basst23
Goto Top

Netzwerk mit opnsense, aber wo?

Hi zusammen,

ich bin gerade mal wieder dabei mein Netzwerk zu verbessern ;)
Ich habe mir mittlerweile einiges an Hardware angeschafft und das Netz auf Layer3 eingerichtet.
Nun soll eine opnsense Einzug erhalten um sensible bereiche besser zu sichern.

Die FritzBox macht in erster Linie nur Internet.
Die zwei Netgear Router übernehmen das grundsätzliche Routing. Diese laufen mit DD-WRT. Firewall regeln sind eingerichtet - allerdings nur das wichtigste. (VLAN20 ist zb komplett abgeschottet).

Jetzt möchte ich gerne eine opnsense hinzufügen. Diese läuft Softwaremäßig als VM auf dem Proxmox node.
Alle nodes haben ein zusätzliches externes NIC (USB) erhalten. Node2 hat sogar einen doppel NIC.
Somit haben alle nodes 2 NICs und node1 sogar 3.

Wo bringe ich nun die opnsense am besten unter um keinen Flaschenhals zu bekommen?
Vielleicht sogar 2x opnsense?

VLAN5 ist mein NAS (VM mit 6 USB Platten)


Grüße
screenshot_20240131_081013

Content-ID: 81885779512

Url: https://administrator.de/forum/netzwerk-mit-opnsense-aber-wo-81885779512.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

NordicMike
NordicMike 31.01.2024 um 08:50:01 Uhr
Goto Top
Wo bringe ich nun die opnsense am besten unter
Das hängt davon ab was du schützen möchtest -> direkt davor.

Eigentlich benötigt das gesamte Netzwerk nur einen Router, um Doppel-NAT zu vermeiden. Die Fritzbox als exposed Host und danach gleich OPNsense und in der OPNsense gleich die VLANs erzeugen bzw DHCP und DNS für die VLANs. Da es jedoch eine VM wird, würde das gesamte Netzwerk nur funktionieren, wenn der dementsprechende Proxmox hoch gefahren ist. Deswegen "eigentlich". Um das zu vermeiden, wäre OPNsense als kleine Hardware hinter der Fritzbox die schönere / sauberere Lösung.
BassT23
BassT23 31.01.2024 um 10:59:39 Uhr
Goto Top
Separate Hardware wäre besser, gebe ich dir recht, aber: Bei mir handelt es sich nur um eine Mietswohnung :D
Ich habe eigentlich schon zu viel Hardware (Stromfresser). Wollte jetzt nicht noch nen 4. Server dazu klemmen. Zudem ist die opnsense glaub eh spielerei, als must have.

Doppel NAT? Naja, eigentlich ist es hier sogar ein tripple NAT :D
Spass bei Seite, die Firewall (NAT) ist nur in der Fritte aktiv. Die beiden DD-WRT laufen im Gateway mode.
Der 2. Router ist nur für das Smarthome gedacht - Stichwort Ausfallsicherheit und physische Netztrennung.
Wenn mein Smarthome ausfällt, bekommt meine Frau fast kein Licht mehr an :D

Gesichert werden soll in erster Linie das NAS mit Nextcloud.
Danach wäre das VLAN10 Monitoring / Service auch nicht verkehrt.
Zuletzt dann vermutlich auch der geammte rest.
Also eigentlich alles :D

Mehre Firewalls wäre ziemlicher Unsinn, und ein großer Aufwand in der Administration, oder nicht?
Andererseits, da die nodes im VLAN3 sind (gemacht, weil ich gelesen habe, dass VLAN1 rein für Routing verwendet werden sollte) und die opnsense als VM laufen würden, sollte vor jeden node eine Firewall.

Oder hab ich da irgendwo denkfehler ;)

Grüße
NordicMike
Lösung NordicMike 31.01.2024 um 11:43:07 Uhr
Goto Top
Es ist eine Designfrage. Willst du nur von extern schützen oder auch vor internen Angriffen z.B. ein Mitbewohner hat sich was eingefangen. Dementsprechend musst du dann hinter der Fritte oder vor jedem Node das OPNsense setzen.

Mit Hardware ist nicht unbedingt ein 4. Server gemeint, OPNsense läuft auf kleinen Platinchen mit einem Steckernetzteil und 10W Leistung
BassT23
BassT23 31.01.2024 um 12:18:13 Uhr
Goto Top
Zitat von @NordicMike:

Es ist eine Designfrage. Willst du nur von extern schützen oder auch vor internen Angriffen z.B. ein Mitbewohner hat sich was eingefangen. Dementsprechend musst du dann hinter der Fritte oder vor jedem Node das OPNsense setzen.

Der Ansatz ist gut! - Familie mit 4 Kindern. Noch schotte ich sie ganz gut ab, aber wer weis was die Anschleppen werden :D
Wenn die mir das Netz versauen *auweia*

Mit Hardware ist nicht unbedingt ein 4. Server gemeint, OPNsense läuft auf kleinen Platinchen mit einem Steckernetzteil und 10W Leistung

Beispiele? - Hätte hier noch nen ODroid-C4 oder Raspi3B rumliegen face-smile

Verständniss Frage:
Da die Nodes alle mit Trunkport angeschlossen sind, in Welches subnet sollten WAN/LAN interfaces am besten hin?
PS: Die Nodes sind im Cluster und sollten jederzeit alle subnets nutzen können.
opnsense sollte alle VLANs abdecken können, oder?
NordicMike
NordicMike 31.01.2024 um 12:41:16 Uhr
Goto Top
Beispiele?

OPNsense Hardware für Eigenbau

Ansonsten nach OPNsense Mainbaords googlen.

z.B.

https://www.du-consult.de/opnsense-die-beste-hardware-in-2022/

opnsense sollte alle VLANs abdecken können, oder?
ja, Du brauchst nicht mehr als einen DHCP Server, einen DNS Server und einen Router im Netz für alle VLANs. Du musst dich nur noch entscheiden, wer das übernehmen soll. Dieser muss dann in alle VLANs.
BassT23
BassT23 31.01.2024 aktualisiert um 13:49:20 Uhr
Goto Top
Zitat von @NordicMike:
ja, Du brauchst nicht mehr als einen DHCP Server, einen DNS Server und einen Router im Netz für alle VLANs. Du musst dich nur noch entscheiden, wer das übernehmen soll. Dieser muss dann in alle VLANs.

Das macht tatsächlich alles der R7000
zusätzlich läuft aktuell noch ein nginx-proxy-Manager für Namensauflösung im Heimnetz und das Port Forwarding für online Dienste.
Das soll im besten Fall dann auch opnsense übernehmen.

opnsense soll dann auch VLAN und DHCP für das NAS/Nextcloud VLAN komplett übernehmen. opnsense ist ja schließlich direkt vorgelagert. Dann brauch das der R7000 nicht machen, oder ist das doof?
Der R7000/R6400 bekommen das Routing eingepflegt. Oder ich mache ein VPN/Proxy Tunnel in das DMZ VLAN

Der R6400 hat zwar auch DHCP aber auch nur wg der Ausfall Sicherheit.
Das Smarthome ist komlett auf "local" aufgebaut. Also wenn der Router seine Verbindung ins restliche Netz verliert, oder Internet ausfällt, läuft alles normal weiter face-smile
Internet ist bei den IoT Geräten sowieso geblockt, per Firewall Regel im R6400.

Routing Regeln sind auf allen 3 Routern eingerichtet, um unnötigen Traffic zu vermeiden.
Doppel-NAT Probleme habe ich keine face-smile

NACHTRAG:
Hardware Firewall fängt bei 130€ an. Spass macht es aber erst ab über 200€, ...
Soviel haben nicht ml meine "Server" gekostet :D (elitedesk/NUC7 je Stück rund 120€)
aqui
Lösung aqui 01.02.2024 aktualisiert um 14:14:50 Uhr
Goto Top
BassT23
BassT23 02.02.2024 um 17:52:30 Uhr
Goto Top
Zitat von @aqui:

in Welches subnet sollten WAN/LAN interfaces am besten hin?
Pfsense in Proxmox als Router
Das hab ich auch schon gesehen, deshalb bin ich auch darauf gekommen es zu versuchen ;)

Also doch fast 200€ face-smile
Erstmal bleib ich bei der SW Version. Werde es aber mal auf meinen Wunschzettel packen ;)
Danke
aqui
aqui 02.02.2024 um 19:40:30 Uhr
Goto Top