19
Bewertung Home Netzwerk
Hallo Community,
Ich bräuchte mal eure Meinung zum Aufbau meines aktuellen Netzwerkes. Aktuell verwende ich folgende:
Von der Aufteilung und Abgrenzung finde ich es eigentlich logisch, entspricht jedenfalls den wie ich trennen möchte - aber irgendwie sind es gefühlt schon eine Menge vlans.
Das erwähnte Management Netz macht irgendwie aus meiner Sicht wenig Sinn. Kann ich die Geräte nicht auch direkt in das LAN setzen?
Guest könnte ich wohl auch entfernen, da eher Spielerei. Machen mehrer Nette eigentlich einen Ubterschied in der Performance? Sind’s ja immerhin auch mehr Regeln zum Auswerten mehr Logs werden geschrieben usw.
Was meint ihr dazu?
Besten Dank.
Ich bräuchte mal eure Meinung zum Aufbau meines aktuellen Netzwerkes. Aktuell verwende ich folgende:
- WAN - logischer Weise nur für Internet
- LAN - physikalisches Netz - OPNsense, AdGuard, Unbound
- Management- vlan15- Switch und AccessPoints
- Data - vlan20 - Proxmox - virtuelle Server und Container mit diverse. Diensten
- Data_d - vlan21 - Container und vm zum testen
- Trust - vlan30 - Alle trusted Geräte wie PC, Notebooks, Smartphones - Erreichbar über WLAN SSIS Trust
- IoT - vlan40 - IoT devices like Alexa, Hue, Steckdosen etc. Erreichbar über WLAN SSIS IoT
- VPN - vlan50 - VPN Netzwelr für VPN Clients wenige Smartphones, Notebools
- Guest - vlan60 - Netzwerk für Besucher , Erreichbar über WLAN SSIS guest
Von der Aufteilung und Abgrenzung finde ich es eigentlich logisch, entspricht jedenfalls den wie ich trennen möchte - aber irgendwie sind es gefühlt schon eine Menge vlans.
Das erwähnte Management Netz macht irgendwie aus meiner Sicht wenig Sinn. Kann ich die Geräte nicht auch direkt in das LAN setzen?
Guest könnte ich wohl auch entfernen, da eher Spielerei. Machen mehrer Nette eigentlich einen Ubterschied in der Performance? Sind’s ja immerhin auch mehr Regeln zum Auswerten mehr Logs werden geschrieben usw.
Was meint ihr dazu?
Besten Dank.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5007804267
Url: https://administrator.de/contentid/5007804267
Printed on: April 26, 2024 at 05:04 o'clock
19 Comments
Latest comment
Es gibt nicht zu viele VLANs. Und dann kommt noch VxLAN.
Mgm VLAN für Hardware ist in VLAN1 meistens besser aufgehoben.
Mgm VLAN für Hardware ist in VLAN1 meistens besser aufgehoben.
1
Mahlzeit.
Es kommt ja auf die Hardware an, welche das Routing übernimmt.
Ein Raspberry Pi ist damit vielleicht überfordert, aber ein Eigenbau mit einem Core i3 oder einem Core i5 langweilt sich wahrscheinlich.
Es werden ja keine 30 Clients oder mehr bei dir zuhause aktiv sein.
Was ist denn die Basis, auf welcher deine OpnSense läuft?
Außerdem gilt was @2423392070 sagt
Wenn dir die Trennung zu lästig ist, würde dir ja eine Fritzbox mit einem unmanaged Switch reichen.
Gruß
Marc
Es kommt ja auf die Hardware an, welche das Routing übernimmt.
Ein Raspberry Pi ist damit vielleicht überfordert, aber ein Eigenbau mit einem Core i3 oder einem Core i5 langweilt sich wahrscheinlich.
Es werden ja keine 30 Clients oder mehr bei dir zuhause aktiv sein.
Was ist denn die Basis, auf welcher deine OpnSense läuft?
