AVM Fritz!Box Hardware Firewall OPNsense in Verbindung mit Fritzbox und VF Kabelanschluss

[ctrlaltdelete]

Servus miteinand,
ich bräuchte mal eure Meinung bzw. Erfahrung.
Macht es Sinn für zu Hause ca. 15 NAS, Server, Clients + 30 (Cams, IOT, HA Devices (zigbee), etc.) eine OPNsense Hardware Firewall zu installieren?
- Fritzbox 6591 Cable: Telefon DECT, DVB-C, Router, DHCP, VPN, WLAN, Mesh Master (2 andere Fritzboxen als Mesh Slave)
- Kein AD im Netz
- Portweiterleitung auf der Fritzbox nur Proxy: 443, Plex: 32400, Drive: 6690, ABFB: 5510

Bisher keine großen Angriffe von Aussen und auch keine Viren und Ransomware Probleme die letzten 10 Jahre.

Ich müsste ja dann folgenden Aufbau haben:
Kabelanschluss -> Kabelmodem Fritzbox->OPN -> Switch -> WLAN Accesspoints

Kann ich dann alle Funktionen der Fritzbox, VPN würde ich auf die OPNsense auslagern, wie gewohnt nutzen, vor allem Telefon?
Und bringt es mir wirklich mehr Sicherheit im LAN?
Sinnvoll wäre dann auch die Nutzung von VLANs oder?

Wenn mir das wirklich einen Mehrwert bringt würde ich das umsetzen, vom Know-How sollte das machbar sein.

Danke für eueren Input!

Edit 20241206: Zusammenstellung Einkaufsliste
Gerne kommentieren!

Menge	Beschreibung	Einzelpreis	Gesamt
1	Hardware für OPNsense 2,5 GBit LAN	400	400
1	Switch USW-PRO-MAX-16-POE	415	415
2	Access Point U7-Pro-Wall	210	420
Total			1.235 €

 

[metalworker]

Grüße ,

du hast 15 NAS Systeme zuhause?
Ich dachte ja schon ich bin böse drauf ^^

Aber kurz um, ja lohnt sich definitiv.

Telefon würde ich an der Fritte lassen , dann einfach nen Exposed host an die Sense.

Du kannst halte schön alles trennen in den V Lans .
Regeln erstellen , und nur das zusallen was wirklich notwendig ist .

Du kannst mit ner Sense das Netzt definitiv sicherer machen , aber es muss halt alles gut gesichert sein.


Ich hab dafür auch selbst Lehrgänge besucht , es ist wirklich viel was man damit machen kann.
Aber geht halt auch viel falsch zu machen .

 

[ctrlaltdelete]

lol, nein 15 Clients: NAS (habe ich nur 3), Laptop, Tablets, Raspi, VMs
WLAN sollte aber auch weiterhin über Fritz Mesh laufen, weil ich keine Lust habe 3 Accesspoints zu kaufen. Da wird das dann schwierig mit den VLANs?

 

[FricklerAtHome]

ich nutze folgendes:

Kabelanschluss -> Fritzbox Provider -> Opensense
An der Fritzbox Provider laufen alle Telefon-Dienste (Telefon / AB etc mit E-Mail Verteilung), Verteilung im Haus via DECT / DECT-Repeater, WLAN aus. Sonst nichts! Die Fritte hat lediglich einen Port offen als Weiterleitung an die Opensense. Strikt Revers-Proxy vor allen von außen erreichbaren Diensten (Mail, Nexcloud etc.) hinter der OPS.
Hinter der Opensense dann WLAN, vLan, Revers-Proxy VPN etc.
Ja, bedeutet Doppel-NAT, aber funktioniert super. Angriffe von Extern gegen Null und auf der OPS noch ZenArmor, adguard für die Sicherheit nach draußen.
Wie schon im Vorbeitrag erwähnt ist die Config einer OPS aber nicht trivial, da muß man sich echt einarbeiten.
Es gibt eben noch andere Lektüren außer diesem Forum ;-)

F@H

 

[FricklerAtHome]

ach So WLAN: hinter der Opensense läuft noch ne Fritzbox 4040 (lag hier rum) mit openWRT über vLan angeschlossen. Damit trenne ich dann auch GastNetz, Drucker etc. zwischen den ganzen WLAN-Clients (nochmal Frickelei). Aber Mesh geht und bisher beklagt sich keiner. Denk auch daran das jeglicher eingesetzter Switch auch vLan können muss! Bei mir stecken 6 Fritzboxen / Repeater im Mesh und ebenso 6 Switche von Zyxel im Getriebe damit ich das bauwerksbedingte Chaos auch versorgen kann

F@H

 

[metalworker]

als W-Lan hab ich das Omada System . Das ist auch Mesh fähig.

