keks95
Goto Top

HomeLAB Proxmox Firewall

Hey Leute face-smile

ich hatte damals zwar eine Ausbildung zum IT-Systemintegratoren angefangen, aber relativ schnell aus persönlichen Gründen abgebrochen und bin in der Welt der Zerspanung gelandet.
Daher baut mein gesamtes Wissen über Netzwerke aus zusammengetragenen Anleitungen und Youtubevideos auf, das Interesse ist jedoch da :D
Ich erwähne dies, damit nicht gleich Thors Hammer geflogen kommt oder mit RJ45 Kabeln gepeitscht wird ;)

Folgendes:
Ich habe in den letzten Jahren angefangen, vom gewöhnlichen Heimnetz (1 WLAN, paar Clients, alles gut, Otto-Norm-Aufbau) umzubauen auf lokales QNAP NAS mit entsprechender Strategie der Datenverwaltung.
Kurz darauf folgte ein Raspberry Pi Zero als AdBlocker á la Pihole, kurz darauf folgte ein weiterer Pi als Steuergerät für den 3D-Drucker.

Mittlerweile sind beide Pi's in Rente und deren Aufgaben übernimmt ein Proxmox-Server, welcher auf einem relativ gut ausgestatteten Lenovo Tiny-Desktop rennt.
Ebenfalls in Rente geschickt wurde das langsame QNAP NAS und ersetzt durch eine VM mit Xpenology.
Mit diversen anderen Softwares wie FreeNAS, TrueNAS und OMV hatte ich angetestet aber nicht für schön empfunden.

Am Ende des Beitrags hängt auch mein Netzwerkschema bei, damit dürfte der ein oder andere etwas anfangen können.

Meine Frage, bzw mein Ziel ist es, mit wenig Aufwand bzw Kosten (Neuanschaffung von Hardware...) eine Firewall ins Netzwerk zu intigrieren.
Ich erhoffe mir hiervon, Datenverkehr besser zu kontrollieren, ein- bzw Ausgänge zu sperren von z.B. meiner China-Überwachungskamera oder z.B. der WLAN Geschirrspülmaschine, das ganze darf gerne funktionieren, aber nur im lokalen Netzwerk bzw über VPN.
Externe Gespräche möchte ich gerne unterbinden...

Da der Lenovo Tiny nur über ein Gigabit-Interface verfügt, wäre hier die Frage, ob es Sinn macht, den WAN per USB-RJ45 Adapter zu realisieren, da der Internetzugang "nur" 100MBits Kabel-Netz ist.
Denke der Datendurchsatz dürfte hier genügen.

Über die Gefahren einer virtualisierten Firewall bin ich mir durchaus bewusst, bitte einfach beachten dass ich Privatmann bin und hinter meinem Netzwerk keine Millionenschwere Beute zu erwarten ist face-smile

Sollte ich etwas vergessen haben oder was unklar sein oder sonst was... einfach schreiben/frage.
Freue mich auf Gedankenaustausch/Hilfe/Empfehlungen. 😊
homelab
idee

Content-ID: 6973637933

Url: https://administrator.de/forum/homelab-proxmox-firewall-6973637933.html

Ausgedruckt am: 21.12.2024 um 15:12 Uhr

aqui
aqui 01.05.2023 aktualisiert um 17:09:06 Uhr
Goto Top
Einfach mal die Suchfunktion benutzen! face-wink
Pfsense in Proxmox als Router

Da der Lenovo Tiny nur über ein Gigabit-Interface verfügt, wäre hier die Frage, ob es Sinn macht
Nein, das macht keinen Sinn wegen der limitierten USB Bandbreite und der Unsicherheit der wackeligen USB Steckverbindung!
Besser ist hier immer du investierst das Geld in einen kleinen VLAN Switch um die Netze zu trennen, was deutlich performanter und sicherer ist!
Wenn du am Proxmox also nur einen einzigen Netzwerk Port hast dann ist ein kleiner VLAN Switch für das Setup deine beste Option! Damit kannst du erheblich flexibler agieren bei der Netzwerk Trennung! (Siehe dazu auch hier).
Cloudrakete
Cloudrakete 01.05.2023 um 17:46:42 Uhr
Goto Top
Servus,

hab das bei mir zuhause so ähnlich am laufen.
Alte Kiste mit Promox + Pfsense und einiger VMs.

Ich hab einen VLAN-fähigen Switch samt entsprechender Konfig.
Habe an der Promoxkiste zwei NICs 1x LAN und 1x WAN (zum Modem) funktioniert für mich ganz gut.

Beachte bei der Auswahl eines WLAN-APs, dass dieser (wenn benötigt) Mutli-SSID & VLAN-fähig sein sollten.
Von USB-NICs würde ich ebenfalls abraten.
Keks95
Keks95 01.05.2023 aktualisiert um 18:05:09 Uhr
Goto Top
Aus welchem Grund die Empfehlung der WLAN-APs? Zwecks trennung Intern & Gast?
Bei meinem Rechner habe ich Bauartbedingt leider keine Wahl außer ein USB-NIC zu verwenden.

Teste derzeit auf Basis der Anleitung die mir @aqui verlinkt hat auf einem alten Notebook.
Habe dazu Proxmox installiert, und genau die gleiche Konfig quasi, 1 hardware-nic und 1 usb nic. mal gucken wann ich das ganze komplett einrichten kann, lese mich gerade in die VLAN-Thematik ein.
Wie gesagt, alles Hobby, kann noch lange ned alles 😁

Das mit dem VLAN-Switch werde ich mir überlegen, klingt doch etwas sinnhaftig ;)
Werde mal gucken ob mein aktueller Switch VLAN-Fähig ist, glaube aber nicht, zumal der im Wohnzimmer verankert ist.

Edit: Okay, sehe gerade, dass der NETGEAR Router (R6260) VLAN-Tag fähig ist.
Bringt mich das in diesem Fall weiter?
Cloudrakete
Cloudrakete 01.05.2023 um 18:21:07 Uhr
Goto Top
Viele "Smarthome" Geräte können idr. nur via WLAN angebunden werden. Ich würde einen Teufel tun, und diese in das selbe Netz wie mein Notebook, Handy hängen.
Daher die Empfehlung einen WLAN-AP mit Mutli-SSID und VLAN zu verwenden. Der AP kann dann sowohl mehrere SSIDs, als auch dazugehörige Netze aufspannen.
Keks95
Keks95 01.05.2023 um 19:42:27 Uhr
Goto Top
Uff, merke, dass is doch noch ned ganz in meinem Hirn angekommen 😁
Das einzige IoT-Gerät, welches ab und zu online ist, ist die Geschirrspülmaschine von Miele... eventuell nehme ich die sogar vom Netz, is einfach quark.
Die Überwachungskamera vom Flur, die ab und an den Hund beobachtet, wird bedarfsweise in Netz gestopft... von daher auch vorab ned kritisch.

Hier mal kurz der echte Aufbau meines Netzwerks...
LAN 1 (Blau/Weiß) geht an den unmanaged Switch im Wohnzimmer, da hängen der AVR und die beiden Playstation dran.
img_20230501_193320
aqui
Lösung aqui 01.05.2023, aktualisiert am 02.05.2023 um 09:30:07 Uhr
Goto Top
Das mit dem VLAN-Switch werde ich mir überlegen, klingt doch etwas sinnhaftig
Das ist es auch und die popeligen 20 Euro vom Taschengeld für den Switch hast du sicher über. 😉
Mit einem ungemanagten Switch ist das technisch nicht realisierbar! In der Beziehung ist das o.a. Bild etwas sinnfrei.
Klar, denn wie willst du die 2 zwingend getrennten Netze einer Firewall wie WAN und lokales LAN trennen?! Sagt einem schon der gesunde IT Verstand. face-wink
Es sei denn du hast 2 davon, das ist dann technisch das gleiche wie 2 VLANs auf einem VLAN Switch. Einfache Logik...

So sähe so ein VLAN Switch Design aus L3 Sicht aus:
firewall
BassT23
BassT23 02.05.2023 aktualisiert um 18:26:04 Uhr
Goto Top
Mein Vorschlag: den Router mit DD-Wrt Flashen, VLans aufbauen und die Netze Trennen. In DD-Wrt kannst du dann auch noch per Firewall regel Geräte sperren, und/oder dann alles über den Adblocker laufen lassen und dort die Geräte sperren.

Habe bei mir beides so realisiert. 2x Netgear (R7000/R6400). Der R6400 macht Smarthome und der R7000 das normale Netz. So ein Router kostet gebraucht ca 35€.

Handy WLAN hat Adblocker als DNS und dieses Netz ist geblockt in alle VLans.

screenshot_20230502-181205_chrome

Im kleinen Netz kann man natürlich auch auf den 2. Router verzichten.
FritzBox habe ich nur noch als Internet Zugang und DECT. Das WLAN fand ich katastrophal, ...

PS: bin am Wochenende umgestiegen von PiHole auf AdGuard

Grüße
aqui
aqui 11.05.2023 um 19:32:11 Uhr
Goto Top
Wenn's das denn nun war bitte nicht vergessen deinen Thread hier dann auch als erledigt zu markieren!
Keks95
Keks95 13.05.2023 um 01:03:25 Uhr
Goto Top
Wegen der Geschichte mit dem managed Switch... Was haltet ihr von einem MikroTik hAP ax2? Wäre das ne Sinnvolle Alternative?
aqui
aqui 13.05.2023 aktualisiert um 11:48:09 Uhr
Goto Top
Das ist primär ein WLAN Accesspoint der im kleinen auch einen Layer 3 VLAN Switch mit an Bord hat. Quasi also eine eierlegende Wollmilchsau fürs Netzwerk. (Guckst du auch hier).
Wenn das für dich OK ist und portmäßig reicht ist das eine gute Wahl mit der du nichts falsch machst!

Wenn du nur den Switch brauchst ohne WLAN Funktion ist ein hEX ausreichend wenn dir 5 Gig Ports reichen.
Keks95
Keks95 13.05.2023 aktualisiert um 12:04:19 Uhr
Goto Top
Ne die Wahl gefällt mir wegen WLAN AX ganz gut. Habe aktuell noch AC und die ersten AX Geräte halten Einzug. Bei einer 100k Internetleitung weniger von Bedeutung, aber fürs datenschieben ganz gut.

Dd-wrt auf dem R6260 ist eher weniger gut, scheint es so manche Bugs was das speichern der konfig angeht zu geben und die Updates sind auch schon ewig alt.
BassT23
BassT23 13.05.2023 aktualisiert um 12:23:51 Uhr
Goto Top
Zitat von @Keks95:
Dd-wrt auf dem R6260 ist eher weniger gut, scheint es so manche Bugs was das speichern der konfig angeht zu geben und die Updates sind auch schon ewig alt.

Hier ist ein aktuelles DD-WRT für den 6260

Edit:
man muss bei ddwrt unter beta releases schauen, es gibt auch eins von heute, aber ich habe dir mal den letzten r51xxx rausgesucht ;)
aqui
aqui 13.05.2023 um 12:21:38 Uhr
Goto Top
Ne die Wahl gefällt mir wegen WLAN AX ganz gut. Habe aktuell noch AC und die ersten AX Geräte halten Einzug
Dann machst du mit der Wahl, wie bereits gesagt, nichts falsch!
Keks95
Keks95 13.05.2023 um 13:24:35 Uhr
Goto Top
Zitat von @BassT23:

Zitat von @Keks95:
Dd-wrt auf dem R6260 ist eher weniger gut, scheint es so manche Bugs was das speichern der konfig angeht zu geben und die Updates sind auch schon ewig alt.

Hier ist ein aktuelles DD-WRT für den 6260

Edit:
man muss bei ddwrt unter beta releases schauen, es gibt auch eins von heute, aber ich habe dir mal den letzten r51xxx rausgesucht ;)

Oh wow, da sucht man alles ab und versteckt gibt's dann doch was :D einmal ne übersichtliche Website...das wär's 😅
Dank dir
BassT23
BassT23 13.05.2023 um 13:46:09 Uhr
Goto Top
Zitat von @Keks95:
Dank dir

Immer gerne.
Beim Flashen bitte der Anleitung folgen (hier) (Flashing -> Method 1)
Wichtig ist das resetten davor UND auch danach ;)

Musste das selbst alles erst lernen face-smile
Keks95
Keks95 13.05.2023 um 13:54:16 Uhr
Goto Top
Hatte bisher einen alten D-Link auf DD-WRT geupdated und vor kurzem einen NETGEAR WNDR 3800v2 ^^ (Der letzte war mit der Original Firmware echt sagenhaft unbrauchbar...)

Also ganz unerfahren bin ich mit dem Thema nicht, aber danke dir trotzdem für die Anleitung. Gehe da lieber auf Nummer sicher statt nen brick zu riskieren 😅
Keks95
Keks95 14.05.2023 um 12:27:12 Uhr
Goto Top
Aktuell läuft DD-WRT auf dem R6260... allerdings derzeit noch eher schlecht als recht.
Erst wollten sich die Geräte einfach nicht stabil ins 5GHz einwählen, dann bekamen sie in der Frequenz keinen Netzwerkzugriff, mittlerweile geht es aber alles irgendwie sehr verzögert... DNS läuft via DNSmasq "dhcp-option=6, 192.168.178.102" komplett über den AdGuard Home mit mehreren Servern (Quad9, Cloudflare, DNSAdguard) und ohne Anfragelimit.
Auch das kopieren von lokalen Netzwerkdaten von uns zum NAS ist irgendwie massiv beeinträchtigt, der Windows-Explorer bleibt zwischendurch hängen und die Kopiergeschwindigkeiten sind unterirdisch, mit originaler NETGEAR Firmware waren es bis zu 80MB/s über AC-Netzwerk, jetzt sind es 7 MB.
Ich teste noch etwas, wenn ich nix finde gehts zurück zu Stock und dann überlege ich ob ich nen managed switch für 30€ kauf und den R6260 als Bridged-AP nutze oder direkt den Mikrotik kaufe.
Keks95
Keks95 14.05.2023 aktualisiert um 15:20:24 Uhr
Goto Top
Habs leider aufgegeben und die letzten 3,5 Stunden damit verbracht, die originale Firmware zurückzuspielen.
Über die DD-WRT Oberfläche war dies nicht möglich und nach Netgear-Vorgabe ging es per TFTP auch nicht.
Lösung war letztendlich die IP Statisch auf 192.168.1.10 zu setzen, PC mit LAN 1 zu verbinden, einen nmrpflash-Beschuss zu starten und den Router einzuschalten, danach lief der Downgrade direkt durch.
Witzigerweise waren danach alle sicherheitsrelevanten Daten wie login-daten und passwort-recovery-daten noch vorhanden, also DD-WRT hat nicht alles überschrieben.

