OPNsense --> Testumgebung mit OPNsense oder Integration in bestehendes Netzwerk?

Es gibt 11 Antworten in diesem Thema, welches 1.880 mal aufgerufen wurde. Der letzte Beitrag () ist von Ronny1978.

    Ich betreibe ein mittlerweile gut funktionierendes Heimnetzwerk/Homeoffice bestehend aus folgenden Komponenten:


    DSL, Vigor167, UXG-Pro, USW-24POE, UAC-Pros und Nanos und CLK Gen2Plus …


    Nun habe ich viel über OPNsense gelesen und kurzerhand beschlossen mich hiermit näher zu beschäftigen und mir einen Barbone mit vier Netzwerkanschlüssen usw. bestellt.


    Nach ein wenig „tieferer“ Recherche zum Thema (ich weiß, das hätte vor dem Bestellvorgang sein sollen :winking_face: ) habe ich nun das Gefühl, ein wenig zu voreilig auf den „kaufen-button“ gedrückt zu haben. :smiling_face::loudly_crying_face:


    Im Moment weiß ich nämlich überhaupt nicht, wie ich das Device in meine bestehendes Netzwerk integrieren soll bzw. kann.


    Das läuft alles gut und in dieses Setup möchte ich auch ungern durch ein neues Device wie oben geschildert Unwägbarkeiten hineinbringen.


    Im ersten Schritt hatte ich mir vorgestellt, das man das Device mit OPNsense (zb. auf ProxMox in einer VM) in einem separierten Netzwerk mit einem kleinen managed Switch und einem PC usw. aufbaut und in dieser Umgebung dann damit „spielen“ und weitere Erfahrungen sammeln kann (Hobby halt).


    Andererseits ist aber der Haken, das ich „nur“ einen DSL-Anschluss habe. Einen weiteren nur für den beschriebenen Zweck ist mir dann doch zu kostenintensiv ...


    Irgendwelche Ideen?

    Zitat von Hape

    Nach ein wenig „tieferer“ Recherche zum Thema (ich weiß, das hätte vor dem Bestellvorgang sein sollen :winking_face: ) habe ich nun das Gefühl, ein wenig zu voreilig auf den „kaufen-button“ gedrückt zu haben. :smiling_face::loudly_crying_face:


    Im Moment weiß ich nämlich überhaupt nicht, wie ich das Device in meine bestehendes Netzwerk integrieren soll bzw. kann.

    Ja das sollte man immer tun. :winking_face:

    Zitat von Hape

    Das läuft alles gut und in dieses Setup möchte ich auch ungern durch ein neues Device wie oben geschildert Unwägbarkeiten hineinbringen

    Mein Tipp? Lass alles wie es ist, wenn du keine größeren Erfahrungen hast und dein System eigentlich läuft. Probiere dich an Proxmox erst einmal aus. Dann kannst immer noch überlegen, was du machst. Verwalten könntest du deine Unifi Devices in einem LXC Container auf/in Proxmox. Aber hier würde ich dir erst einmal raten, dich in die Materie "Proxmox", Virtualisierung und OpnSense/pfSense richtig einzulesen, bevor du größere Eingriffe in ein funktionierendes Netzwerk vornimmst.


    P.S. Auf der OpnSense kannst du theoretisch auch den Unifi Controller direkt hosten. Dann wäre die OpnSense dein Router mit integriertem Controller. Aber nochmal -> erstmal richtig einlesen und informieren. Die Lernkurve ist bei Proxmox UND OpnSense sehr, sehr steil und nicht zu vergleichen mit der Einrichtung von Unifi!!!

    Hi Ronny,


    danke, ich habe schon ein wenig Erfahrung. Eine PVE mit lxc und VMs läuft bereits in meinem Netzwerk ... .


    Mich interessiert aber explizit die OPNsense-Lösung.


    Deshalb die Frage, was ich tun kann um ein Testumgebung für das bestellte Teil zu schaffen ...

    Ich teste eine OpenSense parallel zu meiner UDM Pro. Allerdings habe ich Fritzbox als provider Gateway. D.H. im Prinzip dadurch DMZ vor den Firewalls mit doppeltem NAT. Daduch hab ich erstmal zwei unabhängig Systeme mit jeweils Netzen innerhalb eines /20 Bereiches. Die Verbindung habe ich das über ein Transfernetzwerk hergestellt mie eigenem VLAN. Netzweerkkabel zwischen internen Ports und statischem Routing. Die Firewall rules dazu auf der OpenSense sind etwas komplizierter.


    Bin mir nicht sicher aber die Vigor läuft glaub ich als Modem und ich hab keine Ahnung ob sie ein solches setup unterstützen. Wenn nicht könntest Du wohl auch den Wan Port als internen Netzwerk an einen vlan ( hinter der USG ) anschließen.

    Zitat von Hape

    Deshalb die Frage, was ich tun kann um ein Testumgebung für das bestellte Teil zu schaffen

    Das wird schwierig werden, da du die OpnSense zwar einrichten kannst und ggf. auch den Software - Controller, wo auch immer (LXC oder OpnSense), aber die Unifi Geräte kannst du dann nicht testen. Und bitte prüfen auch noch, ob du Protect über den CL-Key2 nutzt!!!


    Das würde mit der OpnSense nicht mehr gehen. Der Software Controller dient nur zur Administrierung der Geräte NICHT für Unifi Protect!!!


    Hape : Ich will dir das Projekt nicht ausreden, ich bin ja selber bei OpnSense mit einem Unifi Controller im LXC und den Unifi Geräten angekommen. Aber auch von einer Testumgebung zur Produktivumgebung, wird danach noch einiges umzustellen sein. Ich hatte es damals so gemacht:


    Opnsense (SEPARAT und OHNE LAN Verbindung) eingerichtet -> gleiches!!! Netz wie die damalige UDM. Test nur abends oder nachts und nach Einrichtungsende UDM abgeklemmt und OpnSense ran/rein ins Netz.


    Aber ich drücke dir die Daumen. :winking_face::thumbs_up:

    Danke. Ok, ich komme mal andersherum:


    Für eine Testumgebung mit dem OPNsense fehlt mir ja eigentlich nur ein (zeitweiser) Internetzugang (da ich den vorhandenen DSL-Anschluss unberührt lassen möchte).


    Ich schaue mal nach einem preiswerten 4G-Zugang über ein Modem ... Vllt. wäre das ja eine Lösung.

    Es sollte eigentlich der Gastzugang der Fritzbox oder ein separates Netz bei der UDM Pro mit VLAN gehen. Bei der OpnSense dann halt beim WAN DHCP nehmen :winking_face:


    Hape : Nur mal aus Neugier: Was für Beweggründe gibt es denn bei DIR von einer UXG Pro und CloudKey 2 zur OpnSense zu wechseln? Bei mir war es damals die Performance und das ständige Abstürzen der UDM BASE.

    Zitat von Ronny1978

    Hape : Nur mal aus Neugier: Was für Beweggründe gibt es denn bei DIR von einer UXG Pro und CloudKey 2 zur OpnSense zu wechseln? Bei mir war es damals die Performance und das ständige Abstürzen der UDM BASE.


    Moin,


    der Grund hat weniger etwas mit der UXG und dem UCK zu tun, eher mit meinem Interesse an einer selbst konfigurierten Lösung. Da mein Wissen aber doch sehr limitiert ist, eben der Aufbau einer Testumgebung. Ob es dann wirklich mal zu einem Wechsel der Systeme kommt, das muss sich dann noch herausstellen.


    Na ja, seit dem Wechsel vom USG auf das UXG klappt z.B. die DynDNS-Funktion nicht mehr gut. Sobald ich das UXG Neustarte (aus welchem Grund auch immer) und vom ISP eine neue öffentliche IP bekomme, wird das nicht an meinen Sub-Domain-Provider weitergeleitet (duckdns). Ich muss diese dort von Hand ändern, dann klappt der Zugriff auf meine Domänen wieder nach einer gewissen Zeit ... das ist mit der USG nie notwendig gewesen. Aber das sind am Ende nur "Kleinigkeiten", ich vermute einen Softwarefehler bei Unifi im Zusammenhang mit der UXG ...

    Zitat von Hape

    Irgendwelche Ideen?

    Ich kann dir sagen wie ich es gemacht habe:


    - MiniPC mit OPNSense als Client ins LAN hinter die UDM-Pro gehangen

    - die hat dann als WAN-IP eben eine IP aus meinem Netzwerk bekomme

    - Mit dem Notebook dann ans LAN der OPNSense angeschlossen ( hab zweiten LAN-Adapter vom Macbook genutzt ) und darüber dann die OPNSense gelernt.

