VM's von anderen VM's und dem NAS isolieren - sollen aber Internet-Zugang haben

    Hallo Community,


    ich habe eine vermutlich banale Anforderung, finde aber trotz ausführlicher Suche hier im Forum und via Suchmaschine keine Lösung - vielleicht mag mir jemand einen Tipp geben. Ich habe nur geringe Netzwerkkenntnisse, daher bitte in einer möglichen Antwort für einen Laien verständlich schreiben. Danke.


    Um was geht es?

    Mein NAS hängt an einer Fritzbox (Adresse 192.168.0.1) - das NAS selbst hat einen Virtual Switch 1 (wurde von der Virtualization Station angelegt) mit der Adresse 192.168.0.60. Auf dem NAS laufen ein paar VMs. Soweit ok. Ich habe einen Screenshot von "Netzwerk- und virtuelle Switch" angehängt.


    2020-05-07_21-53-58.png


    Ich möchte nun, dass z.B. die beiden ersten VM's (MSEdge_Win10 + PC02) weder die anderen VM's noch das 192.168.0.x Netzwerk-Segment erreichen können, aber trotzdem einen Internet-Zugang über die Fritzbox haben. Ich dachte an eine statische Adressvergabe auf den beiden VM's mit z.B. 192.168.100.x - die beiden VM's können doch so das restliche Netz NICHT erreichen? Aber auch nicht die Fritzbox für den Internet-Zugang.


    Vermutlich benötige ich einen weiteren Virtual Switch, aber welchen Typ? Welche Details in den Einstellungen? Ich komme leider nicht weiter... :(


    Sorry, falls die Frage nicht verständlich ist und/oder Details fehlen - das liefere ich natürlich gerne nach. Vielen Dank schon mal an alle, die mir etwas weiterhelfen wollen/können.


    Gruß

    Freddy

    Gastlan auf Port 4 (meine der ist das) eineichten, dann Kabel in Adapter 2 auf dem NAS.


    Eine weiteren vSwitch erstellen als Software defined Network/Switch und dann mit Adapter 2 verbinden.


    Dann in den jeweiligen VMs den neuen vSwitch verknüpfen fertig.

    Das Ganze hört sich für mich leicht verwirrt an (Kann auch an der Uhrzeit liegen).

    Ich verstehe nicht so recht was du mit "isoliert" meinst, bzw. wieso das Ganze.

    Mit VLan sollte das eigentlich recht einfach gehen. Wenn ich mir die QNap Anleitung anschaue, geht VLan bzw. VLan IDs auch im virtuellen Switch.

    In wie weit dass dann funzt, kein Plan. Denn du kannst ja mit den VLans nur im NAS Arbeiten.


    Die Lösung von Crazyhorse ist im Endeffekt auch in Ordnung. Wenn ich mich recht erinnere, geht aber auch absolut 0 vom Lan ins Gastlan und umgekehrt.

    Je nachdem für das diese virtuellen Dosen brauchst - mit SSH, Telnet, Remotedesktop kommst nicht drauf. Und Portfreigaben gabs damals auch nicht für SSH z.B.

    Danke schon mal für eure Antworten!


    Vielleicht noch einmal, was ich möchte:

    Auf die 2 VMs (MSEdge_Win10 + PC02) soll z.B. vom Internet aus via Teamviewer zugegriffen werden und sie sollen sich beide via Netzwerk erreichen können (z.B. 192.168.100.10 + 192.168.100.11).


    Die beiden VMs sollen aber keine Geräte (z.B. Macbook, Drucker und das NAS selbst) im Netz (192.168.0.x) erreichen können. Sorry, ich kann das leider nicht professioneller ausdrücken - ihr merkt ja, dass ich kaum Netzwerk-Kenntnisse habe.


    Dennis / Crazyhorse:

    Vermutlich meinst Du das Gastlan auf der Fritzbox? Gute Idee, hab' ich selbst nicht daran gedacht. Aber: mein NAS steht im Keller und ich komme da von der Fritzbox aus nicht so einfach mit einem weiteren Netzwerkkabel hin. Aktuell hängt der im Screenshot gezeigte Adapter 2 ja auch über einen einfachen Switch am Kabel, welches von der Fritzbox kommt.


    Wenn es möglich ist, müsste die "Trennung/Isolierung" auf dem NAS passieren.


    NightStalk3r:

    "Verwirrt" klingt das für einen Profi bestimmt - mir fehlen leider die Begriffe und Kenntnisse, mich professioneller auszudrücken.


    Vielleicht ist mein Ansinnen durch die weiteren Angaben in diesem Post etwas klarer.


    ---


    Danke und Gruß

    Freddy

    Mache mal eine Zeichnung der Verkabelung.


    Auf dem NAS selber kannst du z.B. eine pfSense VM aufsetzen und darüber den Zugriff in deine VM DMZ Regeln.

    Aber, das setzt umfassende Kenntnisse im Bereich Netzwerk voraus.

    Dank der mega guten Doku kann man sich da aber rein arbeiten.

    Wenn du kein Kabel vom NAS zur Fritz bekommst, bleibt nur die Firewall VM oder 2 mini managed Switche.

    OK.


    Vielen Dank soweit. Dann muss ich mich wahrscheinlich erst mal 1 Jahr auf den "Hosenboden" setzen. ;)


    Dachte, sowas geht wesentlich unkomplizierter - was man halt so denkt, wenn man keine rechte Ahnung hat.


    Gruß

    Freddy

    Nochmal genauer:

    Für was ist die Trennung der Netze ? Bzw. für was soll diese strikte Abtrennung gut sein ?

    Lassen wir mal die virtuellen Maschinen und den virtuellen Switch außen vor. Ob das gut oder schlecht ist, muss jeder selber entscheiden.

    Eine Firewall bzw. Gateway würde ich aus Sicherheitsgründen nie als VM laufen lassen. Okay, die Verhältnismäßigkeit sollte auch eine Rolle spielen. Aber ein gutes SOC Mainboard kostet jetzt nicht die Welt und braucht wenig Strom.


    Von der Ferne würde ich immer noch sagen:

    Kauf die einen Switch der VLan kann. Das ist das Einfachste und Schnellste. Mittlerweile bekommst so ein managed Switch
    Werbung entfernt, siehe Forenregeln!

    Ggf. wenn das nicht willst, kannst dir mal Sphinx Firewall Control Windows 10 damit kannst entsprechende Regeln erstellen. Eigentlich ganz easy.

    Entsprechende IP Ranges und Subnet sperren und gut ist.


    Überlege dir das noch mal mit Teamviewer. Das Programm hat jetzt die letzten Jahre nicht gerade mit zuverlässiger Sicherheit geglänzt. Was spricht gegen ein VPN ? Das kann das NAS auch. mit dem VPN kannst du auch ganz gut die IP Ranges/Subnet absichern.


    Z.B.: Ein APU2D4 Board (Board hat 3 Netzwerkkarten), da drauf den VPN Server. Durch die 3 NICs könntest du dein Lan nicht nur Virtuell trennen.

    Danke für Deine Rückmeldung, NightStalk3r!


    Vielleicht noch mal die zugrunde liegende Absicht: Auf dem NAS laufen z.B. 3 Windows 10 VMs. Für Schulungszwecke sollen die von aussen via TeamViewer erreichbar sein (Teamviewer Host) - die VMs brauchen also einen Internet-Zugang. Untereinander sollen die sich auch erreichen können (gleiches Subnet, wäre ja bei der Fritzbox im Gastnetz 192.168.179.x gegeben). Diese 3 VMs dürfen natürlich nicht auf das "normale, interne Fritzbox-Netz" zugreifen.


    Insofern ist der Vorschlag von Dennis gut und funktioniert auch (ich habe das NAS aus dem Keller temporär zur Fritzbox gestellt). Ich habe noch einen vSwitch auf dem NAS erstellt und das dem Port "Adapter 2" (Gastlan) zugeordnet. Funktioniert alles einwandfrei.


    Sieht dann so aus:


    2020-05-10_12-14-15.png


    Problem: Ich komme halt NICHT einfach mit einem 2. LAN-Kabel zum NAS im Keller - ich dachte, das könnte man "einfach so" mit einem vSwitch auf dem NAS regeln.


    Nach euren Hinweise habe ich weiter gegoogelt und folgendes Video gefunden:

    Externer Inhalt www.youtube.com
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.
    (ab 2:14 gehts mit dem eigentlichen Thema los). Was der Mann da zeigt ist bestimmt für gute Netzwerker total banal, ich als Sub-Zero Netzwerker konnte aber so überhaupt verstehen, was ein vLAN ist und das im Video gezeigte Szenario (2 Subnetze über ein Kabel) entspricht ja genau meiner Anforderung.


    Ich habe mich gestern entschieden, 2 kleine Netgear-Switches zu kaufen und diese gestern Abend bestellt (GS305E + GS308E) - damit bekomme ich wohl über eine "vLAN Trunk 802.1Q" Verbindung die beiden Subnetze (Fritzbox intern + Gastlan) mit nur einem Kabel zum NAS im Keller. Ich habe das im Video gezeigte Port-Tagging zwar noch nicht richtig verstanden (noch nie mit einem managed Switch zu tun gehabt), muss ich halt ausprobieren.


    Ich hätte noch eine (vermutlich wieder doofe) Frage: haben eigentlich auch die Unmanaged Switches (hatte bislang nur ganz einfache von TP-Link) auch eine eigene IP-Adresse? Damit kommt man ja nie in Kontakt, wenn man das Netzwerk als Laie so zusammenstöpselt.


    Danke und Gruß

    Freddy

    VLANs, also 802.1q beschreibt, wie man über ein Kabel verschiedene L2 Strukturen aufbauen kann.


    Dabei wir immer von nativ VLAN gesprochen, also das nativ auf diesem Port anliegende VLAN und dem tagged VLAN Frame.

    Also dem verpacktem Eternet Fram inkl. Flan Tag.


    Nehmen wir mal mein Netz als Beispiel.


    Routing läuft über eine pfSense, auf der Vlan1 und 10 weitere VLANs auflaufen.


    Diese hängt am SW-1 mit dem Port 22.

    Der Port hat also ein native VLAN, das VLAN 1 und dann noch 10 weitere VLANs, die mit einem Flan Fram verpackt mit über das Kabel wandern.

    Das VLAN Frame ist also quasi eine Transportverpackung, wie bei dienen Amazon Paketen.

    Du siehst, alles kommt von Amazon weißt aber erstmal nicht was drin ist, also schaust du auf die Packet ID in dem Fall unsere VLAN ID und damit kannst du dann in deiner List nachsehen und weißt für wen das bestellt wurde und kannst auspacken und zuordnen.


    Denn das ist wichtig, die VLAN Frames sind nur auf dem Link zwischen 2 Switchen aktiv, im Switch sind die Pakete dann nicht mehr mit dem Tag versehen, laufen aber durch ein nur für das VLAN erstellte virtuelle Struktur, sind also wie eine VM von dem Host getrennt.


    Der Rest ist wieder, wie bei jedem anderem Switch auch, es wird geschaut welche Quell MAC mit welcher Ziel MAC sprechen wollte und es dann entsprechend weiter geleitet.


    Auf diesem Wege, stecken in meinem Switch weitere 10 virtuelle Switche drin.

    Vorteil, ich kann einfach einen Client in ein anderes Netz umziehen, einfach das VLAN ändern, ich muss nicht nach unten laufen und ein Kabel umstecken.

    Nachteil, ich muss den Switch konfigurieren und die Ports dem jeweils richtigem VLAN zuweisen.


    Wenn man das einmal verstanden hast, ist das sehr einfach.

    Wichtig ist halt, sich eine gescheite Struktur zu überlegen, leider ist da mit der Fritz das meiste vorgegeben.


    Wir haben also jetzt pro VLAN eine virtuelle Infrastruktur aufgebaut.


    Ohne VLANs, müsste ich hier also 10 getrennten Switche betreiben und bin total unflexibel, der eine ist irgendwann voll, die anderen sind teilweise leer oder nur mit 1 Port belegt.

    Das kostet unnötig Strom und ist auch wieder Turnschuh IT, weil man hinlaufen muss um was um zu stellen.


    Zudem spart man sehr viele Ports ein, meine Firewall hat z.B. nur 3 Ports, WAN, LAN und einen Optionalen den ich als WAN Backup Port geplant habe.

    Ich habe also nur einen Port um meine 11 verschiedenen Netzwerke vom Switch zur Firewall zu bekommen.


    Wichtig ist, das zuvor gescheit zu planen, also ich habe einen Zusammenhang zwischen dem 3 Oktett der IP und der VLAN ID.

    Damit weiß ich schon anhand der IP in welchem VLAN ich gerade bin, ist sehr hilfreich bei der Fehlersuche, wenn man mal das falsche VLAN erwischt hat.



    Für den Anfang, also dein Netz aufschreiben, eine ID zuweisen, die logisch damit für dich verknüpfbar ist.

    Dann schauen welche Netze man sonst noch braucht, aufschreiben, dann hast du schon mal einen Anfang.

    VLANs gibt man ID und Name, damit man noch durchblickt, denn anhand er Nummer weiß niemand wozu das mal erstellt wurde.

    Steht da aber VM-DMZ oder IoT dran, weiß jeder sofort was in das VLAN rein gehört und wozu es dient.


    Also wenn du das hast, bist du mit deiner Netzplanung fertig.


    Da kommt dann so was raus wie:


    Fritz Netz; 192.168.178.0/24 VLAN 1 Name: default (meist nicht änderbar)

    Fritz Gast; 192.168.179.0/24 VLAN x Name: Fritz-Gast


    Bei mir sieht das dann so aus:

    Hallo Dennis,


    auch wenn ich auch Deinen Ausführungen (noch) nicht ganz folgen kann - vielen Dank. Ist ja ein spannendes Thema, aber - wie so oft - bei mir soll es erst einmal möglichst einfach (und für mich nachvollziehbar) funktionieren. Ich tue mich im Moment noch mit den vielen Begriffen schwer.


    Bin jetzt gespannt. Der 5-Port Netgear soll am Dienstag (der 8Port am Freitag) kommen und dann kann ich mir ja schon mal das Webinterface zum Konfigurieren etwas anschauen.


    BTW: das "Manual" von Netgear hilft einen nur richtig, wenn man sich schon gut auskennt. OK - ist ja auch kein Lehrbuch. Vermutlich werde ich im Web noch Tutorials zur Konfiguration finden.


    Danke und Gruß

    Freddy

    Zitat von FreddyXXL

    Ich hätte noch eine (vermutlich wieder doofe) Frage: haben eigentlich auch die Unmanaged Switches (hatte bislang nur ganz einfache von TP-Link) auch eine eigene IP-Adresse? Damit kommt man ja nie in Kontakt, wenn man das Netzwerk als Laie so zusammenstöpselt.

    Nein, ein Unmanaged Switch hat keine IP-Adresse.