Managed Switch (VLAN) + Selfmade Router (opnsense) + VDSL Modem

[Snoopy00]

Hallo,

ich muss mir mal ein paar Anregungen besorgen, um an mein gewünschtes Ziel zu kommen.


Was ich habe:
Fritzbox 7590 mit VDSL 250/40Mbit von der Telekom (hoffentlich bald 1Gbit), alle Ports belegt,
Einen unmanaged Switch mit 8 Ports, alle Ports belegt,

Angeschlossen sind diverse Smarthome dinge, PC, 2 Server, Magenta Receiver, TV-Hifi...


Was ich möchte:
Zuerst wollte ich nur einen Switch, der mir das trennen von Server, PC, Smarthome ermöglichte.
Ich möchte aber keine Werbung auf allen Gerät haben. Somit dachte ich mir, das könnte ich doch ich über einen Router mit Custom Firmware lösen. Das sollte aber kein 0815 Router sein, weil ich mir evtl. noch VPN (openVPN) anschauen möchte (wegen der Server).
Dann bin ich HIER rüber gestolpert. Das ist aber auch in der Leistung zu wenig (openVPN Durchsatz). Möchte doch gerne etwas solides für die nächsten Jahre im Dauereinsatz haben.

Meine Fritzbox würde ich für mein Wlan benutzen (kommt an den Switch ran)
Somit benötige ich ein reines Modem.

Noch mal zur verständlichkeit, die Fritzbox könnte als Modem dienen, aber wenn VPN auf dem Router läuft, wird das Wlan nicht mit verschlüsselt, wenn ich schon VPN nutze, dann möchte ich alles hinter den VPN hängen und nicht nur die Server.


Ich hätte mir gedacht, dass ich mir einen 16 oder 24 Port Managed Switch besorge, der aber auch mein Magenta TV durch lässt.
Mir einen kleinen PC zusammen Bastle (2x lan onboard) und dort dann eben opnSense mit entsprechenden Plugins (adblocker) und performanter CPU für VPN hole. Und dann eben noch ein Modem vor das ganze Spanne.

Kann eine Dreammachine das alles so gut wie ich mir das vorstelle? Wenn ich mir eine solche hole, dann benötige ich immer noch einen zusätzlichen switch, 8 Ports reichen nicht. Dann gebe ich doch lieber etwas mehr für einen selbst gemachten Router aus, oder?

Greezzzz
Snoopy00

 

[0-8-15 User]

Das ist aber auch in der Leistung zu wenig

Ein Intel Core i5-6200U sollte doch locker reichen für Gigabit via OpenVPN.

 

[Snoopy00]

Hier habe ich nach der Leistung geschaut. Der Test ist mit einem i5-6300U auf 435-495Mbit gekommen. Open VPN nutzt nur Singlethread, d.h. der 6200U kann noch weniger. Ich hoffe auf baldiges 1Gbit DSL upgrade. Wenn nicht, dann hoffentlich die nächsten Jahre..

Kann auch zb. ein gebrauchter i7-8700 sein, der geht dann auf 4,8GHz.

 

[0-8-15 User]

Hier habe ich nach der Leistung geschaut.

Und ich hier.

 

[Snoopy00]

Ohne jetzt zu weit abzuschweifen, in deinem Test sind es nur geschätzte Werte. Ich sehe nirgends einen Test mit einem Realen Durchsatz (Mbit).

Based on this chart, we can estimate that i5-4210U can achieve up to ~650Mbit/s, and i7-6500U can run at full Gigabit.

https://teklager.se/en/knowledge-base/apu-vs-tlsense-cpu-performance-comparison/

Ergänzung (4. April 2021)

Was hältst du denn von dem Rest, Modem + Switch? Kannst du mir etwas zur Dreammachine sagen?

 

[0-8-15 User]

Was hältst du denn von dem Rest, Modem + Switch?

Ich würde die Fritzbox nicht als WLAN AP hinter der Firewall missbrauchen, sondern als Modem verwenden und dann hinter der Firewall einen oder mehrere ordentliche Access Points anschließen.

Kannst du mir etwas zur Dreammachine sagen?

Nicht wirklich, nur dass ich mir nicht sicher bin, ob Magenta TV damit geht.

 

[Snoopy00]

Ok, was verstehst du unter einem guten Acces Point? Kenne bisher nur Router.
Was sollte er auf jeden fall haben, evtl. welche Marke?

 

[Bob.Dig]

Die Fritzbox macht kein vlan soweit ich weiß. Wenn du aber auch beim WiFi mehrere vlans haben möchtest, dann brauchst du halt einen AP, der das kann, so was wie z.B. von Ubiquiti.
Die Fritzbox kann man leider nicht als Modem benutzen, aber man kann die Router kaskadieren, ist nicht so schön, aber Du sparst dir zumindest den Modemkauf, denn so ein Modem kostet quasi das selbe wie ne fritzbox.

 

[Kiso]

Ich würde als Anregung noch Wireguard als Alternative in den Raum werfen. Wenn es denn wirklich soo viel VPN Durchsatz sein soll, dann ist openvpn denkbar schlecht geeignet. Ich meine 1Gbit ist echt nicht ohne.

Und ein i7 8700 für 24/7 Betrieb als Firewall? Klingt ziemlich reichlich in jeder Hinsicht.

Die Fritzbox kann man leider nicht als Modem benutzen,

Doch geht.

 

[0-8-15 User]

Doch geht.

Ich dachte eigentlich auch, dass es ginge, zumindest wenn man die Telefoniefunktion nicht braucht.

Ok, was verstehst du unter einem guten Acces Point?

Das hängt hauptsächlich davon ab, welche Anforderungen du an dein WLAN hast.

 

[Snoopy00]

Ich würde als Anregung noch Wireguard als Alternative in den Raum werfen

Wireguard wird von dem Gewünschten VPN Anbieter nicht angeboten (PerfectPrivacy)

Und ein i7 8700 für 24/7 Betrieb als Firewall?

Der 8700 ist dafür wirklich etwas zu viel. Es kann auch eine andere sein, solle aber einen maximal hohen single core Takt haben, wenn es dann um openVPN geht. Da finde ich bestimmt etwas "besseres".
Dachte mir halt, wenn ich schon etwas kaufe, dann kanns auch etwas drüber sein, hält dann länger.

Wenn du aber auch beim WiFi mehrere vlans haben möchtest

Die Fritzbox kann man natürlich als Modem nutzen.
Die Geräte wo Wlan nutzen, dürfen im selben Wlan sein, das muss nicht aufgeteilt werden.

Das hängt hauptsächlich davon ab, welche Anforderungen du an dein WLAN hast.

Wie gesagt, keine Ahnung. Bisher war die Fritzbox ausreichend. Tablet+Smartphone ran und fertig, denke mir reicht dort ein Standard AP?!



Als Switch dachte ich an einen GS716Tv3, oder GS724Tv4, die können IGMP Snooping (v1, v2 and v3), somit Magenta Ready.

CPU könnte zb. diese hier werden.

Könntet ihr mir einen AP, der mindestens auf Fritzbox level ist, empfehlen?
Den AP schließe ich dann per lan an den Switch an?

 

[Kiso]

Wireguard wird von dem Gewünschten VPN Anbieter nicht angeboten (PerfectPrivacy)

Aha. Ich dachte du willst selbst einen VPN Server stellen um von unterwegs auf deine Server zugreifen zu können?

 

[Snoopy00]

Nein, die öffentliche ip soll verschleiert werden.

 

[0-8-15 User]

Tablet+Smartphone ran und fertig, denke mir reicht dort ein Standard AP?!

Wenn eine einzige FRITZ!Box deine WiFi-Bedürfnisse bisher vollumfänglich gestillt hat, dann ja.

Könntet ihr mir einen AP, der mindestens auf Fritzbox level ist, empfehlen?

• MikroTik Audience (Tischgerät mit steiler Lernkurve)
• TP-Link Omada EAP225 (Wand- oder Deckenmontage)

Den AP schließe ich dann per lan an den Switch an?

Ja.

 

[Snoopy00]

• MikroTik Audience (Tischgerät mit steiler Lernkurve)
• TP-Link Omada EAP225 (Wand- oder Deckenmontage)

Habe mir beide angeschaut. Der MikroTik hat gefühlt 1000 verschiedene Einstellungsmöglichkeiten, so etwas hab ich noch nicht gesehen 😆. Für mich aber viel zu viel.

Sehe ich das richtig, dass es das Webinterface vom TP-Link nur in Englisch gibt?

 

[0-8-15 User]

Wenn man einen FRITZ!Repeater 1200 als reinen Access Point betreiben könnte, dann wäre das vielleicht auch eine Option für dich. Rein technisch gesehen müsste das eigentlich bei allen Repeatern mit LAN Anschluss gehen, siehe: https://at.avm.de/service/supportan...t-Router-eines-anderen-Herstellers-verbinden/

Sehe ich das richtig, dass es das Webinterface vom TP-Link nur in Englisch gibt?

Ich fürchte ja, hier kannst du das Webinterface ausprobieren: https://emulator.tp-link.com/225v3/

 

[Snoopy00]

Habe mir nun meinen Switch und AP herausgesucht (noch nichts gekauft).

Ich habe mich bei meinem zukünftigem vpn Anbieter registriert, weil ich das ganze vorher mal testen möchte, ist neuland für mich.

Habe nun auf meinem PC die Client VPN Software installiert.
Auf dem PC läuft eine Software mit eingehenden und ausgehenden Verbindungen, nicht zum ersten mal, aber zum ersten mal hinter der VPN Verbindung.

Problem = Keine eingehende Verbindungen auf Port xy.

Habe den lokalen Port xy in der VPN Client Software freigegeben.
Der VPN seitige Server Port, ist offen, wird aber nicht auf meinen lokalen Port weitergeleitet.

In meiner Fritbox habe ich schon "Exposed Host" aktiviert, weil ich die Fritzbox Firewall komplett vom Problem ausschließen möchte.

Kann es wirklich sein, dass ich dank der Fritzbox gar keine Ports freibekomme, weil sie openVPN nicht checkt?

 

[Raijin]

wenn VPN auf dem Router läuft, wird das Wlan nicht mit verschlüsselt, wenn ich schon VPN nutze, dann möchte ich alles hinter den VPN hängen und nicht nur die Server.

Nein, die öffentliche ip soll verschleiert werden.

Davor möchte ich offen gestanden abraten. Mit so einem Dampfhammer-VPN kann man am Ende mehr Probleme bekommen als man denkt. Nicht nur, dass die IP schon lange nicht mehr das einzige Mittel ist, einen Benutzer im Internet zu identifizieren, und eine "Verschleierung" entsprechend nicht so viel Anonymität bietet wie man denkt und wie die VPN-Anbieter auch gerne werbewirksam propagieren. Nein, auch weil es beispielsweise durchaus Dienste gibt, bei denen die IP zwingend identifizierbar sein muss. Das kann eine Online-Bank sein, die bekannte VPN-Anbieter blockiert oder eben auch Netflix und Co, die immer mehr dazu übergehen, den "Umweg" ins US-Angebot via VPN zu unterbinden. Wenn das VPN dann so fest ins Netzwerk eingebunden ist, wird es lästig, wenn plötzlich die Meldung kommt "So nicht".

VPN-Anbieter würde ich daher immer nur als alternatives Gateway ins Netzwerk einbinden. So kann man über den DHCP-Server bestimmen welches Gateway und damit welche Verbindung standardmäßig genutzt werden soll (zB GW=192.168.178.1 => ohne VPN // GW=192.168.178.2 => mit VPN) und über die manuelle Konfiguration am Gerät selbst kann man die Verbindung explizit auswählen. Das hat den Effekt, dass man beispielsweise am PC mit einem kleinen Skript auf dem Desktop mit einem Doppelklick zwischen ohne und mit VPN umschalten kann, in dem im Hintergrund einfach kurz das Gateway gewechselt wird.

Mir einen kleinen PC zusammen Bastle (2x lan onboard) und dort dann eben opnSense mit entsprechenden Plugins (adblocker) und performanter CPU für VPN hole. Und dann eben noch ein Modem vor das ganze Spanne.

Habe mir beide angeschaut. Der MikroTik hat gefühlt 1000 verschiedene Einstellungsmöglichkeiten, so etwas hab ich noch nicht gesehen 😆. Für mich aber viel zu viel.

OPNSense und MikroTik geben sich nicht viel bei den Einstellungen. Beides sind semiprofessionelle Firewalls/Router, die entsprechend viel KnowHow bei der Einrichtung erfordern. Es sind eben keine Fritzboxxen, die nur max 5% des Themenfelds umfassen, sondern Geräte, die gewissermaßen vollen Zugriff auf alles bieten. Wenn dir MikroTik zu viel ist, wirst du dich mit OPNSense auch schwer tun, selbst wenn die GUI da vielleicht etwas intuitiver sein mag.

