skoprion1800
Goto Top

Privates Netzwerk mit vielen umfangreichen Gegebenheiten und Umständen

Hallo liebe Forengemeinde,

ich habe nun endlich beim Vermieter seine alte Homebox gegen eine Fritzbox 7490 von mir austauschen dürfen,
und nun muss ich dringend noch "nebenbei" das einrichten, verwalten bzw. administrieren erlernen, damit ich meinem Ausbildungsberuf auch gerecht werde....

Wie im Bild zu sehen, soll das alles als Gesamtaufbau "werden"

1. Das Internet oben ( BLAU ) kommt in die 1.Fritzbox 7490 rein. ( hier ist noch alles relativ "unwichtig" )

2. jetzt geht es in den mittleren 2. Bereich ( grüner Kreis ) "ins Herz"... zum NetgearGS308 und/oder der Fritzbox 7390
2.1 Hier möchte ein Freund und Arbeitskollege ( LILA ) seinen Mini-PC als "Knoten" einrichten. Hier sind Kameras und Mikrokontroller installiert, was er als VPN von außen als "Zugriffsknotenpunkt" hernehmen möchte, weil wir gemeinsam an Mikrokontrollern arbeiten,
damit aber auch ich von unterwegs sehe, ob der 3D Druck über Relais abgebrochen werden soll etc.

3. der blaue Rahmen unten ist der Admin-Bereich. Hier würde ich gern einen ThinClient ( proxmox, Pi-hole ) etc. integrieren, sowie ggf. noch eine Hardwarefirewall ( nur zum üben mit Ports, Protokolle, etc. für Thema Internetsecurity )

Jetzt erstmal 2 Fragen:
4. Den lila-Bereich links ( VPN Knoten ) über den Switch mit einem Vlan komplett vom blauen Bereich trennen, oder über die Fritzbox7390 ausreichend oder zusätzlich wie am besten aufstellen / konzipieren?

5. Wie wäre es in der Fritzbox zu konfigurieren, das da einfach "Portforwarding" ausreicht.
-> Sprich von Fritzbox 1 auf Fritzbox 2 damit der "MSI Mini PC" als VPN Knoten agieren kann, damit man auch von außerhalb auf Kameras, Relais etc. zugreifen kann?

Grüße
Patrick
screenshot 2023-11-24 095913

Content-Key: 14004038532

Url: https://administrator.de/contentid/14004038532

Printed on: February 29, 2024 at 20:02 o'clock

Member: maretz
Solution maretz Nov 24, 2023 at 09:31:25 (UTC)
Goto Top
Sorry, aber was für nen ausbildungsbereich machst du denn? Muss ja nicht jeder in der IT sein, das is ja nich schlimm...

Denn SOLLTEST du irgendwas mit IT zu tun haben dann nimm deine gesamte Fritzbox-Sammlung, werfe die gepflegt in die nächste Tonne und wenn du sowas schon aufbauen willst dann mit richtigen Equipment und VLANs. DAMIT könntest du was machen was einer Ausbildung nahekommt.

In jedem Betrieb würdest du nämlich für das Geraffel was auf die Finger bekommen... Stichwort: Doppeltes NAT, Stichwort "reale Firewall",... Und du wirst dir damit einfach nur unnötige Arbeit aufhalsen so wie es is.
Member: ukulele-7
Solution ukulele-7 Nov 24, 2023 at 09:40:54 (UTC)
Goto Top
Freitag *seufz*

Routerkaskade über drei Router mit einem VPN Tunnel durch mindestens den ersten Router, irgendwie doppelt NAT und das ganze ohne VLAN Support (weil Fritzbox kein VLAN).

Wenn du dir eine "Hardwarefirewall" kaufen willst, such dir was ordentliches mit VLAN Support etc. als zentralen WAN Router mit Firewall. Segmentiere dein Netz, notfalls mit seperaten Switches für jedes VLAN hinter dem Router. Routing und VPN Tunnel übernimmt die Firewall auch.
Member: Visucius
Solution Visucius Nov 24, 2023 at 10:08:01 (UTC)
Goto Top
Ich kürz das mal ab: Gelben Kreis durch einen Mikrotik Router oder CRS Switch ersetzen.
Member: skoprion1800
skoprion1800 Nov 24, 2023 updated at 10:26:29 (UTC)
Goto Top
Zitat von @maretz:

Denn SOLLTEST du irgendwas mit IT zu tun haben dann nimm deine gesamte Fritzbox-Sammlung, werfe die gepflegt in die nächste Tonne und wenn du sowas schon aufbauen willst dann mit richtigen Equipment und VLANs. DAMIT könntest du was machen was einer Ausbildung nahekommt.

In jedem Betrieb würdest du nämlich für das Geraffel was auf die Finger bekommen... Stichwort: Doppeltes NAT, Stichwort "reale Firewall",... Und du wirst dir damit einfach nur unnötige Arbeit aufhalsen so wie es is.


Neee.... was mir schon alles geraten wurde.... Bis ich beim TP-Link Er605 angekommen war, und die ###e nur noch größer wurde.
Weil bevor ich 100% alles komplett neu konfiguriere, wo ich wirklich nur Teilwissen habe, kann ich so wenigstens schnell getrost auf die Einstellungen und "Erweiterungen" der Fritzboxen zurückgreifen, und die reichen ja für die Vorhaben schon normal aus...

-> Warum doppeltes Nat, wenn die 2. Fritzbox 7390 nur als IP-Client Dient und das netz erweitert vom Adressbereich der ersten?...


Zitat von @Visucius:

Ich kürz das mal ab: Gelben Kreis durch einen Mikrotik Router oder CRS Switch ersetzen.

wäre gar kein Problem, könntest Du mir bitte sagen, was dann "besser" wäre?


Zitat von @ukulele-7:

Freitag *seufz*

Routerkaskade über drei Router mit einem VPN Tunnel durch mindestens den ersten Router, irgendwie doppelt NAT und das ganze ohne VLAN Support (weil Fritzbox kein VLAN).

Wenn du dir eine "Hardwarefirewall" kaufen willst, such dir was ordentliches mit VLAN Support etc. als zentralen WAN Router mit Firewall. Segmentiere dein Netz, notfalls mit seperaten Switches für jedes VLAN hinter dem Router. Routing und VPN Tunnel übernimmt die Firewall auch.

Ich sehe und habe nur 2 Router... Mit VPN stimmt durch den ersten Router, was aber "normal" ist,
und siehe Bild, geht das schon mit Vlan ( war ja nur optional gedacht... )

Hardwarefirewall (2x) ist schon im Besitz...
und eine Switch ist ja auch schon vorhanden..
screenshot 2023-11-24 110552
screenshot 2023-11-24 110535
Member: aqui
Solution aqui Nov 24, 2023 updated at 10:35:22 (UTC)
Goto Top
Gelben Kreis durch einen Mikrotik Router oder CRS Switch ersetzen.
+1 👍
...und VPN da drauf mit onboard Client terminieren.
Erspart dem TO dir gruselige Fritzbox Frickelei und doppelte NAT Fallen von oben.
Warum doppeltes Nat, wenn die 2. Fritzbox 7390 nur als IP-Client Dient
IP Client?? 🤔 Mit was für einem Zweck? Telefonie? Für eine einfache Erweiterung reicht ja auch ein popeliger LAN Switch vom Blödmarkt Grabbeltisch.
Bedenke immer das die Fritzbox im Router Modus kein deaktivierbares NAT (IP Adresstranslation) am WAN/Internet Port hat! Deshalb die zu Recht oben angemahnte Vorsicht mit NAT Fallen. Guckst du zu der Thematik auch HIER. Mikrotik VLAN Router wäre hier, wie oben schon gesagt, vermutlich die deutlich bessere Wahl! Ein Gerät was dir zum kleinen Preis alles in einem bietet: Switch, VLAN Segmentierung, Firewall, VPN Server.
Freitagsthread... 🐟
Member: skoprion1800
skoprion1800 Nov 24, 2023 at 10:33:45 (UTC)
Goto Top
Zitat von @aqui:

Gelben Kreis durch einen Mikrotik Router oder CRS Switch ersetzen.
+1 👍
...und VPN da drauf mit onboard Client terminieren.
Erspart dem TO dir gruselige Fritzbox Frickelei und doppelte NAT Fallen von oben.
Warum doppeltes Nat, wenn die 2. Fritzbox 7390 nur als IP-Client Dient
IP Client?? 🤔 Mit was für einem Zweck? Für eine Erweiterung reicht ja auch ein popeliger Switch vom Blödmarkt Grabbeltisch. Bedenke das die Fritzbox im Router Modus kein deaktivierbares NAT (IP Adresstranslation hat)! Deshalb die zu Recht oben angemahnte Vorsicht mit NAT Fallen. Guckst du zu der Thematik auch HIER. Mikrotik VLAN Router wäre hier vermutlich die deutlich bessere Wahl!
Freitagsthread... 🐟


Ok, das macht die Erfahrung der "alten Hasen" natürlich wieder aus.
Es ist wirklich kein Problem die 7390 schnell durch was anderes zu ersetzen.
Dann schaue ich mir mal ganz schnell den Mikrotik VLAN Router mal an...
Member: maretz
Solution maretz Nov 24, 2023 at 10:35:15 (UTC)
Goto Top
Also erstmal - die Fritte ist natürlich privat erstmal nen schönes Spielzeug - nutze ich hier auch zuhause. ABER eben es ist nur ein Spielzeug was aus gutem Grund nicht in grösserem Umfeld eingesetzt wird.

Je nachdem was du als Firewall hast kann die ggf. auch als "Router" fungieren (da die ja sicher auch NAT kann). Aber wenn du dir die oberen Kommenare mal ansiehst - alle raten von deiner Konstruktion ab. Das bietet jetzt also 2 Optionen: Du hast nen genialen Entwurf den hier keiner versteht -> oder (und ich glaube du wirst es auch erkennen) es wird aus gutem Grund gesagt "mach es nich so".

Was ich tun würde - im Zweifel einfach einen Switch pro FW-Port nehmen (wenn du keinen vlan-fähigen switch hast) und das darüber machen. VPN terminiert auf der Firewall/dem router und da sagst du dann auch welche Netzwerke erreicht werden können.

Eine _einfache_ (weil mit Gui versehene Lösung) wäre zB. mit Ubiquiti, gehen aber auch beliebige andere (Microtek, Cisco,...).
Member: skoprion1800
skoprion1800 Nov 24, 2023 at 10:42:37 (UTC)
Goto Top
Ich habe leider bei "uns" Fachinformatikern herausgefunden, das Freak und Nerd nicht mehr "ausreichend ist...
Das Problem:
man lernt erstmal Autofahren und kommt von A nach B...
jetzt kommt der eine mit Audi, der andere mit Tesla und wiederum der andere mit Benz an.... und jeder drückt und verlinkt Dir ein Handbuch mit 10'000 Seiten, weil jeder Hersteller seine eigene Bezeichnung und Prinzipchen hat usw..

Also... Ein Switch alla Netgear GS308 (Vlan-fähig) wäre ja vorhanden ( mag ich aber nicht, und tausche ich gern gegen einen Ubiquiti aus, weil der eine schönere übersichtlichere GUI hat...

### erstmal auf die Firewalls... nur schön wenn das dann auch noch optional klappt, um mit Opensense / OpenVPN noch lernen zu können... )

Jungs... ich habe keine Erfahrung mit Microtek..
welches Model könntet Ihr mir da bitte empfehlen? Muss ich auf eine "besondere" Einstellung oder Modellvariante achten? Was würde da schon "ausreichen" und ich würde es gern so machen, wie Ihr es mir empfehlen würdet,
nur wurde mir auch schon viel geraten, was dann nicht geklappt hatte bzw. sich umsetzen ließ...
Member: maretz
Solution maretz Nov 24, 2023 at 10:47:18 (UTC)
Goto Top
wenn du eh schon ubiquiti hast - die haben doch die USG als Firewall. Dahinter nen kleinen Drytek Vigor gepackt (als Modem) -> fertig is... habe ich hier einige Jahre so ohne Probleme gemacht. Schon hast du kein doppeltes Nat, alles in deiner UniFi-Konsole und kannst loslegen.

Der einzige Grund warum ichs heute nich mehr habe - nach dem Umzug war es platzmässig einfach nich mehr sinnvoll da ich das Rauschen nich immer im Wohnzimmer haben wollte ;). Aber _TECHNISCH_ ist die Lösung problemlos machbar - und du kannst damit genau deine Anforderungen machen (und mit nem UniFi-AP auch problemlos dein Gastnetzwerk hochziehen...).
Member: commodity
Solution commodity Nov 24, 2023 updated at 10:54:29 (UTC)
Goto Top
Ich kürz das mal ab: Gelben Kreis durch einen Mikrotik Router oder CRS Switch ersetzen.
+1 - aber keinen CRS zum Routen nehmen. Je nach Leistungsbedarf (Netzdurchsatz) einen hEX, L009 oder (mit viel Luft...face-smile RB5009. Spart dann auch, wenn man mag, die Firewall im blauen Kreis.

Ich würde auch die erste Fritzbox durch ein Modem ersetzen. Der Mikrotik erledigt den Rest ganz allein. Geht aber auch in einer Kaskade.

Beachten: RouterOS ist nichts für Leute ohne Netzwerkkenntnisse bzw. viel Interesse/Zeit&Lernwillen. Ich habe es gesagt. face-wink
Vorteil: Was Du am Mikrotik verstehst, verstehst Du später bei allen face-smile
Wäre bei Cisco auch so - nur teurer. Von Herstellern, die die Standards verschleiern, damit man nur ihre Lösung umsetzen kann (und nichts versteht) halte ich nichts. Außer, man will es quick&simple. Aber dann hängt man am Tropf eines Herstellers und zahlt das auch.

Zum Reinschnuppern:
https://www.youtube.com/watch?v=UHyTbfC6Pys&list=PLnzEbgyK52GvvgQ4L2 ...
https://www.youtube.com/@mikrotik
https://forum.mikrotik.com/index.php

Viele Grüße, commodity
Member: skoprion1800
skoprion1800 Nov 24, 2023 at 11:14:22 (UTC)
Goto Top
Zitat von @maretz:

wenn du eh schon ubiquiti hast - die haben doch die USG als Firewall. Dahinter nen kleinen Drytek Vigor gepackt (als Modem) -> fertig is... habe ich hier einige Jahre so ohne Probleme gemacht. Schon hast du kein doppeltes Nat, alles in deiner UniFi-Konsole und kannst loslegen.

Der einzige Grund warum ichs heute nich mehr habe - nach dem Umzug war es platzmässig einfach nich mehr sinnvoll da ich das Rauschen nich immer im Wohnzimmer haben wollte ;). Aber _TECHNISCH_ ist die Lösung problemlos machbar - und du kannst damit genau deine Anforderungen machen (und mit nem UniFi-AP auch problemlos dein Gastnetzwerk hochziehen...).


Nein, habe noch nix von ubiquiti... habe mir nur mal die Switch Vergleiche angesehen, und war NACH DEM KAUF des Netgear GS308 dann doch mehr vom ubiquiti überzeugt... ( zudem auch nur positives über die gelesen usw.. )
Und jetzt wird es wieder Nerd / Freakig... Also wenn ich schon eine ubiquiti habe... JA WAS DEN davon überhaupt, dann kommst Du jetzt schon mit USG und Firewall an, sowie "nen kleinen Drytek Vigor" ( als Modem ) spricht man dann beim ubiquiti von switch? router? wohl eher letzteres weil Switch mit FW ist mir gerade auch nicht bekannt...

Also ubiquiti SWITCH oder ROUTER HINTER die Fritzbox7490 ODER doch was von Microtec....
( das ist wichtig... )


Zitat von @commodity:

Ich kürz das mal ab: Gelben Kreis durch einen Mikrotik Router oder CRS Switch ersetzen.
+1 - aber keinen CRS zum Routen nehmen. Je nach Leistungsbedarf (Netzdurchsatz) einen hEX, L009 oder (mit viel Luft...face-smile RB5009. Spart dann auch, wenn man mag, die Firewall im blauen Kreis.

Ich würde auch die erste Fritzbox durch ein Modem ersetzen. Der Mikrotik erledigt den Rest ganz allein. Geht aber auch in einer Kaskade.

Mein Nachbar / Vermieter reißt mir den schädel runter, gibt mir Hausverbaut + Kündigung, wenn ich den jetzt nochmal weiter mit irgend nen Bullshit auf dieser Welt nerve, was ER NICHT BRAUCHT...
das hat mich schon viel mit der Fritzbox gekostet und dies konnte ich wenigstens "sicher einrichten" mal kurz nebenbei...

Beachten: RouterOS ist nichts für Leute ohne Netzwerkkenntnisse bzw. viel Interesse/Zeit&Lernwillen. Ich habe es gesagt. face-wink

siehste... weil hier wäre dann schon das erste Problem gewesen...

Vorteil: Was Du am Mikrotik verstehst, verstehst Du später bei allen face-smile

Ja bin ich dabei, aber hinter der ersten Fritzbox...

Viele Grüße, commodity

Das andere schaue ich mir gern an, wenn ich mich dann für ein System entschieden habe
Also:
keinen CRS zum Routen nehmen. Je nach Leistungsbedarf (Netzdurchsatz) einen hEX, L009 oder (mit viel Luft...face-smile RB5009.

https://www.reichelt.de/hex-mit-dual-core-880-mhz-cpu-256-mb-ram-5x-gbit ...

CRS - REIHE NIX...

https://www.jacob.de/produkte/mikrotik-l009uigs-2haxd-in-wlan-router-l00 ...

was für ein Kaliber die l009 Reihe...

und mikrotik RB5009....
etwas übertrieben für 200€+ .... und was soll da mit "viel Luft" gemeint sein

Also stehe jetzt immer noch fragend dar... von Ubiquiti "was eigentlich" bis zum Microtec hex vs l009....
Member: maretz
Solution maretz Nov 24, 2023 at 11:29:26 (UTC)
Goto Top
ok - also erstmal ist die Frage: Was WILLST (und DARFST) du? Wenn ich das richtig sehe ist die Fritte eh schon gesetzt weil du eben nicht weiter umbauen darfst. Das ist zwar doof - aber ein Fakt den man dann eben nicht ändern kann. Da ist es dann auch egal was man vorschlägt - sofern der Leitungs-/Hauseigentümer "Nein" sagt is das gesetzt.

Damit wird es dann zum doppeltem NAT werden (und ggf. zu Spass mit dem Vermieter falls der zB. Kinder hat und die plötzlich nich mehr mit der PSx Spielen können). Dann ist eben die nächste Frage: Wieviel Zeit, Geld und Lernaufwand willst du reinwerfen? Auch da ist die Sache klar: Wenn du sagst das du kein Geld ausgeben kannst/willst dann wird die zweite Fritte eben im System bleiben. Mit allen Nachteilen die es mit sich bringt. Du KANNST es natürlich dann trotzdem irgendwie hinbiegen (meistens), obs stabil läuft ist eine andere Frage.

Am Ende sollte dir eines aber auch klar sein... Es ist völlig egal ob du zum lernen nun Cisco, Microtec, Ubiquiti oder was auch immer nutzt, du musst alles "irgendwie" einstellen. Wenn du erstmal wirklich verstanden hast was du da machst ist es aber wiederrum nur "eine Geschmacksrichtung" ob du nun Befehlssatz 1, 2 oder Klick-Welt 3 nimmst. Die Fritzbox (u. ähnliche) sind halt ausgenommen weil die eben idR. genau dieses Verständnis wegnehmen -> du klickst dich durch den Assistenten durch, im besten Fall richtet sich das ding per TR-Protokoll selbst fürs Internet ein und fertig. Das ist schön wenn man weiss was es macht und einfach keine Lust mehr hat zum 20sten (oder mehr) Mal NAT usw. einzurichten und ne Firewall zu konfigurieren (Fritte: Default einfach alles vom Web blocken ist ja auch ok). Das ist auch schön wenn man sich mit sowas gar nicht auskennen WILL (es muss eben nicht jeder sich mit allem auskennen... Ich sitze ja im Flieger auch nur hinten und nur weil ich ab und an in den Urlaub fliege muss ich nich wissen was die vorne Links + Rechts da fröhlich rumtippen). Um ein Verständnis aufzubauen hilft die Fritte eben dagegen eher nicht...
Member: Visucius
Solution Visucius Nov 24, 2023 updated at 11:38:47 (UTC)
Goto Top
könntest Du mir bitte sagen, was dann "besser" wäre?

Fangen wir oben an (1. Fritze):
Kann man machen. Damit hat der erste (gelbe Linien) sein Internet … machst Du das Setup dann wie von Dir geplant weiter, kann jeder dahinter (bzw. an oder hinter Fritzbox 2) auf das erste Netzwerk und die Geräte dort zugreifen.

2. Fritze:
Du gewinnst hier ja keine Funktionalität gegenüber der ersten Fritze. Entweder die arbeitet als Router (WAN-Port), dann blockt sie den Verkehr von den „ersten obigen Rechnern“ zu allem hinter ihr oder sie arbeitet als Client, dann ist sie weitgehend transparent - ähnlich wie ein handelsüblicher Switch.
In beiden Fällen kann das Gäste-Wlan auf Deine iOT und Sec-Cameras zugreifen und der iOT-Kram hat freien Zugang zum Internet.

Admin-Bereich:
Den trennst Du dann mit einer „leistungsfähigen“ Firewall weg. Das ist Quatsch, weil zu weit hinten. Wer dahinten dran kommt, hat alles davor schon überwunden und die Fähigkeiten dieses Gerätes werden überhaupt nicht eingesetzt.

Lösung:
a) wie gesagt ein fähiger Router, in dem Du vLANs konfigurierst und die Routen manuell anpassen kannst und vor allem auch bestimmte IP-Bereiche sperren kannst (damit keiner unten an die ersten Clients kommt, und Dein iOT-Spielzeug nur das macht, was es soll, ebenso wie die Gäste). Dir/admin kannst Du dann trotzdem die Rechte „über alle Teilbreiche“ einräumen. Die (rote) Firewall kann dann im Prinzip auch weg.

oder

b) Du packst die Firewall eine Ebene höher anstelle der zweiten Fritze und spannst mit ihr die vLANs auf und eben auch die DHCPs und das Routing dafür. Und die verwaltet wer von wo nach wo darf (Firewall). Dahinter - falls die Ports nicht reichen - den vlan-fähigen(?) Netgear-Switch.

oder

c) Du kannst den ganzen Kram auch komplett auf Ubi, Cisco, tplink oder allen anderen (KMU-Anbietern) aufbauen, die Strukturen sind bei allen die gleichen nur das Interface ändert sich entsprechend.


Hängt auch alles wenig von den Vor-Ort-Gegebenheiten ab. Die Fritzen und der Switch werden ja vermutlich nicht nebeneinander stehen face-wink
Member: aqui
Solution aqui Nov 24, 2023 at 12:11:55 (UTC)
Goto Top
Nein, habe noch nix von ubiquiti...
Sei froh. Grottige Performance und Skalierbarkeit und durch die Zwangscontroller ein übler Vendor Lockin. Da lässt man besser die Finger von!
Member: skoprion1800
skoprion1800 Nov 24, 2023 at 12:12:28 (UTC)
Goto Top
Danke, jetzt verstehen wir uns face-smile

Zitat von @maretz:

ok - also erstmal ist die Frage: Was WILLST (und DARFST) du? Wenn ich das richtig sehe ist die Fritte eh schon gesetzt weil du eben nicht weiter umbauen darfst. Das ist zwar doof - aber ein Fakt den man dann eben nicht ändern kann. Da ist es dann auch egal was man vorschlägt - sofern der Leitungs-/Hauseigentümer "Nein" sagt is das gesetzt.


Also... ich will das oben aus meiner Grafik und Thread 1 face-smile und darf ALLES machen, was 1mm hinter der Fritzbox 1 - 7490 kommt... ( bin aber da auf 1 Lan-Kabel "beschränkt... weil noch größerer Loch bohren is nich)

Damit wird es dann zum doppeltem NAT werden (und ggf. zu Spass mit dem Vermieter falls der zB. Kinder hat und die plötzlich nich mehr mit der PSx Spielen können).

neee
weil:
Zitat von @aqui:

Gelben Kreis durch einen Mikrotik Router oder CRS Switch ersetzen.
...und VPN da drauf mit onboard Client terminieren.
Erspart dem TO dir gruselige Fritzbox Frickelei und doppelte NAT Fallen von oben.

Hier wurde von @aqui gesagt, das da nix mit doppelt Nat so ist usw...
UND NEIN, der Vermiter hängt komplett mit allem drum und dran IN DER ERSTEN Fritzbox 7490,
der bekommt davon NIX MIT face-smile

Zitat von @maretz:

Dann ist eben die nächste Frage:
Wieviel Zeit, Geld und Lernaufwand willst du reinwerfen? Auch da ist die Sache klar: Wenn du sagst das du kein Geld ausgeben kannst/willst dann wird die zweite Fritte eben im System bleiben. Mit allen Nachteilen die es mit sich bringt. Du KANNST es natürlich dann trotzdem irgendwie hinbiegen (meistens), obs stabil läuft ist eine andere Frage.


Zeit die nächsten 50 Jahre bis ich es gelernt, kapiert, verstanden und durchgearbeitet habe, weil es mein "Job" ist in dem Bereich in der Zukunft... ( beinhaltet auch gleich den "Lernaufwand" )
Geld... mei.. wenn es ein paar hundert kostet, dann ist es einfach so... ich kaufe es gebraucht, und kann es ja auch "schnell wieder austauschen...

Zitat von @maretz:

Am Ende sollte dir eines aber auch klar sein... Es ist völlig egal ob du zum lernen nun Cisco, Microtec, Ubiquiti oder was auch immer nutzt, du musst alles "irgendwie" einstellen. Wenn du erstmal wirklich verstanden hast was du da machst ist es aber wiederrum nur "eine Geschmacksrichtung" ob du nun Befehlssatz 1, 2 oder Klick-Welt 3 nimmst.


Ja da bitte ich drum, weil ich würde selbstverständlich dieses Wissen und diese Hilfe hier und im Netz auch so weitergeben, damit andere auch von profitieren können, wie mir dann somit letzenendes mit geholfen wurde.

Zitat von @maretz:

Die Fritzbox (u. ähnliche) sind halt ausgenommen weil die eben idR. genau dieses Verständnis wegnehmen -> du klickst dich durch den Assistenten durch, im besten Fall richtet sich das ding per TR-Protokoll selbst fürs Internet ein und fertig. Das ist schön wenn man weiss was es macht und einfach keine Lust mehr hat zum 20sten (oder mehr) Mal NAT usw. einzurichten und ne Firewall zu konfigurieren (Fritte: Default einfach alles vom Web blocken ist ja auch ok). Das ist auch schön wenn man sich mit sowas gar nicht auskennen WILL (es muss eben nicht jeder sich mit allem auskennen... Ich sitze ja im Flieger auch nur hinten und nur weil ich ab und an in den Urlaub fliege muss ich nich wissen was die vorne Links + Rechts da fröhlich rumtippen). Um ein Verständnis aufzubauen hilft die Fritte eben dagegen eher nicht...


Höhen-, Seiten- & Querruder sowie Afterburner face-smile ist für mich leichter zu bedienen im Flugzeug als ne Firewall einzurichten =D
Aber ja.. ohne Fritzbox hätte es nur noch viel länger gedauert und wäre noch komplizierter.. EINE EINSTELLUNG die man dort bei irgend einem System nicht gleich versteht, UND ALLES STOCKT... dafür nutze ich erstmal die Fritzbox doch als "Hilfe und Einstieg" gern!

WEITER:


Zitat von @Visucius:

könntest Du mir bitte sagen, was dann "besser" wäre?

Fangen wir oben an (1. Fritze):
Kann man machen. Damit hat der erste (gelbe Linien) sein Internet … machst Du das Setup dann wie von Dir geplant weiter, kann jeder dahinter (bzw. an oder hinter Fritzbox 2) auf das erste Netzwerk und die Geräte dort zugreifen.


Joa... also ich "abgesichert und eingerichtet für alle somit" ja...

2. Fritze:
Du gewinnst hier ja keine Funktionalität gegenüber der ersten Fritze. Entweder die arbeitet als Router (WAN-Port), dann blockt sie den Verkehr von den „ersten obigen Rechnern“ zu allem hinter ihr oder sie arbeitet als Client, dann ist sie weitgehend transparent - ähnlich wie ein handelsüblicher Switch.
In beiden Fällen kann das Gäste-Wlan auf Deine iOT und Sec-Cameras zugreifen und der iOT-Kram hat freien Zugang zum Internet.


Das habe ich leider noch nicht ganz verstanden / verinnerlicht und muss ich nochmal durchgehen...
Also auf WAN Port wurde mir schon empfohlen, weil:
Der Wan Port der Fritzbox trennt vom restliche Netzwerk. Wenn ein Modem an WAN Port gesteckt wird, wird das Internet vom Zugang des Netzwerkes getrennt. ergo trennt der WAN Port fritz1netzwerk vom fritz2netzwerk
-> Die "bessere" Funktionalität wäre gegeben, die Firewall "Gateprotect GPO 150" als "Vlan" ( ich meine Opensense oder OpenVPN was da drauf installiert ist ) dürfte das ja "hergeben" ODER eben einen Microtic Router und mit dem VLANS konfigurieren ( WAS MIR LIEBER WÄRE, weil der ist schnell gekauft, und dank GUI und Internet wie mit Euch schneller erklärt und eingerichtet... )

Admin-Bereich:
Den trennst Du dann mit einer „leistungsfähigen“ Firewall weg. Das ist Quatsch, weil zu weit hinten. Wer dahinten dran kommt, hat alles davor schon überwunden und die Fähigkeiten dieses Gerätes werden überhaupt nicht eingesetzt.


Wäre ja nur zu "Übeungszwecken" und Schutz aus dem lila-Bereich wo die "Ports" offen sind..

Lösung:
a) wie gesagt ein fähiger Router, in dem Du vLANs konfigurierst und die Routen manuell anpassen kannst und vor allem auch bestimmte IP-Bereiche sperren kannst (damit keiner unten an die ersten Clients kommt, und Dein iOT-Spielzeug nur das macht, was es soll, ebenso wie die Gäste). Dir/admin kannst Du dann trotzdem die Rechte „über alle Teilbreiche“ einräumen. Die (rote) Firewall kann dann im Prinzip auch weg.


Also wieder Gateprotect Firewall mit Vlans ODER den Microtic router mit VLAN ( was ich dann kaufen werde.. )
Nur Routen und IP-Bereiche damit sperren... hmmm... es soll nur als Schutz von außen für den Admin-Bereich "filtern"

oder

b) Du packst die Firewall eine Ebene höher anstelle der zweiten Fritze und spannst mit ihr die vLANs auf und eben auch die DHCPs und das Routing dafür. Und die verwaltet wer von wo nach wo darf (Firewall). Dahinter - falls die Ports nicht reichen - den vlan-fähigen(?) Netgear-Switch.


JETZT SIND WIR genau da face-smile aber das wird der Microtic Router, da der schneller geht.. und die Gateprotect mache ich dann kommende Monate "nebenbei" Dokumentiert usw...

oder

c) Du kannst den ganzen Kram auch komplett auf Ubi, Cisco, tplink oder allen anderen (KMU-Anbietern) aufbauen, die Strukturen sind bei allen die gleichen nur das Interface ändert sich entsprechend.


Hängt auch alles wenig von den Vor-Ort-Gegebenheiten ab. Die Fritzen und der Switch werden ja vermutlich nicht nebeneinander stehen face-wink

Doch die 2. Fritzbox und Switch stehen nebeneinander face-smile
nur getrennt mit einem Kabel von der ersten face-smile
und das einzige... Ubiquiti wäre zuerst interessant mit nem Switch gewesen zwecks der GUI, und Router von denen... wie gesagt Microtic?
Member: Visucius
Solution Visucius Nov 24, 2023 updated at 12:47:20 (UTC)
Goto Top
Das habe ich leider noch nicht ganz verstanden / verinnerlicht und muss ich nochmal durchgehen.
Der Punkt ist folgender. Du hast die 2. Fritze, die ist mit einer (üblichen) "stateful Firewall" ausgestattet, wenn Du sie am WAN-Port betreibst (inkl. NAT).
Anfragen von "oben/außen" werden pauschal geblockt (wenn keine Portfreigabe erstellt wurde). Kommt jetzt aber von "innen"/unten eine Anfrage Richtung "Internet" ... aber bei Dir eben auch in Richtung der ersten oberen Computer (gelbe Linien), dann muss die Antwort ja auch wieder zurückkommen. Deshalb merkt sich die Fritze, von wem die Anfrage kam, wartet auf die Antwort und gibt sie an den ursprünglichen "Fragesteller" zurück.

Wie gesagt, so wie ich das verstehe, kann Deine Gateprotect GPO 150 vLANs auch inkl. DHCP aufspannen und würden den Mikrotik ersetzen. Ich kenne das Interface von der Firewall selber nicht - aber ich verspreche Dir:
Jedes Interface ist besser als das von Mikrotik.

D.h. Du wirst Dich auf jeden Fall einarbeiten müssen. Meiner Vermutung nach, wirst Du Dir mit der Firewall leichter tun und Du bist ja in der Hinsicht "safe", weil Du ganz vorne ja schon die Fritze-eigene Firewall hast. Wenn ich mir die 1,7 Gbit/s Firewall-Durchsatz der Firewall ansehe, dann ist sie auch potenter als die (kleineren) Mikrotiks. Und bedenke, dass solche Durchsatzraten auch innerhalb Deines Netzwerks eine Rolle spielen, wenn Du Deine vLANs gegenseitig absichern möchtest.

Dieses Vorgehen - aus dem Bestand heraus - bietet Dir auch die Möglichkeit Deinen Bedarf besser einschätzen zu lernen.

PS: Vergiss den Switch - der ist unmanaged und kann damit keine vLANs. Das hatte ich oben falsch interpretiert.
Member: aqui
Solution aqui Nov 24, 2023 updated at 12:37:17 (UTC)
Goto Top
Hier wurde von @skoprion1800 Kauderwelsch gesagt, das da nix mit doppelt Nat
Einmal nicht deaktivierbares NAT an der Vermieterbox und einmal NAT an der 2ten FritzBox. Nach Adam Riese also 2mal NAT. Zumindestens dann wenn du beide Fritzboxen in einer Router Kaskade betreibst. Zum genauen Setup schweigst du dich ja leider aus. face-sad
Doch die 2. Fritzbox und Switch stehen nebeneinander
Sinnfrei... Kollege @Visucius hat es schon gesagt: Wozu soll das gut sein? Macht nur Sinn wenn die FB als VoIP Telefonanlage arbeitet.
aber das wird der Microtic Router,
Eine weise Entscheidung... (aber bitte mit 2mal "k" weil heute Freitag ist 🐟)
Wie man alternativ deine Firewall an ein VLAN Design anflanscht erklärt dir, wie immer, dieses Tutorial.
Member: ukulele-7
Solution ukulele-7 Nov 24, 2023 at 13:36:57 (UTC)
Goto Top
Zitat von @skoprion1800:

Ich sehe und habe nur 2 Router... Mit VPN stimmt durch den ersten Router, was aber "normal" ist,
und siehe Bild, geht das schon mit Vlan ( war ja nur optional gedacht... )

Hardwarefirewall (2x) ist schon im Besitz...
In deinem Bild sind zwei Fritzboxen und eine Watchguard, so eine Hardwarefirewall ist ja auch ein Router und wenn die Firewall-Funktionen ausführt kann sie auch nicht als Bridge arbeiten. So gesehen hast du mindestens drei Router.

Ich glaube vielen hier ist nicht klar was du an der ersten Fritzbox machen kannst. Die gehört deinem Vermieter also eigentlich gar nichts außer, dass sie dir vermutlich DHCP und Gateway bereit stellt. Außerdem macht sie vermutlich NAT, das ist ja gängig. Um jetzt aus dem WAN einen VPN Tunnel nach innen aufzubauen brauchst du entweder a) ein Portforwarding in der ersten Fritzbox oder b) die erste Fritzbox muss den VPN Tunnel terminieren, also als VPN Server fungieren. Beides erfordert Konfiguration an der ersten Fritzbox. Ist das überhaupt möglich?

Hast du eine oder mehrere feste IPs innerhalb des Netzes der ersten Fritzbox zur Verfügung?

Dein was auch immer Router/Firewall hängt dann hinter der ersten Fritzbox. Du hast wieder zwei Möglicheiten: a) auf Routing verzichten und DHCP direkt von der ersten Fritzbox für alle Geräte hinter der dann reinen IP-Firewall verwenden. Dann sind natürlich alle Geräte dahinter am DHCP Server sichtbar. b) Deine Firwall macht auch wieder NAT und verschleiert dein Netz. Dann muss entweder dein Router/Firewall den VPN Endpunkt bilden oder VPN läuft über zwei NATs. Sowas habe ich noch nie gemacht, soll aber ###e laufen.
Member: commodity
Solution commodity Nov 24, 2023 at 15:05:17 (UTC)
Goto Top
wir halten fest, die erste Fritzbox ist gesetzt. Dann
1. Router
Du fängst mit Netzwerken gerade erst an und betreibst ein kleines Privatnetzwerk, da würde ich einen hEX, hAP ac2 oder hAP ax2 (maximal) anschaffen. Das 5009 ist für den, der weiß was er will. Die beiden hAPs sind nicht so niedlich wie der hEX, aber etwas performanter und haben zudem Wifi 2,4 und 5 Ghz an Bord. Obgleich der hAP ax2 Wifi 6 hat würde ich zum Einstieg den hAP ac2 nehmen, der hat einen USB-Port (der hEX auch), das hat ein paar Vorteile fürs Lernen. Die ac2 Geräte gibt's vielleicht auch ganz gut gebraucht, weil derzeit viele gegen den ax2 tauschen.

2. Firewall
ist im Mikrotik drin, für die Sicherheit ausreichend und zum Lernen sogar besser, weil sie die Prinzipen von Iptables direkt umsetzt und man vor allem sehr transparent sehen kann, was passiert. Ganz anders als bei unifi, wo viel Show ist, aber wenig echte Transparenz. Das ist IMO für die, die es bunt mögen.
Mehr geht dann später immer. Spar das Geld.

3. Ein CRS ist kein Router, sondern
ein Switch (mit weiter gehenden Fähigkeiten). Wenn 5 Ports reichen, tut es auch ein RB260 für kleines Geld. Wenn es billig sein soll, ein TP-Link (mit Einschränkungen empfohlen), wenn besser, ein CSS610, wenn mit Lust auf Networking ein CRS326 oder CRS310 oder ein Cisco CBS250 oder 350, das ist dann aber schon einen ticken teurer.
Switche für zuhause bekommt man aber auch gut in der Bucht, da kann man richtig professionelle Sachen bekommen, hat dann aber ein altes (dennoch funktionierendes) Gerät ohne Updates.

4. Zu unifi
schließe ich mich dem Kollegen @aqui an. Ich habe im Mai einem klugen Kollegen (Fachinformatiker, Vollzeit KMU-Betreuer mit Schwerpunkt Telefonie/ Netzwerke) der ziemlich auf unifi stand und das vielfach verbaut hat mal eine halbe Stunde RouterOS gezeigt. Er hat fast geweint, vor Begeisterung. Letzte Woche bekam ich eine Nachricht von ihm, da hatte er gerade seine erste Zertifizierung für RouterOS gemacht face-wink

Egal wie, fang einfach an. Der Deutsche IT-Noob neigt im Allgemeinen dazu, die eierlegende Wollmilchsau für alle zukünftigen Anwendungen haben zu wollen, natürlich für möglichst kleines Geld. Vor lauter Planung kommt er dann nicht vom Fleck. Für den, der Anschließen und Vergessen will, ist das vielleicht auch nicht falsch. Wenn man aber damit lernen will und sich entwickeln, finde ich es besser, erstmal klein loszulegen und zu schauen, wohin sich das Ganze entwickelt. Ein hEX ist dazu geeignet, Dich ein, zwei Jahre zu beschäftigen. Ein guter Gegenwert für 50 EUR, finde ich. face-big-smile

Viele Grüße, commodity
Member: aqui
Solution aqui Nov 24, 2023 updated at 19:10:36 (UTC)
Goto Top
und wenn die Firewall-Funktionen ausführt kann sie auch nicht als Bridge arbeiten.
Das ist so nicht ganz richtig. Ist zwar nicht das klassische Routing Design aber eine Firewall kann auch an einem Bridge Interface im Layer 2 innerhalb eines IP Netzes "firewallen". Sog. Transparent Mode. Als Beispiele mal das Setup bei pfSense oder OPNsense:
https://docs.opnsense.org/manual/how-tos/transparent_bridge.html
https://docs.netgate.com/pfsense/en/latest/bridges/firewall.html
Member: commodity
Solution commodity Nov 24, 2023 at 22:37:14 (UTC)
Goto Top
In ROS hier. Das sind wohl die "berühmten" (25) Brige Filter Rules, die in den Test Results auf den Geräteseiten von mikrotik.com auftauchen.

Viele Grüße, commodity
Member: skoprion1800
skoprion1800 Nov 27, 2023 at 08:57:43 (UTC)
Goto Top
So und weiter gehts... ( das war ein Wochenende... )

Also Planänderung wie man im Bilde sehen kann.
Weil mir ein Bekannter gesagt hat:

"Es spielt aber keine Rolle ob man eine HW-Firewall mit OPNsense, pfSense, IPFire, etc.
oder einen MikroTik Router hinstellst.
Alle sind im Vergleich zu Fritzboxxen hochkomplex und gehen weit über den Funktionsumfang
einer Fritzbox hinaus. Wenn du es Dir noch nicht zutraust,
eine Firewall mit OPNsense zu konfigurieren,
wirst du an einem MikroTik auch keine Freude haben.
Ich würde sogar eher das Gegenteil behaupten, weil OPNsense die deutlich modernere GUI hat.
Wenn du die 2. Fritzbox also ersetzen willst,
kannst du sie gleich gegen eine deiner HW-Firewall tauschen,
und dir die Kohle für den MikroTik sparen."

->Weil das spiegelt sich total mit dem Was @Visucius geschrieben hat:


Zitat von @Visucius:

Wie gesagt, so wie ich das verstehe, kann Deine Gateprotect GPO 150 vLANs auch inkl. DHCP aufspannen und würden den Mikrotik ersetzen. Ich kenne das Interface von der Firewall selber nicht - aber ich verspreche Dir:
Jedes Interface ist besser als das von Mikrotik.


Dann:
Zitat von @ukulele-7:

Um jetzt aus dem WAN einen VPN Tunnel nach innen aufzubauen brauchst du entweder a) ein Portforwarding in der ersten Fritzbox oder b) die erste Fritzbox muss den VPN Tunnel terminieren, also als VPN Server fungieren. Beides erfordert Konfiguration an der ersten Fritzbox. Ist das überhaupt möglich?

Ich wollte Portforwarding sowie zusätzlich nen VPN Tunnel einrichten.
Und ja, ich darf / kann an der Fritzbox 7490 ALLE Einstellungen vornehmen, den Vermieter interessiert dies nicht...

Hast du eine oder mehrere feste IPs innerhalb des Netzes der ersten Fritzbox zur Verfügung?


Nunja, ich weiße in der Fritzbox meinen Geräten statische IP Adresse zu, und mit einer 2. Fritzbox hatte ich ja verständlicherweise noch einen weiteren Adressraumbereich.

Dein was auch immer Router/Firewall hängt dann hinter der ersten Fritzbox. Du hast wieder zwei Möglicheiten: a) auf Routing verzichten und DHCP direkt von der ersten Fritzbox für alle Geräte hinter der dann reinen IP-Firewall verwenden. Dann sind natürlich alle Geräte dahinter am DHCP Server sichtbar. b) Deine Firwall macht auch wieder NAT und verschleiert dein Netz. Dann muss entweder dein Router/Firewall den VPN Endpunkt bilden oder VPN läuft über zwei NATs. Sowas habe ich noch nie gemacht, soll aber ###e laufen.


--> Das muss ich mir nochmal genau dann durch den Kopf gehen lassen, weil es ist ja nicht schlimm, wenn "alle Geräte hinter dem DHCP Server sichtbar sind"? Und einmal NAT reicht doch vollkommen aus...
( Hauptsache es ist alles klar von einander abgegrenzt und die Bereiche dann so passend eingerichtet & geschützt usw )


Zitat von @commodity:

wir halten fest, die erste Fritzbox ist gesetzt. Dann
1. Router
Du fängst mit Netzwerken gerade erst an und betreibst ein kleines Privatnetzwerk, da würde ich einen hEX, hAP ac2 oder hAP ax2 (maximal) anschaffen. Das 5009 ist für den, der weiß was er will. Die beiden hAPs sind nicht so niedlich wie der hEX, aber etwas performanter und haben zudem Wifi 2,4 und 5 Ghz an Bord. Obgleich der hAP ax2 Wifi 6 hat würde ich zum Einstieg den hAP ac2 nehmen, der hat einen USB-Port (der hEX auch), das hat ein paar Vorteile fürs Lernen. Die ac2 Geräte gibt's vielleicht auch ganz gut gebraucht, weil derzeit viele gegen den ax2 tauschen.


Davon war ich auch zuerst überzeugt noch am Freitag, nur wurde mir wie weiter oben direkt zur Gateprotect und OPNsense / PFsense geraten... ( weil auseinandersetzen muss man sich ja so oder so mit einem System.
Wlan und Router sind immer schnell vorhanden und eingerichtet, aber Routing, Vlan und Firewall dann doch lieber gleich direkt so mit einer Gateprotect?

2. Firewall
ist im Mikrotik drin, für die Sicherheit ausreichend und zum Lernen sogar besser, weil sie die Prinzipen von Iptables direkt umsetzt und man vor allem sehr transparent sehen kann, was passiert. Ganz anders als bei unifi, wo viel Show ist, aber wenig echte Transparenz. Das ist IMO für die, die es bunt mögen.
Mehr geht dann später immer. Spar das Geld.

Glaub ich Dir, und einziger Trost: Mit der Gateprotect spare ich mir noch mehr, weil schon vorhanden :/


Egal wie, fang einfach an. Der Deutsche IT-Noob neigt im Allgemeinen dazu, die eierlegende Wollmilchsau für alle zukünftigen Anwendungen haben zu wollen, natürlich für möglichst kleines Geld. Vor lauter Planung kommt er dann nicht vom Fleck. Für den, der Anschließen und Vergessen will, ist das vielleicht auch nicht falsch. Wenn man aber damit lernen will und sich entwickeln, finde ich es besser, erstmal klein loszulegen und zu schauen, wohin sich das Ganze entwickelt. Ein hEX ist dazu geeignet, Dich ein, zwei Jahre zu beschäftigen. Ein guter Gegenwert für 50 EUR, finde ich. face-big-smile

Viele Grüße, commodity

Spricht noch irgendwas für einen Mikrotik Router als für die Gateprotect? Weil an die Gateprotect kann ich ja noch die 2. Fritzbox hängen für Wlan, und dann dürfte ein MikrotiK Router auch nicht mehr können..?


Zitat von @aqui:

und wenn die Firewall-Funktionen ausführt kann sie auch nicht als Bridge arbeiten.
Das ist so nicht ganz richtig. Ist zwar nicht das klassische Routing Design aber eine Firewall kann auch an einem Bridge Interface im Layer 2 innerhalb eines IP Netzes "firewallen". Sog. Transparent Mode. Als Beispiele mal das Setup bei pfSense oder OPNsense:
https://docs.opnsense.org/manual/how-tos/transparent_bridge.html
https://docs.netgate.com/pfsense/en/latest/bridges/firewall.html

Das sind Anleitungen und geil! Nur das Einrichten wird dann heulend schwer und nervig...
Member: commodity
Solution commodity Nov 27, 2023 updated at 09:36:56 (UTC)
Goto Top
Wenn du es Dir noch nicht zutraust, eine Firewall mit OPNsense zu konfigurieren, wirst du an einem MikroTik auch keine Freude haben.
absolut korrekt, steht oben sinngemäß auch so und in aller Deutlichkeit, aber offenbar brauchtest Du es nochmal face to face:
Beachten: RouterOS ist nichts für Leute ohne Netzwerkkenntnisse bzw. viel Interesse/Zeit&Lernwillen. Ich habe es gesagt. face-wink
Vorteil: Was Du am Mikrotik verstehst, verstehst Du später bei allen face-smile
Und ebenso habe ich gesagt:
Egal wie, fang einfach an.
Wenn Du ernsthaftes Interesse entwickelst, kommst Du früher oder später schon selbst zu der für Dich optimalen Lösung (und lernst dann eben erst Router OS face-wink). Wenn nicht, freust Du Dich, wenn Deine LANCOM funktioniert und das wars.
LANCOM gehört für mich zu den Geräten, wo man nicht viel lernt (dafür funktionierts und man wird gut angeleitet). Bei den Senses lernt man mehr. Bei Cisco und Mikrotik lernt man eben viel mehr face-big-smile. Aber das ist nur (m)eine persönliche Einschätzung. Wie gesagt:
Egal wie, fang einfach an.
Und lies den Thread dann in ca. einem Jahr nochmal. Du wirst staunen, wieviel mehr Du dann von den wertvollen und gut gemeinten Ratschlägen der Kollegen verstehst. face-wink
Nichts ist in Stein gemeißelt und in 3-5 Jahren ist das, was Du jetzt einrichtest, schon wieder Elektronikschrott.
Also ran, die Zeit läuft! face-big-smile

Viele Grüße, commodity
Member: maretz
Solution maretz Nov 27, 2023 at 09:48:24 (UTC)
Goto Top
was erwartest du denn? Natürlich wird jeder sagen was er/sie/es kennt ist am leichtesten. S.o. -> für mich ist UniFi sicher kein Problem (speziell im privaten Umfeld) da die Performance-Verluste da eher zu vernachlässigen sind. Andere sehen das als rotes Tuch - auch mit sicherlich guten Gründen. Für mich ist der Controller da kein Problem, für andere schon...

Du wirst dich halt irgendwann entscheiden müssen. Es gibt hier ca. 100.000 Wege die dich zum Ziel führen. Keiner davon ist jetzt "richtig" oder "falsch", die haben alle Vor- und Nachteile...
Member: aqui
Solution aqui Nov 27, 2023 at 10:00:14 (UTC)
Goto Top
und mit einer 2. Fritzbox hatte ich ja verständlicherweise noch einen weiteren Adressraumbereich.
Aber dann nur mit einem nicht abschaltbaren NAT und damit verbundenem Einbahnstrassen Routing.
Keine gute Idee also... face-sad
und dann dürfte ein MikrotiK Router auch nicht mehr können..?
Wenn du dir ein Modell mit integriertem WLAN beschaffst (hAP) hast du alles in einem. Wenn es dir lediglich um die FW Funktion geht ist es egal was du nimmst.
Nur das Einrichten wird dann heulend schwer und nervig...
"Schwer" und "nervig" sind immer relativ. Normal mit einfachen Kenntnissen ist sowas in max. 15 Minuten erledigt. Kollege @maretz hat es schon gesagt: Ob das "schwer" ist und man zudem dabei noch heulen muss, musst du selber beurteilen...
Member: skoprion1800
skoprion1800 Nov 27, 2023 at 11:47:04 (UTC)
Goto Top
Zitat von @commodity:

Wenn du es Dir noch nicht zutraust, eine Firewall mit OPNsense zu konfigurieren, wirst du an einem MikroTik auch keine Freude haben.
absolut korrekt, steht oben sinngemäß auch so und in aller Deutlichkeit, aber offenbar brauchtest Du es nochmal face to face:
Beachten: RouterOS ist nichts für Leute ohne Netzwerkkenntnisse bzw. viel Interesse/Zeit&Lernwillen. Ich habe es gesagt. face-wink

Das war schon immer so, ABER dafür ist es dann manifestiert und der Wille ist nun da, WEIL die OPNsense habe ich nun "fertig" am Start... sprich muss "nur" noch eingerichtet und angeschlossen werden.

Vorteil: Was Du am Mikrotik verstehst, verstehst Du später bei allen face-smile
Und ebenso habe ich gesagt:
Egal wie, fang einfach an.
Wenn Du ernsthaftes Interesse entwickelst, kommst Du früher oder später schon selbst zu der für Dich optimalen Lösung (und lernst dann eben erst Router OS face-wink). Wenn nicht, freust Du Dich, wenn Deine LANCOM funktioniert und das wars.


Poah.... RouterOS...
->Das Kernprodukt MikroTiks ist RouterOS, ein Betriebssystem auf Basis des Linux-Kernels.
Geil alter... da kommste als Neandertaler anstelle auf Englisch gleich direkt ins Fachchinesische rein..
🙆‍♂️🙆 Gibs mir halt gleich krasser als Einstieg... ABER Joa...
Das OS bzw die GUI mit den ganzen Einstellungsmöglichkeiten von OPNsense ist ja schon ne Hausnummer,
wenn man dies mal wenigstens eingerichtet hat und "versteht" hat man es dann wenigstens "leichter" auf MikroTik dann umzusteigen / weiterzumachen.

LANCOM gehört für mich zu den Geräten, wo man nicht viel lernt (dafür funktionierts und man wird gut angeleitet). Bei den Senses lernt man mehr. Bei Cisco und Mikrotik lernt man eben viel mehr face-big-smile. Aber das ist nur (m)eine persönliche Einschätzung. Wie gesagt:
Egal wie, fang einfach an.
Und lies den Thread dann in ca. einem Jahr nochmal. Du wirst staunen, wieviel mehr Du dann von den wertvollen und gut gemeinten Ratschlägen der Kollegen verstehst. face-wink
Nichts ist in Stein gemeißelt und in 3-5 Jahren ist das, was Du jetzt einrichtest, schon wieder Elektronikschrott.
Also ran, die Zeit läuft! face-big-smile

Viele Grüße, commodity

Mache ich! Du hast natürlich *etwas recht mit dem Elektroschrott, aber die Gateprotect die ich habe, ist bestimmt auch schon mehrere Jahre alt, OPNsense ein OS wie Linux oder Windows, was es durch Updates und Weiterentwicklungen "aktuell" hält, und der Einstieg ist wichtig. Auch wenn in 5 Jahren die Elektronik dann veraltet ist, versteht man dennoch das System / die Software und kann damit weiter machen.


Zitat von @aqui:

und mit einer 2. Fritzbox hatte ich ja verständlicherweise noch einen weiteren Adressraumbereich.
Aber dann nur mit einem nicht abschaltbaren NAT und damit verbundenem Einbahnstrassen Routing.
Keine gute Idee also... face-sad
und dann dürfte ein MikrotiK Router auch nicht mehr können..?
Wenn du dir ein Modell mit integriertem WLAN beschaffst (hAP) hast du alles in einem. Wenn es dir lediglich um die FW Funktion geht ist es egal was du nimmst.

Habe NAT schon in den Einstellungsmöglichkeiten gefunden der OPNsense...
ein Wlan Router ( alte Fritzbox ) ist ja dann noch vorhanden, und joa...

Nur das Einrichten wird dann heulend schwer und nervig...
"Schwer" und "nervig" sind immer relativ. Normal mit einfachen Kenntnissen ist sowas in max. 15 Minuten erledigt. Kollege @maretz hat es schon gesagt: Ob das "schwer" ist und man zudem dabei noch heulen muss, musst du selber beurteilen...

Jetzt gehts dann mal ans Konfigurieren der HW-Firewall und
EINEN VIELEN LIEBEN DANK AN EUCH ALLE!
-> Jetzt weiß ich wenigstens Hardware und Software technisch was geht / machbar ist, wo ich "hin will" und das man mal "ein System" hat.
Fritzboxen sind weit verbreitet ( das sollte man schnell können und verstehen für die Nachbarn, Freunde und Bekannten usw. ) OPNsense bzw. HW-Firewall sollte für einen Fachinformatiker als Grundwissen schon vorhanden sein, und da will ich jetzt auch hin.
Ich meld mich dann wieder mit zertrümmerter Gateprotect die im Garten liegt mit zertrümmerter Fensterscheibe usw face-smile
Member: aqui
Solution aqui Nov 27, 2023 updated at 12:12:20 (UTC)
Goto Top
da kommste als Neandertaler
OK, das ist dann hart. Dann scheiterst du aber ja auch schon am Messer und Gabel... Aber wie der Lateiner schon so schön sagt: "Per aspera ad astra!" face-wink

Wie kann ich einen Beitrag auf "gelöst" oder "erledigt" setzen?
Member: Visucius
Solution Visucius Nov 27, 2023 updated at 12:22:14 (UTC)
Goto Top
Hier wird ja immer Gateprotect, OPNsense und PFsense "durcheinandergewürfelt".

Vielleicht mal am Rande: Die ganzen Boxen sind mehr oder weniger austauschbar, je nach verwendetem Prozessor. Es muss für OPN/PF, usw. halt ein x86 bzw. x64 Plattform sein. Bei mir läuft OPNsense z.b. auf ner Sophos-Hardware. Persönlich würde ich OPNsense der PFsense vorziehen, weil moderner im Interface und so wie ich das verstehe auch in der grundsätzlichen Philosophie.

Sehr gute Anleitungen gibt es zu Hauf auch auf Youtube, sogar für die einzelnen Module und Erweiterungen. Und solltest Du eine Erklärung z.B. nur für PFsense finden, dann kannst Du es häufig auch im Menü übertragen auf OPNsense (und vis à vis)

Viel Spaß damit.

PS: Lass Dich nicht ärgern bzgl. Linux/Mikrotik usw. Am Ende hast Du die eine HW schon im Haus und wenn Du es mit der umsetzt und irgendwann der Ansciht bist, die erfüllt Deine Wünsche nicht mehr vollumfänglich, dann kannst Du immer noch was hinzukaufen.
Member: commodity
commodity Nov 27, 2023 at 12:19:03 (UTC)
Goto Top
Per aspera ad astra!
sic! face-big-smile

Viele Grüße, commodity
Member: maretz
maretz Nov 27, 2023 at 13:51:59 (UTC)
Goto Top
Schön finde ich den Satz:

--- qoute ---
Das war schon immer so, ABER dafür ist es dann manifestiert und der Wille ist nun da, WEIL die OPNsense habe ich nun "fertig" am Start... sprich muss "nur" noch eingerichtet und angeschlossen werden.
--- /qoute---

Das gilt eigentlich für so ziemlich alles in der IT - "nur mal eben anschliessen und einrichten" (in der Reihenfolge gehts meist leichter... ;) ). Und schon sind irgendwie ganze Tage, Wochen oder Monate weg mit dem "nur noch"...
Member: skoprion1800
skoprion1800 Nov 28, 2023 at 08:44:58 (UTC)
Goto Top
Zitat von @Visucius:

Hier wird ja immer Gateprotect, OPNsense und PFsense "durcheinandergewürfelt".

Vielleicht mal am Rande: Die ganzen Boxen sind mehr oder weniger austauschbar, je nach verwendetem Prozessor. Es muss für OPN/PF, usw. halt ein x86 bzw. x64 Plattform sein. Bei mir läuft OPNsense z.b. auf ner Sophos-Hardware. Persönlich würde ich OPNsense der PFsense vorziehen, weil moderner im Interface und so wie ich das verstehe auch in der grundsätzlichen Philosophie.

Das ist ja der Vorteil, das die HW Firewall selbst mit Backups der einzelnen OS leicht und nach belieben sich austauschen lassen.
Habe gerade noch gesehen, das der Vorgänger x86 hatte ( was mir etwas gegen den Mietz geht, weil ich schon seit 15 Jahren x64 Bit Systeme nur in Verwendung habe, ABER hier geht mal ne Ausnahme. ABER ich würde persönlich PFsense vorziehen, auch wenn die Community kleiner ist, und die GUI nicht so umfangreich usw, da man im Netz deutlich mehr "Vorteile" über diese sieht und bekommt. ( Für mich als Laie aber erstmal schnutz piep wurscht egal, weil FW = FW.. das einzige was anders ist, ist die Komplexität im Umfang und in den Bezeichnungen face-smile



Sehr gute Anleitungen gibt es zu Hauf auch auf Youtube, sogar für die einzelnen Module und Erweiterungen. Und solltest Du eine Erklärung z.B. nur für PFsense finden, dann kannst Du es häufig auch im Menü übertragen auf OPNsense (und vis à vis)

Viel Spaß damit.

Vielen lieben Dank! und jetzt kann man wenigstens mit der 1 Fritzbox 7490 mal "mehr" machen und arbeiten, als mit der damaligen Homebox 6441....


PS: Lass Dich nicht ärgern bzgl. Linux/Mikrotik usw. Am Ende hast Du die eine HW schon im Haus und wenn Du es mit der umsetzt und irgendwann der Ansciht bist, die erfüllt Deine Wünsche nicht mehr vollumfänglich, dann kannst Du immer noch was hinzukaufen.

Sehe ich absolut auch so.


Zitat von @maretz:

Schön finde ich den Satz:

--- qoute ---
Das war schon immer so, ABER dafür ist es dann manifestiert und der Wille ist nun da, WEIL die OPNsense habe ich nun "fertig" am Start... sprich muss "nur" noch eingerichtet und angeschlossen werden.
--- /qoute---

Das gilt eigentlich für so ziemlich alles in der IT - "nur mal eben anschliessen und einrichten" (in der Reihenfolge gehts meist leichter... ;) ). Und schon sind irgendwie ganze Tage, Wochen oder Monate weg mit dem "nur noch"...

Deswegen habe ich es ja auch so geschrieben face-smile Danke Euch!
Member: Visucius
Visucius Nov 28, 2023 at 09:45:06 (UTC)
Goto Top
Will Dich nicht bekehren. Aber wenn ich recht wurde hier auch auf die Unterschiede zwischen PF und OPN eingegangen und warum sich tk eben eher auf OPN konzentriert:
https://m.youtube.com/watch?v=4p1lw4FEfok

Dir auf jeden Fall viel Erfolg bei der Umsetzung, egal mit was 😉