AVM Fritz!Box Fritz!Boxerweiterung aufgrund VLan

[silverrunner]

Hallo zusammen,
Ich stehe gerade vor einer Grundsatzentscheidung und möchte mir hier den ein oder anderen Tipp für eine korrekte Implementierung meines Heimnetzwerks holen.
Im Netzwerkbereich habe ich bis auf normale Router-Einstellungen bisher wenig Erfahrung.

Ich habe zuhause ein Kabelanschluss der an meinen derzeitigen Fritz!Box Router 6660Cable angeschlossen ist.

Nun habe ich vor kurzem SmartHomegeräte implementiert und möchte hier nun eigens für sich abgeschlossene sichere Netze aufbauen und dachte hier an VLans:
VLAN 1: Hauptnetz
VLAN 2: IoT
VLAN 3: Kameras
VLAN 4: Gast

Es sollten mind. 100 Geräte verwendet werden können.
Zudem würde ich gerne früher oder später eine VPN Verbindung in mein Netzwerk zu einer NAS einrichten.
Weitere Firewalleinstellungen sollten eher nicht nötig sein.

Da die Fritz!Box nicht VLAN-fähig ist habe ich mich nach alternativen umgeschaut und bin oft auf eine Firewalllösung mittels pfSense gestossen.
Fritz!Box Router 6660Cable -> PfSense -> Switch und AP

Mir stellt sich aber die Frage ob das nicht mit "Kanonen auf Spatzen" geschossen ist und ob nicht eine Routerkaskade mit bspw. der Synology RT6600 die bessere Wahl ist?
Fritz!Box Router 6660Cable (als Exposed Host) -> Synology RT6600 (Firewall Switch und AP in einem)

Gibt es für die Routerkaskade sicherheitstechnische Bedenken?
Gibt es von der Sicherheit der Firewall in meinem Bereich wo ich mich bewegen möchte gravierende Unterschiede zw. bspw. einer RouterFirewall und der pfSense?
Ich vermute, dass ich durch Unwissenheit bei der pfSense eher mehr Unsicherheit in die Firewall mit einbringe.

Was ist eure Meinung hierzu, hat hier jemand schon Erfahrung?
Wüsstet ihr noch gute Routeralternativen mit einer sehr guten Firewall zur Synology RT6600, welche VLan-fähig sind und gut für den VPN-bereich sind?


Vielen Dank für eure Hilfe im Voraus
VG
Philipp

 

[maxblank]

Herzlich Willkommen im Forum @silverrunner!

Tatsächlich haben die Pfsense, Sophos XG usw. eine steile Lernkurve und man kann sich ganz schnell Löcher ins Netzwerk reißen als einem lieb ist.

Von einer Routerkaskade würde ich persönlich Abstand nehmen. Ich würde dies mit einem VLAN-fähigem Switch umsetzen.

Hier kannst du dir mal ein Bild davon machen:
https://www.tutonaut.de/fritzbox-vlan-subnetze-per-switch-einrichten/

Viele Grüße
maxblank

 

[Tommes]

Tatsächlich haben die Pfsense, Sophos XG usw. eine steile Lernkurve…

Dem kann ich nur beipflichten. Aber wenn man erstmal alles verstanden hat und alles ordnungsgemäß läuft ist es leider geil!

Ich betreibe selbst eine pfSense hinter einer FRITZ!Box (siehe Signatur), jedoch ohne VLANs. Das LAN-Segment zwischen FRITZ!Box und pfSense dient mit dabei als DMZ und an der pfSense selbst liegen aktuell zwei weitere Subnetze an sowie ein OpenVPN Zugang.

Ich würde daher ebenfalls eine solche Lösung vor einer einfachen Routerkaskade mit zwei FRITZ!Boxen vorziehen. Alternativ halt einen VLAN-fähigem Switch, wie @maxblank bereits erwähnte. Ich bin damals an meinem Layer3 Cisco Switch jedoch verzweifelt, aber das ist ein anderes Thema.

Tommes

 

[metalworker]

ich hab das auch mit einer OPNsense und nem V-Lan Switch gelöst.
Wenn du von der IP Technik etwas ahnung hast ist das alles kein Hexenwerk.

Schau dir dazu mal den Kanal hier an : https://www.youtube.com/@sysopstv

 

[Ronny1978]

ich hab das auch mit einer OPNsense und nem V-Lan Switch gelöst

OpnSense mit VLAN und Unifi umzusetzen geht super. pfSense wie @Tommes schreibt ist ähnlich. ABER bedenken, wir @maxblank gesagt hat: Lernkurve ist sehr, sehr steil und man sich in etwas ins Thema einlesen. Vorteil OpnSense/pfSense gegenüber Unifi (was etwas leicht geht):

Von vorherein ist alles ZU und man muss öffnen. Bei Unifi ist es genau umgekehrt. Dort ist alles AUF und man muss schließen.

