ich würde demnächst gerne eine physische Firewall in Betrieb nehmen (Barebone mit PFSense oder OPNSense).
Jetzt habe ich folgendes Setup aktuell:
FritzBox als Router und für DHCP, WLAN und DECT
PoE Switch für die LAN-Geräte (zwar managed, aber aktuell ohne VLAN etc. in Betrieb)
Proxmox für HA, AdGuard, NGINX, …
Gerne würde ich ja eine weitere FritzBox als Modem nutzen und die aktuelle hinter die Firewall setzen. Somit hätte ich dann auch WAN und LAN getrennt.
Jetzt der Haken:
Das geht nicht, da ich bei der Telekom auch IPTV und IPTelefonie beziehe. Soweit ich mich aktuell eingelesen habe geht das dann nicht mehr.
Somit bliebe nur noch die Firewall hinter der Fritzbox mit IP aus dem DHCP der Fritzbox (korrekterweise ja 2 IP für WAN und LAN Anschluss).
Sehe ich das richtig oder gibt es da Wege die ich in diversen Foren noch nicht gefunden habe? Hatte das IPTV Thema bei meinen bisherigen Überlegungen komplett ausgeblendet.
Das was du vor hast, sollte prinzipiell machbar sein.
Ich selbst betreibe am T-Kom-Anschluss ein Draytek Vigor-VDSL-Modem. Dahinter hängt ein Mini-PC mit IPFire.
Für DECT hängt eine Gigaset-Box im LAN. IPTV benötigt einen VLAN-Tag im Router (PFSense und OPNSense bieten dafür bestimmt eine Möglichkeit, beim IPFire ist das nur ein zu setzender Haken)
Wenn ich das richtig verstanden habe, dann kannst du einfach eine Firewall in der Fritzbox als Exposed Host konfigurieren. Dann hast du zwar doppeltes NAT, mach ich aber auch schon seit Jahren ohne Einschränkungen
Also ich habe ähnlich wie @Radiocarbonat eine OpnSense und als Modem einen Vigor-DSL Modem. Ich habe auch Magenta TV über Amazon FireTV und IP Telefonie, allerdings über eine Auerswald TK Anlage. Ist aber alles Konfigurationssache in der OpnSense.
Schwierig wird allerdings VLAN, da keine Fritzbox VLAN kann. Also die meisten dürften folgendes empfehlen:
eine Fritzbox als Modem
dann die OpnSense
dann der Switch und die 2. Fritzbox als Client für WLAN und DECT
Geht schon, aber man muss einfach hier und das einstellen.
Oder so wie @m1scha sagt. Doppeltes NAT ist nicht immer super, aber nicht immer hochgradig schlimm. Kommt halt auf den Anwendungsfall an.
Also wäre ein denkbares Setup:
Vigor als Modem im Bridge Modus
dann die OPNSense (oder was auch immer)
dann Switch und dann eine Fritzbox für DECT und WLAN
DHCP würde dann über die Firewall laufen
Mit VLAN wollte ich eigentlich nicht arbeiten, also die Netze nicht weiter trennen
Korrekt. VLAN Tag habe ich - gleich im Modem gesetzt.
Korrekt. Und da du einen Proxmox hast, kannst du ggf. auch WLAN mit Unifi oder TP ausbauen und den Controller auch auf Proxmox laufen lassen. So habe ich es auch .
Du kannst auch die Fritzbox weiterhin als Router und Telefonanlage nutzen, muss dann aber mit doppelten NAT leben - was für die meisten Nutzer aber kein Problem ist, wenn man nicht unbedingt Dienst bei sich vom Internet aus erreichbar machen will.
Alternativ: ExposedHost Eintrag in der Fritzbox.
Warum sollte IPTV nicht mehr gehen ?
Ich nutze auch MagentaTV auf einem AppleTV hinter ner OPNSense welche wiederum an einer FritzBox Cable ( die aber im BridgeModus ist ) hängt.
Zudem nutze ich die Fritzbox noch für Telefonie weiter.
( Achtung: bei mir ist es Kabel-Internet, die FritzboxCable können richtigen BridgeModus, alle anderen nicht )
Was ich nicht machen würde ich, eine Fritzbox hinter der OPNSense als WLAN-Router, das ist Mist.
Dann machs besser direkt ordentlich und kaufe die WLAN-Access-Points von Unifi ( z.b. ) und am besten auch einen Switch von denen. Bei Unifi braucht es einen Netzwerk-Controller der aber problemlos als LXC auf Proxmox laufen kann ( habe ich auch so )
AdGuard kannst du auch direkt auf der OPNSense laufen lassen,
ich würde mal die Frage im OPNsense Forum stellen. Grundsätzlich sollte es auch möglich sein, die OPNsense direkt an das WAN anzuschließen und in der OPNsense die Zugangsdaten einzugeben.
Für mich wäre deine Konstruktion mit den Fritzboxen nicht handelbar, da wären mir zu viele Fallstricke und Abhängigkeiten drin. Gerne aber mal hier fragen:
.