Neue(s) HW/Netzwerk (OPN/PfSense, Ubiquiti?)

[Crapshit]

Hallo zusammen,

ich habe mal eine Frage an euch und zwar möchte ich mein privates Netzwerk daheim upgraden.
Hintergrund ist das separieren in verschiedene Netzwerke per VLANs.
Ich möchte z.B. meine Firmen-Hardware von der Privaten strikt trennen (VLAN 1).
Zusätzlich möchte ich meine private HW (VLAN 2) von der HW der restlichen Familie (VLAN 3) trennen.
Zusätzlich bräuchte ich aktuell mindestens noch ein weiteres Netz für Gäste (VLAN 4), die zu Besuch sind.

Aktuell befindet sich bei mir eine AVM Fritzbox 7590 (VDSL 100 Anschluss) + 2x AVM 1750e Repeater als AP im Einsatz.
Zusätzlich habe ich ein AVM Fon + ein normales DECT an der Fritzbox angeschlossen.
Der Router ist im Keller und von dort aus gehen in alle Räume LAN Kabel.
In zwei Räumen sind die Repeater per LAN Brücke eingerichtet. Also normale Access Points.

Mein Wunsch wäre folgendes mit meinem neuen Netzwerk bewerkstelligen zu können:

1.) Modem für VDSL 250
2.) VLANs für LAN/WLAN
3.) DECT
4.) IDS / IPS
5.) VPN
6.) Je nach AP vielleicht auch direkt mit PoE HW, die 1750e hängen aktuell direkt in der Steckdose und sind per kurzem LAN Kabel mit der Dose verbunden

Das wichtigste ist für mich wirklich die Trennung in einzelne Netze, um hier einen besseren Schutz für einzelne HW Teile zu erreichen.
Die anderen Punkte sind aber auch must haves.

Was könntet ihr da so empfehlen? Was habt ihr da vielleicht selbst im Einsatz?
Mit was seid ihr zufrieden und mit was vielleicht weniger?

Das Thema Know How, auch wenn ich da aktuell noch nicht ganz so tief drin bin, sollte als gelernter FiSi bzw. langjähriger IT'ler kein Problem sein. Komme aus dem Linux Server Umfeld.
Ich würde mir deshalb wünschen keine Diskussion in diese Richtung zu starten.

Preislich würde ich gerne unter 1000€ bleiben und dieses Thema auch erst einmal hinten anzustellen.

Gruß
Crapshit

 

[Twostone]

Einfach ein paar euronen in eine apu stecken, mit OPNSense, pfSense, ipfire etc. hinter Deiner Fritzbox lässt sich das alles recht leicht bewerkstelligen.

 

[Raijin]

Sind die jeweiligen Teilnetzwerke denn tatsächlich quer durch die Bude verteilt oder eher lokal konzentriert? Bei letzterem ließe sich das nämlich auch mit einer banalen Routerkaskade bewerkstelligen.

www
|
Fritzbox 7590 (Gast) ------ Gastnetzwerk
(Haupt)
|
Familie
|
(WAN)
ZweitRouter (Gast) ------ HomeOffice
(Haupt)
|
Crapshit's Netzwerk


Die Fritzbox würde ich in jedem Fall behalten und zumindest für die Gäste nutzen. Nicht zuletzt hängt ja auch die Telefonie an der Fritzbox. Wenn du also nicht auf autarke VoIP-DECT-Basen wie die Gigaset Go-Box umsteigst oder eine teure 7590 zur banalen Telefonbasis degradierst, wäre ein separates DSL-Modem in meinen Augen rausgeschmissenes Geld.

Hinter der Fritzbox bist du hingegen frei. Ob du eine Routerkaskade wie oben skizziert einrichtest oder stattdessen eine vollwertige *sense Hardware-Firewall einsetzt, ist im Prinzip egal. Selbst eine *sense würde an dieser Stelle kaum anders konfiguriert sein als ein Standardrouter - es sei denn man verlagert alle Teilnetzwerke hinter die HW-Firewall.

 

[norKoeri]

Mit was seid ihr zufrieden und mit was vielleicht weniger?

Ich bin kein so großer Freund von VLANs. Auch IDS/IPS muss man nicht nur können, sondern auch lesen wollen. Aber so wie ich Dich verstehe, möchtest Du keine fachliche Beratung, sondern lediglich ein Beratung zu einem Komplett-System bzw. einzelnen Komponenten. Nur als Anmerkung: Auch wenn Du ausgelernter Fachinformatiker für Systemintegration bist, solche Systeme sind normalerweise erst nach Schulung auf das jeweilige System beherrschbar (oder Du sitzt viele Wochenende zusammen mit Wireshark zusammen). Und mit einer Weiterbildung in IT-Security, weil Du ja eine Rundum-Absicherung und keine Absicherungen einzelner Aspekte erreichen willst. Dann noch IPv6 …

Was könntet ihr da so empfehlen: Telefonie?

Wie Raijin schon schrieb, Telefonie ist so eine Baustelle. Bintec-Elmeg bzw. Lancom dürftest Du nicht mögen. FRITZ!Box als IP-Client (hier reicht eine kleinere FRITZ!Box, irgendeine mit FRITZ!OS 7.2x wie die FRITZ!Box 7430, weil Kompatibilitäts-Updates für die Telefonie selten ge-back-ported werden). Oder Gigaset GO-Box 100 als DECT-Basis (dann aber neue DECT-Mobilteile nötig). 40 €

Was könntet ihr da so empfehlen: DSL?

Ich persönlich würde die FRITZ!Box als Router nicht behalten, weil Du dann Doppel-NAT hast. Als Modem kannst Du alles Unmögliche nehmen. Auch DSL-Router, die sich zu einem einfachen DSL-Modem umstellen lassen, bieten sich an … mit DSL100 brauchst Du kein Super-Vectoring und kannst wirklich ganz alte Teile wie den Telekom Speedport Entry 2 nehmen. 40 €

Was könntet ihr da so empfehlen: WLAN-Access-Point?

In WLAN willst Du vermutlich durch die SSID separieren. Folglich sollte das WLAN zum Router passen. Hier existieren wirklich haufenweise Systeme. Vor zwei Jahren hatte die Heise einen Artikel dazu: Heise+ bzw. c’t. Aber brauchst Du das alles wirklich? Soweit ich Dich verstehe, brauchst einfach nur drei WLAN-Zugangspunkte mit Multi-SSID, der die jeweilige SSID auf ein VLAN umlegt. Ansonsten scheinst Du auf der WLAN-Ebene mit WPA-PSK weiter fahren zu wollen.

Ich würde es wie Twostone vorgeschlagen hat, keine Hardware sondern Open-Source-Software nehmen. Ein paar Systeme ausprobieren. Einfach das nehmen, was Dir gleich auf den ersten Blick zusagt. Brauchst Du dafür ein paar Tipps bzw. eine Liste?

dieses Thema auch erst einmal hinten anzustellen

Das habe ich jetzt nicht verstanden. Meinst Du damit, Du möchtest Du ein Komplett-System, dass Du dann irgendwann mal kaufst, wenn Du Zeit hast? Oder möchtest Du es einfach kaufen, einrichten und dann nicht mehr groß drüber nachdenken?

 

[0-8-15 User]

Ich bin kein so großer Freund von VLANs.

Ohne VLANs würde die strikte Trennung der verschiedenen Geräteklassen aber komplett ausarten.

Was könntet ihr da so empfehlen? Was habt ihr da vielleicht selbst im Einsatz?

Gebrauchter DrayTek Vigor 165 als Modem, NRG Systems IPU654 als Firewall und eine Go Box 100 als DECT-Basis. Alternativ wie bereits von @Raijin vorgeschlagen, die FRITZ!Box behalten und somit, je nach genauer Umsetzung, auf ein neues Modem bzw. eine neue DECT-Basis verzichten.

In Sachen Switch und Access Point wären folgende Geräte meine erste Anlaufstelle:

• Switch: HP Aruba Instant On 1930, ZyXEL GS1900, MikroTik CRS326-24G-2S, ...
• Access Points: TP-Link Omada EAP610, ZyXEL NWA50AX, MikroTik Audience ...

 

[Raijin]

Ich bin kein so großer Freund von VLANs.

Das hat auch nichts damit zu tun ob man ein Freund davon ist oder nicht. VLANs sind eine Technologie, die einen bestimmten Zweck erfüllt. Ist dieser Zweck gegeben, sind VLANs die Lösung - egal ob man das nun gut findet oder nicht. Natürlich gibt es Situationen, in denen VLANs zu viel des Guten sind, weil sie nicht notwendig sind oder es eben andere Herangehensweisen gibt - wie zB die oben dargestellte Routerkaskade.

Ich persönlich würde die FRITZ!Box als Router nicht behalten, weil Du dann Doppel-NAT hast.

Doppel-NAT mag vielleicht nicht schön sein, aber wo ist das Problem? Im Zweifelsfalle benötigt man eben Portweiterleitungen an 2 Stellen, im Internetrouter und im Zweitrouter. Das war's dann aber auch. Wenn man möchte, kann man eine Routerkaskade mit 27 Routern und somit 27-fach-NAT aufbauen, und es würde trotzdem funktionieren. Banale Routerkaskaden mit 2 Routern sind ein vollkommen probates Mittel, um mit wenig Aufwand und eingeschränktem KnowHow ein Netzwerk zu segmentieren, sei es ein geteilter Internetanschluss, eine DIY-DMZ oder zB die Trennung von Office- und Privat-Netzwerk. Alles gängige Szenarien.

 

[foo_1337]

FRITZ!Box als IP-Client
(...)
Ich persönlich würde die FRITZ!Box als Router nicht behalten, weil Du dann Doppel-NAT hast.

Ich persönlich [sic] nutze ein und die selbe Fritzbox als "Modem" und als "PBX". Den PPPoE Dialin macht die OPNSense. Ist beim initialsetup etwas hacky, da AVM das eigentlich nicht vorsieht, funktioniert aber problemlos. So spare ich mir jedoch ein weiteres Gerät und dessen Stomverbrauch.

Zum Doppel-NAT: Das ist nicht notwendig. Vor dem oben beschriebenen Setup hat die Fritzbox die PPPoE Einwahl gemacht und die OPNSense war als Exposed Host dahinter. Die Fritzbox kannte via Routing Tabelle die Netze hinter der OPNSense, daher war seitens OPNSense kein NATting erforderlich.
Aber wie @Raijin schon schrieb: Auch Doppel-NAT ist ein großes Ärgernis.


So sieht das ganze dann aus:

 

[norKoeri]

VLANs sind eine Technologie, die einen bestimmten Zweck erfüllt. Ist dieser Zweck gegeben […]

Und das ist die Frage, ob die (Sicherheits-) Ziel-Setzung(en) hier so erreicht wird.

Double-NAT … wo ist das Problem?

… wo soll ich anfangen? Du weißt genau, dass es nicht nur Port-Freigaben sind, sondern auch noch viele andere Baustellen betrifft (Port-Timeouts, IPv6, DiffServ, …). Klappt vielleicht einfach zufällig. Fällt es doch auf, alles mit Aufwand lösbar, ja.

die selbe Fritzbox als "Modem" und als "PBX"

Geht … aber auch mit DNS-Auflösung für den SIP-Client ‥?

Ja, wenn man unbedingt will und Arbeit investiert, kann man die FRITZ!Box behalten (entweder mit Double-NAT oder über Sicherungsexport als Modem+SIP-Client). Aber ich würde das bei einem Preisrahmen bis zu 1000 € eben nicht machen. Sehe auch keinen einzigen Vorteil, den eine FRITZ!Box bringt. Im Gegenteil: Dieses Modell kann man gut verkaufen und so den Rahmen sogar steigern. Könnt Ihr, kann Crapshit, gerne anders machen. War nur mein Einwurf, warum ich es so nicht bzw. ich wie es anders machen würde.

