OPNSense+OpenWRT+FitzBox - Kombi

[McMichek]

Hallöchen Leute,
Ich habe folgende Hardware
FirtzBox <-- brauche ich für Telefon
NanoPiR4S mit OpenWRT <-- der soll als dhcp Server arbeiten
Fujitsu "Fuj" Futro mit OPNSense <-- Firewall + Unbound

Ich stehe noch ganz am Anfang, aktuell sieht es so aus:
FritzBox -> OpenWRT -> OPNSense -> Switch

Alternativ könnte ich es mir auch so vorstellen
WAN von OPNSense geht an die FritzBox
WAN von OpenWRT geht an OPT1 von OPNsense
LAN von OpenWRT geht an LAN von OPNsense

macht das Sinn? bzw wie würdet ihr es verbinden?

 

[blurrrr]

Hi,

also ich persönlich würde eher zu folgendem Aufbau tendieren: Fritzbox <-> Firewall <-> OpenWRT

Aber nur, wenn es auch so sein "muss"... Generell würde ich würde eher den DHCP-Dienst auf der Firewall laufen lassen und den Raspi weg lassen (oder für etwas anderes nutzen)

 

[the other]

Moinsen,
Auch wenn ich hier die Kombination aus Fritzbox (Telefonie, Internetrouter) mit pfsense (firewall, interner router) nutze...mir fällt selber so spontan kein Grund ein, warum dann noch ein drittes Gerät nur für dhcp.
Wenn dns server und ggf Subnetze später eh von der (bei dir) opnsense gemacht werden, dann würde ich auch dhcp dort unterbringen.
Deine Variante erscheint mir im Heimnetz doch eher ineffizient (Strom für 3. Gerät) und unnötig kompliziert in Verwaltung und Sicherung. Bin da also bei @blurrrr.
Aber du hast bestimmt deine Gründe für das Design...

 

[McMichek]

danke für den Input, ich bin kein experte in sachen netzwerk^^
den dhcp wollte ich eigentlich nur auf dem NanoPiR4s laufen lassen, damit der arme junge auch ein bisschen was zu tun hat
mit OpenWRT hatte ich in der Vergangenheit schonmal ein bisschen zu tun und ich würde es gerne weiter im Netzwerk haben, allerdings habe ich auch keinen konkreten grund, weshalb ich es umbeding brauchen würde, die Stromkosten bei dem Gerät halten sich noch im Ramen

kann man komplett auf OpenWRT verzichten wenn man OPNsense hat? (also mit fritzbox)

 

[the other]

Moinsen,
naja...klar kannst du das. Du kannst (wenn es den Ansprüchen genügt) ja auch komplett auf die opnsense verzichten und nur mit Fritzbox als Router fahren.
OPNsense hat auch mal nix mit OPENwrt zu tun.

openWRT ist einfach erstmal eine spezielle Linux Variante, die oft auch auf Routern zum Einsatz kommt. Die Konfiguration ist etwas komplexer, die Möglichkeiten aber auch vielseitig.

opnSense ist eine Firewall, die auch als Router arbeitet und völlig unabhängig von openwrt zu betrachten ist.

Hier:
openWRT >
https://de.wikipedia.org/wiki/OpenWrt
https://openwrt.org/

opnsense >
https://opnsense.org/
https://de.wikipedia.org/wiki/OPNsense

Es sind also zwei gänzlich getrennte Dinge, die zwar ähnliche Dinge machen können, aber per se nix miteinander zu tun haben und auch nicht voneinader abhängig sind im Gebrauch.

Und wenn du mit openWRT spielen willst, warum nicht. Kannst du ja durchaus.
Ich behaupte mal: in den allermeisten Heimnetzen privater Natur ist eine Fritzbox ausreichend. Willste mehr (VLANs zb, oder eben Firewalling oder...), dann nehmen sich viele ambitionierte Menschen noch die pfsense/opnsense dazu oder ersetzen die Fritzbox damit sogar. Drei verschiedene Routersysteme (Fritzbox, *sense UND zB openWRT) ist im Laboraufbau sicher ok, im Praxisbetrieb im Heimnetz aber (wie gesagt nach meiner bescheidenen Meinung) eher etwas dick...

 

[McMichek]

OPNSense habe ich mir jetzt hauptsächlich deshalb installiert, damit gewisse Geräte nicht ins Internet kommen (btw, wär nice wenn jemand ein Tutorial dafür verlinken kann, also einfach dass zb eine IP Camera im Lan erreichbar ist aber nicht meine Bilder nach China schickt)

 

[the other]

Moinsen,
bei der Firewall immer dieses bedenken:
- Regeln werden von OBEN nach UNTEN abgearbeitet...trifft eine Regel zu wird nicht weiter geprüft (also dann entweder Verboten oder eben erlaubt).
- du könntest für die IP der Camera eine Regel eintragen, dass diese nicht ins Netz darf
zB:
gehe zu dem Interface, unter dem die Camera läuft
Dann hier Regel anlegen etwa DENY----IP der Camera----Destination ANY----Port ANY.
Damit käme die Camera NIRGENDWO hin.
Willst du aber zB die Bilder auf deinem eigenen lokalen Server speichern, dann vor obiger Regel eine anlegen wie zB
gehe zu dem Interface unter dem die Camera läuft
Dann etwa PASS---IP der Camera----Destination IP des Speicherortes/Servers----Port ANY (besser herausfinden, welcher genutzt wird).

Damit (von oben nach unten!) wird gecheckt: oh, Camera will auf lokalen Server zugreifen, ok. Oder eben: Oh, Camera will auf etwas zugreifen, was NICHT der IP des lokalen Speicherservers entspricht, NICHT OK!

ABER: wenn der Speicherserver und die Camera im GLEICHEN Netzwerk sind (also beide eine IP mit zB 192.168.5.x /24 haben), dann greift die Firewallfunktion NICHT. Dafür müssen die Geräte ihren Traffic ja durch den Firewallrouter schicken, was sie aber eben NUR tun, wenn die Geräte in unterschiedlichen Netzen sind (sonst muss ja nix geroutet werden).