Ich denke mit der Sense hast auch ne steile Lernkurve

 

[Tommes]

Hi!

du hast 15 NAS Systeme zuhause?

... genau das Gleiche habe ich auch im ersten Moment gedacht bzw. gelesen.

Ja, bedeutet Doppel-NAT

Geht aber auch ohne. Meine Konfiguration lautet Glasfaser -> FRITZ!Box 5590 Fiber -> Protectli FW4C mit pfSense -> FRITZ!Box 4060 -> FRITZ! Repeater 6000

In der 5590 läuft eine Portfreigabe an das WAN der pfSense, also kein Exposed Host. Dann habe ich in der 5590 statische IPv4 Routen für die IPs hinter der pfSense eingerichtet (eine sogenannte Supernet Adresse) und in der pfSense seber unter dem Menüpunkt Firewall/NAT im Reiter Outbound auf "Disable Outbound NAT rule generation" gestellt und schon was das Doppelte-NAT weg.

Wenn mir das wirklich einen Mehrwert bringt würde ich das umsetzen...

Naja, das kommt immer auf dein Budget, deine Bedürfnisse und deine eigene Paranoia an. Ich hatte zunächst ewig gebraucht, bis ich das mit den VLANs verstanden hatte. Dann habe ich angefangen damit rumzuspielen. Was dir natürlich keiner sagt ist, das du für die Verteilung von VLANs auch VLAN fähige Switche benötigst und das, wenn du in unterschiedlichen VLANs auch noch WLAN haben möchtest, du bestenfalls mit einem Multi-SSID-WLAN-Access Point liebäugeln solltest. Und das wird dann am Ende ziemlich teuer und vor allem ziemlich viel Aufwand. Schlimm wird es dann erst, wenn du von 1 GBit LAN auf 2,5 GBit oder mehr LAN aufsteigen möchtest. Dann wird die VLAN Geschichte erst richtig lustig, weil es kaum erschwingliche Management-Switche auf dem Markt gibt, außer vielleicht irgendwelchen Billigschleudern, die dann aber auch viereckig Strom ziehen.

Von daher... Segmentierung ist auf jeden Fall ein Thema und kann das auch nur jedem ans Herz legen, aber man sollte sich vorher im klaren darüber sein, was man will und was man am Ende überhaupt braucht. Mein Setup sieht aktuell so aus, das das Netzwerk meiner 5590 einerseits das Transfernetz zur pfSense darstellt, mir gleichzeitig aber auch als DMZ dient, wo sich u.a. ein Nginx Proxy Server befindet. Somit erspare ich mir zunächt die doppelte Portweiterleitung, da ich keinen Exposed Host verwende. Hinter der pfSense gibt es 3 weitere Segmente, wovon ein für mich ist, eins für meinen Sohn und eins zum spielen und testen. Ich wollte immer mal ein weiteres Segment für das Smarthome einrichten, hab es aber noch nicht geschafft es umzusetzten.

So, jetzt habe ich wieder einen rausgehauen und dich jetzt sicherlich total verunsichert. Aber lass dir gesagt sein, so eine Segmentierung ist leider geil, von daher nur zu auch wenn sich dabei um eine...

steile Lernkurve

... handelt.

Tommes

 

[metalworker]

Das geht auch gut mit dem Transfernetz.
Ich hab z.b. nur bestimmte Ports weitergeleitet.
Aber bei mir kommt eh Bald Glasfaser , da kommt das LWL Modul direkt in den Proxmox Server.

Viel Spaß macht es dann mit nem SDN .
Ich mach das mit Omada ja . DA hab ich den Controler als VM Laufen. Und steuer damit alles .Die Switche und auch die APs .
So kann ich wirklich Easy neues SSIDs mit nem neuen VLAN aufbauen.

Dadurch hat das ganze IOT Zeugs sein eigenes VLAN .Und hat nur wenige Routen ins sichere Heimlan.
Mit TP Link gehts auch vom Preis her relativ
Als Switch hab ich nen SG3215XP-M2 .
Der war mit 500 € ni ganz billlig . Aber erfüllt da alles was ich brauche.

 

[ctrlaltdelete]

Super, dann werde ich mal eine Einkaufsliste machen und schauen, was 2,5 Gbit mit VLan und neuem Wlan mich in etwa kosten wird.

 

[Ronny1978]

Ich muss @Tommes zustimmen. Die Lernkurve ist sehr steil, aber es lohnt sich definitiv. Aber dir traue ich das locker zu. Und wenn du ggf. doch noch in APs von Unifi oder TP Link (Omada) investierst, mit dem Controller im Docker, wirst du nix mehr anderes wollen. Für mich laufen die definitiv besser wie das Mesh von AVM.

 

[metalworker]

Ja mit nem SND System kannst erst das richtige Potential ausschöpfen.
Ob jetzt Unif oder TP Link ist mehr so ne geschmacks sache.
Wobei ich Optisch die Unify Switche schon geil find . Gerade mit dem kleinen Display links . Hätte was bei mir auf arbeit wo da so 8 Switche im Rack sind.


Aber auch bei der Fehlersuche . Hatte letztens ne Doppelte IP im Netz. Da kannst dann in die Verwaltung gehen . Und siehst genau an Welchen Port das Gerät steckt der an welchem AP es angemeldet ist.


Ich kann es dir nur empfehlen . Und wie Ronny schon sagte, wenn man das einmal hatte, will man nix anderes mehr.
Hab das damals bei mir in der Firma eingeführt .Und hab das so schätzen gelernt das es auch daheim rein musste.
Kannst da auch echt viel mit machen .

Hab als beispiel nen Ablauf im HomeAssitant.
Wenn ich im HomeOffice Arbeite hab ich ne N510 Dectbasis fürs Telefon . Und diese wird per PoE immer dann eingeschaltet wenn ich
Per Schalte mein Arbeitszimmer Freischalte

 

[Ronny1978]

Hab als beispiel nen Ablauf im HomeAssitant.
Wenn ich im HomeOffice Arbeite hab ich ne N510 Dectbasis fürs Telefon . Und diese wird per PoE immer dann eingeschaltet wenn ich
Per Schalte mein Arbeitszimmer Freischalte

Ich schalte meinen PC (per WoL) an, wenn ich heim komme. Sobald ich mit dem Handy im WLAN bin, wird der WoL Befehl vom OpnSense Plugin im HA abgesetzt.

Ja mit nem SND System kannst erst das richtige Potential ausschöpfen

Habe das bei YouTube bei Proxmox gesehen, aber leider nicht wirklich verstanden, wie ich sowas im Zusammenhang mit der OpnSense umsetzen soll/kann/müsste. Ich oute mich: Ich habe es nicht begriffen ;-)))

Unif oder TP Link ist mehr so ne geschmacks sache

-> Unifi - geileres/schickeres Design -> aber etwas teurer
-> TP Link (Omada) -> etwas globiger -> aber preiswerter

Die Controllersoftware nimmt sich nix. Wer von wem "abgekupfert" hat, muss/kann jeder selbst entscheiden/prüfen.

@metalworker : Nutzt du auf der OpnSense auch das ACME Plugin??? Ich würde gern die Automation im ACME Pluzgin nutzen, um die Zertifikate auf die DS918+ hochzuladen. Ich bekomme es aber nicht gebacken. Es kommt ständig zu einem Fehler. Wenn du hier einen Tipp hast, würde ich mich freuen.

 

[FricklerAtHome]

so ist es zu dieser Zeit: Man braucht ein Weihnachtsprojekt!
Traditionell ziehe ich dann immer durch die betreute Verwand-/Bekanntschaft und fixe, updatete Hard- und Software.
Aber man wird älter und bei mir und den Mitbetreuten sind die Anforderungen für eine gute Zufriedenheit in den letzten Jahren nicht gestiegen. Ich habe jetzt auch schon ein paar 2,5 GB Netzwerkteile im Einsatz, seit Jahren einen 1 GB Kabel Internetanschluss und bei den Clients (Handheld wie FAT-Client) für die Benutzer nie veraltete Hardware im Einsatz. ---- Die Last im Homenet sinkt, der benötigte Platz an Datenspeicher ebenso. Die Kinder sind erwachsen und ausgezogen. Kurzum ich ersetze nur noch Dinge die kaputgehen, unsicher sind oder nerven.
Also blieben bei mir aktuell die Fritzdinger unangetastet bis sie sterben, die Synos kriegen bei Bedarf mal ne neue Platte, voll gemanagestes 1 GB Netzwerk im LAN reicht usw. Sogar der weibliche Chef zu Hause ist zufrieden. Und je weniger ich an diesem Zustand rumfrickel umso stabiler läufts. Wenn nicht habe ich in kürzester Zeit Alarmmeldungen mittels PRTG und noch einigen "Watchdogs" auf dem Handy / Uhr / Rechner. Meine letzte größere Anschaffung war die Opensense auf eigener Hardware (China N105 Kiste, 32 GB RAM, 1 TB SSD für etwas über 300 Euronen mit 2 x Kupfer und 2 x Glas Netz).
Alles andere mache ich nur noch "virtuell" in meinem Proxmox-Cluster. Da läuft mein HomeLab als Spielwiese. Projekte für das ganze Jahr.
Auf die Frage: "Bringt eine neue Routerkomponente mit entsprechendem Beiwerk auch mehr Sicherheit?", lautet auch meine Antwort: "JA". ---- Muss man aber immer alle potenziellen Möglichkeiten auch mit einen Wurf umsetzen, sehe ich mittlerweile entspannter. Bei mir ist die Sättigung nach Jahren von "Sturm und Drang" aktuell erreicht.
Meine Empfehlung an @ctrlaltdelete: Schau dir nicht nur das empfohlene Optimum an, definiere es ggf. als Ziel, aber Plane auch deinen Weg dahin. Mein Weg ist aktuell realistisch gesättigt.

Verzeiht das Geschwafel musste aber so mal raus!
F@H

 

[ctrlaltdelete]

Was haltet ihr von meiner Einkaufsliste im Startbeitrag?
Was ich nicht wirklich gefunden habe war ein 6-8 Port 2,5 Gbit Switch mit VLAN, den bräuchte ich im Wohnzimmer, da dort zuviele Geräte sind und zu wenige LAN Dosen. Ich habe im ganzen Haus CAT7 liegen, Sternförmig vom Büro aus.

 

[metalworker]

Habe das bei YouTube bei Proxmox gesehen, aber leider nicht wirklich verstanden, wie ich sowas im Zusammenhang mit der OpnSense umsetzen soll/kann/müsste. Ich oute mich: Ich habe es nicht begriffen ;-)))

Na das OMADA System oder von Unifi ist ja auch ein SDN .
Das von Proxmox nutzte ich auch noch nicht.


und das mit ACME Plugin steht bei mir auch noch auf der ToDo liste

 

[ctrlaltdelete]

Ich habe das acme.sh auf der DS laufen in Docker, einmal eingerichtet, läuft seit ca. 1,5 Jahren, perfekt.

 

[metalworker]

Also die Protectli sind nicht schlecht.
Willst da nur die Sense drauf laufen lassen?

ICh würde bisl höher gehen , und darauf nen Proxmox .
Den Unify Router brauchst ja auch nicht

 

[ctrlaltdelete]

Den Router brauche ich nicht? Macht das alles die Sense?
Welche Hardware dann für die opnsense?

 

[maxblank]

Wenn du die FRITZ!Box aus der Gleichung rausnimmst, ist es allerdings Essig mit der DECT-Telefonie. Ansonsten brauchst du den Router nicht, wenn du die Firewall direkt ans Kabelmodem klemmst.

Ist die FRITZ!Box deine eigene oder die vom ISP?

 

[metalworker]

Richtiger Routing machst alles in der Sense,
das andere macht der Controler .
Denn machst dann alles Virtuelle Maschine , oder als Docker .je nach dem.

also wenn du dir nen Proxmox als Unterbau nehmen willst vielleicht sowas :

https://www.amazon.de/MINISFORUM-Wo...63e1a31ac95bb&language=de_DE&ref_=as_li_ss_tl

Oder bei reiner Sense , dann kannst deinen schon nehmen