zaschii
Goto Top

Netwerk Neustrukturierung mit OPNsense - MagentaTV uvm

Hallo Zusammen,

ich versuche mich seit einigen Tagen in das Thema VLAN einzuarbeiten da ich mein Netzwerk / Homelab neu aufbauen möchte, aber alles nicht so einfach face-wink....

Aktuell sieht es so aus:
Glasfasermodem Telekom --> FritzBox 7590 --> 2x 24 Port Switches Zyxel GS1900 --> Hyper-V Server (mit virtualisierten Servern für Ngnix reverse Proxy, Nextcloud, 2xSmartHome-Server / Haussteuerung, Motioneye für IP-Cams, piHole und demnächst TVHeadend als SatIP-Server).

https://www.directupload.net/file/d/5987/ngi6v6u2_png.htm

Alles in einem 19" Rack im Keller verbaut, alles in 192.168.178.0/24.
D.h. die OPNsense liegt aktuell noch ungenutzt auf meinem Schreibtisch.
Die FritzBox steht demnach auch im Keller und macht aktuell ein WLAN-Mesh. Hierfür gibt es im EG einen FritzRepeater 3000 und im OG einen Repeater 1750E. FritzBox Gast-WLAN wird ebenfalls genutzt.

Demnächst soll es aber auch im Gartenhaus Internet geben, hierfür möchte ich einen Aussen-AP installieren, was mich mehr oder weniger zu einer Umstrukturierung zwingt. Da ich das Netz ausserhalb des Hauses absichern möchte und hierfür mit VLANs arbeiten möchte. Ausserdem haben wir trotz KNX Bus, relativ viele drahtlose SmartHome / IoT Geräte welche ich in diesem Zug auch gleich in ein seperates Netz packen möchte.
Da hier z.B. auch einige bekannte Chinahersteller wie Xiaomi oder Sonoff dabei sind.
Dass FritzBox Gastwlan möchte & kann ich dafür nicht nutzen, da z.B. der SmartHome Server auch Zugriff auf die Geräte im Garten benötigt.

Das Thema stellt mich allerdings vor ziemliche Herausforderungen in der Planung. Da der zentrale SmartHome Server auf so viele Geräte Zugriff benötigt, habe ich noch keine perfekte Lösung gefunden wie ich die VLANs aufteilen soll, ohne dass danach die Haussteuerung nicht mehr funktioniert oder ich aber dann letztendlich Firewallregeln Kreuz & Quer zwischen den VLANs erstellen muss.

Wir haben auch diverse Alexas im Haus, hier ist es ähnlich.... diese sinnvoll ein VLAN zu packen, so dass am Ende noch alles funktioniert finde ich aktuell noch etwas schwierig.

Per Nginx reverse Proxy ist z.B. Nextcloud per DynDNS erreichbar.

Hinzu kommt dass wir ab Dezember MagentaTV von der Telekom bekommen, ich habe bereits einige Threads gelesen dass es hier zu Problemen mit dem IGMP Proxy kommt und dieser Buggy beim Multicast ist.
Die Beiträge waren etwas älter und ich weiß nicht ob das Problem immer noch aktuell besteht. Aber aus diesem Grund habe ich 2 Varianten für meinen neuen Netzwerkaufbau erstellt, diese würde ich gerne mit euch diskutieren, bzw. hoffe ich dass der eine oder andere Netzwerk-Spezialist hier paar Anmerkungen oder Verbesserungsvorschläge hat.

Variante 1 (ursprünglich mein Favorit)....
Glasfasermodem --> OPNsense (als Router) --> Zyxel Switche --> unifi AP Points für KG, EG, OG und Garten. (Fritzbox nur noch für Telefon / Dect hinter OPNsense)

https://www.directupload.net/file/d/5987/dwy4ooat_png.htm

Variante 2 (wegen MagentaTV Problematik, Fritzbox vor OPNsense als exposed Host (double NAT Probleme?))....
Glasfasermodem --> Fritzbox --> direkt zu Switch - VLAN7 für Magenta (VLAN routing überhaupt möglich?)
Glasfasermodem --> Fritzbox --> OPNsense --> Zyxel Switche --> unifi AP Points für KG, EG, OG und Garten

https://www.directupload.net/file/d/5987/c4aq8z98_png.htm

Ich habe mein aktuelles Netzwerk und auch die beiden Varianten mal versucht zu zeichnen und als Links angehängt, ich denke / hoffe dann wird es etwas klarer face-wink.

Also im Prinzip habe ich aktuell 2 große Probleme in der Planungsphase....
- sinnvolle Aufgliederung der VLANs bei so vielen unterschiedlichen Geräten welche untereinander kommunizieren müssen
- grundsätzlicher Hardwareaufbau --> FritzBox vor oder hinter OPNsense

Meine OPNsense Hardware hat 8 netwerkanschlüsse, einen quadcore und 16gb RAM... also die vorhandene Hardware ist nicht das Problem.

Ich freue mich auf eure Antworten, Vorschläge und Kritik face-wink.

Danke und VG

Content-ID: 618013

Url: https://administrator.de/contentid/618013

Ausgedruckt am: 25.11.2024 um 00:11 Uhr

BirdyB
BirdyB 01.11.2020 um 09:15:47 Uhr
Goto Top
Moin,
bitte füge deine Bilder über die foreneigene Uploadfunktion ein. Externe Bilderlinks klickt hier keiner gerne an.
Dann schauen wir mal weiter.
VG
Razer1
Razer1 01.11.2020 um 10:51:44 Uhr
Goto Top
Huiuiui, was eine Textwand.

Moin erstmal :D

Lösung 1 scheint mir am sinnvollsten - wenn man schon so komplex werden will.

ich gehe mal nicht zu tief ins Detail und gebe entsprechend Tipps wie du sowas lösen kannst.
- Server, NAS, etc. in eigenes VLAN und mit Routing / Firewall Regeln an die jeweiligen VLAN's durchreichen. (WireSpeed Routing wäre gut.)
- Magenta TV sollte ohne weiteres mit IGMPv3 funktionieren - VLAN 7 ist für den WAN mit PPPoE - daten gehen per MC an die E-BOX (so war mein letzter Stand)
- VLAN7 muss WAN seitig konfiguriert werden für Telekom FTTH.
- DECT und Analogtel über FB ist kein Problem - Firewall regeln beachten !
- VLAN 1 als Client Netz = unkonfigurierte VLAN's am Switch = Switch für Clients, alternativ GAST VLAN = default
- KEIN VLAN nach Standort sondern Typ wie IoT etc. (siehe Garten VLAN)
- VLAN für WLAN und Clients getrennt, im besten fall. Bei kleinem Netzwerk geht's auch ohne.
- WLAN über MikroTik o.ä. für MultiSSID über VLAN's
- WLAN im Garten am besten gleiche SSID und VLAN's, dort keine SSID für Gast ?
- ALEXA und co. sollte mit Multicastrouting funktionieren.

Vorschläge VLAN:
10 Clients (11 WLAN)
20 WLAN Gast
30 Clients Kinder (31 WLAN)
40 Clients IoT (41 WLAN)
100 Management
200 Server

Disclaimer:
Generell ist das Netzwerk schon sehr stark Fragmentiert - ob das so Sinn macht und ob man Lust hast das zu verwalten sollte jeder für sich selber entscheiden. Ich bin da eher der Meinung - keep it simple

P.S.: Magenta TV würde ich evtl. in einem kleinem Setup einmal ausprobieren. Scheint wohl manchmal Probleme zu machen.

Gruß
Zaschii
Zaschii 01.11.2020 um 11:09:00 Uhr
Goto Top
Danke schon mal für die Antworten.
Ja sorry, der Text ist etwas lang geraten, wollte so gut es geht beschreiben was ich vorhabe face-smile.

Ich würde eigentlich auch Variante 1 bevorzugen, bin mir aber nicht sicher wie stabil die OPNsense als Router arbeitet und ob es dann zu Problemen mit MagentaTV kommt.

VLAN für WLAN und Clients ist auch so ein Thema, finde ich einerseits gut, andererseits nutze ich viel der Haussteuerung auch über mein Smartphone. So dass ich mein Smartphone z.B. gerne im Clients VLAN hätte um mehr Zugriff zu haben.

Garten hätte ich aus Sicherheitsgründen in einen komplett eigenen Bereich gepackt, weil was passiert wenn jemand das LAN Kabel im Garten vom AP zieht und an sein Notebook hängt.

Keep it simple finde ich grundsätzlich gut, aber ich tue mich schwer das sinnvoll zu vereinfachen / aufzuteilen.

Anbei noch die Bilder...

Aktuelles Netzwerk:
aktuelles_netzwerk

Neuaufbau Variante1:
neuaufbau_netzwerk_variante1

Neuaufbau Variante2:
neuaufbau_netzwerk_variante2
ottinho
ottinho 01.11.2020 um 11:19:51 Uhr
Goto Top
Moin,

also zum Thema MagentaTV kann ich dir sagen, dass das zumindest in meinem Setup läuft. Das ist dann allerdings pfsense statt opnsense, letztere scheint da laut diversen Forenbeiträgen tatsächlich Zicken zu machen.

Mein Aufbau ist grundsätzlich sehr ähnlich zu deiner Variante 1:
Draytek als Modem -> pfsense -> Switch -> Media Receiver
Dazu ein Gigaset GO statt der Fritte für Telefonie, ein Unifi AP für WLAN.
Diverse VLANs für Gäste, IOT etc...

Im IOT hängt beispielsweise Homematic IP und n Xiamoi Saugroboter. Keine Probleme.

Für MagentaTV ist eigentlich nur wichtig, dass der Switch IGMPv3 unterstützt... Das können selbst die Netgear oder TP Link Geräte.

Die entsprechenden Regeln könnte ich dir bei Bedarf gerne als Screenshot hier rein packen...

Viele Grüße
ottinho
Razer1
Razer1 01.11.2020 aktualisiert um 11:33:09 Uhr
Goto Top
Zitat von @Zaschii:
Ich würde eigentlich auch Variante 1 bevorzugen, bin mir aber nicht sicher wie stabil die OPNsense als Router arbeitet und ob es dann zu Problemen mit MagentaTV kommt.

pfsense wäre auch eine alternative die scheinbar weniger stress macht. Routing sollte laufen. Auch bei OPNsense .. Routing / NAT und FW ist nun mal die Hauptaufgabe der Kiste.

Zitat von @Zaschii:
Garten hätte ich aus Sicherheitsgründen in einen komplett eigenen Bereich gepackt, weil was passiert wenn jemand das LAN Kabel im Garten vom AP zieht und an sein Notebook hängt.

Du kannst dort auch einfach alles an VLAN's taggen, damit kann in der Regel ein normaler Client nichts anfangen. Alternativ kannst du natürlich auch eine Port Security einrichten (Switch muss das können) und jedes Online gehen muss erlaubt werden oder authentifiziert.
Oder das Default VLAN ist einfach tot.

P.S.: Radius für die Clients kann man machen aber die Trennung per SSID reicht meist. Dazu noch per DHCP die IP's festnageln und dann ggf. per FW auf der IP reglementieren, wenn etwas besonderes gesperrt oder freigegeben werden soll.
aqui
aqui 01.11.2020 um 15:57:59 Uhr
Goto Top
ich versuche mich seit einigen Tagen in das Thema VLAN einzuarbeiten
Einfach das hiesige VLAN Tutorial durchlesen, da ist ist alles haarklein erklärt... face-wink
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Zur Radius Authentisierung der WLAN Clients findest du hier entsprechende Infos:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Radius Server gleich auf der pfSense mit dem FreeRadius Package:
Mikrotik - mehrere VLANs auf cAP AC mit CAPsMAN
Dynamische VLAN Zuweisung:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Zaschii
Zaschii 02.11.2020 aktualisiert um 09:57:52 Uhr
Goto Top
@ottinho: wäre super wenn du mir ein paar Screenshots bezüglich deiner Konfiguration / Regeln bereitstellen könntest. Ich glaube das würde mir sehr helfen. Wie hast du deine VLANs aufgeteilt?
Wie hast du es z.B. umgesetzt dass du trotzdem mit dem Handy noch auf dein Saugroboter zugreifen kannst, für das Wifi VLAN aber generell den Zugriff einschränkst. Sonderregeln speziell für die Smartphone IP?

