Toggle sidebar

AVM Fritz!Box Hardware Firewall OPNsense in Verbindung mit Fritzbox und VF Kabelanschluss

ok, Danke, hatte gar nicht auf denn Schirm, dass der Router dann wegfällt.
Die Hardware soll nur für OPNsense sein und 2,5 GBit haben, falls mein Internetanschluss mal schneller als 1 GBit wird.
 
Ich würde dir eine HUNSN Appliance als Hardware Firewall empfehlen. Ich habe selbst eine im Einsatz seit über vier Jahren und habe davon auch ansonsten einige verbaut, auch beruflich.

HUNSN Micro Firewall Appliance, Mini PC, VPN, Router PC, Intel Alder Lake-N 12th Gen N100, RJ46, 6 x 2.5GbE I226-V, 2 x HDMI2.1, TF, Type-C, Barebone, NO RAM, NO Storage, NO System https://www.amazon.de/dp/B0CG18KSC4
 
  • Like
Reaktionen: Ronny1978
Ja dann reicht das alles.

2.5 Gbit ist auch sinnvoll zum Netz. Da das Routing zwischen der VLANs dann ja über die Sense läuft.
 
  • Like
Reaktionen: Ronny1978 und ctrlaltdelete
  • Like
Reaktionen: ctrlaltdelete
ich habe diesen hier mal für etwas über 300 geschossen (noch ohne Lüfter, aber mit 32 GB Ram und 1 TB Platte).
Opensense läuft in Proxmox, bei mir keine Abwärmeproblem!
 
  • Like
Reaktionen: ctrlaltdelete
Oder ich klemme die Fritzbox vor die Sense und nutze nur DECT, WLAN kommt ja dann über die 2 Accesspoints.
 
Protecli baut gute Geräte, sind aber etwas hochpreisiger. Die China Geräte sollten auch gehen (ich habe mittlerweile eines als "neue Herberge" meiner OpnSense. Die OpnSense sollte nach meiner Meinung nach der Router für alles sein. Im Wohnzimmer würde ich es mit 2,5Gbit nicht übertreiben. Ich habe "nur" einen 8 Port Lite und 16 Port Lite von Unifi und komme damit dicke hin. Die Hardware der OpnSense sollte aber auf 2,5 Gbit ausgelegt sein. Bei mir sind es 6x 2,5GBit und ein N100. Mir reicht das. Der Proxmox hat mehr Kraft (i7 12th Gen. / 64 GB).
 
  • Haha
Reaktionen: ctrlaltdelete
  • Like
Reaktionen: ctrlaltdelete und maxblank
ctrlaltdelete schrieb:
Oder ich klemme die Fritzbox vor die Sense
Zum Vergrößern anklicken....
Dann hast du aber doppeltes NAT und das gilt es zu vermeiden. Klemme lieber die Fritzbox hinter die Firewall als IP-Client und mit einer "Outbound NAT Regel" sollte dann auch die Telefonie über die Fritte laufen.

1733482074361.png
 
  • Like
Reaktionen: Ronny1978 und ctrlaltdelete
  • Like
Reaktionen: ctrlaltdelete
ich bin nun schon einen Schritt weiter:

hast du nicht schon ne Proxmoxkiste mit 2 physikalischen Netzwerkanschlüssen?
dann könntest das Ganze schon mal virtuell testen

F@H
 
  • Like
Reaktionen: ctrlaltdelete
Fritzbox kann auch am dritten Hardware-Port der Firewall Appliance angeschlossen werden, dann brauchst du in dem Bereich keine VLANs und kannst dort die Firewall Regeln sauber und deutlich übersichtlicher durchkonfigurieren. Vor allem legst du dir nicht das gesamte Netzwerk lahm, wenn du dort etwas Falsches konfigurierst.

Schaue dir als Alternative zur Sense mal noch Sophos an.

1733482769728.png

1733482847333.png

1733482885845.png

Ist für den Heimgebrauch kostenlos und hat den vollen Funktionsumfang. Einschränkung: 4 Kerne der CPU werden maximal genutzt und 6 GB RAM.
Das reicht allerdings für viele Server, Clients und VLANs, die du nicht ausnutzen wirst.

https://www.sophos.com/de-de/free-tools/sophos-xg-firewall-home-edition

1733483316306.png
 
Zuletzt bearbeitet:
  • Like
Reaktionen: ctrlaltdelete
maxblank schrieb:
Dann hast du aber doppeltes NAT und das gilt es zu vermeiden. Klemme lieber die Fritzbox hinter die Firewall als IP-Client und mit einer "Outbound NAT Regel" sollte dann auch die Telefonie über die Fritte laufen.

Anhang anzeigen 101668
Zum Vergrößern anklicken....
@maxblank

bei mir geht das vermeiden von "Doppel-NAT" nicht ganz so leicht und bei @crtlaltdelete wahrscheinlich auch nicht. Die ISP-Fritzbox inkludiert den Kabelnetz-Anschluss sprich es gibt bei uns kein extra Kabel-Modem. Bei den mir bekannten Hardwarekisten für Opensense / Sophos kann ich aber kein "Antennen-Kabel" reinstecken oder sie sonst wie als Modem nutzen. Die Fritzbox geht zur Not im Bridge-Modus, aber dann bleibt sie weiter vor der Sense. Da bei mir keiner "Spielt" oder Peer-To-Peer verbindet und wir auch nur 5 Nutzer sind fällt uns das "Doppel-Nat" nicht negativ auf. Ihr habt aber von der reinen Lehre her natürlich recht. Ja, kann man auch in unserer Konstellation einrichten. Hab ich aber bisher nicht gebraucht.
 
  • Like
Reaktionen: Ronny1978, ctrlaltdelete und maxblank
Ok, das ist natürlich eine wichtige Information. Im ersten Beitrag von @ctrlaltdelete stand etwas von Kabelmodem, dann habe ich das falsch interpretiert. Zu der Zeit als ich noch Kabel-Internet hatte, gab es noch Kabel Deutschland und es ist bestimmt 15 Jahre her. Damals waren die separaten Kabelmodem von Motorola oder Sagem noch obligatorisch. :D

Wenn die Firewall dann direkt hinter die Fritzbox kommt, kannst du das Doppelt-NAT trotzdem mit "Exposed Host" umgehen und ab dann übernimmt den Schutz des Netzes die Firewall. Das müsste man dann aber vorher unbedingt betrachten, prüfen und testen.
 
  • Like
Reaktionen: ctrlaltdelete und FricklerAtHome
So würde ich das auch machen in der Fritzbox die OPNSense als exposed Host eintragen oder weiß jemand, ob die Fritzbox Telefonie kann, wenn sie im bridge Modus läuft?
 
FricklerAtHome schrieb:
hast du nicht schon ne Proxmoxkiste mit 2 physikalischen Netzwerkanschlüssen
Zum Vergrößern anklicken....
Nein, das habe ich verschoben und brauche es auch aktuell nicht mehr, ausser halt jetzt für OPNsense. Mal schauen welche Hardware ich da nehme. Jetzt muss ich erstmal sparen, die insgesamt 6 HDDs und die 2 SSDs haben ein wenig Geld verbraten :cool: Wenn ich der Regierung jetzt mitteile, dass ich schon wieder 1500 € für meinen Spieltrieb ausgebe, kann ich gleich auf der Couch im homeoffice pennen.
 
ctrlaltdelete schrieb:
So würde ich das auch machen in der Fritzbox die OPNSense als exposed Host eintragen oder weiß jemand, ob die Fritzbox Telefonie kann, wenn sie im bridge Modus läuft?
Zum Vergrößern anklicken....
Also meine 6591 von Voda... geht nur mit Tricks und Klimmzücken in den Bridge Modus. Telefonie geht dann nicht.
Da die Kiste zwar zu meinem Vertrag aber nicht mir gehört, frickel ich da nicht rum. Und nur für die Telefonie (andere Dinge macht die Kiste nicht) brauche ich keine Opensense davor.
 
  • Like
Reaktionen: ctrlaltdelete

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten