Opnsense im Heimnetz für Wlan und LAN Geräte

[FatmanHunting]

Hallo zusammen,

Ich spiele derzeit mit dem Gedanken mein Heimnetz mit einer Firewall auszustatten.

Derzeit habe ich eine FritzBox 7530 mit einer 100mbit DSL Telekom-Leitung. Ein 8P-Netgear Switch unmanged hängt ist für die LAN Geräte zuständig. Powerline 1220 mit 1260 von AVM ist auch am Start. Philipps Hue habe ich mit einer Bridge auch im Netz. Was die Clients angeht, ca 6 LAN und 4 WLAN Geräte.

Die Firewall soll später als VM mit Opnsense auf einem Intel Nuc ähnlichen System laufen.

Mein Gedanke oder Wunsch ist es die Firewall so im Netzwerk zu platzieren, dass aller Internet-Traffic über die gehen muss.
Wenn möglich würde ich einen PiHole als DNS noch einpflegen, aber das ist für mich erstmal nicht so wichtig.

An der Fritzbox habe ich schon geschaut, man kann wohl das WLAN nicht auf einem anderen logischen Netz laufen lassen wie das LAN der Fritzbox.

Daher die Frage, ist mein Gedanke mit der Hardware überhaupt machbar und hättet ihr ein paar Tipps.

Ich danke schon Mal im vorraus.
Moritz

 

[Raijin]

Mein Gedanke oder Wunsch ist es die Firewall so im Netzwerk zu platzieren, dass aller Internet-Traffic über die gehen muss.

Weil? Das mag dein Ziel sein, aber warum ist das so? Was willst du am Ende erreichen? Was erhoffst du dir davon, was fehlt dir an der Fritzbox?

 

[steppi]

Ich sehe es wie @Raijin, erstmal solltest du klären was deine FW genau machen soll und wie dein Netz am Ende aussehen soll. Wieviel Interfaces hat dein "NUC"? Die Netztrennung willst du nur zwischen "intern", Wlan und co machen oder hängen am Ende alle Geräte wieder am Switch?

Muss es unbedingt OPNSense sein?

Vlt. mal als Ansatz noch eine kleine Artikelserie:
https://www.kuketz-blog.de/hardware-und-netzwerkaufbau-ipfire-teil1/

Fritzbox könntest du ein zweites Gäste-WLAN einrichten, das wäre "getrennt" vom Rest.

 

[DonConto]

Worüber läuft deine Telefonie? Man müsste sich halt überlegen wie man die Fritzbox einbindet. Ob als reines Modem (wäre super) oder als zusätzliches NAT Device.

Ich würde empfehlen einen managed Switch zu kaufen. Damit kannst du zumindest VLANs anlegen, die an der OPNSense verroutet werden. Als Basis für dein NUC empfehle ich Proxmox. Hardwareunabhängig und flexibel. Darauf kannst du dann deine OPNSense und weitere VMs wie zB PiHole laufen lassen. 16GB Ram wären empfehlenswert. Zwei Netzwerkkarten ebenfalls, mit VLANs geht es aber auch mit nur einer NIC.

Zum WLAN musst du dir dann aber etwas überlegen. Da bietet sich wohl ein eigener AP an, der die gewünschten Funktionen beinhaltet. Ich werfe mal den relativ günstigen UAP-AC-M von Ubiquiti in den Raum. Da weiß ich zumindest, dass er es kann.

Ich hab das genau so bei mir seit Jahren laufen. Allerdings ohne Fritze weil FTTH.

 

[Raijin]

Häufig wird dem Einsatz von einer fortgeschrittenen Firewall wie pfSense, Sophos UTM, etc. ja per Definition eine höhere Sicherheit zugeschrieben. Das stimmt so aber nicht. Bei einer Fritzbox hat man beispielsweise keinerlei direkten Zugriff auf die Firewall - ich rede hierbei tatsächlich von den internen Firewall-Regeln, connection states new/established/related/invalid, etc. - sondern bedient die Firewall ausschließlich über Wizards, die alles automatisch erledigen (zB Portweiterleitung --> DNAT + Regel in Firewall). Der Anwender hat gar nicht die Möglichkeit, irgendetwas kaputt zu konfigurieren.

Bei einem fortgeschrittenen Router- bzw. Firewall-OS hat man aber Zugriff auf die internen Firewall-Regeln und kann dementsprechend auch viel kaputt machen. Auch hier gibt's Wizards, keine Frage, aber schlimmstenfalls aktiviert man eine "block all" Regel in der Firewall und eine Sekunde später hat man eine extremst sichere Firewall, die sicherste der Welt, weil man aus der GUI, ssh, etc. rausfliegt, weil man damit jedweden Zugriff auf das Gerät blockiert hat, alles, tot, nix, nada, Zwangsreset.

Daher ist es essentiell, zu wissen was @FatmanHunting überhaupt vorhat, was der Grund für sein Vorhaben ist, was er erreichen will und ob das nötige KnowHow oder der realistische Wille vorhanden ist, sich in die Thematik einzuarbeiten. Eine Fritzbox zeigt nämlich nur gefühlt <5% der Thematik "Netzwerk und Internet", eine pfSense dagegen so ziemlich alles. Für pihole braucht man beispielsweise keine pfSense, o.ä., das geht mit beinahe jedem 08/15 Internetrouter, mit einer Fritzbox auf jeden Fall. DHCP-Konfiguration anpassen und los geht's.

 

[DonConto]

Ich finde es halt schrecklich wenn man nicht die Frage des Fragenden beantwortet sondern erstmal in Frage stellt was er da tut (es ist ja nicht per se blödsinnig). Beispiel: "Ich will eine pfSense bei mir installieren. Könnt ihr mir eine Hardware empfehlen?" Antwort: "Wieso willst du das machen? Eine Fritzbox tut es doch auch!" Finde ich völlig daneben. Also beantworte ich seine recht konkrete Frage. Hier ist ja nicht von einer Gefahr für Leib und Leben auszugehen. Also soll er ruhig machen wozu er Lust hat. Am Ende hat er immer etwas gelernt

 

[Raijin]

Ich finde es halt schrecklich wenn man nicht die Frage des Fragenden beantwortet

Welche Frage denn?

Es ist kein konkretes Ziel erkennbar.

An der Fritzbox habe ich schon geschaut, man kann wohl das WLAN nicht auf einem anderen logischen Netz laufen lassen wie das LAN der Fritzbox.

Das kann man problemlos als Gast-WLAN interpretieren, funktioniert einwandfrei out-of-the-box. Keine *Sense nötig - es sei denn es wird detaillierter darauf eingegangen, dass man ein weiteres WLAN haben möchte, das nicht durch die Gast-Funktion abgedeckt werden kann.

Wenn möglich würde ich einen PiHole als DNS noch einpflegen, aber das ist für mich erstmal nicht so wichtig.

pihole hat nichts mit der Firewall zu tun, 0, nix, nada. Keine *Sense nötig.

Mein Gedanke oder Wunsch ist es die Firewall so im Netzwerk zu platzieren, dass aller Internet-Traffic über die gehen muss.

Klar, Gateway eben.

Also beantworte ich seine recht konkrete Frage.

Das einzige was auf eine Frage hindeutet - es ist aber keine Frage und konkret schon gar nicht - ist das:

Daher die Frage, ist mein Gedanke mit der Hardware überhaupt machbar und hättet ihr ein paar Tipps.

Antwort: Ja.
Tipps: Mehr Details geben damit man das Vorhaben nachvollziehen und zielgerichtet unterstützen kann.



So besser?

 

[DonConto]

Du kannst schreiben was du willst. Wenn du das anders siehst, bitte. Ich habe überhaupt kein Interesse an einer Diskussion mit dir. Ich habe dir lediglich meinen Standpunkt erläutert und widme mich jetzt wieder dem Fragesteller. Für mich ist jedenfalls klar was er möchte.

 

[Bob.Dig]

Mich würde mal interessieren, warum man seit April 2019 dabei ist, aber gerade seinen ersten Beitrag geschrieben hat bzw. woher all diese One-hit wonder hier auf CB kommen.

Die Fragestellung wirkt völlig planlos, könnte auch eine schlechte KI einfach so zusammengewürfelt haben.
Ich lasse mich natürlich ungern eines Besseren belehren. 😉

 

[Raijin]

Naja, kann ja sein, dass @FatmanHunting bisher nur lesend hier unterwegs war und/oder gar nicht mehr wusste, dass er schon einen Account hatte. Das sehe ich jetzt nicht so kritisch.

Schauen wir einfach mal ob noch nähere Details zu dem Vorhaben kommen, dann kann man auch sinnvolle Hilfestellung geben.

 

[FatmanHunting]

Guten Abend,

Vielen Dank erstmal für die Antworten, ich hatte nicht vor eine Diskussion anzuregen .

@Raijin mein Ziel grundsätzlich ist es das Netzwerk sicherer zu machen und zu kontrollieren was wo hin darf. Was das Intel NUC angeht wollte ich nur veranschaulichen was ich mir als Hardware gedacht habe, also ein kleine Box die aber genug Leistung für 2-3 kleine VMs hat. Netzwerktechnisch sollte sie dann schon 2 Ports haben. Ich habe da noch nichts gekauft.

@DonConto ich verwende kein normales Telefon, wir nutzen nur unsere Smartphones. Einen eigenen AP wollte ich vermeiden. Wenn es technisch

Häufig wird dem Einsatz von einer fortgeschrittenen Firewall wie pfSense, Sophos UTM, etc. ja per Definition eine höhere Sicherheit zugeschrieben. Das stimmt so aber nicht. Bei einer Fritzbox hat man beispielsweise keinerlei direkten Zugriff auf die Firewall - ich rede hierbei tatsächlich von den internen Firewall-Regeln, connection states new/established/related/invalid, etc. - sondern bedient die Firewall ausschließlich über Wizards, die alles automatisch erledigen (zB Portweiterleitung --> DNAT + Regel in Firewall). Der Anwender hat gar nicht die Möglichkeit, irgendetwas kaputt zu konfigurieren.

Das wusste ich nicht, ich dachte immer eine FritzBox hat als Sicherheitsfunktion lediglich NAT, was nicht wirklich sicher ist. Aber ergibt natürlich Sinn, wenn man an die Portweiterleitungen denkt.

Bei einem fortgeschrittenen Router- bzw. Firewall-OS hat man aber Zugriff auf die internen Firewall-Regeln und kann dementsprechend auch viel kaputt machen. Auch hier gibt's Wizards, keine Frage, aber schlimmstenfalls aktiviert man eine "block all" Regel in der Firewall und eine Sekunde später hat man eine extremst sichere Firewall, die sicherste der Welt, weil man aus der GUI, ssh, etc. rausfliegt, weil man damit jedweden Zugriff auf das Gerät blockiert hat, alles, tot, nix, nada, Zwangsreset.

Ich habe keine Angst etwas kaputt zu konfigurieren, ich "spiele" gerne mit so etwas rum, auch um zu lernen, gelernt habe ich Fachinformatiker für Systemintegration, das Wissen ist schon da.

Daher ist es essentiell, zu wissen was @FatmanHunting überhaupt vorhat, was der Grund für sein Vorhaben ist, was er erreichen will und ob das nötige KnowHow oder der realistische Wille vorhanden ist, sich in die Thematik einzuarbeiten. Eine Fritzbox zeigt nämlich nur gefühlt <5% der Thematik "Netzwerk und Internet", eine pfSense dagegen so ziemlich alles. Für pihole braucht man beispielsweise keine pfSense, o.ä., das geht mit beinahe jedem 08/15 Internetrouter, mit einer Fritzbox auf jeden Fall. DHCP-Konfiguration anpassen und los geht's.

Das PiHole war als Addon gedacht und hat erstmal nicht so Priorität.

Klar, Gateway eben.

Was das Gateway Thema angeht, wenn ich der Fritzbox sage sie soll übers Gäste-WLAN die Firewall als Gateway nutzen und diese die Fritzbox als GW. Dann sollte aller Traffic vom WLAN über die Firewall gehen.
Beim LAN müsste ich das gleiche machen und über die FW einen neuen DHCP Bereich aufmachen und den der Fritzbox deaktivieren. Oder hat dieser Gedanke einen Fehler?

Gibts Nachteile des Gäste-Wlans gegenüber des normalen?

Die Fragestellung wirkt völlig planlos, könnte auch eine schlechte KI einfach so zusammengewürfelt haben.
Ich lasse mich natürlich ungern eines Besseren belehren. 😉

Entschuldige die planlose Frage, bin Forumsneuling . Ich an sich auch nicht so viel in Foren unterwegs und jetzt dachte ich mal ich versuch hierüber.

Also ums nochmal zusammenzufassen. Ich denke ich meine Frage ist eine wie kann ich meinen Traffic mit der gegeben Hardware und noch zukaufenden FW-Hardware absichern. Als Firewall habe ich OPNSense ausgewählt, weil ich mit ihr die meiste Erfahrung habe und sie auch im Betrieb hier und da verwendet wird.

 

[0-8-15 User]

Die Firewall soll später als VM mit Opnsense auf einem Intel Nuc ähnlichen System laufen.

Ich würde mir einen Qotom Mini PC holen: https://www.qotom.net/product/28.html

Wenn möglich würde ich einen PiHole als DNS noch einpflegen

Wenn du eh schon eine ausgewachsene Firewall installierst, warum dann nicht gleich sowas wie pfBlocker?

 

[Raijin]

Na also, damit kann man doch schon mal etwas anfangen

mein Ziel grundsätzlich ist es das Netzwerk sicherer zu machen und zu kontrollieren was wo hin darf.

Wie gesagt, ein Netzwerk wird nicht per Definition sicherer nur weil man sich eine Hardware-Firewall hinstellt. Gerade Fritzboxxen werden mit Patches ja ziemlich aktuell gehalten, das ist schon mal ein dickes Plus für die Sicherheit. Abgesehen davon ist aber jede Firewall in einem Internetrouter so eingestellt, dass sie eingehende Verbindungen - also von außen initiiert - pauschal blockiert. Ausnahmen werden nur für die Portweiterleitungen oder auf dem Router selbst gehostete Dienste (zB VPN im Router) erzeugt.

