Frage zu VLANs
Kenne mich leider mit VLANS wenig aus, würde aber mein Netzwerk gern weiter härten.
ich habe einen privaten Heimserver (Proxmox VE) mit zwei Netzwerkports (aktuell Link Aggregation), einen Zyxel Managed Switch XMG1915-10E und zwei Fritz Boxen, 7530 und 4060. Der Server hängt direkt an diesem Switch.
Aktuell lläuft alles in einem IP-Bereich 192.168.170.0/24 mit fest vergebenen IPs für die VMs.
Die FritzBox hängt an einer Wand-Netzwerkdose mit leider nur einem Port.
Frage: Kann ich interne Services auf dem Server in ein eigenes VLAN verlegen, sodass man sie von den extern ereichbaren VMs nicht sehen kann?
Oder ist es besser, extern erreichbare VMs in ein VLAN abzuschotten, sodass diese das interne Netzwerk mit meinen PCs nicht sehen können?
Kann ich das Gastnetz in ein getrenntes VLAN legen? Das geht meiner Meinung nach nur, wenn man zwei LAN Ports nutzen kann und dann an der Fritte Port 4 dafür benutzt.
ich habe einen privaten Heimserver (Proxmox VE) mit zwei Netzwerkports (aktuell Link Aggregation), einen Zyxel Managed Switch XMG1915-10E und zwei Fritz Boxen, 7530 und 4060. Der Server hängt direkt an diesem Switch.
Aktuell lläuft alles in einem IP-Bereich 192.168.170.0/24 mit fest vergebenen IPs für die VMs.
Die FritzBox hängt an einer Wand-Netzwerkdose mit leider nur einem Port.
Frage: Kann ich interne Services auf dem Server in ein eigenes VLAN verlegen, sodass man sie von den extern ereichbaren VMs nicht sehen kann?
Oder ist es besser, extern erreichbare VMs in ein VLAN abzuschotten, sodass diese das interne Netzwerk mit meinen PCs nicht sehen können?
Kann ich das Gastnetz in ein getrenntes VLAN legen? Das geht meiner Meinung nach nur, wenn man zwei LAN Ports nutzen kann und dann an der Fritte Port 4 dafür benutzt.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669320
Url: https://administrator.de/contentid/669320
Ausgedruckt am: 07.11.2024 um 11:11 Uhr
8 Kommentare
Neuester Kommentar
Wenn man so will ist das Gast-Netz ein VLAN, zumindest erfüllt es den Zweck der Abgrenzung. Daneben gibt es noch ACL wenn der Switch das kann, dort kann man ebenfalls ein Regelwerk hinterlegen.
Oder man nutzt eine OPNsense CE auf einem Mini PC, z.B. um deine VMs abzugrenzen.
https://forum.opnsense.org/index.php?topic=39556.0
Oder man nutzt eine OPNsense CE auf einem Mini PC, z.B. um deine VMs abzugrenzen.
https://forum.opnsense.org/index.php?topic=39556.0
Zitat von @Bierkistenschlepper:
...Kann ich das Gastnetz in ein getrenntes VLAN legen? Das geht meiner Meinung nach nur, wenn man zwei LAN Ports nutzen kann und dann an der Fritte Port 4 dafür benutzt.
Da Du an der Fritte nur einen Port ins Haus zu Verfügung hast müsstest Du einen kleinen Switch zwischen Fritte und Netzwerkanschluss setzen, dann geht das.
Beispielsweise MikroTik RB 260 für knappe 40€ wenn dir Gigabit genügt.
Du speist dann beide Netze in den Switch ein und kannst dann beide über ein Netzwerkabel übertragen indem Du mindestens 1 Netz tagged zum nächsten Switch überträgst.
Sollten 100Mbit zur Fritte reichen, weil z.B. ein DSL Anschluss nicht mehr hergibt geht auch soetwas CAT.5 Kabel-Splitter Beschaltung 2x Ethernet
Da die Fritzbox selber keine VLANs supportet benötigst du zusätzliche Hardware wie einen Layer 3 VLAN Switch.
Mit der hiesigen Suchfunktion findest du entsprechende Tutorials zu der ganzen Thematik:
VLAN Design mit L3 VLAN Switch
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Fritzbox Gast mit VLAN Switch
Lesen und verstehen... 😉
Mit der hiesigen Suchfunktion findest du entsprechende Tutorials zu der ganzen Thematik:
VLAN Design mit L3 VLAN Switch
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Fritzbox Gast mit VLAN Switch
Lesen und verstehen... 😉
Moin,
VLAN ist auch nur ein nichtvorhandenes Kabel. Du willst unterteilen, ohne das jemand durch Anpassung der Netzwerk-Maske oder durchsuchen von IP Bereichen die Server hier findet. Mehrere Netze/ IPs kann man auch über eine Leitung laufen lassen bzw. Server mehrere IPs geben.....
Das alles will man natürlich nicht. Um 2x getrennte Netze zu verbinden braucht man einen Router. Die FB ist schön für so allgemeine Dinge. Da du aber eh schon weit über Netflix hinaus bist und einen Hypervisor hast, geht bei dir noch viel mehr.
VMware, Proxmox... bei allen gibt es seit Jahren den Host-Only gedanken. Das Datenpakete nur auf virtuellen, lokalen Switchen kreisen und nicht woanders hin können. So grob kann man das Konzept nehmen und mit z.B. eine virtuellen Firewall (OPNsense/ pfsense) die Bereiche verbinden.
FB - OPNsense - DMZ-Server
Wenn du wirklich was "anbieten" willst, so nimmt man dafür meist SSL Verbindungen. Let's Encrypt z.B. Um nicht 100 LE Clients zu verwenden kann man die Zertifikate auch zentral verwalten. OPNsense z.B. kann die aktualisieren und die Dinger liegen da dann rum. Man kan Zertifikate auch automatisch auf die Server übertragen oder legt sie auf einen Proxy ab, der der DMZ voran steht. Kann die Firewall sein oder auch ein zusätzlicher Linux Proxy - mit oder ohne GUI Verwaltung.
@aqui hat zig Tutorials dazu im Angebot.
Du hast Porsche schon da stehen und fährst mit dem Roller (FB). OPNsense auf z.B. alter Sophos UTM kostet vlt. nen Hunni, bietet aber so viel mehr. Ich hab FB - OPNsense auf UTM - Netz. FB nur, weil hier im Haus Schwiegereltern das Ding im Keller stehen haben.
Mit der Fritte mache ich - außer es als WAN einzutragen - nix mehr. Durchlauferhitzer wie aqui immer so schön schreibt. Hat aber im privaten Bereich meist wenig auswirkungen.
Ich würde mir das Ganze mal als VM aufbauen. Client im normalen Netz, OPNsense als VM mit je einen Beinchen im FB Netzwerk und einen im neuen VLAN. Dann siehst du schon was so geht.
Wenn der Proxmox 2x LAN Karten hat kannst du es via Zyxel Switch auch nach draussen bringen und deinen Laptop mal dran anschließen.
Das kann wieder ein anderes VLAN sein. Ggf. eines mit Captive Portal, wo du dich an der OPNsense erst anmelden musst. Dabei lernst du automatisch vieles über VLANs.
In der Firma setzen wir Watchguard mit VLANs ein. Die Technik dahinter ist aber immer irgendwo die Gleiche. Meiner Meinung nach ist es ein Mehrwert wenn man die FB nur als Gateway hiernimmt und alles via z.B. Exposed Host oder Portweiterleitung an die "echte" Firewall leitet.
Tagged/ Untagged lernt man am Besten mit Firewall und Switchen die alles können. Die FB ist da doch arg begrenzt.
VLAN ist auch nur ein nichtvorhandenes Kabel. Du willst unterteilen, ohne das jemand durch Anpassung der Netzwerk-Maske oder durchsuchen von IP Bereichen die Server hier findet. Mehrere Netze/ IPs kann man auch über eine Leitung laufen lassen bzw. Server mehrere IPs geben.....
Das alles will man natürlich nicht. Um 2x getrennte Netze zu verbinden braucht man einen Router. Die FB ist schön für so allgemeine Dinge. Da du aber eh schon weit über Netflix hinaus bist und einen Hypervisor hast, geht bei dir noch viel mehr.
VMware, Proxmox... bei allen gibt es seit Jahren den Host-Only gedanken. Das Datenpakete nur auf virtuellen, lokalen Switchen kreisen und nicht woanders hin können. So grob kann man das Konzept nehmen und mit z.B. eine virtuellen Firewall (OPNsense/ pfsense) die Bereiche verbinden.
FB - OPNsense - DMZ-Server
Wenn du wirklich was "anbieten" willst, so nimmt man dafür meist SSL Verbindungen. Let's Encrypt z.B. Um nicht 100 LE Clients zu verwenden kann man die Zertifikate auch zentral verwalten. OPNsense z.B. kann die aktualisieren und die Dinger liegen da dann rum. Man kan Zertifikate auch automatisch auf die Server übertragen oder legt sie auf einen Proxy ab, der der DMZ voran steht. Kann die Firewall sein oder auch ein zusätzlicher Linux Proxy - mit oder ohne GUI Verwaltung.
@aqui hat zig Tutorials dazu im Angebot.
Du hast Porsche schon da stehen und fährst mit dem Roller (FB). OPNsense auf z.B. alter Sophos UTM kostet vlt. nen Hunni, bietet aber so viel mehr. Ich hab FB - OPNsense auf UTM - Netz. FB nur, weil hier im Haus Schwiegereltern das Ding im Keller stehen haben.
Mit der Fritte mache ich - außer es als WAN einzutragen - nix mehr. Durchlauferhitzer wie aqui immer so schön schreibt. Hat aber im privaten Bereich meist wenig auswirkungen.
Ich würde mir das Ganze mal als VM aufbauen. Client im normalen Netz, OPNsense als VM mit je einen Beinchen im FB Netzwerk und einen im neuen VLAN. Dann siehst du schon was so geht.
Wenn der Proxmox 2x LAN Karten hat kannst du es via Zyxel Switch auch nach draussen bringen und deinen Laptop mal dran anschließen.
Das kann wieder ein anderes VLAN sein. Ggf. eines mit Captive Portal, wo du dich an der OPNsense erst anmelden musst. Dabei lernst du automatisch vieles über VLANs.
In der Firma setzen wir Watchguard mit VLANs ein. Die Technik dahinter ist aber immer irgendwo die Gleiche. Meiner Meinung nach ist es ein Mehrwert wenn man die FB nur als Gateway hiernimmt und alles via z.B. Exposed Host oder Portweiterleitung an die "echte" Firewall leitet.
Tagged/ Untagged lernt man am Besten mit Firewall und Switchen die alles können. Die FB ist da doch arg begrenzt.
https://forum.proxmox.com/threads/vor-und-nachteile-vlan-in-proxmox-oder ...
Tja gibt halt solche und solche....
Da wurde das auch mal thematisiert.
Tja gibt halt solche und solche....
Da wurde das auch mal thematisiert.
OPNSense wollte ich eigentlich nicht auch noch
Ein kleiner 21€ oder 55€ VLAN Layer 3 Switch vom Taschengeld sollte auch den WAF und Platzbedarf nicht zu sehr strapazieren:https://www.varia-store.com/de/produkt/687064-rb941-2nd-routerboard-hap- ... (wenn 100 Mbit reichen)
https://www.varia-store.com/de/produkt/687618-rb750gr3-routerboard-hex-m ... (1 Gig)
Wie du das einfach integrierst bekommt beschreibt das obige Tutorial!