3
OPNsense im Wechsel mit Router
Hallo zusammen,
ich möchte in meinem Heimnetzwerk etwas rumexperimentieren um zu lernen und auch um für mehr Sicherheit zu sorgen.
Aktuell habe ich VDSL an einem Draytek Vigor 2865 und dahinter L2 Switche und AP`s von Ubiquiti. Der Vigor stellt die Verbindung ins Inet her, ist DHCP Server und verwaltet diverse VLANs.
In meinem LAN habe ich zur Zeit auch noch auf Unraid diverse Docker laufen wie zum Beispiel AdGuard usw...
Ich habe mir jetzt überlegt einen Proxmoxserver aufzusetzen, in welchem dann eine OPNsense laufen soll und außerdem meine Docker.
Normalerweise würde man ja dann den Vigor als reines Modem nutzen und die Einwahl und DHCP der OPNsense überlassen. Ich würde aber gerne eine Art Fallback Lösung haben um mein LAN im Notfall wieder direkt mit dem Vigor ans Netz zu bringen (gestrichelte Linie, würde nur bei Bedarf gesteckt werden).
Folgende Probleme sehe ich dabei:
- doppeltes NAT, dürfte aber eigentlich kein Problem sein wenn alles sauber konfiguriert ist?
- wechselnder DHCP Server, dürfte ja aber auch kein Problem sein, wenn die DHCP Server auf dem Vigor und der OPNsense gleich konfiguriert sind?
- Das größte Problem sehe ich im Gateway, was ist dann aus Sicht des LANs das Gateway? Sollte ja in beiden Fällen das geiche sein. Ich habe mir gedacht, auf Port 4 des Vigors würde ich exklusiv ein VLAN mit 10.10.10.0 setzen als Schnittstelle zu Proxmox. Die LAN Seite der OPNsense würde zum Beispiel 192.168.20.1 bekommen
Auf den Port 1 des Vigors würde ich dann alle VLANs legen, also auch mein VLAN 20 was dann auch 192.168.20.1 hätte. Da nur entweder Port 1 oder Port 4 gesteckt werden würde dürfte das doch gehen?
Hier mal eine kleine Skizze. Über Feedback würde ich mich freuen!
Viele Grüße
ich möchte in meinem Heimnetzwerk etwas rumexperimentieren um zu lernen und auch um für mehr Sicherheit zu sorgen.
Aktuell habe ich VDSL an einem Draytek Vigor 2865 und dahinter L2 Switche und AP`s von Ubiquiti. Der Vigor stellt die Verbindung ins Inet her, ist DHCP Server und verwaltet diverse VLANs.
In meinem LAN habe ich zur Zeit auch noch auf Unraid diverse Docker laufen wie zum Beispiel AdGuard usw...
Ich habe mir jetzt überlegt einen Proxmoxserver aufzusetzen, in welchem dann eine OPNsense laufen soll und außerdem meine Docker.
Normalerweise würde man ja dann den Vigor als reines Modem nutzen und die Einwahl und DHCP der OPNsense überlassen. Ich würde aber gerne eine Art Fallback Lösung haben um mein LAN im Notfall wieder direkt mit dem Vigor ans Netz zu bringen (gestrichelte Linie, würde nur bei Bedarf gesteckt werden).
Folgende Probleme sehe ich dabei:
- doppeltes NAT, dürfte aber eigentlich kein Problem sein wenn alles sauber konfiguriert ist?
- wechselnder DHCP Server, dürfte ja aber auch kein Problem sein, wenn die DHCP Server auf dem Vigor und der OPNsense gleich konfiguriert sind?
- Das größte Problem sehe ich im Gateway, was ist dann aus Sicht des LANs das Gateway? Sollte ja in beiden Fällen das geiche sein. Ich habe mir gedacht, auf Port 4 des Vigors würde ich exklusiv ein VLAN mit 10.10.10.0 setzen als Schnittstelle zu Proxmox. Die LAN Seite der OPNsense würde zum Beispiel 192.168.20.1 bekommen
Auf den Port 1 des Vigors würde ich dann alle VLANs legen, also auch mein VLAN 20 was dann auch 192.168.20.1 hätte. Da nur entweder Port 1 oder Port 4 gesteckt werden würde dürfte das doch gehen?
Hier mal eine kleine Skizze. Über Feedback würde ich mich freuen!
Viele Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7437222103
Url: https://administrator.de/contentid/7437222103
Printed on: May 2, 2024 at 10:05 o'clock
3 Comments
Latest comment
- wechselnder DHCP Server, dürfte ja aber auch kein Problem sein, wenn die DHCP Server auf dem Vigor und der OPNsense gleich konfiguriert sind?
Ich würde die DHCP Server dennoch in verschiedenen Bereichen im gleichen Subnet laufen lassen, um Konflikte nach dem Umstecken zu vermeiden
Grundsätzlich würde ich aber dennoch empfehlen, double NAT zu vermeiden und den Draytek in den Bridge Mode zu setzen, OPNsense mit PPPoE konfigurieren. Witzigerweise hätte das double NAT setup in dieser Konfiguration einen Vorteil: die IDS/IPS (Suricata) Features der OPNsense wären nur in diesem Szenario verfügbar. Leider funktioniert bei der Opnsense unter Proxmox konfiguriert mit PPPoE IPS nicht.
1
@ aqui Danke für die Links!
@ critconsulting Technisch wär ich klar bei der Bridge Variante. Hintergrund ist aber einfach der WAF. Falls ich unterwegs bin (oder vom Bus überfahren ;) ) und was mit dem Proxmox Server ist muss einfach nur umgesteckt werden. Gerade am Anfang wenn ich damit noch rumspiele und bis alles richtig läuft wäre es mir schon recht wenn es Plug n Go wäre. Das mit IDS/IPS war mir nicht bewusst, würde ich aber in dem Zuge dann gerne mitnehmen und mir mal ansehen.
@ critconsulting Technisch wär ich klar bei der Bridge Variante. Hintergrund ist aber einfach der WAF. Falls ich unterwegs bin (oder vom Bus überfahren ;) ) und was mit dem Proxmox Server ist muss einfach nur umgesteckt werden. Gerade am Anfang wenn ich damit noch rumspiele und bis alles richtig läuft wäre es mir schon recht wenn es Plug n Go wäre. Das mit IDS/IPS war mir nicht bewusst, würde ich aber in dem Zuge dann gerne mitnehmen und mir mal ansehen.