 

[metalworker]

Ja man muss sich wirklich damit befassen .
Es ist kein klicki bunti .

Aber ich bin der Meinung der Aufwand lohnt sich .

Und als kleiner Tipp .
In der Fritzbox dann die eigene Firewall nicht als Exposed Host eintragen sondern nur die nötigsten Port weiterleiten .
Das hält die Logs etwas freier wenn nicht wirklich Überall was anklopft.

 

[maxblank]

Damit hast du aber ein doppeltes NAT und das ist nicht wirklich gut, funktioniert meistens.
Kann allerdings zu ganz ekligen Seiteneffekten führen.

Abseits von OPNsense und PFsense kann ich die kostenlose Sophos XG(S) Home empfehlen, inklusive IDS / IPS.

https://www.sophos.com/de-de/free-tools/sophos-xg-firewall-home-edition

 

[metalworker]

Ja du hast ein doppeltes NAT , aber ich kann auch eigenes Erfahrung versichern das Funkioniert sehr gut.
Hab ich selbst bei mir Zuhause genau in der Konstellation im Einsatz.

Ich hab bei mir in der Firma direkt die Firewall im am Netzt . Was denkst was da in den Logs los ist.
Das kann nen Privaten User schnell verunsichern.
Und die Gefahr sich bei ner OPNsense das Netzt offen zu stellen ist schon geggeben.


Aber ja ne Sophos in der HomeEdition ist auch ne möglichkeit.
Ist vielleicht sogar für nen "einfacheren" User besser. Da die einen schon sehr an die Hand nimmt und die Gefahr ist geringer da sein Netzt zu öffnen .

 

[Tommes]

Damit hast du aber ein doppeltes NAT

Auf der FRITZ!box Statische IPv4 Routen vergeben und auf der pfSense auf „Disable Outbound NAT“ einstellen. Dann ist doppeltes NAT Geschichte.

 

[silverrunner]

Wow! Mit so viel Reaktionen vor allem auch so schnell habe ich gar nicht gerechnet.
Euch schonmal vielen Dank für den Input!!

Der Fakt, dass die OPNsense/pfSense zunächst einmal komplett zu sind, gibt mir in der Beziehung auf jeden Fall eine Sicherheit.
Dann traue ich mir das auch tatsächlich mehr zu, mich in die Thematik einzuarbeiten.

Dann wird der Aufbau: meine Fritzbox (für den Anfang vielleicht mit doppelter NAT) - ein VLan-fähigen Switch (am liebsten direkt mit AP) mit pfSense - und dann ein AP

Dann werde ich mir am Wochenende mal die oben genannten Youtube-Videos und auch die Sophos XG(S) Home -Firewall genauer anschauen und mir dann wahrscheinlich im Laufe der nächsten Woche ein geeigneten Switch (da liebäugel ich tatsächlich auch mit dem Protectli FW4C) und ein AP raussuchen.

Habt ihr auch Erfahrung, mit einem VLan-fähigem und gleichzeitig WLan fähigem Switch für die pFsense?
Ich habe in einem anderen Forum mal gelesen, dass es wohl sehr schwierig ist das WLan über pfSense am identischen Switch einzurichten und es da öfters zu Komplikationen kommt?
Was wäre dazu eure Meinung? lieber AP und Switch trennen? Und wenn ja warum bzw warum nicht?

 

[maxblank]

AP und Switch trennen, ja.

 

[goetz]

Hallo,
mir ist kein Switch mit VLAN und WLAN bekannt. Der Switch geht in den Blechschrank und der AP an den Punkt wo er am besten die erwartete WLAN-Abdeckung erbringen kann.
Beim VLAN bedenken, dass ein Gerät Inter-VLAN Routing bewerkstellen muss. Am besten am Router.

Gruß Götz

 

[Tommes]

im Laufe der nächsten Woche ein geeigneten Switch (da liebäugel ich tatsächlich auch mit dem Protectli FW4C)

Bei der Protectli FW4C handelt es sich um keinen Switch, sondern um einen Mini-PC für Open Source Software, worunter auch die pfSense fällt. Der Vorteil ist, das dieses Stück Hardware u.a. über mehrere LAN-Interfaces verfügt, die sich unterschiedlich konfigurieren lassen. So kannst du z.B. jedem Interface, neben dem WAN Anschluss, ein eigenes LAN Subnetz zuordnen, oder aber mehrere VLANs darüber leiten.

Wenn du VLAN verwendest solltest du schauen, ob du neben einem oder mehreren VLAN fähigen Switch‘es (Layer 2 reicht da i.d.R.) einen oder mehrere, ebenfalls VLAN fähige Mulit-SSID Access Point mit 4 oder mehr WLAN-Segmenten besorgst. Wenn du darüber hinaus mit 2,5, 5 oder 10 GBit-LAN liebäugelst, wird es teuer bis fast unmöglich, passende Komponenten zu ergattern. Das fängt bei VLAN fähigen Switchen schon an. Der Protectli FW4C unterstützt z.B. 4x 2,5 GBit Interfaces. Wenn Du diese nicht benötigst, würde ich vielleicht nach einem günstigeren Modell umschauen.

Es besteht zwar auch die Möglichkeit, an der Protectli FW4C ein WLAN Modul anzuschließen. Ich persönlich halte davon jedoch nichts, jedenfalls nicht im Zusammenhang mit einer Firewall.

Dann wird der Aufbau: meine Fritzbox (für den Anfang vielleicht mit doppelter NAT) - ein VLan-fähigen Switch (am liebsten direkt mit AP) mit pfSense - und dann ein AP

Eigentlich wäre die Reihenfolge diese: Fritzbox - Protectli FW4C mit pfSense/OPNSense - VLAN fähiger Switch und/oder Multi-SSID fähiger WLAN Access Point. Das Netz zwischen Fritzbox und pfSense nennt man hierbei Transfernetz, worin sich im klassischen Sinne keine weiteren Geräte aufhalten sollten. Ich persönlich habe dort jedoch meine DMZ liegen, weil ich so Ports nur über die Fritzbox öffnen muss und nicht zusätzlich auch noch in der pfSense. Klassisch richtig wäre jedoch, die DMZ hinter die pfSense zu setzen.

Tommes

 

[maxblank]

mir ist kein Switch mit VLAN und WLAN bekannt.

Gibt es zum Beispiel von Mikrotik.

https://www.mikrotik-shop.de/Komple...S-2HND-IN-WLAN-Desktop::1307.html?language=de

 

[metalworker]

Ich empfehle dir betreibe es wirklich getrennt.
Fritzbox -> Firewall -> -> Switch -> APs

Als Switch kannst dir auch einen mit PoE nehmen , um darüber deine APs zu versorgen . Je nach dem wiele es werden sollen.
Und die APs sollten auch Vlan Fähig sein. Dann kannst auch mehrer WLANS aufbauen über einen AP.

Schau dir mal das TPLINK OMADA System an.

Das hab ich auf Arbeit und auch Privat im Einsatz.
Da kannst alles über eine Zentrale Platform Mangen ( also Switche und APs )
Die Geräte sind recht Günstig und die Bedienung ist auch für einen Anfänger machbar.


Mikrotik baut Geräte für wenig Geld mit Viel Leistung . Aber die Bedienung kann nen Anfänger schon mal überfordern.

 

[Ronny1978]

da liebäugel ich tatsächlich auch mit dem Protectli FW4C

Muss nicht zwangsweise so teuer sein. Ich werde demnächst auf eine Hunsn Barebone Mini PC mit einem N100 Prozessor ausweichen und die OpnSense neu mit ZFS aufsetzen.

Mein Aufbau -> VIGOR 165 -> OpnSense -> Unifi Netzwerk (Switche und APs) / Unifi Controller im Proxmox LXC Container. Funktioniert bestens und alle Netze sind getrennt.

Als Erweiterung im Proxmox noch Adguard und alles ist schickt. Aber @silverrunner : Wirklich etwas einlesen!!! Wenn man sich "eingefuxt" hat und verstanden hat, wie die OpnSense/pfSense läuft/funktioniert, ist es ein Traum und entstehen viele, viele Möglichkeiten.

-> Reverse Proxy
-> Captive Portal (Gastportal)
-> WoL für Home Assistant
-> und, und, und....



Viel Erfolg.

 

[Ronny1978]

Es besteht zwar auch die Möglichkeit, an der Protectli FW4C ein WLAN Modul anzuschließen. Ich persönlich halte davon jedoch nichts, jedenfalls nicht im Zusammenhang mit einer Firewall.

Ich habe die gleiche Meinung. WLAN NICHT auf der OpnSense/pfSense laufen lassen!!! Das sollen die AP's von Unifi oder TP Link machen. "Schuster, bleib bei deinen Leisten!"

 

[Tommes]

Ich werde demnächst auf eine Hunsn Barebone Mini PC mit einem N100 Prozessor ausweichen

Ein Hunsn kam damals bei mir auch in die engere Auswahl, oder aber ein IPU-Board von PC-Engines bzw. NRG-Systems.

Auf Protectli bin ich eher durch Zufall durch dieses und dieses YouTube Video von Dennis Schröder gestoßen. Am Ende hat mich das Gesamtkonzept von Protectli überzeugt, angefangen von der Verarbeitung über Leistungsbedarf und Wärmeentwicklung bis hin zur Dokumentation, die wirklich top ist.

Bis dahin lief meine pfSense auf einem APU2D4-Board von PC-Engines, welches ich noch hier rumfliegen hab.

Von daher ja… Protectli ist preislich gesehen schon eine Ansage und das geht definitiv auch günstiger. Aber das muss ja jeder für sich entscheiden.

Tommes