OPNsense auf DS412+ oder 1621+ oder doch auf Protectli FW4BP?

[Alphonse_Hoyt]

Hallo, ich habe mir das Thema Firewall angeschaut und möchte gerne hinter meiner FritzBox Cable 6490 (Bald 5590 Fiberglass) das Linux Projekt OPNsense verwirklichen.

Da ich noch eine ältere DS412+ besitze wollte ich euch fragen nach der besseren Hardweare Lösung.
Ich denke, der Prozessor der DS412+(2Gb) macht nicht mehr mit den anforderungen von OPNsense mit.
OPNsense auf meiner DS1621+(32GB).
Prinzipiell war mein Vorhabden eine Protectli zu kaufen wegen des AI standards. Ausreichend Power, genau nach der Fritte an Switch --> HOUSE network.

Hat jemand von euch paar gute Tipss für mich?

 

[NASSucher]

Lese ich das richtig, Du möchtest eine Firewall auf einem NAS installieren?
Normal wird das NAS hinter die Firewall gesetzt.

 

[plang.pl]

Mach das nicht auf dem NAS

 

[Jim_OS]

Ich denke hier geht es darum das der TE noch eine DS412+ "über" hat und er sich gerade fragt ob man die nicht ggf. als OPNsense Firewall "missbrauchen" könnte. Ich denke mit der älteren Atom CPU und den nur 2 GB RAM, dürfte das wohl ziemlich eng werden, bzw. vermutlich nicht wirklich "Spaß machen": OPNsense Hardware requirements
2 GB RAM Minimum
4 GB RAM Reasonable
8 GB RAM Recommended

Daher entweder eine dieser üblichen, bereits fertigen China-Firewall-Boxen, oder halt etwas eigenes per Tiny-/Mini-PC zusammenstellen. Oder halt wie viele User - incl. mir - es machen z.B. per refurbished. Dabei dann aber das Thema beachten das mind. ein zweiter Ethernet-Port in dem Teil möglich sein sollte. Von virtuellen LAN-Ports halte ich pers. in dem Zusammenhang nicht wirklich etwas.

VG Jim

 

[Ronny1978]

Bitte nicht auf der Synology einsetzen. Du wirst hier keinen Spaß haben. Ich habe selbst eine Protectli mit 6 NICs und eine i3 CPU. Du musst auch nicht zwingend eine Protectli einsetzen. Die China Kracher gehen auch, wenn du nicht ein ganz, ganz billigen nimmst. 2 NICs sind Minimum. Je nach Anwendung und späterer Ausstattung darüber nachdenken, ob evtl. 2,5GBit NICs oder besser 3 oder 4 GBit NICs. Je nach Datenmenge, Nutzer und Verhalten. Bitte prüfe, ob du Telefon über die Fritzbox brauchst und ob du ggf. die FB in den Bridge Modus schalten kannst. Sonst hast du doppeltes NAT. Aber bitte auch bedenken, das eine OpnSense viele, viele, viele Möglichkeiten bietet, aber auch die Lernkurve extrem steil ist. Da ist nix mit mal klicken, wie bei der Fritzbox.

Aber sicherheitstechnisch super, mit vielen Zusätzen (Reverse Proxy, Gastroportal, DynDNS, Lets Encrypt,usw.). Ich habe mittlerweile meine Protectli OpnSense seit 2021 im Einsatz, nachdem ich von den UDM Base wollte. Den Schritt habe ich NIE bereut. Aber auf einer Synology würde ich das nicht einsetzen. Eher die Hardware besser wählen und als Proxmox Server betreiben und die OpnSense visualisieren. Auch hier gibt es genug Anleitungen im Internet oder bei YouTube.

 

[Alphonse_Hoyt]

Ok Danke.
Ich werde mir dann eine Protectli 6Port besorgen min 8GB;M2-Karte.

Die letzten Tage habe ich damit verbracht, den Vorgang abzubilden.

Aktuell.
Kabel Fritz 6490 EIGEN (Bridgen) ---> Protectli Router OPNsense Firewall --> WLAN Router Hardwareempfehlungen? WLAN6? --> Netzwerk

Später
Deutsche Glasfaser Modem ---> Protectli Router OPNsense Firewall --> WLAN Router Hardwareempfehlungen? WLAN6? --> Netzwerk

Bei der WLAN Hardware bin ich mir nicht sicher, ob ich es mit der Protectli- oder einer WLAN Hardware, eigens dafür geeeignet verwirklichen werde.


P.S. Ich werde mir dann einen E-mail Server auf die 412+ installieren.

 

[Ronny1978]

WLAN Router Hardwareempfehlungen? WLAN6?

Du hast 2x NAS ;-) - ich würde hier Unifi AP's und Switche einsetzen und den Unifi Controller auf dem NAS im Docker hosten. Das WLAN an der OpnSense würde ich nicht verwenden.

UPDATE: Und vielleicht noch einmal prüfen, ob es 1x 1GBit sein soll, oder vielleicht lieber 4x 2,5 GBit. Ich hatte mich hier leider von den Datenmengen vertan, weil ich jedes Netz physisch getrennt haben wollte. Ich fasse jetzt Mitarbeiter und Gäste physisch zusammen und mache 2 VLANs draus und LAN und IOT fasse ich physisch als LAGG zusammen und richte hier auch VLANs ein.

Wenn jemand Hinweise hat, wieso KEINE VLANs, dann bitte gern. Ich lerne gern dazu .

 

[plang.pl]

E-mail Server auf die 412+ installieren.

Wen du damit nur Mails von externen Anbietern holen und auch darüber versenden willst, kannst du das tun. Wenn du das alles selbst stemmen willst, lass es bleiben. Deine Mails werden niemals irgendwo ankommen, da die Provider sie ablehnen.

 

[Alphonse_Hoyt]

Du hast 2x NAS ;-) - ich würde hier Unifi AP's und Switche einsetzen und den Unifi Controller auf dem NAS im Docker hosten. Das WLAN an der OpnSense würde ich nicht verwenden.

Was ist der Benefit davon bitte?
Einen WLAN AccessPoint von Ubiquiti habe ich bereits im Fokus.

Aktuell habe ich günstige TP-Switches im Netzwerk.

HowTo YouTube Unifi Controller im Docker ​

iDomiX

 

[Ronny1978]

Was ist der Benefit davon bitte?

Einsparung Cloudkey

Aktuell habe ich günstige TP-Switches im Netzwerk.

Hier kann es aber beim Controller zu "Fehlern" in der Anzeige kommen bzw. wenn du VLAN einrichten möchtest zu Unstimmigkeiten. Ich würde Unifi und TP Link nicht mischen.

 

[Alphonse_Hoyt]

Ich verstehe jedoch nicht, weshalb ich es steuern müsste, 1x eingerichtet läuft doch alles im WLAN
Wozu das Ganze Netzwerk umrüsten bitte?
Ich möchte lediglich einen OPNsense Router mit Firewall und WLAN AccessPoint verwirklichen.

 

[maxblank]

Hier kann es aber beim Controller zu "Fehlern" in der Anzeige kommen bzw. wenn du VLAN einrichten möchtest zu Unstimmigkeiten. Ich würde Unifi und TP Link nicht mischen.

Zu welchen Fehlern soll es da kommen?
Wenn die Switche und AP das Gewünschte können und entsprechend passend konfiguriert sind, sollte es problemlos laufen.

Ich selbst setze zum Beispiel TP-Link / Microtik Switche ein, FRITZ!Box mit AVM bzw. Sophos APs. In der Firma sind es Unifi AP mit Dell Switchen, alles problemlos.

 

[Ronny1978]

Na dann... Ich habe schon genügend Beispiele von Nutzern im Unifi Forum gelesen, wo ich auch aktiv bin, dass die Topologie nicht gepasst hat bzw. es Probleme beim Durchreichen vom VLAN gekommen ist. Sobald jemand fit genug ist, alles gut. Wenn es problemlos läuft ist doch gut.

 

[Ronny1978]

WLAN AccessPoint verwirklichen

Die AP von Unifi funktionieren NICHT, wie die von AVM. Hier gibt es KEINE eigene Benutzeroberfläche. Das geht alles über den Controller. Was das für ein Controller ist, spielt hier keine Rolle, ob CloudKey oder selbstgehostet.

