Was bringt mir ein VLAN vs DHCP Subnetze und DNS

wario

Active member
Hallo zusammen,

ich stelle mir ein paar Fragen bzgl meiner zukünftigen Netzwerkstruktur. Sie wird in Zukunft folgendermassen ausehen:
2 Private PCs einer via LAN einer via WLAN
diverse Rasperrys (ein btc electrum server und eine retropi zum zocken)
1 Hypervisor bestehend aus 2 Nodes an einer Synology DS920+ als Storage Backend
diverse Smartphones am WLAN Netz

Dazu noch: der Hypervisor mit seinen 2 Nodes und der Storage soll auch extern einer Gemeinschaft zugänglich gemacht werden, auf diesem werden nextcloud Benutzerkonten und entsprechende Datenkontigente frei gegeben an Benutzer unserer Gemeinschaft. Die Daten sind mehr oder weniger heikel. Es sollen voerst keine Ultrasensiblen Daten gespeichert werden da sich noch alles im aufbau befindet. Ich habe an mich jedoch für mich den Anspruch an mich, eine möglichst sichere Umgebung zu bieten.
Desweiteren sollen Mail und Webserver darauf laufen, und evt noch weitere VM instanzen für (noch unbekannte Zwecke :D)

Konfig ist wäre quasi so Internet - Router - (Port 1 PC; WLAN1 (Laptop, Raspberry, Smartphones)) = Subnetz 1
- von Port 2 über auf Switch1 an Hypervisor (2nodes) Synology DS920 = Subnetz 2

Momentan agiert die DS920 als DHCP Server und als DNS Server für alle Clients und alle Geräte sind im gleichen Subnetz, momentan ist noch kein Hypervisor vorhanden.

Ich höre immer wieder dass ich mir ein VLAN einrichten soll, aber der Sinn bei mir zuhause hat sich noch nicht bei mir ergeben.
Welche Vorteile habe ich durch die VLANs? Ich könnte doch auch einfach ein weiteres DHCP Subnetz aufbauen in dem sich z.B nur der Server befindet und zum Beispiel mein Notebook im WLAN, welches ich meist nutze um das ganze zu konfigueren. Somit wären der ander PC und die ganzen anderen Smarthphones im Subnetz 1 und würden das andere Server Netz nicht beeinflussen.

Die Synolgy kann ich ja via 2ten LAN Port an den Port 3 des Routers anhängen und hätte damit auch Zugriff von den anderen Geräten aus. Auf der Syno läuft dann mein eigener Nextcloud Server. Ich nutze die anderen persönliche geräte auch Daten auf der Syno zu speichern und Daten zu sichern. DHCP wäre dann trotzdem auf der Syno mit DHCP 1 und Port2 für persönliche Geräte und der DNS dafür und Port zwei mit DHCP 2 und eigener DNS Einstellungen für den Switch an den Hypervisor und den Clients darauf.
Kann man dass so stehen lassen? Falls es bei mir keinen wirklichen vorteil bringt, investiere ich das Geld lieber in eine richtige Firewall die mir dann insgesamt mehr Sicherheit bietet als das kleine Netz via VLAN auseinander zu halten.

Ich hoffe ihr lacht euch keinen ab :) Falls ihr Vorschläge habt wie ich das am besten löse, bitte immer her damit. Ich bin Neuling und entschuldige mich auch falls ich komische Überlegungen mache.

PS ist alles doch in der Denk und Aufbauphase, es werden noch garkeine externen Daten gehostet :)
 
Kann die Syno zwei DHCP Server mit unterschiedlichen Adressbereichen?
Momentan kenne ich noch nicht mal einen Router, der das kann.
Eine pfSense kann das, aber beide Bereiche müssen im selben Subnetz sein.
Daher sage ich, das wird so nicht gehen.
Ob allerdings VLANs bei Dir sinnvoll sind, kannst nur Du beurteilen.


Gruss
 
da ich mich da noch nicht wirklich auskenne frage ich ja in die Runde ob ein VLAN mehr Sinn ergibt.
Bzgl DHCP, ich kann am 2ten LAN Anschluss einen 2ten DHCP aktivieren und ein weiteres Subnetz kreieren. Allerdings kann der Syno im 2 im 2ten Subnetz noch keine IP adresse zuweisen da das Gateway ja im selben Subnetz sein muss. Das Gateway ist ja im ersten Subnetz. So wie ich dass sehe bräuchte ich einen zweiten Router.. Kann man 2 Router an einem Internet Anschluss betreiben?
 
Moinsen,
warum sollte hier jemand lachen? Sind doch die meisten hier keine Vollzeit-Profi-Admins (behaupte ich mal, und ja, Betonung liegt auf "die meisten") ;)

Wenn du
der Hypervisor mit seinen 2 Nodes und der Storage soll auch extern einer Gemeinschaft zugänglich gemacht werden
und gleichzeitig aber auch
Die Daten sind mehr oder weniger heikel.
und dazu noch
jedoch für mich den Anspruch an mich, eine möglichst sichere Umgebung zu bieten
schreibst...

...dann würde ich dir direkt raten, daa ganze hin und her sein zu lassen und dir wirklich Gedanken wegen einer
- firewall zu machen
- ggf. den Server, der von extern erreichbar sein soll, in eine dmz zu stecken (je nach Bedarf reicht schon ein Raspi?)
- damit der getrennt von deinem eigenen Heimnetz ist
- für dich einen eigenen storage Bereich anzulegen (nicht innerhalb der dmz!!) (der die Daten ggf. ONEWAY in die dmz synct, die benötigt werden)

Je nach Größe der "Gemeinschaft" über vpn nachzudenken wäre noch eine Idee.

Wenn Firewall, dann sind VLANs auf Wunsch eh (meist) dabei sowie diverse VPN Server (IPsec, openVPN, wireguard...).
Mit VLANs hast du einfach mehr Möglichkeiten: für dich, für den Server, für IoT, für Gäste...als mit deinem Aufbau.

Ich würde auf jeden Fall die gemeinsamen Daten (alle via Internet) von den eigenen trennen wollen. Auch will ich niemanden sonst im eigenen Netzwerk, Gäste kommen ja auch ins eigene Gast (W)LAN...

So als erstes brainstorming...aber hier sind wie gesagt auch einige Menschen, die da deutlich erfahrener sind.
:)
 
Halt so wie immer: "Zettel + Stift" (alternativ eine Software zur Netzplanung) 😇
fällt mir halt schwer das mit Zettel und Stift zu machen da ich die ganzen Möglichkeiten noch garnicht kenne und ebenso bei @the other s Post auch schon Luft holen musste. ich befinde mich ja noch voll in der Planungsphase und gebe mir dafür auch gern ein Jahr Zeit.
Aber ich muss halt zuerst Ideen sammeln. Dannach kommt der Schritt dass ich mich in die Vorschläge auch zuerst noch einlesen muss.
Desalb zuerst auch Brainstorming bzw der Thread.
 
Moinsen,
warum sollte hier jemand lachen? Sind doch die meisten hier keine Vollzeit-Profi-Admins (behaupte ich mal, und ja, Betonung liegt auf "die meisten") ;)

Wenn du

und gleichzeitig aber auch

und dazu noch

schreibst...

...dann würde ich dir direkt raten, daa ganze hin und her sein zu lassen und dir wirklich Gedanken wegen einer
- firewall zu machen
- ggf. den Server, der von extern erreichbar sein soll, in eine dmz zu stecken (je nach Bedarf reicht schon ein Raspi?)
- damit der getrennt von deinem eigenen Heimnetz ist
- für dich einen eigenen storage Bereich anzulegen (nicht innerhalb der dmz!!) (der die Daten ggf. ONEWAY in die dmz synct, die benötigt werden)

also doch lieber zuerst um eine Firewall kümmern.
Vielleicht setzt ich mir auch einfach eine kleinere DS für den persönlichen gebrauch auf. Der Server und die grosse Syno dann nur für extern. Thema DMZ muss ich mich auch mal einlesen. Null Ahnung ausser dass es entmilitariserte Zone heisst XD


Je nach Größe der "Gemeinschaft" über vpn nachzudenken wäre noch eine Idee.

VPN Zugang und dann intern auf den nextcloudserver zugreifen? Gar kein zugang extern anbieten? Ich hoffe ich stell mich nicht zu blöd an :(

Die Leute sind halt alles "neulinge" es geht darum die Leute dazu zu bewegen weg von der google cloud zu kommen. Es soll voerst eben mal so einfach wie möglich sein. Wenn die leute sich noch VPN installieren müssen und ich noch konfigs rüber schieben muss, hängt es sicher schon bei 90 prozent. Wir machen vorlesungen intern und Bilden auch weiter.



Wenn Firewall, dann sind VLANs auf Wunsch eh (meist) dabei sowie diverse VPN Server (IPsec, openVPN, wireguard...).
Mit VLANs hast du einfach mehr Möglichkeiten: für dich, für den Server, für IoT, für Gäste...als mit deinem Aufbau.

also dann wird die Hardwareauswahl doch zuerst auf ne Firewall fallen. spfense erste Wahl?
Ich würde auf jeden Fall die gemeinsamen Daten (alle via Internet) von den eigenen trennen wollen. Auch will ich niemanden sonst im eigenen Netzwerk, Gäste kommen ja auch ins eigene Gast (W)LAN...

So als erstes brainstorming...aber hier sind wie gesagt auch einige Menschen, die da deutlich erfahrener sind.
:)
das versuche ich zu erreichen, aber es ist schwierig wenn man nicht aus der Branche kommt. Deshalb denk ich halt doch noch über ne Private DS nach.
 
vlan30n server entspricht meiner eigenen persönlichen DS?
muss mein router kein vlan können da dass die firewall übernimmt? oder ist der in der DMZ der Hypervisor?
warum verschiedene VLANs für IOT und PC
habt geduld mit mir :D
 
Moinsen,
bei Zettel und Stift geht es auch weniger um direkte Technik, sondern eher:
was will ich, was brauche ich, wer ist beteiligt, welche Geräte... das ist schon mal zeitaufwändig, das Bild oben ist ja nur ein Schema.

Und ja, die ganzen Schlagworte VLAN, VPN, Routing, Firewall usw...wenn du das alles selber machen willst, dann ist sehr gründliches Einlesen Pflicht.

Wenn du dann also weißt, was du willst und benötigst (Netzwerkaufbau und Segmentierung und Einteilung aller vorhandenen Geräte/Clients) UND eine Ahnung von den genannten Konzepten hast, DANN kannst du ans Geräte beschaffen und Einrichten gehen. Das ist dann meist eher schnell erledigt, wenn du die ersten Schritte wirklich gehst (gegangen bist).

Wenn du also dann einen Server anbieten willst nach extern, für Kalender, Adressbuch, Nextcloud Server UND auch noch Schulungen usw auf dem Server online abhalten willst...dann ist das eh nochmals ne andere Hausnummer.
 
Moinsen,
- ja, dein eigenes (privates) NAS/Server in eigenem VLAN
- router bleibt (fritzbox?), daran die firewall. Darauf die VLANs einrichten.
- IoT= dummes, potentiell "gefährliches" Zeug; Plappert oft nach Hause zum Hersteller, ist im Netz, bekommt oft keine Updates, wird gerne schlecht und billig entwickelt...das willst du getrennt haben von dem Rest. Vielleicht nichtmal ins Internet lassen...
- VLANs dürfen je nach Firewall Regelwerk aufeinander zugreifen, oder eben nicht.
 
Moinsen,
bei Zettel und Stift geht es auch weniger um direkte Technik, sondern eher:
was will ich, was brauche ich, wer ist beteiligt, welche Geräte... das ist schon mal zeitaufwändig, das Bild oben ist ja nur ein Schema.
Was ich will habe ich bereits erleutert. Mein privates netz so gut es geht vom offentlichen Server abtrennen. Dabei will ich meine eigenen Daten privat bei mir im eignen Netz halten, und das worauf die User zugriff halten so gut wie nur geht abschirmen. Es soll nur eine Cloudlösung sein die nur für persönliche Daten sind, keine geschäftlichen. Deshalb nun auch die persönliche DS damit wirds nicht so kompliziert.
Und ja, die ganzen Schlagworte VLAN, VPN, Routing, Firewall usw...wenn du das alles selber machen willst, dann ist sehr gründliches Einlesen Pflicht.

bin mich wirklich seit wochen am einlesen. Nur brauche ich nen Schupf in die richtige Richtung wie was am besten bewerkstellige und wie der Grundaufbau wäre. Ich bin auch einer der probiert gerne mit der vorhanden Hardware. Habe keine Probleme mir dann entsprechende Hw zu kaufen und mich dann dadurch zu klicken bzw die funktionen zu erlesen weil ich dann "sehe" was es alles gibt. Nur wollte ich dafür mal ein paar Grundideen sammeln wie man sowas am besten macht.
Wenn du dann also weißt, was du willst und benötigst (Netzwerkaufbau und Segmentierung und Einteilung aller vorhandenen Geräte/Clients) UND eine Ahnung von den genannten Konzepten hast, DANN kannst du ans Geräte beschaffen und Einrichten gehen. Das ist dann meist eher schnell erledigt, wenn du die ersten Schritte wirklich gehst (gegangen bist).

sie oben. Ich bin eher der typ learning by doing.
Wenn du also dann einen Server anbieten willst nach extern, für Kalender, Adressbuch, Nextcloud Server UND auch noch Schulungen usw auf dem Server online abhalten willst...dann ist das eh nochmals ne andere Hausnummer.
zur nextcloud, bilder, videos, und etc, es ist bzw wird alles auch so deklariert dass es erstma nur sowas wird.
 
- IoT= dummes, potentiell "gefährliches" Zeug; Plappert oft nach Hause zum Hersteller, ist im Netz, bekommt oft keine Updates, wird gerne schlecht und billig entwickelt...das willst du getrennt haben von dem Rest. Vielleicht nichtmal ins Internet lassen...
achso, so ein schmarn habe ich auch garnicht erst zuhause, wirklich garnix davon
 
noch eine frage: brauche ich die überhaupt firewall? du hast sie ausserhalb der DMZ eingezeichnet. Ist der server der für extern ist bereits via DMZ genug abgeschirmt? Ich lese mich nachher in ruhe über alles ein wenn ich den Aufbau verstanden habe.
 
Moinsen,
du könntest auch den öffentlichen Teil komplett auslagern auf einen Webhoster...kostet halt monatlich, ist aber dann wirklich "weg" vom Heimnetz.

Du kannst entweder einen Router an den eingehenden Anschluss packen (dann hast du ein LAN hinter diesem), daran die Firewall anschließen (dahinter hast du mindestens ein weiteres LAN, getrennt vom ersten). Dieses LAN hinter der Firewall kannst du dann "aufteilen" in diverse VLANs.
ODER
Du verzichtest auf das erste LAN und auf einen ersten Router und nutzt ein Modem. Daran dann die Firewall. Rest wie oben.

Kein "smart" TV? Keine sonos Boxen oder ähnliches? Kein Alexa? Kein "Smart" Home Kram? Wow...hat dein Telefon noch ne Wählscheibe (just kidding)??? ;)

BTW ich hab mir das auch alles autodidaktisch/learning by doing/gefährlich halbwissend zusammen gesucht. Paar graue Haare mehr seitdem... :)


Was meinst du mit
Ist der server der für extern ist bereits via DMZ genug abgeschirmt?
Abgeschirmt vom eigenen Netzwerk hinter der Firewall? Vom Internet willste ja nicht abschirmen (also nicht komplett, willst ja Dienste drauf anbieten nach extern...
 
Moinsen,
du könntest auch den öffentlichen Teil komplett auslagern auf einen Webhoster...kostet halt monatlich, ist aber dann wirklich "weg" vom Heimnetz.

hab es mir in den Kopf gesetzt alles selber zu machen o_O:D
Du kannst entweder einen Router an den eingehenden Anschluss packen (dann hast du ein LAN hinter diesem), daran die Firewall anschließen (dahinter hast du mindestens ein weiteres LAN, getrennt vom ersten). Dieses LAN hinter der Firewall kannst du dann "aufteilen" in diverse VLANs.
ODER
Du verzichtest auf das erste LAN und auf einen ersten Router und nutzt ein Modem. Daran dann die Firewall. Rest wie oben.

okay dass hat mir etwas struktur gebracht in da ganze
Kein "smart" TV? Keine sonos Boxen oder ähnliches? Kein Alexa? Kein "Smart" Home Kram? Wow...hat dein Telefon noch ne Wählscheibe (just kidding)???
nein, kein smart tv, kein sonos, kein alexa, nichts smarthome kram. Ich habe prinzipell etwas gegen solche sachen

;)

BTW ich hab mir das auch alles autodidaktisch/learning by doing/gefährlich halbwissend zusammen gesucht. Paar graue Haare mehr seitdem... :)
ja ich bestellt mir meisst die Hardware, konfiguiere rum, geht nicht, suche Netz, geht halbwegs, suche weiter, geht ein bisschen besser, und nach x stunden habe ich es dann geschafft was ich will. :D
Was meinst du mit

Abgeschirmt vom eigenen Netzwerk hinter der Firewall? Vom Internet willste ja nicht abschirmen (also nicht komplett, willst ja Dienste drauf anbieten nach extern...
dachte zuerst die firewall muss direkt nach dem Router auch ins DMZ und von dort aus weiter wieder raus ins persönliche LAN.
 
Moinsen,
das Bild ist da ungenau, schnell gemacht eben...
Und ja: der WAN Port der Firewall hängt in der DMZ, der/die LAN Port(S) sind dann die...LAN Ports eben. :)
 
hättest du mir eine Firewall hw Vorschlag der dass obige ungefähr abdecken könnte ( gbit internet Anschluss, Mail server, Website eher statisch mit zukünftigen Onlineshop, kein blog.
VLAN und VPN fähig
genug reserven um den Anschluss auch bedienen zu können und für upgrades auch nicht gerade gewechselt werden muss?
 
Moinsen,
Du hast einen 1 gbit/s Anschluss ans Internet?
Warum willst du den vorhandenen ISP Router wechseln?
Welche Geschwindigkeit willst bzw. hast du im LAN? Auch 1 gbit/s, 10 gbits?
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
4.708
Beiträge
47.999
Mitglieder
4.351
Neuestes Mitglied
Misiaczek
Zurück
Oben