Was die Kontrolle angeht, hat man bei einem fortgeschrittenen Produkt wie *Sense oder dergleichen natürlich mehr Möglichkeiten. Wobei auch da die Fritzbox gegenüber anderen Consumer-Routern positiv hervorsticht, weil es wenigstens ein Mindestmaß an Kontrollfunktionen gibt, die es in vielen anderen Routern gar nicht gibt.

Das wusste ich nicht, ich dachte immer eine FritzBox hat als Sicherheitsfunktion lediglich NAT, was nicht wirklich sicher ist.

NAT ist auch kein Sicherheitsfeature im eigentlichen Sinne. Im Router ist es notwendig, weil nun mal nicht genug öffentliche IPv4-Adressen verfügbar sind und so muss man eben alle Geräte im Netzwerk hinter dem Router auch hinter dessen IPv4 verstecken. NAT ist nur genau das was der Name impliziert, Network Address Translation, also eine Adressübersetzung.
Wenn du in einem fortgeschrittenen Router ein DNAT (Destination NAT) aka Portweiterleitung einrichtest, wird lediglich die Ziel-IP der Verbindung geändert, von der WAN-IP des Routers auf die lokale IP des Zielservers (zB NAS). Danach bewertet die Firewall ob diese Verbindung zulässig ist oder nicht. Das sind also zwei Paar Schuhe, von denen man nichts weiß, wenn man zB in der Fritzbox nur eine "Portweiterleitung" über den Wizard erstellt, weil der Wizard die Firewall im Hintergrund automatisch anpasst.

Was das Gateway Thema angeht, wenn ich der Fritzbox sage sie soll übers Gäste-WLAN die Firewall als Gateway nutzen und diese die Fritzbox als GW. Dann sollte aller Traffic vom WLAN über die Firewall gehen.
Beim LAN müsste ich das gleiche machen und über die FW einen neuen DHCP Bereich aufmachen und den der Fritzbox deaktivieren. Oder hat dieser Gedanke einen Fehler?

Ne, so funktioniert das nicht. Das Gastnetzwerk eines Consumer-Routers ist ziemlich zugenagelt. Gateway ist und bleibt dabei der Router selbst. Im Gastnetzwerk halte ich eine erweiterte Kontrolle - sei es nur statischer Natur oder durch Reglementierung - auch für wenig sinnvoll. In der Fritzbox kann man dem Gastzugang schon ziemlich umfangreiche Schranken verpassen.


Wenn du "die Sicherheit des Netzwerks" erhöhen und den Weg über eine OPNsense-Firewall gehen willst, bleibt dir nichts anderes übrig als eine Routerkaskade zu bauen.

www <---> (WAN) Fritzbox (LAN) <---> (WAN) OPNsense (LAN) <---> Heimnetzwerk

Das Netzwerk der Fritzbox selbst dient dabei maximal als DMZ, nicht aber für irgendwelche Client-Geräte, weil diese dann ja vor der OPNsense-Firewall säßen, die ja nun mal die Sicherheit gewährleisten soll.


Das könnte dann so aussehen: Routerkaskade

Und bevor jetzt jemand "Doppel-NAT!!!" schreit: Da es sich beim nachgelagerten Router nicht um einen 08/15-Router handelt, ist es kein Problem, NAT am WAN abzuschalten und ein komplett geroutetes Multi-Subnetz-Netzwerk zu bauen - statische Route ins OPNsense-Subnetz in die Fritzbox eintragen und los geht's

Ich habe keine Angst etwas kaputt zu konfigurieren, ich "spiele" gerne mit so etwas rum, auch um zu lernen, gelernt habe ich Fachinformatiker für Systemintegration, das Wissen ist schon da.

Umso besser! Dann würde ich dazu raten, erstmal mit einer VM anzufangen und damit Erfahrung zu sammeln. Kann man auch auf einem Laptop laufen lassen und ggfs für ein paar Euros einen USB-LAN-Adapter besorgen, um 2x LAN zu haben. Oder man fängt mit einem günstigen OpenWRT-Router an, der von der Software her auch schon deutlich umfangreichere Möglichkeiten bietet als ein 08/15 Consumer-Router.

 

[FatmanHunting]

Vielen Dank für die ausführliche Antwort, ich Versuche nächstes Mal meine Frage gleich klarer zu gestalten.

Jedenfalls weiß ich jetzt bescheid und kann nun weiterplanen. So wie ich es gehofft hatte geht es ja nicht, da bräuchte ich einen AP noch. Naja ich werde mir weiter Gedanken machen.