Opnsense Frage

[cosamed]

Hab gesehen wie jemand auf einen Mini PC opnsense installiert hat.
Das Ganze war so aufgebaut, das er wan und lan getrennt hatte über einen Management Switch von tp.
Er nannte es Vlan 1 und vlan 2.
Da ich immer daran interessiert bin zu verstehen welchen Sinn das macht oder welchen Vorteil man dadurch hätte. Eventuell besser abgesichertes Surfen weniger Werbung keine Ahnung sowas Halt in der Richtung.
Was meint ihr dazu? Kann man das so machen oder reicht du Fritzbox für alles was man als normaler User macht völlig aus?
Die Fritzbox hat doch auch sowas wie eine Firewall wenn ich nicht irre?

 

[Digitalzombie]

Normalerweise haben Router/Firewall Appliances zwei getrennte Netzwerkschnittstellen. Eine nach Außen (WAN), eine nach innen (LAN). Mit VLAN lässt sich so etwas in Software simulieren wenn man einen entsprechenden Switch nutzt.

Eine Trennung macht rein aus Sicherheit Sinn. Opnsense fungiert uA als Firewall, sollte also eine Barriere darstellen. Werden VLANs falsch konfiguriert, oder hat der Switch entsprechende Sicherheitslücken, ist es deutlich einfacher die Firewall zu umgehen.

Für "normale" Anwender reicht aber die integrierte Firewall der Fritzbox vollkommen aus. OPnsense bietet einfach mehr Konfigurationsmöglichen, zusätzliche Intrusion Detection Funktionen ... wenn man es braucht, weiß man das man es braucht.

Mini PCs haben sehr häufig nur eine Netzwerkschnittstelle, aber es gibt mehr als genug Modelle (auch günstig und mehr als performant genug) die eben für solche Anwendungen zwei mitbringen (habe selbst eine alte Zotac ZBox ID92 im Einsatz).

 

[cosamed]

Also wenn ich dich richtig verstanden habe alles was die Fritze kann reicht völlig aus.
Würde ich jetzt mehr wollen, im Sinne von mehr lan Ports und mehr Möglichkeiten bräuchte ich einen managed Switch richtig ?
Und sagen wir mal irgendeinen stromspar mini pc, wo ich ein opnsense drauf machen kann.

Mir ist klar das man das nicht so einfach installiert und dann ist das fertig.

Es müsste noch einiges eingestellt werden.
Es wäre dann noch möglich was ich heute weiß da noch adguard drauf laufen zu lassen.

Ich meine man könnte der Firewall dann noch mehr Sachen zuzuweisen wie dhcp oder auch dns Sachen.

 

[Raijin]

Also wenn ich dich richtig verstanden habe alles was die Fritze kann reicht völlig aus.
Würde ich jetzt mehr wollen, im Sinne von mehr lan Ports und mehr Möglichkeiten bräuchte ich einen managed Switch richtig ?

Mehrere private Netzwerke bieten erstmal keine Sicherheit per Definition, es sind einfach nur mehrere Netzwerke, nicht mehr und nicht weniger. In diesem Falle wäre die OPNsense als Router/Firewall dazwischen und wenn letztere auf "alles erlaubt" steht, ist die Sicherheit gleich 0, was je nach Szenario durchaus erwünscht sein kann, weil es sich ja um eigene Netzwerke im Haus handelt.

Auch eine Friztbox hat bereits mehrere private Netzwerke, das Haupt- und das Gastnetzwerk. Letzteres ist durch die interne Firewall abgeschottet und hat lediglich Zugriff auf das Internet, aber nicht auf das Hauptnetzwerk. So ein Szenario kann man mit einem fortgeschrittenen Router natürlich nachbilden und auch weitere Netzwerke mit individuellen Sicherheitskonzepten in der Firewall abriegeln oder ggfs öffnen.

Mit VLANs hat das aber erstmal nichts zu tun. VLANs dienen der Verteilung von Netzwerken. Sie sind eine Technik, mit der man eine einzelne Netzwerkschnittstelle oder gar ganze Switches in mehrere virtuelle Teile splitten kann. Aus einem 24-Port-Switch kann man beispielsweise drei 8er Switches machen oder zwei 6er Switches und einen 12er Switch oder welche Konfiguration man auch immer möchte. Mit VLANs lässt sich die Infrastruktur, Switches, Kabel, Access Points, etc. sozusagen mehrfach verwenden. Ohne VLANs bräuchte man für jedes Netzwerk jeweils eigene autarke Switches aufstellen, eigene Access Points, separate Kabelverbindungen zum Router, etc.


