Netzwerk strukturieren - mehr Übersichtlichkeit und Sicherheit

    Hallo zusammen,


    ich habe mal wieder eine dumme Idee und würde sie gerne mal vorstellen/diskutieren bevor ich umsetze - ich baue auf Eure Unterstützung.


    Ich würde gerne, zur besseren Übersicht/Struktur, mein Netzwerk umstellen wollen. Zur Zeit habe ich nur die 254 Adressen(10.0.0.1-10.0.0.254).


    Warum möchte ich dieses? - Ganz einfach ich möchte gewisse Gruppen(z.B.: Gäste, Netzwerkdrucker) aus anderen Bereichen aussperren und so eine höhere Netzwerksicherheit herstellen.


    Was ich machen möchte wäre eine Gruppierung:

    10.0.0.1 für Router zum Internet

    10.0.1.xxx für NAS => Feste IP's

    10.0.2.xxx für PC/Notebook/Streamingboxen => Feste IP's

    10.0.3.xxx für Handy/Tablet/eBook Reader(alles was über WLAN angebunden wird) => IP Vergabe über DHCP

    10.0.4.xxx für Netzwerkdrucker => Feste IP's

    10.0.5.xxx für Gäste(WLAN/LAN) => IP Vergabe über DHCP


    Was brauche ich hier alles um so etwas aufzubauen? Was muss ich hier alles beachten? Geht das überhaupt so einfach?


    Danke

    Friis

    In der Theorie würde ich sagen das müsste ohne weiteres gehen wenn Du als Subnetzmaske 255.255.0.0 einträgst. Dann wäre die unteren 16 Bit die relevante Adressinformation innerhalb eines Netzes. Das 10/8 Netz ist ja als privates Klasse A Netz mit 16 Mio. Adressen spezifiziert. Wenn Du da nur 254 nutzt müsste man das problemlos erweitern können. Ein Sicherheitsgewinn ist damit aber nicht verbunden, da es ja immer noch ein zusammenhängendes Netz ohne Routing ist.


    Ergänzung:

    Wenn es um Sicherheit geht wären auch unterschiedliche VLANs eine Variante. Allerdings braucht man dazu natürlich einen entsprechenden Switch/Router. Damit kann man zumindest wirklich unterschiedliche Netze aufmachen, bspw. für SmartHome, Büro, Gast etc. und dann ggf. auch Zugriffsprofile einrichten. Also dass man vom internen Netz zwar auf die Smarthome Komponenten kommt, diese aber nicht ins geschützte Netz. O.ä. Hab ich selbst noch nicht gemacht, in der c't stand dazu mal was. Mittelfristig werde ich das wegen des Nachwuches ohnehin machen müssen, weil man nur so sinnvoll amoklaufende Geräte isolieren kann.

    Einmal editiert, zuletzt von nasferatu ()

    Ok spannend!


    Es ist gar kein Problem das 10.0.0.0/8 Netz zu verwenden und das auf zu teilen.

    Wichtig ist, jedes Segment muss die für sich passende Maske haben, also 10.0.1.0/24, dann im nächsten 10.0.2.0/24 usw.


    Die Mask 255.255.0.0 funktioniert, jedoch kannst du dir das dann auch fast sparen, da alle Clients in einem Netz rum Broadcasten.

    Fängt sich einer was ein, haben es alle.

    Da muss man das schon separieren auf L2 und L3 Basis. Erst dann gibt es einen Gewinn an Sicherheit.


    Feste IPs kann man verwenden, würde ich aber nur für Server und andere eher statische Device verwenden, ein Rechner oder ein Laptop immer per DHCP versorgen. Wenn du den mit nimmst, fängt es an das du dich wunderst, warum komme ich denn nicht ins LAN, ah ja feste IP und umgekehrt. Unpraktisch, eine Fehlerquelle und erfüllt nicht den Kopfrotanspruch.


    Dann laden wir bei einer Routing Instanz, das kann eine Firewall sein, die in dem Zusammenhang eh Sinn macht, bzw. ohne diese macht das alles keinen Sinn.

    Denn nur mit dieser kannst du z.B. deine Smarte Glühbirne vom Hobby DDos und Botnetting abhalten.

    Dieser Ganze IoT Schrott gehört hinter der Firewall in einer DMZ weggesperrt.


    Wenn du aber das NAS und deine PCs, Multimedia Installationen usw. über die Firewall laufen lässt, dann wird es für die sehr anstrengend.

    Denn man möchte bei so einem Teil ja nicht nur die Routing Funktion nutzen sondern auch Deep Packet Inspection.

    Dann wird das aber zum Leistungskiller.


    Daher bietet sich für Bandbreiten Intensives Routing ein L3 Switch an, was dann quasi ein Router ist nur ohne die PPoE Möglichkeiten und den anderen Kram den man in einem richtigen LAN nicht braucht. Dafür gibts dann richtige WAN Router, die nix anderes machen.

    So ein L3 full managed Switch ist aber teuer, richtig teuer.


    Die Einrichtung dieser ist dann jedoch auch wieder alles andere als trivial, da die mehr Funktionen als ein Schweizer Taschenmesser hinter einem einzigem Kommando verstecken, z.B. IP Routing und schon hast du ganz neue Probleme und Protokolle vor dir, die dir bis dahin eher unbekannt waren.

    Da bringen die richtig guten nicht nur viel Routingpower sondern auch gleich virtuelle Routing Instanzen mit.


    Der Vorteil ist, du kannst einen DHCP Server betreiben, der alle deine Netze versorgt und auf den Interfaces im Vlan und auf der Firewall wir dann die IP vom DHCP Server als IP Helper eingetragen und schon wird es zu ihm weiter geleitet. Super praktische Funktion, da es auch egal ob er am Standort steht oder ob das erst über eine redundante WAN und VPN Infrastruktur läuft.


    Des weiteren ist mit so einem Switch auch meist police bases Routing möglich, du kannst also bestimmte Netze an bestimmte Gateways verweisen oder sogar ACLs verwenden um den zugriff auf dem Switch zu beschränke.

    Also Gäste nicht ins Interne Netzt aber ins Internet.

    Das funktioniert aber hier nur auf L3, daher ist die Firewall, die das auf Port Basis oder sogar auf Applikationsbasis beschränken kann noch mal eine andere Liga, hat dafür jedoch ein Bandbreitenproblem.



    Also wo willst du mit deiner Netzwerkstruktur hin?

    Hallo,


    Zitat von Crazyhorse

    Ok spannend!

    als ich das las war es mir schon klar - das wird spannend.


    Zitat von nasferatu

    Wenn es um Sicherheit geht wären auch unterschiedliche VLANs eine Variante. ... Mittelfristig werde ich das wegen des Nachwuches ohnehin machen müssen, weil man nur so sinnvoll amoklaufende Geräte isolieren kann.

    Nachwuchs = Enkel, zumindest bei mir. Das ist auch so der grundlegende Ursprung des Gedankens warum ich das alles veranstalte.


    Was ich brauche ist "Einfachheit" leicht zu händeln.

    Was ich habe sind bereits L3 Switche (Cisco SG300 und HP 1910).

    Wo ich mein Problem sehe ist eventuell die Verkabelung: Unbenannt.PNG



    Eine andere Möglichkeit habe ich damals nicht gesehen, ist so historisch gewachsen. Ein Umbau das alles über einen Switch läuft gestaltet sich aus finanzieller Sicht sagen wir "schwierig bis unmöglich". Die HP-Cisco Verbindung ist physisch nur eine Leitung und lässt sich auch nicht ändern. An jeden Switch befindet sich mind. 1PC/Notebook und Netzwerkdrucker. Weiter sind Notebooks über WLAN angebunden, ebenso die Handys und eBook Reader.


    Spätestens beim WLAN werde ich Probleme bekommen, da ein WLAN Hotspot nur eine SSID und somit eine IP Range(10.0.1.xxx, 10.0.2.xxx, ...) verwalten kann.


    Wie man sieht muss auch von einem HP-Switch über den Cisco Switch auf das NAS zugegriffen werden.

    Ebenfalls wird jetzt die "WLAN Brücke" zwischen Cisco SG300 und dem "dummen" Switch auch als Hotspots verwendet.


    Ich glaube ich muss mich mal mit den VLAN's und dem Cisco Switch auseinandersetzen. Geht mein oben genanntes Vorhaben mit der jetzigen Konfiguration was bräuchte ich weiter um das so umzustrukturieren?


    Ich bin wie bei den Firewalls so unbewandert - unglaublich.


    VG

    Friis

    Hi,


    eine Quelle:

    https://administrator.de/wisse…-wrt-mikrotik-110259.html


    Ich hoffe das ich das hier als Ablage nutzen kann;)


    Was mir wirklich nicht klar ist, wie ich ein WLAN Accesspoint für mehrere IP Bereiche nutzen kann - ich denke da brauche ich spezielle für.

    => MSSID


    Friis

    Einmal editiert, zuletzt von Friis () aus folgendem Grund: Genaue Kennzeichnung vom HP Switch hinzugefügt/geändert.

    Die HPs sind das JG537A oder JG538A?


    Der SG 300 ist als Core gut geeignet, also hier das Routing aktivieren,

    Er kann ja sogar, wenn ich das Datenblatt richtig überflogen haben, als DHCP Server verwendet werden.


    Was die APs angeht, hier brauchst du Modelle, die mehrere SSIDs auf verschiedenen Vlans ausbrechen lassen können. Ich denke 802.1x wirst du nicht umsetzen wollen, aber wenn die das auch könnten ist es nicht verkehrt.

    Schaue dich da mal am Markt ein wenig um, Ubiquiti ist mit dem Software Kontroller, der auch als Docker verfügbar ist, sehr gut.


    Was dir noch fehlt ist eine Firewall, damit du Zugriff aus dem Gastnetz wirklich steuern kannst.

    Wenn dir die Funktion einer FritzBox nicht reicht, die einfach auf einem weiteren LAN Port ein Gastnetz ausrollen kann, welches du am Switch als Access in ein Vlan z.B. 11 packst und dieses dann tagged an die APs überträgst, der es mit der SSID Gast ausstrahlt.


    Laut deiner Liste:

    Brauchst du ein Vlan als Transfernetz von der Core zum WAN Router.

    Dann für jede Client Gruppe ein Vlan + Interface auf der Core, die Gateway für diese Netze ist.

    Ggf. eine Firewall für das Gastnetz, das darf nicht über die Core geroutet werden. Entweder Firewall ist GW oder aber du Nutz den Port am WAN Router, der das intern per Vlan und ACLs trennt.

    Wenn du eine Firewall einsetzt, kannst du diese als VM auf dem NAS umsetzen oder aber als Hardware.

    Je nachdem ist der Aufbau dann wieder anders möglich.


    Ich würde diese als Hardware aufbauen und dann mit einem weiteren Transfernetz vom Core aus ansprechen. Das kann auch ein 2Gbit LACP sein, auf dem alles mit Vlan TAG übertragen wird, auf der Firewall gibt es dann nur Sub Interfaces und du bist völlig flexibel was die Anlage neuer Interface und VLANs angeht.


    Routing ist dann 10.0.0.0 255.0.0.0 zum Core, Core 10.0.0.0 255.0.0.0 zur Firewall, Firewall 0.0.0.0 0.0.0.0 zum Core und Core 0.0.0.0 0.0.0.0 zum Router.

    Wird ergänzt wenn du weitere Netze, 192.168.x.x oder 172.16-22.x.x intern nutzen willst.

    Die HP Switches sind HP 1910-8G JG348A.

    Guten Morgen,


    ja ich habe damals, als ich mein NAS gekauft habe mir ein gewisses Grundkonzept gedacht. Leider kam ich nicht weiter dazu das richtig zum laufen zu bringen. Gründe waren/sind mangelndes Wissen in bestimmten Bereichen. Mit meinem NAS kenne ich mich mittlerweile aus, in den Bereichen wo ich es einsetze sehr gut, in den Bereichen wo ich mal was probiert habe etwas und dann gibt es auch noch das ganze Unbekannte was ich mir auch noch nicht vorstellen konnte wozu ich was brauche - z.B.Thema VM oder Docker. So genug - kommen wir zurück zum Thema.


    Wie weit kann ich dir folgen:

    Zitat von Crazyhorse

    Die HPs sind das JG537A oder JG538A?


    Der SG 300 ist als Core gut geeignet, also hier das Routing aktivieren,

    Er kann ja sogar, wenn ich das Datenblatt richtig überflogen haben, als DHCP Server verwendet werden.


    Was die APs angeht, hier brauchst du Modelle, die mehrere SSIDs auf verschiedenen Vlans ausbrechen lassen können. Ich denke 802.1x wirst du nicht umsetzen wollen, aber wenn die das auch könnten ist es nicht verkehrt.

    Schaue dich da mal am Markt ein wenig um, Ubiquiti ist mit dem Software Kontroller, der auch als Docker verfügbar ist, sehr gut.

    Ja der Switch ist einer der "Guten" der kann fast alles was man braucht, Firewall inside fehlt. Das mit den DHCP Server stimmt, das soll er auch alles übernehmen, wenn ich das umstelle. Wenn ich das richtig verstehe, dann kann ich mit dem für jedes Segment(10.0.1.xxx; 10.0.2.xxx; ...)(nennt sich das Segment?) den als DHCP einsetzen, wenn ich das möchte.

    Soweit komme ich zu 100% mit und verstehe was du meinst. Aber dann verschwimmen die Grenzen.

    Auch die HP 1910(8G steht ja nicht für 8 x 1GBit Anschlüsse) sind mit einem DHCP ausgerüstet - sind ebenfalls L3 Switche.


    Zitat von Crazyhorse

    Was dir noch fehlt ist eine Firewall, damit du Zugriff aus dem Gastnetz wirklich steuern kannst.

    Wenn dir die Funktion einer FritzBox nicht reicht, die einfach auf einem weiteren LAN Port ein Gastnetz ausrollen kann, welches du am Switch als Access in ein Vlan z.B. 11 packst und dieses dann tagged an die APs überträgst, der es mit der SSID Gast ausstrahlt.

    So nun fange ich an dich nur noch bedingt zu verstehen.


    Sag ich es mal so das Gast WLAN soll/darf nur ins Internet, jedoch keine Ressourcen wie NAS, Streamingbox oder Drucker ansprechen. Ein physisch getrenntes Netz wäre mir hier am liebsten, wenn du verstehst was ich meine.

    Das mit der Fritzbox glaube verstehe ich aber weis nicht wie ich das in diesem Ding einstellen sollte.

    Mein Verständnis ist wie folgt:

    Ich schließe die Fritzbox mit 2 Kabeln an den HP Switch an, eine Leitung für das Gast WLAN und das andere für das Heimnetz. Wo ich dann hier aufhöre zu verstehe wie die Fritzbox aus zwei getrennten IP Netzen Eines machen kann. Ich glaube die Box bekommt das nicht hin(?) - da steige ich aus.


    Ich denke ich werde mir ein Blatt Papier nehmen und das von den physischen und logischen Verbindungen mal auf malen vielleicht klappt es dann besser - bin da so der optische Typ.


    #########

    Gibt es dazu Literatur was man lesen sollte/könnte?

    "VLAN, Netzwerke for Dummies" zum Beispiel?

    #########


    Wovon redest du - ich muss das wahrscheinlich mehrmals lesen, bin ja schon alt und hab das noch nie gemacht.

    Thema Firewall, dazu hatte ich hier im Forum auch schon philosophiert - wenn dann wird das was Hardwaremäßiges werden.


    Ich gehe mal malen ....:cup:.


    Danke soweit schon mal, ich denke ohne Bild kommen wir beide nicht weiter, da ich der Terminologie noch nicht klarkomme.


    Friis

    Soooo - zeichnen beendet.


    Das ist der Stand meiner Überlegungen - alles schön separat.


    Unbenannt.PNG

    Wichtig die Leitung zwischen HP1910(Fritzbox) und dem SG300 ist nur eine physische Leitung mit CAT6(ca. 3m lang) durch die Hauswand(zum Nachbarhaus) und kann nicht verändert werden. Die Andere Leitung vom SG300 zum HP1910(mit HiFi Anlage) könnte im Zuge der anstehenden Umbaumaßnahmen(in vier Jahren) verändert werden.


    Ahh ich sehe gerade die PV Analge braucht einen Zugriff auf das NAS.

    (Ich aktualisiere/ergänze das heute Abend noch).


    Wie zu erkennen ist der HP1910(beim Router) ist fast ausgelastet - ein Port ist nur noch frei.

    Was ich mir vorstellen könnte wäre für den HP1910 bei der Fritzbox einen größeren kaufen und den HP1910 dann gegen den "dummen" Switch zu tauschen.

    In ca. vier Jahren wird die WLAN Brücke zum "dummen" Switch gegen ein Kabel ausgetauscht werden können. Je nachdem was dann die 10GBit Technik preislich macht wollte ich das Netzwerk dann umrüsten. Wobei ich bist jetzt auf Grund der doch stark überschaubaren Datenmengen zum jetzigen Zeitpunkt nicht für notwendig erachte.


    Das NAS 2 und NAS 3 sind noch nicht vorhanden aber fest in Planung - daher jetzt schon eingezeichnet.


    Werden noch weitere Informationen benötigt?

    So ich bin nun für Vorschläge der detaillierten Umsetzung bereit.


    Danke Friis

    Wow, ist ja echt interessant, aber willst Du das echt dauerhaft administrieren für den Privatbedarf?

    Wenn es nur um mehr Sicherheit für die Enkel geht würde ich, wie bereits angedeutet, ein Gastnetz mit der Fritzbox aufspannen, meiner Meinung nach mit eigenem Switch, und gut ist.

    Wenn Du nicht dauerhaft das Netz in Ordnung hältst, bringt Dir die zusätzliche Scherheit garnichts, irgendwann funktioniert etwas nicht mehr, du deaktivierst dann etwas reisst dann evtl. grosse Sicherheitslücken auf.

    Ist wie bei Haustieren, die sind auch nur am Anfang niedlich, brauchen aber dauerhaft Pflege und Zuwendung.

    Deshalb halte ich auch die ganzen gutgemeinten Rätschläge in den Medien angesichts des Datenskandals gerade auch für nicht recht zielführend. Was bringt ein Passwortmanager, wenn er nicht konsequent eingesetzt wird oder die 2-Faktorautentifizierung?

    Es geht um vernünftige Sicherheit, die auch dauerhaft eingehalten wird.


    Nur so ein Gedanke.

    Hallo UdoA,


    ja ich denke schon das es Sinn macht Alexa & Co.(Smarthome) aus dem Heimnetz auszusperren.

    Ja ich weis da ist eine Menge zu tun deshalb war und bin ich auch am überlegen ob ich das nicht über einen Controller steuere Ubiquiti oder ZyXEL Nebula sind hier so Kandidaten. Es gibt auch solche Dinge von Cisco und HP. Es ist halt immer alles eine Frage des Kleingelds.


    Das würde für mich einen kompletten Systemwechsel bedeuten. Sowas würde ich dann aber nur dann machen, wenn es den Umstieg auf 10GBit geben wird. Das oben vorgestellte wäre das "Optimum". Ich überlege gerade wie es mit einer "Schmalspurvariante" gehen würde.


    VG

    Friis

    Einmal editiert, zuletzt von Friis ()

    Cool, du hast dir schon richtig viele Gedanken gemacht.


    Zuerst mal zum Verständnis.

    Wenn du mit VLANs arbeitest, ist das eine Trennung die einem zweiten physikalischem Netzwerk gleich kommt.

    Nur das man hier viel Flexibler ist, da man sehr viele davon erstellen kann, bei deinem HP musst du aber aufpassen, die können per default nur eine kleine Anzahl, das kann man aber per cli Befehl (max vlans erhöhen).


    Das was du hier zeigst ist eine Trennung wie man sie in Firmen einsetzt, da sind dann aber auch gleich mal 300-1000 Drucker aktiv und nicht nur 2.


    Ich plane selber hier einige Netze über einen 29xx HP laufen zu lassen, aber das ist deutlich komprimierter.


    Sicherheit bekommst du nicht über Netze sondern nur über eine Firewall, also fasse einige zusammen.


    Im Heim Bereich würde ich die normalen Clients, Drucker und Wlan Devices sowie die NAS in einem Netz laufen lassen, höchstens die NAS System in ein seperats Server Netz verlagern.

    Was in jedem Fall getrennt werden muss ist das Gastnetz und zwar wie folgt.


    1910:

    Port 1 geht auf Port der FritzBox, Port 2 geht auf Port 4 der FritzBox.

    Port 1 ist ich access vlan 10, Pport 2 ist Acces vlan 50.

    Der Uplink ist sagen wir mal 8, dann ist hier die Einstellung: untagged vlan 1, tagged vlan 10, tagged vlan 50 usw.

    Du musst also beim HP jedes VLAN auf dem Uplink erst zulassen, erst dann wird es übertragen.


    So kannst du über das eine LAN Kabel, im Extremfall 4094 Vlans übertragen, das sollte reichen, weitere Kabel musst du da also nicht legen, wenn du es nicht willst.



    Ja du kannst so ein G


    Bei Cisco ist das ggf. mit dem Befehl switchport trunk allowed vlan add 10,50 usw. um zu setzen.

    Die Clients Ports hier mit dem Befehl "switchport access vlan xx" in das gewünschte Vlan bringen.


    Für die Smat Home Kisten würde ich 1-2 Vlans anlegen, diese müssten dann aber über eine Firewall angebunden werden, denn wenn du diese über den Cisco routest, kannst du die auch gleich in das normale Netz packen. Sicherheit 0.


    Ob die Apps der FritzBox noch funktionieren, wenn das in einem anderen Netz läuft, musst du testen.


    Kommen wir zu den NAS Systemen:

    Diese können in einem Netz pro Adapter eingebunden werden.

    Wenn diese mehrere LAN Ports haben, würde ich die aber zu einem LACP LAG zusammen fassen, dann hast du Ausfallsicherheit und steigerst die Bandbreite. Da auch zwei oder 3 Clients aus dem gleichen Netz mit Gbit drauf zugreifen können.


    Was in der Struktur gar nicht Sinnvoll einsetzbar ist, ist der nicht managebare Switch, so keinen kann man zwar an einem Access Port betreiben, dann jedoch sind alle Clients an diesem im gleichen Netz.


    Bei der WLAN Brücke mache ich mir sorgen, das kann man einrichten, auch das hier mehrere VLNS übertragen werden, haben wir auch an ein paar Stellen im Einsatz.

    Aber schön ist das nicht, die performance ist nicht so toll und die zuverlässigkeit eines Kabels ist durch nichts zu ersetzen.


    Du kannst so ein Gateway von Ubiquiti einsetzen, das ist dann jedoch Geteway für die System die du aus dem Heimnetz verbannst.

    Das kann 2,5Gbit, hört sich viel an, wenn du aber in das Datenblatt vom HP oder vom Cisco rein schaust, dann stehen da ganz andere Zahlen bei der Routing Bandbreite.


    Daher solltest du Bandbreiten Intensive Anwendungen über den Cisco routen lassen und System die du aus Sicherheitsgründen trennen willst, über das Ubiquiti GW ins Internet und ins Heimnetz (mit strengem Firewall Regelwerk) laufen lassen.



    Eine Firewall zu pflegen ist jedoch wieder Arbeit, die zum einen viel Verständnis der einzelnen Kommunikationswege vorausetzt und auch ein Logging mit gezielte Auswertungsmöglichkeit für die Fehlersuche notwendig macht.

    Letztes ist traumhaft, wenn du das über einen gut eingestellten Syslog Server umsetzt, dann kannst du jede Verbindung in Echtzeit mit verfolgen und dein Regelwerk entsprechend anpassen.

    Wenn nicht ist es ein Albtraum, da du keine Ahnung hast was gerade wirklich auf den System passiert.


    Also fange lieber erst einmal mit weniger VLANs an, 2-4 Stück und dann wenn du den Dreh raus hast, kannst du auch die Smart Home Teile in verschiedene Netze und Vlans auftrennen.


    Wo du Ubiquiti erwäht hast, die Access Points hier können alle mehrere SSIDs ausstrahlen und diese auch auf verschiedene VLANs ausbrechen lassen.

    Das wäre eine Möglichkeit wie du Heim WLAN und Gast WLAN sauber trennen kannst.

    Zitat von Crazyhorse

    Sicherheit bekommst du nicht über Netze sondern nur über eine Firewall, also fasse einige zusammen.

    Wo sollte da eine hin, das ist doch bestimmt nicht egal oder etwa doch?

    Die Firewall wird am besten über ein Vlan vom Cisco aus erreichbar gemacht, ein so genanntes Transfernetz.

    z.B.

    Vlan 13

    10.0.13.0/24

    Cisco hat die .1 die Firewall die .11 oder .21 ist völlig egal.


    Dann werden die Netze, welche du als DMZ Netze absichern willst, über die Firewall angebunden. Diese wird also Gateway für diese Netze und hat dort drin eine IP.

    Deine Switche dürfen hier jedoch keine IP haben, da diese sonst ggf. routen würden und du die Firewall umgehst.


    Auch hier arbeitest du mit Vlans und so genannten Sub Interfaces.

    Denn einem Physikalischem Port kannst du so für jedes Vlan eine Interface vergeben.


    Erstellst du auch für die Firewall einen LACP LAG, dann kannst du hier für das LAN und auch alle DMZ Netze Subinterfaces anlegen.


    Da diese über die VLANs getrennt sind, kommen die Clients nur über die Firewall und über das Regelwerk welches die Kommunikation erlaubt in andere Netze.

    Hallo,


    eine kleine aber sicherlich dumme Frage.


    Wie klappt dieses VLAN unter IPv6?

    Ich habe, mal wieder, eine richtig "dumme" Idee gleich alles auf IPv6 umzustellen.

    Da ich da unter IPv4 schon nicht recht kapiere was ich hier(mit VLAN) mache - wie geht das unter IPv6?

    Hat einer von Euch so was wie "IPv6 for Dummies" als Buchtipp oder Internetadressen wo man sich das Thema "VLAN unter IPv6" durchlesen kann?


    Danke

    Friis

    Friis ,


    sorry, aber bei dem Thema kann ich leider nicht viel beitragen.
    Mich würde aber interssieren mit was Du die schöne Topologie aufgezeichnet hast.

    Das würde ich bei mir auch umsetzen.

    Netzwerkgeräte kommunizieren hauptsächlich auf Layer 2 des OSI Modells miteinander, das heißt der MAC Adresse. Die IP Adresse dient quasi nur als Brücke um die MAC Adresse zu ermitteln. Da ist es egal ob die Adresse IPv6 oder IPv4 ist.

    Guten Morgen zusammen,


    Barry Ricoh
    Ja, etwas.

    Nein mal im Ernst ich werde hauptsächlich durch dieses ganze SmartHome Zeug angetrieben was zu unternehmen. Kennt ihr sicher alles das beginnt mit den Alexas und Google Home geht über Schalter, Steckdosen und endet bei den Thermostaten für die Heizung. Hinzu kommen die Solaranlage, die Wetterstation, Stromzähler und die Heizung. Ich möchte das dieses Klimbim weg gesperrt wird, möchte und darf es(leider) aber auch nicht mehr missen.
    Ich vertraue diesem Zeug einfach nicht. Wenn ich nur sehe was A...a alles an Verkehr verursacht ....:/.


    Indriga
    OSI Modell da war doch was ... stimmt.


    rednag

    Ja was soll ich sagen - lach mich aus aber ich habe das in MS Powerpoint gemacht. Als anderen Tipp kann ich dir noch MS Visio nennen, falls es etwas umfangreicher(mehr Platz benötigst) werden sollte.


    Zur Zeit bin ich sehr von der Zyxel Nebula angetan - leider für Nebula noch keine vollständigen 10GbE Technologie vorhanden für - Schade. Ich weis halt nur nicht ob ich mir damit den Teufel ins Haus hole wobei ich diesen gerade aussperren will. sonst bringen die Produkte alles mit was ich für mein vorhaben benötige WLAN Accesspoints mit Multi SSID, Switches und Security Gateways.


    Ich kann doch Security Gateways anstelle von Firewalls einsetzen?


    Friis

    Also ich kann dich vielleicht etwas verstehen, aber ehrlich gesagt finde ich das du etwas übers Ziel hinaus schießt.

    Wenn schon die VLAN Geschichte, dann würde es auf 3 Stck reduzieren.

    1 „normales LAN“

    2 Smarthome

    3 „Kindernetz“


    Sonst wirst du irgendwann nur noch mit Administrieren beschäftigt sein.

    Zitat von Friis

    Ja was soll ich sagen - lach mich aus aber ich habe das in MS Powerpoint gemacht. Als anderen Tipp kann ich dir noch MS Visio nennen,

    Als kostenlose Alternative kommt auf Libre Office in Betracht.

    Ich habe alle meine PCs damit ausgestattet. Reicht für den Hausgebrauch vollkommen aus.

    Lieber dort eine Spende als die tollen M$ Produkte :P.


    Gruss

    Zitat von Barry Ricoh

    Sonst wirst du irgendwann nur noch mit Asministrieren beschäftigt sein.

    Irgendwo hast du recht nur wenn zwei Haushalte mit Smarthome Geräten langsam "zuwachsen" muss man was machen.


    Zum einen geht mir der Adressbereich aus.
    Es werden bei mir zur Zeit an die 200IP Adressen belegt - vorrangig durch dieses Smarthome Zeug.

    Zum anderen sollte ich auch was in Punkto Sicherheit gleich mitmachen, man ist ja schon einmal an der Sache dran.


    Zum Thema Administration - ich stelle mir das nicht so kompliziert vor(naiv?). Ich muss das jetzt ja auch in das Netzwerk bringen, so muss ich dann nur entscheiden mit wem das neue Spielzeug kommunizieren darf und schon hab ich mein Subnetz. Hmm ... für mich so erstmal nicht so schwer.


    Bitte nehmt mir nicht meine Illusionen. ?(


    VG

    Friis