tricorax
Goto Top

Routerumstellung Statische Route vs. Router im Management-VLAN

Hi,

Vor 3 Jahren habe ich mit eurer Hilfe mein Heimnetz geplant und seitdem läuft alles makellos! Allerdings steht nun eine Infrastrukturveränderung an, die ich in meinem Kopf "logisch" nicht sortiert bekomme.

Aktuelle Infrastruktur:

1000001612

Die Herausforderung:
Vom Mikrotik geht aktuell eine statische Route zur Kabel-Fritte (inkl. doppeltem NAT) um die Internetverbindung aus dem LAN heraus herzustellen. Am Montag kommt die Glasfaser und habe mir von Ubiquiti das "Cloud Gateway Fiber (CGF) gegönnt um die Kabel-Fritte abzulösen. Da ich im LAN 3 UBi APs und auch Protect am laufen habe, ist ein Cloud Key Gen2+(CKG2+) der Ubi-Controller was zukünftig auch das CGF übernehmen soll. Das CKG2+ ist derzeit im MGMT-VLAN und die Kernfrage, die ich nicht sortiert bekomme, ist:

Kann ich sorgenlos das CGF aus dem Management VLAN heraus die Internetverbindung aufbauen lassen, oder wäre es aus bestimmten Gründen besser die CGF in ein eigenes VLAN (logisch) abzutrennen?

Content-ID: 671689

Url: https://administrator.de/forum/routerumstellung-statische-route-vs-router-im-management-vlan-671689.html

Ausgedruckt am: 02.04.2025 um 18:04 Uhr

aqui
Lösung aqui 28.02.2025 aktualisiert um 16:19:54 Uhr
Goto Top
Wenn man deine Zeichnung recht versteht hast du oben ein Layer 3 Konzept umgesetzt wo der zentrale Mikrotik als Layer 3 Routing Switch deine VLANs routet, ist das richtig? Bzw. dann HIER mit einem entsprechenden VLAN Konzept auf dem CRS.
Das soll auch alles so bleiben und lediglich nur die Fritte gegen die UBQT Gurke ausgetauscht werden, auch richtig?
Wenn dem so ist kannst du das so machen. Kosmetisch am saubersten ist es wenn man das Koppelnetz vom CRS zum Router bzw. UBQT immer trennt und natürlich NICHT in das Management VLAN legt. So hat man den Internetzugang, wie du auch schon richtig selber sagst, sauber von den Produktivnetzen getrennt.
Das NATsolltest du auf dem CRS dann auch gleich mit deaktivieren, denn das ist vollkommen überflüssig und performancetechnisch kontraproduktiv!
MysticFoxDE
MysticFoxDE 28.02.2025 um 18:26:52 Uhr
Goto Top
Moin @Tricorax,

Aktuelle Infrastruktur:

1000001612

ähm, kannst du das mit "Private VLAN" bitte irgendwie abändern, danke.

Denn als "Private VLAN" bezeichnet man bereits schon eine bestimmte VLAN Technologie ...

https://learningnetwork.cisco.com/s/article/a-quick-summarized-view-to-p ...
https://www.it-bildungsnetz.de/fileadmin/media/Akademietag_2012/Private% ...

... die der CRS wahrscheinlich gar nicht unterstützt. 🙃

Gruss Alex
Tricorax
Tricorax 28.02.2025 aktualisiert um 23:40:38 Uhr
Goto Top
Zitat von @aqui:

Wenn man deine Zeichnung recht versteht hast du oben ein Layer 3 Konzept umgesetzt wo der zentrale Mikrotik als Layer 3 Routing Switch deine VLANs routet, ist das richtig? Bzw. dann HIER mit einem entsprechenden VLAN Konzept auf dem CRS.

Genau so. Allerdings ist es mit der jetzigen strukturellen Änderung so, dass der neue UBQT Router ins 99er Management-VLAN rutscht (dort sind lediglich die APs, Kameras, der Switch und das Steuerungsgerät für die UBQT-Infrastruktur enthalten) und nicht mehr mittels statischer Route angekoppelt würde.

Das soll auch alles so bleiben und lediglich nur die Fritte gegen die UBQT Gurke ausgetauscht werden, auch richtig?

"Jein". Die UBQT Gurke vereint nun die Internet-Router Funktion und Management-Konsole für die Konfiguration/Strg. der UBQT Hardware (was vorher zwei physische Geräte waren). Die Anbindung im Switch über eine statische Route entfällt, da der Router (mit neuer angedachter Konfig) im Management-VLAN verweilt.

Wenn dem so ist kannst du das so machen. Kosmetisch am saubersten ist es wenn man das Koppelnetz vom CRS zum Router bzw. UBQT immer trennt und natürlich NICHT in das Management VLAN legt. So hat man den Internetzugang, wie du auch schon richtig selber sagst, sauber von den Produktivnetzen getrennt.

Unter Beachtung allem vorangeschriebenen eine Rückfrage: Wie trenne ich sauber den UBQT-Router von den Produktivnetzen bei gleichzeitigem (notwendigen) Zugriff auf die Infrastruktur-Management Funktionen für die APs, IP-Kameras etc. (die sich ja physisch nun in einem Gerät befinden?) Und wenn ich das nicht sauber trenne, welche sicherheitskritischen/negativen Konsequenzen folgen daraus?

Das NAT solltest du auf dem CRS dann auch gleich mit deaktivieren, denn das ist vollkommen überflüssig und performancetechnisch kontraproduktiv!
Das war mit der Fritte nicht anders lösbar, da ich ja über die Fritte die VLAN-Separierung/L3-Funktionen nicht realisieren konnte. Jetzt, wäre der Router allerdings logisch im Management-VLAN vorhanden und konsequenterweise dann auch kein Doppel-NAT mehr die Folge, oder habe ich hier einen Denkfehler?
Tricorax
Tricorax 28.02.2025 um 21:18:31 Uhr
Goto Top
Zitat von @MysticFoxDE:


ähm, kannst du das mit "Private VLAN" bitte irgendwie abändern, danke.

Denn als "Private VLAN" bezeichnet man bereits schon eine bestimmte VLAN Technologie ...

Diese von mir gewählte Bezeichnung sollte kein Verweis auf die PVLAN Semantik sein, sondern die Art der Daten im VLAN spezifizieren. In diesem VLAN sind nur die vertrauenswürdigsten Endgeräte mit dem sensibelsten privaten Datenverkehr enthalten. Entschuldige, wenn das zu Missverständnissen geführt hat.
aqui
aqui 01.03.2025 aktualisiert um 13:59:05 Uhr
Goto Top
Das war mit der Fritte nicht anders lösbar,
Das ist natürlich so nicht richtig aus IP Sicht und weisst du auch selber. Natürlich ist sowas auch mit der Fritte problemlos lösbar, denn wenn du das performancefressende NAT am CRS ausschaltest benötigst du lediglich nur die statischen Routen auf die Netze hinter dem CRS und fertig ist der Lack. Ist mit deinem UBQT Geraffel ja nicht anders.
Siehe dazu auch das Routing Tutorial.
Tricorax
Tricorax 01.03.2025 um 11:10:49 Uhr
Goto Top
Grundsätzlich erstmal Danke für deine in jeder Hinsicht kompetente hilfsbereite Hilfestellungen. Das mit dem NAT habe ich in der Tat falsch verstanden. Aber um die Sache an dieser Stelle vllt. zügig abzuschließen:

Es erzeugt keine eklatante "Schwachstelle" bei der Netzwerkstrukturierung wenn ich den Router im Management-VLAN integriere, in dem lediglich alle anderen Netzwerkkomponenten enthalten sind, und keine Endgeräte?
DivideByZero
DivideByZero 01.03.2025 um 12:47:50 Uhr
Goto Top
Na ja, Du musst ja aus den anderen Netzen eine Verbindung schaffen, dh bei Sicherheitslücken im Router wäre es unschön. Das muss man im Hinterkopf behalten. Ansonsten hat eine Firewall oder ein Router ja in so einer Konstellation denknotwendig ein Bein in jedem Netz.