 

[Alphonse_Hoyt]

Jetzt verstehe ich, dass wenn ich einen AccessPoint von Unifi kaufe, benötige ich zwingend einen Controller und diesen in der DS1621+ gehostet ist die gue Lösung um den CloudKey priceless zu bekommen.
Ich bin da AVM verwöhnt.

Sehr interessant. Wusste ich nicht. Danke.

Wäre ein Unifi u6+ das richtige als WLAN Basis nach der Protectli Firewall Router ?

Bitte die Frage noch, ob ich die Fritz Boxen danach noch als nur Repeater verwenden kann.

 

[maxblank]

Ja, kannst die FRITZ!Box als Access Point benutzen.

 

[Tommes]

Hi!

Ich bin da AVM verwöhnt.

Ich ebenfalls. Daher habe ich mich am Ende für diese Lösung entschieden...

• FRITZ!Box 5590 Fiber
  • Protectli FW4C mit pfSense
    • FRITZ!Box 4060 für Subnet 1
    • FRITZ!Repeater 6000 für Subnet 2

Davor habe ich viel mit VLANs und Multi SSID Access Points von Netgear und TP-Link herumgespielt, war mit den Ergebnissen aber nie wirklich zufrieden. Daher habe ich mich am Ende gegen VLANs und Multi SSID entschieden, zumal ich eh nur zwei LAN Segmente hinter der pfSense betreibe. Das Subnet der FRITZ!Box 5590 dient mir hierbei hauptsächlich für die IP-Telefonie, zur Videoüberwachung, zur Steuerung meiner AVM Smart Home Komponenten und als DMZ. WLAN ist in diesem Subnet komplett deaktiviert.

Tommes

 

[Alphonse_Hoyt]

WLAN ist bei mir zwingend notwendig, da ich eine Kamera in der Garage betreibe.

Ich bin noch ein wenig hin und her gerissen, ob ich nur eine Firewall betreibe oder doch komplett einen Router aufbaue. Nur Firewall wäre dann auch mit der 5590 geplant.

@Tommes
Du verwendest deswegen pfsense als Firewall Lösung richtig!?
Weshalb 2x Subnetz ?

Sicherer, auch als Zukunftsperspektive, erscheint mir die Routervariante mit OPFsense am geeignesten.

 

[Tommes]

Ich bin noch ein wenig hin und her gerissen, ob ich nur eine Firewall betreibe oder doch komplett einen Router aufbaue. [...] Du verwendest deswegen pfsense als Firewall Lösung richtig!?

Die pfSense ist für die Segmentierung, das Routing und für die Firewall zuständig. Die Firewall regelt ja das Routing in bzw. zwischen den einzelnen Subnetzen.

Weshalb 2x Subnetz ?

Weil ich nicht mehr brauche bzw. ich mit dem Subnet an der FRITZ!Box 5590 ja eigentlich drei Subnetze habe (wobei die Profis hier jetzt bestimmt reingrätschen und mit erhobenen Fingern sagen werden: Ins Transfernetz gehört kein Client, außer der pfSense)

Anfangs hatte ich dank VLANs je ein Segment fürs Management, ein Eltern-(W)LAN, ein Kind-(W)LAN, ein Gäste (W)LAN, ein Segment für IoT Boliden, eine DMZ und noch ein oder zwei zum rumspielen. Am Ende war der Konfigurationsaufwand und die Pflege doch erheblich, der Nutzen aber nicht wirklich ersichtlich. Als ich dann noch mein Netzwerk auf 2,5 GBit LAN aufrüsten wollte und VLAN fähige Switche entweder nicht zu haben, oder Unsummen an Geld gekostet hätten, habe ich mich auf's Wesentliche konzentriert. Keep it Simple, heißt die Devise. Am Ende brauche ich nur ein Segment für mich und meine Frau und eins für meinen Sohn. Die DMZ rundet den Zugriff von extern ab. Dort steht u.a. auch ein Proxmox mit NextCloud und Minecraft meines Sohnes.

Tommes