5
Heimnetz mit Zyxel Switches, VLANs, OPNsense als Firewall u Router
Hallo zusammen,
ich möchte mein Heimnetzwerk anpassen, um mehr Erfahrung im Umgang mit VLANs/Routing/Firewalls zu bekommen.
Guides habe ich hier, bei schulnetz.info/networkacademy.io gelesen.
Entgegen der Zeichnung werde ich wohl eine Fritzbox 7590 als Internetmodem weiter verwenden, da ich bisher keine Lösung für die Decttelefonie gefunden habe.
Aus der Zeichnung geht nicht hervor, dass die Wifi-AP als tagged link verbunden wären um zwei SSIDs anzubieten.
Ergibt das soweit Sinn oder ist das Kokolores?
ich möchte mein Heimnetzwerk anpassen, um mehr Erfahrung im Umgang mit VLANs/Routing/Firewalls zu bekommen.
Guides habe ich hier, bei schulnetz.info/networkacademy.io gelesen.
Entgegen der Zeichnung werde ich wohl eine Fritzbox 7590 als Internetmodem weiter verwenden, da ich bisher keine Lösung für die Decttelefonie gefunden habe.
Aus der Zeichnung geht nicht hervor, dass die Wifi-AP als tagged link verbunden wären um zwei SSIDs anzubieten.
Ergibt das soweit Sinn oder ist das Kokolores?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 51113170744
Url: https://administrator.de/contentid/51113170744
Printed on: June 20, 2024 at 12:06 o'clock
5 Comments
Latest comment
Hallo,
Und nie vergessen: Trotz vielfältigster und wildester Thesen dazu braucht VoIP keinerlei Ports, die von außen geöffnet werden. Du musst also nichts (von WAN zu LAN) DST-NATen. Lediglich Freigaben für SIP 5060 und die RTP-Range der Fritzbox müssen (von LAN zu WAN) erlaubt werden.
Der Rest ist fein. Nur die Leitung zum Modem ist IMO nicht korrekt mit "Trunk" bezeichnet. Aber das ist Kosmetik.
Ich nehme mal an, Du hast die Zyxel-Hardware schon, deshalb sage ich dazu lieber nichts.
Viel Spaß beim Umsetzen!
Viele Grüße, commodity
werde ich wohl eine Fritzbox 7590 als Internetmodem weiter verwenden, da ich bisher keine Lösung für die Decttelefonie gefunden habe.
Das ist schon malKokolores
Damit steht die Telefonie im Koppelnetz (faktisch DMZ) vor der Firewall. Wenn Du die Fritzbox für Telefonie nutzen willst, stellst Du sie hinter die OPNsense, vorzugsweise in ein Telefonie-VLAN (kein Muss). Wenn es etwas mehr Telefonie sein darf: FreePBX auf einer VM ist Dein Freund.Und nie vergessen: Trotz vielfältigster und wildester Thesen dazu braucht VoIP keinerlei Ports, die von außen geöffnet werden. Du musst also nichts (von WAN zu LAN) DST-NATen. Lediglich Freigaben für SIP 5060 und die RTP-Range der Fritzbox müssen (von LAN zu WAN) erlaubt werden.
Der Rest ist fein. Nur die Leitung zum Modem ist IMO nicht korrekt mit "Trunk" bezeichnet. Aber das ist Kosmetik.
Ich nehme mal an, Du hast die Zyxel-Hardware schon, deshalb sage ich dazu lieber nichts.
Viel Spaß beim Umsetzen!
Viele Grüße, commodity
2
Guten Morgen, vielen Dank für die Rückmeldung. Aktuell habe ich nur die Fritzbox und einen Mini PC für die Firewall. Die Zxyel Produkte hatte mir rausgesicht, da sie 2g5 bieten und dafür recht preiswert wären.
Danke für den Hinweis, das schaue ich mir mal genauer an
Danke für die Aufklärung. Das lese ich mir auch noch genauer durch.
Quote from @commodity:
Damit steht die Telefonie im Koppelnetz (faktisch DMZ) vor der Firewall. Wenn Du die Fritzbox für Telefonie nutzen willst, stellst Du sie hinter die OPNsense, vorzugsweise in ein Telefonie-VLAN (kein Muss). Wenn es etwas mehr Telefonie sein darf: FreePBX auf einer VM ist Dein Freund.
Damit steht die Telefonie im Koppelnetz (faktisch DMZ) vor der Firewall. Wenn Du die Fritzbox für Telefonie nutzen willst, stellst Du sie hinter die OPNsense, vorzugsweise in ein Telefonie-VLAN (kein Muss). Wenn es etwas mehr Telefonie sein darf: FreePBX auf einer VM ist Dein Freund.
Danke für den Hinweis, das schaue ich mir mal genauer an
Und nie vergessen: Trotz vielfältigster und wildester Thesen dazu braucht VoIP keinerlei Ports, die von außen geöffnet werden. Du musst also nichts (von WAN zu LAN) DST-NATen. Lediglich Freigaben für SIP 5060 und die RTP-Range der Fritzbox müssen (von LAN zu WAN) erlaubt werden.
Danke für die Aufklärung. Das lese ich mir auch noch genauer durch.
Guides habe ich hier, bei schulnetz.info/networkacademy.io gelesen.
Hoffentlich hast du auch den wichtigen Guide zu der Thematik hier bei Administrator.de gelesen und vor allem verstanden?! 🤔VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Alles zum Thema Link Aggregation (Trunk) findest du hier:
Link Aggregation (LAG) im Netzwerk
Nebenbei:
Kollege @commodity hat oben ja schon alles dazu gesagt... Die Fritzbox supportet schon seit langer Zeit NICHT mehr den Betrieb als reines Modem wie reine NUR Modems ala Vigor 165/167 oder Zyxel VMG3006 usw. Sie kann also nicht mehr als "Internetmodem" verwendet werden sondern nur noch als Router.
Das einzige was sie kann ist ein PPPoE Passthrough (Forwarding) so das man PPPoE Frames einer dahinter kaskadierten Firewall wie z.B. pfSense oder OPNsense oder eines Routers an den Provider weiterleiten kann.
Es macht also Sinn genau so wie du es in deiner Zeichnung oben schon angegeben hast die Firewall mit einem NUR Modem direkt an den Provider zu koppeln und die FB als reine VoIP Telefonanlage nur intern als "IP Host" zu betreiben.
1
Hallo aqui, danke für den Kommentar. Ob ich die Konzepte vollständig verstanden habe bezweifel ich. Darum aber auch die Umsetzung, das Ausprobieren und: Deine Tutorials (fiel unter das "hier") habe ich aus zeitgründen überwiegend überflogen, den verlinken sogar vollständig gelesen. Ich muss mich bei den Tutorials noch orientieren.
Ob ich die Konzepte vollständig verstanden habe bezweifel ich.
Deine ansonsten fachlich gute und richtige Zeichnung einer VLAN Segmentierung von oben lässt eher das Gegenteil vermuten...aber nundenn.Die Tutorials, insbesondere das bebilderte VLAN Tutorial, sind sehr einfach gehalten so das auch Laien sie problemlos verstehen. Allerdings sollte man sich dann schon die Zeit nehmen und sie genau lesen und nicht nur überfliegen. Ganz besonders wenn man meint selber nicht ganz sattelfest zu sein.
1