    - Nachdem ich dann die OPNSense soweit verstanden und konfiguriert hatte, hab ich die UDM-Pro rausgeworfen und gehen die OPNSense ersetzt und ich würde es heute wieder so machen.


    Warum UDM-Pro damals weg ? - Hardware so lala, Software war eine Katastrophe

    Was läuft aktuell bei mir

    - Fritzbox 6591 von Vodafone im BridgeModus

    - OPNSense auf eigenen Hardware

    - 24-Port Unifi-PoE-Switch

    - 8-Port PoE-Switch

    - 2x AC-Pro Access-Points
    - 10 VLAN's, 4 WLAN-SSD

    - der Unifi-Controller läuft meinem Proxmox

    Ich bin kein Freund davon, die OPNSense mit auf Proxmox zu installieren, ich will die Firewall vor meinem Netzwerk haben und nicht mitten drin. Zudem wäre ich da total limitiert mit Bandbreiten über die LAN-Schnittstellen

    Zitat von Tomcat

    Hardware so lala, Software war eine Katastrophe

    Damals war das auch meine Intension. :winking_face:

    Perfekt -> bei mir ist es ähnlich, nur ein Vigor 165 statt der FB. AP's habe ich ein paar mehr, dafür weniger VLAN.

    Zitat von Tomcat

    Ich bin kein Freund davon, die OPNSense mit auf Proxmox zu installieren, ich will die Firewall vor meinem Netzwerk haben und nicht mitten drin

    Auch hier kann ich dir vollkommen zustimmen.

    Zitat von Tomcat

    MiniPC mit OPNSense als Client ins LAN hinter die UDM-Pro gehangen

    - die hat dann als WAN-IP eben eine IP aus meinem Netzwerk bekomme

    Fast so ähnlich habe ich es bei mir auch gemacht.

    Zitat von Hape

    Na ja, seit dem Wechsel vom USG auf das UXG klappt z.B. die DynDNS-Funktion nicht mehr gut. Sobald ich das UXG Neustarte (aus welchem Grund auch immer) und vom ISP eine neue öffentliche IP bekomme, wird das nicht an meinen Sub-Domain-Provider weitergeleitet (duckdns)

    Wie bereits Tomcat schon sagte: Software .... naja


    Hape : Danke für deine Info. Dann sind aber die Beweggründe ähnlich wie bei Tomcat und mir. Die Lernkurve bei OpnSense ist sehr steil, aber wenn einmal eingerichtet, macht es Freude, läuft stabil und der Adminaufwand reduziert sich drastisch. Auf solche Kinkerlitzchen mit den Statistiken kann ich verzichten bzw. löse das ggf. über Home Assistant. Das Plugin funktioniert auch klasse im Zusammenspiel mit dem WoL Plugin auf der OpnSense. So kann ich PC, TVs und ähnliches per Wake On LAN starten. Bei mir auf der OpnSense läuft:


    HA Proxy, DynDNS, ACME (Lets Encrypt), OpenVPN, Wireguard, WoL (und was ich noch vergessen habe)


    dahinter auf Proxmox in LXC Containern


    Unifi Controller, Cloudflare Tunnel Connectoren, Adguard und noch vieles mehr... :smiling_face:


    Ich bereue den Schritt für fast 3 Jahren nicht im geringsten von der UDM Base zur OpnSense gewechselt zu sein.

    Zitat von Ronny1978

    Die Lernkurve bei OpnSense ist sehr steil, aber wenn einmal eingerichtet, macht es Freude, läuft stabil und der Adminaufwand reduziert sich drastisch. Auf solche Kinkerlitzchen mit den Statistiken kann ich verzichten bzw. löse das ggf. über Home Assistant. Das Plugin funktioniert auch klasse im Zusammenspiel mit dem WoL Plugin auf der OpnSense. So kann ich PC, TVs und ähnliches per Wake On LAN starten. Bei mir auf der OpnSense läuft:

    Ja, die Lernkurve ist extrem steil, ich komme zwar aus der IT, hatte vorher schon Firewall und Netzwerk zu tun, aber ne OPNSense ist was anderes als ne Sophos oder Juniper, aber am Ende finde die weit aus intuitiver zu konfigurieren, als damals die UDM, was Firewallregeln betrifft. Man muss sich einfach vorher ein Konzept überlegen, was will ich haben ( Netze, VLAN usw. ) und wer soll in welches Netz und mit wem kommunizieren dürfen oder nicht.


    HomeAssistant Integration funktioniert sehr gut, ich mache darüber sogar die Updates der OPNSense.

    Ich nutze aber bisher nur das Monitoring, so Sachen Abschaltung per Automatisierung von FW-Regeln per HomeAssistant mache ich nicht, da reicht mir die Möglichkeit das über OPNSense selber zumachen per cronjob.


    Wenn die Hardware der OPNsense genug Power hat, kann man auch problemlos z.b. AdGuard mit drauf laufen lassen, das mache ich, evtl. ich auch den Unifi-Controller darauf verschieben, das hatte ich sogar einige Zeit so. Funktioniert auch problemlos.


    Der Unifi-Controller läuft nur noch im Hintergrund, da logge mich höchstens mal ein, wenn ich einen Switchport auf ein anderen Profil legen will, aber sonst dümpelt der rum.


    Wenn scharf auf Statistiken ist:

    - Netflow bietet mit Insights genug Auswertemöglichkeiten bezüglich Trafficverteilung nach Protokollen oder Clients / IP's.

    Mir reicht das vollkommen, nutze ich höchstens mal bei ne Fehlersuche, weil z.b. mein HomeAssistant soviel Traffic macht um zu sehen mit wem der so kommuniziert.

    - NetData als Plugin liefert Echtzeitdaten, da wird man erschlagen, was der an Graphen baut, bei mir waren es an die 100 Stück,


    wem das nicht reicht:

    - Telegraf/InfluxDB/Grafana und man baut sich sein Dashboard selber

    - Zenarmor als Plugin als NextGen-Firewalling Tool und Auswertung dann per Elasticsearch usw. - dann wird es aber aufwendig und heftig, das sehe ich nur im professionellen Umfeld als sinnvoll an, zumal Zenarmor als Vollversion auch kostenpflichtig ist und die kostenlose Version ziemlich eingeschränkt ist.



    Und bereuen, die UDM-Pro rausgeworfen zu haben, habe ich keine Sekunde. Ich hatte damals massiv Problem mit dem Teil, die ist zweimal komplett getauscht worden, weil immer wieder Abstürze, dann haben viele Sachen nicht einwandfrei funktioniert, die eindeutig auf nicht ausgrereifte Software zurück zu führen waren. Ich hab mich da jeden nur noch drüber geärgert.

    Das ist jetzt über 2 Jahre her - ich hoffe das Unifi da mittlerweile mal besser geworden ist.


    Hatte ich Problem mit der OPNSense in der Zeit: ja einmal, das war ein Defekt der SSD.

    SSD raus, neue rein, Software vom USB-Stick neu installiert, Backup der Config vom Notebook draufgespielt, rebootet - fertig lief wieder.

    Einmal editiert, zuletzt von Tomcat ()

    Gefällt mir 1
    Zitat von Tomcat

    Man muss sich einfach vorher ein Konzept überlegen, was will ich haben ( Netze, VLAN usw. ) und wer soll in welches Netz und mit wem kommunizieren dürfen oder nicht.

    Gut gesprochen :smiling_face::thumbs_up:

    Zitat von Tomcat

    Wenn die Hardware der OPNsense genug Power hat, kann man auch problemlos z.b. AdGuard mit drauf laufen lassen, das mache ich, evtl. ich auch den Unifi-Controller darauf verschieben, das hatte ich sogar einige Zeit so. Funktioniert auch problemlos.

    Hat ich auch. Hat auch problemlos funktioniert. Ich bin aber dann aus Sicherheitsgründen wieder davon abgerückt.

    Zitat von Tomcat

    Abschaltung per Automatisierung von FW-Regeln per HomeAssistant mache ich nicht

    Mache ich auch nicht. Das soll schön die Firewall machen. Aber WoL ist "geil", weil es zuverlässiger funktioniert, wie der Dienst bei HA. Und die Firewall soll ja in alle Netze schicken können.

    Zitat von Tomcat

    SSD raus, neue rein, Software vom USB-Stick neu installiert, Backup der Config vom Notebook draufgespielt, rebootet - fertig lief wieder.

    :thumbs_up: