Opensense + Heimnetzwerk (planung/fragen)

[A1MSTAR_]

Hey, ich hab vor mir ein kleines Heimnetzwerk zu bauen und meine Fritz!Box zu ersetzen.

Geplant ist das Ganze in Opensense umzusetzen – allerdings bin ich da noch Neuling (ich arbeite mich da nun seit einigen Tagen ein)

ich habe vor, das Ganze in 3 Gruppen aufzuteilen:

- USER

- IOT

- GUEST

nun zu meinen fragen:

Wo packe ich am besten mein Access Point (wlan) rein?

Passen meine geplanten IP-Ranges + IPs?

Lohnt sich ein lagg ?

Verbesserungsvorschläge?

Hier mal ein Bild von meinem aktuellen Plan + vorhandener Hardware:

 

[ChromeRonin]

Grob passt das so. Wo würdest du da ein LAG sehen? Die (3D-)Drucker würde ich vermutlich mit ins Nutzernetz setzen; IoT soll ja normalerweise nur "Elektroschrott" von wichtigeren Hosts trennen, aber das klassifiziert jeder unterschiedlich.

Der AP spricht iirc nur 802.1Q, muss im Switch aktiviert werden. Den AP hängst dann an nen mit allen nötigen VLANs getaggten Port des Switches und konfigurierst die jeweilige SSID mit dem entsprechenden VLAN.

Evtl. hilfreich: https://znil.net/index.php/VLAN_auf_TL-SG108E_mit_802.1Q_einrichten

 

[Raijin]

meine Fritz!Box zu ersetzen.

Geplant ist das Ganze in Opensense umzusetzen – allerdings bin ich da noch Neuling (ich arbeite mich da nun seit einigen Tagen ein)

Dieser Schritt muss wohlüberlegt sein. Die Sicherheit einer Firewall kommt nicht durch ihren bloßen Einsatz und auch nicht durch die bloße Existenz eines fortgeschrittenen Routers, sondern durch die fachgerechte Konfiguration. Weißt du wie eine WAN-Firewall aussieht? Also ich meine so richtig, mit allem? Connection states sind dir geläufig? Wenn nicht, kann ich nur davor warnen, weil in einer Fritzbox und anderen Consumer-Routern derart viel im Hintergrund vorkonfiguriert ist, dass du schon wirklich wissen musst was du da tust, um das nachzubilden und dann auch noch besser zu sein. Für Neulinge kein leichtes Unterfangen, das sage ich ganz deutlich. Schlimmstenfalls baust du ein System, das mehr Angriffsfläche von außen bietet als eine simple Fritzbox für Otto Normal. Ich hoffe daher du weißt, dass du ohne das nötige Hintergrundwissen ein gehöriges Risiko eingehst.

ich habe vor, das Ganze in 3 Gruppen aufzuteilen:

• USER
• IOT
• GUEST

Ja, kann man machen. Mehr würde ich auch nicht empfehlen, wenn man noch unerfahren ist. Aber schon dieses Setup kann dich vor Herausforderungen stellen, weil IoT in komplexen Netzwerken mit mehreren VLANs bzw. Subnetzen nicht ganz so einfach funktioniert wie man sich das vorstellen mag. Smart Devices kommunizieren häufig mit Broadcasts und diese werden per Definition nicht geroutet. Heißt: Viele Smart Devices lassen sich nur von einem Smartphone/Tablet steuern, wenn sich dieses im selben Netzwerk befindet. Du könntest also Schwierigkeiten bekommen, dein SmartHome im IoT-Netz vom Smartphone im User-Netz zu bedienen. Mit einigen SmartHome-Systemen geht das, aber mit vielen nicht.

Passen meine geplanten IP-Ranges + IPs?

Ne. Hier sieht man (leider) das mangelnde Wissen. Ist nicht böse gemeint, aber an dieser Stelle müssten Subnetze stehen, also Subnetzadresse und Subnetzmaske. IP-"Ranges" sind nicht kosmetischer Natur, sondern technische Adressen, die einem klar definierten Schema folgen. Zudem würde ich dir empfehlen, das Hauptnetz nicht auf 192.168.1.0/24 (/24 ist gleichbedeutend mit Subnetzmaske 255.255.255.0) zu setzen, sondern wenigstens auf 192.168.10.0/24, um dem Schema der VLAN-IDs zu folgen und das Risiko eines späteren IP-Konflikts bei VPN-Verbindungen zu minimieren.

192.168.10.0/24 = 192.168.10.1 bis 192.168.10.254
192.168.20.0/24 = 192.168.20.1 bis 192.168.20.254
192.168.30.0/24 = 192.168.30.1 bis 192.168.30.254

Lohnt sich ein lagg ?

Laggs sind nie gut, ruckelt nur

 

[A1MSTAR_]

Grob passt das so. Wo würdest du da ein LAG sehen? Die (3D-)Drucker würde ich vermutlich mit ins Nutzernetz setzen; IoT soll ja normalerweise nur "Elektroschrott" von wichtigeren Hosts trennen, aber das klassifiziert jeder unterschiedlich.

Der AP spricht iirc nur 802.1Q, muss im Switch aktiviert werden. Den AP hängst dann an nen mit allen nötigen VLANs getaggten Port des Switches und konfigurierst die jeweilige SSID mit dem entsprechenden VLAN.

Evtl. hilfreich: https://znil.net/index.php/VLAN_auf_TL-SG108E_mit_802.1Q_einrichten

danke für deine schnelle antwort - den lagg hätte ich jetzt zwischen protectli und switch gesetzt und dann mit dem nas ein bound zum switch ? (da hab ich mich aber noch nicht informiert wie und ob sowas überhaupt einfach machbar ist)

und zum thema iot , da hast du schon recht , da pack ich dann einfach so sachen wie "echo dot" usw. rein

Dieser Schritt muss wohlüberlegt sein. Die Sicherheit einer Firewall kommt nicht durch ihren bloßen Einsatz und auch nicht durch die bloße Existenz eines fortgeschrittenen Routers, sondern durch die fachgerechte Konfiguration. Weißt du wie eine WAN-Firewall aussieht? Also ich meine so richtig, mit allem? Connection states sind dir geläufig? Wenn nicht, kann ich nur davor warnen, weil in einer Fritzbox und anderen Consumer-Routern derart viel im Hintergrund vorkonfiguriert ist, dass du schon wirklich wissen musst was du da tust, um das nachzubilden und dann auch noch besser zu sein. Für Neulinge kein leichtes Unterfangen, das sage ich ganz deutlich. Schlimmstenfalls baust du ein System, das mehr Angriffsfläche von außen bietet als eine simple Fritzbox für Otto Normal. Ich hoffe daher du weißt, dass du ohne das nötige Hintergrundwissen ein gehöriges Risiko eingehst.

ich habe noch eine 7590 , die ist aktuell angeschlossen am dsl -> weil ich eben noch unerfahren bin.
solang ich also das neue netzwerk+firewall nicht 100% so gebaut und sicher gemacht habe wie es sich gehört kommt das neue setup nicht ans netz.

man lernt nur wenn man sich auch versucht und wissen aufbaut wie soll man sonst "erfahrener" werden.

und danke für die anregung mit dem hauptnetz !

---

ich hatte auch überlegt erstmal auf openwrt zu setzen , das fühlt sich irgendwie "leichter" einzurichten an. - aber da haben mir einige leute von abgeraten.

 

[Raijin]

man lernt nur wenn man sich auch versucht und wissen aufbaut wie soll man sonst "erfahrener" werden.

Das ist richtig, aber es gibt ungefährliche Lerngebiete und solche, bei denen Fehler auch Konsequenzen nach sich ziehen können. Nicht ohne Grund gibt es für sowas Ausbildungen oder gar Studiengänge, in denen man sowas lernt. Ich kann auch mit einer Rohrzange umgehen, aber klempnern tu ich trotzdem nicht

Aber genug Worte der Warnung.

Noch etwas grundsätzliches zum Setup:

Nimmt man die Skizze sozusagen "wörtlich", hast du nur einen Uplink zwischen Switch und Router. Das hieße, dass du sämtliche VLANs auch als tagged über dieses eine Kabel laufen lassen musst. Dadurch kann ein Flaschenhals entstehen, wenn du viel Traffic zwischen den VLANs hast, weil jedes einzelne Datenpaket von einem ins andere VLAN über dieses eine Kabel hin und zurück muss. Da der Switch nur 1 Gbit/s kann, wird demnach auch die Summe aller VLAN-übergreifenden Verbindungen dahingehend limitiert.

Von den übrigen 3 Ports am Router wird einer für WAN genutzt und 2 bleiben frei. Stattdessen kann es sinnvoll sein, am Router alle Ports zu verwenden und jedem von ihnen einen eigenen Uplink zum Switch zu spendieren. Der Router selbst weiß dann überhaupt nichts von den VLANs, weil es für ihn 3 physische Schnittstellen sind. Die virtuellen Netzwerke aka VLANs beschränken sich somit lediglich auf den Switch und den AP. Natürlich werden bei diesem Setup am Switch 3 Ports vom Router belegt und es wird unter Umständen ein größerer Switch benötigt.

Ob ein 1-Uplink-Setup oder ein 3-Uplink-Setup sinnvoller ist, hängt von der zu erwartenden Belastung des Netzwerks ab. In einem Heimnetzwerk kann ein einzelner Uplink ausreichen, weil kaum größere Lastszenarien zu erwarten sind, aber auf der anderen Seite liegen die zwei leeren Ports der OPNSense Firewall dann auch einfach brach.

 

[A1MSTAR_]

Noch etwas grundsätzliches zum Setup:

Nimmt man die Skizze sozusagen "wörtlich", hast du nur einen Uplink zwischen Switch und Router.

deswegen hatte ich halt überlegt ein lag zu machen

wenn ich die 2 ports vom router nehmen würde, müsste ich dann eine lan bridge machen (damit sie untereinander komunizieren können) oder läuft das ganze dann dennoch alles über den switch (zu dem thema habe ich mich noch garnicht schlau gemacht) ? Hier das meine ich.

add:
der 1gbit switch ist nur eine übergangslösung, 2.5gbit managed switches kosten dezenz viel cash xD

 

[TheHille]

Für die APs würde ich ein separates Management-VLAN erstellen, da würde ich z.B. Switche, IPMI, etc. reinsetzen, und es im besten Fall nur über das eigene Netz, schlimmsten Falls über dein Homenetz erreichbar machen, nicht jedoch für das Gäste/IoT-Netz.

Da brauchst du aber auch APs, die das unterstützen, also VLANs und ggf. MGMT-LANs. Ubiquiti kann das z.B.

 

[A1MSTAR_]

Da brauchst du aber auch APs, die das unterstützen, also VLANs und ggf. MGMT-LANs. Ubiquiti kann das z.B.

danke, mein ap kann sowas, hab ich auch schon erfolgreich getestet

 

[TheHille]

Hi @A1MSTAR_ , da meinte ich vielmehr das mit dem MGMT-VLAN.

Der AP ist nur über die MGMT-VLAN-IP erreichbar, Sendet aber andere VLANs über Multi-SSID.
Letzteres scheint zu gehen, siehe dein Screenshot.
Ist jetzt auch nicht überlebenswichtig.
Es kann auch zum Nachteil sein, wenn der Router nicht mehr geht und du in ein anderes Netz musst.
Deswegen konfiguriert man zur Sicherheit einen HW-Port am Switch im MGMT-Netz, um zur Not wieder draufzukommen...


Hast du noch Festnetz-Telefonie? Wenn ja, muss da noch bisschen geplant werden. Das ist ein wenig anspruchsvoll zu konfigurieren.

 

[A1MSTAR_]

sry , hatte das zweite bild nachträglich eingefügt , der kann auch management vlan

nein hab kein festnetztelefon mehr

 

[TheHille]

Je nach Kenntnisstand würde ich erstmal mit der OPNSense hinter der Fritzbox anfangen, da lernt man einiges über Basics zu Routing, etc. da kannst du auch schon mal die Firewall ausprobieren, etc.

Wenn das alles sitzt, kann man sich überlegen, wie man den Change macht. Durch die vielen Interfaces kannst du ja alles schon im Vorfeld konfigurieren und dann einfach umstellen.

Je nach Internetprovider brauchst du dann ein PPPoE-Interface auf dem WAN-Interface mit den entsprechenden Zugangsdaten des Providers... Bei der Telekom muss das dann auch über ein VLAN sein...

 

[A1MSTAR_]

Je nach Kenntnisstand würde ich erstmal mit der OPNSense hinter der Fritzbox anfangen, da lernt man einiges über Basics zu Routing, etc. da kannst du auch schon mal die Firewall ausprobieren, etc.

Wenn das alles sitzt, kann man sich überlegen, wie man den Change macht. Durch die vielen Interfaces kannst du ja alles schon im Vorfeld konfigurieren und dann einfach umstellen.

Je nach Internetprovider brauchst du dann ein PPPoE-Interface auf dem WAN-Interface mit den entsprechenden Zugangsdaten des Providers... Bei der Telekom muss das dann auch über ein VLAN sein...

mit der opensense mache ich das nun schon paar tage, mich macht das nur mit den ips gateways und dhcp & static ips fertig.

mein nas ist das beste beispiel -> ich geb ihm eine static ip (kein gateway damit es nicht ins internet kann) - füge das in opensense ein via mac und static ip und das scheisserchen nutzt trotzdem dhcp ... (obwohl es deaktiviert ist)

die firewall regeln find ich garnicht soooo schwer und da gibts auch wirklich viele guides zum einlesen

---

das mit PPPoE hab ich bereits getestet - funktioniert problemlos -> Vlan7 -> Logindaten in der Opensense

ich hab mich auch schon mit QoS beschäftigt um den bufferbloat zu verbessern (shape , pipes und so) und auch Unbound DNS mit DNS over TLS kann ich mitlerweile allein richtig einrichten

 

[TheHille]

Mit dem Zugang zum Internet des NAS würde ich ggf. über die Firewall-Regeln lösen.
Da kannst du dann auch die Protokolle nachlesen, wenn was nicht so läuft wie gewünscht.

mein nas ist das beste beispiel -> ich geb ihm eine static ip (kein gateway damit es nicht ins internet kann) - füge das ist in opensense ein via mac und static ip und das scheisserchen nutzt trotzdem dhcp ...

Hm, vielleicht wirkt mein Kaffee noch nicht, aber entweder ich gebe dem "Client" eine fixe IP, dann muss ich aber in OPNSense nichts mehr einstellen.

Oder ich gehe den Weg über einen festen DHCP-Lease, dann muss im NAS nur DHCP an sein.

An beiden stellen gleichzeitig kenne ich nicht. Hast du evtl. die falsche MAC-Adresse genommen? Die müsste dir OPNSense anzeigen. Bei LAN-Bonding kann es sein, dass eine virtuelle MAC erzeugt wird. Ansonsten mal das NAS neu starten. Vielleicht hat sich der entsprechende Dienst am NAS verhakt.

 

[A1MSTAR_]

Mit dem Zugang zum Internet des NAS würde ich ggf. über die Firewall-Regeln lösen.
Da kannst du dann auch die Protokolle nachlesen, wenn was nicht so läuft wie gewünscht.

mein NAS ist ein reines Datengrab für zuhause , das ding soll kein internet zugang haben.

 

[Raijin]

deswegen hatte ich halt überlegt ein lag zu machen

Naja, LAG ist aber nur 2x 1 Gbit/s und nicht 2 Gbit/s wie man vielleicht denken könnte. Ja, das erweitert den potentiellen Flaschenhals, aber genau genommen nur dadurch, das ein zweiter Flaschenhals als Alternative danebengestellt wird.

der 1gbit switch ist nur eine übergangslösung, 2.5gbit managed switches kosten dezenz viel cash xD

Natürlich stellt sich dabei die Frage inwiefern flächendeckend 2,5 Gbit/s überhaupt sinnvoll sind. Ein genauer Blick welche Geräte das technisch unterstützen und welche das auch tatsächlich ausnutzen würden, kann hier eine Menge Geld sparen.

mich macht das nur mit den ips gateways und dhcp & static ips fertig.

mein nas ist das beste beispiel -> ich geb ihm eine static ip (kein gateway damit es nicht ins internet kann) - füge das in opensense ein via mac und static ip und das scheisserchen nutzt trotzdem dhcp ... (obwohl es deaktiviert ist)

Das klingt aber nach einem Konfigurationsfehler. Es ist ein Synology NAS und ich behaupte einfach mal, dass die Dinger ausreichend erprobt sind, dass sie bei einer statischen IP-Konfiguration keinen DHCP-Request schicken. Man kann das aber auch generell überdenken wie @TheHille es schon geschrieben hat und am NAS DHCP einstellen sowie eine statische DHCP-Reservierung am Router und in der dortigen Firewall auch der dazugehörige Block für das Internet.

Lässt du das Gateway am NAS nämlich weg, ist es auch aus keinem der anderen VLANs mehr erreichbar, weil es keinen Rückweg in das jeweils andere Subnetz kennt - es sei denn du verkrüppelst dein Netzwerk mit netzinternem SNAT.... Klar, das kann so gewünscht sein, aber für die Reglementierung des Traffics ist die Firewall da. Wenn du solche Zugriffe einerseits in der Router-Firewall, andererseits durch leeres Gateway und womöglich an anderer Stelle noch durch die Firewall auf dem Gerät selbst reglementierst, ist das Chaos perfekt und du wirst im Falle eines Falles wie ein Irrer nach der Ursache für Verbindungsprobleme suchen - zB wenn im IoT-Netz mal ne IP-Kamera kommt, die auf das NAS speichern soll.

Ich denke allmählich wird klar, dass das alles komplexer ist als man anfangs vielleicht denken mag. Das Thema ist nämlich nach wie vor nur grob angerissen und es gibt noch mehr...

 

[thealex]

mein NAS ist ein reines Datengrab für zuhause , das ding soll kein internet zugang haben.

Ist ja auch ok. Aber dennoch: Gateway setzen und dem NAS via Firewall-Regel die WAN-Kommunikation verbieten. Dafür ist sie ja unter anderem auch da. Ein zentraler Ort, an dem Rechte vergeben und genommen werden. Dafür muss das NAS aber auch das Gateway mitgeteilt bekommen.

Das gilt übrigens auch für die Konfiguration aller anderen Geräte. Die Regeln in der Firewall sollten Zugriffe logisch regeln. An den Client-Geräten, egal ob NAS, Drucker oder sonst was werden immer die jeweiligen VLAN-spezifischen IP-Daten entweder statisch eingetragen oder eben per DHCP bezogen. In beiden Fällen sollte dort aber auch das Gateway gesetzt sein.

 

[A1MSTAR_]

gut also allem komplett alles zuweise (ich werde das wohl wieder statisch machen) - dann hat auch alles seine feste ip und zwar immer oder hat auch das nachteile ?

zb. NAS sollte so richtig sein oder ?

IP: 192.168.10.100
GATEWAY: 192.168.10.0/24
MASK: 255.255.255.0
DNS: 192.168.10.1

+ MAC & VLAN (in dem fall wär das vlan10)

---

wie sieht es mit dem management vlan aus - muss das ein extra Vlan sein oder kann ich dazu Vlan1 nutzen ?

 

[Raijin]

Wenn du deinen Geräten statische IP-Adressen verpassen und DHCP außer acht lassen willst, musst du das aber unbedingt richtig dokumentieren. Das heißt schriftlich festhalten welches Gerät welche IP hat. Sonst endet das früher oder später im Chaos und IP-Konflikte sind vorprogrammiert. Im übrigen wirst du unter Umständen auch Probleme mit der Namensauflösung bekommen wenn sich die Geräte nicht mehr beim DHCP mit Namen registrieren. DHCP ist zwar "nur" eine Komfortfunktion, aber dieser Komfort ist es durchaus wert.

Möchtest du meine ehrlich Meinung hören, würde ich dir sagen, dass du den Ball erstmal so flach halten solltest wie möglich. Das beinhaltet auch ein anfängliches Setup mit DHCP und ggfs statischen Reservierungen im DHCP, aber nicht noch on top manuelle IPs und Probleme mit DNS, etc... Das kann man machen, wenn man das Basis-Setup erstmal am Laufen hat - oder wenn man schon von vornherein weiß was man da tut

 

[A1MSTAR_]

also überall dhcp aktiviert lassen -> die bereiche und vlans richtig definieren -> mac adressen in die passenden dhcp's in der opensense eintragen - und erstmal um andere dinge wie zb firewall kümmern ?

 

[Raijin]

Ganz genau. Schön der Reihe nach. Sonst hast du ein halbes Dutzend offene Baustellen und wenn dann irgendwas nicht funktioniert, kannst du das Problem nicht mal eingrenzen geschweige denn lösen.