DIY Firewall/thuisserver, eerste keer

Firewall gaat eigenlijk altijd samen met routeren. Als je dat wil combineren kom je er niet aan onderuit om 2 netwerk aansluitingen te hebben (zonder dat het erg complex met Vlan's wordt). Maar omdat je dat op 1 machine wil draaien ontkom je niet aan virtualiseren. Dus basis Proxmox waar je vervolgens verschillende virtuele machine in kan draaien. Mogelijk wordt die 8 Gb geheugen wat krap maar kan wel.

Virtualiseren is inderdaad het enige goede antwoord. Je wilt rollen niet mixen maar splitsen. Opnsense is je router, je surveillance spul staat daar los van en moet je ook los laten draaien van elkaar, want als je Opnsense in jouw eerste idee ploft is alles meteen weg.

Idealiter koop je een goedkope multiport NIC en geef je die aan je Opnsense VM via bijv. Proxmox, die handelt je internet (wan) en interne netwerk (lan) af. Je onboard NIC is dan prima voor beheertaken en je overige VM’s of (al dan niet LXC-)containers.

Zodra je alles hebt draaien, denk dan ook na over backups en test deze regelmatig als er eenmaal data op staat die je niet kwijt wil.

nossie63 schreef op zaterdag 5 juli 2025 @ 12:55:
Beste Tweakers,

Ik heb nul ervaring met een (hardware) firewall/thuisserver. Ik heb een oude pc die ik daarvoor wil gaan gebruiken. Moederbord is Asus B85M-G, processor een Intel i5 4th gen met 8 GB geheugen, 2x 320GB harddisk (nog) geen ssd, komt misschien later als het allemaal goed bevalt. Heb net om te proberen Win11 Pro geïnstalleerd, behalve een wat trage start loopt het verder eigenlijk allemaal wel soepel.

Zoals gezegd een firewall en thuisserver waar ik iets op wil draaien ter vervanging van Synology Surveillance Station (nu op DS418, dus geen Docker mogelijkheden.

Ik denk dat ik voor OPNsense kies, vinden jullie dit geschikt voor een beginner of raden jullie iets anders aan om mee te starten?

Als vervanger voor Surveillance Station dacht ik aan Bluecherry, kan gratis gebruikt worden en heeft een Android app. OPNsense is Freebsd en Bleucherry is er voor Linux of Docker. Linux software kan draaien op FreeBSD maar werkt het ook goed? Of toch beter in Docker?

Ik wil OPNsense alleen als firewall gebruiken, dus niet als router. Moet m'n pc dan 2 netwerk aansluitingen hebben of kan het ook met één?

En maakt het dan nog uit waar ik deze plaats? Direct op de Odido T-56 modem/router of 'gewoon' ergens aan een switch?

Voor de rest van de pc's, NAS en andere netwerken apparaten, stel ik de firewall in als gateway en op de firewall de router als gateway om al het verkeer langs de firewall te sturen?

Graag jullie reacties en advies.

Alvast bedankt.

Mvrgr, Nossie

Ja het kan allemaal wel ,maar het is het makkelijkste om je firewall tussen je modem en je "eerste device achter je modem" (dus je switch) te plaatsen.
2 NICs erin, 1 aan je modem en 1 aan je LAN.

Je kunt dan de NICs koppelen aan dockers of VMs (ik noem zo alleen dockers), en je firewalldocker hangt aan beide. Daarna kun je op de interne (of juist de externe, maar ik zou beginnen met interne ) NIC ook nog andere dingen aanbieden.

Disk en memory is prima de bima genoeg voor een router. Ik zou voor het leereffect er gewoon debian opzetten en daarna in docker allerlei toepassingen erbij prikken.

Beetje old school denken om een firewall fysiek "tussen" je lan en je wan te willen plaatsen.
Dat is echt geen toegevoegde waarde.

Dat "ertussen" is alleen netwerk technisch nodig en echt niet fysiek met twee netwerk poorten.

Als ik je een advies moet geven, ga geen firewall/routers virtualiseren.
Begin eens met het vervangen van "Surveillance Station" dit is namelijk netwerk technisch hetzelfde en
zo kun je ervaring opdoen met virtualisatie. Wat @Ben(V) bedoelt is het feit dat er op L3 en zelfs L2 geen verschil is tussen routing/firewalling en fysieke kabels. Je kunt een gevirtualiseerde firewall dus prima draaien op verschillende netwerken over 1 kabel/netwerk. Tevens kan je meerdere (L2) netwerken hebben op 1 fysieke kabel (VLANS).

@nossie63
Ik vrees dat het dan een college netwerken voor dummies wordt als ik het uit moet leggen.
Ik zou zeggen begin eens met het OSI model te bestuderen zodat je begrijpt wat de verschillende netwerk layers doen (o.a. de L2 en L3 waar @MasterL het over heeft).

[ Voor 10% gewijzigd door Ben(V) op 07-07-2025 12:49 ]

Technisch hoeft het niet, maar je firewall / router 'tussen' WAN en LAN plaatsen, met 2 gescheiden fysieke poorten kan in de praktijk wel voordelen hebben. Denk aan het bereikbaar blijven vanuit de WAN kant (via VPN) als je switch aan de LAN kant de geest geeft. Ook weet je dan zeker dat je de volle bak aan snelheid haalt over je WAN bij een gbit verbinding (uitgaande van een gbit nic), omdat deze dedicated is en geen bandbreedte deelt over meerdere VLAN's.

[ Voor 4% gewijzigd door dhrto op 13-07-2025 21:00 ]

Ben(V) schreef op maandag 7 juli 2025 @ 12:47:
@nossie63
Ik vrees dat het dan een college netwerken voor dummies wordt als ik het uit moet leggen.
Ik zou zeggen begin eens met het OSI model te bestuderen zodat je begrijpt wat de verschillende netwerk layers doen (o.a. de L2 en L3 waar @MasterL het over heeft).

Je hoeft echt niet het OSI model te kennen om je eerste stappen te zetten in een wat geavanceerder netwerk in je homelab. Ik denk zelfs dat het verwarring kan opleveren.

Eerst maar eens kijken wat je wilt bereiken en daarna gaan kijken hoe een subnet werkt, wat NAT is, etc. Als je daar een beetje zich op hebt komt dat OSI model wel een keer. Ik durf zelfs te stellen dat je genoeg hebt aan het TCP/IP model, maar hee

Volgens jou is trukjes leren is beter dan de simpele grond beginselen van een netwerk eerst te begrijpen?

Ben(V) schreef op maandag 14 juli 2025 @ 08:21:
Volgens jou is trukjes leren is beter dan de simpele grond beginselen van een netwerk eerst te begrijpen?

Wat weet je het toch weer prachtig plat te slaan Ben. Nee, dat is niet wat ik zeg en ik heb ook nergens het woord "trukjes" genoemd volgend mij.

Wat ik bedoel te zeggen, is dat het OSI model abstract kan overkomen voor iemand die nooit met netwerken heeft gewerkt en dit wil gaan doen als hobby. Beginnen met thuis netwerken en eventueel homelabben is ook gewoon proberen en tutorials lezen. Als je zaken in de praktijk hebt gezien, wordt het OSI model ook makkelijker (als je dat als hobbyist al nodig hebt).

MasterL schreef op maandag 7 juli 2025 @ 12:44:
Als ik je een advies moet geven, ga geen firewall/routers virtualiseren.

Mischien wat meer uitleg nodig waarom?
In mijn opstelling draait al 15 jaar pfSense als router/firewall virtueel op VMware/ESXI

Is dit advies om een eventueel uitvallen van de hardware te ondervangen?
In dat geval is het tussen plaatsen van simpel routertje/firewall voldoende om weer een verbinding op te zetten.

yalerta schreef op dinsdag 15 juli 2025 @ 13:02:
[...]


Mischien wat meer uitleg nodig waarom?
In mijn opstelling draait al 15 jaar pfSense als router/firewall virtueel op VMware/ESXI

Is dit advies om een eventueel uitvallen van de hardware te ondervangen?
In dat geval is het tussen plaatsen van simpel routertje/firewall voldoende om weer een verbinding op te zetten.

Omdat er geen use case voor is. Ik heb niks tegen tegen gevirtualiseerde firewalls/routers of wat dan ook gebruik ze zelf al jaren zowel privé als professioneel.
Internet anno 2025 is nog net geen primaire levensbehoefte en om hiermee te beginnen met 0 netwerk en virtualisatie kennis lijkt mij persoonlijk niet handig. Vandaar mijn advies begin met virtualiseren, doe wat ervaring op met virtuele netwerken e.d. en als je de infra dan later toch al hebt kijk dan eens naar een router.
TS heeft ook niet aangegeven waarom? Wil hij VPN draaien? IDS/IPS? Mist er een functionaliteit in de huidige oplossing? Is het wenselijk dat bijvoorbeeld na een stroomstoring (of crash) van de VM host internet even niet beschikbaar is? Het kan prima tuurlijk maar lijkt mij in dit geval gewoon de beste oplossing.

Uiteraard kan een nat achter nat netwerk prima voor wat VM's om te experimenten.

[ Voor 3% gewijzigd door MasterL op 15-07-2025 13:52 ]

@MasterL Duidelijke uitleg. Ook helemaal mee eens met het te volgen traject om eerst met virtualisering te beginnen.

Niet direct een VMware/Esxi maar een Hyper-V in Windows (geen advies) of een Linux (Mint/Ubuntu) met daarbij Virtual Box zijn aardige start oplossingen. Dit wijkt niet teveel af van het gangbare? Windows gebruik.

@nossie63 Geen SSD? en 8Gb. leuk om mee te gaan hobbyen en kennis/ervaring op te doen.
Daarom het advies om te kijken naar virtualisering en daarmee te gaan spelen. Loopt het fout ben je met een paar klikken terug naar een beginpunt.

nossie63 schreef op zaterdag 19 juli 2025 @ 21:36:
Wat is jullie mening daarover, hoe zouden jullie die verschillende netwerken opsplitsen?

VLAN's, omdat dat vanuit conceptueel oogpunt het mooiste is. Maar dan moet de overige hardware dat natuurlijk ook ondersteunen.

De vraag is meer of je jouw netwerk fysiek of logisch wil scheiden, FYI ik draai al mijn netwerken op 1 (bonded) interface. Je zou bijvoorbeeld hypothetisch:
- Alles fysiek kunnen scheiden:
* 1 kabel vanaf je modem/NTU naar je Proxmox.
* 1 kabel vanaf je LAN1 switch (voor LAN1)
* 1 kabel vanaf je LAN2 switch (voor LAN2)
etc etc

Of je plaats bijvoorbeeld een VLAN capable switch ertussen, dus wederom hypothetisch:
- 1 Fysieke kabel naar je Proxmox bak.
* WAN komt binnen op je switch, tagged VLAN 10.
* LAN1 VLAN 20
* LAN2 VLAN 30
etc etc.

Lang verhaal kort je hebt genoeg aan 1 poort als je de boel logisch wil scheiden (VLANS) of het aantal fysieke poorten voor elk "netwerk" (inc WAN) als je dit niet doet en dus fysiek wil scheiden.
Een combo kan ook:
- 1 fysieke poort WAN
- 1 fysieke poort (trunk) LAN met 20 VLANS ik noem maar wat.

Hangt volledig af van jouw keuzes.
Binnen je Proxmox omgeving kan je ook nog "interne" netwerken aanmaken tussen VM's die helemaal geen fysieke connectie hebben. Dus je hebt OPNSense, deze heeft een interface in een virtual netwerk met een andere VM.

[ Voor 23% gewijzigd door MasterL op 05-08-2025 12:14 ]

Tuurlijk wel! Dat is het juist het idee.
Je kunt een vmbr (bridge) aanmaken in Proxmox met een VLAN idee en fysieke interface.

Je zou bijvoorbeeld:
Een virtual bridge kunnen aanmaken "LAN" gekoppeld aan eno1
Een vritual bridge aan kunnen maken "LAN2" gekoppeld aan eno1 (VLAN 10)
Een vritual bridge aan kunnen maken "LAN3" gekoppeld aan eno1 (VLAN 11)
Een vritual bridge aan kunnen maken "LAN4" gekoppeld aan eno1 (VLAN 12)
Een vritual bridge aan kunnen maken "LAN5" gekoppeld aan eno1 (VLAN 13)

Het punt is je hebt dus meerdere VLANS op 1 poort (eno1) en hebt dus niet voor elke "LAN' een aparte poort nodig. Als jouw switch dus verbonden is met eno1 configureer je gewoon de VLANS op die poort (in dit voorbeeld 10 t/m 13, tagged). En klaar ben je.

Binnen Proxmox kun je vour VM (OPnsense) verbinden met elke virtual bridge (lees VLAN).
Dus al deze VLANS zijn virtuele netwerkkaarten in Opnsense met daadwerkelijk maar 1 fysieke kabel/poort.
Voor WAN exact hetzelfde, je kunt wel een NIC direct aan een VM koppelen zonder bridge maar dit is niet altijd effecient. Zeker niet als je wil dat meerdere VM's gebruik maken van hetzelfde netwerk en/of infra.

Betreft je pc, bij sommige netwerkkaarten kun (zie het soms bij Intel) kun je VLANS toevoegen.
In je configuratie scherm zie je dan een "extra" netwerkkaart die is verbonden met een specifiek (tagged) VLAN hetzelfde idee een beetje dus als de virtual bridges.

Hoop dat het wat duidelijker is voor je.

[ Voor 9% gewijzigd door MasterL op 07-08-2025 14:17 ]

Daar komt het op neer, iets specifieker als je een tagged vlan aanmaakt wordt er buiten de normale data (ethernet frame) een extra veld meegestuurd over het netwerk (de VLAN tag). Deze wordt dus herkent door alle VLAN capable apparaten. Een fysieke poort "hang" je dus in een VLAN (untagged) welke overeenkomt met een VLAN ID die tagged op je Proxmox uitkomt.

Vergis je niet in de hardware! Met virtualisatie praat je virtual machine niet direct met de hardware hier zit altijd een virtualisatie laag (hypervisor) tussen. Met andere woorden jouw OPNsense praat niet direct met de netwerkkaart maar eerder zoiets:
- OPNsense ziet alleen de gevirtualiseerde NIC van Proxmox.
- Proxmox beheert de virtual networks (het vmbr verhaal).
- Proxmox ziet de daadwerkelijke fysiek NIC.

Waarom is dit interessant? Omdat Proxmox wel om moet kunnen gaan met de juiste hardware
zoals netwerkkaarten, strorage (raid) controllers e.d.
Nu zal dit bij Proxmox wel loslopen (gewoon Debian) maar als je bijvoorbeeld ESXI zou willen gebruiken moet de hardware dus wel op een HCL staan.
Normaal gesproken kun je deze logica volgen:
- Ondersteund mijn hypervisor de hardware?
- Ondersteund mijn virtuele OS mijn hypervisor?

Kijk ook uit met Chinese Intel kaarten, ik heb deze een keer in server gehad:
https://hwp24.com/article...0_da2_from_chinese_fakes/ Met stabiliteitsproblemen (cold boot hangs, packet loss, port flapping) als gevolg, duurde wel even voordat ik erachter was..

Ik weet niet wat je budget is maar je zou eens kunnen kijken naar een 2dehands Intel X550-T2.
- Dual port
- 100MbE/1GbE/2.5GbE/5GbE/10GbE
Er staan er wel een paar op V&A