Was bringt mir ein VLAN vs DHCP Subnetze und DNS

wario

Active member
Moinsen,
Du hast einen 1 gbit/s Anschluss ans Internet?
momentan 1gbit down, 100mbit up
ich ziehe evt in nem Jahr um (in zürich gibt es bereits viele neue Wohnungen mit FTTH Anschlüsse (dann 10gbit up und down)
Warum willst du den vorhandenen ISP Router wechseln?
will ich nicht wenns nicht sein muss. kein alternatives DNS, kein VLAN, kein VPN keine routing tabellen, kein Natloopback.
Welche Geschwindigkeit willst bzw. hast du im LAN? Auch 1 gbit/s, 10 gbits?
LAN soll eigentlich als nächstes auf 10gbit aufgerüstet werden. Dass kann sich aber auch noch n jahr hinziehen. Aber 10gbit sollen es schon werden.
 

the other

Well-known member
Moinsen,
Sorry, auch wenn es pingelig erscheinen mag...
Wenn du da sagst Onlineshopping, dann ist das idr was Gewerbliches. Da greifen dann auch ganz andere Verpflichtungen und Vorgaben rechtlicher Art.
Da bin ich raus. Ich mache das nur als reines Hobby und das sind privat einfach gänzlich andere Anforderungen.
Ohne dir jetzt zu nahe treten zuwollen, so ganz durchblicken tu ich dein Vorhaben nicht.
Eher für kleine Gemeinschaft angebotene private cloud vs. Online Seminare vs. Onlineshopping...wie denn nun?
Wenn du (und das meine ich echt nicht blöd) sowas vorhast, dann ist neben deutlich mehr Grundlage im Netzwerken auch juristisches Knowhow gefragt.
Vielleicht hast du ja schon viel Vorwissen und ich missverstehen dich nur einfach...
Aber im gewerblichen Umfeld ist learning by doing keine Entschuldigung im Gerichtsaal, wenn plötzlich aus Unkenntnis Verletzung von Datenschutzrechten oder anderes vorgeworfen werden...

Wie gesagt, privat alles eigene Verantwortung fürs eigene Netz, gewerblich aber was ganz anderes. Und Da bin ich dann raus...
 

wario

Active member
Moinsen,
Sorry, auch wenn es pingelig erscheinen mag...
Wenn du da sagst Onlineshopping, dann ist das idr was Gewerbliches. Da greifen dann auch ganz andere Verpflichtungen und Vorgaben rechtlicher Art.
Da bin ich raus. Ich mache das nur als reines Hobby und das sind privat einfach gänzlich andere Anforderungen.
Ohne dir jetzt zu nahe treten zuwollen, so ganz durchblicken tu ich dein Vorhaben nicht.
Eher für kleine Gemeinschaft angebotene private cloud vs. Online Seminare vs. Onlineshopping...wie denn nun?
Wenn du (und das meine ich echt nicht blöd) sowas vorhast, dann ist neben deutlich mehr Grundlage im Netzwerken auch juristisches Knowhow gefragt.
Vielleicht hast du ja schon viel Vorwissen und ich missverstehen dich nur einfach...
Aber im gewerblichen Umfeld ist learning by doing keine Entschuldigung im Gerichtsaal, wenn plötzlich aus Unkenntnis Datenschutzrechte oder anderes vorgeworfen werden...

Wie gesagt, privat alles eigene Verantwortung fürs eigene Netz, gewerblich aber was ganz anderes. Und Da bin ich dann raus...

nein du hast mich falsch verstanden. Wir halten interne Vorträge rein um das Themen Datenschutz, eigene Lösungen zu finden und zu nutzen via eigene Cloud, keine Dienste grosser Konzerne nutzen aufgrund Datenanalyse, Profiling und etc.
ich bitte intern nur einen Nextcloud intern an um seine Daten weg von der google cloud zu bekommen. Das ist nichts gewerbliches. Mach das alles Privat. Ich selber verkaufe Nebenbei Handys mit modifzierten Betriebssystemen (Graphene OS, Calyxs OS und etc)
das ist aber auch neben der Gemeinschaft und nicht damit verknüpft.

Wenn du mir trotzdem n vorschlag hast, würde ich mich freuen. lg
 

the other

Well-known member
Moinsen,
Du kannst das machen wie du denkst. Ich will das nur mal ganz deutlich gesagt haben. Heimnetz privat ist eben was anderes.
Wenn es dir um eine reine Hardware Empfehlung geht...
Entweder deinen Router einfach behalten und als Firewall für später 10 gbits im lan wird es schon dünner...
Wenn du opensense willst, dann gibt es da eigene Produkte. Der gute @Barungar hat da eigene Erfahrungen mit, auch mit schnellem Netzwerk. Wenn du die Suchfunktion im Forum nutzt, findest du sicher seinen Beitrag dazu...
Auch pfsense (netgate) bietet eigene Produkte an. Auch diese mit schnellen Anschlüssen.
Wenn du am Anfang einfach nur was günstiges zum ausprobieren suchst (was aber eben nur 1 gbit lan bietet), dann zb dies
https://www.amazon.de/Protectli-Fir...I6IjEuMDAifQ==&sprefix=apu+bo,aps,114&sr=8-15Oder
https://www.amazon.de/PC-Engines-AP...6IjEuMDAifQ==&sprefix=PC+engine,aps,97&sr=8-5
 

blurrrr

Well-known member
fällt mir halt schwer das mit Zettel und Stift zu machen da ich die ganzen Möglichkeiten noch garnicht kenne
Darum geht es erstmal auch garnicht. Nimm das was Du "kennst" und stell Dir einfach vor, dass Du davon "unendlich viel" hast... Router, Netze, Geräte, wie auch immer und dann fängst Du an, die Dinge nach einer gewissen Logik zu trennen. Dabei geht es auch erstmal garnicht um irgendwelche physikalischen Fakten, sondern erstmal nur rein um "Deine" Logik.

Kannst ja mal hier reinschauen, da wird ein bisschen darüber gesprochen/geschrieben... Ändert aber rein garnichts daran, dass es "Deiner" Logik folgen muss - bringt ja alles nix, wenn Du selbst nicht dahinter steigst 😁

Überleg Dir vielleicht erstmal, was Du in Deinem Konstrukt hast, was Du "zusammenpacken" kannst (z.B. WLAN-Clients, Rechner, Server, etc.) und überall dort, wo Du zentral regeln willst, was von wo nach wo darf, wird ein eigenes Netz entstehen, wie z.B. "WLAN Privat"+"WLAN Gäste"(+ggf. "WLAN Kinder"), usw. Ist im verkabelten Bereich jetzt erstmal nichts anderes von der Logik her (falls es das gedanklich einfacher macht) :)
 

Barungar

Well-known member
@the other Nein, die meinte ich nicht. Ich hatte einen längeren Post über das "Unboxing", die Installation, das Setup und mein Fazit zu meinen OPNsense DEC 740 geschrieben. Diesen Post finde ich nicht mehr... ich selbst habe ihn nicht gelöscht; soviel weiß ich. Trotzdem scheint er sich meinen Suchversuchen und mir hartnäckig zu entziehen.
 

Barungar

Well-known member
@the other Vielen Dank und
Herzlichen Glückwunsch! DU hast bewiesen, dass Du im Gegensatz zu mir offenkundig der Bedienung der Such-Funktion fähig bist.

Ja, den meinte ich. :D
 

the other

Well-known member
Moinsen,
auch wenn ich mich immer über Komplimente freue: ich hab es auch nicht via Suche gefunden sondern bin stumpf in das Unterforum openSense gegangen und hab auf gute alte Fleißarbeit gesetzt...und bin fündig geworden.
Egal wie, Hauptsache wiedergefunden...kommt eben nix weg im guten Haushalt (hmm,...wo ist denn nu meine Mause hin, verdammt...)
:ROFLMAO:
 

wario

Active member
Darum geht es erstmal auch garnicht. Nimm das was Du "kennst" und stell Dir einfach vor, dass Du davon "unendlich viel" hast... Router, Netze, Geräte, wie auch immer und dann fängst Du an, die Dinge nach einer gewissen Logik zu trennen. Dabei geht es auch erstmal garnicht um irgendwelche physikalischen Fakten, sondern erstmal nur rein um "Deine" Logik.

Kannst ja mal hier reinschauen, da wird ein bisschen darüber gesprochen/geschrieben... Ändert aber rein garnichts daran, dass es "Deiner" Logik folgen muss - bringt ja alles nix, wenn Du selbst nicht dahinter steigst 😁

Überleg Dir vielleicht erstmal, was Du in Deinem Konstrukt hast, was Du "zusammenpacken" kannst (z.B. WLAN-Clients, Rechner, Server, etc.) und überall dort, wo Du zentral regeln willst, was von wo nach wo darf, wird ein eigenes Netz entstehen, wie z.B. "WLAN Privat"+"WLAN Gäste"(+ggf. "WLAN Kinder"), usw. Ist im verkabelten Bereich jetzt erstmal nichts anderes von der Logik her (falls es das gedanklich einfacher macht) :)
vielen dank für deinen Beitrag, ich habe ja oben einen Ist Zustand, und einen Soll Zustand gepostet. Ich habe ein privates Netz mit PC, Laptop, 1 Smarthphone und ein Tablet. Mehr habe ich nicht, es gibt auch keinen Gastzugang. Ich habe keine IOT geräte weder spreche ich mit Boxen, Smartsteurungen und etc. Diese Geräte dürfen auch miteiander kommunzieren. Höchstwahrscheinlich kommt noch eine 2te NAS in das Private Netz, damit der Server wirklich nur für externe Sachen reserviert ist. Das einzige was ich will, ist dass der Laptop mit dem ich konfiguiere und arbeite, in das Zweite Netz Zugriff hat (mit Inhalt Hypervisor und Storage) um die Geräte anzusteuern bzw zu konfiguieren. Dass kann ich ja evt via VPN erreichen wenn ich da richtig liege.
Nur hab ich kein Plan wie ich dass alles realiseren soll.
Mein Gedankenkonstrukt wäre momentan folgendes im Anhang:
 

Anhänge

  • konstrukt.png
    konstrukt.png
    288,6 KB · Aufrufe: 6

blurrrr

Well-known member
Schieb die Firewall mal direkt hinter den Router und alles dahinter ist mit der Firewall (bzw. dem Switch dahinter) verbunden. Hypervisor (Management) ggf. auch im LAN und nur die VMs gehen über ein extra VLAN raus.
 

blurrrr

Well-known member
Mit Hypervisor + Storage im LAN Vermutlich eher etwas in diese Richtung:

1664561384580.png

Kannst natürlich noch weiter unterteilen und ob "LAN" in ein VLAN soll bleibt Dir überlassen (Standard "1"). Vielleicht fängst Du auch erstmal "klein" an, das würde dann dem Bild entsprechen, oder Du fängst noch kleiner an und besorgst Dir erstmal einen Hypervisor und spielst ein bisschen mit VMs rum ☺️
 

wario

Active member
jetzt bin ich wieder verwirrt, vorher hast du gesagt, Hypervisor im LAN (vermutlich dass ich den Hypervisor mit dem Laptop im selben LAN managen kann, und nur die VMs in VLAN und nun ist der hypervisor auch wieder im VLAN. Wieso VMs und Storage nicht im selben VLAN? Der Client bzw der Laptop soll sich normalerweise im im privaten LAN aufhalten und nur zur Bedienung in das VLAN rein können. Auf dem neuen Bild sehe ich nicht wo die VMs jetzt sind. Wieso ist der hypervisor mit VLAN10 und 20 verbunden?
Sorry aber ich glaube ich bin zu doof dafür. Durch den Thread bin ich nun leider verwirrter wie vorher 😢
 

-Seth-

-
Moderator
Guten Tag
"Privates" LAN entspricht VLAN 10 im Bild
VM sind dann alle im VLAN 20 unterwegs.
Dein Notebook und storage sind ebenfalls im privaten vlan 10
Dein LAN umfasst dann alle vlans als "tragendes interface, engl. Parent interface". Aber ob und wie von vlan 10 auf vlan 20 zugegriffen werden darf und andersherum, dass regelt dann die firewall. Damit kannst du aus vlan 10 den hypervisor konfigurieren bzw den host (der ja auch im vlan 10 sitzt), die von diesem "verwalteten" virtuellen Maschinen aber nutzen vlan 20...Und kommen dann eben ggf auch nicht in dein privates vlan 10.
 

wario

Active member
Dein LAN umfasst dann alle vlans als "tragendes interface, engl. Parent interface". Aber ob und wie von vlan 10 auf vlan 20 zugegriffen werden darf und andersherum, dass regelt dann die firewall. Damit kannst du aus vlan 10 den hypervisor konfigurieren bzw den host (der ja auch im vlan 10 sitzt), die von diesem "verwalteten" virtuellen Maschinen aber nutzen vlan 20...Und kommen dann eben ggf auch nicht in dein privates vlan 10.
Vielen dankf für die Erklärung. Dass ergibt für mich nun einen Sinn, hab das woh falsch interpretiert. Noch eine Sache, wieso darf die Storage mit in das Private VLAN, sollte es auch sicherheitsgründen nicht mit in das VLAN der Hypervisors damit es auch vom Privaten getrennt ist und somit eine hohere Sicherheit bietet von Angriffen aus dem privaten LAN? Hab zwar ne Firewall aber möglich ist ja alles.
Nun noch eine letzte Frage, dann habe ich erstma genug Material um das alles zu verdauen damit es in meinem Kopf auch funktioniert :D
Die Firewall wird Marke eigenbau bzw nen MiniPC (6c/12t, 8GB RAM/ SSD) wenn ich da genug Netzwerkarten installiere, brauche ich vooerst kein VLAN switch, ist das theoretisch möglich? Muss auch am anfang etwas budgetieren :D
 

the other

Well-known member
Moinsen,
Wenn du alle Anwendungen, die von deinen Gästen genutzt werden, auf eine (mehrere) vms packst, diese dann im eigenen vlan segment isoliert sind, dann laufen "deine eigenen privaten" Dienste und Anwendungen via vlan 10. Damit wäre eine Trennung doch erreicht...
Bin jetzt echt kein vmm hypervisor Experte, aber so verstehe ich das.
;)

Wird übrigens auch so von synology empfohlen:
https://kb.synology.com/de-de/DSM/help/Virtualization/getting_started?version=7
 

wario

Active member
Moinsen,
Wenn du alle Anwendungen, die von deinen Gästen genutzt werden, auf eine (mehrere) vms packst, diese dann im eigenen vlan segment isoliert sind, dann laufen "deine eigenen privaten" Dienste und Anwendungen via vlan 10. Damit wäre eine Trennung doch erreicht...
Bin jetzt echt kein vmm hypervisor Experte, aber so verstehe ich das.
;)
so verstehe ich des auch, hab mich nur gefragt wieso die Storage nicht auch im vlan der VMs liegen um diese ebenso von meinen privaten clients und daten zu schützen.
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
1.334
Beiträge
17.774
Mitglieder
843
Neuestes Mitglied
smartloftnrw
Oben