149680
Goto Top

Bewertung Home Netzwerk

Hallo Community,

Ich bräuchte mal eure Meinung zum Aufbau meines aktuellen Netzwerkes. Aktuell verwende ich folgende:

  • WAN - logischer Weise nur für Internet
  • LAN - physikalisches Netz - OPNsense, AdGuard, Unbound
  • Management- vlan15- Switch und AccessPoints
  • Data - vlan20 - Proxmox - virtuelle Server und Container mit diverse. Diensten
  • Data_d - vlan21 - Container und vm zum testen
  • Trust - vlan30 - Alle trusted Geräte wie PC, Notebooks, Smartphones - Erreichbar über WLAN SSIS Trust
  • IoT - vlan40 - IoT devices like Alexa, Hue, Steckdosen etc. Erreichbar über WLAN SSIS IoT
  • VPN - vlan50 - VPN Netzwelr für VPN Clients wenige Smartphones, Notebools
  • Guest - vlan60 - Netzwerk für Besucher , Erreichbar über WLAN SSIS guest

Von der Aufteilung und Abgrenzung finde ich es eigentlich logisch, entspricht jedenfalls den wie ich trennen möchte - aber irgendwie sind es gefühlt schon eine Menge vlans.
Das erwähnte Management Netz macht irgendwie aus meiner Sicht wenig Sinn. Kann ich die Geräte nicht auch direkt in das LAN setzen?
Guest könnte ich wohl auch entfernen, da eher Spielerei. Machen mehrer Nette eigentlich einen Ubterschied in der Performance? Sind’s ja immerhin auch mehr Regeln zum Auswerten mehr Logs werden geschrieben usw.

Was meint ihr dazu?

Besten Dank.

Content-ID: 5007804267

Url: https://administrator.de/contentid/5007804267

Printed on: October 16, 2024 at 00:10 o'clock

2423392070
2423392070 Dec 18, 2022 at 14:32:06 (UTC)
Goto Top
Es gibt nicht zu viele VLANs. Und dann kommt noch VxLAN.
Mgm VLAN für Hardware ist in VLAN1 meistens besser aufgehoben.
radiogugu
radiogugu Dec 18, 2022 at 15:01:42 (UTC)
Goto Top
Mahlzeit.

Es kommt ja auf die Hardware an, welche das Routing übernimmt.

Ein Raspberry Pi ist damit vielleicht überfordert, aber ein Eigenbau mit einem Core i3 oder einem Core i5 langweilt sich wahrscheinlich.

Es werden ja keine 30 Clients oder mehr bei dir zuhause aktiv sein.

Was ist denn die Basis, auf welcher deine OpnSense läuft?

Außerdem gilt was @2423392070 sagt face-smile

Wenn dir die Trennung zu lästig ist, würde dir ja eine Fritzbox mit einem unmanaged Switch reichen.

Gruß
Marc
Visucius
Visucius Dec 19, 2022 at 08:01:52 (UTC)
Goto Top
Achte bei der Firewall auf nen mdns-Reflector-Möglichkeit. Sonst wirst Du Dein Setup bereuen.

Es gibt nicht zu viele VLANs.
Jaja klar, in nem „Home Netzwerk“ 🀭
ElCativoGER
ElCativoGER Dec 19, 2022 at 09:03:17 (UTC)
Goto Top
Soviel Arbeit für zuhause?
Hab nur n GAST WLAN und gut.

Jeden das Seine. face-smile
micneu
micneu Dec 19, 2022 at 17:44:59 (UTC)
Goto Top
@149680 ich halte es bei mir zuhause recht simpel, will mich ja nicht tot Administrieren:
                                            β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”
                                            β”‚                          β”‚
                                            β”‚  WAN / Internet (PPPoe)  β”‚
                                            β”‚        Willy.tel         β”‚
                                            β”‚ 1000/250Mbit/s Glasfaser β”‚
                                            β”‚                          β”‚
                                            β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜
─ ─ ─ ─ ─ ─ ─ ─WAN─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ β”Ό ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ WAN ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─
                                                          β”‚
                                                          β”‚
 β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”   β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”       ╔══════════╩════════════ pfSense+ 22.05 ══╗    Stand: ─ ─ ┐
 β”‚                β”‚   β”‚     Switch     β”œβ”€β”€β”€β”€β”€β”€β”€β•£                                         β•‘  β”‚
 β”‚    TrueNAS     β”œβ”€β”€β”€β”€  USW-Flex-XG   β”‚       β•‘                Intel NUC BNUC11TNHV50L00β•‘    23.09.2022 β”‚
 β”‚                β”‚   β”‚                β”œβ”€β”€β”€β”€β”  β•‘                      LAN: 192.168.3.0/24β•‘  β”‚
 β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜   β””β”€β”€β”€β”€β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”€β”€β”€β”˜    β”‚  β•‘   Gäste (W)LAN (VLAN33): 192.168.33.0/24β•‘   ─ ─ ─ ─ ─ ─ β”˜
                               β”‚            β”‚  β•‘       IoT WLAN (VLAN34): 192.168.34.0/24β•‘
                      β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”΄β”€β”€β”€β”€β”€β”€β”€β”    β”‚  β•‘     DynDNS über deSEC mit eigener Domainβ•‘
                      β”‚      UBNT      β”‚    β”‚  β•‘                                   VPN's:β•‘  
                      β”‚EdgeSwitch 8 XP β”‚    β”‚  β•‘         2 x Fritzbox (7490 & 6591) IPSecβ•‘
                      β”‚                β”‚    β”‚  β•‘ 1 x OpenVPN Road Warrior (172.16.3.0/24)β•‘
                      β””β”€β”€β”€β”¬β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜    β”‚  β•‘               1 x WireGuard Road Warriorβ•‘
 β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”       β”‚                 β”‚  β•‘                         (172.16.33.0/24)β•‘
 β”‚ Fritzbox 7490  β”‚       β”‚                 β”‚  β•šβ•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•β•
 β”‚   (Nur VoIP)   β”œβ”€β”€β”€β”€β”€β”€β”€β”€                 β”‚
 β”‚                β”‚       β”‚               β”Œβ”€β”΄β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”     β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”   β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”
 β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜       β”‚               β”‚     Switch     β”‚     β”‚     Switch     β”‚   β”‚    1 x UBNT    β”‚
 β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”       β”‚               β”‚  USW-Flex-XG   β”œβ”€β”€β”€β”€β”€β”€Netgear GS110TPPβ”œβ”€β”€β”€β”€UniFi AP-Flex-HDβ”‚
 β”‚      UBNT      β”‚       β”‚               β”‚                β”‚     β”‚                β”‚   β”‚                β”‚
 β”‚UniFi Cloud Key β”œβ”€β”€β”€β”€β”€β”€β”€β”€               β””β”€β”€β”€β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”€β”€β”€β”€β”˜     β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”€β”€β”˜   β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜
 β”‚                β”‚       β”‚                       β”‚  β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”    β”‚          β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”
 β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜       β”‚                       β”‚  β”‚                β”‚    β”‚          β”‚                β”‚
 β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”       β”‚                       └───    Clients     β”‚    └───────────    Clients     β”‚
 β”‚    2 x UBNT    β”‚       β”‚                          β”‚                β”‚               β”‚                β”‚
 β”‚UniFI AP AC Pro β”œβ”€β”€β”€β”€β”€β”€β”€β”˜                          β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜               β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜
 β”‚                β”‚
 β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜
ElCativoGER
ElCativoGER Dec 20, 2022 at 10:17:54 (UTC)
Goto Top
Geiler typ...
149680
149680 Dec 21, 2022 updated at 21:17:17 (UTC)
Goto Top
Danke für das Feedback. Zu den einzelnen Punkten:

  • VLAN1 ist doch das Default vlan oder nicht?
  • Clients tatsächlich an die 30, mit Proxmox eher 35, Clients im Sinne von Pc, Smartphone, Swtich, AP, LXC, VM , IoT devices....
  • Meine OPNsense Hardware: Protectli 4 Port, Celeron J3160, 8GBRAM, 128GB SSD (CPU also nicht die Stärkste)
  • Interessantes Netz, kann allerdings nicht alles nachvollziehen - anbei meine Skizze....nicht ganz aktuell
netzwerk
149680
149680 Feb 07, 2023 updated at 21:31:14 (UTC)
Goto Top
noch mal zu diesem Thema.

Ich könnte von der Protectli Hardware mit einem J3160 auf einen 5095 wechseln - der 5095 taktet auf 2 der Ryzen embedded auf 2,2 bringt auf dem Papier ein wenig Vorteile, der J3160 lediglich bei 1,6.

Beide haben RJ45 1GB Ports. In der Referenz für Leistung werden unter System-Performance ja noch einge Daten mehr angeben wie: Firewall throughput usw. woher bekomme ich die Daten für jede Hardware. CPU scheint mir anhand der Daten nicht so das Thema zu sein oder liege ich da falsch?

Ok, der Rayzen hat hyperthreating aber sonst? Ich würde auf meine FW gerne noch ein IPS (ja, IPS nicht nur IDS) und eine Virenscan engine einrichten. Was wäre da das beste? Auf was sollte ich achten?

Frage ist auch ein wenig: Solide Protectli Hardware gegen einen Amazon Plastik Bomber face-smile wechseln? Wegen scheinbar etwas mehr an CPU und DDR4 statt DDR3...
radiogugu
radiogugu Feb 08, 2023 at 06:15:40 (UTC)
Goto Top
Morschen.

Zitat von @149680:
Frage ist auch ein wenig: Solide Protectli Hardware gegen einen Amazon Plastik Bomber face-smile wechseln? Wegen scheinbar etwas mehr an CPU und DDR4 statt DDR3...

Mehr ist immer besser für die Leistung. Deine Kiste hat genügend davon, allerdings, wenn du mit IPS abfängst, dann wird es schon etwas eng an der Stelle.

Da wären meiner Meinung nach eher die etwas stärkeren ProtecLi oder die IPU-Systeme oder ein Minis-Forum HM80 / HM90 besser geeignet.

Clients tatsächlich an die 30, mit Proxmox eher 35, Clients im Sinne von Pc, Smartphone, Swtich, AP, LXC, VM , IoT devices....

Das würde deine jetzige Kiste schaffen, jedoch ohne IPS, würde ich schätzen.

Hier kannst du dir ein ungefähres Bild über CPU Leistung machen. Solche Benchmarks sind aber eher nur ein Richtungsweiser und nichts unheimlich Belastbares:

https://www.cpubenchmark.net/cpu_list.php

Gruß
Marc
Visucius
Visucius Feb 08, 2023 at 07:14:11 (UTC)
Goto Top
Wenn Du sie eh hast, wirst Du doch wissen ob Dir die Leistung reicht oder nicht?! Und für was eigentlich?! Ich habs vielleicht überlesen aber welche WAN-Performance liefert der ISP überhaupt?

Bei mir werkelt gerade ein Atom DualCore und der schafft überraschend viel, wenn die Handbremsen gelöst sind (offloading). Bei IPS geht er aber auch in die Knie.
149680
149680 Feb 08, 2023 at 21:45:21 (UTC)
Goto Top
Naja das dann aber schon ein krasser Unterschied. Einen HM80 hatte ich gerade hier, ging aber wegen zu vieler technischer Mängel zurück. Hät ich mal warten sollen πŸ˜‰
Ich denke nach der Beschreibung wäre der Unterschied zwischen einen j3160 und einen n5095 eher zu vernachlässigen.

Frage ist offen gesagt auch ein wenig, ob ein Virenscanner oder IPS überhaupt Sinn macht. Da will ich noch mal etwa investieren. Wäre aber irgendwie cool sowas zu haben (Need, Spielzeug πŸ˜‰) wenn’s bezahlbar ist.

Ich tue mich gerade eher schwer damit zu bemessen welche CPU es denn bedarf. Oder anders bei viel Traffic kann eine cpu in welcher Zeit bearbeiten wenn es um IPS geht.? Was ist denn mit offloading / Handbremse gemeint?

