Netwerk Neustrukturierung mit OPNsense - MagentaTV uvm

Mitglied: Zaschii

Zaschii (Level 1) - Jetzt verbinden

31.10.2020 um 21:41 Uhr, 422 Aufrufe, 11 Kommentare, 1 Danke

Hallo Zusammen,

ich versuche mich seit einigen Tagen in das Thema VLAN einzuarbeiten da ich mein Netzwerk / Homelab neu aufbauen möchte, aber alles nicht so einfach ....

Aktuell sieht es so aus:
Glasfasermodem Telekom --> FritzBox 7590 --> 2x 24 Port Switches Zyxel GS1900 --> Hyper-V Server (mit virtualisierten Servern für Ngnix reverse Proxy, Nextcloud, 2xSmartHome-Server / Haussteuerung, Motioneye für IP-Cams, piHole und demnächst TVHeadend als SatIP-Server).

https://www.directupload.net/file/d/5987/ngi6v6u2_png.htm

Alles in einem 19" Rack im Keller verbaut, alles in 192.168.178.0/24.
D.h. die OPNsense liegt aktuell noch ungenutzt auf meinem Schreibtisch.
Die FritzBox steht demnach auch im Keller und macht aktuell ein WLAN-Mesh. Hierfür gibt es im EG einen FritzRepeater 3000 und im OG einen Repeater 1750E. FritzBox Gast-WLAN wird ebenfalls genutzt.

Demnächst soll es aber auch im Gartenhaus Internet geben, hierfür möchte ich einen Aussen-AP installieren, was mich mehr oder weniger zu einer Umstrukturierung zwingt. Da ich das Netz ausserhalb des Hauses absichern möchte und hierfür mit VLANs arbeiten möchte. Ausserdem haben wir trotz KNX Bus, relativ viele drahtlose SmartHome / IoT Geräte welche ich in diesem Zug auch gleich in ein seperates Netz packen möchte.
Da hier z.B. auch einige bekannte Chinahersteller wie Xiaomi oder Sonoff dabei sind.
Dass FritzBox Gastwlan möchte & kann ich dafür nicht nutzen, da z.B. der SmartHome Server auch Zugriff auf die Geräte im Garten benötigt.

Das Thema stellt mich allerdings vor ziemliche Herausforderungen in der Planung. Da der zentrale SmartHome Server auf so viele Geräte Zugriff benötigt, habe ich noch keine perfekte Lösung gefunden wie ich die VLANs aufteilen soll, ohne dass danach die Haussteuerung nicht mehr funktioniert oder ich aber dann letztendlich Firewallregeln Kreuz & Quer zwischen den VLANs erstellen muss.

Wir haben auch diverse Alexas im Haus, hier ist es ähnlich.... diese sinnvoll ein VLAN zu packen, so dass am Ende noch alles funktioniert finde ich aktuell noch etwas schwierig.

Per Nginx reverse Proxy ist z.B. Nextcloud per DynDNS erreichbar.

Hinzu kommt dass wir ab Dezember MagentaTV von der Telekom bekommen, ich habe bereits einige Threads gelesen dass es hier zu Problemen mit dem IGMP Proxy kommt und dieser Buggy beim Multicast ist.
Die Beiträge waren etwas älter und ich weiß nicht ob das Problem immer noch aktuell besteht. Aber aus diesem Grund habe ich 2 Varianten für meinen neuen Netzwerkaufbau erstellt, diese würde ich gerne mit euch diskutieren, bzw. hoffe ich dass der eine oder andere Netzwerk-Spezialist hier paar Anmerkungen oder Verbesserungsvorschläge hat.

Variante 1 (ursprünglich mein Favorit)....
Glasfasermodem --> OPNsense (als Router) --> Zyxel Switche --> unifi AP Points für KG, EG, OG und Garten. (Fritzbox nur noch für Telefon / Dect hinter OPNsense)

https://www.directupload.net/file/d/5987/dwy4ooat_png.htm

Variante 2 (wegen MagentaTV Problematik, Fritzbox vor OPNsense als exposed Host (double NAT Probleme?))....
Glasfasermodem --> Fritzbox --> direkt zu Switch - VLAN7 für Magenta (VLAN routing überhaupt möglich?)
Glasfasermodem --> Fritzbox --> OPNsense --> Zyxel Switche --> unifi AP Points für KG, EG, OG und Garten

https://www.directupload.net/file/d/5987/c4aq8z98_png.htm

Ich habe mein aktuelles Netzwerk und auch die beiden Varianten mal versucht zu zeichnen und als Links angehängt, ich denke / hoffe dann wird es etwas klarer .

Also im Prinzip habe ich aktuell 2 große Probleme in der Planungsphase....
- sinnvolle Aufgliederung der VLANs bei so vielen unterschiedlichen Geräten welche untereinander kommunizieren müssen
- grundsätzlicher Hardwareaufbau --> FritzBox vor oder hinter OPNsense

Meine OPNsense Hardware hat 8 netwerkanschlüsse, einen quadcore und 16gb RAM... also die vorhandene Hardware ist nicht das Problem.

Ich freue mich auf eure Antworten, Vorschläge und Kritik .

Danke und VG
Mitglied: BirdyB
01.11.2020 um 09:15 Uhr
Moin,
bitte füge deine Bilder über die foreneigene Uploadfunktion ein. Externe Bilderlinks klickt hier keiner gerne an.
Dann schauen wir mal weiter.
VG
Bitte warten ..
Mitglied: Razer1
01.11.2020 um 10:51 Uhr
Huiuiui, was eine Textwand.

Moin erstmal :D

Lösung 1 scheint mir am sinnvollsten - wenn man schon so komplex werden will.

ich gehe mal nicht zu tief ins Detail und gebe entsprechend Tipps wie du sowas lösen kannst.
- Server, NAS, etc. in eigenes VLAN und mit Routing / Firewall Regeln an die jeweiligen VLAN's durchreichen. (WireSpeed Routing wäre gut.)
- Magenta TV sollte ohne weiteres mit IGMPv3 funktionieren - VLAN 7 ist für den WAN mit PPPoE - daten gehen per MC an die E-BOX (so war mein letzter Stand)
- VLAN7 muss WAN seitig konfiguriert werden für Telekom FTTH.
- DECT und Analogtel über FB ist kein Problem - Firewall regeln beachten !
- VLAN 1 als Client Netz = unkonfigurierte VLAN's am Switch = Switch für Clients, alternativ GAST VLAN = default
- KEIN VLAN nach Standort sondern Typ wie IoT etc. (siehe Garten VLAN)
- VLAN für WLAN und Clients getrennt, im besten fall. Bei kleinem Netzwerk geht's auch ohne.
- WLAN über MikroTik o.ä. für MultiSSID über VLAN's
- WLAN im Garten am besten gleiche SSID und VLAN's, dort keine SSID für Gast ?
- ALEXA und co. sollte mit Multicastrouting funktionieren.

Vorschläge VLAN:
10 Clients (11 WLAN)
20 WLAN Gast
30 Clients Kinder (31 WLAN)
40 Clients IoT (41 WLAN)
100 Management
200 Server

Disclaimer:
Generell ist das Netzwerk schon sehr stark Fragmentiert - ob das so Sinn macht und ob man Lust hast das zu verwalten sollte jeder für sich selber entscheiden. Ich bin da eher der Meinung - keep it simple

P.S.: Magenta TV würde ich evtl. in einem kleinem Setup einmal ausprobieren. Scheint wohl manchmal Probleme zu machen.

Gruß
Bitte warten ..
Mitglied: Zaschii
01.11.2020 um 11:09 Uhr
Danke schon mal für die Antworten.
Ja sorry, der Text ist etwas lang geraten, wollte so gut es geht beschreiben was ich vorhabe .

Ich würde eigentlich auch Variante 1 bevorzugen, bin mir aber nicht sicher wie stabil die OPNsense als Router arbeitet und ob es dann zu Problemen mit MagentaTV kommt.

VLAN für WLAN und Clients ist auch so ein Thema, finde ich einerseits gut, andererseits nutze ich viel der Haussteuerung auch über mein Smartphone. So dass ich mein Smartphone z.B. gerne im Clients VLAN hätte um mehr Zugriff zu haben.

Garten hätte ich aus Sicherheitsgründen in einen komplett eigenen Bereich gepackt, weil was passiert wenn jemand das LAN Kabel im Garten vom AP zieht und an sein Notebook hängt.

Keep it simple finde ich grundsätzlich gut, aber ich tue mich schwer das sinnvoll zu vereinfachen / aufzuteilen.

Anbei noch die Bilder...

Aktuelles Netzwerk:
aktuelles_netzwerk - Klicke auf das Bild, um es zu vergrößern

Neuaufbau Variante1:
neuaufbau_netzwerk_variante1 - Klicke auf das Bild, um es zu vergrößern

Neuaufbau Variante2:
neuaufbau_netzwerk_variante2 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: ottinho
01.11.2020 um 11:19 Uhr
Moin,

also zum Thema MagentaTV kann ich dir sagen, dass das zumindest in meinem Setup läuft. Das ist dann allerdings pfsense statt opnsense, letztere scheint da laut diversen Forenbeiträgen tatsächlich Zicken zu machen.

Mein Aufbau ist grundsätzlich sehr ähnlich zu deiner Variante 1:
Draytek als Modem -> pfsense -> Switch -> Media Receiver
Dazu ein Gigaset GO statt der Fritte für Telefonie, ein Unifi AP für WLAN.
Diverse VLANs für Gäste, IOT etc...

Im IOT hängt beispielsweise Homematic IP und n Xiamoi Saugroboter. Keine Probleme.

Für MagentaTV ist eigentlich nur wichtig, dass der Switch IGMPv3 unterstützt... Das können selbst die Netgear oder TP Link Geräte.

Die entsprechenden Regeln könnte ich dir bei Bedarf gerne als Screenshot hier rein packen...

Viele Grüße
ottinho
Bitte warten ..
Mitglied: Razer1
01.11.2020, aktualisiert um 11:33 Uhr
Zitat von Zaschii:
Ich würde eigentlich auch Variante 1 bevorzugen, bin mir aber nicht sicher wie stabil die OPNsense als Router arbeitet und ob es dann zu Problemen mit MagentaTV kommt.

pfsense wäre auch eine alternative die scheinbar weniger stress macht. Routing sollte laufen. Auch bei OPNsense .. Routing / NAT und FW ist nun mal die Hauptaufgabe der Kiste.

Zitat von Zaschii:
Garten hätte ich aus Sicherheitsgründen in einen komplett eigenen Bereich gepackt, weil was passiert wenn jemand das LAN Kabel im Garten vom AP zieht und an sein Notebook hängt.

Du kannst dort auch einfach alles an VLAN's taggen, damit kann in der Regel ein normaler Client nichts anfangen. Alternativ kannst du natürlich auch eine Port Security einrichten (Switch muss das können) und jedes Online gehen muss erlaubt werden oder authentifiziert.
Oder das Default VLAN ist einfach tot.

P.S.: Radius für die Clients kann man machen aber die Trennung per SSID reicht meist. Dazu noch per DHCP die IP's festnageln und dann ggf. per FW auf der IP reglementieren, wenn etwas besonderes gesperrt oder freigegeben werden soll.
Bitte warten ..
Mitglied: aqui
01.11.2020 um 15:57 Uhr
ich versuche mich seit einigen Tagen in das Thema VLAN einzuarbeiten
Einfach das hiesige VLAN Tutorial durchlesen, da ist ist alles haarklein erklärt...
https://administrator.de/tutorial/vlan-installation-routing-pfsense-mikr ...

Zur Radius Authentisierung der WLAN Clients findest du hier entsprechende Infos:
https://administrator.de/tutorial/sichere-802-1x-wlan-benutzer-authentis ...
Radius Server gleich auf der pfSense mit dem FreeRadius Package:
https://administrator.de/content/detail.php?id=378188&token=202#comm ...
Dynamische VLAN Zuweisung:
https://administrator.de/tutorial/dynamische-vlan-zuweisung-wlan-u-lan-c ...
Bitte warten ..
Mitglied: Zaschii
02.11.2020, aktualisiert um 09:57 Uhr
@ottinho: wäre super wenn du mir ein paar Screenshots bezüglich deiner Konfiguration / Regeln bereitstellen könntest. Ich glaube das würde mir sehr helfen. Wie hast du deine VLANs aufgeteilt?
Wie hast du es z.B. umgesetzt dass du trotzdem mit dem Handy noch auf dein Saugroboter zugreifen kannst, für das Wifi VLAN aber generell den Zugriff einschränkst. Sonderregeln speziell für die Smartphone IP?

Meine Zyxel Switche können IGMPv3.

Wo ich allerdings noch etwas zögere, ist mein einigermaßen stabiles Fritzbox Konstrukt aufzulösen, wenn ich lese dass die OPNsense mit MagentaTV rumzickt... wenn ich letztendlich eine Umgebung habe die nicht richtig funktioniert und ich viel Arbeit reingesteckt habe, wäre das sehr enttäuschend.

Laut Foren liest es sich in der pfsense Welt finde ich auch etwas besser als bei OPNsense bezüglich MagentaTV, das verstehe ich allerdings nicht ganz, beide nutzen doch die gleiche igmpproxy version oder übersehe ich hier etwas?

Danke für die vielen Links, ich habe schon gesehen, dass wird ein schönes Winterprojekt .


Also so wie ich das sehe tendiert ihr auch zu meiner Variante 1, bezüglich der Struktur gibt es keine Einwände?

Wenn ich die VLAN-Aufteilung wie vorgeschlagen abändere...

10 Clients (11 WLAN)
20 WLAN Gast
30 Clients Kinder (31 WLAN)
40 Clients IoT (41 WLAN)
100 Management
200 Server

... würdet ihr Nextcloud, SAT-IP-Sever, SmartHome Server, NAS, Motioneye für IP-CAMs, piHole alle in das 200er VLAN für Server Packen?
und alles was dann eigentlich nicht virtualisiert so im Rack rumsteht ins Management VLAN?

Sorry für die vielen Fragen
Bitte warten ..
Mitglied: BirdyB
02.11.2020 um 10:47 Uhr
Moin,

also mir gehen bezüglich dieses Setups verschiedene Gedanken durch den Kopf:

Generell:
Ich finde es - für ein Home-Setup - recht komplex.
Wird dieser Detailgrad wirklich benötigt oder steckt da vielleicht auch einfach der Spieltrieb hinter, bestimmte Dinge einfach mal zu machen? (Hab ich öfter schonmal)
Hast du auf Dauer wirklich die Zeit und Lust, dieses Setup zu warten (Passiert ja alles in der Freizeit)
Falls mal etwas nicht funktioniert, hast du viele Fehlerquellen zu analysieren.

Aufteilung VLAN:
Ich würde die VLANs nicht nach Client und WLAN splitten. Ich sehe in deinem Setup darin keinen Vorteil
Also:
10 Clients
20 Gast
30 Kinder
40 IoT - Wenn man denn möchte
100 Management
200 Server (Du könntest auch Server und Management kombinieren... Je nach Anforderung)
Damit hast du schon 6 VLANs mit entsprechendem Netz und Firewallregeln, die du pflegen musst.

Mein Tipp: Mach es nicht zu kompliziert.
Bitte warten ..
Mitglied: ottinho
03.11.2020 um 14:10 Uhr
Hi nochmal!
Zitat von Zaschii:
Sorry für die vielen Fragen
Kein Problem
Wie hast du deine VLANs aufgeteilt?
Da kann man ja immer diskutieren. Der Eine machts so, der Andere so. Wie der Kollege @BirdyB schon sagte, zu komplex ist immer doof. Aber ich habe da auch den erwähnten Spieltrieb in mir

Meine Aufteilung ist wie folgt:
VLANS für
*Produktiv (PCs etc)
*Media (Smartphones, Fernseher, Fire TV Stick)
*Gäste WLAN
MagentaTV
VoIP
*IOT
Management

Die VLANS mit * haben jeweils ihre eigene SSID. Im Bereich IOT ist das dann z.B. noch auf L2 isoliert, das können die Unifi APs.

Ist natürlich für zuhause irgendwie Overkill, aber ich mag es so.

Wie hast du es z.B. umgesetzt dass du trotzdem mit dem Handy noch auf dein Saugroboter zugreifen kannst, für das Wifi VLAN aber generell den Zugriff einschränkst. Sonderregeln speziell für die Smartphone IP?
rules_media - Klicke auf das Bild, um es zu vergrößern
So zum Beispiel. Alle Geräte aus dem Media VLAN dürfen auf die Weboberfläche des Saugroboters zugreifen. Das könnte man natürlich bei der Quelle noch auf 2 Geräte einschränken, aber dann konfigurier ich mich wirklich doof und muss das bei nem Gerätewechsel anpassen... Sonst ist (wie dazu erkennen ist) Whatsapp erlaubt, Homematic, Web, Mail und ein paar Streaming Anbieter (ZDF oder Amazon Video benutzen z.B. komische Ports).

rules_iot - Klicke auf das Bild, um es zu vergrößern
Die Geräte aus dem IOT Netz dürfen im Prinzip gar nichts. Alleine schon, damit der Saugroboter nicht nach China telefoniert (wobei da eh Valetudo drauf ist, aber sicher ist sicher). Der Drucker darf allerdings auf das NAS per SMB zugreifen um Scans abzulegen.
Und der Homematic AP darf zumindest Richtung Internet machen, was er will.

rules_magenta - Klicke auf das Bild, um es zu vergrößern
Die Regeln zu MagentaTV sehen bei mir so aus. Da gibt es aber einen ziemlich schönen Beitrag unter https://forum.netgate.com/topic/153802/howto-magentatv-mit-pfsense-2-4-5
Die Screenshots dazu gibts zwar eigentlich nur wenn man eingeloggt ist, aus dem Quelltext kann man sich die Links aber so ziehen
Dazu kommt dann halt noch auf der WAN Seite ein bisschen was an Regeln sowie der IGMP Proxy. Der unterscheidet sich in der Version aber tatsächlich irgendwie von dem bei OPNSense. Das war zumindest zu dem Zeitpunkt anscheinend so, zu dem ich recherchiert hatte.

Die Regeln ließen sich übrigens deutlich reduzieren, wenn man IPv6 weglässt. Da ist das Problem, dass die über den Provider alle ein Netz zugeteilt bekommen bei der Einwahl und das halt dynamisch ist. Bei IPv4 sagst du einfach: Alles, was im privaten Adressraum steht, ist verboten. Bei IPv6 musst du halt für jedes VLAN ne Regel erstellen, die das verbietet... Da hab ich noch keine schönere Lösung gefunden. Vllt liest ja jemand mit, der mich da erhellen kann :D

Alleine deshalb achtet man schon drauf, die Anzahl gering zu halten.

Letzte Info: Ich mach das auch nur zum Spaß. Beruflich bin ich zwar in der IT aktiv, aber mit Firewalls oder Netzwerken habe ich eigentlich administrativ keine Berührungspunkte. Aber gerade mit den Tutorials von @aqui kommt man gut rein in die ganze Geschichte.

Viele Grüße
ottinho
Bitte warten ..
Mitglied: Zaschii
03.11.2020 um 14:11 Uhr
Na ja Spieltrieb steck auch etwas dahinter, aber es soll trotzdem möglichst einfach zu verwalten sein und ich möchte mir damit auch nicht irgendwelche Wege verbauen, sonst schimpft die Frau wenn auf einmal irgendetwas nicht mehr so funktioniert wie gewohnt .

Die VLAN Strukturierung habe ich nun schon versucht zu vereinfachen, aber eine weitere Vereinfachung macht denke ich wenig Sinn.
Ich überlege aktuell noch das Kinder VLAN wegfallen zu lassen, da sich hier nicht viele Geräte befinden werden. Allerdings finde ich den Gedanken die Geräte der Kids einschränken zu können durchaus ganz interessant.

vlan_aufteilung - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: BirdyB
03.11.2020 um 14:17 Uhr
Ich überlege aktuell noch das Kinder VLAN wegfallen zu lassen, da sich hier nicht viele Geräte befinden werden. Allerdings finde ich den Gedanken die Geräte der Kids einschränken zu können durchaus ganz interessant.

Du könntest den Geräten der Kids natürlich auch static leases im DHCP geben und dann über eine Alias-Gruppe in der Firewall verwalten.
Lässt sich aber mit manueller Adressvergabe schnell aushebeln.
Bitte warten ..
Heiß diskutierte Inhalte
Peripheriegeräte
Suchen Outdoor Wandler von LWL auf Cat 7 Kabel
pavelruFragePeripheriegeräte13 Kommentare

Hallo Zusammen, wir suchen einen Outdoor Konverter welcher von einem kommenden LWL Kabel auf CAT 7 Lan Kabel weiter ...

Netzwerkgrundlagen
Verständnisfrage zu Switchen in einem Netzwerk
kaloschkeFrageNetzwerkgrundlagen13 Kommentare

Hallo, nur interessehalber: Ich habe in meinem Heimnetzwerk einen Smarthomecontroller (Innogy) an einem Switch und einen Raspberry Pi mit ...

Festplatten, SSD, Raid
Synology NAS SHR auflösen
chkdskFrageFestplatten, SSD, Raid12 Kommentare

Mahlzeit zusammen, ich hab schon ein bisschen recherchiert, allerdings keine "aktuelle" Information gefunden. Kurz zu meinem Problem: Ich habe ...

Benchmarks
M.2 SSD und RAM zu langsam
MarkowitschFrageBenchmarks12 Kommentare

Hallo zusammen, ich habe mir folgenden PC zusammengestellt : MB: ASUS - ROG Strix Z490-E Gaming Mainboard (90MB12P0-M0EAY0) CPU: ...

Batch & Shell
Script zum festellen welche datein noch ganz sind
ricardobohnerFrageBatch & Shell10 Kommentare

Hallo Leute, Ich hab da ne frage: Kann man per script feststellen ob eine Datein noch 100% ist? Zum ...

Batch & Shell
Prozess beenden welcher eine bestimmte Datei verwendet
gelöst Ralus67FrageBatch & Shell10 Kommentare

Hallo Community Ich bin auf der Suche nach einer Lösung um einen bestimmten Prozess zu löschen, welcher von einer ...

Ähnliche Inhalte
Datenbanken
Neustrukturierung Anlagenverwaltung
sschultewolterFrageDatenbanken1 Kommentar

Hallo, habe nun seit Jahren in einem kleinen Unternehmen ein OpenOffice FrontEnd für MYSQL am laufen. Das ganze kommt ...

Windows Netzwerk
Netzwerk Neustrukturierung
IT-DreamerFrageWindows Netzwerk18 Kommentare

Hallo verehrte Community und Admins, bei uns im Haus steht eine Neustrukturierung an. Dafür benötige ich von euch ein ...

Netzwerke

Frage zur Neustrukturierung von Netzwerkfreigaben

TK871982FrageNetzwerke5 Kommentare

Hallo zusammen, ich stehe vor der Aufgabe die historisch gewachsene Struktur von Netzwerkfreigaben neu zu organisieren. Aktuell herrscht folgende ...

LAN, WAN, Wireless

UniFi Netwerk APs mehrere Netzwerke

ThabeusFrageLAN, WAN, Wireless12 Kommentare

Moin moin, ich habe das erste mal mit den AP von UniFi zutun. Laufen alle super, das vor ab. ...

Batch & Shell

MS FTP im Batch vs Domänen Netwerk

StrunzDummFrageBatch & Shell6 Kommentare

Hallo Alle, ich suche nach einer Idee die mir bei einem Problem hilft. MS FTP auf Win7 /10, soll ...

MikroTik RouterOS

Speedport W 724V + MikroTik Routerboard 450G + VDSL (all IP) + MagentaTV Entertain v2

loggedinFrageMikroTik RouterOS13 Kommentare

Hallo, ich hatte damals folgendes Problem Speedport W 724V + Routerboard 450G + VDSL (all IP) + Entertain und ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud