pfSense Schrittweise in bestehendes Netzwerk integrieren?
-
Hallo zusammen
Ich möchte die pfSense als neue Zentrale (vorher Fritzbox) einsetzen.
Nun habe ich ja noch mein bestehendes Netzwerk mit mehreren Switches, Rechnern, WLAN APs, Sonos Multiroom, etc.Bisher übernimmt die Fritzbox aufgaben wie DHCP usw.
Die Frage ist nun ob es möglich ist die pfSense einfach zwischen Modem und Switch zu hängen und dann Schritt für Schritt einzuschränken oder die Aufgaben abzulösen?
Aktuell: Modem-Fritzbox-Switch-Endgeräte
Soll: Modem-pfSense-Switch-Fritbox & Endgeräte- Somit sollte die pfSense erstmal allen Traffic durchlassen.
- Dann würde ich die DHCP Funktion in der Fritzbox deaktivieren und erhoffe dass die pfSense die Aufgabe einfach übernimmt (DHCP ist dort schon aktiviert).
Die Alternative ist natürlich dass ich sozusagen "from Scratch" ab Modem alles neu einrichte und mit Laptop bewaffnet im ganzen Haus rumrennen darf. Dabei sehe ich den Zorn der Familie auf mich zukommen
, denn dann funktioniert erstmal kein Netzwerk, kein WLAN, kein Sonos, kein FritzFon usw. und die Einrichtung dauert dann sicher einen Tag (wenn überhaupt alles klappt).Aktuell habe ich die pfSense am Switch hängen mit LAN sowie mit WAN. Meine WAN-Adresse it also momentan eine LAN Adresse welche vom DHCP der Fritzbox vergeben wurde. Das ist ja nicht wirklich sinnvoll so (überlege gerade ob es das WAN Kabel in der Konstellation überhaupt braucht).
Danke für Erfahrungswerte.
-
@jathagrimon 1. bitte einen grafischen netzwerkplan (https://forum.netgate.com/topic/19017/netzwerk-diagramme-zum-einfügen-in-eigene-posts/1)
2. wenn du die Sense installiert hast funktioniert sie im Grunde wie nie FRITZ!Box also ip Bereich anpassen (nicht den avm ip Bereich nehmen)
Und fast fertig alles andere kann dann nach und nach kommen (die Fritzbox raus und alle Netzwerk geräte eine neue IP ziehen lassen)
Das ist jetzt alles sehr vereinfacht erklärt da ich dein Netzwerk nicht kennehier das denke ich kann dir auch helfen:
https://forum.netgate.com/topic/154920/wie-stelle-ich-fragen-damit-man-mir-helfen-kann/1Fragen:
- was für ein Modem Setzt du ein?
- macht die Fritzbox hinter dem Modem pppoe?
- warum hast du die Fritzbox hinter dem Modem / warum nutzt du die fritzbox nicht komplett (mit dem eingebauten modem) oder ist die Fritzbox zu alt?
solltest du netzwerk einsteiger sein, fange lieber langsam an und nicht gleich alles auf einmal.
hier mal wie ich mein netzt aufgebaut habe (ich habe mein netzwerk zuhause: KIS)
┌──────────────────────────┐ │ │ │ WAN / Internet (PPPoe) │ │ Willy.tel │ │ 1000/250Mbit/s Glasfaser │ │ │ └─────────────┬────────────┘ ─ ─ ─ ─ ─ ─ ─ ─WAN─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─│─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ WAN ─ ─ ─ ─ ─ ─ ─ ─ │ ╔═══════╩═════════════════ pfSense 2.5.2 ═╗ Stand: ─ ─ ┐ ┌────────────────┐ ┌────────────────┐ ║ ║ │ │ │ │ UBNT │ ║ Intel NUC BNUC11TNHV50L00║ 29.12.2021 │ │ TrueNAS ├───┤EdgeSwitch 8 XP ├───╣ LAN: 192.168.3.0/24║ │ │ │ │ │ ║ Gäste (W)LAN (VLAN33): 192.168.33.0/24║ ─ ─ ─ ─ ─ ─ ┘ └────────────────┘ └───┬─────────┬──┘ ║DynDNS über Cloudflare mit eigener Domain║ ┌────────────────┐ │ │ ║ VPN's:║ │ Fritzbox 7490 │ │ │ ║ 2 x Fritzbox (7490 & 6591) IPSec║ │ (Nur VoIP) ├───────┤ │ ║ 1 x OpenVPN Road Warrior (172.16.3.0/24)║ │ │ │ │ ║ 1 x WireGuard Road Warrior║ └────────────────┘ │ │ ║ (172.16.33.0/24)║ ┌────────────────┐ │ │ ╚═════════════════════════════════════════╝ │ UBNT │ │ │ ┌────────────────┐ ┌────────────────┐ │UniFi Cloud Key ├───────┤ │ │ Switch │ │ 1 x UBNT │ │ │ │ └───────┤Netgear GS110TPP├───┤UniFi AP-Flex-HD│ └────────────────┘ │ │ │ │ │ ┌────────────────┐ │ └─────────┬──────┘ └────────────────┘ │ 2 x UBNT │ │ │ ┌────────────────┐ │UniFI AP AC Pro ├───────┘ │ │ │ │ │ └──────────┤ Clients │ └────────────────┘ │ │ └────────────────┘ -
Danke erstmal für dein Engagement.
Das Modem ist ein Kabelmodem vom ISP. meine Fritzbox ist eine 7390 (Nicht Kabelfähig), daher die FB hinter dem Modem.
Ich hab das mal grafisch dargestellt (ASCII find ich nicht wirklich praktisch):
Ich hatte die Hoffnung, wenn ich denselben Netzbereich verwende (192.168.178.0/24) dann würden alle Geräte weiterhin miteinander kommunizieren können und ins Netz kommen. Vor allem das Thema Sonos (Multiroom Soundsystem) ist irgendwie ins WLAN 400MBit integriert.
-
@jathagrimon was soll ich dazu noch sagen, ich hatte mal einen artikel (nicht hier sonder im opnsense forum dazu geschrieben)https://forum.opnsense.org/index.php?topic=12697.0
der ip bereich hat ja nicht mit deinem wlan zu tun, ich glaube du hast noch ein paar verständnis probleme was netzwerktechnik betrifft.
SONOS nutzt dein WLAN was eine bestimmte SSID/Passwort kombination erwartet, der ip bereich ist dem völlig egal.
PS: bist du dir sicher das deine Router (die du als AP einsetzt auch wirklich VLAN können)?
-
der ip bereich hat ja nicht mit deinem wlan zu tun, ich glaube du hast noch ein paar verständnis probleme was netzwerktechnik betrifft.
Das ist mir vollkommen klar, damit wollte ich ja nur veranschaulichen wie es jetzt ausschaut.
Ich könnte zu jedem Punkt noch xFach Infos dazuschreiben, ABER da leidet die Übersichtlichkeit UND absolut alles will ich ja im Netz auch nicht preisgeben.SONOS nutzt dein WLAN was eine bestimmte SSID/Passwort kombination erwartet, der ip bereich ist dem völlig egal.
Da bin ich wirklich unwissend wie das miteinander kommuniziert. Ich habe hier auch im Forum einiges zu Sonos gelesen. Manche schlagen vor dass das Sonos in einem eigenen VLAN "bereitstellen" soll um dann via Proxy von allen Netzen/VLANs darauf zugreifen zu können.
Klingt sehr ausgereift und wird sicher noch ein Thema werden weil: Die kids sollen in eigenem VLAN sein und sollen dennoch die Sonos Lautsprecher verwenden können. Aber das kommt später.PS: bist du dir sicher das deine Router (die du als AP einsetzt auch wirklich VLAN können)?
Wie in der Skizze zu sehen: Nein können sie nicht alle. Der Tenda AP kann es nicht. Bei der Fritzbox bin ich noch nicht schlau geworden. Da finde ich keine Einstellungen in der Oberfläche dazu. Der TPLink kann es und davon habe ich zur Not 3 baugleiche Geräte da.
Die Frage wäre eben wie ich jetzt vorgehen kann? :
- pfsense physisch dazwischenhängen
- in der pfsense ein anderes Subnetz verwenden (somit würde ich aber alles andere "abschneiden")
- den dhcp auch auf dem Subnetz in der pfsense aktivieren
- Evtl. kann ich in der Fritzbox den DHCP aktiv lassen und muss dem nur sagen dass die pfsense jetzt neu das Gateway ist um Internet zu bekommen.
- .... weiss es ja auch nicht so recht -> darum frage ich ja
-
@jathagrimon said in pfSense Schrittweise in bestehendes Netzwerk integrieren?:
- .... weiss es ja auch nicht so recht -> darum frage ich ja
warum willst du eine sense einsetzen, meine empfehlung währe das du dein wissen erstmal in sachen netzwerk erweiterst (grundlagen und auch gerne erweiterte grundlagen), wenn du mit deinem halbwissen hier aus dem forum löcher in dein netzwerk baust ist das geschrei groß im forum warum habt ihr...
zu 5.:
du musst doch wissen was du willst.
ich persönlich sehe es so wenn du unbeding eine sense brauchst, mache es und wenn was schiefgeht musst du und deine familie halt durch wenn was nicht geht- dann haben halt einiege (w)lan geräte kein internet. bis du es zum laufen brings.
mache es so wie auch im job (bereite alles so vor das der tausch mit so wenig ausfallzeiten zu schaffen ist, ohne wirst du nicht hinbekommen)
ein sprichwort aus meiner jugend "lernen durch schmerzen"
-
Das hängt von den Clients ab wo du anfangen solltest.
Stehen diese alle auf DHCP, dann einfach die pfSense dazwischen hängen, die Geräte 1 mal neu starten und fertig.
Bei PoE versorgen APs reicht hier der Switch aus, ansonsten die APs einmal booten und schon haben die Switche, die APs und die Clients eine neue IP von der pfSense bezogen.Um überall alle VLANs nutzen zu können benötigst du noch einen GS108 Switch oder ein anderes managed Device.
Bei 3 Switchen und 2-3 APs würde ich mir aber ein zentrales Management wünschen und da kommt UniFi ins Spiel. Hier bekommst du für wenig Geld viel Hardware und vor allem haben die neuen WiFi 6 APs ganz andere Spezifikationen wie dein TP Link Teile (auch wenn die mit OpenWRT viel können).Was ich aber nicht einsetzen würde ist die Dream Machine, da kann die pfSense viel mehr und ist auch viel flexibler und vor allem im Detail ganz exakt einstellbar.
Es ist auch gut das du dich im Vorfeld mit der Planung der Umstellung beschäftigst.
Eine frage habe ich da noch, bekommst du (vermutlich Cable Internet) auch wirklich eine WAN IP oder ist das eine private?
Denn dementsprechend musst du den WAN Port auf der pfSense einstellen. -
Hallo zusammen
Danke für eure Bedenken und die gut gemeinten Ratschläge.
Ich habe es jetzt komplett neu aufgezogen und habe das alte Netz also gekillt.
Mir ging es in dem Thread ja nur um die Frage ob man das Schrittweise umstellen kann. Das ist ja nun beantwortet -> In meinem Fall: Nein (oder besser gesagt: es ist sauberer wenn ich von vorn beginne).
Die UniFi schau ich mir mal an.
Danke und freundliche Grüsse