Meine Leitung ist eine 500/50 MBits/s. An Traffic bisschen pille pale surfen und internen Traffic zum Home Server. Da würde ich das IPS nicht anwenden wollen sondern nur auf den wan Port. Für office kommt eben typisch viel Teams/Zoom etc hinzu….

Aktuell habe ich oft das Gefühl dass alles irgendwie langsam ist. Liegt wohl an unbound, adguard, noch nen ausblicket im Browser etc. die Unifi AP und Switch würde ich als „Fehlerquelle“ Mal ausschließen. Meine aktuelle Protectli hardware scheint sich aber auch zu langweilen, der ich meist eine Auslastung von dauerhaft unter 0,5 habe… (Werte aus OPNsense Dashboard). Die WebGui Performance ist auch so naja ok…aber das ist ja nicht Hauptaufgabe der Geräte
Visucius
Visucius Feb 09, 2023 at 09:47:16 (UTC)
Goto Top
Interfaces > Settings: Der obere Block!

Ich habe selber ne 1 Gbit/s Leitung (down) und mir schmerzt das Auge, wenn ich sehe, wie die – außerhalb meiner Performance-Tests – brachliegt. Hatte das damals nur gebucht, weil ich nen günstigen 50 Mbit/s Upload für die Backups suchte.

Finde es deshalb eher befremdlich, was manche Leute an HW auffahren für ihren lächerlichen FW-Durchsatz.

Aber soll jeder machen wie er fluffig ist.
149680
149680 Feb 17, 2023 at 22:28:33 (UTC)
Goto Top
Zum Thema offloading: Bei mir stehen die Settings auf Grund von ZenArmor gerade alle auf disabled - meist du das?
Quote from @Visucius:

Interfaces > Settings: Der obere Block!

Ich habe selber ne 1 Gbit/s Leitung (down) und mir schmerzt das Auge, wenn ich sehe, wie die – außerhalb meiner Performance-Tests – brachliegt. Hatte das damals nur gebucht, weil ich nen günstigen 50 Mbit/s Upload für die Backups suchte.

Finde es deshalb eher befremdlich, was manche Leute an HW auffahren für ihren lächerlichen FW-Durchsatz.

Aber soll jeder machen wie er fluffig ist.

Zum Thema offloading: Bei mir stehen die Settings auf Grund von ZenArmor gerade alle auf disabled - meist du das?
Visucius
Visucius Feb 18, 2023 at 16:16:37 (UTC)
Goto Top
Du meinst "disabled" ist angehakelt?! Das scheint der Standard zu sein. ich habe die bei mir einfach mal ausgehakelt und dann neu gestartet.
149680
149680 Feb 18, 2023 at 19:28:35 (UTC)
Goto Top
Und dann ging es Spende schneller? Ich kann leider nicht wirklich beurteilen was im Detail die Settings eigentlich machen.

Bei mir gab es tatsächlich einen gefühlten boost als ich meine DNS Strecke geändert gabe (Siege anderer Threat)
Visucius
Visucius Feb 18, 2023 at 20:04:33 (UTC)
Goto Top
Bei meinen - doch sehr betagten - Atom-Prozessoren aus 2013 stieg die WAN-Bandbreite deutlich. Wenn ich das richtig erinner von rund 200 Mbit auf über 700 Mbit/s. Hängt natürlich auch von den restlichen Konfigurationen ab
149680
149680 Feb 18, 2023 at 20:09:32 (UTC)
Goto Top
Wie hast du das gemessen?
Visucius
Visucius Feb 18, 2023 updated at 20:26:45 (UTC)
Goto Top
Mit verschiedenen Online-Diensten: Fast.com, Testmy.net, compterbild, usw.

Ich hab (noch) Kabel mit 1000/50 Mbit/s, die im OPNsense-Default-Setup mit ipv4-NAT auch erzielbar waren. Mit einigen aktivierten Spielereien brach das dann aber deutlich ein 😏