AVM Fritz!Box Hardware Firewall OPNsense in Verbindung mit Fritzbox und VF Kabelanschluss

[ctrlaltdelete]

ok, Danke, hatte gar nicht auf denn Schirm, dass der Router dann wegfällt.
Die Hardware soll nur für OPNsense sein und 2,5 GBit haben, falls mein Internetanschluss mal schneller als 1 GBit wird.

 

[maxblank]

Ich würde dir eine HUNSN Appliance als Hardware Firewall empfehlen. Ich habe selbst eine im Einsatz seit über vier Jahren und habe davon auch ansonsten einige verbaut, auch beruflich.

HUNSN Micro Firewall Appliance, Mini PC, VPN, Router PC, Intel Alder Lake-N 12th Gen N100, RJ46, 6 x 2.5GbE I226-V, 2 x HDMI2.1, TF, Type-C, Barebone, NO RAM, NO Storage, NO System https://www.amazon.de/dp/B0CG18KSC4

 

[metalworker]

Ja dann reicht das alles.

2.5 Gbit ist auch sinnvoll zum Netz. Da das Routing zwischen der VLANs dann ja über die Sense läuft.

 

[maxblank]

Hier noch ein stärkeres Modell von HUNSN mit i3 N305.
https://www.amazon.de/dp/B0BZJB126D

 

[ctrlaltdelete]

Ist die FRITZ!Box deine eigene oder die vom ISP?

vom ISP, ja für Telefonie muss ich mir was einfallen lassen oder ich leite alles aufs Handy um?

 

[FricklerAtHome]

ich habe diesen hier mal für etwas über 300 geschossen (noch ohne Lüfter, aber mit 32 GB Ram und 1 TB Platte).
Opensense läuft in Proxmox, bei mir keine Abwärmeproblem!

 

[ctrlaltdelete]

Oder ich klemme die Fritzbox vor die Sense und nutze nur DECT, WLAN kommt ja dann über die 2 Accesspoints.

 

[Ronny1978]

Protecli baut gute Geräte, sind aber etwas hochpreisiger. Die China Geräte sollten auch gehen (ich habe mittlerweile eines als "neue Herberge" meiner OpnSense. Die OpnSense sollte nach meiner Meinung nach der Router für alles sein. Im Wohnzimmer würde ich es mit 2,5Gbit nicht übertreiben. Ich habe "nur" einen 8 Port Lite und 16 Port Lite von Unifi und komme damit dicke hin. Die Hardware der OpnSense sollte aber auf 2,5 Gbit ausgelegt sein. Bei mir sind es 6x 2,5GBit und ein N100. Mir reicht das. Der Proxmox hat mehr Kraft (i7 12th Gen. / 64 GB).

 

[FricklerAtHome]

Oder ich klemme die Fritzbox vor die Sense und nutze nur DECT, WLAN kommt ja dann über die 2 Accesspoints.

genau so läuft es bei mir. Und die Telefonie verteilst du zur NOT per Dect-Repeatern.

 

[Ronny1978]

falls mein Internetanschluss mal schneller als 1 GBit wird

Du wohnst doch in Deutschland, oder? Wann soll das sein? Da bin ich definitiv schon in Rente (bin jetzt 46 )

 

[Ronny1978]

klemme die Fritzbox vor die Sense

davor??? Ich habe meine Auerswald HINTER der OpnSense. Die OpnSense ist bei mir ERSTE BRANNTMAUER.

 

[maxblank]

Oder ich klemme die Fritzbox vor die Sense

Dann hast du aber doppeltes NAT und das gilt es zu vermeiden. Klemme lieber die Fritzbox hinter die Firewall als IP-Client und mit einer "Outbound NAT Regel" sollte dann auch die Telefonie über die Fritte laufen.

 

[Ronny1978]

Outbound NAT Regel

Genauso wird "ein Schuh draus".

 

[FricklerAtHome]

ich bin nun schon einen Schritt weiter:

hast du nicht schon ne Proxmoxkiste mit 2 physikalischen Netzwerkanschlüssen?
dann könntest das Ganze schon mal virtuell testen

F@H

 

[maxblank]

Fritzbox kann auch am dritten Hardware-Port der Firewall Appliance angeschlossen werden, dann brauchst du in dem Bereich keine VLANs und kannst dort die Firewall Regeln sauber und deutlich übersichtlicher durchkonfigurieren. Vor allem legst du dir nicht das gesamte Netzwerk lahm, wenn du dort etwas Falsches konfigurierst.

Schaue dir als Alternative zur Sense mal noch Sophos an.







Ist für den Heimgebrauch kostenlos und hat den vollen Funktionsumfang. Einschränkung: 4 Kerne der CPU werden maximal genutzt und 6 GB RAM.
Das reicht allerdings für viele Server, Clients und VLANs, die du nicht ausnutzen wirst.

https://www.sophos.com/de-de/free-tools/sophos-xg-firewall-home-edition

 

[FricklerAtHome]

Dann hast du aber doppeltes NAT und das gilt es zu vermeiden. Klemme lieber die Fritzbox hinter die Firewall als IP-Client und mit einer "Outbound NAT Regel" sollte dann auch die Telefonie über die Fritte laufen.

Anhang anzeigen 101668

@maxblank

bei mir geht das vermeiden von "Doppel-NAT" nicht ganz so leicht und bei @crtlaltdelete wahrscheinlich auch nicht. Die ISP-Fritzbox inkludiert den Kabelnetz-Anschluss sprich es gibt bei uns kein extra Kabel-Modem. Bei den mir bekannten Hardwarekisten für Opensense / Sophos kann ich aber kein "Antennen-Kabel" reinstecken oder sie sonst wie als Modem nutzen. Die Fritzbox geht zur Not im Bridge-Modus, aber dann bleibt sie weiter vor der Sense. Da bei mir keiner "Spielt" oder Peer-To-Peer verbindet und wir auch nur 5 Nutzer sind fällt uns das "Doppel-Nat" nicht negativ auf. Ihr habt aber von der reinen Lehre her natürlich recht. Ja, kann man auch in unserer Konstellation einrichten. Hab ich aber bisher nicht gebraucht.

 

[maxblank]

Ok, das ist natürlich eine wichtige Information. Im ersten Beitrag von @ctrlaltdelete stand etwas von Kabelmodem, dann habe ich das falsch interpretiert. Zu der Zeit als ich noch Kabel-Internet hatte, gab es noch Kabel Deutschland und es ist bestimmt 15 Jahre her. Damals waren die separaten Kabelmodem von Motorola oder Sagem noch obligatorisch.

Wenn die Firewall dann direkt hinter die Fritzbox kommt, kannst du das Doppelt-NAT trotzdem mit "Exposed Host" umgehen und ab dann übernimmt den Schutz des Netzes die Firewall. Das müsste man dann aber vorher unbedingt betrachten, prüfen und testen.

 

[ctrlaltdelete]

So würde ich das auch machen in der Fritzbox die OPNSense als exposed Host eintragen oder weiß jemand, ob die Fritzbox Telefonie kann, wenn sie im bridge Modus läuft?

 

[ctrlaltdelete]

hast du nicht schon ne Proxmoxkiste mit 2 physikalischen Netzwerkanschlüssen

Nein, das habe ich verschoben und brauche es auch aktuell nicht mehr, ausser halt jetzt für OPNsense. Mal schauen welche Hardware ich da nehme. Jetzt muss ich erstmal sparen, die insgesamt 6 HDDs und die 2 SSDs haben ein wenig Geld verbraten Wenn ich der Regierung jetzt mitteile, dass ich schon wieder 1500 € für meinen Spieltrieb ausgebe, kann ich gleich auf der Couch im homeoffice pennen.

 

[FricklerAtHome]

So würde ich das auch machen in der Fritzbox die OPNSense als exposed Host eintragen oder weiß jemand, ob die Fritzbox Telefonie kann, wenn sie im bridge Modus läuft?

Also meine 6591 von Voda... geht nur mit Tricks und Klimmzücken in den Bridge Modus. Telefonie geht dann nicht.
Da die Kiste zwar zu meinem Vertrag aber nicht mir gehört, frickel ich da nicht rum. Und nur für die Telefonie (andere Dinge macht die Kiste nicht) brauche ich keine Opensense davor.