Anleitungen im Netz.
Warum in die Ferne schweifen ?? Gibts hier auch:
https://administrator.de/wissen/preiswerte-vpn-fähige-firewall-eige ...
Bitte warten ..
Mitglied: scriptorius
24.02.2020, aktualisiert um 11:01 Uhr
Ja, stimmt, die Anleitungen, die Du hier geschrieben hast, sind natürlich alle super gut und sehr hilfreich.
Diese werden auf jeden Fall meine Grundlage sein, Zusammenhänge verstehe ich dadurch viel besser.

Die Einstellungen der WAN- und LAN-Schnittstellen für einen Anschluss der Deutschen Glasfaser sind, wenn ich das richtig verstanden habe und an anderer Stelle gelesen habe, jedoch etwas speziell. Siehe >hier<

Und so werden ich wahrscheinlich (wie jedes mal, wenn ich versuche ein Vorhaben umzusetzen) aus verschiedenen Anleitungen mir meine Anleitung für meinen Anwendungsfall "zusammenbasteln" müssen.
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerke
Windows 10 - Netzwerk Speedlimit?
alwayshungryVor 1 TagFrageNetzwerke17 Kommentare

Hallo, ich bin noch neu hier und hoffe, dass ihr mir helfen könnt. Gibt es eine Limitierung für Windows 10 bei der Netzwerkgeschwindigkeit? Leider ...

DNS
Domain überkleben
IT-EinsteigerVor 1 TagFrageDNS3 Kommentare

Guten Morgen, Ich habe mir einen WebSpace angemietet. Dieser läuft bspw. über die Domain storage.dienstleister.de. Jetzt ist das kein schöner Name und ich hätte ...

Windows Server
Lizenzrecht Microsoft HILFE!!!!
gelöst tAmtAm44Vor 8 StundenFrageWindows Server25 Kommentare

Guten Abend liebe Community, ich bin vor kurzen bei uns in der Firma für den Vertrieb unsere MS Lizenzen auserwählt worden. Leider habe ich ...

Festplatten, SSD, Raid
WD RED PRO Festplatte als "Recertified" und "white" gelabelt
gelöst Torsten2010Vor 1 TagFrageFestplatten, SSD, Raid5 Kommentare

Hallo, ich wollte heute die Firmen QNAP Nas mit neuen Festplatten bestücken. Beim Auspacken fiel mir sofort auf, das die Festplatten weiß gelabelt sind ...

Groupware
Anfängerfrage zu Teams, wie kann ich mit einer externen Person chatten?
StefanKittelVor 1 TagFrageGroupware7 Kommentare

Hallo, ich habe mal eine Anfängerfrage zur MS Teams. Ich habe einen M365 Business Basic Account mit meiner Domäne. Ich habe einen User mit ...

Windows 10
Inaccessible boot device bei Windows 10
jensgebkenVor 1 TagFrageWindows 1013 Kommentare

Hallo Gemeinschaft, habe Probleme bei einem Windows 10 Pro PC beim Start - blue screen mit inaccessible boot device habe folgendes probiert - automatische ...

SAN, NAS, DAS
FritzBox NAS - Hochladen von großen Dateien geht nicht
emeriksVor 17 StundenFrageSAN, NAS, DAS14 Kommentare

Hi, (Habe die Kategorie "SAN, NAS, DAS" genommen, obwohl nicht 100% zutreffend.) Ich habe am Wochenende versucht bei einem Kumpel in der Ferne eine ...

Outlook & Mail
Outlook kann keine Verbindung mit dem Posteingangsserver (SMTP) herstellen
gerry56Vor 1 TagFrageOutlook & Mail11 Kommentare

Hallo! Seit der Mailserverumstellung habe ich Probleme mit dem versenden von E-Mails Die Situation ist folgende. Ich habe verschiedene E-Mailadressen, die ich für diverse ...