Firewall: RouterOS/pfSense/OPNsense | Mikrotik Hardware oder kleiner Server? | Glasfaser integrieren?

Hallo zusammen,

ich habe ein kleines Entscheidungsproblem. Ich beziehe mein Internet von der EWE (Glasfaser 500) und benutzte derzeit eine FRITZ!Box (FRITZ!Box 5590 Fiber).

Nun hatte ich mir, im ersten Moment, überlegt auf meinem Server einen Firewall Docker (pfSense/OPNsense) zu installieren. Jedoch wäre es doch viel sinnvoller eine Firewall komplett VOR meinem Netzwerk zu installieren und dazu noch die FRITZ!Box auszutauschen. Oder was sagen da eure Erfahrungen?

Da gibt es in meinen Augen dann zwei Möglichkeiten.

  1. Kleine Hardware zwischen Router und Netzwerk setzen, worauf ich (pfSense/OPNsense) installieren kann. Jedoch sind dann die WLAN Geräte nicht hinter der Firewall, richtig? Also würde ich noch ein Glasfaser Modem (Oder die jetzige FRITZ!Box nur als Modem benutzten) und ein AccessPoint hinter der kleinen Hardware Kiste benötigen.
    Da ich einen recht großen Server bereits habe (10 Cores, 128GB RAM, IDLE 10-13 W) würde ich gerne nicht so viel Geld für ein weiteres kleines Hardware Stück ausgeben.

  2. Einen Router von Mikrotik kaufen, der Wifi 6 und via SFP+ meine Glasfaser Leitung bedienen kann. Da dachte ich an dieses Gerät hier → L009UiGS-2HaxD-IN Jedoch kann dieser Router keine 5 GHz?

Dieses Gerät → RB4011iGS+5HacQ2HnD-IN habe ich auch gesehen, hat aber glaube ich kein Wifi 6, richtig?

Ansosnten könnte ich auch eines dieser Geräte nehmen und ein Access Point verwenden.

RB5009UPr+S+IN
RB5009UG+S+IN

Was für ein SFP Modul würde ich denn benötigen für meine Glasfaser Leitung?

Oder habt ihr eventuell noch eine andere Idee? Dieser Mikrotik Router würde dann ja komplett einen pfSense/OPNsense Docker ersetzten, oder würdet ihr sowas zusätzlich verwenden? DNS würde man dann ja auch komplett über Mikrotik laufen lassen, anstatt ein Unbound Container?
Sowas wie ADGuard / Pi-Hole würde ich dann ja im Docker laufen lassen und loggen mit CrowdSec. Oder gibt es da auch eine Lösung mit RouterOS ?

Danke und Gruß

Die neuen Protectli sind Spitze! :wink:
https://eu.protectli.com/vault-6-port/#buynow

Proxmox mit ZFS / autosnapshot / und dann Opnsene virtualisiert drauf mit Passthrough der benötigten Interfaces.

Nach meiner Meinung gehört eine firewall direkt installiert und nicht als vm, die sollte die erste position im Netzwerk haben, Modem → Firewall

Ein China Barebone ist viel günstiger und erfüllt seinen Zweck optimal, die bekommt man schon für 140 bis 200€

So Gedanken mache ich mir auch in letzter Zeit…

Aber brauche ich sowas sinnvollerweise überhaupt? Ich „wohne“ hinter einem Vodafone LTE Anschluss, wobei ich den Gigacube nur als Modem nutze und als Router dahinter eine Fritzbox 7590AX. Kommt doch eh niemand rein !?

Um trotzdem von unterwegs ins Home LAN zu kommen, nutze ich Tailscale wo auch ein kleiner VPS mit proxmox drin hängt. Als Exit node, da habe ich auch noch pihole usw. laufen.

Ob du es brauchst kannst nur du entscheiden, an einen CGNAT Anschluss, den du ja durch das funk internet hast, kommt von aussen sowieso keiner rein, da ist eher die bedrohung von drinnen das irgendwelche dienste von aussen etwas rein lassen, wie z.b. Webbrowser oder durch E-Mail, eine Firewall ist ja nicht nur in eine Richtung, vielleicht möchte man ja auch das gewisse dinge nicht nach draußen dürfen.

Hast du da eventuell ein link zu ?

Ich meine ein Router von Mikrotik würde es auch tun. Da wäre das wlan direkt mit geschützt. Gibt ja auch den kleinen hier → hAP ax² oder den hAP ax³
Beide haben wifi 6 und der letztere sogar noch ein USB Slot für nen Drucker ?

Das hintern Modem und gut. Muss ja nicht unbedingt eine pfSense oder OPNsense sein.

für was genau einen Link?

Zu den China barebones

den N100 oder N5105, den N5105 habe ich auch im Einsatz, der hat für das Homelab genug Power wen man dort eine OPNsense/pfSense drauf installiert, der hat sogar genug Power um Proxmox und eine Windows VM dort flüssig laufen zu lassen.

du musst dir nur im klaren sein was du überhaupt möchtest, für eine sense sind diese China Barebone perfekt.

hier auch ein Beitrag von Dennis

Klingt soweit gut.

Aber am Ende bleibt immer noch die Frage was besser wäre.

  1. So ein Hardware Teil mit Proxomox installieren, darauf OPNsense laufen lassen mit ADGuard, Crowdsec und Unbound. Davor dann ganz normal die Fritz.Box (als Bridge mode?). Wie kann ich da das WLAN der Fritz.Box dann noch verwenden, sodass das WLAN hinter der Firewall steht? Dann müsste ich ja einen AP hinter die Firewall klemmen?

Power consumption:
Fritz.Box = ~10-15W
Firewall/ADGuard/Crowdsec/Unbound = ~10-15W
AP = ~10W ?
Server = ~10-15W
Summe = ~40-55W

  1. Mikrotik Router mit Wifi 6 hinter die Fritz.Box klemmen - (Fritz.Box läuft nur im Bridge Mode) oder sogar die Fritz.Box austauschen gegen einen GPON. Der sollte eventuell dann auch weniger verbrauchen? Dann kann die Fritz.Box Weg und der Mikrotik Router direkt ran. Dahinter auf meinem Server dann einen ADGuard / CrowdSec / Unbound (Brauch ich wohl nicht) Docker. Einen AP würde man sich auch sparen. WLAN kommt ja vom Mikrotik Router und somit hinter der Firewall, korrekt?

Wüsste nur nicht genau was für ein GPON Gerät. Da bräuchte ich eure Hilfe.

Power consumption:
Fritz.Box ODER GPON Device = ~10-15W?
Mikrotik Firewall = ~10-15W
Server = ~10-15W
Summe = ~30-45W

Was meint ihr?

Ich Virtualisiere mittlerweile immer die Firewall.
Dank Proxmox, ZFS und PCI Passthrough gibt es auf aktueller Hardware meiner Meinung nach nichts, was dagegen spricht.

Als Hardware verwende ich Minisforum und Protectli.