Günstiges Heimnetz mit VLANs

[fragwuerdig]

Sooo, ich bin quasi fertig, alles läuft.

Ein paar Verständnisfragen hätte ich noch:

1. Meine WAN-Verbindung wird ja über ein VLAN 7 hergestellt, da die Telekom dieses fordert und da mir sowieso nichts anderes übrig blieb, da mein Router (NUC) ja nur einen LAN-Port hat. Nun ist es so, dass ich bei sämtlichen Port Forwardings oder Outbound NAT-Rules statt WAN (wie in den meisten Tutorials angegeben) das PPPoe-Interface verwenden muss. Ist das so korrekt, oder habe ich etwas falsch konfiguriert? Das PPPoE-Interface erhält die öffentliche IP der Telekom. Habe bilder vom WAN- und PPPoe-Interface und von einer beispielhaften Portfreigabe auf meinen Home-Assistant angehängt.
Nehme ich statt dem PPPoE-Interface (WANVLAN7) das WAN-Interface (WAN), funktioniert die Portfreigabe nicht.

2. Ich habe eine NAT-Outbound-Rule für meine Fritzbox erzeugt, dass die SIP-Telefonie über die Telekom funktioniert. Im Netz findet man hauptsächlich, dass man etliche Ports freigeben muss, in einem andere Beitrag habe ich dann aber den Hinweis gefunden, dass die NAT-Outbound-Rule angeblich sicherer und einfacher sei. (Einfacher auf jeden Fall, denn es ist eine Rule und es funktioniert sofort.)

 

[wildfly]

da mein Router (NUC) ja nur einen LAN-Port hat

Du brauchst für OPNsense mindestens zwei LAN-Ports. LAN und WAN müssen physikalisch getrennt sein.
Du musst für deinen NUC einen USB-Netzwerkadapter besorgen.

 

[fragwuerdig]

@wildfly Was spricht gegen meine Lösung? (außer die möglicherweise halbierte Bandbreite, wegen der bidirektionalen Verbindung - bei 1Gbit NIC mit 250K-DSL für mich aktuell kein Problem.)

OPNsense erhält eine Trunkport und das Modem hängt im Tagged VLAN 7. VLAN7 wird dem WAN-Interface zugeordnet.

Es funktioniert alles, ich wollte nur sichergehen bzw. fragen ob jemand ggf. einen Fehler in der Konfiguration findet, der ggf. sicherheitsrelevant ist.

 

[Bob.Dig]

Was spricht gegen meine Lösung?

Nichts, der zitierte User mit seinen bot-like Kommentaren liegt oft daneben.
Ich würde ggf. versuchen, das PPPoE-Interface zum WAN zu machen und das jetzige WAN zu etwas anderem. So würde es zumindest mit der pfSense laufen, mit der OPNsense nutze ich bisher kein PPPoE.

 

[fragwuerdig]

Ich würde ggf. versuchen, das PPPoE-Interface zum WAN zu machen und das jetzige WAN zu etwas anderem.

Das habe ich mir auch schon überlegt, nur stehe ich dann vor dem Problem, dass ich das VLAN7 nicht mehr zuordnen kann, bzw. ich nicht wüsste wie.

Du hast mich irgendwie auf die Lösung gebracht. Jetzt ist alles deutlich simpler aufgebaut.

Ein Interface für VLAN7 gibt es jetzt gar nicht mehr.

Das PPPoE-Interface wird ja sowieso mit VLAN 7 gelinked:

Anschließend habe ich hier das PPPoE-Interface an WAN assigned:

Fertig und alles funktioniert:

Danke :-D

 

[DJKno]

Sehr schöne Lösung.
Die IP Bereiche der VLANs würde mich persönlich stören, da es nicht einheitlich ist.
Ich mache das gern etwas sprechender. (Z.b. VLAN 10 = 192.168.10.x, VLAN 20 = 192.168.20.x).
Aber das ist nur Geschmackssache.
Die Sache mit dem einen LAN Port am NUC ist kein Problem, aber auch nicht schön.
Vielleicht besorgst du dir irgendwann ein anderes Gerät. Eine Alte Sophos SGFirewall, wie z.b. die SG210 kann ich empfehlen. OpenSense drauf und ab geht's.

 

[fragwuerdig]

Daran arbeite ich gerade. ich möchte alles auf 10.11.10, 10.11.20, 10.11.30 usw. umstellen.
Da ich aber mein aktuelles Netzwerk in einer Nacht- und Nebelaktion auf die OPNSense umziehen musst, dass mich meine Frau am nächsten Tag nicht schimpft, warum Alexa das Licht nicht mehr einschaltet oder der Bewegungsmelder nicht mehr geht, habe ich das erstmal zurückgestellt. :-D

 

[DJKno]

Das ist verständlich.

 

[GrillSgt]

Daran arbeite ich gerade. ich möchte alles auf 10.11.10, 10.11.20, 10.11.30 usw. umstellen.

Kleine Inspiration: