[Kaufberatung] Heimnetz Unifi vs Mikrotik

Moin,

ich habe ein größeres Mikrotik-Setup zusammen mit OPNSense am Start. Mit Gästenetz, Videoüberwachung, IDS/IPS, Sensei-Monitoring und allem anderen Gefimmel wie 10 GBit/s usw.

Zuallerst: Wenn du dich nicht wirklich gut mit Mikrotik auskennst, dann benutze MT nicht als Firewall. Die Konfiguration ist hier aufwendiger und verzeiht selten Fehler. Zudem sind andere Lösungen für den Heimgebrauch deutlich flexibler und besser angepasst. Erfahrungen mit PFSense hast du ja, daher würde ich folgendes empfehlen: Eine Appliance mit OPNSense als Firewall, dahinter Netzwerk per MT. OPNSense ist schön, schmal, flexibel und angenehmer als PFSense, und bringt an einigen Stellen moderne Technik mit (IPSEC VPN mit IKEv2, läuft ohne Clientsoftware, nice).

Was hast du denn für Internet ? DSL an der Fritzbox, oder Kabel ? Bei OPNSense/PFSense/MT empfiehlt sich immer ein reines DSL oder Kabelmodem. Bei DSL z.B. den Draytek Vigor 130 (<= 100 MBit/s) oder den Vigor 165 (<= 250 MBit/s). Kabelmodems sind schwieriger, aber hier ist das Technicolor TC-4400 EU ein Tipp.

Mein Setup sieht ungefähr so aus, paar kleine Switche fehlen.
Mikrotik_Plan.jpg
Im Keller befindet sich der erste kleine Switch mit Firewall und dem NAS. Von dort aus geht per Kupfer 10 GbE in das Erdgeschoss zum 24 Port Mikrotik, und weiter in den 1. Stock, dort auch ein 24-Port Mikrotik. Außen am Haus hängt noch ein WAP LTE, der ohne Benutzereingriff im Falle eines Ausfalls des kabelgebundenen Internets innerhalb von Sekunden übernimmt. Allerdings nur Web/Mail, keine Streaming/Download etc. Geschichten, da sonst das Inklusivvolumen ruckzuck weg wäre. Sonst hängt auf jedem Stockwerk ein HAP AC (2.4/5 GHz WLAN), da reicht einer pro Stockwerk (ca. 100m² Fläche) - in den entferntesten Ecken gehen noch so 40-50 MBit/s per WLAN durch. Das ganze läuft einwandfrei seit über einem Jahr, wichtig war mir hier vor allem die 10 GbE Verbindung vom 1. Stock zum Serverraum im Keller, das hier auch 10 GbE durchgehen trotz der relativ alten CAT 5e Verkabelung.
Läuft:
speed.PNG
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ich habe "nur" 100/40 wovon ich ca. 90/35 bekomme.

Sowohl Mikrotik als auch ubqt sind als Router raus. Ich bau mir was auf X86. Ein MITX 1.5U Case habe ich schon auf Ebay geschossen, was ich noch etwas umbastel.

Gerne würde ich auf der Kiste auch ggf. nen unifi controller laufen lassen und, wenn audited dann auch gerne Wireguard. Neben pfsense opensense geht vlt. auch linux. Wobei komplette Anleitungen mit ipv6 und vlans und dann noch mit dem "neuen" nftables nicht zu finden sind.
Mit den sense Systemen müsste man dann wohl vm nutzen, um die erstgenannten Sachen möglich zu machen.

Edit: und ich brauche leider weiter die Fritzbox für Festnetz. Meine Frau will einfach nicht drauf verzichten, obwohl sie aufm Handy flatrate hat...
 
Zuletzt bearbeitet:
Simaryp schrieb:
Mit den sense Systemen müsste man dann wohl vm nutzen, um die erstgenannten Sachen möglich zu machen.

Edit: und ich brauche leider weiter die Fritzbox für Festnetz. Meine Frau will einfach nicht drauf verzichten, obwohl sie aufm Handy flatrate hat...
Zum Vergrößern anklicken....

Wie kommst du da drauf ? VLANs und Co. gehen bei pfSense ootb. Wenn du Wireguard ausprobieren möchtest, kannst ja immer noch auf die CLI gehen, oder OPNSense nutzen.
pfSense ist von den Beiden eben die "konservativere" Plattform, da wird eher auf Lösungen von Problemen im FreeBSD Upstream gewartet als selbst drin rum zu frickeln, bei OPNSense akzeptiert man auch eigene Patches und Fixes (siehe DS-Lite Patch)
 
Das VLANs gehen weiß ich. Aber ich hab unifi als AP noch nicht ganz ausgeschlossen. Die controller software könnte ich unter linux einfach laufen lassen. Unter BSD geht das nicht. Wireguard ist schon im Kernel bei Linux. Aber vlt. sollte ich wirklich mit fertig distros starten, bis ich da firm bin.
 
@Azrael_ct Warum nutzt du denn hap ac anstatt cap ac?

Ich habe auch noch mal recherchiert, dass bei opnsense wohl wireguard als auch unifi controller gehen.

Im mikrotik reddit oder Forum habe ich halt gelesen, dass manche schon mit eonfachen Holzwänden Probleme bekommen mit dem cap ac. Bei mir gibt es Trockenbauwände und armierten Beton. Unifi wird für das WLAN immer über den Klee gelobt.
Der Preisunterschied zwischen nem unifi nano HD und nem cap ac stört mich jetzt nicht so. Muss ja erst mal nur einen installieren.

Achso, ich habe übrigens nochkeine Erfahrung mit pfsense. Bislang beschränkt sich all mein Wissen zum Thema Netzwerken auf YouTube und Foren.
 
Simaryp schrieb:
Das VLANs gehen weiß ich. Aber ich hab unifi als AP noch nicht ganz ausgeschlossen. Die controller software könnte ich unter linux einfach laufen lassen. Unter BSD geht das nicht. Wireguard ist schon im Kernel bei Linux. Aber vlt. sollte ich wirklich mit fertig distros starten, bis ich da firm bin.
Zum Vergrößern anklicken....
Wieso willst du die AP-Software auf der Firewall laufen lassen ? VPN, Ok, kann man drauf laufen lassen, aber den SDN Controller kannst doch auch einfach auf deinem Server rennen lassen ?
Ich hab den auch bei mir aufm ESXi laufen und nicht auf der pfSense.
Bleib einfach bei irgendeinem Firewall-OS: DD-WRT, IPFire, OPN/pfSense, usw. und fang nicht an, direkt mit Linux rum zu frickeln, wenn deine Erfahrungen hierzu gegen Null gehen. Du hast dadurch keine bessere Sicherheit oder Freiheit wie mit einem IPFire/pfSense, die machen mit ihrer GUI dasselbe, benutzen unter der Haube auch nur pf bzw. iptables/nftables, die haben da keine eigenen Packetfilter geschrieben. Wenn du willst kannst du auch da auf der CLI händisch Regeln anpassen bzw. definieren (werden dann halt nicht in der GUI übernommen).
 
Der Server soll nicht 24/7 laufen. Ich dachte der controller sollte 24/7 laufen.

Ich habe auch schon Vorschläge bekommen, den Server mit als router zu benutzen, aber ohne das begründen zu können, fühlt es sich unsicher an den Server und die Firewall, die den mit beschützen soll auf einer Hardware zu haben.

Vlt. läuft aber auch der Server doch 24/7, wenn es zu viel Gefrickel ist. Ich hab schon mal grob darüber gelesen, wie man S3 einrichtet, damit der Server für TVHeadend aufnahmen wieder aufwacht. Das ist alles etwas hacky.

Hier mal was exemplarisches, was ich finde, wenn ich mich zu MikroTik AP informieren möchte:
forum.mikrotik.com

hAP ac^2 Problems---Extremely Poor Performance found in 2.4G and 5G WiFi

Someone has removed the word “SOLVED” from the thread title. 2 May 2018 As requested by one of Forum member, I add “Not” solved in the heading. https://forum.mikrotik.com/viewtopic.php?f=7&t=132648&start=200#p658634 YH 1st May 2018 The WiFi issues on hAP ac^2 for both 2.4GHz and 5GHz were...
forum.mikrotik.com forum.mikrotik.com

Das hinterlässt einfach keinen guten Eindruck. Das man bei MikroTik auf autoconfigs verzichten sollte und besser alles manuell einstellt, stört mich nicht. Aber sowas ist ärgerlich.

Beim Switch wirds wahrscheinlich doch der CSS, ich bin ein bisschen scharf drauf das mit SFP+ hin zu kriegen und mir nie wieder Gedanken über Bandbreite im VLAN machen zu müssen.

Leider habe ich von den Connectx-2 Karten von Problemen sowohl unter BSD als auch Linux gelesen. Die connectx-3 waren dann meist die Lösung. Leider finde ich die nicht günstig. Ich könnte natürlich ne Singleport Karte fürs LAN nehmen und ne zweite NIC oder den Port des Boards für die WAN Seite. Wenn ich es richtig verstehe, dann geht der ganze genattete Traffic ja eh über fie CPU und damit wäre es egal, ob die interfaces auf einer Karte hängen oder nicht. Oder habe ich da was übersehen? Für die WAN seite werde ich wohl sehr lange nicht mal GBit/s brauchen.
 
Man kann sich auch tot lesen...ich habe CX2 und CX3 Karten, und beide machen keine Probleme unter ESXi. Und wenn es ESXi frisst, dann fressen es auch BSD und Linux.
Du wirst im Internet immer mehr negative als positive Berichterstattungen lesen können, gerade bei technischen Geräten. Ich hab auch den AC-HD daheim und bin nicht vollumfänglich zufrieden bzw. hätte mir mehr erwartet, man liest auch bei Unifi von Problemen, gerade beim seemless Handover. Mein Arbeitskollege hat sein Haus nur mit Mikrotik ausgerüstet (CCR, CRS Switch, hAP ACs, LTE Modem. usw.) und hat bisher nur positives berichtet. Ich kann die IGMP-Problematik auch nicht so ganz nachstellen bei meinem CRS326 (SwOS 2.9)...

Bzgl. Switch würde ich den CRS nehmen, der hat, neben der Möglichkeit, RouterOS drauf laufen zu lassen, auch einen seriellen Port und kostet nicht viel Aufpreis.

Man kann auch einen Linux-Server <20 W idle bekommen, dazu muss man ihm zum Stromsparen nicht unbedingt in den Deep Sleep versetzen. Außer natürlich die 10-20 W sind dir auch zu viel...
 
Hmm ja, ich bin tatsächlich vom Typ her ein schlimmer Optimierer und belese mich vorher immer sehr viel. Das ist ein bisschen umständlich, andererseits kaufe ich dann auch nicht unüberlegt Mist (Naja zumindest nicht häufig :d).

Wegen der NIC ist für mich immer noch ein großes Problem unklar, was ich ein paar Posts vorher schon mal geschrieben habe. Die Celeron J Boards haben nicht so super viele PCIe lanes. Die MITX haben meistens wenn ein elektrischer PCIe2 x16 vorhanden ist nur 2 Lanes. Das bedeutet, wenn ich nach https://de.wikipedia.org/wiki/PCI_Express gehe, ich habe an dem Slot nur eine Bandbreite von insgesamt 8Gbit/s , bei gleichzeitigem Verkehr zur CPU hin und zurück wohl nur 4Gbit/s.
Die erste Frage ist, funktioniert zum Beispiel eine MCX312A-XCBT überhaupt an dem Slot? Wenn nicht, hat sich das sowieso erledigt. Wenn das doch gehen sollte, liege ich dann richtig mit der Annahme, dass ich dann ca. 4Gbit/s zwischen den VLANs routen kann, abzüglich zwei mal des Traffics, der über den WAN Slot geht? (Zwei mal, weil hin zur CPU und zurück.)

hAP ACs haben mehr Verbindungen und eine höhere Bandbreite als die cAP ACs richtig? Was spricht für die hAP ACs gegenüber den wAP ACs? Letztere sehen zumindest ein bisschen ansehnlicher nach AP aus.

Bezüglich des Switches stimmst du mir aber zu, dass er als Switch unter SwitchOS performanter ist oder? Was für ein Vorteil bringt mir der Serielle Port gegenüber den Config-Möglichkeiten per LAN? Sind zwar nur 40€ Aufpreis, aber immerhin ~30%.

Der Server wird durch 4HDDs bestimmt bei 35W IDLE landen. Die Platten haben ja schon alleine ca. 20W IDLE. Das ZFS Volume mit WD White in den Schlaf zu bringen, ist glaube ich auch kein Nobrainer.
 
Simaryp schrieb:
Die MITX haben meistens wenn ein elektrischer PCIe2 x16 vorhanden ist nur 2 Lanes. Das bedeutet, wenn ich nach https://de.wikipedia.org/wiki/PCI_Express gehe, ich habe an dem Slot nur eine Bandbreite von insgesamt 8Gbit/s , bei gleichzeitigem Verkehr zur CPU hin und zurück wohl nur 4Gbit/s.
Zum Vergrößern anklicken....
Lies Wiki bitte nochmal genau!

PCIe ist vollduplexfähig (dual-simplex) und arbeitet je nach Version mit 250, 500, 985, 1969 oder 3938 MB/s pro Lane und Richtung.
de.wikipedia.org

PCI Express – Wikipedia

de.wikipedia.org de.wikipedia.org
 
Ok danke, dann ist das mit dem x2 Quatsch. Wie sieht es ansonsten mit den Fragen und meinem Verständnis aus?
 
Simaryp schrieb:
Der Server soll nicht 24/7 laufen. Ich dachte der controller sollte 24/7 laufen.
Zum Vergrößern anklicken....
Wenn du kein Gastportal am laufen hast gibts da eigentlich keinen Grund dazu. Ich mach meinen Container, jetzt wo die USG weg ist auch nur noch an wenn ich was umkonfigurieren will/Upgrades mache. Reicht völlig aus.
 
Was meinst du mit Gastportal? Nicht das normale Gästenetzwerk oder?
 
Simaryp schrieb:
Hmm ja, ich bin tatsächlich vom Typ her ein schlimmer Optimierer und belese mich vorher immer sehr viel. Das ist ein bisschen umständlich, andererseits kaufe ich dann auch nicht unüberlegt Mist (Naja zumindest nicht häufig :d).

Wegen der NIC ist für mich immer noch ein großes Problem unklar, was ich ein paar Posts vorher schon mal geschrieben habe. Die Celeron J Boards haben nicht so super viele PCIe lanes. Die MITX haben meistens wenn ein elektrischer PCIe2 x16 vorhanden ist nur 2 Lanes. Das bedeutet, wenn ich nach https://de.wikipedia.org/wiki/PCI_Express gehe, ich habe an dem Slot nur eine Bandbreite von insgesamt 8Gbit/s , bei gleichzeitigem Verkehr zur CPU hin und zurück wohl nur 4Gbit/s.
Die erste Frage ist, funktioniert zum Beispiel eine MCX312A-XCBT überhaupt an dem Slot? Wenn nicht, hat sich das sowieso erledigt. Wenn das doch gehen sollte, liege ich dann richtig mit der Annahme, dass ich dann ca. 4Gbit/s zwischen den VLANs routen kann, abzüglich zwei mal des Traffics, der über den WAN Slot geht? (Zwei mal, weil hin zur CPU und zurück.)

hAP ACs haben mehr Verbindungen und eine höhere Bandbreite als die cAP ACs richtig? Was spricht für die hAP ACs gegenüber den wAP ACs? Letztere sehen zumindest ein bisschen ansehnlicher nach AP aus.

Bezüglich des Switches stimmst du mir aber zu, dass er als Switch unter SwitchOS performanter ist oder? Was für ein Vorteil bringt mir der Serielle Port gegenüber den Config-Möglichkeiten per LAN? Sind zwar nur 40€ Aufpreis, aber immerhin ~30%.

Der Server wird durch 4HDDs bestimmt bei 35W IDLE landen. Die Platten haben ja schon alleine ca. 20W IDLE. Das ZFS Volume mit WD White in den Schlaf zu bringen, ist glaube ich auch kein Nobrainer.
Zum Vergrößern anklicken....

Ne x8 Karte sollte in einem x8/x16 Slot laufen, x8 2.0 Lanes würden dafür theoretisch auch ausreichen. Warum holst du dir hier nicht ein reguläres µATX S1151v2 Board mit C242/C246 ? So teuer sind die nicht und du kannst später die CPU upgraden und mit einem Pentium Gold starten. Stromsparend ist so ein System ebenfalls, guckst du hier: https://www.hardwareluxx.de/communi...ysteme-30w-idle.1007101/page-57#post-27072334

Warum möchtest du eig. 4 Gbit/s Inter-VLAN Routing ? Gib den VMs zwei NICs und lass eine davon im LAN, dann muss überhaupt nichts groß geroutet werden, außer Richtung WAN bzw. ins Gäste oder IoT VLAN. Da musst du dann auch nicht so hohe Bandbreiten routen können.

Nein, der Switch ist unter SwOS nicht performanter, denn auch unter RouterOS nutzt das Switch fürs Switching den ASIC, und nicht die CPU. Die wird nur fürs Routing und Anderes benötigt (IGMP vermutlich, und natürlich dann so Späße wie MPLS/BGP/... die du zuhause eh nicht brauchst). Beim seriellen Ports kannst zumindest unter RouterOS noch dran wenn du dich mal ausgesperrt haben solltest. Beim CSS326 bleibt da nur der Reset-Knopf und alles auf Anfang. Für 40 € würde ich da nicht lange überlegen, oder hast du vor, in 2 Jahren wieder ein neues Switch zu kaufen ? Achja, du kannst auf dem CRS326 auch den CAPsMAN laufen lassen, also den Mikrotik WLAN-Controller.
 
Zuletzt bearbeitet:
Ein C246 Board plus i3 nehme ich für meinen Server. Für den Router, wollte ich was billiges nehmen. Das J4105B-ITX kostet unter 80€ und hat mehr als genug Power. Ein Pentium Gold fängt bei 50€ an, C242/6 bei 160€. Das ist fast so viel, wie ich für das ganze System brauche.

Meinst du pro VLAN ein NIC? Dann bin ich aber auf 3 VLANs beschränkt. Ich weiß nicht, wie viel Inter-VLAN Routing ich brauchen werde. Vermutlich Null, wenn ich es richtig mache. Dann könnte ich auch einfach nur einen einzelnen Gb Port nehmen und der wäre ewig ausreichend. Das einzige, wo ich denke, dass ich Inter-VLAN Routing wirklich brauche und es Sinn machen würde, wäre wenn ich den Drucker in ein VLAN packe und dann nur den Traffic über die fürs Drucken und Scannen benötigten Ports freigebe, Ansonsten würde ich eher Gruppen von Geräten machen, die miteinander reden müssen und sollen oder wo es mir egal ist. Der wirkliche Vorteil von den 10 (oder dann halt 8) Gb/s wäre, dass selbst der bescheuertsten Idee, wie ein VLAN für jedes einzelne Gerät, die Bandbreite wohl noch reichen würde.

Wahrscheinlich würde ich stärker davon profitieren, dem Server ein 10Gb NIC zu spendieren. Denn dann könnten mehrere Clients gleichzeitig mit 1Gb Lesen und Schreiben.
 
Simaryp schrieb:
Was meinst du mit Gastportal? Nicht das normale Gästenetzwerk oder?
Zum Vergrößern anklicken....
Ein Wireless-Network als Guest-Network läuft natürlich grundsätzlich auch ohne Controller, willst du dafür aber ein Captive Portal haben muss der Controller laufen, das das davon gestellt wird.
 
Die HAP ACs habe ich statt den CAP ACs, da die mehr Chains für 5 GHz WLAN haben. Ist aber lediglich Geschmackssache. Die Unifis möchte ich irgendwann auch einmal ausprobieren, aber bislang hatte ich mit dem Mikrotiks überhaupt keine Probleme - auch nicht mit der Reichweite. Für ein anderes Projekt habe ich 4x WAP AC, und die decken knapp 800m² ebenflächig ab, auch mit Trockenbauwänden dazwischen.

Die ConnectX-2 läuft auch unter Freebsd / PFSense / OPNSense, muss aber eigenständig aktiviert werden (mlx4en_load="YES" in /boot/loader.conf.local). Also an sich alles gar kein großes Problem. Bei PFSense oder OPNSense würde ich die OPNSense empfehlen, die hat alleine schon die modernere GUI und ist nicht so unübersichtlich wie die PFSense. Funktionstechnisch ist alles einigermaßen gleich, bei OPNSense sind die Pakete und Funktionen teils neuer.
 
Dann wäre das hier https://www.ebay.de/itm/Mellanox-Co...-Port-Server-Adapter-/142768131382?nav=SEARCH wohl die beste Lösung für meinen Debian Server?

Vlt. bekomme ich für den Router günstig eine 430-T4. Wäre auch erst mal ok denke ich. Ansonsten könnte ich den Realtek onboard Anschluss für WAN nehmen und eine zweite X2 als LAN.

Die WAP scheine ja sehr ähnlich zu hAP zu sein. Kennt jemand einen Vergleich zur 7590? Damit man nen Anhaltspunkt hat?
 
Warum muss dein Router unbedingt eine 10G NIC haben ? Über WAN bekommst du doch eh nicht mehr als 100 Mbits, deiner Aussage nach. Und für ein separates Gäste-WLAN und IoT-WLAN und ne DMZ braucht man doch keine 10G ?! Würde damit nur deinen Server ausstatten und mit einem DAC an einen 10G-Switch stecken, bei Bedarf später noch einen Rechner/Workstation ebenfalls per 10G an den Switch.

Es wäre für dich, sowohl von den Anschaffungskosten her, als auch von den laufenden Kosten betrachtet, besser, in einen richtigen (gebrauchten) Enterprise-Switch zu investieren, wenn du unbedingt 10G routen können willst. Wie gesagt, mein genannter Brocade 6450-24P könnte 10G im ASIC routen, und zwar locker aus der Hüfte, ohne großartigen Mehrverbrauch beim Strom. Dein geplanter Celeron + pf/OPNSense dürfte da ganz schön beansprucht werden.

Mein Vorschlag: schlag dir den 10G Gedanken bei deiner Firewall aus dem Kopf, bleib erstmal bei 1G und der Kombi pf/OPNSense auf Celeron + Mikrotik Switch (CSS326/CRS326). 10G kannst ja in der Firewall noch nachrüsten, zur Not auch mit der 10GBase-T Karte von Asus.
 
Zuletzt bearbeitet:
Ok, wahrscheinlich hast du recht, aber beim Server könnte es doch Sinn machen oder wäre da ein LACP vorzuziehen, wenn ich beim Mikrotik Switch bleibe?

Leider ist das für 6€ gar nicht die Karte...
 
Zuletzt bearbeitet:
Evtl könnte für dich auch erstmal LACP mit 2x 1 Gbits genügen. Kannst beim Mikrotik ja immer noch auf 10G aufrüsten, falls Bedarf besteht.
 
Für den Router hat sich das Thema 10Gbit/s erst mal erledigt, habe gerade auf ebay eine I340-T4 ersteigert, für einen akzeptablen Preis von knapp unter 20 inkl. Versand. Da das Board für den Server zwei LAN Ports hat, mache ich das für den Anfang damit.

Habt ihr nen Tip für die Adressräume? Wahrscheinlich sollte ich was nehmen, was nicht standard ist, wegen Kollisionen bei VPN. Bislang habe ich 192.168.199.0/24 genommen. Wahrscheinlich kann ich alles wild mischen, solange ich die ersten 16 Bit für private Adressen nehme, nicht wahr.
 
OPNSense/PFSense/Mikrotik und wahrscheinlich andere auch erlauben dir freie Adressvergabe für VPN-Clients, von daher kein Problem. Ich nehm gern das 10.0.0.0/8, aber ob das jetzt ein 192.168.0.0/16 ist, oder was anderes - wayne ;)
 
Ah, 10. ist auch privat. Habe dazu auch das hier gefunden https://www.secantcorp.com/wp-content/uploads/2017/11/secant_ip_addressing_vlan_numbering.pdf, so groß wird mein Netz nicht, aber ein Schemata kann ja nicht schaden.

Das mit der IP Kollision im VPN ist doch eigentlich nur ein Problem, wenn ich nicht den ganzen Traffic tunnele oder? Weil ansonsten verbinde ich mich mit dem Gateway und baue ja den Tunnel mit der öffentlichen IP meines Routers auf. Danach gehen alle IP-Anfragen durch den Tunnel und erreichen lokale Geräte im Fremdnetz nicht, falls die gerade zufällig den gleichen Adressraum nutzen, oder? Das ist wahrscheinlich auch eher ein Problem, wenn man zwei Netze miteinander verbindet, als wenn man als Roadwarrior nach Hause telefoniert.

Edit: Und an die OPNSense user, gibt es mittlerweile sowas wie pi-hole pfblockerNG auch unter OPNSense?
 
Zuletzt bearbeitet:
192.168.0.0/16 ist keine RFC1918 Adresse, 10.0.0.0/8, 172.16.0.0/16 oder 192.168.0.0/24
Ich muss meine Aussage revidieren, korrekte RFC1918-Adressräume wären 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16 ;)

Beim Aufbau des VPN-Tunnels wird ein virtueller Adapter erzeugt/benutzt, der braucht für Konnektivität natürlich auch eine IP-Adresse. Der unterhält sich dann mit dem virtuellen Adapter der Gegenstelle, die ebenfalls eine IP benötigt. Diesen Adressraum meinte bestimmt @Azrael_ct
 
Ok, machen wir das konkret, dann geht es leichter. Aktuell leitet mein router den udp Port an meinen VPN Server mit der IP 192.168.199.4 weiter.
Angenommen ich bin mit meinem Laptop in einem fremden Netzwerk mit 192.168.199.0/24 und es gibt dort auch die .4 und .1 ist in beiden das Gateway. Wenn ich meinen kompletten Traffic tunnele, gibt es dann ein Problem?
 
Das gibt ein Problem, und dafür gibt es auch keine schöne Lösung - Das Subnetz von Client- und Zielnetwerk sollte verschieden sein. Wenn es in deinem lokalen Netz als auch im Zielnetz bspw. die 192.168.0.100 gibt (VPN-Subnetz ist hier egal, das ist z.B. 192.168.199.1) kann nicht so einfach unterschieden werden, auf welches Netz du bei einem Zugriff auf die 192.168.0.100 hinaus willst. Es gibt zwar eklige Workarounds (z.B. extra NAT, Static Route), aber im Grunde ist es hier das einfachste die Situation zu vermeiden. D.h. auf die ganzen Standard-Subnetze wie 192.168.0.0/24, 192.168.1.0/24, 192.168.178.0/24, ... verzichten und lieber was ungewöhnliches nehmen.
 
Von dem grundsätzlichen Problem weiß ich, daher auch die 199. Ich hoffte bloß, das sei eher ein Problem, wenn man in briden Netzen arbeiten möchte und für Pakete, die in den Tunnel gehen irrelevant.
Aber dann ist es vlt. doch sinnvoll beim Wechsel auf VLANs ebenfalls "exotische" Adressräume zu nehmen und nicht sowas wie 10.0.10.0/24 + 10.0.20.0/24 etc. was vlt. in nem Tutorial oder Handbuch vorgeschlagen wird.
 
Das Schlimmste was passieren kann, der Traffic geht durch deinen lokalen Adapter anstatt durch den Tunnel, du erreichst das fremde Netz also einfach nicht, weil deine Routingtabelle einem direkt anliegenden Netz üblicherweise Priorität einräumt, außer du setzt durch die VPN Konfig eine Route mit niedrigerer Metrik. Wobei ich nicht weiß, ob der lokale Adapter nicht doch die höchste Priorität genießt. So einen Fall hab ich noch nie ausprobiert. Ich weiß nicht wie viel Pech man haben müsste, zwei Adresspools außerhalb von Standardnummern zu erwischen, die dann ausgerechnet identisch sind.
 
Anmelden, um zu antworten.

Ähnliche Themen

Shihatsu
Idee: Stückwerk aus Dual-OPNsense mit unbound, Mikrotik und Omada durch Unifi ersetzen
2
Antworten
41
Aufrufe
2K
Luckysh0t
Luckysh0t
MZuki
[Kaufberatung] Ersatz für FritzBox 7580
Antworten
7
Aufrufe
484
MZuki
MZuki
M3ph15t
Unifi AP Beratung mit Mesh Backbone
Antworten
4
Aufrufe
372
M3ph15t
M3ph15t
HydraMc
Firewall fürs Heimnetz/HomeLAB (Proxmox, Unifi)
Antworten
19
Aufrufe
1K
Shihatsu
Shihatsu
°Leon°
Weg von der Fritzbox - Neuaufbau Heimetzwerk
2
Antworten
30
Aufrufe
2K
underclocker2k4
U
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh