bigandyt
Goto Top

Umbau Heimnetz PFSense VLAN VoIP VPN

Hallo an alle,

ich möchte mein Netzwerk welches aktuell ausschließlich über die Fritzbox 7590 geregelt wird ausbauen. Um mehr Sicherheit und vor allem Kontrolle über das Netzwerk zu haben, möchte ich dieses in verschiedene VLANs segmentieren. Aktuell gibt es eine Synology DS920+ welche in Zukunft von innen und von außen (VPN) erreichbar sein soll. Weiterhin ist es nötig ein Gäste-WLAN mit CaptivePortal (für die zukünftige Ferienwohnung) zu implementieren.

heimnetz

Geplante Hardware:
- Draytek Vigor 167
- Zyxel GS1900-8HP
- Netgate 1100 oder 2100
- 2x Access Point entweder Zyxel NWA210AX / Zyxel NWA1123-AC PRO / Edimax Pro CAP1750 / Unifi AC Pro (Controller könnte per Docker auf der Synology laufen)

Zu der Netgate vorab schon eine Verständnisfrage: Der Netgate 1100 (1 LAN-Port) und der Netgate 2100 (4 LAN-Ports). Ich habe nun schon oft gesehen, das jeweils eine physische Schnittstelle an der Firewall pro Netzwerk-Segment verwendet wurde, anstelle es per Tagged-Uplink zu verbinden. Was ist nun die korrekte Vorgehensweise? Ich würde nun den Port1 (LAN) der Netgate an den Switch und Port2 (DMZ) an die NAS legen und die VLANs per Tagged-Uplink weiterleiten. Den Port3 würde ich für die VPN-Verbindung nehmen. Passt das so, oder habe ich dort eventuell einen Denkfehler?

In Bezug auf die geplante Hardware nehme ich gerne auch weitere Kaufempfehlungen an. Den Switch habe ich gewählt, da dieser IGMPv3 unterstützt (falls nochmal eine IPTV-Box zum Einsatz kommen sollte) ansonsten hätte ich auf einen Cisco SG250 gesetzt.

Folgende VLANs:
VLAN1 Management
VLAN10 WLAN-Clients (Laptop / Mobiltelefone)
VLAN20 WLAN-Kinder
VLAN30 Multimedia (FireTV Stick / Gaming-Konsole)
VLAN40 Drucker
VLAN50 WLAN-Gast
VLAN60 VoIP (Fritzbox im IP-Client Modus)

IP-Adressbereiche:
192.168.1.x/24 (Modem / Switch / APs / Firewall)
192.168.10.x/24 (WLAN-Clients)
192.168.20.x/24 (WLAN-Kinder)
192.168.30.x/24 (Multimedia)
192.168.40.x/24 (Drucker)
192.168.50.x/24 (WLAN-Gast)
192.168.60.x/24 (VoIP)

10.0.0.0/8 (VPN)

Sind die Adressbereiche so richtig?

Um die Sicherheit/Privatsphäre weiter zu erhöhen würde ich gerne gerade im WLAN-Netz der Kinder einen alternativen DNS-Dienst (nextDNS / Quad9 DNS / pfBlockerNG) verwenden.
Siehe www.robpeck.com/2020/08/creating-a-safe-kids-network-with-pfsense-unifi-and-nextdns/

Hat damit jemand Erfahrungen mit nextDNS oder kann mir eine Empfehlung geben?

Vorab schon einmal vielen Dank an alle im Voraus.

MFG BigAndyT

Content-ID: 1946864311

Url: https://administrator.de/contentid/1946864311

Ausgedruckt am: 20.11.2024 um 08:11 Uhr

radiogugu
radiogugu 18.02.2022 aktualisiert um 19:07:56 Uhr
Goto Top
Hi.

Zitat von @BigAndyT:

Hallo an alle,

ich möchte mein Netzwerk welches aktuell ausschließlich über die Fritzbox 7590 geregelt wird ausbauen. Um mehr Sicherheit und vor allem Kontrolle über das Netzwerk zu haben, möchte ich dieses in verschiedene VLANs segmentieren. Aktuell gibt es eine Synology DS920+ welche in Zukunft von innen und von außen (VPN) erreichbar sein soll. Weiterhin ist es nötig ein Gäste-WLAN mit CaptivePortal (für die zukünftige Ferienwohnung) zu implementieren.

Sehr guter Ansatz und durchdacht!

Geplante Hardware:
- Draytek Vigor 167
- Zyxel GS1900-8HP
- Netgate 1100 oder 2100
- 2x Access Point entweder Zyxel NWA210AX / Zyxel NWA1123-AC PRO / Edimax Pro CAP1750 / Unifi AC Pro (Controller könnte per Docker auf der Synology laufen)

Die Unifi sind auf jeden Fall keine schlechte Wahl, weil günstig und leistungsstark und würde diese den Zyxel immer vorziehen.
Der Rest passt soweit (siehe unten).

Zu der Netgate vorab schon eine Verständnisfrage: Der Netgate 1100 (1 LAN-Port) und der Netgate 2100 (4 LAN-Ports). Ich habe nun schon oft gesehen, das jeweils eine physische Schnittstelle an der Firewall pro Netzwerk-Segment verwendet wurde, anstelle es per Tagged-Uplink zu verbinden. Was ist nun die korrekte Vorgehensweise? Ich würde nun den Port1 (LAN) der Netgate an den Switch und Port2 (DMZ) an die NAS legen und die VLANs per Tagged-Uplink weiterleiten. Den Port3 würde ich für die VPN-Verbindung nehmen. Passt das so, oder habe ich dort eventuell einen Denkfehler?

Die Hardware wird die paar Netze mit den Clients (wahrscheinlich < 100) locker verschnupfen. Interessant könnten auch APU oder IPU Systeme sein. Diese sind etwas kostengünstiger und PFSense läuft astrein darauf.

In Bezug auf die geplante Hardware nehme ich gerne auch weitere Kaufempfehlungen an. Den Switch habe ich gewählt, da dieser IGMPv3 unterstützt (falls nochmal eine IPTV-Box zum Einsatz kommen sollte) ansonsten hätte ich auf einen Cisco SG250 gesetzt.

Passt schon, auch wenn Zyxel keinen guten Ruf hat. Dem Gerät würde ich den Internet Zugang auf jeden Fall entziehen.

Sind die Adressbereiche so richtig?

Prinzipiell sind diese absolut frei wählbar. Besser wäre jedoch immer für eine private Umgebung etwas "ausgefallenere" Subnetze zu definieren. Denn wenn mal jemand auf ein VPN einer Firma zugreifen will sind die obigen Subnetze oft auch gern genommene Kandidaten. Das führt dann zu Problemen.

Um die Sicherheit/Privatsphäre weiter zu erhöhen würde ich gerne gerade im WLAN-Netz der Kinder einen alternativen DNS-Dienst (nextDNS / Quad9 DNS / pfBlockerNG) verwenden.

Einfach den gewünschten DNS Server via DHCP an die Clients in dem Netzwerk verteilen.

Adguard Home ist hier auch besonders für die "Kleinen" empfehlenswert.

Mit dem Paket PFBlockerNG lassen sich auch einige Dinge machen, wie Werbung blockieren und eben auch auf Schnittstellen Ebene bestimmte Inhalte aussperren.

Gruß
Marc
BigAndyT
BigAndyT 18.02.2022 um 21:11:58 Uhr
Goto Top
Ich habe nun schon oft gesehen, das jeweils eine physische Schnittstelle an der Firewall pro Netzwerk-Segment verwendet wurde, anstelle es per Tagged-Uplink zu verbinden. Was ist nun die korrekte Vorgehensweise?> Ich habe nun schon oft gesehen, das jeweils eine physische Schnittstelle an der Firewall pro Netzwerk-Segment verwendet wurde, anstelle es per Tagged-Uplink zu verbinden. Was ist nun die korrekte Vorgehensweise?
Kann hier noch jemand ein Statement abgeben? In zwei Netzwerken die ich betreue jeweils unter 20 Clients ist es so gehalten. Jeweils eine physische Schnittstelle für LAN, WLAN, CLIENTS und VOIP.

Die IP-Adresse fürs DMZ dann auch aus dem 10er Netz? Mach ich den 2. LAN Port der NAS an Port3 der Firewall fürs VPN?

Wie würde im Detail die Konfiguration der LAN Ports auf der NAS aussehen (mit Beispiel IP-Adressen)?

Was haltet ihr denn von den Edimax Pro CAP1750 anstelle der Unifi?

Ich kann die Unifi AC Pro natürlich auch per Software über einen Client konfigurieren. Das Captive Portal wird eh über die pfsense realisiert.

Vielen Dank schon mal...

Gruß Andy
148523
148523 18.02.2022 aktualisiert um 22:35:58 Uhr
Goto Top
ansonsten hätte ich auf einen Cisco SG250 gesetzt.
Wieso "ansonsten" ?? Der kann doch auch IGMPv3 !
https://www.cisco.com/c/en/us/products/collateral/switches/250-series-sm ...
Sind die Adressbereiche so richtig?
Nicht der vom VPN. Einen 8er Prefix zu verwenden ist Unsinn. Du willst ja sicher keinen 16.777.214 VPN Clients bedienen, oder ? Nutze dort auch eine sinnvolle 24er oder 25er Maske !
Und Augen auf beim VPN Adressdesign !
gerade im WLAN-Netz der Kinder einen alternativen DNS-Dienst
Wurde oben ja zu recht schon gesagt und hatten wir hier gerade. Suchfunktion lässt grüßen. face-wink
Internetzugang für Kinder - Programm zum Filtern gesucht
10 Euro Raspberry Pi Zero mit Adguard Home drauf.
https://github.com/AdguardTeam/AdGuardHome
Hat einen sehr guten Schutz mit Safe Browsing und blockt alle Po.. und Gewaltseiten. Zudem blockt es auch gefährlich Apps und macht das Netzwerk werbe- und malwarefrei. Besser gehts nicht !
https://www.heise.de/ratgeber/DNS-Filter-als-Adblocker-einrichten-AdGuar ...
Was deine Anbindung der lokalen LANs angeht zieht man normalerweise nicht für jedes Netzsegment auch eine separate Strippe zur Firewall. Fällt für dich eh flach bei der Anzahl deiner Netzwerk Segmente. face-wink
Eine pauschale Antwort ohne weitere Info gibt es nicht, denn es hängt von den lokalen Traffic Volumia der VLANs untereinander ab und dazu kommt von dir keine Info.
Wenn du genügend Interfaces hast bündelst du idealerweise 2 davon als LACP LAG zur Lastverteilung und Failover und lässt deine lokalen Netzsegmente darüber als Trunk drüberlaufen.
Link Aggregation (LAG) im Netzwerk
Visucius
Visucius 19.02.2022 aktualisiert um 09:01:56 Uhr
Goto Top
Kann hier noch jemand ein Statement abgeben?
Wenn sich hier sonst keiner dazu meldet, probiere ich mal mein Glück: Wenn der Router (ebenfalls) die vLANs verwaltet, dann kann das auch mit POE und der Lastverteilung zusammenhängen. Mit nur einem Uplink besteht das Risiko eines Flaschenhalses. In einem früheren Setup versorgte mein Router das Wifi in so einem Setup neben vLAN auch mit POE und die LAN-Verbindungen liefen dann über den Switch (der selber nur POE-in bot). In dem erwähnten Setup war so auch die inter-vLAN-Performance höher weil die Router-CPU das flotter umsetzte.

Zyxel NWA210AX / Zyxel NWA1123-AC PRO / Edimax Pro CAP1750 / Unifi AC Pro
Ich würde -neu- jetzt keine APs mit Wifi5/Wave1 kaufen. Die Technik darin ist doch schon rund 7 Jahre alt?! Bei Unifi bekommste doch - für relativ wenig Geld - Wifi6 und bei Zyxel würde ich eher in der HD-Branch schauen (Wifi5/Wave2). Setze selber den NWA1123HD (inkl. Beamforming) ein und bin mit dem sehr zufrieden. Allerdings als "Einzelgerät" ohne Controller! Mit dem Cloud-Controller habe ich keine Erfahrung. Bedenke bei den Modellen bzw. deren Abstrahl-Pattern das Thema "Wand-/Deckenmontage"! Den AC-Pros sagte man nach, dass diese von Decke profitieren.

10 Euro Raspberry Pi Zero mit Adguard Home drauf.
Ach echt?! Wo bekommt man den denn?!

Der TE müsste ja mit dem Klammerbeutel gepudert sein, wenn er ne Syno (dockerfähig mit 2xRJ45) besitzt und dann Adguard und Konsorten mit nem Raspi über 2,4 Ghz Wifi einbindet.
148523
148523 19.02.2022 um 09:22:10 Uhr
Goto Top
Visucius
Visucius 19.02.2022 aktualisiert um 11:45:51 Uhr
Goto Top
Danke! Nur der vollständigkeithalber:

11 EUR Raspi only (> ausverkauft)
inkl Speicherkarte 21 EUR
zzgl. 6 EUR Versand

Aber wie gesagt würde ich - schon wegen der Latenzen - ungern jede DNS-Anfrage über 2,4 Ghz-Wifi laufen lassen. Von der Stabilität mal ganz abgesehen.

Aber das kann natürlich jeder handhaben, wie er möchte.
148523
148523 19.02.2022 um 15:41:06 Uhr
Goto Top
Visucius
Visucius 19.02.2022 um 15:48:00 Uhr
Goto Top
Verstehe ... heißt dann aber auch 3 x 10 EUR
BigAndyT
BigAndyT 21.02.2022 um 11:12:16 Uhr
Goto Top
Was deine Anbindung der lokalen LANs angeht zieht man normalerweise nicht für jedes Netzsegment auch eine separate Strippe zur Firewall. Fällt für dich eh flach bei der Anzahl deiner Netzwerk Segmente. Eine pauschale Antwort ohne weitere Info gibt es nicht, denn es hängt von den lokalen Traffic Volumia der VLANs untereinander ab und dazu kommt von dir keine Info.

Reicht das als Anhalt. Im Netz befindet sich auch noch ein VoIP Gateway (Innovaphone). Ohne jegliche Vlan Trennung. Genauso auch eine NAS welche ich auch wie bei mir Privat in ein DMZ legen würde.


20220221_104447
148656
148656 21.02.2022 um 11:18:22 Uhr
Goto Top
Ahja, "Heimnetz" mit Mitarbeiter… von wieviel "Haushaltshilfen" reden wir?
BigAndyT
BigAndyT 21.02.2022 um 11:24:13 Uhr
Goto Top
Nein, dies hat nichts mit meinem Heimnetz zu tun. Dies bezieht sich auf ein Netzwerk welches ich wie oben beschrieben betreue. Ich finde es halt etwas irreführend, dass jedes Netzsegment einen eigenen Uplink hat.
148523
148523 21.02.2022 aktualisiert um 14:52:43 Uhr
Goto Top
dass jedes Netzsegment einen eigenen Uplink hat.
Das ist nicht nur irreführend, das ist auch netztechnischer Quatsch !
Stell dir einen Admin mit 20 VLANs vor. Muss man sicher nicht weiter beleuchten sowas.
BigAndyT
BigAndyT 21.02.2022 um 15:17:03 Uhr
Goto Top
Also ich würde es ändern sodass die VLANs ein Uplink (evtl. zwei Ports als LACP Lag) und ein Port DMZ fürs NAS! Würdet ihr den WLAN / VoIP auch auf einen separaten Port legen?
148523
148523 22.02.2022 um 10:30:04 Uhr
Goto Top
Nein, WLAN und Gast WLAN sind auch VLANs des lokalen Trunk Uplinks ggf. mit den 2 LACP LAG Ports.
148523
148523 05.03.2022 um 11:10:47 Uhr
Goto Top
Wenn es das denn nun war nicht vergessen deinen Thread dann auch als erledigt zu schliessen !
Wie kann ich einen Beitrag als gelöst markieren?