Heimnetzwerk-Planung - Kabel-FritzBox (Vodafone), Proxmox, OPNSense, Telefonie?

[PoempelPinguin]

Liebe Community,

ich stehe beim Aus-/Umbau meines Heimnetzwerkes nun vor einem Problem, welches ich nicht mehr selbst zu lösen vermag.

Zur Ausgangssituation:
Nach dem Einzug habe ich das "Netzwerk" erstmal soweit zum Laufen gebracht, dass WLAN funktionierte, unsere Telefone telefonieren konnten und unsere PCs Internet hatten.
Doch nach dem Einstieg ins Thema Homeserver/Homelab möchte in nun so langsam ein organisiertes und gut miteinander funktionierendes Heimnetz aufbauen. Bisher funktionierte alles soweit, doch beim Thema Firewall komme ich nun nicht so recht weiter. Mein aktuelles Setup auf einer Skizze:

• Vodafone Kabel Deutschland Internet & Telefon 1 GBit
• FRITZ!Box 6591 Cable, derzeit die zentrale Anlaufstelle für alles außer DNS (das macht ein PiHole)
• 3 DECT-Telefone, 2 der 3 verfügbaren Festnetznummern genutzt

Wunsch-Situation:
Sämtlicher Traffic geht über eine OPNsense (oder pfsense) -Firewall, die dann auch weitere Kernfunktionen, wie DHCP, DNS, VPN, etc. übernehmen soll. Vom LAN-Port geht es dann in einen Switch, an dem alle weiteren Geräte hängen.
Hierzu habe ich auch eine Skizze angefertigt (ich hoffe, sie ist verständlich):



Ich habe bereits einige Foren dazu durchforstet, doch so ganz komme ich noch nicht an ein Ende. Gestolpert bin ich letztlich darüber, dass ich die Fritzbox an der Kabeldose ja gar nicht als WLAN-AP verwenden kann, da sich dieser ja vor der FW befinden würde. Somit müsste ich sie ja in den Bridge-Mode schalten und dann einen separaten AP an den Switch hängen... Soweit richtig?

Aber wie bringe ich dann meine Telefone ein? Funktioniert die Telefonie weiterhin über die FB an der Kabeldose?


So, das sind erstmal meine grundlegenden Fragen. Ich habe das Gefühl, das ein oder andere vergessen zu haben. Wenn noch mehr Infos nötig sind, liefere ich diese gerne nach!

MfG,
Sven | PoempelPinguin

 

[bender_]

Ist die Fritze gemietet oder deine eigene?
Danach richtet sich ob es einerseits überhaupt einen Bridge Mode gibt und andererseits Du die SIP Zugangsdaten bekommst.

 

[andy_m4]

Sämtlicher Traffic geht über eine OPNsense (oder pfsense) -Firewall,

Was soll die Firewall den firewallen? Eigentlich räumt die Fritz!Box schon alles ab, was abzuräumen ist.
Wenn Du getrennt davon DHCP, DNS und VPN machen willst geht das trotzdem. Fürs VPN musst Du lediglich an der Fritz!Box dann entsprechendes Portforwarding einsetzen.

Die Notwendigkeit für Proxmox erschließt sich mir nicht. Oder gehört die gar nicht zum Netzwerk-Setup, sondern ist eben da und wird halt von anderen Clients aus dem LAN angesprochen?

 

[KillerCow]

Die fritzbox hat/kann keinen bridgemodus. Wenn du das wlan hinter der opnsense haben willst, musst du dir wohl nen zusätzlichen AP besorgen.

Hab nen ähnliches setup und lasse mein Dect Telefon direct über die Fritzbox laufen. Heimnetzwerk hängt ansonsten hinter einer OPNsense. Bei der habe ich NAT deaktiviert, damit es kein Doppelnat gibt. Passendes Routing in der Fritzbox vorausgesetzt ist das kein Thema.

Aktuell habe ich mit meiner eigenen Kabelfritte sogar noch echtes Dualstack mit einem /56 v6 Präfix.

Ergänzung (12. April 2021)

Was soll die Firewall den firewallen?

OPNsense als exposed host. Ob das insgesamt Sinnvoll ist, ist ne andere Frage.

 

[bender_]

Die fritzbox hat/kann keinen bridgemodus.

Pauschal nicht richtig. Kommt darauf an ob eigenes Gerät und/oder in welchem Gebiet der TE wohnt.

 

[Mr.Blacksmith]

...

 

[n0dau42]

Die fritzbox hat/kann keinen bridgemodus

Kunden von uns mit (Unitymedia) Vodafone Business Vertrag und gemieteter FritzBox haben schön öfter auf eine feste IP Adresse umstellen lassen und waren in dem Zuge in der Lage durch den Business Support die Fritzbox auf Bridge Modus umschalten zu lassen.

@TE Ein ähnliches Projekt hatte ich in meiner Abschlussarbeit. Ich habe den Router/WLAN AP allerdings nicht virtualisiert, sondern eine seperate Hardware genutzt.

 

[t-6]

OPNsense als exposed host. Ob das insgesamt Sinnvoll ist, ist ne andere Frage.

Davon abgesehen dass der TE noch nicht gesagt hat ob er überhaupt Dienste nach draußen zur Verfügung stellen möchte, was wäre denn an einer OPNsense als Exposed Host falsch?

 

[till69]

... Du die SIP Zugangsdaten bekommst.

Die lassen sich problemlos aus einem Einstellungs-Export auslesen, falls nötig

 

[paokara]

Ich sehe hier keine Vorteile einer OPNSense Box gegenüber deiner Fritzbox wenn ich ehrlich bin. Möchtest du vielleicht noch IDS/IPS etc. verwenden? Wenn nicht dann würde ich persönlich bei der Fritzbox bleiben. Falls du trotzdem OPNSense einsetzen möchtest würde ich persönlich dedizierte Hardware einsetzen und OPNSense nicht virtuell unter Proxmox laufen lassen, da bei jedem Proxmox Update (und ggf. Server-Neustart) dein Internet down ist. Für VPN kannst du z.B. einen Raspberry PI mit PIVPN einsetzen und auf deiner Fritzbox eine Port-Weiterleitung konfigurieren.

Fürs Homelab kannst du ja einfach so eine OPNSense einrichten. Die routet dann zwischen deinem Testnetz und deinem richtigen Netzwerk.

Zu Beginn wollte ich auch eine dedizierte Firewall, etc. haben. Mittlerweile bin ich bei OpenWRT gelandet (mit Wireguard, NextDNS, etc.) und bin ziemlich glücklich damit:

• Regelmässige Updates
• sehr viele nützliche Plugins
• sehr stabil, keine Neustarts notwendig, etc.

@KillerCow
Was spricht dagegen OPNSense als exposed host einzusetzen?

 

[KillerCow]

Pauschal nicht richtig. Kommt darauf an ob eigenes Gerät und/oder in welchem Gebiet der TE wohnt.

die Fritzbox auf Bridge Modus umschalten zu lassen

Wieder was gelernt, danke!

was wäre denn an einer OPNsense als Exposed Host falsch?

Was spricht dagegen OPNSense als exposed host einzusetzen?

Grundsätzlich garnichts. Das war im Kontext von

Was soll die Firewall den firewallen

gemeint. Als exposted Host blockt die Fritte dann ja nichts mehr und die opnsense bekommt jede Menge zu tun. Mache ich bei mir zuhause so.

 

[andy_m4]

gemeint. Als exposted Host blockt die Fritte dann ja nichts mehr und die opnsense bekommt jede Menge zu tun.

Das ist schon klar.
Die Frage ist ja eher: Wozu?
Eine Firewall einsetzen um der Firewall willen die dann vielleicht letztlich auch nix anderes macht als die Fritz!Box vorher macht keinen Sinn.

 

[KillerCow]

Die Frage ist ja eher: Wozu?

Eine Antwort darauf ist uns der TE noch schuldig, das stimmt wohl. Ich nehme an, er will einfach alles auf einem System haben und die opnsense bietet halt mehr Möglichkeiten (auch für die Zukunft), als eine Fritte... wenn man es denn braucht, genau

 

[PoempelPinguin]

Wow, bin gerade sehr überrascht, dass in so kurzer Zeit so viele produktive Antworten zusammengekommen sind, das erlebe ich selten 😍

Vorweg: Die Fritz!Box ist gemietet von Vodafone KD, ich wohne am Rand von Berlin, habe eine statische IP und im Kundenpanel die Option des Bridge-Modus.

Dann zur Frage des "Wozu?" - 2 Gründe:
@KillerCow schreibt im vorangehenden Post schon den ersten: Alles in einem System. Oder zumindest so viel wie möglich jeweils bündeln, weniger Wartungsaufwand letztendlich im Betrieb, auch wenn das Einrichten vielleicht erstmal umständlicher ist. Das führt aber gleich auch zum zweiten Grund: Ich habe großes Interesse am Thema (Heim-)Netzwerk und allem, was damit zusammenhängt. Ich habe keinen entsprechenden beruflichen Hintergrund, damals bei meinen Eltern hat ein Freund der Familie sich um alles gekümmert. Also jetzt Learning by doing. Nur halt nicht blind drauf los, scheitern und dann frustriert sein, sondern lieber planen, nachfragen und wenn ich dann scheitere wissen, wo ich tiefer nachfrragen kann.
Die Fritzbox stecke ich an und sie funktioniert. Das ist langweilig. Außerdem habe ich gehört, dass die Fritzbox viele Funktionen im Ansatz bietet, wie z.B. VPN oder NAS, aber eigenständige Lösungen teilweise deutlich performanter und umfangreicher seien - wie gesagt, nur gehört (oder gelesen), lasse mich hierbei gerne eines Besseren belehren.

da bei jedem Proxmox Update (und ggf. Server-Neustart) dein Internet down ist.

Diesen Punkt habe ich natürlich nicht bedacht. Das wäre auch nicht schön, da ich natürlich viel herumexperimentiere. Dedizierte Hardware ist gerade finanziell nicht drin, sonst würde ich diese Option einer VM auf jeden Fall vorziehen.

Fürs Homelab kannst du ja einfach so eine OPNSense einrichten.

Das finde ich darauf eine gute Lösung. Wenn ich das richtig verstehe, würde dann dir Fritzbox weiter wie gehabt funktionieren, als Firewall, Router, etc. für alle meine Geräte usw. dienen und die OPNSense würde dann nur meine Testserver, etc. "beschützen"? Das hätte dann doch auch den Vorteil, dass ich, wenn ich sie versehentlich "kaputtspiele", nur die Netzwerkkonfiguration der VMs dahinter anpassen müsste, damit sie wieder funktionieren bzw. erreichbar sind, richtig?

ob er überhaupt Dienste nach draußen zur Verfügung stellen möchte

Ja, möchte ich. Aktuell läuft eine Nextcloud für Familie und ausgewählte Freunde, die Kalender, Kontakte etc. synchronisiert (abgesehen vom "normalen" Filesharing). Wenn ich länger unterwegs bin auch eine WordPress-Umgebung, aber das ist eher unwichtig.
Ich sehe mich aber noch ganz am Anfang, wer weiß also, was noch kommt
Wäre dies denn mit der im vorigen Absatz angesprochenen Konfiguration (VM/LXC hinter OPNSense hinter Fritzbox) noch möglich? Oder müssten diese Dienste dann wieder direkt mit der FB kommunizieren können?

Hab nen ähnliches setup und lasse mein Dect Telefon direct über die Fritzbox laufen. Heimnetzwerk hängt ansonsten hinter einer OPNsense.

Also wenn ich das richtig verstehe, kann ich über die selbe Fritzbox, die als Bridge läuft, trotzdem weiter telefonieren? Oder hast du die FB separat dran und ein anderes Modem?

@andy_m4 Proxmox läuft als Hypervisor für alle Homelab-Container und -VMs - in diesem Fall auf dedizierter Hardware, die bereits vorhanden war. Nur noch weitere für OPNSense ist halt gerade nicht drin.

So, ich hoffe, erstmal alle der gestellten Fragen beantwortet zu haben. Wenn nicht, piekst mich einfach kurz an

 

[andy_m4]

Ich habe großes Interesse am Thema (Heim-)Netzwerk und allem, was damit zusammenhängt.

Wenns primär ums herumspielen und experimentieren geht, kann man natürlich wenig dazu sagen was sinnvoll ist und was nicht. Denn der Fokus liegt halt nicht auf gut oder sinnvoll usw.
Das ist auch ok. Nur kommen da halt kaum zielführende Antworten bei rum weil man ja allem entgegnen kann: Will ich aber so machen, weil ich auch den Netzwerkkram kennenlernen will.

Ich bin ja beispielsweise über opnsense gestolpert und sehe (immer noch) keinen Grund die einzusetzen.

Außerdem habe ich gehört, dass die Fritzbox viele Funktionen im Ansatz bietet, wie z.B. VPN oder NAS, aber eigenständige Lösungen teilweise deutlich performanter und umfangreicher seien

Das ist halt auch primär eine Frage von dem, was man haben möchte. Um mal das Beispiel NAS aufzugreifen. Ja. Die NAS-Funktionalitäten sind limitiert und es ist nicht der performant. Aber um mal eben ein paar kleinere Dateien zu tauschen reicht das natürlich völlig.
Wenns mehr sein soll dann muss halt auch klar sein, worin dieses mehr bestehen soll. Gehts um möglichst viel Speicher der z.B. noch per RAID und Co redundant ausgelegt ist. Oder gehts primär um Geschwindigkeit. Wie hoch ist ggf. das Budget was man bereit ist zu investieren (nützt Dir ja nix, wenn Dir jemand eine Profi-Lösung präsentiert die Du am Ende nicht bezahlen kannst/willst). Oder oder oder.
Allein auf den Hinweis "Ich will besseres NAS" wird es schwer eine konkrete (und damit hilfreiche) Antwort zu geben.

Ich würde die Fritz!Box erst mal als primären Router behalten. Schon allein weil das am wenigstens Probleme macht. Auch hinsichtlich Telefonie usw.
Bei Diensten wie DHCP, DNS, VPN, NAS, nextcloud, da spricht im Prinzip nix dagegen die auf anderer Hardware laufen zu lassen (ob die Du dann auch noch mal auftrennst oder auf einer Hardware laufen lässt ist im Prinzip egal).
Für Dienste die Du zum Internet hin freigibst, machst Du dann in der Fritz!Box eine entsprechende Portweiterleitung.

 

[paokara]

Das finde ich darauf eine gute Lösung. Wenn ich das richtig verstehe, würde dann dir Fritzbox weiter wie gehabt funktionieren, als Firewall, Router, etc. für alle meine Geräte usw. dienen und die OPNSense würde dann nur meine Testserver, etc. "beschützen"? Das hätte dann doch auch den Vorteil, dass ich, wenn ich sie versehentlich "kaputtspiele", nur die Netzwerkkonfiguration der VMs dahinter anpassen müsste, damit sie wieder funktionieren bzw. erreichbar sind, richtig?

Guten Morgen

Ja, genau. Du erstellst auf deinem Proxmox Server ein dediziertes LAN auf einem virtuellen Switch (keine Ahnung wie das bei Proxmox ist, bei VMware heissen die vSwitch). Die OPNSense Firewall hat auf dem WAN-Interface eine IP aus deinem "echten" Netz und auf dem LAN-Interface eine IP aus dem neuen "Testnetz". Die virtuellen Maschinen erhalten entweder via DHCP eine IP von der OPNSense Firewall auf dem LAN-Interface oder du konfigurierst eine statische IP für die VMs in diesem neuen Testnetz.

Das neue Testnetz ist dann entweder via NAT erreichbar oder du könntest auch normal routen. So kannst du ein wenig mit der OPNSense gefahrlos herumexperementieren. Eine Auswirkung auf dein normales Netz sollte dies nicht haben. Theoretisch könntest du das Testnetz auf einem physischen Netzwerkport auch nach aussen führen und an diesem Port einen Switch und ein paar Geräte anschliessen. Die wären dann ebenfalls in deinem Testnetz (so könntest du z.B. ein RaspberryPI mit Wireguard ausstatten und auf der OPNSense Firewall eine Portweiterleitung auf den RaspberryPI einrichten, von deinem "echten" Netz könntest du dann via VPN auf dein Testnetz zugreifen).

Ich bin mir nur nicht sicher wie OPNSense defaultmässig konfiguriert ist. Wenn ich ein WAN und ein LAN Interface habe wird zwischen diesen beiden Interfaces NAT eingesetzt. Dies müsstest du ggf. umkonfigurieren (falls du normal zwischen den Netzen routen möchtest) oder du könntest ein weiteres internes Testnetz erstellen und zwischen den beiden Testnetzen routen ^^. Für DNS, DHCP, VPN, NAS, etc. gibt es etliche Open-Source Lösungen die du einsetzen könntest (BIND, Wireguard, FreeNAS, openmediavault, etc.).

Aktuell läuft eine Nextcloud für Familie und ausgewählte Freunde, die Kalender, Kontakte etc. synchronisiert (abgesehen vom "normalen" Filesharing). Wenn ich länger unterwegs bin auch eine WordPress-Umgebung, aber das ist eher unwichtig.

Läuft die nextcloud Instanz bei dir oder wird diese extern gehostet?

Wäre dies denn mit der im vorigen Absatz angesprochenen Konfiguration (VM/LXC hinter OPNSense hinter Fritzbox) noch möglich? Oder müssten diese Dienste dann wieder direkt mit der FB kommunizieren können?

Ich denke es wäre theoretisch möglich. Die Konfiguration ist dann aber ein wenig kompliziert. Wenn du wirklich in Zukunft Dienste selber hosten möchtest (wovon ich persönlich abraten würde, unabhängig vom Fachwissen) könntest du dir wirklich überlegen die FB durch eine dedizierte Hardware-Firewall auszutauschen und diese korrekt zu konfigurieren (DMZ, Reverse-Proxy, etc.). Ich persönlich würde jedoch von Self-Hosting abraten, ausser du setzt eine VPN-Verbindung ein.