kai700
Goto Top

Gegenüberstellung möglicher Varianten eine Homenetzes SPI vs. Routerkaskade

Hallo,
ich hab schon Einiges hier gelesen. Ich möchte stellvertertend auf folgender Diskussion aufsetzen: Router-Kaskade, Empfehlung Router Mir ist auch bewusst, dass man manchmal "Äpfel mit Birnen" vergleicht, obwohl es um Anspruch und Bequemlichkeit geht. Jeder muss dann für sich den besten Kompromiss finden. Bsp. Kindersicherung (Filter, Zeitfenster/-kontingente) bei der Fritzbox sehr komfortabel aber eben nicht besonders sicher. Manchmal reicht das aber auch. Genug der Vorrede. Ich habe mir mal 3 Varianten skizziert und die aus meiner Sicht wesentlichen Vor-/und Nachteile angerissen:
6390a541542abb040056b36fb41ff3d9

Variante A:
Vorteile:
konsequente FW, zentrale FW/Routinglösung, keine Kaskade
sehr leistungsfähig, flexibel, maximale Funktionalität
Nachteile:
Lernkurve, Bedienung nicht für Nicht-Admisitratoren gedacht
separate Telefon, Fax-Lösung
Kindersicherung manuell regeln
ggf. aufwendigere Verkabelung

Variante B:
Vorteile:
einfachere (Erst)einrichtung, tlw. plug&play
gewisser Telekomsupport/Kompatibilität
integrierte Telef.analge
Nachteile:
Kaskade, beide Router Administrieren, möglicherweise fehlt etwas im jeweilgen Netz, was im anderen möglich ist
geringerer Anspruch an FW-Möglichkeiten

Variante C:
wie B, nur dass noch gewisse Vorteiel der Fritzbox genutzt werden könnten, Tel/Fax/Kindersicherung, App.

Unabhängig davon, würde mich Eure Meinung zur Aufteilung der Geräte in die LANs interessieren. Ist das so logisch/nachvollziehbar/richtig oder liegt ein Designfehler vor?
Oder habe ich was übersehen?
Oder gibt es Tipps zur Realisierung?

Danke & Gruss Kai

Content-ID: 268285

Url: https://administrator.de/forum/gegenueberstellung-moeglicher-varianten-eine-homenetzes-spi-vs-routerkaskade-268285.html

Ausgedruckt am: 23.12.2024 um 01:12 Uhr

Kuemmel
Lösung Kuemmel 03.04.2015, aktualisiert am 06.04.2015 um 16:00:28 Uhr
Goto Top
Moin,
mhm.. auch wenn mir vllt. einige hier widersprechen, würde ich zu Variante C tendieren.
Vor- und Nachteile hast du ja soweit gut aufgeführt.

Gruß
Kümmel
orcape
orcape 03.04.2015 um 16:19:36 Uhr
Goto Top
Hi Kai,
eigentlich ist keines Deiner Szenarien so wirklich wertvoll.face-wink
Variante A würde ich nicht wirklich so umsetzen wollen.
Soll wohl eine Art LAN+DMZ an der pfSense darstellen, gibt mir echt zu denken.
Wobei das eigentlich mit der richtigen Hardware umgesetzt, eine Routerkaskade ersparen könnte.
Wenn Du dennoch eine Routerkaskade betreiben willst, beim richtigen DSL-Anschluss kein Thema.
Fritte ist zumindest für den privaten Telefonkram keine schlechte Lösung und erspart Dir, was das Telefonproblem angeht, viel Gefrickel auf der pfSense.
Mit der richtigen Hardware für die pfSense dahinter, stehen Dir alle Wege offen, vorausgesetzt Du konfigurierst das ganze ordentlich.
Damit kannst Du alles sauber trennen, was bei Dir nicht ins LAN gehört.
Gruß orcape
kai700
kai700 03.04.2015 um 16:28:12 Uhr
Goto Top
Zitat von @orcape:

Hi Kai,
eigentlich ist keines Deiner Szenarien so wirklich wertvoll.face-wink
Variante A würde ich nicht wirklich so umsetzen wollen.
Hm, eigentlich meine ich bei Variante A die Standardvariante
aus der Anleitung: Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
orcape
orcape 03.04.2015, aktualisiert am 04.04.2015 um 07:36:32 Uhr
Goto Top
Hm, eigentlich meine ich bei Variante A die Standardvariante
...buchst Du immer den Standard ? ...face-wink
Ich meinte ja damit auch nicht das Variante A nicht OK ist. Ich würde nur den Teufel tun und das genau so realisieren, wie Du es im Bild gezeichnet hast.
Wenn Du Dir schon die Mühe machst und das mit einer pfSense realisierst, dann mach auch Nägel mit Köpfen.
Was hindert Dich denn, das ganze noch weiter zu splitten, indem Du die Möglichkeiten der pfSense weiter ausreizt.
NAS und Telefon hat meiner Ansicht nach nichts im LAN zu suchen.
Entscheiden musst Du das selber, logisch und dann sind auch noch einige andere Dinge von Bedeutung.
Was sagt Dein Provider in Sachen DSL-Anbindung. (Thema Zwangsrouter)
Auch das ist mit entscheidend, wie Du überhaupt agieren kannst.
Gruß orcape
michi1983
michi1983 03.04.2015 um 20:06:19 Uhr
Goto Top
Hallo,

Ich würde nur den Teufel tun und das genau so realisieren, wie Du es im Bild gezeichnet hast.
Wenn Du Dir schon die Mühe machst und das mit einer pfSense realisierst, dann mach auch Nägel mit Köpfen.
Was hindert Dich denn, das ganze noch weiter zu splitten, indem Du die Möglichkeiten der pfSense weiter ausreizt.

Kollege @orcape möchte wahrscheinlich auf das Thema VLAN hinweisen.
Dazu benötigst du allerdings auch einen VLAN fähigen Switch.
Hier im Forum gibt es auch einige sehr ausführliche Anleitungen zu diesem Thema.
Ich habs auch geschafft das umzusetzen, dann schafft das glaub ich jeder :D

Gruß
Pjordorf
Pjordorf 03.04.2015 um 20:46:32 Uhr
Goto Top
Hi,

Zitat von @orcape:
... Standart ? ...
Sicher das du hier das d durch ein t ersetzen willst? Bulgarische Tageszeitung? http://www.standartnews.com/english/

Gruß,
Peter
kai700
kai700 03.04.2015 um 22:48:43 Uhr
Goto Top
Zitat von @orcape:

...buchst Du immer den Standart ? ...face-wink
Dann hätte ich die Frage gar nicht gestellt face-wink
Ich meinte ja damit auch nicht das Variante A nicht OK ist.
Was denn nun, "alles nicht wertvoll" oder "nicht nicht gut"?
Ich würde nur den Teufel tun und das genau so realisieren, wie Du es im Bild gezeichnet hast.
Aha
Wenn Du Dir schon die Mühe machst und das mit einer pfSense realisierst,
Hab ich nicht geschrieben. Bin eben am überlegen, ob pfSense ...
dann mach auch Nägel mit Köpfen.
die suche ich mit meiner Frage
Was hindert Dich denn, das ganze noch weiter zu splitten, indem Du die Möglichkeiten der pfSense weiter ausreizt.
Das geht in Richtung meiner Frage
NAS und Telefon hat meiner Ansicht nach nichts im LAN zu suchen.
Wo dann, im Kühlschrank? face-wink Oder meinst Du DMZ als nicht LAN?
Entscheiden musst Du das selber, logisch
Genau
und dann sind auch noch einige andere Dinge von Bedeutung.
Was sagt Dein Provider in Sachen DSL-Anbindung. (Thema Zwangsrouter)
Steht eigentlich in der Skizze (Telekom VDSL All IP 50/10)
Gruß Kai
kai700
kai700 03.04.2015 um 22:52:44 Uhr
Goto Top
Zitat von @michi1983:
Kollege @orcape möchte wahrscheinlich auf das Thema VLAN hinweisen.
Dazu benötigst du allerdings auch einen VLAN fähigen Switch.
Wegen Tag 7? Das geht ja mit den genannten Geräten
Hier im Forum gibt es auch einige sehr ausführliche Anleitungen zu diesem Thema.
Ich habs auch geschafft das umzusetzen, dann schafft das glaub ich jeder :D
Ich schaff das auch. ich weiß nur noch nicht, ob ich es schaffen will. Möglicherweise schieße ich für meine Bedarfe übers Ziel hinaus.... face-wink
Griß
108012
Lösung 108012 04.04.2015, aktualisiert am 06.04.2015 um 16:00:56 Uhr
Goto Top
Hallo,

man kann sicherlich das ganze so gegeneinander auflisten und vergleichen nur eben nicht
beurteilen oder für gut oder schlecht befinden, denn das ganz ist auch immer sehr stark von
der jeweiligen Situation vor Ort abhängig, von dem Budget was einem zur Verfügung steht
und nicht zuletzt von dem Kenntnis- oder dem Wissenstand desjenigen abhängig der das
Netzwerk aufsetzt und/oder betreut.

Und ehrlich gesagt ist mir jemand, der zu sich selber ehrlich ist und nicht so viel Wissen
hat, aber dafür eine AVM FV oder einen Speedport Router benutzt, die auch SPI/NAT
machen, aber keine Ports öffnet lieber, als jemand der eine pfSense benutzt aber der
dann alles öffnet oder sie falsch konfiguriert und das Netzwerk ist dann offen wie ein
Scheunentor und für jeden zugänglich bzw. wird nach kurzer Zeit als Viren- und Spamschleuder
missbraucht.

Variante C würde mir persönlich am besten gefallen oder aber auf beiden Seiten eine
pfSense da kann man dann schon ein wenig mehr mit anstellen wenn man Geld in geeignete
Hardware investiert und Zeit dafür opfert.

Variante A:
Vorteile:
konsequente FW,
Von der muss man aber auch etwas verstehen und sie richtig einsetzen können
sonst ist das eher genau das Gegenteil von dem was man sich wünscht.

zentrale FW/Routinglösung, keine Kaskade
Muss auch nicht sein, wenn man zwei Routingpunkte im LAN
hat WAN = Firewall oder Router und LAN = Layer3 Switch bringt
das auch Vorteile mit die ich nicht missen möchte.

sehr leistungsfähig,
Das ist sicherlich so nur es kommt auch immer darauf an
was man alles benutzt und installiert bzw. konfiguriert.
Denn mit DPI, Snort, Squid + SquidGuard und AV Scan
kommen die meisten kleinen Alix Boards bzw. Soekris Boards
auch sehr schnell an Ihre Grenzen. nur für den Heimgebrauch
ist das schon ganz brauchbar.

flexibel, maximale Funktionalität
Das stimmt allerdings.

Nachteile:
Lernkurve, Bedienung nicht für Nicht-Admisitratoren gedacht
Ich kenne eine Menge Leute die keine Admins sind und echte
pfSense Profis sind, nicht zuletzt der Entwickler "Core" von
pfSense sind fast alles Angestellte von der Firma Netgate.
Bist Du ein Administrator?

separate Telefon, Fax-Lösung
FreePBX, Asterisk, Askozia und FreeSwitch
sind auch kostenlos und können in der Regel immer
gut auf der alten Alix Plattform installiert werden
Das siproxd Paket kann auch als SIP-ALG installiert
werden.

Kindersicherung manuell regeln
Mittels Captive Portal und Scripten aber besser zu regeln als
in der AVM FB.

ggf. aufwendigere Verkabelung
Naja das hängt eben auch immer von jedem selber ab!
1 Port = WAN + WLAN Access
2 Ports = WAN und LAN
3 Ports = WAN, DMZ und LAN
4 Ports = Dual WAN, DMZ und LAN
5 Ports = Dual WAN, Dual DMZ und LAN
6 Ports = Dual WAN, Dual DMZ, LAN, Console Port bzw. KVM Switch
7 Ports = ...........

Also das ist schon übersichtlich, man muss nur wissen was man machen möchte
und wie man das ganze dann umsetzt.

Unabhängig davon, würde mich Eure Meinung zur Aufteilung der Geräte in die LANs
interessieren. Ist das so logisch/nachvollziehbar/richtig oder liegt ein Designfehler vor?
"Logisch" kann für jeden etwas anderes sein! Und in einem Heimnetz ist erlaubt was passt,
Spaß macht und funktioniert, nur auch dort gibt es eben "No Gos".

Ist das so logisch/nachvollziehbar/richtig oder liegt ein Designfehler vor?
Die gibt es nur in Unternehmen wo es eine Vorgabe gibt oder etwas nicht
straight so abläuft bzw. umgesetzt wird wie man es selber kennt oder erledigen
würde und auch hier gehen die Meinungen ganz hart auseinander.

Oder gibt es Tipps zur Realisierung?
Kommt darauf an was Du;
- Dir vorstellst
- wirklich benötigst
- wie zukunftsorientiert Du bist
- was alles noch hinzukommen kann
- wie schnell soll das alles sein (HTTP, FTP, VPN)
- Für wie viele Leute ist das alles angedacht und mit welchem Netzverkehraufkommen
- wie lange soll das halten und mit welchem Durchsatz wird es benötigt bzw. welche Performance

Gruß und frohe Ostern
Dobby
michi1983
michi1983 04.04.2015 um 08:51:29 Uhr
Goto Top
Wegen Tag 7? Das geht ja mit den genannten Geräten

Nein, nicht deswegen. Das betrifft ja nur den VDSL Anschluss. Ich meinte VLANs innerhalb deines Netzwerkes um deine LAN Komponenten noch gezielter voneinander zu trennen. Aber wie gesagt, dazu würdest du Switche benötigen die das 802.1q Protokoll unterstützen.

Gruß
orcape
Lösung orcape 04.04.2015, aktualisiert am 06.04.2015 um 16:01:10 Uhr
Goto Top
Hi Kai,
bringen wir es mal auf den Punkt.
Möchtest Du von uns eine Entscheidung abgenommen bekommen oder nur Meinungen hören ?
Letzteres findest Du hier im Forum, dieses Thema betreffend, mindestens einmal pro Woche.face-wink
Das Variante A einer Router Kaskade vor zu ziehen ist, wenn man 2 x NAT vermeiden will, dürfte klar sein.
Meiner Meinung nach, kann man das nur besser trennen. Entweder per VLAN oder auch mit einer weiteren NIC.
Ich würde nur den Teufel tun und das genau so realisieren, wie Du es im Bild gezeichnet hast.
Sorry, vielleicht etwas hart ausgedrückt, aber meine Meinung.face-wink
Das ein NAS nichts im Kühlschrank verloren hat, ist mir sehr wohl klar.
Im LAN, zusammen mit Deinen PC's aber auch nicht.
Wenn Du auf Grund Deines VDSL, kein Problem mit dem 2. NAT hast, eine 7490 vor die pfSense als TK-Anlage.
Kiddies, Smartphones, TV, Drucker etc. ins Netz der 7490, welches dann auch problemlos vom pfSense Netz (oder den Netzen) erreichbar ist.
Wie Du das dann genau einrichtest, solltest Du wohl selbst entscheiden und ist auch von Deinem Sicherheitsbedürfnis und dem finanziellen Spielraum abhängig.face-wink
Gruß orcape
aqui
aqui 04.04.2015 aktualisiert um 09:53:24 Uhr
Goto Top
Die Kardinalsaussage des Threads ist ja zweifelsohne: "obwohl es um Anspruch und Bequemlichkeit geht. Jeder muss dann für sich den besten Kompromiss finden."
Die Frage ist also WELCHEN Kompromiss hast DU für dich daraus gezogen ??
Das solltest du zuallererst beantworten bevor es um die Beurteilung der einzelnen Varianten geht.
A ist technisch das Beste und Sicherste. B und C sind Heimbastellösungen die die Bequemlichkeit bedienen.
Womit man dann wieder bei der Frage des persönlichen Kompromisses ist...?!
Kuemmel
Kuemmel 04.04.2015 um 12:39:46 Uhr
Goto Top
Moin,
Zitat von @108012:

> separate Telefon, Fax-Lösung
FreePBX, Asterisk, Askozia und FreeSwitch
sind auch kostenlos und können in der Regel immer
gut auf der alten Alix Plattform installiert werden

Ohh Dobby, das Askozia kostenlos ist bezweifle ich aber stark face-wink

Gruß
Kümmel
kai700
kai700 04.04.2015 um 13:11:42 Uhr
Goto Top
Zitat von @108012:
Hallo,
Vielen Dank schon mal für die ausführliche Antwort und auch frohe Ostern.

> zentrale FW/Routinglösung, keine Kaskade
Muss auch nicht sein, wenn man zwei Routingpunkte im LAN
hat WAN = Firewall oder Router und LAN = Layer3 Switch bringt
das auch Vorteile mit die ich nicht missen möchte.
In welche Richtung Vorteile, nur zum Grundverständnis?
> sehr leistungsfähig,
Das ist sicherlich so nur es kommt auch immer darauf an
was man alles benutzt und installiert bzw. konfiguriert.
Denn mit DPI, Snort, Squid + SquidGuard und AV Scan
kommen die meisten kleinen Alix Boards bzw. Soekris Boards
auch sehr schnell an Ihre Grenzen. nur für den Heimgebrauch
ist das schon ganz brauchbar.
Usprünglich wollte ich - wenn, dann - nur die "reine" pfSense nutzen, auch kein AV Scan. Nach diversen Recherchen hat mir das Einbinden von Blacklists in Squidguard ganz gut gefallen. Logging hatte ich nicht vor, höchstens mal testweise. Es ist aber für den Heimgebrauch.
Bist Du ein Administrator?
Nein. Habe zwar einen IT background, programmiere eher und kann schon mal was am Linux Server einstellen, aber nutze da eher managed Hosting etc. Und gerade bei Netzwerkthemen finde ich die Lernkurve steil (Ich würde es gerne können).
> separate Telefon, Fax-Lösung
FreePBX, Asterisk, Askozia und FreeSwitch
sind auch kostenlos und können in der Regel immer
gut auf der alten Alix Plattform installiert werden
Das siproxd Paket kann auch als SIP-ALG installiert
werden.
Hier benötige ich nur low level, funktionieren soll es halt und das ist ja bei VoiP wohl nicht immer so. Am liebsten würde ich hier was vergleichbares wie Fritzfax mit ISDN-Karte haben. Mir reicht die Empfangbarkeit bei laufendem PC, als Druckertreiber versenden fand ich sehr praktisch, also kein extra Faxgerät.
> Kindersicherung manuell regeln
Mittels Captive Portal und Scripten aber besser zu regeln als
in der AVM FB.
Für ein "echtes" Gastnetz wäre die Wahl eines CP außer Frage. Für meine 2 Kinder (und evtl. mal Besuch) halte ich Voucher und Browseranmeldung für over engineering. Im Zweifelsfall nur Zeitfenster (können fast alle Router) und kein Zeitkontingent. Es geht hier auch nicht um absolute Sicherheit und Haftungsprivileg, sondern darum, die Kinder zu erinnern, dass jetzt schluss ist. Wenn sie die FB das erste mal knacken, bin ich erstmal stolz, ein Problem haben sie dann trotzdem.
Irgendwas mit Content/URLfilter soll natürlich auch sein.
> ggf. aufwendigere Verkabelung
Naja das hängt eben auch immer von jedem selber ab!
Das stimmt. Bei mir ist es eher die 3 Portvariante. Egal ob ich den Router im Keller oder EG aufstelle, habe ich bei Variante A mindestens zwei "Stränge" durch die Decke. Kabel sind mir auch lieber als Powerlan. WLAN geht hier schlecht über die Etagen. Ein Kabel hab ich zwischen Keller/EG. Daran solls nicht scheitern, ist aber eher sekundär.
"Logisch" kann für jeden etwas anderes sein! Und in einem Heimnetz ist erlaubt was passt,
Spaß macht und funktioniert, nur auch dort gibt es eben "No Gos".
Ja, mir gehts um die no go's.
> Oder gibt es Tipps zur Realisierung?
Kommt darauf an was Du;
- Dir vorstellst
- wirklich benötigst
Folgendes:
- Vermeiden/Eindämmen der Schnüffler und Datensammler, wie Smart TV, Apps etc. (Ich orientiere mich hier an den ct-Artikeln). Ich möchte Chromcast benutzen, aber nicht gleich die privaten Inhalte mit an Dr. Goggle senden.
- Mein Gedanke war, Erstgenanntes nicht nur durch Blocken der Urls zu erreichen, sondern auch durch Trennung der Netze schon mal das Schnüffelpotenzial zu verringern (deshalb habe ich so eine Art "Allerweltsfamiliennetz" mit weniger Sicherheitsansprüchen (z.B. einfacheres WLAN Passwort, WPA2) und ein Netz mit etwas höherem Sicherheitsstandard aufgeteilt (Homebanking, NAS-Backups). Sodass durch Unbedarftheit im Allerweltsfamiliennetz (Viren, Trojaner...) nicht gleich alles betroffen ist.
- Das Ganze möglichst kompatibel mit eine Telekom VDSL-Anschluss (All-IP, Deutschland LAN M). Also Integration von Tel./Fax. Das Telefonieren an diesem Anschluss über eine Smartphone-App finde ich auch nett. Ansonsten nur ein Telefon mit AB.
- Fernzugriff benötige ich nicht, wobei ich nicht ausschließen will, ob ich irgendwann mal über VPN das tun möchte.
- Wichtig ist wohl noch, ich habe 1 IP Cam, ggf. mal zwei, die auch von draußen erreichbar sein sollen. Die sollte man wohl strikt vom Heimnetz trennen, weil potenzielles Einfallstor (nur passwortgeschützt), oder?
- wie zukunftsorientiert Du bist
Früher sehr, habe aber gemerkt, dass das oft nicht viel Sinn macht (z.B. beim PC, Accesspoint). Glasfaser kommt bei mir in absehbarer Zeit nicht
- was alles noch hinzukommen kann
Nicht mehr viel. Vielleicht 2. IP Cam, IP-TV, Sat-IP, VPN ein Client, aber alles vage. Gelegentlich iMeeting.
- wie schnell soll das alles sein (HTTP, FTP, VPN)
- Für wie viele Leute ist das alles angedacht und mit welchem Netzverkehraufkommen
4 Personenhaushalt. Wenn das NAS die Backups aus dem Inet zieht, das Kind an Youtube hängt, wird schon mal eng, wenn Papi noch die Mediathek anschmeist. Deshalb habe ich für den Wechsel zum Monolisten entschieden.
- wie lange soll das halten und mit welchem Durchsatz wird es benötigt bzw. welche Performance
Ich steige im Juli auf Telekom VDSL um. Da brauch ich eh einen neuen Router/Modem. Bei dieser Gelegenheit wollte ich mein heimisches Netzdesign ggf. optimieren.
Also der Zyxel VMG1312-B30A soll schon sehr gut am VDSL der Telekom laufen, wenn man ihn nur als Modem benutzt, insbesondere wenn man mit der Fritte evtl. Probleme hat. Zur Dämpfung etc. kann ich halt noch nichts sagen, viell. läuft die Fritte auch problemlos.
Also erstmal 2 jahre, gerne länger.
PS: Ich habe noch einen Vigor AP800. Mit dem kann ich auch 2 WLANs aufspannen, wobei man den Zugriff auf das andere Netz über VLANs unterbinden kann (wie gut das dort umgesetzt ist, kann ich nicht beurteilen). Und ich plane mir noch den 910 zu besorgen, mit integriertem 5Ghz und DFS.
kai700
kai700 04.04.2015 um 13:13:41 Uhr
Goto Top
Zitat von @michi1983:
> Wegen Tag 7? Das geht ja mit den genannten Geräten
Nein, nicht deswegen. Das betrifft ja nur den VDSL Anschluss.
Ja, sorry hatte VDSL und VLAN durcheinandergeschmissen..., Danke, Gruss
kai700
kai700 04.04.2015 um 13:23:06 Uhr
Goto Top
Zitat von @orcape:

Hi Kai,
bringen wir es mal auf den Punkt.
Möchtest Du von uns eine Entscheidung abgenommen bekommen oder nur Meinungen hören ?
Wie Du das dann genau einrichtest, solltest Du wohl selbst entscheiden und ist auch von Deinem Sicherheitsbedürfnis und dem
finanziellen Spielraum abhängig.face-wink
Gruß orcape
Hi, orcape,
es geht mir um fachlichen Input, für die Entscheidungen, die ich ja selber treffen muss. Gerne auch begründete Meinungen.
Ok, also NAS idealerweise an einem extra LAN-Port.
Was könnte denn noch neben der pfSense und 7490 wesentliches fi###ell dazukommen, VLAN-fähige switche, zwecks weiterer Unterteilung?
Gruss Kai
kai700
kai700 04.04.2015 um 13:25:54 Uhr
Goto Top
Zitat von @aqui:
Die Frage ist also WELCHEN Kompromiss hast DU für dich daraus gezogen ??
Deshalb frage ich, bin also noch dabei.
Das solltest du zuallererst beantworten bevor es um die Beurteilung der einzelnen Varianten geht.
Ich beziehe die Varianten in die Kompromissfindung ein.
A ist technisch das Beste und Sicherste. B und C sind Heimbastellösungen die die Bequemlichkeit bedienen.
Danke, Gruss Kai
108012
Lösung 108012 04.04.2015, aktualisiert am 06.04.2015 um 16:01:32 Uhr
Goto Top
@Kuemmel
Ohh Dobby, das Askozia kostenlos ist bezweifle ich aber stark
Jo die war dazwischen gerutscht.

@kai700
AVM FB kann, VOIP, Internet, Gast WLAN, Faxe empfangen und eine TK Nebenstellenanlage
versorgen, das sollte schon fast alles abdecken und ist auch schon für Vectoring vorbereitet.
Also ich sehe jetzt nicht was damit nicht abgedeckt werden kann? Und wenn man vorne am
WAN Port auch keine Ports öffnet sondern via VPN auf das heimische NAS zugreift ist damit
doch alles abgehakt, oder? Dahinter kann dann doch entweder eine pfSense oder aber ein
MikroTik Router gesetzt werden. klar wer das nicht möchte holt sich eben nur eine pfSense
und ein VDSL Modem und gut ist es, zwei Switche für die DMZ Zonen oder eben nur eine
jeder wie er möchte und einen für das LAN und gut ist es sollte auch gut funktionieren.

Dann kann man wenn Besuch vor Ort ist einfach auf den Knopf der AVM FB drücken und
dann hat der Besuch WLAN und wenn sie wieder gehen, drückt man den Knopf noch einmal
und gut ist es dann ist das Gast WLAN wieder aus, fertig. Und das eigene WLAN würde ich
heute immer mit einem Radiusserver sichern wollen egal ob 4 oder 10 Familienmitglieder
im Haushalt leben.

Wenn das NAS die Backups aus dem Inet zieht
Also wenn Ihr Backups auf das NAS schiebt, ok das verstehe ich,
aber welche Backups zieht man denn aus dem Internet?

Gruß und frohe Ostern
Dobby
kai700
kai700 04.04.2015 um 15:03:03 Uhr
Goto Top
Zitat von @108012:
@kai700
AVM FB kann, VOIP, Internet, Gast WLAN, Faxe empfangen und eine TK Nebenstellenanlage
versorgen, das sollte schon fast alles abdecken und ist auch schon für Vectoring vorbereitet.
Also ich sehe jetzt nicht was damit nicht abgedeckt werden kann? Und wenn man vorne am
WAN Port auch keine Ports öffnet sondern via VPN auf das heimische NAS zugreift ist damit
doch alles abgehakt, oder?
Ich habe eine Portweiterleitung auf die IP Cam. Ist das kritisch?
Dahinter kann dann doch entweder eine pfSense oder aber ein
MikroTik Router gesetzt werden. klar wer das nicht möchte holt sich eben nur eine pfSense
und ein VDSL Modem und gut ist es, zwei Switche für die DMZ Zonen oder eben nur eine
jeder wie er möchte und einen für das LAN und gut ist es sollte auch gut funktionieren.
Das ist quasi mein Variante C
Und das eigene WLAN würde ich
heute immer mit einem Radiusserver sichern wollen egal ob 4 oder 10 Familienmitglieder
im Haushalt leben.
Hm, müssen die sich dann auch alle über einen Browser einloggen, wie im Hotel?
Mein AP hat auch einen Radiusserver drin, hab mich aber noch nicht auseinandergesetzt
> Wenn das NAS die Backups aus dem Inet zieht
Also wenn Ihr Backups auf das NAS schiebt, ok das verstehe ich,
aber welche Backups zieht man denn aus dem Internet?
Ich ziehe u.a. auch. Das ist ein tlw. Serverbackup (Scripte, Mysqldumps für ein paar Tage mit rsync über ssh).
Gruß und frohe Ostern
Dobby

dito
Kai
108012
Lösung 108012 04.04.2015, aktualisiert am 06.04.2015 um 16:01:41 Uhr
Goto Top
Ich habe eine Portweiterleitung auf die IP Cam. Ist das kritisch?
Warum denn? Wenn Du auf die Kamera zugreifen möchtest kannst Du doch auch
via VPN auf den Router zugreifen und hast dann auch Zugriff auf die Kamera.
Oder "streamt" die irgendwo hin? Wenn Du da nur ab und an drauf zugreifst
dann lieber via VPN und vorne am WAN Interface alles dicht lassen.

Das ist quasi mein Variante C
Wenn man so möchte, nur eben auch fast alles damit abgefackelt und erledigt.
Gut ein paar Switche kommen noch dazu, aber wie schon gesagt das macht
jeder wie er möchte und auch immer anders.

Hm, müssen die sich dann auch alle über einen Browser einloggen, wie im Hotel?
Nein, Du erstellst dann einfach Zertifikate und diese verteilst Du dann auf Eure Geräte
nur einmal und dann werden eben nur noch diese Geräte an dem WLAN zugelassen.

Mein AP hat auch einen Radiusserver drin, hab mich aber noch nicht auseinandergesetzt
Also da würde cih lieber einen MikroTik Router oder aber eine Firewall wie pfSense nehmen
wollen. Macht aber auch jeder wie er möchte, das geht auch mittels eines RaspBerry PI 2
für ~50 € und gut ist es. nur der gerätepark bei Euch wird immer größer und von daher würde
ich versuchen mit so wenig Geräten wie möglich alles abzuhandeln.

Ich ziehe u.a. auch. Das ist ein tlw. Serverbackup (Scripte, Mysqldumps für ein
paar Tage mit rsync über ssh).
Ok.

