6
Frage zu Netzwerkaufbau und Netzwerkkomponenten
Hallo!
Erst mal GUTES NEUES JAHR.
Ich habe Fragen zum Aufbau eines Netzwerkes. Ein neues Gebäude soll in ein bestehendes Netzwerk, welches zwei Gebäude umfasst eingebunden werden.
Das bestehende Netzwerk ist einfach und besteht aktuell aus einem Internetzugang mit Kabelmodem, einer Firewall und ein paar Switches. Die pfSense ermöglicht einen WLAN-Gastzugang über ein Captive Portal (nach Aquis Anleitung) und trennt diesen vom privaten Netzwerk.
bestehendes Netzwerk:
Nun möchte ich ein neues Gebäude nach folgenden Forderungen mit einbinden:
Es gibt für alle drei Gebäude nur einen Internetzugang.
Captive Portal soll bestehen bleiben.
Der aktuelle private Netzwerkbereich in Gebäude 1 und 2 soll durch VLANs getrennt werden. ( Gebäude 1 => VLAN1 & VLAN2, Gebäude 2 => VLAN 3) siehe Bild. Wobei die Kassa über den Internetzugang für eine Fernwartung erreichbar sein muss.
Im neuen Gebäude soll es grundsätzlich zwei Bereiche geben, die Haussteuerung und das private Netzwerk.
Zur Verbindung zwischen den Gebäude 1 und 3 habe ich an eine VPN-Kopplung zwischen den zwei Firewalls gedacht.
mein Vorschlag:
Zusätzlich zu den Komponenten die in der aktuellen Situation dargestellt sind ist noch die Firewall mit dem APU.1D Board vorhanden.
Kann die Netzwerkstruktur so umgesetzt werden? Oder ist ein anderer Aufbau sinnvoller / einfacher?
Ist der Zugriff zwischen den Gebäuden über die VPN-Kopplung möglich / sinnvoll? Zum Beispiel auf das NAS?
Kann der Switch in Gebäude 2 ein dummer sein, wenn hier das VLAN nicht weiter unterteilt werden soll.
Ist ein Zugang für eine Fernwartung für Kassa oder Heizung einfach umzusetzen?
Reicht das Alix.2D13 aus oder soll ich es durch eine Gigabit Firewall austauschen?
lg reitzi
Erst mal GUTES NEUES JAHR.
Ich habe Fragen zum Aufbau eines Netzwerkes. Ein neues Gebäude soll in ein bestehendes Netzwerk, welches zwei Gebäude umfasst eingebunden werden.
Das bestehende Netzwerk ist einfach und besteht aktuell aus einem Internetzugang mit Kabelmodem, einer Firewall und ein paar Switches. Die pfSense ermöglicht einen WLAN-Gastzugang über ein Captive Portal (nach Aquis Anleitung) und trennt diesen vom privaten Netzwerk.
bestehendes Netzwerk:
Nun möchte ich ein neues Gebäude nach folgenden Forderungen mit einbinden:
Es gibt für alle drei Gebäude nur einen Internetzugang.
Captive Portal soll bestehen bleiben.
Der aktuelle private Netzwerkbereich in Gebäude 1 und 2 soll durch VLANs getrennt werden. ( Gebäude 1 => VLAN1 & VLAN2, Gebäude 2 => VLAN 3) siehe Bild. Wobei die Kassa über den Internetzugang für eine Fernwartung erreichbar sein muss.
Im neuen Gebäude soll es grundsätzlich zwei Bereiche geben, die Haussteuerung und das private Netzwerk.
Zur Verbindung zwischen den Gebäude 1 und 3 habe ich an eine VPN-Kopplung zwischen den zwei Firewalls gedacht.
mein Vorschlag:
Zusätzlich zu den Komponenten die in der aktuellen Situation dargestellt sind ist noch die Firewall mit dem APU.1D Board vorhanden.
Kann die Netzwerkstruktur so umgesetzt werden? Oder ist ein anderer Aufbau sinnvoller / einfacher?
Ist der Zugriff zwischen den Gebäuden über die VPN-Kopplung möglich / sinnvoll? Zum Beispiel auf das NAS?
Kann der Switch in Gebäude 2 ein dummer sein, wenn hier das VLAN nicht weiter unterteilt werden soll.
Ist ein Zugang für eine Fernwartung für Kassa oder Heizung einfach umzusetzen?
Reicht das Alix.2D13 aus oder soll ich es durch eine Gigabit Firewall austauschen?
lg reitzi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 292061
Url: https://administrator.de/contentid/292061
Printed on: April 23, 2024 at 09:04 o'clock
6 Comments
Latest comment
Einen Kardinlasfehler hast du begangen mit dem Einsatz von billigen unmanaged Switches. Damit hast du dir eine Option verbaut die beiden Netze über einen tagged Uplink zu verbinden der dir dann auch alle VLANs ins 2te Gebäude bringt.
Schmeiss die Teile also raus und ersetze sie dir preiswerte VLAN fähige Switches die du mit einem GiG Uplink oder 2 als Trunk verbindest.
Idealerweise mit einem Glasfaserport, da du wegen 2 Gebäuden Potentialströme beachten musst, da ist Kupfer nicht so ideal.
Cisco SG-200, oder die üblichen Verdächtigen von D-Link, Trendnet usw. usw. reichen da.
Damit hast du transparent deine bestehenden VLANs auch im anderen Gebäude mit Option auf Erweiterung. Du solltest aber das private Netz dort in ein anderes IP Netz bringen also mit einem zusätzlichen VLAN um die L2 Domains nicht zu groß werden zu lassen.
Das Haustechnik Netz ebenso.
Ggf. wenn Budget vorhanden und die 3 Gebäude realisiert sind, ersetzt du den Switch in Geb. 1 gleich besser durch einen L3 Switch und bindest beide Gebäude da sternförmig per .1q Trunk an.
Private Netze separierst du pro Gebäude in einem separaten IP VLAN und routest sie mit ACLs oder FW über den L3 Switch je nachdem ob gegenseitiger Zugriff erlaubt sein soll oder nicht.
Das Gast VLAN mit CP erweiterst du ungeroutet über den tagged Uplink auf alle Gebäude.
Das wäre die einfachste Lösung.
Im Grunde entspricht es ja zu 99% was du dir selber schon vorgestellt hast. Du bist also auf dem richtigen Wege...
P.S.: Was ist eine "Kassa" ??? Ist das sowas wie eine Registrierkasse oder PoS (Point of Sale) ??
Schmeiss die Teile also raus und ersetze sie dir preiswerte VLAN fähige Switches die du mit einem GiG Uplink oder 2 als Trunk verbindest.
Idealerweise mit einem Glasfaserport, da du wegen 2 Gebäuden Potentialströme beachten musst, da ist Kupfer nicht so ideal.
Cisco SG-200, oder die üblichen Verdächtigen von D-Link, Trendnet usw. usw. reichen da.
Damit hast du transparent deine bestehenden VLANs auch im anderen Gebäude mit Option auf Erweiterung. Du solltest aber das private Netz dort in ein anderes IP Netz bringen also mit einem zusätzlichen VLAN um die L2 Domains nicht zu groß werden zu lassen.
Das Haustechnik Netz ebenso.
Ggf. wenn Budget vorhanden und die 3 Gebäude realisiert sind, ersetzt du den Switch in Geb. 1 gleich besser durch einen L3 Switch und bindest beide Gebäude da sternförmig per .1q Trunk an.
Private Netze separierst du pro Gebäude in einem separaten IP VLAN und routest sie mit ACLs oder FW über den L3 Switch je nachdem ob gegenseitiger Zugriff erlaubt sein soll oder nicht.
Das Gast VLAN mit CP erweiterst du ungeroutet über den tagged Uplink auf alle Gebäude.
Das wäre die einfachste Lösung.
Im Grunde entspricht es ja zu 99% was du dir selber schon vorgestellt hast. Du bist also auf dem richtigen Wege...
P.S.: Was ist eine "Kassa" ??? Ist das sowas wie eine Registrierkasse oder PoS (Point of Sale) ??
Hallo Aqui,
danke für deine Antwort! Wenn ich dich richtig verstanden habe, würdest du folgenden Aufbau wählen:
Kabelmodem
Firewall (APU.1D mit pfSense)
L3 Switch
managed L2 Switch für jedes Gebäude
L2 Switch Gebäude1: VLAN1(192.168.1.0 Netzwerk 1) + VLAN2 (192.168.2.0 Registrierkasse) + VLAN3 (192.168.3.0 Captive Portal über Alix.2D13 mit pfSense)
L2 Switch Gebäude2: VLAN4 (Netzwerk 1)
L3 Switch Gebäude3: VLAN5 (10.0.1.x Haustechnik) + VLAN5 (10.0.2.x Netzwerk)
Die VLANs könnten natürlich noch weiter unterteilt werden.
Ist der Aufbau sicher, wenn die Switches im Gebäude 1 frei zugänglich sind?
Ich hatte bei meinem Ansatz mit den zwei Firewalls (örtlich getrennt) versucht zwei voneinander unabhängige Netzwerke zu schaffen, die trotzdem über VPN miteinander verbunden sind (im obigen Beispiel als Netzwerke 1 bezeichnet). Ist das so möglich? Mein Hauptziel ist die Haustechnik zu schützen.
Zur Verkabelung zwischen den Gebäuden habe ich ein Netzwerkkabel gewählt. Die Kabellänge zw. G1 und G2 beträgt 50m und zw. G1 und G3 89m. Alle Gebäude sind über Erdkabel vom gleichen Verteilerkasten mit Strom versorgt und sollten somit hoffentlich die gleiche Erdung / Potential haben. Die Verbindung zwischen den Gebäuden 1 und 3 muss ich erst testen. Wie wirken sich die Potentialströme aus? Funktioniert die Leitung einfach nicht oder führen die Potentialströme zu einer geringeren Datenübertragung?
Mit der Kassa meinte ich die Registrierkasse.
LG
danke für deine Antwort! Wenn ich dich richtig verstanden habe, würdest du folgenden Aufbau wählen:
Kabelmodem
Firewall (APU.1D mit pfSense)
L3 Switch
managed L2 Switch für jedes Gebäude
L2 Switch Gebäude1: VLAN1(192.168.1.0 Netzwerk 1) + VLAN2 (192.168.2.0 Registrierkasse) + VLAN3 (192.168.3.0 Captive Portal über Alix.2D13 mit pfSense)
L2 Switch Gebäude2: VLAN4 (Netzwerk 1)
L3 Switch Gebäude3: VLAN5 (10.0.1.x Haustechnik) + VLAN5 (10.0.2.x Netzwerk)
Die VLANs könnten natürlich noch weiter unterteilt werden.
Ist der Aufbau sicher, wenn die Switches im Gebäude 1 frei zugänglich sind?
Ich hatte bei meinem Ansatz mit den zwei Firewalls (örtlich getrennt) versucht zwei voneinander unabhängige Netzwerke zu schaffen, die trotzdem über VPN miteinander verbunden sind (im obigen Beispiel als Netzwerke 1 bezeichnet). Ist das so möglich? Mein Hauptziel ist die Haustechnik zu schützen.
Zur Verkabelung zwischen den Gebäuden habe ich ein Netzwerkkabel gewählt. Die Kabellänge zw. G1 und G2 beträgt 50m und zw. G1 und G3 89m. Alle Gebäude sind über Erdkabel vom gleichen Verteilerkasten mit Strom versorgt und sollten somit hoffentlich die gleiche Erdung / Potential haben. Die Verbindung zwischen den Gebäuden 1 und 3 muss ich erst testen. Wie wirken sich die Potentialströme aus? Funktioniert die Leitung einfach nicht oder führen die Potentialströme zu einer geringeren Datenübertragung?
Mit der Kassa meinte ich die Registrierkasse.
LG
Zitat von @reitzi:
Wie wirken sich die Potentialströme aus? Funktioniert die Leitung einfach nicht oder führen die Potentialströme zu einer geringeren Datenübertragung?
Im worst-case?Wie wirken sich die Potentialströme aus? Funktioniert die Leitung einfach nicht oder führen die Potentialströme zu einer geringeren Datenübertragung?
Brennen dir alle drei Gebäude ab!
Ist zwar nicht wahrscheinlich aber auf man sollte Potentialunterschiede nicht vernachlässigen.
Gruß
st der Aufbau sicher, wenn die Switches im Gebäude 1 frei zugänglich sind?
Nicht so dolle...besser wäre minimum dort einen kleinen abschliessbaren Schrank zu verwenden.versucht zwei voneinander unabhängige Netzwerke zu schaffen
Das schaffst du mit einem VLAN bzw. IP Segemnt pro Gebäude ja auch und das noch erheblich performanter als mit VPN.VPNs Gebäudeübergreifent wären technischer Unsinn...jedenfalls in deinem Szenario.
Die Haustechnick kannst du auch mit separaten VLAN Segmenten und ACLs schützen oder sie mit über die Firewall und Regeln sichern.
Potentialströme treten immer auf zw. Gebäuden bei Kupfer. Oft ist es gar nicht erlaubt aus Feuerschutzgründen oder baurechtlichen Gründen Kupfer zu verwenden. Im schlimmsten Fall kann die aktive Technik zerstört werden.
Du solltest in jedem Falle Glasfaser vorsehen.
Jeder managed Billigswitch hat heute 2 oder 4 SFP Slots für Optiken und die kosten ein paar Euro. 50 m LC Kabel 50/125µ OM3 kannst du dir vom Elektriker fertig konfektionieren lassen. Damit fährst du in jedem Falle sicherer.
An einen abschließbaren Schrank habe ich auch schon gedacht. Werd mich mal danach umsehen.
Glaubt ihr das die Potentialströme mit 89 Meter beriets ein Problem sein können? Mein Elektriker meinte unter 100 Meter ist das sicher kein Problem.
Ich werde dies auf jeden Fall bei der Hardwareauswahl berücksichtigen.
Aqui kannst du mir bitte die Erweiterung des Gast VLAN mit CP genauer erläutern.
Kann ich pfSense so konfigurieren das das CP über den WAN-port auch auf die anderen Gebäude erweiterbar ist, oder hast du eine allgemeine Erweiterung des Gast VLANs gemeint?
Was wäre ein günstiger L3 Switch mit 4x SFP und 8 bis 16 LAN Ports für diese Anwendung?
Glaubt ihr das die Potentialströme mit 89 Meter beriets ein Problem sein können? Mein Elektriker meinte unter 100 Meter ist das sicher kein Problem.
Ich werde dies auf jeden Fall bei der Hardwareauswahl berücksichtigen.
Aqui kannst du mir bitte die Erweiterung des Gast VLAN mit CP genauer erläutern.
Kann ich pfSense so konfigurieren das das CP über den WAN-port auch auf die anderen Gebäude erweiterbar ist, oder hast du eine allgemeine Erweiterung des Gast VLANs gemeint?
Was wäre ein günstiger L3 Switch mit 4x SFP und 8 bis 16 LAN Ports für diese Anwendung?
Kann ich pfSense so konfigurieren das das CP über den WAN-port auch auf die anderen Gebäude erweiterbar ist,
Ja, das ist kinderleicht...Übertrage das Gast VLAN einfach über den tagged Uplink zwischen den Switches in den Gebäuden. So hast du kinderleicht das Gast VLAN auch dort....ganz einfach.
Siehe Praxisbeispiel hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