 

[Snoopy00]

Ok, um etwas konkreter zu werden, es handelt sich hierbei nicht darum irgend etwas illegales zu verbergen.

Es handelt sich um eine Node Software. Im Moment gibt es fürs peering, autopeering. Dort wird per autopeering (udp) nach peers (tcp) gesucht und geadded. Danach laufen dann die gefundenen "Nachbarn" auf dem Port 15600 tcp.

Mit dem update das jetzt fürs Netzwerk ansteht, fällt erst mal das autopeering weg, und man muss seine Nachbarn selbst hinzufügen. Meine IP ist somit dem Netzwerk bekannt (ist es jetzt auch schon).

Da ich hier 2 Nodes betreibe und das auch weiterhin machen möchte, aber eben meine Private IP einfach besser schützen möchte, dachte ich, man kann das hinter einem VPN laufen lassen.

Was mir aber noch eingefallen ist, meine IP ändert sich nach jeder VPN Einwahl, d.h. dass meine manuell hinzugefügten Nachbarn meine IP nicht mehr bekommen, oder könnte ich trotz VPN einen DynDNS nutzen?

https://github.com/gohornet/hornet

edit:
Hat sich hiermit denke ich erledigt

https://avm.de/service/fritzbox/fri...on/show/3342_Unterstutzung-von-VPN-Anbietern/

 

[Raijin]

es handelt sich hierbei nicht darum irgend etwas illegales zu verbergen

Das hat auch keiner behauptet. Meine Beispiele waren ja extra so gewählt, dass es eben auch Situationen gibt, in denen VPNs ganz legitim geblockt werden.

Was mir aber noch eingefallen ist, meine IP ändert sich nach jeder VPN Einwahl, d.h. dass meine manuell hinzugefügten Nachbarn meine IP nicht mehr bekommen, oder könnte ich trotz VPN einen DynDNS nutzen?

Theoretisch kannst du DDNS nutzen, aber die Frage ist was es dir bringt. DDNS impliziert, dass jemand daran interessiert ist, deine aktuelle WAN-IP zu kennen, um anschließend eine Verbindung damit herzustellen. Klassisches Szenario: Du willst von unterwegs auf dein heimisches NAS zugreifen, kennst aber deine derzeitige IP-Adresse nicht, weil sie sich regelmäßig ändert.

Das Problem bei VPN ist hierbei nicht die Zuordnung WAN-IP <> DDNS, sondern viel mehr, dass darüber keine eingehenden Verbindungen aufgebaut werden können. Wenn deine "Nachbarn" also bei sich deine DDNS eingeben - oder auch direkt deine "via VPN geschützte" IP -, werden sie keine Verbindung aufbauen können, weil diese IP nun mal zum dicken fetten Mega-VPN-Router in irgendeinem Rechenzentrum des VPN-Anbieters gehört. Dieser hat aber gar keine Lust, irgendwelche eingehenden Verbindungen zu den VPN-Clients durchzureichen. Stattdessen lässt er nur ausgehende Verbindungen zu (also Client --> www) und auf dem Rückweg ausschließlich die Antworten zu diesen Verbindungen.

Wenn du über einen VPN-Anbieter öffentlich erreichbar sein willst, muss dieser das unterstützen und beispielsweise zuvor vereinbarte Ports an dich bzw. deinen VPN-Client weiterleiten. Das bieten die meisten VPN-Anbieter aber gar nicht an....

Ergänzung (19. April 2021)

Hat sich hiermit denke ich erledigt

Und was hat das damit zu tun? Du willst doch explizit einen fortgeschrittenen Router ala OPNsense. Da kannst du dir das vollkommen veraltete FritzVPN doch sonstwo hinschmieren und stattdessen das VPN eben über OPNsense, o.ä. laufen lassen. Eine Fritzbox ist zwar eine eierlegende Wollmilchsau, aber das heißt eben noch lange nicht, dass ihre Eier auch schmecken und man sich stattdessen nicht doch lieber ein Huhn in den Garten setzt, das auch schmackhafte Eier legt.