Wenn du aber schon mit den Begriffen nichts anfangen kannst, würde ich mal behaupten, dass du weder VLANs noch OPNsense benötigst. Auch eine Firewall mit OPNsense bietet nicht per Definition mehr Sicherheit, weil es auf die Konfiguration ankommt. Ein Laie ohne Kenntnis und Verständnis von Dingen wie connection states, o.ä. wird eine OPNsense im Zweifelsfalle mit so vielen Löchern konfigurieren, dass man über das Wort Sicherheit nur noch lachen kann

 

[cosamed]

Ein Laie ohne Kenntnis und Verständnis von Dingen wie connection states, o.ä. wird eine OPNsense im Zweifelsfalle mit so vielen Löchern konfigurieren, dass man über das Wort Sicherheit nur noch lachen kann

Natürlich in erster Linie will ich mich nicht verschlechtern.
Wenn aber beruflich nicht mit diesen Begriffen arbeitet oder zu tun hat, dann gilt es diese zu hinterfragen. Dadurch versuche ich auch mit eurer und deiner Hilfe einzuschätzen ob es auch für mich Sinn macht, mich mit solchen Dingen zu beschäftigen.
Oder meine Zeit besser in andere Projekte zu investieren.
Für wen wäre Vlan daheim denn geeignet ?
Jemand der ein Haus hat, Zug Sachen steuern muss usw ?

 

[Raijin]

Für wen wäre Vlan daheim denn geeignet ?
Jemand der ein Haus hat, Zug Sachen steuern muss usw ?

Dafür gibt es keine generische Antwort.

Zwei Standardnetzwerke kennt man ja: Das Hauptnetzwerk und das Gastnetzwerk, die so ziemlich jeder aktuelle Heim-Router zur Verfügung stellt (letzteres meist nur via WLAN).

Anwendungsfälle für weitere Netzwerke könnte zB eine DMZ (ein separates Netzwerk nur für Server-/NAS-Geräte), ein (Home)Office-Netzwerk oder auch ein Netzwerk für SmartHome/IoT sein. Es gibt aber noch diverse andere Möglichkeiten

VLANs werden zur Verteilung dieser Netzwerke über dieselbe Infrastruktur genutzt. Anstatt nun also für jedes dieser Netzwerke eigene Switches und Kabel im Haus zu verteilen (also mehrere Netzwerke ohne VLANs), kann man die Infrastrktur auch mittels VLANs virtuell zerteilen. Wie gesagt, der eine Switch mit 24 Ports kann so für alle Netzwerke genutzt werden, aber eben jeweils nur ganz bestimmte Ports (zB 1-16 = Haupt, 17-20 = Office und 21-24 = Gast). Das spart Geräte, das spart Kabel.



Weniger ist aber wie so oft mehr und man sollte sich sehr gut überlegen wie weit man das aufteilt. 90% aller Nutzer kommt mit einem einzigen privaten Netzwerk aus, 9,9% nutzen zusätzlich noch das Gastnetzwerk (aber nur via WLAN) und das restliche 0,1% besteht aus neugierigen Enthusiasten oder Wahnsinnigen wie ich einer bin mit meinen 10+ Netzwerken. Warum 10+? Weil ich es kann und weil ich zB eine Netzwerk-Werkstatt im Keller habe. Hobby, Beruf, Beruf, Hobby.. kann man nicht immer auseinanderhalten...

 

[cosamed]

Danke für deine Erläuterungen das hilft ungemein weiter.
In der Tat bin ich bisher ohne ausgekommen und glaube auch nicht das auch das ändern wird.
Ich versuche auf wlan sogar ganz zu verzichten was aber bei Handys daheim natürlich nicht klappt bzw ich da auch ein gutes Gefühl bei habe was die Sicherheit betrifft.

 

[norKoeri]

abgesichertes Surfen

Was Du machen kannst, wäre Gäste in ein Gäste-WLAN zu verfrachten. Das geht auch mit der FRITZ!Box. Nimmst Du überall FRITZ!-Produkte, brauchst Du auch keine(n) konfigurierbaren Switch, ein normaler reicht aus.

weniger Werbung

Pi-hole, geht auch mit der FRITZ!Box als Internet-Router. Siehe auch diesen Zeitschriften-Artikel …

keine Ahnung sowas Halt in der Richtung

Was Du darüber hinaus auch noch machen kannst, wäre über Tor zu surfen.

 

[Raijin]

Ich versuche auf wlan sogar ganz zu verzichten was aber bei Handys daheim natürlich nicht klappt bzw ich da auch ein gutes Gefühl bei habe was die Sicherheit betrifft.

Mit WLAN hat das im Prinzip auch nichts zu tun.

Man muss an dieser Stelle klar zwischen Netzwerken (=eine Gruppe von Geräten), deren Verteilung (Switches ohne/mit VLANs) sowie den Zugangstechnologien (Kabel/WLAN) unterscheiden. Zwar liest man des öfteren vom "WLAN-Netzwerk", aber letztendlich ist das WLAN nur eine andere Zugangstechnologe zu ein und demselben Netzwerk (Kontext: 08/15 Heimrouter), das auch an den LAN-Ports, deren Zugangstechnologie gewissermaßen Ethernet ist, rauskommt.

Der Verzicht auf WLAN würde also lediglich den kabellosen Zugang zum Netzwerk insofern "absichern", als dass er dann nicht mehr existiert. Wird WLAN dennoch benötigt und man möchte es absichern, sind eine adäquate Verschlüsselung nebst Schlüssel der richtige Weg. Und natürlich darf man nicht jedem Gast das Passwort in die Hand drücken bzw. sollte Gäste über ein Gast-WLAN versorgen, wenn überhaupt.