 

[foo_1337]

Ja, wenn man unbedingt will und Arbeit investiert, kann man die FRITZ!Box behalten

Ja, das war nichtmal eine ganze Stunde Arbeit. Wahnsinn.
Wie immer sollte man halt wissen, was man macht.

oder über Sicherungsexport als Modem+SIP-Client

Es braucht keinen Sicherungsexport. Und ja, DNS geht selbstverständlich sowohl für voip wie für autoupdate.
Der "Trick" bei DNS:
Man muss ihn hier eintragen:

Und nicht hier:

Und das ist die Frage, ob die (Sicherheits-) Ziel-Setzung(en) hier so erreicht wird.

Solange du keinen Consumer "Rotz", der broken by design ist, werden die Zielsetzungen, insbesondere im Heimnetz immer erreicht. Und wenn du im Enterprise Umfeld unterwegs bist, kommst du um VLANs bzw. 802.1q Trunks ohnehin drum rum.

Du weißt genau, dass es nicht nur Port-Freigaben sind, sondern auch noch viele andere Baustellen betrifft (Port-Timeouts, IPv6, DiffServ, …). Klappt vielleicht einfach zufällig

Bist du dir sicher, dass du weißt wovon du sprichst? Bei IPv6 ist ganz sicher kein NAT, erst recht kein Double NAT notwendig. Wie oben geschrieben: Man muss wissen, was man macht. Dann überlässt man nichts, aber rein gar nichts dem Zufall.
Ich habe dir außerdem oben in kurzform schon geschrieben, dass es auch bei IPv4 kein Double-NAT braucht (hallo, es gibt routen). Und wieso sollte es Port Timeouts geben? Was soll das überhaupt sein?

Sehe auch keinen einzigen Vorteil, den eine FRITZ!Box bringt.

Nun, da gibt es gleich mehrere:

1: Ganz banal: Die FB ist oft "eh da"
2: Wenn Telefonie benötigt wird, ist die FB oft die erste Wahl. Wieso also dann ein weiteres Modem, welches erstmal Geld kostet und zusätzlich Strom frisst?
3: Die DSL Debugging Möglichkeiten, Spektrum etc. sind bei der Fritzbox sehr gut.

In WLAN willst Du vermutlich durch die SSID separieren. Folglich sollte das WLAN zum Router passen.

Auch das ist natürlich vollkommener quatsch. Der Router hat gar nichts mit dem Wifi oder SSIDs zu tun. Du brauchst lediglich einen Access Point, dem du per 802.1Q die VLANs übergibst. So kannst du dann der SSID ein VLAN zuweisen. Aber ich vergaß ja.. VLANs sind nicht dein Freund

 

[Bob.Dig]

Ich persönlich [sic] nutze ein und die selbe Fritzbox als "Modem" und als "PBX". Den PPPoE Dialin macht die OPNSense.

Das geht aber vermutlich nicht mehr mit den aktuellen Geräten? Würde mich ansonsten sehr interessieren mit einer 7530, denke aber wahrlich nicht, dass es geht....

 

[foo_1337]

Ich habe/nutze eine 7530 (Fritz!OS 7.29)

 

[Bob.Dig]

Ich habe/nutze eine 7530 (Fritz!OS 7.29)

Ja also ich wäre sehr interessiert, gerne PM oder sonst was. 🤓

 

[foo_1337]

Ich schreib morgen mal nen eigenen Beitrag dazu, hatte ich sowieso schon mal vor

 

[Bob.Dig]

@foo_1337 Perfekt, ist mir jetzt eh zu spät. Aber ich hab da nie was zu gefunden, wie das gehen könnte... Hoffe dann es geht mit allen gängigen VDSL Anbietern. Fritzbox soll bei mir nur ein Faxgerät verbinden...
Hauptsache, ich verpasse deinen "Leserartikel" morgen nicht.

 

[Crapshit]

Folgendes habe ich mir mal rausgesucht an Hardware:

2x Access Point WiFi 6 Mesh (für EG und 1. OG - 376,04€ inc. VAT)
SKU: U6-Mesh-EU

Für im Keller:
Von Protectli:
FW6A – 6 Port Intel Celeron 3865U + 4 GB RAM + 16 GB Storage für 435,00 € inc. VAT

Alternativ von Protectli mit mehr Power wegen HT:
FW6B – 6 Port Intel® i3 + 4 GB RAM + 16 GB Storage für 555,00 € inc. VAT

Von IPU Systems:
NRG Systems IPU662 System - Intel Core i5-6200U + 4 GB RAM + 16 GB Storage für 429,99 € inc. VAT

Thomas Krenn - Low Energy System:
LES network 6L - Intel Celeron 3867U + 4 GB RAM + 32 GB Storage für 418,00€ € inc. VAT

Für die Firewall habe ich mich an der Netgate 4100 orientiert.

Was für einen Switch für das Wohnzimmer der mit VLANs umgehen kann würdet ihr empfehlen?

 

[0-8-15 User]

mit mehr Power wegen HT

HT würde ich auf einer OpenBSD (pfSense / OPNsense) basierten Firewall abschalten.

FW6B – 6 Port Intel® i3 + 4 GB RAM + 16 GB Storage für 555,00 € inc. VAT

Da würde ich vorher eine IPU881 nehmen.

Was für einen Switch für das Wohnzimmer der mit VLANs umgehen kann würdet ihr empfehlen?

Eventuell ein Ubiquiti UniFiSwitch Flex Mini, aber vorher genau nachlesen, was er kann!

 

[Crapshit]

@0-8-15 User
Erst einmal vielen lieben Dank für dein Feedback.

Natürlich auch noch ein großes Danke an all die anderen, die mir schon Feedback gegeben haben.

HT würde ich auf einer OpenBSD (pfSense / OPNsense) basierten Firewall abschalten.

Wieso würdest du HT abschalten?
Führt HT zu irgendwelchen Problemen, wenn ja welchen?
War mir zumindestens noch nicht bewusst, dass darauf zu achten ist.

Da würde ich vorher eine IPU881 nehmen.

Wieso würdest du eher zum IPU881 eingreifen?
Das IPU662 hatte ich mir selbst schon rausgesucht. Hier steht der alte i5 dem neueren i3 gegenüber.
Neuere Graka, bissel schnellerer RAM und zwei NICs mehr, die ich dachte eigentlich alles nicht brauchen zu müssen.

Gebrauchter DrayTek Vigor 165 als Modem, NRG Systems IPU654 als Firewall und eine Go Box 100 als DECT-Basis.

Beim Durchgehen des Threads bin ich nochmal auf deine erste Antwort gestoßen.
Wieso das Upgrade von 654 zu 881. Passt der 662er vielleicht doch?

Eventuell ein Ubiquiti UniFiSwitch Flex Mini, aber vorher genau nachlesen, was er kann!

Ich vergaß vollständig zusagen, dass ich kein PoE bräuchte, es aber nice to have wäre.
Wichtig sind vor allem 8 Ports, die ich bräuchte.

Weiter oben hattest du noch Access Points und Switches genannt. Diese werde ich mir nachher nochmal in Ruhe angucken. Danke dafür schon mal.

In WLAN willst Du vermutlich durch die SSID separieren. Folglich sollte das WLAN zum Router passen. Hier existieren wirklich haufenweise Systeme. Vor zwei Jahren hatte die Heise einen Artikel dazu: Heise+ bzw. c’t. Aber brauchst Du das alles wirklich? Soweit ich Dich verstehe, brauchst einfach nur drei WLAN-Zugangspunkte mit Multi-SSID, der die jeweilige SSID auf ein VLAN umlegt. Ansonsten scheinst Du auf der WLAN-Ebene mit WPA-PSK weiter fahren zu wollen.

@norKoeri Ja, ich würde mehrere WLAN Zugangspunkte z.B. im Unifi Controller einrichten und diesen jeweils ein eigenes VLAN zuweisen. Es wären dann eigentlich 4 Stück: Privat, Privat Familie, Firma + Gäste.
Jedoch bin ich mir unsicher, wie sich dies auf die Performance auswirken würde, bei dem zusätzlichen Overhead.
Aber ich verstehe gerade den ersten Teil der o.g. Aussage nicht so recht zum zweiten Teil nachdem die Frage kommt, ob ich das alles wirklich bräuchte?

Ich schreib morgen mal nen eigenen Beitrag dazu, hatte ich sowieso schon mal vor

@foo_1337 Über die Doku würde ich mich auch sehr freuen



Zum Thema Fritzbox bin ich aktuell wegen VoIP so eingestellt, dass ich sie im ersten Schritt als Modem/Router für die VDSL Einwahl erstmal behalten wollen würde.
Hintergrund ist vor allem VoIP, da ich die Integration mit meinem Google Konto + Anrufbeantworter mit eMail-Benachrichtung sehr lieben gelernt habe und aktuell noch nicht den passenden Ersatz hierfür gefunden habe.
Des Weiteren finde ich die DSL Informationen zur Fehleranalyse sehr gut, die mir auch letztens erst geholfen hat. Habe von der Telekom einen neuen DSL Port geschalten bekommen...
Deshalb im ersten Schritt mit doppeltem NAT oder vielleicht die Exposed Host Konfiguration?

Vielen Dank nochmal an alle für euren Support.

Grüße
Crapi

 

[Bob.Dig]

@foo_1337 Über die Doku würde ich mich auch sehr freuen

Ich erst.

 

[0-8-15 User]

Führt HT zu irgendwelchen Problemen, wenn ja welchen?

Nicht zwingend, aber der Nutzen hält sich auch schwer in Grenzen. Der Multicorebenchmark von so einer CPU ist auf jeden Fall kein sehr gutes Maß für die Performance, die man damit in pfSense / OPNsense zu erwarten hat und wäre für mich auf jeden Fall kein Kaufgrund.

Hier steht der alte i5 dem neueren i3 gegenüber.

Namen sind Schall und Rauch: Intel Core i5-6200U vs Intel Core i3-8130U

Wieso würdest du eher zum IPU881 eingreifen? Wieso das Upgrade von 654 zu 881.

Ich sag nicht, dass du die IPU881 kaufen sollst, sondern dass die FW6B (und eigentlich auch die IPU662) in Anbetracht der Tatsache, dass es die IPU881 gibt, preislich unattraktiv ist.

Passt der 662er vielleicht doch?

Richtig falsch machst du mit keinem der bisher genannten Geräte etwas. Am Ende ist es Geschmackssache.

Wichtig sind vor allem 8 Ports, die ich bräuchte.

Wenn es dich nicht stört, dass das die Weboberfläche unabhängig von der Konfiguration des Switches von allen Ports aus erreichbar ist, dann käme vielleicht der TP-Link SG108E infrage.

 

[Bob.Dig]

Wenn es dich nicht stört, dass das die Weboberfläche unabhängig von der Konfiguration des Switches von allen Ports aus erreichbar ist, dann käme vielleicht der TP-Link SG108E infrage.

Ich hab hier einen ähnlichen Switch zum ähnlichen Preis von Zyxel. Dort kann ich das Management VLAN einstellen und Ports aus diesem auch entfernen. Hab es zwar nicht probiert, aber ich vermute mal, da gäbe es auch keinen Zugriff. Ist das was besonderes? Ok, gerade mal gelesen, dass es sich mit deutlich älterer Firmware wohl genauso wie bei TP-Link verhalten hätte.
Und ich hab mich ganz am Anfang tatsächlich mal selbst ausgesperrt, wo ich noch keine Ahnung von VLANs hatte. Aber dafür gibt es ja einen Reset-Button. 😁

Ergänzung (21. März 2022)

Der "Trick" bei DNS:
Man muss ihn hier eintragen:

Nimmt sie bei mir gar nicht. PPPoE-Passthrough hab ich inzwischen am Laufen, aber Internet zurück an die Fritte, damit dort Telefonie funzt, hab ich wenig überraschend nicht hinbekommen.