ich plane zurzeit den Netzwerkaufbau in einem Mehrgenerationenhaus. Das unterste Stockwerk wird von Familie A bewohnt, die beiden oberen Stockwerke von Familie B. Der Hausanschluss befindet sich im untersten Stockwerk, von dort aus werden Lankabel in jedes Stockwerk gelegt. In jedem Stockwerk wird es im Flur einen Access Point geben, der mit je einem Lankabel verbunden ist.
Meine Anforderungen an das Netzwerk wären folgende:
Jede Familie soll ihr eigenes WLAN sowie Gast WLAN besitzen.
Netzwerkweites Ad- & Trackerblocking auf DNS-Ebene.
Es soll möglich sein, eine VPN-Verbindung aufzubauen, man sollte dabei aber keinen Zugriff auf die internen Geräte (Drucker, PCs etc.) haben.
Familie B hat einige Netzwerkgeräte (z.B. ein NAS mit Nextcloud). Familie A sollte auf diese nach Möglichkeit keinen Zugriff haben).
Ich finde den von Mike Kuketz skizzierten Netzwerkaufbau sehr interessant (siehe Netzwerkaufbau im Heimnetz. Nehmen wir mal an, ich baue das Netzwerk so auf.
Anforderung 1 sollte sich dadurch erfüllen lassen, indem man verschiedene WLANs in den Access Points erstellt. Ist das soweit korrekt?
Adblocking würde durch OpenWRT gemacht werden.
Für das VPN wäre in dem Fall der erste Router zuständig, damit hätte man auf keinen Zugriff auf Netzwerkgeräte, sofern diese nicht am ersten Router angeschlossen sind. Gäbe es hier eine Möglichkeit, Adblocking auf für VPN-Verbindungen zu realisieren? Ich könnte mir hier einen Pi-Hole vorstellen, der im ersten Router als DNS konfiguriert wird. Allerdings hätte man dann im internen Netz doppeltes Adblocking.
Bei Anforderung 4 habe ich noch ein Fragezeichen. Wenn ich das NAS direkt an den OpenWRT-Router anschließe, müsste Familie A darauf Zugriff haben. Wie könnte ich das verhinden?
Gibt es aus eurer Erfahrung noch Punkte, die man beachten sollte, gerade, wenn mehrere Familien sich ein Netzwerk teilen?
P.S.: Mehrere Hausanschlüsse sind keine Option, beide Familien teilen sich sowohl einen Anschluss, als auch einen Internetvertrag.
Auf die schnelle: Hinter einer Fritzbox würden ich einen Firewall/Router mit Opnsense setzen und dann die entsprechenden VLANs konfigurieren. An diese FW/Router würde ich dann einen Switch mit PoE Ports setzen, von der aus du alle Etagen versorgst und an den du dann Access Points direkt dran hängst. Filtern (AdBlocking) und VPN kannst du somit zentral machen. Wenn die Verfügbarkeit wichtig ist, dann könntest du die Opnsense auch redundant aufsetzen, bräuchtest dann aber einen zweiten Internetzugang, eventuell über 4G/5G Modem. Eine UPS wäre vielleicht auch notwendig.
Ok, das klingt doch schon mal gut, vielen Dank für eure Einschätzungen. Dann scheint wohl eine Firewall auf Opnsense-Basis das Mittel der Wahl zu sein.
Ein paar Rückfragen dazu hätte ich:
Ich konfiguriere dann die VPN-Verbindung direkt auf der Opnsense-FW, richtig? Da gibt es ja auch eine Anleitung hier im Forum.
Das Adblocking geschieht dann ebenfalls auf Opnsense. Hierzu würde sich laut meiner schnellen Recherche Adguard Home anbieten. Soweit korrekt?
Für Familie A und B erstelle ich jeweils ein eignes VLAN, sodass ich dann insgesamt 2 habe. Pro VLAN erstelle ich ein WLAN und ein Gäste WLAN. Ist der VPN-Zugang dann auch ein eignes VLAN, oder muss ich nur einstellen, dass man per VPN keinen Zugriff auf die beiden VLANs hat?
Wie verhält es sich mit den Access Points? Kann ich die APs dann in Opnsense jeweils einem VLAN zuordnen?
Soweit zu den Einstellungen. Ein paar Fragen hätte ich noch zur Hardware:
Der Switch sollte auf VLAN unterstützen. Ist es hier wichtig, einen Switch zu nehmen der Layer 2 und 3 unterstützt? Wie ist hier eure Erfahrung?
Könnte man auch mit zwei Switches arbeiten? Einen „normalen“ und einen mit PoE für die Access Points?
Sinn und Zweck der VLANs ist es ja, dass du die Netzwerke trennst, sprich dass Familie A nicht ins Netz von Familie B kommt. Und Gäste sollten grundsätzlich in einem abgeschotteten Netz sein.
Ja. Es gibt aber auch Switches, bei denen nicht alle Ports PoE fähig sind. Die Ubiquity Access Points kommen (bzw. kamen vor ein paar Jahren) mit sogenannten PoE Inyectors, d.h. man steckt das Netzwerkkabel das vom nicht PoE fähigen Switch kommt, in eben diesen PoE Inyector, an das das mitgelieferte Netzwerkkabel angeschlossen wird und eben das PoE fähige Gerät wie WLAN Access Point.
[/quote]
Geräte, die über VPN verbunden sind, befinden sich in einem eigenen Netzwerk. Das ist auch gut so, da man so den Zugriff auch differenter gestalten kann. Die entsprechende IP richtet man bei der Konfiguration ein
Ja, das ist möglich. Ich empfehler hier WireGuard, aber auch IPSec und OpenVPN sind möglich.
Adguard kann auf der OPNSense installiert werden, das ist korrekt.
@Huetchenspieler : Was das Thema Hardware für Opnsense angeht so wurde das bereits hier im Forum diskutiert.
Mein Vorschlag wäre, dass du erst einmal anfängst und mit Opnsense ein Labornetzwerk aufsetzt, an den Router hängst und eine Basiskonfiguration (zwei VLANs konfigurieren und VPN) zum Laufen bringst und die gewünschten Szenarien testest. Nichts ist schlimmer als zu viel auf einmal zu konfigurieren und wenn es dann nicht funktioniert frustriert eine Ewigkeit nach dem Fehler zu suchen.
Dazu musst du den Router des ISP auch anfassen, falls du VPN am Opnsense terminieren willst (was ich machen würde).
Erst wenn das funktioniert würde ich Schritt für Schritt das System erweitern.
Um zu sehen, welche Geräte in den einzelnen VLANs zu sehen sind bzw. dass nicht Familie A auf Geräte von Familie B zugreifen kann, würde ich nmap nehmen und das Netzwerk scannen. Alternativ oder wenn dir nmap nicht liegt kannst du auch den Angry IP Scanner nehmen.
Und noch etwas aus eigener Erfahrung. Besorge (kaufen oder leihen) dir einen Kabeltester, sodass du weißt, dass die Verkabelung passt, bevor du Geräte anschließt. Und immer schön das ganze dokumentieren.
Das NAS musst du in das VLAN der Familie A hängen hängen, dann kann Familie B nicht darauf zugreifen solange du nicht eine entsprechende Route zwischen den VLANs setzt.
Vielen Dank euch beiden für die bisherigen Antworten, das war schon sehr hilfreich.
Ok, sehr guter Vorschlag, werde ich so machen.
Was genau muss ich am ISP Router dann machen? Und was genau bedeutet, dass das VPN am Opnsense terminiert (Die Bedeutung der Worte ist mir klar, nur was das genau technisch bedeutet, nicht )
Genau, soweit so klar. Eigentlich wollte ich das NAS mit dem Router und den Switch in den Netzwerkschrank stellen. Wenn ich aber jetzt das NAS direkt an den Router hänge, dann müsste ja jeder darauf Zugriff haben, weil der Router die VLANS ja nicht kennt, das tut ja nur Opnsense, oder verstehe ich hier noch etwas nicht richtig?
Eine Alternative wäre bspw. das NAS direkt in das OG von Familie B zu stellen und an eine LAN-Dose anzuschließen, dann wäre es sicher im VLAN von Familie B.
Jeder „ISP-Rouer“, eigentlich ein DSL-Modem und Router in einem ;), verfügen über eine Firewall. Diese lässt in der Standardkonfiguration keine Zugriffe von außen zu. Dein ISP-Gerät muss jedoch die von außen kommende Verbindung an deine OPNSense weitergeben, da sie sonst die Anfrage blockiert.
Auch dein NAS kennt die VLANs nicht. Computer, Smartphones, IoT, NAS etc. können mit VLANs nichts anfangen. Daher müssen sie immer an einen Port, der nicht getaggt ist. Wo jetzt das NAS steht, spielt zunächst keine Rolle. Wichtig ist, dass die LAN-Buchse das entsprechende VLAN ausspuckt. Wenn der Switch VLAN-fähig ist, kann ein Port ja zusätzlich für das VLAN der Familie B getaggt werden. So kann das NAS nur von diesem erreicht werden.
Und als kleiner Hinweis: Solltest du über Kabel das Internet beziehen, könnte es je nachdem knifflig werden.
)