the.other
Goto Top

Hilfe bei Entscheidungsfindung: Consumer-Router oder OPNsense?

Moin,
ich bin ganz neu hier und wollte erstmal ein freundlich-unbedarftes MOIN (für Süddeutsche:hallo) in die Runde werfen.
Ich selber bin kein IT-Profi, vermutlich reicht es nicht mal ganz für die Amateur-Liga. Ich benutze seit ca 3-4 Jahren ubuntu, pflege mein consumer-friendly Synology NAS und habe beruflich mit IT nur als Endanwender zu tun.

Meine Frage bezieht sich auch den Umbau meines Heimnetzes. Hier habe ich eine Fritzbox 7490 als Router im Keller bei VDSL, daran angeschlossen ein PC für den Alltag, eine alte Fritzbox als AP im 1. Stock und eine weitere (kaskadierte) Fritzbox 4040 unter dem Dach. Am AP hängt das Gastnetz und darin auch der smartTV, im heimischen WLAN dann eben 2 Smartphones, tablet, Internetradio, AV-Receiver, eine SONOS Box (mit eigenem aufgespanntem Netzbereich) und PS4. Per LAN an den AP angeschlossen noch das NAS und ein raspi mit stubby und pi-hole. Die kaskadierte Fritzbox unterm Dach bedient einen 2. PC für homebanking und ein 2. NAS. Telefon läuft über Telekom VOIP-Anschluss...

Mit dem smartphone nutze ich vpn zur Einwahl ins Heimnetz per IPsec über Fritzbox oder bei gesperrten öffentlichen Zugängen per 443 auf dem VPN Server des NAS. Dies immer mal wieder, auch zur Synchronisaion von Kalenderdaten (caldav) und carddav für Addressen sowie für das Verschieben von Fotos und Notizen auf das NAS.

Weil mir aber a) die Konfiigurationsmöglichkeiten der Fritz im Keller für VPN zu schmal ist und die Lösng via NAS zu gehen zu unsicher (Portweiterleitung erforderlich) such ich seit einigen Wochen Infos über einen Umbau des Heimnetzes.
Zunächst habe ich mich bei anderen Routerherstellern ungesehen und bin da über Draytek gestolpert, die in anderen Foren als deutliche Verbesserung zur Fritz empfohlen wurden, gerade auch die Performance bei Konfiguration und eben VPN (opn vpn fähig). Dann, wie es eben immer im NEtz zugeht, bin ich über pfsense und dann OPNsense gestolpert.

So, nach dem Roman zur Erklärung des IST nun endlich zu meinen konkreten Fragen:
1. ich bin wie gesagt kein IT Spezi, haltet ihr grundsätzlich die Idee, mich an sowas komplexes wie OPNsense zu wagen für völlig irre bzw. größenwahnsinnig?
Ich bin durchaus willens und in der Vergangenheit auch in der Lage gewesen, mir neues anzueignen (ssh mit eigenen private/publickey auth, eigene Zertifikate mit openssl, in ubuntu und terminal eingefrickelt). Ich bin aber eben kein Netzprofi und vieles werde ich erst grundlegend verstehen und lernen müssen. Wichtig: Lust und Motivation habe ich

2. macht der Aufwand aus euren Augen überhaupt Sinn oder ist das so gaga und kompliziet, dass (bis auf den Lerneffekt) davon abzuraten ist?? Neben Mühe, Schweiß und Tränen entstehen ja schließlich auch Kosten für Appliances, ggf Switch (möchte auch VLAN ausprobieren) und ggf neuen AP (gerne dann mit multi-ssid zur Abgrenzung mehrerer WLAN-Netze.

Wunsch (wenn auch vermutlich völlig überdimensioniert): weg von zwei Routern und Kaskade. Ein Router mit Firewall und ein AP. Das Netzwerk sollte dann mindestens 4 VLANs umfassen (1 x admin, 1 x Heimnetz, 1 x homebanking 1 x Gäste und ja ggf. 1 x IoTs). VPN soll gehen via ssl-vpn, damit ich jederzeit Zugriff habe, in letzter Zeit sind die üblichen anderen Ports oft gesperrt gewesen in fremden WLANs...


So, sorry, für den langen Text, aber ich wollte euch ein möglichst komplettes Bild malen. Ich bin für alle konstruktiven Antworten echt dankbar, auch ein einfaches "LASS ES LIEBER" ist okay...

Grüßle
th30ther

Content-Key: 398288

Url: https://administrator.de/contentid/398288

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: orcape
Lösung orcape 15.01.2019 um 18:48:22 Uhr
Goto Top
Hi th30ther,
nun, eigentlich erübrigt sich Deine Frage nach Consumer Router oder OPNSense, denn Consumer Router hast Du ja bereits.
So wie das aussieht, solltest Du denn alles so selbst in die Reihe bekommen haben, was Dein derzeitiges Netz betrifft, spricht also nichts gegen OPNSense oder pfSense.
Die Frage ist immer, welchen finanziellen und zeitlichen Aufwand Du investieren willst.
Anleitungen, um eine pfSense oder OPNSense auf einem APU-Board als Firewall hinter Deiner Fritte/Modem zu platzieren, findest Du hier im Forum.
Dazu hat @aqui hier einige Anleitungen hinterlassen, die auch einem Nicht-ITler probemlos weiterhelfen.
Gruß orcape
Mitglied: aqui
Lösung aqui 15.01.2019 um 18:51:40 Uhr
Goto Top
1.)
Wer stubby und pi-hole im Griff hat muss sich und sein Wissen nicht kleinreden. Dann ist für dich pfSense ein Kinderspiel ! Das wirst du problemlos meistern.
2.)
Nein macht Sinn. Dein Netz ist ja in gewissen Grenzen schon segmentiert, man liest zwischen den Zeilen das Sicherheit ein Punkt ist und allein schon um den Smart TV am "nach hause telefonieren" zu hintern macht es schon Sinn face-wink
3.)
Wünsche lassen sich alle problemlos umsetzen.
Fazit: Go for it !

Startunterlagen und die weiteren ToDos findest du wie immer hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mitglied: the.other
the.other 15.01.2019 um 18:54:20 Uhr
Goto Top
moin, ja die Anleitungen (opnsense, vlan, vpn) von aqui habe ich am Wochenende mehrfach gelesen (und nein, noch nicht wirklich voll verstanden). seitdem bin ich ja einerseits so begeistert von der Idee, andererseits erstarre ich aber eben auch in Ehrfurcht und aqui ist seitdem sowas wie der Gandalf / Yoda des IT für mich, also was das Wissen und die Weisheit angehen, ich hoffe für ihn, dass sein Aussehen doch etwas anders ist face-smile
(an dieser stelle herzlichen Dank dafür!!!)
Ja, alles selber gemacht, natürlich mit vielen Forenbeiträgen und Anleitungen zusammengesammelt...aber deine Antwort macht ein wenig Mut...
grüßle
Mitglied: the.other
the.other 15.01.2019 aktualisiert um 18:57:02 Uhr
Goto Top
moin aqui, danke für deine Meinung dazu und das Mut machen und dann auch noch direkt ein dickes Danke für die Arbeit, die du dir hier gemacht (und geteilt!!) hast!

"im griff"..naja, es funktioniert alles, ct sei dank, die haben mich darauf gebracht und deren Anleitung hab ich befolgt...
grüßle
Mitglied: aqui
Lösung aqui 15.01.2019 aktualisiert um 18:57:26 Uhr
Goto Top
WAS genau hast du denn nicht "voll" verstanden ??
Ggf. können wir ja etwas nachhelfen hier und auch falls erforderlich das Tutorial weiter verbessern. face-wink
ich hoffe für ihn, dass sein Aussehen doch etwas anders ist
Der Bart fehlt...(noch) face-monkey
macht ein wenig Mut...
Den brauchst du nicht mehr wenn du die anderen Projekte auch gewuppt hast ! Ehrlich.
Mitglied: the.other
the.other 15.01.2019 um 19:02:07 Uhr
Goto Top
...ach, da sind zum einen all die vielen neuen Begrifflichkeiten, das Einrichten der VLANS mit den switchen...ist ja auch immer was anderes, wenn man einfach was liest oder dann direkt davor sitzt und konfiguriert...ich werde mal langsam einen Plan machen, dann werd ich bestimmt meine Unsicherheiten und Verständnislücken auch besser formulieren können. Ist ja auch noch alles frisch im Kopf, habe deine Anleitungen am Wochenende mehrfach gelesen und aktuell "flimmert" es eben im Bregen...das muss sich vielleicht auch erst setzen.
Fühlt sich ein wenig an wie das erste Mal Fahhrad fahren...klappt so lala, aber wehe ich muss lenken oder bremsen...aber ich verspreche /droh jetzt schon an, dass ich das Forum dann befragen werde, wenn es konkreter wird.
Zunächst ist es aber auch schön, eure Meinung/Feedback dazu zu lesen und auch, dass keiner meinen Plan komplett und sofort ad absurdum einordnet...
Mitglied: aqui
Lösung aqui 15.01.2019 aktualisiert um 19:10:19 Uhr
Goto Top
Keine Angst ! Du verwendest ja nicht allzu viele Ports. Dann nutze einfache VLAN Switches mit überschaubarem Featureset auf den Stockwerken wie den TP-Link_SG108E der ist einfach zu handhaben und sehr leicht zu meistern.
Mehr als 3-4 Mausklicks im VLAN Menü sind da nicht erforderlich und ein Leichtes für einen Pi-Hole Profi.
ich werde mal langsam einen Plan machen
Der richtige Weg. Und...strukturierte Netze und Sicherheit sind niemals absurd, im Gegenteil !
Mitglied: the.other
the.other 15.01.2019 um 19:13:35 Uhr
Goto Top
ähhh...ich hab mich gerade umgedreht, hinter mir steht niemand...pi-hole "profi" muss ne verwechslung sein.
face-smile
Mitglied: Vision2015
Vision2015 15.01.2019 um 19:52:51 Uhr
Goto Top
Moin...
Zitat von @the.other:

ähhh...ich hab mich gerade umgedreht, hinter mir steht niemand...pi-hole "profi" muss ne verwechslung sein.
face-smile
sei froh, das dir das keiner in Köln gesagt hat.... face-smile

Frank