Netzwerk FAQ

  • Hallöle,
    hier nun der Versuch für ein kleines Netzwerk-Howto bezogen auf unsere NASen zu erstellen!


    Welche Daten sind wichtig?
    Also bevor Ihr mit dem NAS loslegt, solltet Ihr Euch grundlegend mit dem folgenden Thema
    des Forums vertraut machen:
    Netzwerksicherheit [eine FAQ]
    Dort findet Ihr das wichtigste zum Thema Netzwerksicherheit!


    Als nächstes solltet Ihr Euch mit der Bedienungsanleitung Eures Routers vertraut machen,
    da dieser die Zentrale Eures Netzes bildet, auch wenn Ihr das derzeit noch anders seht!


    Grundlegende Kenntnisse in Sachen TCP/IP können nicht schaden:
    - http://www.microsoft.com/germany/technet/datenbank/articles/600579.mspx
    - http://www.ruhr-uni-bochum.de/~rothamcw/Lokale.Netze/tcpip.html
    - http://pcwelt-wiki.de/wiki/TCP/IP_Grundlagen
    - weitere Seiten zu diesem Thema findet Ihr schnell, wenn Ihr Euer Lieblingsinternetorakel befragt!


    Wenn Ihr Probleme mit Eurem Netzwerk habt schaut Euch das nachfolgende Thema an und verfahrt entsprechend, damit wir Euch bestmöglich helfen können:
    So wird Euch schnell geholfen!

  • IP-Adresse:
    ist sozusagen die Adresse Eures Computers im Netzwerk. Dabei gibt es in der noch gültigen IP-Version 4 öffentliche und private IP-Adressen. Die öffentlichen IPs sind diejenigen, die Ihr z.B. von Eurem Provider zugewiesen bekommt oder über die Ihr Server im Internet erreichen könnt, öffentliche IPs dürfen im gesamten Internet nur ein einziges Mal vergeben werden! Daher auch die Schrittweise Einführung der neuen IP-Version 6.
    Private IP-Adressen (z.B. 192.168.x.x) dürfen dagegen für jedes privates Netzwerk verwendet werden (können also mehrfach vorkommen), werden aber im Internet nicht geroutet (d.h. diese sind im Internet nicht adressierbar bzw. nicht erreichbar).


    Subnetmask:
    ist der Teil einer gültigen Netzwerkadresse, der die Anzahl der verfügbaren Netzgeräte (Hosts) in einem Netzwerk definiert. IP-Adresse & Subnetmask bilden eine untrennbare Einheit.


    Standard Gateway (bzw. default gateway):
    Gibt z.B. für das lokale (also z.B. Euer kleines Netzwerk zu Hause) den Ausgang zum Rest der Welt an. In der Regel ist dies die Adresse des Routers, da er sozusagen ein Bein in Eurem Netz und eins im Internet hat. Schickt nun ein PC oder ein NAS eine Anfrage an 78.46.4.143, so wird sich die zugehörige Netzadresse nicht in Eurem Netz befinden. Der PC schickt also das Paket an den Router mit der Bitte es an den Host mit der genannten IP weiterzuleiten.
    Auch wenn Euer Router diese IP nicht kennen sollte, kann er das Paket über sein default gateway sicher adressieren.


    Routing:
    ist sozusagen der Zustelldienst im Internet. Datenpakete werden mittels Routing vom Absender zum Empfänger und zurück immer auf den kürzesten Weg verschickt, der verfügbar ist. Fällt ein Netzknoten (z.B. ein zentraler Router) aus, wird das Datenpaket über andere Router, wiederum auf der kürzest möglichen Strecke umgeleitet.


    DNS:
    der Domain Name Service ist ausschließlich für uns gemacht! Da es sehr schwierig ist (zumindest für die meisten Menschen...) sich solche Zahlenkombinationen wie 78.46.4.143 zu merken, gibt es DNS! Wenn Ihr also http://forum.qnapclub.de in Euren Browser eintippt, gibt es in Eurem Netzwerk zuhause keinen der mit diesem Namen etwas anfangen kann. Euer Computer fragt dann i.d.R. bei dem Router nach:
    Sag mir mal die IP-Adresse von forum.qnapclub.de. Die Antwort von dem Router wird recht schnell kommen und lautet: "kenn ich nicht! Aber ich kenn einen, der das wissen muss!" Der Router Fragt dann bei einem Namenserver nach und bekommt im günstigsten Fall die Antwort "kennich, ist 78.46.4.143!"
    Diese sehr kurze Beschreibung ist nicht 100%ig richtig und kann auch nicht vollständig sein, sollte aber für das grundlegende Verständnis von DNS ausreichen.


    DynDNS:
    Wie beim oben beschriebenen DNS soll das dynamische-DNS eine IP-Adresse in einen leicht zu merkenden Namen wandeln.
    Da Ihr in der Regel alle 24 Stunden eine neue IP-Adresse von Eurem Provider bekommt, Ihr aber auch von Freunden oder der Arbeit aus auf Eure Daten zugreifen wollt, ist es schwierig, die neuen IPs vorherzusagen...
    Damit Ihr aber z.B. Euer NAS jederzeit unter einem einfach zu merkenden Namen erreichen könnt, gibt es das dynDNS. Dabei meldet (vorzugsweise der Router) seine öffentliche IP-Adresse an den Diensteanbieter, der dieser IP den von Euch gewählten Namen zuordnet. Wenn nun Euer Provider die Zwangstrennung vornimmt, wird dem Router nach dem neuen Verbindungsaufbau eine neue IP zugewiesen, die er unverzüglich an den DynDNS-Anbieter meldet usw.
    Sofern Ihr einen Router habt, der diese Funktion unterstützt, richtet diesen Dienst auf dem Router ein! Nur wenn der Router diese Funktion nicht unterstützt und nur dann, solltet Ihr diese Funktion auf den NAS nutzen. Diese Vorgehensweise schützt vor möglichen Fehlern!!
    Wenn Ihr DynDNS nutzt, beachtet bitte folgendes:
    Nicht jeder Router unterstützt es, wenn Ihr aus Eurem Netz heraus, den von Euch gewählten DynDNS-Host(-namen) aufrufen wollt. Dies entspricht ungefähr der vorgehensweise "Zum Hof aus dem Fenster schauen und gleichzeitig vorn die Wohnungstüre aufschließen wollen..."
    Falls Ihr bei dem Versuch seltsame Erscheinungen (mal geht, mal geht nicht, unvollständigen Bildschrimaufbau etc..) habt, bittet einen guten Freund, den von Euch gewählten Hostnamen anzusprechen.
    Funktioniert es jedoch ohne Probleme, habt Ihr einen guten Router ;)


    VPN:
    Virtuelles privates Netzwerk, ist eine Möglichkeit mehrere Netze über verschlüsselte Verbindungen über ein öffentliches Netzwerk zu verbinden. Das heist, Ihr könnt Euer Netzwerk zuhause über einen sogenannten VPN-Tunnel erreichen könnt (wobei es unerheblich ist, ob Ihr es nur mit einem PC oder einem ganzen Netzwerk erreichen wollt). Um VPN nutzen zu können, braucht es jedoch einiges an Voraussetzungen, sowohl Hard- als auch Software, und die Einrichtung ist von diesen Voraussetzungen abhängig.

    Einmal editiert, zuletzt von jody ()

  • Feste IPs oder DHCP?
    Hier streiten sich die Geister! Wer sein Netzwerk als statisches Netzwerk einrichtet bzw. eingerichtet hat und selten an den vorhandenen Netzgeräten "herumkonfiguriert", wird wahrscheinlich lieber mit festen IP-Adressen arbeiten.
    Wer gerne in seinem Netz herumexperimentiert, viele Netzwerkgeräte besitzt und sich wenig um deren Konfiguration kümmern will, wird wahrscheinlich lieber mit DHCP arbeiten.
    Beide Systeme haben Ihre Vor- und Nachteile!


    Fangen wir mit dem einfachsten an: DHCP
    Um Euer Netzwerk mittels DHCP konfigurieren zu können, braucht Ihr lediglich einen DHCP-Server! Für diese Aufgabe meldet sich Euer DSL-Router (oder Internetrouter) geradezu freiwillig!
    Der Router weiß alles was Ihr an Informationen braucht um mit Euren Netzwerkgeräten bzw. Computern ins Internet zu kommen!
    Er kennt den IP-Bereich Eures Netzes (einschließlich der Subnetmask - diese bestimmt die maximale Anzahl der Geräte in Eurem Netz) und kennt Eure öffentliche IP-Adresse, der er alle Datenpakete zur weiteren Bearbeitung übergeben muss.
    Hier nun setzt DHCP (dynamic Host configuration protocol) an! Der DHCP-Server weist allen neuen Netzwerkgeräten (auf Anfrage!) eine freie IP-Adresse Eures Netzes zu und übergibt dabei so wichtige Parameter wie die Subnetzmaske, das Standard Gateway (i.d.R. der Router selbst) und mindestens einen DNS-Server.
    Damit bekommt der Netzwerkclient (z.B. Euer PC) alles was er wissen muss um mit dem Internet oder den anderen Geräten in Eurem Netz zu kommunizieren.
    Wenn Ihr Euch nun fragt, was sind IP-Adressen, DNS-Server, Subnetzmasken etc, dann werdet Ihr bei bei der Einrichtung Eures Routers lediglich die Zugangsdaten für Euren Provider eingetragen haben und der Rest war bereits vorkonfiguriert.
    Super, hier endet für Euch die Arbeit, alles ist so vorbereitet, dass es(so gut wie immer) funktioniert.


    "Erweitertes" DHCP:
    Wenn nun aus welchen Gründen auch immer der Router (besser der DHCP-Server!) keine freien Adressen mehr verteilt weil er keine freien Adressen mehr hat(oder weil Ihr zuviel Taschengeld habt und Euch lauter NASen kauft ;) ), oder Ihr es satt habt Euer NAS immer wieder mit dem Finder im Netzwerk zu suchen, kommen wir zum Schritt DHCP konfigurieren.
    Sofern es der Router unterstützt, könnt Ihr eine sogenannte MAC-Reservierung vornehmen. (Die MAC-Adresse ist eine sogenannte Hardware-Adresse und ist(besser sollte!) im Normalfalle nur einmal vergeben sein.) Das bedeutet, dass Ihr die Hardwareadresse Eures NAS (z.B. 00:00:EB:57:38:FF) in den Router eintragt und eine feste IP-Adresse zuweist, d.h. dann reserviert der Router diese eine IP-Adresse ausnahmslos für das NAS!
    Auf die gleiche Weise könnt Ihr natürlich auch Eurem PC eine "quasi"-feste IP vergeben.


    Mein Router unterstützt keine Reservierungen, was kann ich nun tun?
    Nun kommen wir in den Bereich des Mischbetriebes. Wenn Ihr den Adressbereich, sprich die Anzahl der zu vergebenden IP-Adressen einschränken könnt,
    so könnt Ihr einen Bereich bestimmen, für den keine IP-Adressen vom DHCP-Server vergeben werden.
    Nehmen wir einmal an, Euer Router kennt keine MAC-Reservierungen, aber Ihr könnt die Anzahl der IPs einstellen, dann stellt den zu vergebenden IP-Bereich z.B. für die Adressen x.x.x.100 - x.x.x.199 ein. Das würde bedeuten, dass immer nur Adressen zwischen 100 und 199 vergeben werden und die Bereiche 1-99 und 200-254 generell frei bleiben.
    Wenn Ihr nun Euer Nas nicht jedes mal suchen wollt, vergebt Ihr dem NAS ein feste IP, sagen wir die x.x.x.222 (achtet dringend auf die Subnetmask, Standard Gateway und DNS!!!!).
    Auf diese Weise ist sichergestellt, dass neue Geräte eine gültige IP bekommen und Eure wichtigen Geräte immer unter den gleichen Adressen zu finden sind.



    Feste Adressierung:
    Ihr konfiguriert jedes netzwerkfähige Gerät in Eurem Netz von Hand!
    Hierbei ist zu beachten, dass diese Methode recht fehleranfällig ist, da Ihr alle notwendigen Parameter immer wieder manuell eingeben müsst!
    Schnell passieren dabei Zahlendreher, Fehler bei der Subnetmask oder es werden falsche Werte für das Standard Gateway oder die DNS-Server eingegeben.
    Der einzige Vorteil den diese Methode meiner Meinung nach bietet, ist der das ein "Fremder" keine gültigen Netzparameter automatisiert zugewiesen bekommt.


    Der Vorteil im reinen DHCP-Netzwerk (einschließlich MAC-Reservierungen) liegt darin, dass Ihr kurzentschlossen Euren genutzten IP-Bereich ändern könnt! Das heist Ihr braucht "nur" den DHCP-Server die neuen Parameter übergeben, startet anschließend alle Geräte einmal durch (angefangen beim DHCP-Server/Router) und habt innerhalb kürzester Zeit den genutzten IP-Bereich "umgezogen".
    Ferner können durch die Nutzung von DHCP nahezu alle Fehlerquellen ausgeschlossen werden bzw. Ihr braucht nur an einer Stelle nach den Fehlern suchen ;)

  • Ungewöhnliche Netzwerkerscheinungen beim NAS:
    Solltet Ihr ungewöhnliches Verhalten der Qnaps im Netzwerk haben, welches Ihr Euch nicht erklären könnt, versucht bitte folgendes:


    Konfiguration der Netzwerkeinstellungen per DHCP oder falls dies bereits geschieht kurzerhand eine feste IP vergeben.
    Anschließend testen
    Wieder in den Ursprungszustand zurück versetzen.
    Meine persönliche Erfahrung ist, das es mit DHCP sicherer und stabiler funktioniert.
    Falls die Anomalien anhalten, versucht die Firmware nochmals zu flashen (BACKUP!)
    anschließend wieder auf DHCP stellen und erneut testen!


    Wenn Ihr 100%ig sicher seid, dass alle Netzwerkparameter richtig sind, Eure Netzwerkverkabelung fehlerfrei arbeitet und der Fehler dennoch besteht,
    wendet Euch an den Support!

  • WLAN
    Das sogenannte Schnurlose Netzwerk hat ebenfalls einiges an Fallstricken zu bieten!
    Neben den üblichen Fehlerquellen IP-Adresse & Subnetzmaske kommen noch die SSID und die Verschlüsselungsparameter zum tragen!
    Bei der Einrichtung von WLAN bzw. des zugehörigen AccessPoints (kurz AP) gibt es einiges zu beachten:


    1. DHCP unter Umständen bietet der AP auch die Option als DHCP-Server zu arbeiten. Wenn Ihr bereits einen DHCP-Server im Netz betreibt, solltet Ihr von dieser Funktion keinen Gebrauch machen (Ausnahme: der AP ist Bestandteil des Routers)


    2. IP-Bereich
    Sofern Ihr einen reinen AP betreibt, sollte dieser eine IP(&Subnetzmaske) aus dem LAN bekommen (Einfacher ist es, wenn Ihr z.B. dem Router immer die IP x.x.x.1 und dem AP die x.x.x.254 (oder x.x.x.2) gebt, so könnt Ihr Euch das leichter merken. Wichtig bei der IP des AP ist, dass diese nicht im DHCP-Bereich des Routers liegt!
    Sofern es Euer Router(mit AP!) unterstützt empfehle ich einen separaten IP-Bereich bzw eine zusätzliches Netzwerk für das WLAN zu nutzen, da Ihr schneller erkennen könnt ob Ihr "ungebetene Gäste" in Eurem Netz zu Besuch habt/hattet. Ferner kann man dieses "extra Netzwerk" auch schnell mal deaktivieren ohne das Euer internes LAN gestört wird.


    3. Subnetzmaske
    Auch hier gilt, sie muss für alle Geräte im Netz gleich lauten (typischerweise 255.255.255.0) kleine Zahlendreher oder Abweichung hierbei haben große Auswirkungen!


    4.SSID
    Ist sozusagen die Hausnummer Eures WLANs! Damit Ihr sicher gehen könnt, dass Ihr auch tatsächlich mit Eurem AP verbunden seid, solltet Ihr eine eindeutige SSID vergeben. Zu Eurer eigenen Sicherheit sollte darin aber weder Euer Name, die Adresse oder sonstige Info enthalten sein, die dieses Netzwerk mit Euch in Verbindung bringt! (dies ist meine eigene Überzeugung, wenn Ihr dies anders seht......)
    Optimal ist es, eine recht lange (max 32 Zeichen!) und komplexe Zeichenkombination zu wählen und das Senden der SSID zu unterdrücken (kein Broadcast!) Dieses Vorgehen erhöht die Hürde für "unbefugte" zwar nur geringfügig, aber immerhin.
    Das unterdrücken des Broadcasts sorgt dafür das nicht gleich alle Nachbarn sehen, dass Ihr nun auch endlich bei WLAN angekommen seid.


    5. Verschlüsselung
    Die ursprüngliche Verschlüsselung mittels WEP lasse ich gleich mal komplett weg, da sie allenfalls noch als "virtuelle Hecke der Höhe 20cm" einzuschätzen ist und auch Kleinkindern kein wirkliches Hindernis mehr ist.
    Beginnen wir also mit WPA oder noch besser mit WPA2!
    Hierbei sollte ebenfalls die maximallänge des Schlüssels (63 Zeichen) möglichst mit komplexen Zeichenkombinationen genutzt werden. Wichtig ist, dass nur Ihr diese Zeichenfolgen kennt!


    JE komplexer SSID und Verschlüsselungsschlüssel (der sogenannte "Pre Shared Key" oder PSK) ist
    DESTO schwieriger wird es in Euer Netzwerk einzudringen.


    6. MAC-Filter
    hier sind wir wieder auf der Hardwareebene der Netzwerkschnittstelle. Ebenso wie eine normale Schnittstelle hat auch die WLAN-Schnittstelle eine eindeutige Hardwareadresse (s.o.) diese kann nun vom AP herausgefiltert werden, wenn sie keinem Eurer Netzwerkgeräte gehört. D.h. der AP lässt nur Geräte mit den von Euch eingetragenen MAC-Adressen zu.
    ACHTUNG: Dies erhöht zwar die Sicherheit (auch nur ein bischen) bildet aber auch gleichzeitig eine Fehlerquelle, die gerne vergessen wird:
    Entweder ist die MAC noch nicht eingetragen (passiert schnell, wenn man sich z.B. ein neues Notebook leistet), die MAC wurde falsch eingetragen oder man hat schlichtweg vergessen, dass die Filterung noch aktiv ist!


    Also Bei Problemen mit dem WLAN prüft in der genannten Reihenfolge die gesamten Netzwerkparameter!

  • Firewall
    Fluch und Segen der Netzwerkgemeinde
    Eine Firewall besteht eigentlich aus einem Sicherheitskonzept, einer Hardware bzw. einem Produkt, welche die im Konzept aufgestellten Sicherheitsregeln umsetzt und mindestens einer Person die das ganze Überwacht bzw. kontolliert.
    Im allgemeinen Sprachgebrauch wird damit aber meist nur das Gerät bzw. das STück Software gemeint, welches den Schutz des eigenen Netzes oder PCs gewährleisten soll.
    Überlicherweise sind Firewalls unsere Freunde!
    Wenn wir nun eine Firewall für unser Netzwerk betreiben, sollten wir sehr genau wissen, was sie macht und wie sie es macht. Dazu sollten wir uns intensiv mit den Netzwerkprotokollen auseinandersetzen.
    Legt bitte vorher fest, welchen Netzwerkverkehr Ihr zulassen wollt und welchen nicht und beginnt erst dann mit der Konfiguration!
    Da die Thematik Firewalls ebenfalls ganze Foren im Internet beschäftigt, sei hier nur soviel erwähnt:
    - Firewalls sind dafür gedacht den Netzwerkverkehr einzuschränken (es kann also durchaus gewollt sein, dass etwas nicht funktioniert!)
    - sie dienen dem Schutz des Netzwerkes
    - können Ursache für Netzwerkprobleme sein.


    Mein Tipp
    Sofern Ihr nicht genau wisst, was eine Firewall macht, wie sie konfiguriert wird und wie einzelne Protokolle sinnvoll gefiltert werden können, lasst die Finger davon!
    Ein falscher Mausklick reicht um das gesamte Netz zum Stillstand zu bringen oder den Internetzugang auf NULL zu reduzieren ;)


    Zu Testzwecken kann es manchmal notwendig sein, die vorhandene Firewall abzuschalten bzw. wirkungslos zu machen. Wichtig ist dann jedoch sie auch wieder zu aktivieren ;) wenn mann den Übeltäter gefunden hat.

  • VLANs = Virtuelle Netze
    Wenn Ihr in Eurem Netzwerk den Bedarf habt, das bestehende Netzwerk aus Sicherheitsgründen zu unterteilen könnt Ihr über VLAN nachdenken.
    Virtuelle Netze benötigen mindestens spezielle Switche und ggf. auch Router um auf dem physikalischen Netzwerk die virtuellen Netze abbilden zu können. Wie dies im einzelnen geht, ist von Hersteller zu Hersteller verschieden und kann hier nicht in aller Ausführlichkeit behandelt werden.


    Wenn Ihr nun VLANs aus welchen Gründen auch immer einrichten wollt/müsst, solltet Ihr Euch folgendes Bewusst machen:
    Alle angelegten VLANs nutzen die gleiche Physik (sprich die gleichen Kabel, Switche etc.), daher ist sehr sorgfältiges Planen des "wie" ebenso wichtig wie die Umsetzung des "wie". Bereits kleine Flüchtigkeitsfehler können gravierende Auswirkung auf Eure Netze haben.
    IPs/Subnetze/Standard Gateways sind da noch die einfachen Querulanten!


    Wozu braucht man VLANs?
    Wie oben genannt sind es überwiegend Sicherheitsaspekte die aufgeführt werden, insbesondere in komplexen Umgebungen (Beispielsweise in einem Büronetzwerk, wo die Konfigurationen der Aktivkomponenten von den Zugriffen der Nutzer ferngehalten werden sollen)
    Sie machen aber auch u.U. im privaten Bereich Sinn, wenn Ihr z.B. Euer Multimedianetzwerk mit den ganzen Streamingclients von der LAN-Party Eures Juniors fernhalten wollt.......


    Fehlersuche, wie?
    Sehr aufwändig, wenn man es nicht selbst konfiguriert hat! Hier seien nur mal die Begriffe "VLAN ID" und "tagging" genannt! Ist der Client am richtigen Netzwerkport? Stimmen die Netzwerkparameter? Kennzeichnet der Client die Datenpakete mit einer entsprechenden VLAN-ID? usw...
    Kurz, wer sich damit rumärgern muss/will, sollte sich ausreichend mit der Materie beschäftigen ;)

  • FTP
    das sogenannte File Transfer Protocol dient der einfachen Übertragung von Dateien innerhalb von Netzwerken.
    Es gibt aktives und passives FTP was uns als User aber nicht weiter interessieren muss (außer das man in seiner FTP-Application ggf. einen Schalter setzen muss ;)


    Das File Transfer Protocol ist leider nicht sicher, da Nutzername und Passwort offen übertragen werden und mit geeigneten Tools von nahezu jedermann mitgeschnitten werden kann. Es ist also besser dieses Protokoll heutzutage nur noch innerhalb des eigenen Netzwerkes zu verwenden oder ganz darauf zu verzichten.


    Wenn Ihr FTP auf Eurem NAS nutzen wollt um Freunden, Bekannten & Verwandten Zugriff auf Eure Dateien zu gewähren, solltet Ihr Euch der Gefahr bewusst sein!
    Da auch der Router entsprechend konfiguriert werden muss, ist es auch für "script-Kiddies" recht einfach diese "Einbruchstelle" zu finden.


    Mein Tip:
    Wenn Ihr drauf verzichten könnt, dann tut es! Besser und sicherer geht es mit VPN!

  • Trunking ~ Lastverteilung ~ Portbündelung


    Die NASen mit zwei Ethernetschnittstellen erlauben die Bündelung dieser Schnittstellen um die Netzwerkperformance zu erhöhen.


    Was hat es damit nun auf sich?
    Nehmen wir an, Ihr habt zu Hause ein GB-Netzwerk und habt die statistischen 2,3 PCs in Eurem Netzwerk (zzgl. vielleicht noch 3 Smartphones und 5 iPads ;) ) und betreibt dazu noch einen oder zwei Streaming Clients.
    Bei diesem Szenario könnte schnell der Eindruck enstehen, dass eine Schnittstelle des NAS nicht mehr ausreicht um diese Clients (einschließlich der in Klammer genannten ;) ) zu versorgen. Tatsächlich jedoch dürfte die Auslastung einer Schnittstelle mit dieser Ausstattung nicht so schnell erreicht werden, es sei denn, Ihr schiebt ständig ganze Videotheken und MP3-Sammlung auf das NAS. Im Routinebetrieb mit vielleicht 3 oder 5 Nutzern die mal eine Datei bewegen und vielleicht einige Dateien streamen, bringen die Netzwerkschnittstelle noch nicht aus dem Tritt.
    Also ist für dieses Einsatzgebiet die Bündelung dieser Schnittstellen nicht notwendig (außer man ist ein Geek und seeeeeeeeeeeehr ungeduldig....) und Ihr fahrt besser damit die beiden Schnittstellen ausfallsicher ("Fehlerüber") zu betreiben.


    Wenn Ihr Euer NAS jedoch ständig mit großen Dateien betankt, viele aktive Clients habt oder aus sonstigen Gründen der Meinung seid, eine Schnittstelle ist zu wenig, dann
    könnt Ihr diese beiden Schnittstellen zu einer "logischen Schnittstelle" zusammenfassen. Dies setzt jedoch einen entsprechenden Switch voraus.
    Dieser Switch muss "Port-Trunking", "Channelbundeling", "Link-Aggregation", "Bonding", "Etherchannel" oder "Load Balancing" (oder wie man das auch immer nennen kann) unterstützen. Solche Switche gibt es jedoch in der Regel nicht für 5€ im Baumarkt Eures vertrauens und wird auch selten bei den großen Elektronik-Märkten über den Ladentisch verkauft. Sinnvolle Geräte, die dieses Feature beherrschen liegen meist deutlich über 100€!
    Hinzukommt das die Konfiguration dieser sogenannten "managed Switches" nichts ist, was man kurz vor dem Frühstück und ohne das Handbuch gelesen zu haben macht. Im Gegenteil, die Konfiguration der Geräte setzt solide Kenntnisse von Netzwerken (TCP/IP, Routing, VLAN etc) voraus.


    Nachdem Ihr nun Euren Switch mit der o.g. Funktion eingerichtet habt, und Euer NAS über diesen Trunk erreichen könnt, sollte die Datenübertragung von und zum NAS schneller von statten gehen.
    Beachtet jedoch, dass die maximale Datentransferrate, die Ihr nun erreichen könnt, davon abhängig ist, welche Übertragungsrate von von dem genutzten Client zur Verfügung gestellt wird! Also wenn Ihr versucht mit Eurem Laptop über WLAN auf die 2GBit-Schnittstelle des NAS zuzugreifen, werdet Ihr weiterhin von der Performance enttäuscht sein!


    Wann solltet Ihr Porttrunking verwenden?
    - wenn Ihr die entsprechende Technik zuhause habt (Switch!) und Ihr genau wisst was Ihr tut!
    - wenn Ihr ein Netzwerk mit sehr vielen Clientsbetreibt!
    - wenn Ihrf zuviel Kohle habt und Ihr einfach Technikgeil seid
    Eine allgemeingültige Antwort darauf gibt es nicht!


    Beachtet bitte, dass es auf dem Weg zum funktionierenden Port-Trunking sehr viele Fallstricke gibt!

  • httpS vs. VPN


    HTTP ist bekanntermaßen ein IP-Protokoll, welches schwerpunktmäßig Daten zwischen einem Webserver und einem Client transportiert.
    Die verschlüsselte Variante davon nennt sich HTTPS, wobei das hinzugefügte S für secure steht.
    Bei "https" werden die "Nutzdaten" mittels Verschlüsselung vor dem Fremdzugriff geschützt. Der Nachteil dieses Protokolls liegt jedoch in der eingeschränkten Nutzungsmöglichkeit, da es sich um eine Punkt zu Punkt Verbindung handelt und nur Daten von A nach B transportiert werden können-


    Genau bei diesem Nachteil setzt jedoch der sogenannte VPN-Tunnel an.
    Auch der VPN-Tunnel ist eine Punkt zu Punkt Verbindung, jedoch kann hier das Tunnelende auch ein Router sein und so lassen sich ganze Netze hierüber verbinden.
    Hierzu wird das eigentliche IP-Paket von einem VPN-Gateway komplett verschlüsselt, mit neuen Absender- und Empfängerdaten versehen und zu dem VPN-Gateway am anderen Ende des Tunnels verschickt. Der VPN-Tunnel kann dabei duch "feindliches Territorium" (gemeint ist das Internet) führen oder durch das internen LAN (zur Maximierung der Sicherheit)
    In beiden Fällen sind nur die Gateways in der Lage die verschlüsselten Daten wieder zu entschlüsseln.
    Der Tunnelendpunkt kann wie bereits erwähnt ein Router sein, oder jedes VPN-fähige Netzwerkgerät (PC, Handy, Kaffeemaschine etc.).


    Worin liegt nun der Vorteil des VPN(-Tunnels)?
    Die Verschlüsselungsparameter sind nur den Tunnelendpunkten bekannt und werden "on the fly" ausgehandelt.
    Eine gesicherte Verbindung zwischen diesen Tunnelendpunkten kann nur dann aufgebaut werden, wenn vorher ein "preshared Secret" ausgetauscht wurde (dies passiert i.d.R. während der Konfiguration) und die Verschlüsselungsparameter (Schlüssellängen, Verschlüsselungsalgorithmus) auf beiden Seiten gleich konfiguriert wurden.
    Über einen VPN-Tunnel können alle Netzwerkgeräte des Zielnetzes angesprochen werden!
    Über VPN-Verbindungen lassen sich alle IP-Protokolle übertragen (HTTP, FTP, NTP, POP, etc)


    Wie funktioniert nun ein VPN-Tunnel?
    Nehmen wir einmal folgende Konfiguration an:
    VPN-Client ist ein PC der via UMTS mit dem Internet verbunden ist.
    VPN-Server (oder Gateway) ist Euer DSL-Router. Euer NAS zuhause hat die IP 192.168.178.200
    Wenn Ihr nun eine Verbindung mit dem PC zu eurem NAS aufbauen wollt, passiert (schmatisch) folgendes:
    Der PC baut eine Verbindung zu eurem Router auf und meldet sich mit einer Nutzerkennung und Passwort an.
    Der Router antwortet damit, dass er Euren PC eine Verschlüsslung anbietet und ein verschlüsseltes Paket sendet, dass mit dem "preshared Secret" verschlüsselt wurde.
    Nun versucht der PC dieses Paket zu entschlüsseln. Gelingt dies, meldet er dies dem Router und bekommt daraufhin eine IP-Adresse (192.168.178.105) aus Eurem internen Netz (zusätzlich zu der öffentlichen die er ohnehin schon hat!).
    Mit dieser zusätzlichen IP erhält der Client die Eintrittskarte in Euer Netz und kann ab diesem Moment mit allen Geräten in Eurem Netzwerk kommunizieren, als wäre er zuhause in eurem Netz.
    Die Verschlüsselung der Datenpakete erfolgt dabei automatisch durch die Tunnelenden.
    Konkret wird jedes Paket aus Eurem LAN durch den Router verschlüsselt und erhält als Zieladresse die öffentliche IP des Clients. Der Client empfängt nun dieses Paket und entschlüsselt es, dabei findet er ein komplettes IP-Paket, das als Ziel die ihm zugewiesene IP (192.168.178.105) und als Absenderadresse die IP des NAS (192.168.178.200) enthält.
    Wenn der Client nun antworten will, wird das Antwortpaket mit Ziel-IP(x.x.x.200) und Absende-IP(x.x.x.105) durch den VPN-Client wiederum verschlüsselt und von der öffentlichen IP des PC an die öffentlich-IP des Routers versandt, wo das ganze Ent- und Verschlüsseln wieder durchgeführt wird (sinngemäß umgekehrt ;) )


    Die hier dargestellte Funktionsweise von VPN ist stark vereinfacht und um das Verständnis zu erleichtern sind diverse Details weggelassen worden (z.B. Verschlüsselungsalgorithmen)!
    Die genaue Funktionsweise von VPN kann beispielsweise bei Wikipedia nachgelesen werden.

  • Da ich einige PNs bekommen habe, die sich auf die Vollständigkeit und/oder Aktualität dieser FAQ (und anderer meiner Themen bzgl. Netzwerk & Netzwerksicherheit) beziehen und teilweise nicht sehr freundlich waren, möchte ich mich an dieser Stelle hierzu noch einmal äußern ;)


    Auch wenn diese FAQ (und/oder andere meiner Beiträge) nicht mehr "ganz" aktuell ist und zum besseren Verständnis für Einsteiger größtenteils auf komplexe Zusammenhänge verzichtet, sind diese Grundlagen noch immer gültig!


    Das sich in den letzten 8 Jahren in Punkto Netzwerken und Netzwerksicherheit viel getan hat, sollte jedem Klar sein!
    Wer sich grad beginnend mit Netzwerken auseinander setzt oder setzen muss, wird mit dieser FAQ einen guten Ausgangspunkt haben und kann bei weiterführenden Fragen gerne die Suchmaschine seiner Wahl bemühen!


    Wer meint es besser zu wissen oder zwingend mehr Tiefgang in diese FAQ bringen möchte, möge sich frei fühlen hier zu ergänzen oder "richtigstellen"!

    (da dies jedoch in den letzten 8 Jahren niemand gemacht hat.....)


    All die Beiträge die hier von den vielen Nutzern verfasst wurden sind freiwillig, in der Freizeit und in bester Absicht geschrieben worden um anderen Nutzern zu helfen!

    Wer das nicht versteht oder nicht wertschätzen kann oder will, ist meiner Meinung nach hier falsch!


    Bis in 8 Jahren ;)

    Jody

  • Hallo jody, das eine sehr gute Zusammenfassung.

    Da sich im laufe der Jahre jedoch ein paar Kleinigkeiten geändert haben, andere sind wiederum gleich geblieben (AVM VPN Integration), habe ich hier ein paar Ergänzungen.



    Ergänzung Artikel 5, Punk 4 SSID:


    Das verstecken bringt keinen Sicherheitsgewinn, ganz im Gegensatz, denn die Clients versuchen sich immer an diesem an zu melden. Der Angreifer sieht also ständig den ersten Teil des Handshakes und kann daraus ggf. Rückschlüsse ziehen.


    Mit einem kleinen Stück Software, kann ich diese Netze eh sichtbar machen, also verzichtet darauf.


    Zudem sollte der Name für euch einprägsam sein, ruhig was Einfallsreiches, so dass ihr diese SSID im ganzen Getümmel wieder findet.


    Den Default Namen zu verwenden ist eine ganz schlechte Idee, da immer wieder Kombinationen aus Name, Router + Kennwortdesign bekannt geworden sind. Dann ist das Kennwort zwar nicht gleich bekannt, aber es kann sehr leicht, mit einigen Million Versuchen erraten werden.




    Ergänzung Artikel 5, Punk 5 Verschlüsselung:


    Ja die Sicherheit hängt ab WPA2 fast nur noch vom Kennwort ab, ist das mit dem vollem ASCI Zeichensatz gewürfelt, wird das niemand knacken.


    Es tippt aber auch niemand mehr ein. Also findet einen Kompromiss, vermischt Wörter, setzt zufällig Buschstaben klein/groß und hier mal ein Sonderzeichen, da eine Zahl usw.


    Zudem kann nicht jeder Router 63 Zeichen. Und verzichtet auf Umlaute, sonst kommt jemand mit einem anderen Betriebssystem vorbei und der kommt nicht ins WLAN, weil das Zeichen zwar auf deinem Router verwendet werden darf, aber nicht im international verwendbarem ASCI Zeichensatz enthalten ist.


    Da in der letzten Zeit auch immer wieder Angriffsmöglichkeiten auf WPA2/3 bekannt geworden sind, je der neue 3er Standard kommt deshalb viel später als gedacht denn er wurde mehrfach überabeitet.


    Es gibt Wege sich auch mit WPA2 zu schützen, das Problem sind mal wieder die Clients die das ggf. nicht mit machen.


    Protected Management Frame ist z.B. so ein Mechanismus, den gibt es schon eine ganze Weile, er bietet einen sehr guten Schutz, wird das aktiv, kann es passieren das ihr mit alten Clients keinen Zugang mehr habt.


    Testet das also, wenn ihr LAN Zugriff auf den WLAN Router habt.


    Ich betriebe mehrere SSIDs und die für IoT kann das nur optional anbieten, aber nicht erzwingen, sonst habe ich keine Clients mehr im WLAN.




    Ergänzung Artikel 5, Punk 6 MAC-Filter


    Lasst den Filter deaktiviert, das bring in der Praxis nur Probleme aber keinen Nutzen.


    Es sei denn ihr fangt mit 802.1x, Radius Auth und wollt, weil die Kisten das zum teil nicht können, aufgrund der MAC einen speziellen PSK abfragen.


    Das sagt euch nix, dann lasst es deaktiviert, euer Leben wird damit einige Stunden Fehlersuche ärmer.


    Ergänzung Artikel 6 Firewall


    Die einfache Version steckt in jedem gescheitem Heimrouter, diese blockt per Default alles aus dem WAN Richtung LAN und lässt alles aus dem LAN zum WAN ungehindert durch.


    Das hat aber nix mit einer richtigen Firewall Appliance (Virtuell oder als Hardware ist egal) zu tun.


    Denn bei diese ist per Default alles verboten, hier muss also jeder Datenverkehr erst freigeschaltet werden und dann auch noch das NAT LAN – WAN manuell eingerichtet werden.


    Auch für den Profi dauert die Einrichtung so einer Firewall mehrere Stunden in der Grundkonfiguration. Da sind dann erst ein paar Netze, ein/zwei VLANs eingerichtet, also nix wildes.


    Dann ist es mit der Einrichtung nicht getan, diese muss ständig betreut werden und reift dann im Betrieb zu einem granular eingestellten Sammelsurium von Einstellungen, Regeln usw.




    Und ja auch der Profi erwischt hier hin und wieder mal eine Einstellung die dann, nicht unbedingt gleich, eher so schleichend und sporadisch ihre negative Auswirkung zeigt. Bis es dann eskaliert und gar nix mehr geht.






    Ergänzung Artikel 7 VLANs


    Kann man diese einsetzten, ist ein Managed Switch vorhanden und diese kann auch Spanning-Tree.


    Hier sollte man sich auch mit der Grundlegenden Funktion vertraut machen, denn es kann einem den Arsch retten oder das LAN killen weil es die Uplinks blocked.


    Will man das nutzen, weil dann ein Loop keine negativen Auswirkungen mehr auf das Netzwerk hat (oder sehr begrenzte, hängt halt von der Switch Hardware ab), muss man es sauber einrichten.


    Hier ist ein Root Switch notwendig, diese zeichnet sich aus, dass er die niedrigste Priorität hat, das ist 0. Je nach Hersteller geht es dann in Schritten (HP 1-15 oder 0 – 64k in 4096er Schritten) weiter nach oben.


    Dazu gibt es auch hier verschieden Umsetzungen, die jeweils gewisse vor und Nachteile haben.


    Ich selber verwende gern MST, weil es von den meisten Kisten unterstützt wird und zum normalen STP direkt abwärtskompatibel ist.






    Ergänzung Artikel 11 VPN


    Aktuelle Tunnel, leider auch 2021 noch nicht alle die eine Fritzbox anbietet (Site to Site ja, Site to End nein), arbeiten mit PFS (Perfect Forward Secrecy). Hier wird der PSK nur für den Tunnelaufbau verwendet, dann werden Regelmäßig neue Gruppenschlüssel erstellt und diese fortlaufend verwendet. Diese Gruppenschlüssel sind nur den beiden VPN Tunnel Partner bekannt, niemandem sonst.


    Zeichnet also jemand die Daten auf die ihr austauscht, bekommt später euren PSK in die Finger bringt diese nix, weil die Daten mit einem für ihn weiterhin unbekanntem Key verschlüsselt wurden.


    Der Schutzfaktor von so einem Tunnel ist also nur noch von der verwendeten Verschlüsselung abhängig.



    Gruß

    Dennis

  • Da der Thread nach 11 Jahren wiederbelebt wurde ^^:

    Die meisten Links aus dem Anfangspost laufen ins Leere, was angesichts des Alters weder überrascht noch verwundert, nur so als Hinweis!

    Außerdem finde ich es schon dreist, wenn sich per PN, und dann auch noch in -freundlich formuliert- unangemessenem Ton darüber beim TE beschwert wird.

    Meiner Vorstellung nach gehören diese Nutzer in die Kategorie, die nur möglichst schnell und einfach ihre Probleme gelöst haben wollen ohne jemals selbst hier konstruktiv gewesen zu sein, aber genau solche Nutzer braucht man in einem Forum nicht wirklich.


    Und 11 Jahre in der IT, da liegen teilweise mehrere Produktzyklen dazwischen!

    Wie der TE schon sagte: nicht einfach nur meckern, selber ergänzen/verbessern wäre die richtige Strategie.


    Gruss