Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Netzkonzept - HomeLab - SG300 - Opnsense - Ist das so ok?

Mitglied: Marcool

Marcool (Level 1) - Jetzt verbinden

14.05.2018, aktualisiert 11:27 Uhr, 626 Aufrufe, 4 Kommentare, 2 Danke

Hallo,

aktuell bin ich am überlegen wie mein Netzwerk aussehen soll. Bis letze Woche lief die Fritzbox als DSL Router und der SG300 als L3 Switch (dhcp, einfache routen). Nun ist der Hypervisor dazu gekommen und ich wollte Opnsense mal testen.

Hardware:

- Fritzbox
- SG300
- Hypervisor Proxmox mit G4560, 16GB ECC, SSD und 4 Nics wovon 1 NIC ins Mgmt (Vlan1) geht.

VMs:
-Opnsense
-Openmediavault (NAS)
- weitere geplant


Am Wochenende gings dann los. Als erstes habe ich am SG300 3 Ports als Trunk mit LACP konfiguriert und gehe damit in den Hypervisor.Dort die 3 NICS eingerichtet als OVS Bound der in die OVS Bridge geht. VM erstellt mit 2 NICs. Einem NIC fürs WAN habe ich auf dem Hypervisor den TAG des Vlan (Internet) mit der Fritzbox gegeben und der andere NIC benutzt dann das untaggt Vlan1 aus dem Trunk (als mgmt Port). In Opnsense habe ich dann die VLANs erstellt. DHCP für fast alle Vlans aktiviert. System DNS und NTP auf die Fritzbox gelegt und erstmal "alles Erlaubt" Regeln erstellt.

Rückbau:

Sg300:

- DHCP deaktiviert
- Routen gelöscht



Vom Client cmd tracert:

1. IP von der FW
2. IP von der Fritzbox
3. .. weitere IPs

Es funktioniert soweit alles. Trotzdem habe ich das Gefühl das ich etwas vergessen habe ?



Da ich aktuelle noch am testen bin wollte ich den Switch noch nicht auf L2 umstellen, darum weitere Fragen, u.a. zum Rückbau:

1a. Da ich in jedem Vlan den DHCP Server habe brauche ich im SG300 DHCP Relay, Option 82 und das Snooping nicht aktivieren?
1b. Einen Serververweis auf den externen DHCP Server muss unter DHCP Relay auch nicht eingetragen werden? (pro Vlan ein DHCP)
1c. Muss ich die Schnittstelle LAG unter Bindings als vertrauenswürdig konfigurieren? (DHCP Snooping Binding Database; DHCP Trusted Ports)
1d. Kann ich die IP-Bereichs Definitionen der VLANs löschen oder benötige ich diese noch für den aktuellen Betrieb?

2. Die Fritzbox kann ich trotz Eintrag im Opnsense SystemDNS nicht per Name auflösen. Woran kann das liegen?
3. Ich habe eine Testfile runtergeladen und die CPU Auslastung auf dem Hypervisor ist recht hoch. Hier muss ich sicherlich noch optimieren.

4. Ist das Konzept so ok?

Mitglied: aqui
14.05.2018, aktualisiert um 11:39 Uhr
1a.)
Ja
1b.)
Ja. Wenn die FW DHCP in jedem VLAN spielt benötigst du logischerweise keinerlei DHCP Konfigs mehr.
1c.)
Kann man machen. Macht das netzwerk sicherer, da mit DHCP Snooping keine fremden DHCPs dir mehr dazwischenfunken können.
1d.)
Kannst du löschen
2.)
Nur den Hostnamen oder auch den kompletten Domain Namen. Bedenke das .local wegen mDNS Tabu ist !
3.)
Sehr wahrscheinlich...
4.)
Jein !
Knackpunkt ist das man niemals eine Firewall in einem Hypervisor betreiben sollte !
Das ist hier im Forum schon mehrfach diskutiert.
Zum einen ist es immer das Performance Problem, zum anderen die Sicherheit. Bricht dort mal jemand aus liegt ihm das Netzwerk zu Füßen.
Eine Firewall gehört deshalb IMMER auf ein dediziertes Blech wie z.B. ein APU:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Bitte warten ..
Mitglied: ashnod
14.05.2018 um 12:45 Uhr
Zitat von aqui:
Knackpunkt ist das man niemals eine Firewall in einem Hypervisor betreiben sollte !
Das ist hier im Forum schon mehrfach diskutiert.


Ahoi ...

Weitgehend konform mit @aqui ...

Der Punkt ob eine FW virtualisiert betrieben werden sollte ... ist durchaus ein kontovers geführter Dialog ...

Ich denke grundsätzlich kann man das machen ...

Allerdings lehren uns Spectre und co. das die CPU allein schon eine Gefahr darstellen kann ...