Meine Zyxel Switche können IGMPv3.

Wo ich allerdings noch etwas zögere, ist mein einigermaßen stabiles Fritzbox Konstrukt aufzulösen, wenn ich lese dass die OPNsense mit MagentaTV rumzickt... wenn ich letztendlich eine Umgebung habe die nicht richtig funktioniert und ich viel Arbeit reingesteckt habe, wäre das sehr enttäuschend.

Laut Foren liest es sich in der pfsense Welt finde ich auch etwas besser als bei OPNsense bezüglich MagentaTV, das verstehe ich allerdings nicht ganz, beide nutzen doch die gleiche igmpproxy version oder übersehe ich hier etwas?

Danke für die vielen Links, ich habe schon gesehen, dass wird ein schönes Winterprojekt face-smile.


Also so wie ich das sehe tendiert ihr auch zu meiner Variante 1, bezüglich der Struktur gibt es keine Einwände?

Wenn ich die VLAN-Aufteilung wie vorgeschlagen abändere...

10 Clients (11 WLAN)
20 WLAN Gast
30 Clients Kinder (31 WLAN)
40 Clients IoT (41 WLAN)
100 Management
200 Server

... würdet ihr Nextcloud, SAT-IP-Sever, SmartHome Server, NAS, Motioneye für IP-CAMs, piHole alle in das 200er VLAN für Server Packen?
und alles was dann eigentlich nicht virtualisiert so im Rack rumsteht ins Management VLAN?

Sorry für die vielen Fragen face-wink
BirdyB
BirdyB 02.11.2020 um 10:47:49 Uhr
Goto Top
Moin,

also mir gehen bezüglich dieses Setups verschiedene Gedanken durch den Kopf:

Generell:
Ich finde es - für ein Home-Setup - recht komplex.
Wird dieser Detailgrad wirklich benötigt oder steckt da vielleicht auch einfach der Spieltrieb hinter, bestimmte Dinge einfach mal zu machen? (Hab ich öfter schonmal)
Hast du auf Dauer wirklich die Zeit und Lust, dieses Setup zu warten (Passiert ja alles in der Freizeit)
Falls mal etwas nicht funktioniert, hast du viele Fehlerquellen zu analysieren.

Aufteilung VLAN:
Ich würde die VLANs nicht nach Client und WLAN splitten. Ich sehe in deinem Setup darin keinen Vorteil
Also:
10 Clients
20 Gast
30 Kinder
40 IoT - Wenn man denn möchte
100 Management
200 Server (Du könntest auch Server und Management kombinieren... Je nach Anforderung)
Damit hast du schon 6 VLANs mit entsprechendem Netz und Firewallregeln, die du pflegen musst.

Mein Tipp: Mach es nicht zu kompliziert.
ottinho
ottinho 03.11.2020 um 14:10:14 Uhr
Goto Top
Hi nochmal!
Zitat von @Zaschii:
Sorry für die vielen Fragen face-wink
Kein Problem face-wink
Wie hast du deine VLANs aufgeteilt?
Da kann man ja immer diskutieren. Der Eine machts so, der Andere so. Wie der Kollege @BirdyB schon sagte, zu komplex ist immer doof. Aber ich habe da auch den erwähnten Spieltrieb in mir face-wink

Meine Aufteilung ist wie folgt:
VLANS für
*Produktiv (PCs etc)
*Media (Smartphones, Fernseher, Fire TV Stick)
*Gäste WLAN
MagentaTV
VoIP
*IOT
Management

Die VLANS mit * haben jeweils ihre eigene SSID. Im Bereich IOT ist das dann z.B. noch auf L2 isoliert, das können die Unifi APs.

Ist natürlich für zuhause irgendwie Overkill, aber ich mag es so. face-wink

Wie hast du es z.B. umgesetzt dass du trotzdem mit dem Handy noch auf dein Saugroboter zugreifen kannst, für das Wifi VLAN aber generell den Zugriff einschränkst. Sonderregeln speziell für die Smartphone IP?
rules_media
So zum Beispiel. Alle Geräte aus dem Media VLAN dürfen auf die Weboberfläche des Saugroboters zugreifen. Das könnte man natürlich bei der Quelle noch auf 2 Geräte einschränken, aber dann konfigurier ich mich wirklich doof und muss das bei nem Gerätewechsel anpassen... Sonst ist (wie dazu erkennen ist) Whatsapp erlaubt, Homematic, Web, Mail und ein paar Streaming Anbieter (ZDF oder Amazon Video benutzen z.B. komische Ports).

rules_iot
Die Geräte aus dem IOT Netz dürfen im Prinzip gar nichts. Alleine schon, damit der Saugroboter nicht nach China telefoniert (wobei da eh Valetudo drauf ist, aber sicher ist sicher). Der Drucker darf allerdings auf das NAS per SMB zugreifen um Scans abzulegen.
Und der Homematic AP darf zumindest Richtung Internet machen, was er will.

rules_magenta
Die Regeln zu MagentaTV sehen bei mir so aus. Da gibt es aber einen ziemlich schönen Beitrag unter https://forum.netgate.com/topic/153802/howto-magentatv-mit-pfsense-2-4-5
Die Screenshots dazu gibts zwar eigentlich nur wenn man eingeloggt ist, aus dem Quelltext kann man sich die Links aber so ziehen face-wink
Dazu kommt dann halt noch auf der WAN Seite ein bisschen was an Regeln sowie der IGMP Proxy. Der unterscheidet sich in der Version aber tatsächlich irgendwie von dem bei OPNSense. Das war zumindest zu dem Zeitpunkt anscheinend so, zu dem ich recherchiert hatte.

Die Regeln ließen sich übrigens deutlich reduzieren, wenn man IPv6 weglässt. Da ist das Problem, dass die über den Provider alle ein Netz zugeteilt bekommen bei der Einwahl und das halt dynamisch ist. Bei IPv4 sagst du einfach: Alles, was im privaten Adressraum steht, ist verboten. Bei IPv6 musst du halt für jedes VLAN ne Regel erstellen, die das verbietet... Da hab ich noch keine schönere Lösung gefunden. Vllt liest ja jemand mit, der mich da erhellen kann :D

Alleine deshalb achtet man schon drauf, die Anzahl gering zu halten.

Letzte Info: Ich mach das auch nur zum Spaß. Beruflich bin ich zwar in der IT aktiv, aber mit Firewalls oder Netzwerken habe ich eigentlich administrativ keine Berührungspunkte. Aber gerade mit den Tutorials von @aqui kommt man gut rein in die ganze Geschichte.

Viele Grüße
ottinho
Zaschii
Zaschii 03.11.2020 um 14:11:40 Uhr
Goto Top
Na ja Spieltrieb steck auch etwas dahinter, aber es soll trotzdem möglichst einfach zu verwalten sein und ich möchte mir damit auch nicht irgendwelche Wege verbauen, sonst schimpft die Frau wenn auf einmal irgendetwas nicht mehr so funktioniert wie gewohnt face-smile.

Die VLAN Strukturierung habe ich nun schon versucht zu vereinfachen, aber eine weitere Vereinfachung macht denke ich wenig Sinn.
Ich überlege aktuell noch das Kinder VLAN wegfallen zu lassen, da sich hier nicht viele Geräte befinden werden. Allerdings finde ich den Gedanken die Geräte der Kids einschränken zu können durchaus ganz interessant.

vlan_aufteilung
BirdyB
BirdyB 03.11.2020 um 14:17:21 Uhr
Goto Top
Ich überlege aktuell noch das Kinder VLAN wegfallen zu lassen, da sich hier nicht viele Geräte befinden werden. Allerdings finde ich den Gedanken die Geräte der Kids einschränken zu können durchaus ganz interessant.

Du könntest den Geräten der Kids natürlich auch static leases im DHCP geben und dann über eine Alias-Gruppe in der Firewall verwalten.
Lässt sich aber mit manueller Adressvergabe schnell aushebeln.