Gruß
Dobby
kai700
kai700 04.04.2015 um 16:04:02 Uhr
Goto Top
Zitat von @108012:
> Ich habe eine Portweiterleitung auf die IP Cam. Ist das kritisch?
Warum denn? Wenn Du auf die Kamera zugreifen möchtest kannst Du doch auch
via VPN auf den Router zugreifen und hast dann auch Zugriff auf die Kamera.
Oder "streamt" die irgendwo hin? Wenn Du da nur ab und an drauf zugreifst
dann lieber via VPN und vorne am WAN Interface alles dicht lassen.
Die streamt auf eine html-Seite und ist über User/Pw sichtbar (mit altem javaplugin). Will ich aber abschalten.
Es geht aber weiniger darum, dass das nicht sichtbar sein soll, als dass es ein Einfallstor ins Heimnetz wäre.
Letzteres hat mal jemand gemeint. Ich weiß aber nicht, ob das wirklich so ist.
Ansonsten über (feste) IP und Portweiterletung erreichbar, ebenfalls mit User/Pw (CameraApp). Das funktioniert eh besser und mit fester IP ist es erst mal vorbei (dann wohl dyndns). Es sollen auch Externe (Großeltern z.B.) Zugriff haben.
Gruss Kai
orcape
Lösung orcape 04.04.2015, aktualisiert am 06.04.2015 um 16:01:47 Uhr
Goto Top
Hi Kai,
es geht mir um fachlichen Input, für die Entscheidungen, die ich ja selber treffen muss.
Hier mal ein Beispiel aus meiner privaten Umgebung....
Vor einiger Zeit war da ein 16 MBits DSL-Anschluss gegeben, mit einem Zwangs-LAN-Router/Modem, der als Router nicht meinen Anforderungen entsprach aber zumindest VoIP einigermassen umsetzte.
Also habe ich meine Konsequenzen gezogen, mich in das Thema.....
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
...eingearbeitet und den Zwangsrouter zum nur Modem umfunktioniert.
Das Alix funktionierte dann mit einer pfSense, 3 NIC 's und einer miniPCI-WLAN Karte über eine längeren Zeitraum problemlos.
WAN-, LAN-, DMZ-Interface und ein WLAN, ein 8 Port Switch am LAN (keine VLAN's).
An der DMZ nur das NAS und das war es erst mal.
Bis dann der Provider die technischen Voraussetzungen änderte, die wurden nicht besser....
Angeblich "besserer" WLAN-Router, der nun nicht mal mehr als Modem zu gebrauchen war, als Router gleich gar nicht.
Aufbau einer Routerkaskade und das nächste Problem, kein DynDNS für die VPN-Tunnel mehr und das NAS nicht mehr zu erreichen.
Nach entsprechender Intervention beim Provider meinerseits, habe ich nun eine Fritte 7490 vor der pfSense, deren Möglichkeiten ich natürlich nutze, die man allerdings auch nicht mehr so problemlos als Modem umfunktionieren kann.
Bei einem, nunmehr 25 MBits VDSL-Anschluss aber auch nicht mehr ganz so kritisch.
Für private Verhältnisse ist die Fritte keine schlechte Lösung für VoIP und ein paar kleine Spielereien im ersten Netz, wo man die Plaudergeräte unterbringen kann.
Die pfSense ist dann für die Sicherheit zuständig und sollte das eigentliche private Netz nebst DMZ ordentlich absichern, sofern der Haus-Admin das ordentlich hinbekommt.face-wink
Du siehst also, es gibt mehrere Wege nach Rom zu kommen, manchmal auch auf Umwegen.face-wink
Gruß orcape
kai700
kai700 04.04.2015 um 17:14:09 Uhr
Goto Top
Zitat von @orcape:

Hi Kai,
> es geht mir um fachlichen Input, für die Entscheidungen, die ich ja selber treffen muss.
Hier mal ein Beispiel aus meiner privaten Umgebung...
Ist bei mir ähnlich, nur dass ich noch ISDN habe und auf IP/DSL umsteige.
Bis dann der Provider die technischen Voraussetzungen änderte, die wurden nicht besser....
bei mir der geplante Wechsel zur Tkom.
...kein DynDNS für die VPN-Tunnel mehr und das NAS nicht mehr zu erreichen.
Angeblich soll ja bald eine feste IP bei All-IP bei Tkom möglich sein.
Für private Verhältnisse ist die Fritte keine schlechte Lösung für VoIP
Nutzt Du die Fritzfones (die gefallen mir nicht) oder andere Telefone
Du siehst also, es gibt mehrere Wege nach Rom zu kommen, manchmal auch auf Umwegen.face-wink
So isses. Und ich hab "leider" die Zeit, mein "Optimum" zu planen....
Gruß orcape
Gruss
orcape
Lösung orcape 04.04.2015, aktualisiert am 06.04.2015 um 16:01:58 Uhr
Goto Top
Nutzt Du die Fritzfones (die gefallen mir nicht) oder andere Telefone
Nein, Gigaset 810, sollen auch sprachlich besser sein wie die Frittendingens.
Hatte leider nicht die Möglichkeit zu vergleichen....
108012
108012 05.04.2015 um 07:15:08 Uhr
Goto Top
Nutzt Du die Fritzfones (die gefallen mir nicht) oder andere Telefone
Die sind nicht so pralle! Von der Sprachqualität her eher ein Reinfall.

Dann lieber ein Gigaset DX800A als Nebenstelle und damit ist dann auch wieder alles abgedeckt!
Und das hält bei mir schon Jahre!

Gruß und frohe Ostern
Dobby