Ich würde eher an die praktischen Dinge denken wollen .. sofern die Schnittstellen lediglich virtualisert existieren spricht auf jeden Fall die Performance dagegen, zudem kollabiert das gesamte Netzwerk mit dem Ausfall des Hypervisors. Diesen Zustand würde ich zumindest vermeiden wollen ... selbst wenn es nur kurzfristig zur Wartung sein sollte.

Wen du mit mehreren VLAN's arbeitest ist es auch nicht performant alle auf der FW anzulegen ... in den meisten Umgebungen sollte es reichen den Weg ins Internet und spezielle Netzsegmente (DMZ) in der FW abzusichern ... der Rest läuft auf dem Switch deutlich besser.

Happy Day ...
Bitte warten ..
Mitglied: Marcool
14.05.2018, aktualisiert um 15:39 Uhr
Ausfallzeiten wären für mich ok. Zur Not spiele ich die alte Konfig vom SG300 wieder drauf. Verkabelung ist gleich geblieben.

Ich denke eine Option wäre halt die NICs komplett durchzureichen. (Sollte das Performance-Problem stark abmildern)

Alternativ??? Wie würdest du das Netz mit der oben genannten Hardware/VM aufbauen? Ich bin da aktuell Ideenlos.

Vlans:

1 Mgmt
10 Inet
20 DMZ
30 Servernetz
40 SatIP #dhcp
50 Drucker #dhcp
70 EG #dhcp
80 OG #dhcp
90 Gast #dhcp

EDIT: Schön ist es schon alles zentral zu haben.
Bitte warten ..
Mitglied: aqui
LÖSUNG 14.05.2018, aktualisiert um 15:41 Uhr
So könnte man das machen.... Ist ja mehr oder minder Geschmackssache wie stark man segmentieren will.
Bitte warten ..
Ähnliche Inhalte
Virtualisierung
Homelab - Empfehlungen?
gelöst Frage von scar71Virtualisierung14 Kommentare

Hallo zusammen, ich bin auf der Suche nach einem Server für Zuhause, um u.a. mit folgenden Dingen etwas "rumzuspielen". ...

Server-Hardware
Hardware für HomeLab Server
Frage von HomeLabUserServer-Hardware21 Kommentare

Guten Abend, ich habe aktuell einige Computer im Rack im Keller stehen und müsste aktuell zwei neue hinzufügen. Daher ...

Netzwerke
Zeigt mal euer Homelab
Frage von matze2090Netzwerke5 Kommentare

Hallo, mich würde mal interessieren was ihr in eurem Heimnetzwerk für Hard- und Software laufen habt. Postet dies bitte ...

LAN, WAN, Wireless
Cisco SG300 Startschleife
gelöst Frage von DieOmerLAN, WAN, Wireless13 Kommentare

Hallo, Ich habe mich vorkurzem beim Neukauf für die SG300 Serie entschieden. Grundsätzlich zu mir, ich arbeite das erste ...

Neue Wissensbeiträge
Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 1 TagWindows Installation9 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 2 TagenDatenschutz

Webbrowser

Firefox 71 verfügbar mit Picture in Picture Funktion

Information von sabines vor 2 TagenWebbrowser2 Kommentare

Die neue Firefox Version 71 unterstützt, zunächst nur für Windows, Picture in Picture. Damit kann ein Video in einem ...

E-Mail
SPF beim Versenden testen
Tipp von StefanKittel vor 4 TagenE-Mail3 Kommentare

Hallo, wenn man einen SPF für einen Exchange, oder anderen Mail-Server, konfigiruert muss man das ja auch testen. Ganz ...

Heiß diskutierte Inhalte
Server-Hardware
Hetzner Dedicated-Server für Terminalserver - RDSH 5 Benutzer gesucht
gelöst Frage von ra-user10Server-Hardware36 Kommentare

Hallo liebe IT-Fachleute! Ich möchte für unseren kleinen Betrieb einen Terminalserver aufsetzen und dafür das Angebot von Hetzner nutzen. ...

Switche und Hubs
PoE in erster und zweiter Instanz
Frage von moinmoin2016Switche und Hubs26 Kommentare

Moin. Ich habe versucht zum folgenden Sachverhalt ein Beitrag zu suchen, konnte aber nichts passendes finden. Folgender Sachverhalt: Ein ...

Hyper-V
Wie berechne ich mir die Anzahl der vCPU für HYPER-V aus?
Frage von samet22Hyper-V20 Kommentare

Hallo, bitte nicht schimpfen, ich habe mich nur selber gerade etwas verwirrt :D Wie berechne ich mir aus wieviele ...

Entwicklung
Powershell-Skript und Organisationseinheiten auskludieren
gelöst Frage von informatikkfmEntwicklung13 Kommentare

Hallo, ich habe ein Powershell-Skript, ähnlich wie das folgende. Ich möchte dabei, dass alle Benutzer unterhalb der OUs in ...