Netzwerke trennen mit Switch

Und was macht die VM mit der Netzwerkkarte B?

Wo soll sie hin, wozu braucht sie eine physische Netzwerkkarte?

Wenn ich mir deine Zeichnung ansehe, bin ich nur froh das ich keine Daten auf dem NAS habe. Wozu soll das gut sein ?

Der Switch müsste VLAN beherrschen, der Router eine DMZ haben und die QNAP müsste virtual Switch beherrschen. Allerdings stellt sich die Frage wo der Sinn darin besteht. Die QNAP wird immer ein Brücke zwischen den beiden Netzwerken darstellen und einem Angriff wohl nichts entgegensetzen können, denn die QNAP ist ein Storage und keine Firewall.

Das was du vorhast macht ein Router und kein Switch.

Ein Router verbindet verschiedene Netzwerke miteinander, ein Switch leitet nur Pakete innerhalb eines Netzes an die Clients weiter. Kann er VLAN bzw. ist ein managed Switch dann eben innerhalb eines Netzes, aber mehrere Netze kann er simultan verwalten. Brauchst du aber gar nicht, da in deinem einen Netz ja nur die NAS steht.

D.h. du brauchst mindestens einen zweiten Router.

Vielleicht hilft dir das ein bisschen auf die Sprünge:

https://www.heise.de/ct/artikel/Router-Kaskaden-1825801.html

Mavalok2

Den Switch den er hat habe ich auch, der kann VLAN. Man kann sogar die Ports in verschieden VLANs programmieren.

Jede FritzBox kann DMZ das heisst da nur Exposed Host.

Man könnte sogar bei der FritzBox ein VPN auf die auf die LAN Ports 2od. 3 od. 4 beschränken (Kopplung 2er Fritzboxen) und ander IP-Adressen vergeben.

So entnehme ich es zumindest dem Konfigmenü meiner Fritte. Ob es auch so funzt. KA.

Zitat von UpSpin

D.h. du brauchst mindestens einen zweiten Router.

Nicht zwingend. Ein Router mit DMZ kann mit zwei verschiedene Netzwerk umgehen, wobei ich diese Aufgabe bevorzugt einer Firewall überlassen würde. Aber das Ganze bring sowieso nichts, wenn die getrennten Netzwerke mit der QNAP wieder verbunden werden. Ich glaube nicht, dass sich die QNAP brauchbar abschotten lässt.

Edit:

Zitat von sakis2018

zwischen den beiden Netzwerken soll keine Brücke entstehen, sollen quasi voneinander abgeschottet sein.

Dann wird es wohl 2 QNAP benötigen. Ansonsten müsste dies mit den vorhanden Mitteln funktionieren.

Je nach Sensibilität und Wichtigkeit der Daten würde ich die Funktion der Firewall nicht der Fritzbox sondern lieber ein professionallen Firewall überlassen.

Zitat von sakis2018

Genau das macht das VLAN, oder liege ich da falsch?

Das VLAN schon. Aber ein Virus auf der QNAP frisst sich durch die ganze QNAP, egal von welcher Seite der Schädling kommt, da hier einfach keine sauber Trennung hinzukriegen ist - zumindest wüsste ich nicht wie. Schließlich liegt hier alles auf der selben "Platte". Eine gewisse Abschottung der VMs mag zwar vielleicht möglich sein, aber darauf würde ich mich nicht wirklich verlassen. Vor allem wenn der Schädling sich auf der QTS-Basis befindet sind die VMs für den auch nichts anders als eine Datei die gefressen werden will. Und letzten Endes: Greifen die VMs nicht auf die Daten, die auf der QTS-Basis liegen zu?

Man kann es auch übertreiben, dann kann man alles sein lassen.

Es geht ihm darum, die VM vom Rest zu entkoppeln. Und genau das macht eine VM. Und dann frisst sich da gar nichts durch die ganze QNAP, da der Schädling auf der VM ist und nur dort und auch nur Zugriff auf spezielle Ordner hat. Und nur weil er Zugriff auf Ordner auf der NAS hat, erlangt er nicht automatisch root Rechte und oder kann Programme einfach so ausführen.

Die andere Richtung ist egal, denn das ist im lokalen Netz. Wenn da ein Schädling drauf ist, ja dann ist es eben so, wie bei allen anderen NAS Nutzern genauso. Also mal realistisch bleiben.

Noch einmal:

Ein Switch macht kein VLAN auf. Da du nur die NAS in dem Netz hast brauchst du auch gar keinen VLAN fähigen Switch. Alles was du brauchst sind Router, denn die, und nur die, können verschiedene Netze verbinden.

Nun kannst du Heim Router nutzen und den Weg wie in meinem Link gehen oder du kaufst dir professionelle Router die mehrere frei konfigurierbare Netzwerkadapter haben.

Zitat von UpSpin

Man kann es auch übertreiben, dann kann man alles sein lassen.

Wie weit man gehen sollte hängt von der Situation und der Sensibilität der Daten ab. Handelt es sich nur um normale private Daten, dann hast Du sicher recht.

Zitat von UpSpin

Es geht ihm darum, die VM vom Rest zu entkoppeln. Und genau das macht eine VM.

Wie gut diese Entkopplung auf einer QNAP wirklich funktioniert bin ich mir nicht sicher, mal abgesehen davon, dass dies dann auch richtig eingerichtet sein muss. Für sensible Daten wäre das nichts für mich. Und dabei denke ich jetzt weder an Meltdown noch an Spectre, die auch noch nicht (alle) gestopft sind.

Zitat von UpSpin

Da du nur die NAS in dem Netz hast brauchst du auch gar keinen VLAN fähigen Switch.

sakis2018 Gibt es hier denn keine lokalen PCs, die darauf zugreifen sollen? Wenn nicht, dann braucht es wirklich keinen Switch dazwischen.

Zitat von sakis2018

Warum brauche ich mehrere Router? Wozu gibt es dann zwei Netzwerkanschlüsse auf der NAS? Welche Funktion haben die Virtuellen Switche? Das habe ich ich noch nicht so ganz begriffen

doch, ein lokaler Rechner soll auf die Daten und die VM zugreifen können.

Nicht böse nehmen, aber probier dich damit mal rum, dann verstehst du mehr von Netzwerktechnik:

Speziell Netzkennung und Subnetzmaske. Ebenso die Übung mit den Routern um zwei verschiedene Netze miteinander zu verbinden.

http://www.lernsoftware-filius.de/Herunterladen

http://www.lernsoftware-filius…nfuehrung_Filius_2015.pdf

Kurz und knapp:

Du hast zwei verschiedene Netzwerke die nicht miteinander kommunizieren können sollen, aber doch irgendwie verbunden werden müssen, denn beiden sollen über die selbe Internetschnittstelle nach außen kommen.

Dein aktueller Router hat aber nur 'zwei' Netzwerkkarten. Eine für das Internet (WAN), eine zweite für dein internes Netzwerk (LAN). Natürlich hat er mehrere Anschlüsse für das LAN, da intern noch ein Switch verbaut ist, sodass du dann mehrere Geräte im selben Netz daran anschließen kannst.

Dein internes LAN besteht aber aus zwei nicht kompatiblen Netzen (QNAP NAS und VM). Wer soll die nun zusammenführen? Ein Switch macht das nicht! Also brauchst du entweder ein Router mit mehreren frei konfigurierbaren Netzwerkadaptern (gibt es, muss man dann aber wissen wie man sie konfiguriert) oder man macht den Trick aus dem Link von Heise und 'missbraucht' die WAN Anschlüsse.

So wie es aussieht unterstützt die Fritzbox kein DMZ sondern nur Exposed Host. Das wird wahrscheinlich für Dein Projekt nicht ausreichen bzw. das Richtig sein oder kann sogar das Gegenteil von dem bewirken was Du erreichen willst.

Ich fürchte UpSpin hat hier Recht. Hier wirst Du eine andere Lösung in Form von zusätzlichen Geräten brauchen. Ich persönlich würde für so eine Aufgabe eine echte Firewall verwenden, die mit mehreren Netzwerken umgehen kann. Hier kannst Du dann auch genau steuern, wer von welchem in welches Netzwerk darf. Bei mehreren Routern wird dies nicht zwingend einfacher. Allerdings kostet eine brauchbare Firewall ein paar Euros.

Die Firewall ist eine Box, die Du hinter den Router hängen kannst. Ab hier splitten sich dann Deine beiden Netzwerke. Die Firewall leitet dann beide Netzwerk ins Internet und regelt auch die Kommunikation untereinander.

Wäre das eine Möglichkeit ? Siehe Bild.

Sind dies dann zwei getrennte Netzwerke? Und wie kontrolliert man die Kommunikation zwischen beiden Netzwerken?

Hier eine Beschreibung.

Das ist aber ein VPN Tunnel zwischen zwei Fritzboxen.