Netzwerke trennen mit Switch

    Hi, auch wenn viele sagen, nicht der schon wieder, gebe ich hier auch mal meinen Senf dazu.

    Zitat von UpSpin

    Dein internes LAN besteht aber aus zwei nicht kompatiblen Netzen (QNAP NAS und VM). Wer soll die nun zusammenführen? Ein Switch macht das nicht! Also brauchst du entweder ein Router mit mehreren frei konfigurierbaren Netzwerkadaptern (gibt es, muss man dann aber wissen wie man sie konfiguriert) oder man macht den Trick aus dem Link von Heise und 'missbraucht' die WAN Anschlüsse.

    Ich bin hier ganz bei UpSpin.


    Wenn ich her wieder Sachen wie Exposed Host höre läuft es mir eiskalt den Rücken herunter.


    Meines erachtens sind VLANs hier der richtige Ansatz. Alllerdings muss hier nicht nur der Switch VLAN-fahig sein auch der Router. Denn dieser muss ja wissen wie er die Paktete intern routen muss.


    DAs Szenario benötigt allerdings tiefergehendes Wissen über Netzwerktechnik und geht weit über das klicki bunti Firitzboxeninterface hinaus.


    Eine saubere trennung von VM und NAS ist definitiv auch machbar, dank des virtuellen Switches.


    Aber evtl. könnte man auch noch mehr "Sicherheit" erreichen, wenn z.B. nur die notwendigen Ports der virtuellen Maschine nach aussen freigegeben werden.


    Für Plex z.B. TCP/32400. Alles andere wird dann nur über VPN, kann ja das QNAP VPN sein, erreichbar gemacht.


    Zusaätzlich kann man ja die IP der VM in den NAS Sicherheitseinstellungen als Blacklistet setzten, so können zugriffe von der VM aufs NAS verhindert werden.


    Muss doch eine Kommunikation auf das NAS stattfinden kann ja ein getrennter virtueller Switch mit einem zweiten internen Netz ertstellt werden, welcher nur für die Kommunikation NAS und VM zuständig ist. Die Daten können ja dann z.B. per NFS R/O in die virtuelle maschine gemoutned werden.


    Ist aber nur ein Dirty Workaround.

    Zitat von TheColorfulDude

    Wenn ich her wieder Sachen wie Exposed Host höre läuft es mir eiskalt den Rücken herunter.

    Wieso ? Das war eine Antwort auf die Frage ob die Fritte DMZ kann. Da heisst es nun mal Exposed Host. Außerdem wurde der Threadstarter darauf hingeiwiesen das es eine mehr als ungüstige Lösung wäre.


    Zitat von TheColorfulDude

    Meines erachtens sind VLANs hier der richtige Ansatz. Alllerdings muss hier nicht nur der Switch VLAN-fahig sein auch der Router. Denn dieser muss ja wissen wie er die Paktete intern routen muss.


    Das kann sein Switch, die Fritzbox aber nicht. Daraufhin hatte ich den Vorschlag mit der LAN-LAN Kopplung 2er Fritten gemacht wobei der VPN jeweils unterschiedlichen LAN-Ports zugewiesen wird.



    Zitat von TheColorfulDude

    DAs Szenario benötigt allerdings tiefergehendes Wissen über Netzwerktechnik und geht weit über das klicki bunti Firitzboxeninterface hinaus.


    Na wie gut das wir dich haben. Dann kannst du uns alle Erleuchten. :)

    Zitat von Jagi

    Na wie gut das wir dich haben. Dann kannst du uns alle Erleuchten. :)


    Ok, dann mal los.


    Also zur Plaung:


    Wir plannen zwei Netze. Eines für die VM und eines für das NAS und den Rest das per VPN erreicht werden soll.


    NAS Netz 192.168.1.0/24 Kein VLAN (ist Standartmässig die 1)

    VM Netz 10.0.20.0/24 VLAN ID 20 (Nur exemplarisch damit man es besser in der Erläuterung auseinanderhalten kann)


    Soweit so gut.


    Als erstes schauen wir uns den Switch an. Da wir nur einen Port mit VLAN benötigen richtet man 1 Port ein der auf die VLAN ID 20 hört. Da wir 802.1Q benutzen sollten diese "tagged" sein. Einen zweiten tagged Port der sowohl auf die VLAN ID 20 als auch auf die 1 hört. Das ist von Switch zu Switch sehr unterschiedlich, wie die benamungen und das einrichten ist. Im normalfall haben alle LAN Ports standardmässig das VLAN 1 eingerichtet.


    Danach kommt der Router dran dieser hat in der Regel mehrere Netzwerkanschlüe. Stadarmässig ist einer davon WAN und der rest LAN. Kann sein muss aber nicht. Es sind auch 2 oder mehr WAN anschlüsse denkbar, in z.B eine Failover oder Balancing Szenario.
    Im Router sollte nun auch ein spezielles "tagged" Interface angegeben werden, welches auf die VLAN ID 20 und auf die ID 1 hört. Zudem natürlich auch ein DCHP Server, welcher auf beinden Netzen Adressen vergeben kann, nicht nötig wenn in den netzten nur statische IPs vergeben werden. Könnte ja im 10.0.20.0/24 Netz der Fall sein. Auch hier kommt es wieder stak auf den Router an.


    Evtl. muss hier schon etwas am NAT und der Firewall gemacht werden, das die im Subnetz befindlichen geräte untereinander kommunizieren können, oder halt auch eben nicht! Im 10er Netzwerk kann es ja durchaus Sinn machen per FIREWALL den interne kommunikation zu blockieren.


    Der Switch wird nun mit dem Router verbunden. Bitte hier ganz genau darauf achten, das die beiden Ports die sowoh auf die 20 als auch auf die 1 hören, miteinander verbunden sind.


    Nun das QNAP


    Am QNAP das erste Interafce an einen ungetaggten Port (192er Netz) am Switch klemmen und und das zweite an den noch übrig gebliebenen Port, welcher auf die 10 hört klemmen (10er Netz).


    Im Webinterface muss noch dem zweiten interface die VLAN ID 20 gegeben werden, Ganz wichtig! BEVOR ein virtueller Switch erstellt wird.


    Nun sollten sich beide Interfaces eine IP ziehen oder die IPs werden statisch vergeben. Ich bin mehr der freund von statischen IPs. Wir müssen ja später noch NATen und FIREWALLen. Oder im Router der MAC des jewl. Interfaces ne IP fest zuweisen.


    Ok, gehen wir davon aus der Pingtest passt soweit.


    Nun ist das ganze Ding noch offen wie ein Scheunentor. Also Zauberwort, Servicebinding. Im QNAP WEB-UI werden nun für das zweite Interafce (10er Netz) ale Services dektiviert. Wir wollen ja nur die VM auf dem Interface haben.


    Dann konnt der virtuelle switch für das zweite Interface. Diese wie gewohnt erstellen und das virtuelle Interafce der VM damit brücken.


    Ich glaube, da der virtuelle Switch schon getagged ist mit der VLAN ID ist das taggen des virtuellen Interfaces der VM nicht nötig. Falls doch diese bitte taggen. Die VM sollte sich nun eine 10er IP ziehen.

    So richtig glücklich bin ich aber noch nicht, als ran ans fröhliche NATen und FIREWALLen im Router. Router in dieser Preisklasse haben NAT und aber noch eine Zusätzliche Firewall. Eine Firzbox z.B. hat nur NAT. Keine "echte Firewall".


    Also zuerst z.B. den Port 1194/UDP (klassisch OpenVPN) in das VLAN und an die Adresse der NAS (wenn QVPN genutzt werden soll) NATen und dann FIREWALLen, also das 192er Netz. 32400/TCP (Plex) kann ja dann an 10.0.20.x (VM-Adresse) VLAN ID 20 geNATet und geFIREWALLed werden.


    Viele Router in diesen Preiklassen haben auch eigene VPN Server anbord, damit könnte man die VPN Situation auch lösen. Allerdings muss dann noch mehr geNATed und geFIREWALLed werden, denn das Transfernetz muss ja mit dem internen Netz kommunizieren. Vorteil wäre, das du oft mehrere VPNs erstelen kannst. Das wemöglicht die Nutzung von z.B. Site-to-Site und Client-to-Site verbindungen gleichzeitig, welche dann auf verschiedene Netze zugreifen können.


    Wenn Du QVPN nutzt und noch andere Geräte im Netz über den Tunnel erreichen willst dann kannst Du z.B. in der .ovpn Datei noch eine Route pushen.


    So hast du zwei sauber voneinander getrennte Netze für diesen Einsatzzwek.

    Bei dem Switch kann ich Ports dem Vlan zuteilen. Ich kann auch Ports mehreren VLANs zuordnen.


    Das "Problem" ist die Fritte. Die kann das nicht. Muss sie auch nicht. Sie ist ein hervorragender Router für den Consumerbereich. Das geht hier schon mehr in den prof. Berreich. Und da fallen mir als adhoc nur Lancom ein Router und als Firewall WatchGuard od. Sophos. Das wären nochmals ca. 800-1000€ an Hardware. Und dann muss das noch einer einrichten. :)

    Jap, klein aber oho! Ich glaube wir hatten sowas um die 100€ bezahlt damals für eine. Für KMUs und Privatleute reicht das Ding.

    Ah by the way pfsense das bringt mich auf eien Idee das Szenario evtl. anders zu lösen :D


    pfsense gibt es auch zum installieren auf X64 Systemen. Also könnte man es in die virtualisation station installieren.


    ZUerst legt man zwei virtualle switche an. Einen für "WAN" der mit einem echten Interface gebrückt ist und dessen IP einstellungen übernimmt und einen zweitern komplett virtuellen (also ohne echtes Interface) "LAN" der ohne IP Adresse angelegt wird.


    jetzt pfsense in die virtuelle maschine installiernen mit 2 Interfaces. Die interfaces den entsprechenden zuordnen. pfSense installieren.


    Danach pfsense einrichten. Damit hätte man ein virtuelles abgeschiermtes Netz welches keinen Zugriff auf das NAS hat.


    Ist auch ein DIrty Workaround. und eiegntlich sollte man firewalls nicht in VMs betreiben...

    TheColorfulDude

    Echt coole Ansätze.:thumbup:Hatte ich so gar nicht auf dem Schirm. Aber selbst für einen ambitionierten Hobbynetzwerker kaum umzusetzen. Und wenn man selbst nicht vor den Geräten sitzt und diese kennt in einem Forum auch kaum Schritt für Schritt zu erklären. Könnte auch eine etwas längere Anleitung werden.:)

    Schneller und auf jeden Fall einfacher ist es ein paar Euros in zusätzliche Hardware zu investieren. Cooler und interessanter sicher das andere.


    Wenn es nicht am Geld mangeln würde, würde ich mir hier für so ein Projekt eine kleine Sophos UTM SG 105 Box mit Firewall und Filterfunktion leisten. Dann bist Du definitiv auf der sicheren Seite.

    Ja, das sind feine Kisten :D Aber ich glaube die Kosten übersteigen den Nutzen :D Richtig konfiguriert sollte das die Scriptkiddies und die ambitionierten bis sehr ambitinoierten Einbrecher abhalten. Ich glaube meine persöhnlcihen Daten sind definitiv nicht so wertvoll das sich der Aufwand lohnt dieses Biest zu besiegen :D


    Leider ist mein ansatz wirklich eperminetell und es ist keine gute Idee in Zeiten von Metdown und Spectre die Firewall auf dem gleichen Host laufen zu lassen wie die Maschinen. Hat schon seinen Grund, warum Firewall oft ein eigenes Stück hardware sind :D

    Vielen Dank an alle User.


    Das mit dem trennen der Netzwerke hatte ich mir leichter vorgestellt, daher lasse ich lieber die Finger davon. :)

    Ich hab mich nun dazu entschlossen ein VPS für unter 5 € zu mieten und darauf Plex laufen zu lassen. So sind dann nur meine Daten auf dem QNAP und nichts weiteres drauf.


    LG

    Saki

    Ohne passendes Equipment ist so ein Projekt leider nur sehr schwer umzusetzen. Entweder steigt der Schwierigkeitsgrad der Umsetzung stark an oder die Sicherheit bleibt auf der Strecke, oder gar beides, was jedoch nicht wirklich wünschenswert wäre.

    Es gibt im Forum mehrere Themen, die sich mich ganz ähnlichen Projekten befassen, oder besser gesagt wollten, denn von den die ich gelesen habe liessen sich alle letzten Endes so nicht umsetzten. Wie gesagt, ohne passende Hardware... und die kosten wiederum Geld. Dazu kommt, dass solche Hardware meist auch nicht wirklich einfach zu konfigurieren ist.

    Ah jungs by the way. Ich habe so ein Szenario tatsächlich mit einer pfsense VM umgesetzt, ging für mich sogar recht easy :D. Wenn die pfsense nun noch ne eigen Hardware ist dann wäre das ganze ohne großen finanziellen aufwand zu realisieren :D

    Die pfSense SG-1000 hat aber nur 2 Netzwerkanschlüsse. Wie setzt Du dies dann um? Und bei einer VM mit eigener Hardware, und wenn es nur was kleines Occasions mässiges ist, sind gleich ein paar hundert Euros weg.

    Was kostet denn so eine SG-1000? Konnte auf die Schnelle im Netz keine Preise finden?

    Einen Switch dran an den LAN :D Kann ja auch ein unmanageter sein da wir ja nciht merh vlanen müsse :D Haben ja dann für die VM ein abgekapseltes netz.


    Im Qnap habe ich den swtich dann einfach an den Port gehangen, welchen ich als "LAN" konfguriert hatte.


    Ich meine für den SG haben wir damals ca. 100€ pro stück bezahlt


    Edit:Ich meine den Banana Pi gibts doch mittlerweile mit 4 LAN Ports oder?

    Zitat von TheColorfulDude

    Einen Switch dran an den LAN :D Kann ja auch ein unmanageter sein da wir ja nciht merh vlanen müsse

    :huh: Jetzt bin ich auf der Leitung gesessen. Dient ja nur als Verbindungsfirewall zwischen den beiden internen Netzwerken und nicht auch noch ins Internet.

    Zitat von TheColorfulDude

    Edit:Ich meine den Banana Pi gibts doch mittlerweile mit 4 LAN Ports oder?

    Sogar mit 5. Aber der Kostet auch über 100 Euro, schliesslich braucht er Strom und noch ein Gehäuse, denn ganz so nackig, ich weiß ja nicht.:)

    Zitat von Mavalok2

    :huh: Jetzt bin ich auf der Leitung gesessen. Dient ja nur als Verbindungsfirewall zwischen den beiden internen Netzwerken und nicht auch noch ins Internet.

    Genau, aber die anforderung, das die VM abgekapselt ist wäre ja gegeben.

    Ein recht günstiger VLAN Router wäre der Cisco SG-300. 10 Ports so um die 250.-

    Für eine pfsense würde ich ein APU Board empfehlen. Hat 3 LAN Adapter und erhältlich mit 2/4 Core und 2/4GB RAM.
    Quad Core mit 4 GB ist sogar das günstigste. Verschlüsselung kein Problem, die Hardware kommt ohne Crypto Chip aus.
    Kostet zwar mehr als 100€, aber es ist das Geld wert.
    Einfach mal nach APU Board googlen, es gibt einen interessanten Anbieter.

    Die APU Boards sind sehr zu empfehlen. Minimaler Stromverbrauch und genug Power.

    Habe darauf einen Squid Proxy mit Virenscanner, Squidguard, DNS und DHCP Server laufen, zeitweise

    je nach Bedarf noch einen OpenVPN Server.