Außerdem gilt was @2423392070 sagt
Wenn dir die Trennung zu lästig ist, würde dir ja eine Fritzbox mit einem unmanaged Switch reichen.
Gruß
Marc
Achte bei der Firewall auf nen mdns-Reflector-Möglichkeit. Sonst wirst Du Dein Setup bereuen.
Es gibt nicht zu viele VLANs.
Jaja klar, in nem „Home Netzwerk“ π€
Soviel Arbeit für zuhause?
Hab nur n GAST WLAN und gut.
Jeden das Seine.
Hab nur n GAST WLAN und gut.
Jeden das Seine.
@netzer2021 ich halte es bei mir zuhause recht simpel, will mich ja nicht tot Administrieren:
ββββββββββββββββββββββββββββ
β β
β WAN / Internet (PPPoe) β
β Willy.tel β
β 1000/250Mbit/s Glasfaser β
β β
βββββββββββββββ¬βββββββββββββ
β β β β β β β βWANβ β β β β β β β β β β β β β β β β β β β βΌ β β β β β β β β β β β WAN β β β β β β β β β β β
β
β
ββββββββββββββββββ ββββββββββββββββββ ββββββββββββ©ββββββββββββ pfSense+ 22.05 βββ Stand: β β β
β β β Switch βββββββββ£ β β
β TrueNAS βββββ€ USW-Flex-XG β β Intel NUC BNUC11TNHV50L00β 23.09.2022 β
β β β ββββββ β LAN: 192.168.3.0/24β β
ββββββββββββββββββ ββββββββββ¬ββββββββ β β Gäste (W)LAN (VLAN33): 192.168.33.0/24β β β β β β β β
β β β IoT WLAN (VLAN34): 192.168.34.0/24β
ββββββββββ΄ββββββββ β β DynDNS über deSEC mit eigener Domainβ
β UBNT β β β VPN's:β
βEdgeSwitch 8 XP β β β 2 x Fritzbox (7490 & 6591) IPSecβ
β β β β 1 x OpenVPN Road Warrior (172.16.3.0/24)β
βββββ¬βββββββββββββ β β 1 x WireGuard Road Warriorβ
ββββββββββββββββββ β β β (172.16.33.0/24)β
β Fritzbox 7490 β β β βββββββββββββββββββββββββββββββββββββββββββ
β (Nur VoIP) βββββββββ€ β
β β β βββ΄βββββββββββββββ ββββββββββββββββββ ββββββββββββββββββ
ββββββββββββββββββ β β Switch β β Switch β β 1 x UBNT β
ββββββββββββββββββ β β USW-Flex-XG βββββββ€Netgear GS110TPPβββββ€UniFi AP-Flex-HDβ
β UBNT β β β β β β β β
βUniFi Cloud Key βββββββββ€ βββββββββ¬βββββββββ βββββββββββ¬βββββββ ββββββββββββββββββ
β β β β ββββββββββββββββββ β ββββββββββββββββββ
ββββββββββββββββββ β β β β β β β
ββββββββββββββββββ β ββββ€ Clients β ββββββββββββ€ Clients β
β 2 x UBNT β β β β β β
βUniFI AP AC Pro βββββββββ ββββββββββββββββββ ββββββββββββββββββ
β β
ββββββββββββββββββ
Geiler typ...
Danke für das Feedback. Zu den einzelnen Punkten:
- VLAN1 ist doch das Default vlan oder nicht?
- Clients tatsächlich an die 30, mit Proxmox eher 35, Clients im Sinne von Pc, Smartphone, Swtich, AP, LXC, VM , IoT devices....
- Meine OPNsense Hardware: Protectli 4 Port, Celeron J3160, 8GBRAM, 128GB SSD (CPU also nicht die Stärkste)
- Interessantes Netz, kann allerdings nicht alles nachvollziehen - anbei meine Skizze....nicht ganz aktuell
noch mal zu diesem Thema.
Ich könnte von der Protectli Hardware mit einem J3160 auf einen 5095 wechseln - der 5095 taktet auf 2 der Ryzen embedded auf 2,2 bringt auf dem Papier ein wenig Vorteile, der J3160 lediglich bei 1,6.
Beide haben RJ45 1GB Ports. In der Referenz für Leistung werden unter System-Performance ja noch einge Daten mehr angeben wie: Firewall throughput usw. woher bekomme ich die Daten für jede Hardware. CPU scheint mir anhand der Daten nicht so das Thema zu sein oder liege ich da falsch?
Ok, der Rayzen hat hyperthreating aber sonst? Ich würde auf meine FW gerne noch ein IPS (ja, IPS nicht nur IDS) und eine Virenscan engine einrichten. Was wäre da das beste? Auf was sollte ich achten?
Frage ist auch ein wenig: Solide Protectli Hardware gegen einen Amazon Plastik Bomber wechseln? Wegen scheinbar etwas mehr an CPU und DDR4 statt DDR3...
Ich könnte von der Protectli Hardware mit einem J3160 auf einen 5095 wechseln - der 5095 taktet auf 2 der Ryzen embedded auf 2,2 bringt auf dem Papier ein wenig Vorteile, der J3160 lediglich bei 1,6.
Beide haben RJ45 1GB Ports. In der Referenz für Leistung werden unter System-Performance ja noch einge Daten mehr angeben wie: Firewall throughput usw. woher bekomme ich die Daten für jede Hardware. CPU scheint mir anhand der Daten nicht so das Thema zu sein oder liege ich da falsch?
Ok, der Rayzen hat hyperthreating aber sonst? Ich würde auf meine FW gerne noch ein IPS (ja, IPS nicht nur IDS) und eine Virenscan engine einrichten. Was wäre da das beste? Auf was sollte ich achten?
Frage ist auch ein wenig: Solide Protectli Hardware gegen einen Amazon Plastik Bomber
wechseln? Wegen scheinbar etwas mehr an CPU und DDR4 statt DDR3...
Morschen.
Mehr ist immer besser für die Leistung. Deine Kiste hat genügend davon, allerdings, wenn du mit IPS abfängst, dann wird es schon etwas eng an der Stelle.
Da wären meiner Meinung nach eher die etwas stärkeren ProtecLi oder die IPU-Systeme oder ein Minis-Forum HM80 / HM90 besser geeignet.
Das würde deine jetzige Kiste schaffen, jedoch ohne IPS, würde ich schätzen.
Hier kannst du dir ein ungefähres Bild über CPU Leistung machen. Solche Benchmarks sind aber eher nur ein Richtungsweiser und nichts unheimlich Belastbares:
https://www.cpubenchmark.net/cpu_list.php
Gruß
Marc
Zitat von @netzer2021:
Frage ist auch ein wenig: Solide Protectli Hardware gegen einen Amazon Plastik Bomber face-smile wechseln? Wegen scheinbar etwas mehr an CPU und DDR4 statt DDR3...
Frage ist auch ein wenig: Solide Protectli Hardware gegen einen Amazon Plastik Bomber face-smile wechseln? Wegen scheinbar etwas mehr an CPU und DDR4 statt DDR3...
Mehr ist immer besser für die Leistung. Deine Kiste hat genügend davon, allerdings, wenn du mit IPS abfängst, dann wird es schon etwas eng an der Stelle.
Da wären meiner Meinung nach eher die etwas stärkeren ProtecLi oder die IPU-Systeme oder ein Minis-Forum HM80 / HM90 besser geeignet.
Clients tatsächlich an die 30, mit Proxmox eher 35, Clients im Sinne von Pc, Smartphone, Swtich, AP, LXC, VM , IoT devices....
Das würde deine jetzige Kiste schaffen, jedoch ohne IPS, würde ich schätzen.
Hier kannst du dir ein ungefähres Bild über CPU Leistung machen. Solche Benchmarks sind aber eher nur ein Richtungsweiser und nichts unheimlich Belastbares:
https://www.cpubenchmark.net/cpu_list.php
Gruß
Marc
Wenn Du sie eh hast, wirst Du doch wissen ob Dir die Leistung reicht oder nicht?! Und für was eigentlich?! Ich habs vielleicht überlesen aber welche WAN-Performance liefert der ISP überhaupt?
Bei mir werkelt gerade ein Atom DualCore und der schafft überraschend viel, wenn die Handbremsen gelöst sind (offloading). Bei IPS geht er aber auch in die Knie.
Bei mir werkelt gerade ein Atom DualCore und der schafft überraschend viel, wenn die Handbremsen gelöst sind (offloading). Bei IPS geht er aber auch in die Knie.
Naja das dann aber schon ein krasser Unterschied. Einen HM80 hatte ich gerade hier, ging aber wegen zu vieler technischer Mängel zurück. Hät ich mal warten sollen π
Ich denke nach der Beschreibung wäre der Unterschied zwischen einen j3160 und einen n5095 eher zu vernachlässigen.
Frage ist offen gesagt auch ein wenig, ob ein Virenscanner oder IPS überhaupt Sinn macht. Da will ich noch mal etwa investieren. Wäre aber irgendwie cool sowas zu haben (Need, Spielzeug π) wenn’s bezahlbar ist.
Ich tue mich gerade eher schwer damit zu bemessen welche CPU es denn bedarf. Oder anders bei viel Traffic kann eine cpu in welcher Zeit bearbeiten wenn es um IPS geht.? Was ist denn mit offloading / Handbremse gemeint?
Meine Leitung ist eine 500/50 MBits/s. An Traffic bisschen pille pale surfen und internen Traffic zum Home Server. Da würde ich das IPS nicht anwenden wollen sondern nur auf den wan Port. Für office kommt eben typisch viel Teams/Zoom etc hinzu….
Aktuell habe ich oft das Gefühl dass alles irgendwie langsam ist. Liegt wohl an unbound, adguard, noch nen ausblicket im Browser etc. die Unifi AP und Switch würde ich als „Fehlerquelle“ Mal ausschließen. Meine aktuelle Protectli hardware scheint sich aber auch zu langweilen, der ich meist eine Auslastung von dauerhaft unter 0,5 habe… (Werte aus OPNsense Dashboard). Die WebGui Performance ist auch so naja ok…aber das ist ja nicht Hauptaufgabe der Geräte
Ich denke nach der Beschreibung wäre der Unterschied zwischen einen j3160 und einen n5095 eher zu vernachlässigen.
Frage ist offen gesagt auch ein wenig, ob ein Virenscanner oder IPS überhaupt Sinn macht. Da will ich noch mal etwa investieren. Wäre aber irgendwie cool sowas zu haben (Need, Spielzeug π) wenn’s bezahlbar ist.
Ich tue mich gerade eher schwer damit zu bemessen welche CPU es denn bedarf. Oder anders bei viel Traffic kann eine cpu in welcher Zeit bearbeiten wenn es um IPS geht.? Was ist denn mit offloading / Handbremse gemeint?
Meine Leitung ist eine 500/50 MBits/s. An Traffic bisschen pille pale surfen und internen Traffic zum Home Server. Da würde ich das IPS nicht anwenden wollen sondern nur auf den wan Port. Für office kommt eben typisch viel Teams/Zoom etc hinzu….
Aktuell habe ich oft das Gefühl dass alles irgendwie langsam ist. Liegt wohl an unbound, adguard, noch nen ausblicket im Browser etc. die Unifi AP und Switch würde ich als „Fehlerquelle“ Mal ausschließen. Meine aktuelle Protectli hardware scheint sich aber auch zu langweilen, der ich meist eine Auslastung von dauerhaft unter 0,5 habe… (Werte aus OPNsense Dashboard). Die WebGui Performance ist auch so naja ok…aber das ist ja nicht Hauptaufgabe der Geräte
Interfaces > Settings: Der obere Block!
Ich habe selber ne 1 Gbit/s Leitung (down) und mir schmerzt das Auge, wenn ich sehe, wie die – außerhalb meiner Performance-Tests – brachliegt. Hatte das damals nur gebucht, weil ich nen günstigen 50 Mbit/s Upload für die Backups suchte.
Finde es deshalb eher befremdlich, was manche Leute an HW auffahren für ihren lächerlichen FW-Durchsatz.
Aber soll jeder machen wie er fluffig ist.
Ich habe selber ne 1 Gbit/s Leitung (down) und mir schmerzt das Auge, wenn ich sehe, wie die – außerhalb meiner Performance-Tests – brachliegt. Hatte das damals nur gebucht, weil ich nen günstigen 50 Mbit/s Upload für die Backups suchte.
Finde es deshalb eher befremdlich, was manche Leute an HW auffahren für ihren lächerlichen FW-Durchsatz.
Aber soll jeder machen wie er fluffig ist.
Zum Thema offloading: Bei mir stehen die Settings auf Grund von ZenArmor gerade alle auf disabled - meist du das?
Zum Thema offloading: Bei mir stehen die Settings auf Grund von ZenArmor gerade alle auf disabled - meist du das?
Quote from @Visucius:
Interfaces > Settings: Der obere Block!
Ich habe selber ne 1 Gbit/s Leitung (down) und mir schmerzt das Auge, wenn ich sehe, wie die – außerhalb meiner Performance-Tests – brachliegt. Hatte das damals nur gebucht, weil ich nen günstigen 50 Mbit/s Upload für die Backups suchte.
Finde es deshalb eher befremdlich, was manche Leute an HW auffahren für ihren lächerlichen FW-Durchsatz.
Aber soll jeder machen wie er fluffig ist.
Interfaces > Settings: Der obere Block!
Ich habe selber ne 1 Gbit/s Leitung (down) und mir schmerzt das Auge, wenn ich sehe, wie die – außerhalb meiner Performance-Tests – brachliegt. Hatte das damals nur gebucht, weil ich nen günstigen 50 Mbit/s Upload für die Backups suchte.
Finde es deshalb eher befremdlich, was manche Leute an HW auffahren für ihren lächerlichen FW-Durchsatz.
Aber soll jeder machen wie er fluffig ist.
Zum Thema offloading: Bei mir stehen die Settings auf Grund von ZenArmor gerade alle auf disabled - meist du das?
Du meinst "disabled" ist angehakelt?! Das scheint der Standard zu sein. ich habe die bei mir einfach mal ausgehakelt und dann neu gestartet.
Und dann ging es Spende schneller? Ich kann leider nicht wirklich beurteilen was im Detail die Settings eigentlich machen.
Bei mir gab es tatsächlich einen gefühlten boost als ich meine DNS Strecke geändert gabe (Siege anderer Threat)
Bei mir gab es tatsächlich einen gefühlten boost als ich meine DNS Strecke geändert gabe (Siege anderer Threat)
Bei meinen - doch sehr betagten - Atom-Prozessoren aus 2013 stieg die WAN-Bandbreite deutlich. Wenn ich das richtig erinner von rund 200 Mbit auf über 700 Mbit/s. Hängt natürlich auch von den restlichen Konfigurationen ab
Wie hast du das gemessen?
Mit verschiedenen Online-Diensten: Fast.com, Testmy.net, compterbild, usw.
Ich hab (noch) Kabel mit 1000/50 Mbit/s, die im OPNsense-Default-Setup mit ipv4-NAT auch erzielbar waren. Mit einigen aktivierten Spielereien brach das dann aber deutlich ein π
Ich hab (noch) Kabel mit 1000/50 Mbit/s, die im OPNsense-Default-Setup mit ipv4-NAT auch erzielbar waren. Mit einigen aktivierten Spielereien brach das dann aber deutlich ein π
