OPNsense an Glasfaser-Anschluss + Accesspoint gesucht

[DatAres]

Eigentlich geht es hier um zwei verschiedene Fragen, aber ich hoffe das passt in einem Thread:

• Bei uns wird demnächst von der Telekom Glasfaser ausgebaut und ich möchte eine OPNsense bestenfalls als einzigen Router betreiben. Reicht es hier, bei der Beauftragung nur einen ONT zu bestellen oder muss sonst noch etwas beachtet werden? Ich nehme mal an, bei Glasfaser gibt es keine Registrierung der MAC-Adresse o.ä. wie bei Kabelanschlüssen?
• Da die OPNsense kein WLAN-Router ist, suche ich noch einen guten Accesspoint, der mehrere SSIDs ausstrahlen kann (2-3 werden wohl reichen). Eine große Reichweite muss auch nicht abgedeckt werden, etwa 10 Meter inkl. Wand.

Danke im Voraus.

 

[rezzler]

• Bei uns wird demnächst von der Telekom Glasfaser ausgebaut und ich möchte eine OPNsense bestenfalls als einzigen Router betreiben. Reicht es hier, bei der Beauftragung nur einen ONT zu bestellen oder muss sonst noch etwas beachtet werden? Ich nehme mal an, bei Glasfaser gibt es keine Registrierung der MAC-Adresse o.ä. wie bei Kabelanschlüssen?

Doch, eine Registrierung gibt es auch bei Telekom-FTTH. Mit einem ONT bist du aber hinreichend flexibel ausgerüstet. Wenn du die passende Hardware hast gibts den ONT auch als SFP-Modul.

 

[DJKno]

Bzgl WLAN, kannst du dir mal die TP Link Omada Modelle ansehen.
Mit den Controller dazu, den man auch als Docker-Container oder direkt auf Windows gratis nutzen kann, kann man sehr viel und umfangreich konfigurieren.
Selbst Welcome Pages sind möglich.
Dazu sind die APs auch noch relativ günstig.

 

[Bob.Dig]

Alte ASUS-Router können VLANs mit FreshTomato.

 

[DatAres]

Doch, eine Registrierung gibt es auch bei Telekom-FTTH. Mit einem ONT bist du aber hinreichend flexibel ausgerüstet. Wenn du die passende Hardware hast gibts den ONT auch als SFP-Modul.

Nein, nen SPF-Port hab ich leider nicht. Hätte aber so gesehen auch keinen direkten Vorteil oder? Bis auf die die Längenbeschränkung von Kupfer ggf.
Heißt das ich muss noch Zugangsdaten an dem Rounter hinterlegen, der hinter dem ONT ist?

Alte ASUS-Router können VLANs mit FreshTomato.

Meinst du bzgl. verschiedene VLANs pro SSID?

 

[qiller]

Heißt das ich muss noch Zugangsdaten an dem Rounter hinterlegen, der hinter dem ONT ist?

Also ich kann nur von nem Business-Anschluss der Telekom berichten. Da bekommst du nen Multiport-Optokoppler in deinen Schrank installiert, wo du gleich mehrere Ethernet-Ausgänge bekommst, über RJ45 und SFP+. Daran kannst du dann deine Firewall mit dem WAN-/Red-Interface klemmen.

In der Firewall selber muss dann entsprechend die IP-Konfiguration vorgenommen werden. Bei den BPA-Anschluss der Telekom bekommt man feste IPv4/v6-Netze zugewiesen. Hier muss man seine WAN-Schnittstelle also manuell konfigurieren, eigt. easy.

Bei nem Privatanwender bekommst du wahrscheinlich nur eine dynamische IP-Adresse zugewiesen, per DHCP. Ergo muss die Firewall wenigstens auf DHCP-Empfang auf der WAN-Schnittstelle stellbar sein (so ist es z.B. bei meinem Kabelanbieter). Was aber auch sein kann, und das halte ich für am wahrscheinlichsten, dass Telekom da irgendne PPPoE Einwahl macht. Bin ick aber überfragt, müsste mal nen Telekom-Glasfaserjünger was zu schreiben.

 

[sendai]

Bei Privatkunden unterscheidet sich Telekom FTTH und xDSL nicht, Einwahl über PPPoE mit VLAN7 erforderlich.
Der ONT muss einmalig über einen Aktivierungslink registriert werden.

 

[Zeroflow]

Aufpassen bei PPPoE & opnsense. PPPoE ist bei BSD single-threaded, daher kann es bei hohen Geschwindigkeiten dazu kommen, dass dein Router da limitiert. Da lieber vorher recherchieren bevor dann Enttäuschung herrscht.

Geschwindigkeiten <500 MBit (ca.) sollten drinnen sein, aber Gigabit könnte zu knapp werden.

EDIT: Scheint, als ob etwas mit dem Power Level eines J4125 bereits reichen würde: https://forum.opnsense.org/index.php?topic=27049.msg182479#msg182479

 

[DatAres]

Danke für den Hinweis. In meiner steckt ein N100. Sollte laut Erfahrungsberichten wohl passen, obwohl ich erst mal nicht vorhabe, mehr als 500 Mbit zu bestellen.

 

[gordon2122]

sorry fürs Offtopic. Welches Devices/Hardware setzt du ein? Ich plane auch zeitnahe OPNsense an meinem FTTH-Anschluss einzusetzen und bin aktuell noch auf der Suche nach einem passenden Gerät.

 

[qiller]

Danke für den Hinweis. In meiner steckt ein N100. Sollte laut Erfahrungsberichten wohl passen, obwohl ich erst mal nicht vorhabe, mehr als 500 Mbit zu bestellen.

Das kommt halt auch immer drauf an, was du auf der FW noch laufen lassen möchtest. Ich hab z.B. mehrmals den IPFire (linuxbasierte FW) im Einsatz und Geschwindigkeitsprobleme hat man selbst mit den schwachbrüstigeren Atom-based Intel nicht. Allerdings können die Verbindungen auch mulithreaded verarbeitet werden (was ja bei BSD nicht geht), so dass Mehrkern-CPUs besser belastet werden können.

Schaltet man allerdings Dinge zu wie Webproxy (z.B. squid mit URL-Filter) und/oder IDS, kann es bei 1Gbit-Verbindungen schnell zum Engpass mit diesen Stromspar-CPUs kommen. Daher verwende ich da immer lieber ne Selbstbau-Firewall mit kleineren Intel-CPUs der Cove-Architektur (früher warens die Core-CPUs) wie z.B. den Intel Core i3-13100, wenn sowas zum Einsatz kommen soll. Intel primär deswegen, weil man hier auf sehr niedrige Idle-/Niedriglast-Stromverbräuche kommt und durch den Boost trotzdem enorme ST-Leistung hat.

Edit: Mal ne Beispielauslastung meiner FW (Intel Atom C3558 4x2.20GHz, 2x4GB DDR4-2133) zuhause. IDS + WebProxy sind aktiv. Internetanschluss: Kabel 120Mbit/s down, 20Mbit/s up. Wie man sieht, ist die Auslastung bei nur 14.4MB/s HTTP-Download schon ordentlich. 1Gbit/s Anschlüsse sind damit nur bedingt zu bewerkstelligen. Hängt sicherlich auch alles vom Regelwerk ab, aber wer das an schnellen Internetanschlüssen nutzen will, dem rate ich von den älteren Atom-based CPUs ab. Der N100 ist ja einer der neuen Atom-based CPUs (Gracemont), da seh ich weniger Performanceprobleme, zumindest mit nem Linuxkernel. Und ohne IDS reicht der so oder so dicke auch für 1Gbit-Anschlüsse aus.

 

[DatAres]

sorry fürs Offtopic. Welches Devices/Hardware setzt du ein? Ich plane auch zeitnahe OPNsense an meinem FTTH-Anschluss einzusetzen und bin aktuell noch auf der Suche nach einem passenden Gerät.

Gab's am Black Friday für 50€ weniger: https://www.amazon.de//dp/B0C8J2RT96/

Das kommt halt auch immer drauf an, was du auf der FW noch laufen lassen möchtest.

Um ehrlich zu sein, hab ich mir das noch nicht genauer überlegt
Ich geh das ein bisschen blauäugig als Bastelprojekt an und teste die Firewall überbrückungsweise hinter dem Router des jetzigen Anschlusses. Glasfaser gibt's sowieso erst nächstes Jahr.

 

[rezzler]

Nein, nen SPF-Port hab ich leider nicht. Hätte aber so gesehen auch keinen direkten Vorteil oder? Bis auf die die Längenbeschränkung von Kupfer ggf.

Naja, die "Längenbeschränkung" sind 100m, von daher... Manche finden es schöner, wenn man quasi nur ein Gerät hat, was alles erledigt, manche setzen den ONT in den Keller und der Router samt WLAN steht woanders. Funktionell ist es recht egal.

 

[DatAres]

Noch mal blöde Frage zum AP: Hier müsste ich ja vermutlich darauf achten, dass der AP VLANs unterstützt, wenn ich die SSIDs von einander trennen müsste? Noch irgendwas, auf was man achten müsste? Bei Geizhals gibt's noch IPv6 zur Auswahl. Unterstützt das ernsthaft nicht jeder AP? Immerhin ein 25-Jahre alter Standard.

 

[norKoeri]

Wenn Du schon OPNsense nimmst, könntest Du auch einen WLAN-Access-Point mit Open-Source nehmen, also das bereits erwähnte oder OpenWrt. Vorgefertigte Systeme gibt es auch … oder Du gehst eher Richtung Consumer, also Synology und Keenetic, siehe auch einen Heise c’t Zeitschriften-Artikel von vor einem Jahr … (in der Tabelle: „Netzwerkzonen“)

Hier müsste ich ja vermutlich darauf achten, dass der AP VLANs unterstützt, wenn ich die SSIDs von einander trennen müsste?

Gibt auch WLAN-Access-Points die mit einer SSID mehrere VLANs anbieten, siehe … willst Du in diese Richtung gehen?

 

[DatAres]

Wenn Du schon OPNsense nimmst, könntest Du auch einen WLAN-Access-Point mit Open-Source nehmen, also das bereits erwähnte oder OpenWrt.

OpenWrt ist aber eher für Router oder? Sind Router als Accesspoints nicht eher ungeeignet, weil sie die eierlegende Wollmilchsau spielen wollen, und quasi alles können, aber nichts davon richtig?
Wenn würde ich mir dafür wahrscheinlich auch eher was gebrauchtes kaufen, was dann aber vermutlich nicht mehr ganz up2date bzgl. WLAN-Standards etc. ist (?).

Gibt auch WLAN-Access-Points die mit einer SSID mehrere VLANs anbieten, siehe … willst Du in diese Richtung gehen?

Klingt irgendwie nach mehr Pflegeaufwand, die Geräte in die richtigen VLANs zu authentifizieren, statt sich einfach zur richtigen SSID zu verbinden.

 

[qiller]

Mit den MicroTik-Dingern kannste praktisch alles machen. Ist nur aufwendig, weil du da alles von Hand einstellen musst. Oberfläche geht über ne Software (Winbox) oder einfach die Weboberfläche. Irgendwelche zusätzliche Controller-Software/-Hardware ist nicht notwendig (was mich übrigens mittlerweile am meisten von den "neumodernen" WLAN-APs abschreckt). Achso, und die Oberfläche sieht auch altbacken aus. Aber der Funktionsumfang ist gigantisch.

https://www.wlan-shop24.de/mikrotik-cap-xl-ac-dualband-wlan-accesspoint-11ac-poe

Und hier ne Demo der Weboberfläche (einfach auf Login klicken): https://demo.mt.lv/webfig/#WiFi

 

[DatAres]

Irgendwelche zusätzliche Controller-Software/-Hardware ist nicht notwendig (was mich übrigens mittlerweile am meisten von den "neumodernen" WLAN-APs abschreckt).

Ja, das brauch ich jetzt auch nicht wegen einem einzigen AP. Standalone wäre besser.

 

[norKoeri]

OpenWrt ist aber eher für Router oder?

OpenWrt ist für WLAN. Tatsächlich ist das Projekt stark auf den Modus „Internet-Router“ ausgelegt, aber läuft auch als WLAN-Access-Point … Nachteil ist, dass man das Open-Source oft nicht braucht oder nutzen kann, weil Fehler teilweise zu tief im WLAN-Treiber drin sind, dass man die selbst als Experte kaum debuggt bekommt.

[Eine SSID mit mehreren VLANs k]lingt irgendwie nach mehr Pflegeaufwand, die Geräte in die richtigen VLANs zu authentifizieren, statt sich einfach zur richtigen SSID zu verbinden.

Finde ich gerade anders herum.

Vieles muss man wirklich ausprobieren, um ein Gefühl dafür zu bekommen. MikroTik zum Beispiel würde ich persönlich nicht produktiv einsetzen, weil einfach zu viele Software-Bugs und Limitationen, die bei anderen Herstellern einfach so sauber gehen. Und melden kann man den Fehler bei MikroTik quasi gar nicht; selbst deren Community meint, dass jeder Bug mein Fehler sei, so nach dem Motto hätte ja jemand anderes schon entdecken müssen. Sucht man das Forum dann ab, hat man in wenigen Minuten 20+ Thread zum selben Bug aber niemand legte die Threads zusammen.

Standalone wäre besser

Aufstellort: Regal, Wand oder Decke? Muss es PoE sein oder muss es Stecker-Netzteil sein?

 

[DatAres]

Aufstellort: Regal, Wand oder Decke? Muss es PoE sein oder muss es Stecker-Netzteil sein?

Tatsächlich bin ich da noch flexibel, da ich mich eh noch relativ neu einrichte. Regal ohne Bohren wäre vielleicht etwas eleganter. Netzteil oder PoE-Injektor ist mir eigentlich auch egal. Ein einziges Kabel ist natürlich schicker.

Grundsätzlich wäre ich so Geschichten wie OpenWrt oder FreshTomato auch nicht abgeneigt, solange ich dafür nicht auf einigermaßen aktuelle Technik verzichten muss. Wobei Wifi 6 scheinbar eh das höchste der Gefühle für einen annehmbaren Preis ist (?).

Je mehr ich mich einlese, umso öfter stoße ich auch auf die TP Link Omada Empfehlungen. Würden sich ja zumindest auch standalone ohne Software betreiben lassen laut Manual.

Finde ich gerade anders herum.

Gut, um ehrlich zu sein, hab ich Radius noch nie benutzt. D.h. man meldet sich mit Nutzername + Passwort an und bekommt dann sein VLAN zugewiesen? Unterstützen denn alle Geräte diese Anmeldeart?