Mit DD-WRT über 5GHz:
Empfang/Übertragung 866/173 MBps
Kanal: 100

Mit Original über 5GHz:
Empfang/Übertragung 866/866 MBps
Kanal: 44

Zudem sind alle Verzögerungen beim Surfen und im lokalen Netzwerk beseitigt.. keine Ahnung woran es letztendlich gelegen hat.
Bei dem WNDR-Modell war es genau andersherum... aber für mich steht fest, dass dies der letzte NETGEAR-Router ist...

Vielleicht sieht ja jemanden einen gravierenden Fehler ;) :
5ghz
aqui
aqui 14.05.2023 aktualisiert um 17:10:25 Uhr
Goto Top
Vielleicht sieht ja jemanden einen gravierenden Fehler
Sind zumindestens im 5GHz Setup so nicht zu sehen.
Kosmetisch wäre es aber besser...
  • Den Kanal nicht auf "Auto" zu belassen sondern mit einem freien WLAN Scanner wie z.B. WiFi Infoview zu checken welche Kanäle wirklich unbenutzt sind. In der Regel funktioniert bei keinem Hersteller der Auto Mode zufriedenstellend.
  • Max. Clients "256" ist bei solch billiger Consumer Hardware absolute Utopie. Real liegt das eher bei 16. Wenn du es auf 32 setzt wäre das OK. Letztlich aber kosmetisch und kann den AP nur vorm Kollaps schützen wenn sich mehr als 32 User versuchen zu verbinden.
  • Minimal Signal für Verbindung ist ein völlig unsinniger Wert. Normal liegt ein realistischer Wert bei WLAN Clients mit Voice bei -75dbm und bei solchen ohne Voice bei -85 dbm.
  • Die Multicast nach Unicast Konvertierung abzuschalten ist ein fataler Fehler. Damit zwingt man den AP alle MC Frames an alle Clients zu fluten auch an solche die sie nicht benötigen. Das zieht den AP unsinnigerwiese in den Performance Orkus. (Siehe hier)
Keks95
Keks95 14.05.2023 um 18:40:05 Uhr
Goto Top
waren alles standarteinstellungen, habe nur den ländercode von US auf Deutsch gestellt und airtime fairness probehalber ausgeschaltet. auch die modi habe ich probehalber auf AC/N gestellt bevor ich aufgab.
Auslastung des Routers war immer vollkommen i.o, weiß ned warum das dns auflösen etc auch so ewig lang gedauert hat. nach der alten konfig geht alles gefühlt unterbrechungsfrei und mit top-speed...
aqui
aqui 14.05.2023, aktualisiert am 15.05.2023 um 10:11:22 Uhr
Goto Top
waren alles Standarteinstellungen
Spricht dann nicht gerade für die "Weltfirma" NetGear, aber egal.
Sorry, hörte sich oben so an als ob das GUI das des Netgears wäre und nicht DD-WRT.
Dann haben natürlich die DD-WRT Entwickler ihre Hausaufgaben sehr schlecht gemacht... face-sad
Keks95
Keks95 14.05.2023 um 20:25:36 Uhr
Goto Top
DD-WRT Standart hat aber doch nix mit NETGEAR zu tun oder? Da steckt ja jemand anderes hinter.
BassT23
BassT23 15.05.2023 aktualisiert um 12:38:41 Uhr
Goto Top
Zitat von @Keks95:
Lösung war letztendlich die IP Statisch auf 192.168.1.10 zu setzen, PC mit LAN 1 zu verbinden, einen nmrpflash-Beschuss zu starten und den Router einzuschalten, danach lief der Downgrade direkt durch.
Witzigerweise waren danach alle sicherheitsrelevanten Daten wie login-daten und passwort-recovery-daten noch vorhanden, also DD-WRT hat nicht alles überschrieben.

Das lässt darauf schließen, dass nicht richtig resettet wurde. Bevor du weiter machst, sollte ein sauberer 30-30-30 reset gemacht werden.

Bisher bin ich mit meiner Netgear Hardware ganz zufrieden face-smile

Wie sieht denn deine jetzige Struktur aus?
Hört sich so an, als würde alles (WLAN und LAN) über den Ad-Guard laufen.
damit verursachst du vermutlich einen "Bottleneck".
Hier besser Trennung aufbauen, und nur Endgeräte über den Adblocker schicken, die es brauchen/sollen.
Nach deiner Zeichnung zu urteilen wären dass vermutlich nur dein Handy und der Laptop
NAS sollte nicht über den Adblocker laufen.

Weiterhin habe ich gelernt, dass der WAN Port am Netgear besser nicht verwendet wird, da dieser über die CPU ausgebremst wird.

Mach dir doch mal ein plan, wie du die VLANs aufbauen magst ;)

EDIT:
Vorschlag in etwa (aus Sicht des Netgear):

LAN1 -> Modem/Router
LAN2 -> Proxmox VLAN20 (VM104 I-Net Blocked per Firewall-Rule in DD-WRT)
LAN3 -> Media/Gaming VLAN30
WLAN -> VLAN10 - Erzwungener DNS - AdGuard (Geschirrsp + Drucker/Scanner I-Net Blocked per Firewall-Rule in DD-WRT)
Keks95
Keks95 15.05.2023 um 17:46:57 Uhr
Goto Top
also die Resets habe ich alle durchgeführt.Wenn man beim R6260 lange den resetknopf gedrückt hält, fangen Power- und USB-LED an zu blinken im wechsel, es ist nirgends dokumentiert welcher modus das zu sein scheint..

Über den WAN-Anschluss kommt normal alles an 100k durch, habe derart keine Probleme.
Über WLAN-AC sieht es folgendermaßen aus:
screenshot 2023-05-15 174504

Auch sonst is die Netgear-Firmware komplett über den AdGuard-LXC geroutet und hat keine probleme, Anfragen werden schnell abgearbeitet, auch von mehreren Geräten gleichzeitig.
Benötigt wird er quasi auch an allen Endgeräten ausser natürlich Geschirrspüler ;) FireTV, Handy, Laptops, die reagieren da alle drauf. Vor allem der Amazon Spion :D
screenshot 2023-05-15 174321
Und ja, das Arbeitslaptop meiner Freundin hat scheinbar n Adware-Virus drauf, läuft übers geschottete Gastnetz, soll daher nicht mein Problem sein, die Firma hat ne eigene IT...

Als LAN-Geräte habe ich eigentlich nur den unmanaged Gigabitswitch, an dem Quasi die ganze TV-Bank hängt, also TV, AV und PS3 + PS4.
Und natürlich per Gigabit der Proxmox in dem alle Dienste arbeiten.
Alles weitere läuft übers WLAN...
BassT23
BassT23 15.05.2023 aktualisiert um 19:57:11 Uhr
Goto Top
Der R6260 scheint tatsächlich nicht so "sauber" zu funktionieren.

Würde dir daher tatsächlich wohl einen MikroTik (damit habe ich zwar keine Erfahrung, wird hier aber immer gerne beworben) oder einen Netgear (Broadlink) empfehlen.
Gebraucht (habe bisher keine schlechten Erfahrungen mit ebay Kleinanzeige gemacht - wenn man die basics beachtet ;) ) gibt's den R6400 für rund 30€ - davon nutze ich 2 Stück oder einen R7000 für rund 40€
Den von dir angesprochenen Mikrotik gibt's für rund 50€.

Die Preise schwanken sehr, wenn du also etwas Zeit hast, kann man gute Preise aushandeln face-smile

Viel Erfolg ;)

EDIT:
Habe gerade nochmal richtig gelesen, du hast den ax² angesprochen, den kann ich nicht finden. Hatte nur den ac² ;)
ax ist noch "recht teuer". Für mich reicht auch ac vollkommen aus face-smile
aqui
aqui 15.05.2023 um 20:01:16 Uhr
Goto Top
BassT23
BassT23 15.05.2023 aktualisiert um 20:42:47 Uhr
Goto Top

Hattest du ja schonmal geschrieben. Möchte auch gar nicht abstreiten, dass es ein super Router ist.
Man muss sich halt überlegen, ob 100 Steine für einen Router drin ist.
Persönlich würde ich da wohl eher 1x R7000 + 2x Managed Switch Netgear GS108E/GS308E kaufen, aber das muss jeder für sich selbst wissen face-smile
Klar ist auch, wenn ich viel Traffic über WLAN habe, wäre ein AX mit sicherheit Zukunftssicher.

EDIT:
Oder schonmal überlegt, ob das Smarthome noch weiter mit WLAN Geräten wächst? Dafür habe ich den zweiten Router, damit Smarthome sein eigenes WLAN/Netzwerk hat.
Also 2 Router + 1 Switch, macht auch 100€ face-smile
aqui
aqui 15.05.2023 um 21:36:32 Uhr
Goto Top
Persönlich würde ich da wohl eher 1x R7000
Ist auch die deutlich bessere Wahl wenn es um Routing geht.
BassT23
BassT23 15.05.2023 um 22:14:50 Uhr
Goto Top
Oder einmal anders; hast mal geschaut, was du an Netzwerk Traffic hast?
Was hast du auf absehbare Zeit vor?
Ausser Video Streaming mit Wlan Cams fällt mir auf die schnelle nichts ein, was ein hohes Traffic (im normalen Heim Netz) bringt. Und selbst da komme ich bei 4x HD Cam und 2-3 Tablets auf rund 35MBit, ...
+10MBit Internet (bei vollast).
Ich habe auch einen Media Server für Filme am laufen, für meine 4 Kids. Und selbst wenn alle gleichzeitig Filme auf ihren Handys schauen, habe ich keine Probleme face-smile

Laut dieser Tabelle wäre mit ac 200 - 400 MBit theoretisch möglich. Demnach habe ich da immer noch genug Reserve.

Bei AX wäre theoretisch 400 - 900MBit möglich.

Downloads lasse ich über JDownloader (LXC - Wired) laufen, weil stabil und full speed. Auch NAS ist Wired immer stabiler, ... Gerade für Backups auf wärmstens empfohlen - Machst du ja auch face-smile

Somit ist meiner Ansicht nach AX bisher Luxus, aber nicht notwendig. Wie gesagt, AC ist im Heimnetz immer noch schnell genug face-smile Natürlich gibt es ausnahmen, dass muss dann jeder für sich entscheiden.
Keks95
Keks95 17.05.2023 um 21:59:24 Uhr
Goto Top
Tatsächlich hauptsächlich mein eigener Datenzugriff aufs DSM, von Laptop, Tablet und Handy.
Meine Freundin streamt des öfteren Serien vom DSM, also sonst eher ruhig.
Traffic generieren wir hauptsächlich über Windows Updates, YouTube Netflix und disney plus, also das übliche.
Sind ca 300-500GB pro Monat laut Netgear Traffic-Monitor.
Wobei ich nicht weiß ob er lokalen Traffic ebenfalls loggt.

Backups laufend tatsächlich noch old school über USB am Client selbst. Wichtigste Sachen 1x pro Jahr sogar noch auf verschlüsselter DVD.

Ja, es wäre derzeit noch ein Gimmick, zumindest zukunftsorientierte Investition.
Ich befasse mich derzeit mit der VLAN Geschichte, der R6260 hat ja auch VLAN als Option, aber scheinbar nicht ausreichend umfangreich als das sich damit die OPNsense realisieren lässt über eine NIC.
Es fehlt glaube ich die Möglichkeit des Trunks.

Auch wenn's hier meinerseits ein wenig ruhig ist, ich beschäftige mich immernoch damit. Mag nur nicht riskieren dass mir mein Netzwerk abschmiert, der Kampf mit dem DD-WRT Downgrade hat mir Sonntag schon wieder gestunken :D

AX Geräte haben wir derzeit tatsächlich nur 2 HP Probooks die eher seltener am Netz sind. Daher gebe ich dir Mal Recht.

Eine Anmerkung noch: bis auf die Bugs war ich mit dem R6250 die letzten 5 Jahre doch sehr zufrieden, hatte nie Abstürze. Dagegen schmiert das Hiteon Vodafonegerät häufiger mal ab ;)
aqui
aqui 18.05.2023 aktualisiert um 09:13:33 Uhr
Goto Top
aber scheinbar nicht ausreichend umfangreich als das sich damit die OPNsense realisieren lässt über eine NIC.
Nein, das ist eine irrige Annahme und ganz sicher falsch.
Wenn ein Router oder Switch VLAN Support anbietet dann ganz sicher auch die Option diese VLANs über einen Tagged Uplink (wenn du das mit "Trunk" meinst?!) zu übertragen. Alles andere würde den VLAN Support ad absurdum führen.
Das wäre so als wenn du ein Auto hast welchem aber die 4 Räder fehlen.
Die OPNsense kann sowas natürlich mit Links wie dir das entsprechen VLAN Tutorial hier im Forum ja detailliert aufzeigt:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mit DD-WRT natürlich auch wie das entsprechende Kapitel im Tutorial beweist.
der Kampf mit dem DD-WRT Downgrade hat mir Sonntag schon wieder gestunken
Es gibt ja genug preiswerte Hardware die dir diese Funktion auch stabil und verlässlich zur Verfügung stellt. face-wink
Keks95
Keks95 18.05.2023 um 13:17:18 Uhr
Goto Top
Hm okay... klingt schlüssig. Wie gesagt, VLAN ist für mich mal was neues :D
So sehen die Einstellungen vom R6260 aus:
vlan-settings
Wäre die Config für die Schleife "Kabelrouter - Proxmox/OPNsense - Heimnetz" soweit korrekt wenn der Kabelrouter am LAN 4, der Proxmox am LAN 3 und der Rest an LAN 1-2 sowie WLAN hängt?

Ich weiß, jetzt merkt man mein Unwissen ein wenig :D
aqui
aqui 18.05.2023 aktualisiert um 13:52:01 Uhr
Goto Top
Port 4 wäre dann dort der Uplink Port an dem VLAN 10 und 100 Tagged gesendet werden.

Entsprechend muss man natürlich auch den Proxmox vSwitch ("Linux Bridge") entsprechend setzen das er...
  • generell VLAN Tags versteht (Haken "VLAN aware") und
  • den Proxmox vNICs entsprechend den VLANs in denen sie arbeiten sollen ihre Tags ("tag=x") zuweisen.
Siehe Pfsense in Proxmox als Router

Eigentlich eine sehr simple Sache die im Setup in 10 Minuten erledigt ist. face-wink
...jetzt merkt man mein Unwissen ein wenig
Das ist kein Problem und kann man ja schnell ändern. Das o.a. VLAN Tutorial bietet am Anfang eine Link Sammlung die ein umfassendes Verständnis der VLAN Thematik bietet.
Zusätzlich hilft ggf. noch die VLAN Schnellschulung und wie man VLANs auf Endgeräten umsetzt zum weiteren Verständnis.
Das ist alles kein Hexenwerk. face-wink
Keks95
Keks95 20.05.2023 um 22:19:21 Uhr
Goto Top
Aktuell steh ich wirklich kurz davor den TP-Link TL-SG105E zu kaufen. VLAN mit dem r6260 scheint so nicht zu funktionieren. Wie auf dem bereits geposteten Bild lässt er es nicht zu, kommt ne Meldung incorrect Port.
Alles was ich machen kann ist folgendes:
screenshot_20230520-221745_chrome

Desweiteren schweigt sich das Handbuch über die VLAN konfig weitestgehend aus, eher verwirrend find ich. Oder versteh ich da was nicht?
aqui
aqui 20.05.2023, aktualisiert am 21.05.2023 um 11:48:17 Uhr
Goto Top
Das ist auch etwas wirr was Retgear da im R6260 Manual zum Tagging beschreibt. Hat auch mit der klassischen VLAN Funktion nichts zu tun.
Der Switch ist sicher die deutlich bessere Wahl. Hier solltest du aber besser keinen TP-Link nehmen denn in manchen Designs haben die erhebliche Macken mit der VLAN Trennung.
Greife da besser zum preislich gleichen Zyxel GS 1500-5 der da deutlich besser performt.
Keks95
Keks95 20.05.2023 um 22:50:00 Uhr
Goto Top
Boa das letzte zyxel Gerät das ich genutzt habe war ein b WLAN aus AOL Zeiten mit DSL 1k 🤣 aber macht wohl einen guten Eindruck, danke.
Keks95
Keks95 22.05.2023 aktualisiert um 21:42:27 Uhr
Goto Top
Bevor ich mir jetzt wieder n Endgerät, auch wenn es nur 20€ sind, kaufe...wollte ich es vorher mal mit DD-WRT probieren, hab noch n alten WNR2000v2 hier, da läuft DD-WRT jetzt drauf und hat VLAN Support...
Aber ich verstehe scheinbar die Grundlagen trotz des ganzen Stoffs nicht.
Wie schaffe ich es folgende Konfig:
LAN 1-2 + Wireless = Endgeräte mit DHCP-Bezug von OPNSense
LAN 3 = WAN-Traffic, kein direkter Zugriff auf LAN 1,2,4, nur getaggt auf LAN 4 in die OPNSense
LAN 4 = Proxmox mit OPNSense

firewall3

Am Proxmox hat die VM 2 Virtuelle NICs, WAN als VLAN10 und LAN als untagged.
NIC ist VLAN Aware...
OPN-Sense haut schonmal DHCP raus, LAN 1+2 beziehen die Adresse von ihm, soweit so fein. Aber auf LAN 3 is nix los, kein Durchgang.

Folgende Konfig läuft auf dem DD-WRT...bitte nicht hauen, aber ich krieg die Zusammenhänge noch nicht auf die Kette 😪
advanced
vlan
BassT23
BassT23 23.05.2023 um 07:21:32 Uhr
Goto Top
Alles was ich dir hier jetzt erzählen könnte, wären nur Vermutungen und/oder halb Wissen.
Am besten wird es sein du stellst deine Frage hier: https://forum.dd-wrt.com/phpBB2/
Bestenfalls im Englischen teil. Dort wurde mir mit dd-wrt immer gut geholfen ;)
aqui
aqui 23.05.2023 aktualisiert um 09:07:16 Uhr
Goto Top
Oder HIER:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dort ist im Detail erklärt wie das DD-WRT Setup auszusehen hat.
Lesen und verstehen! face-wink
Keks95
Keks95 23.05.2023 um 17:10:43 Uhr
Goto Top
herzlichsten Dank, damit kam ich nach 2 weiteren Probierstunden endlich weiter und habe meinen Fehler scheinbar nun verstanden. Mein altes runzliges Hirn is nicht mehr so aufnahmefähig wie damals hab ich das Gefühl. Und das mit 28 🤣
So ist nun die Konfig:
vlan-config
LAN 4 hat ID 0 und 10 als Tagged Uplink, da läuft der Proxmox drauf
An LAN 3 klemmt mein eigentlicher Router, daher hab ich auf "WAN" auch eine lokale IP.
LAN 1,2 und 4 können per se nicht mit LAN 3 telefonieren, ausser LAN 4 als VLAN 10.

Proxmox Netzwerkinterface ist folgend konfiguriert:
proxmox_net

Und die VM folgend:
vm106_lan

Dabei bezieht die VM per DHCP die IP vom VLAN 10 (net0) und LAN geht über net1 als DHCP-Server ins Rennen auf alle VID 0.

diagram

Ik gloob ich habs geschnallt 😂
Jetzt muss ich mich nur noch etwas mit der Firewall an sich beschäftigen ob sich das alles lohnt.

Sorry falls das alles ned Fachgerecht bin, aber ich freu mich gerade dass das klappt ^^
aqui
aqui 23.05.2023 aktualisiert um 19:01:57 Uhr
Goto Top
👍 Alles richtig gemacht! 😉
Sorry falls das alles ned Fachgerecht bin
Keine Sorge alles bestens.

Noch ein paar kosmetische Proxmox Tips zur Firewall.
  • VirtIO (paravirtualized) Adapter sind meist die bessere Wahl als vmxnet3 da ohne Emulation.
  • Ein Knackpunkt ist immer das Hardware Offloading der Netzwerkkarten. Moderne virtuelle NICs supporten es meistens aber ob es immer fehlerfrei rennt ist nicht 100% sicher. Checke also in den Adanced Settings das Checksum und HW LRO ggf. disabled ist sollte deine Firewall unter Last komische Effekte zeigen.
  • Wenn du VPNs betreiben willst, achte darauf das Proxmox den Krypto HW Beschleuniger AES NI unbedingt an die VM durchreicht. Du siehst das auch im Dashboard wenn es aktiv ist!
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
aesni
Keks95
Keks95 31.05.2023 aktualisiert um 22:58:00 Uhr
Goto Top
Der Zyxel kam heute an und nach ein paar Anlaufproblemen des Verständnisses hab ich es geschafft über den Trunk ins Netz zu kommen.
Nun geht es dir nächsten Tage an die Grundeinrichtung und dann schlage ich mich noch mit dem großen Thema Gastnetz herum... Richte ich den R6260 als AP ein, geht die Möglichkeit des Gastnetzes verloren. Heißt: nur noch ein Zugang im WLAN verfügbar. Muss ich mir noch etwas überlegen... Falls dazu jemand eine Idee hat, gerne her damit :D

Gäste sollten nur aufs Internet zugreifen dürfen mit geringer Priorität.
aqui
aqui 01.06.2023 um 08:35:20 Uhr
Goto Top
Schalte den AP dort ab und löse das dann mit einem separaten dedizierten AP. Ist so oder so technisch die beste Lösung.
Profi APs gibts für kleines Geld:
Cisco WLAN Access Points 1142N, 2702, 3702 für den Heimgebrauch umrüsten
https://www.varia-store.com/de/produkt/97657-rbcapl-2nd-cap-lite-mit-ar9 ...
Beide haben z.B. auch gleich ein eigenes Captive Portal für Gäste mit Einmalpasswörtern an Bord. Bzw. für den MT auch hier.