10
Standard Netzwerkaufbau mit VLAN
Hallo zusammen,
als interessierter Hobbyanwender lese ich in vielen Foren gerne technische Artikel und würde gerne unseres Netzwerk umstrukturieren. Jetzt ist es Zeit von passiv (nur lesen) auch aktiv (fagen, lernen, umsetzen) zu wechseln.
Warum?: Mehr Sicherheit ist gut und Daten sollten Privat bleiben. Momentan beschränkt sich der Aufbau auf eine Fritzbox cable mit PiHole unbound konfiguriert (Kontrolle nur von Innen nach Außen).
Problem: Zugriff auf Files, Wetterstation und 3D Drucker (Webcam View + Steuerung) soll über VPN von außen möglich werden, ohne das eine Verbindung zum internen und sicheren Netz möglich ist. Momentan
Gefüllt habe ich ein halbes Buch gelesen und denke das ich mich an den Tutorials und Fragen orientieren werde:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
PfSense, VLAN (nach Tutorial von aqui) und Basis-Regeln
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Vermutlich ist dies die xxx Frage, jedoch möchte ich gerne eine Rückmeldung über den Aufbau des Netzes erhalten. Dafür habe ich Grafik (siehe oben) entworfen. Folgende Geräte exisiteren aus dem Schaubild:
Vodafon Anschluss:
Red Internet und Phone 250 Kabel
mit Standard Vodafon Station Modellnr.: CGA4233DE (momentan nicht in Verwendung)
Anforderung: Möglichst geringer Stromverbrauch. Doppel NAT verhindern. Hardware mit AES, Nutzung der Rufnummern für Festnetz, WLAN ac 2.4, 5 GHZ
FRAGEN:
Ist der Aufbau für euch schlüssig und nachvollziehbar? Sollten Änderungen vorgenommen werden und wenn ja in welche Richtung?
Wie wird das mit dem Festnetztelefon umgesetzt? Muss nicht bei dem C6 bleiben und auch hier ist eine Änderung möglich. Sollte die Fritzbox durch einen OpenWRT oder DrayTek ersetzt werden?
Welche aktuellste Technik 2021 könnt ihr für die Umsetzung empfehlen? Was wird alles benötigt?
Liste momentan benötigter Hardware:
Welche Strategie kann man Nutzen, falls die Firewall ausfällt? Was macht ihr da? Habt ihr eine als Backup?
VG
Regi
PS.: Falls als Laie noch Angaben fehlen, bitte freundlichen Fragen und ich werde versuchen diese Nachzuliefern
als interessierter Hobbyanwender lese ich in vielen Foren gerne technische Artikel und würde gerne unseres Netzwerk umstrukturieren. Jetzt ist es Zeit von passiv (nur lesen) auch aktiv (fagen, lernen, umsetzen) zu wechseln.
Warum?: Mehr Sicherheit ist gut und Daten sollten Privat bleiben. Momentan beschränkt sich der Aufbau auf eine Fritzbox cable mit PiHole unbound konfiguriert (Kontrolle nur von Innen nach Außen).
Problem: Zugriff auf Files, Wetterstation und 3D Drucker (Webcam View + Steuerung) soll über VPN von außen möglich werden, ohne das eine Verbindung zum internen und sicheren Netz möglich ist. Momentan
Gefüllt habe ich ein halbes Buch gelesen und denke das ich mich an den Tutorials und Fragen orientieren werde:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
PfSense, VLAN (nach Tutorial von aqui) und Basis-Regeln
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Vermutlich ist dies die xxx Frage, jedoch möchte ich gerne eine Rückmeldung über den Aufbau des Netzes erhalten. Dafür habe ich Grafik (siehe oben) entworfen. Folgende Geräte exisiteren aus dem Schaubild:
- Fritzbox 6591 cable
- FritzFon C6
- 3D Drucker Prusa
- RP3 Wetterstation
- RP4 OctoPrint, PiHole, Nextcloud als Container
- PC1 (win10), PC2 (macbook 2011), PC3 (linux)
- Mobiltelefon1 (graphenos), Mobiltelefon2 (iphone), Tablet1 (ipad), Tablet2 (win surface, hat nicht mehr in die Zeichnung gepasst), 2D Drucker --> 2.4 und 5 GHz WLAN benötigt
Vodafon Anschluss:
Red Internet und Phone 250 Kabel
mit Standard Vodafon Station Modellnr.: CGA4233DE (momentan nicht in Verwendung)
Anforderung: Möglichst geringer Stromverbrauch. Doppel NAT verhindern. Hardware mit AES, Nutzung der Rufnummern für Festnetz, WLAN ac 2.4, 5 GHZ
FRAGEN:
Ist der Aufbau für euch schlüssig und nachvollziehbar? Sollten Änderungen vorgenommen werden und wenn ja in welche Richtung?
Wie wird das mit dem Festnetztelefon umgesetzt? Muss nicht bei dem C6 bleiben und auch hier ist eine Änderung möglich. Sollte die Fritzbox durch einen OpenWRT oder DrayTek ersetzt werden?
Welche aktuellste Technik 2021 könnt ihr für die Umsetzung empfehlen? Was wird alles benötigt?
Liste momentan benötigter Hardware:
- Firewall
- Switch
- 2x W-APs
Welche Strategie kann man Nutzen, falls die Firewall ausfällt? Was macht ihr da? Habt ihr eine als Backup?
VG
Regi
PS.: Falls als Laie noch Angaben fehlen, bitte freundlichen Fragen und ich werde versuchen diese Nachzuliefern
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1226749056
Url: https://administrator.de/contentid/1226749056
Printed on: April 26, 2024 at 06:04 o'clock
10 Comments
Latest comment
Zu deinen Fragen:
Alternativen:
Du kannst bei einer Kaskade ja mit der FritzBox immer einen Notbetrieb gewährleisten. Erst wenn beide zusammen ausfallen musst du auf Rauchzeichen oder Brieftauben umstellen !
Das ist also hinreichend sicher, hängt aber letzlich von deinen eigenen Ansprüchen an Verfügbarkeit ab die wir hier ja leider nicht kennen. HW Backup ist dann aber auch sinnfrei ohne 2te Internet Leitung. Da komtm dann eins zum anderen.
Fazit:
Alles richtig gemacht ! Ist ja auch ein simples Standard Design von der Stange. Kannst also loslegen.😉
Ist der Aufbau für euch schlüssig und nachvollziehbar?
Ja. Ein simpler Klassiker. Du hast alles richtig gemacht.Sollten Änderungen vorgenommen werden
Nein, alles richtig gemacht.Wie wird das mit dem Festnetztelefon umgesetzt?
Wie immer... Du betreibst die FW ja als Router_Kaskade. Telefon schliesst du dann an die FB an und fertig.Alternativen:
- FB ersetzen durch NUR Modem wie Vigor 165/167 oder Zyxel VMG3006 und FB nur noch als reine VoIP Anlage im internen Netz betreiben. Du kannst dann alle VoIP Telefone und Dect Telefone deiner Wahl benutzen.
- Direkte VoIP Telefone deiner Wahl ins interne Netz klemmen oder ein VoIP DECT Knoten wie die Gigaset DECT Basisstation GO Box 100 wo du auch alles deiner Wahl anschliessen kannst
Sollte die Fritzbox durch einen OpenWRT oder DrayTek ersetzt werden?
Wenn dann nur durch ein reines NUR Modem. Nur das bringt Vorteile weil du so auf das doppelte NAT und doppelte Firewalling verzichten kannst. Die Frage ob du eine Router Kaskade mit doppeltem NAT und doppeltem Firewalling mit FritzBox, OpenWRT oder Draytek betreiben willst ist, wie du dir ja selbst denken kannst, eh Quatsch. In dem Fall kannst du dann besser bei der bestehenden FB bleiben.Was wird alles benötigt?
Liste ist korrekt. APs sollten natürlich MSSID fähige APs sein die mehrere WLANs pro AP aufspannen können.Welche Strategie kann man Nutzen, falls die Firewall ausfällt?
Gegenfrage: Welche Strategie hast du denn jetzt wenn die FritzBox ausfällt ?? Hast du eine als Backup ? Da wendest du dann das Gleiche an.Du kannst bei einer Kaskade ja mit der FritzBox immer einen Notbetrieb gewährleisten. Erst wenn beide zusammen ausfallen musst du auf Rauchzeichen oder Brieftauben umstellen !
Das ist also hinreichend sicher, hängt aber letzlich von deinen eigenen Ansprüchen an Verfügbarkeit ab die wir hier ja leider nicht kennen. HW Backup ist dann aber auch sinnfrei ohne 2te Internet Leitung. Da komtm dann eins zum anderen.Fazit:
Alles richtig gemacht ! Ist ja auch ein simples Standard Design von der Stange. Kannst also loslegen.😉
Router_Kaskade
Ok, verstanden.APs sollten natürlich MSSID fähige APs sein die mehrere WLANs pro AP aufspannen können.
Gibt es da eine aktuelle Empfehlung für 2021?Auch eine neuere Lösung für die Firewall? Der Beitrag aus Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät ist schon etwas älter (2.5 Jahre) und das Produkt u.a. auf nozama nicht mehr zu finden.
Gegenfrage: Welche Strategie hast du denn jetzt wenn die FritzBox ausfällt ?? Hast du eine als Backup ?
Ist bis jetzt nicht vorgekommen, könnte die Vodafone Station nehmen. Auch wenn die nicht gerade zu empfehlen ist. Aber guter Konter Kannst also loslegen.
Freu mich drauf VG
Regi
und das Produkt u.a. auf nozama nicht mehr zu finden.
Hier wirst du z.B. fündig:https://www.varia-store.com/de/produkt/103559-pc-engines-apu2e4-bundle-b ...
https://www.varia-store.com/de/produkt/103564-pc-engines-apu4d2-embedded ...
https://www.ipu-system.de
https://www.apu-board.de
Danke @aqui für deine Erfahrungen und Empfehlungen.
Die neueren WLAN Mini-PCIe-Karten (für WLAN ac) funktionieren noch nicht mit OPN/pfSense.
Gibt es aktuelle Empfehlungen für MSSID fähige APs?
VG
Regi
Die neueren WLAN Mini-PCIe-Karten (für WLAN ac) funktionieren noch nicht mit OPN/pfSense.
Die WLE600VX ist z.Zt. nur mit Linux-basierten Systemen vernünftig einsetzbar. Firewall-Systeme wie z.B. pfSense oder OPNsense, die auf FreeBSD aufbauen, besitzen noch keinen Treiber für den Chipsatz.
Quelle: https://www.ipu-system.de/produkte/compexwle600vx.htmlGibt es aktuelle Empfehlungen für MSSID fähige APs?
VG
Regi
Die neueren WLAN Mini-PCIe-Karten
Willst du denn wirklich einen AP in der Firewall betreiben die ggf. im Keller in einem Schrank steht ? Ist doch keine besonders intelligente Idee, oder ? Separate MSSID APs sind da immer die bessere Wahl für ein performantes WLAN.Gibt es aktuelle Empfehlungen
Minenfeld, wie immer ! 
Hallo,
ein Tipp von mir sind die APs von Ruckus
Ja, sie sind etwas teuer aber, bin sehr zufrieden damit (Habe 3 Stück).
Als günstige alternative gibt es noch Mikrotik
Sind aber etwas komplizierter zu konfigurieren aber, wenn du bei @aqui schaust hat der bestimmt eine Anleitung oder was du noch bei ihm findest ist eine Anleitung zu alten Cisco APs die du z.B ebay ersteigern kannst.
Der Vorteil bei Ruckus und Mikrotik ist das sie einen internen Controller haben und du sie zentral verwalten kannst.
Aber alles Geschmackssache und wenn du 10 Leute fragst hast du 20 Antworten.
ein Tipp von mir sind die APs von Ruckus
Ja, sie sind etwas teuer aber, bin sehr zufrieden damit (Habe 3 Stück).
Als günstige alternative gibt es noch Mikrotik
Sind aber etwas komplizierter zu konfigurieren aber, wenn du bei @aqui schaust hat der bestimmt eine Anleitung oder was du noch bei ihm findest ist eine Anleitung zu alten Cisco APs die du z.B ebay ersteigern kannst.
Der Vorteil bei Ruckus und Mikrotik ist das sie einen internen Controller haben und du sie zentral verwalten kannst.
Aber alles Geschmackssache und wenn du 10 Leute fragst hast du 20 Antworten.
1
Das war eine perfekte Zusammenfassung der Fakten ! 😉 👍
@routermax und aqui
Vielen Dank für eure Antworten. Damit habe ich reichlich an Informationen erlangt.
VG
Regi
Vielen Dank für eure Antworten. Damit habe ich reichlich an Informationen erlangt.
VG
Regi
Moin
Da es sich um einen Kabelanschluss handelt, sollte der TO entweder mit dem doppelten NAT und Portforwarding leben, bei Vodafone versuchen, den Bridgemode einzurichten oder das AFAIK einzig nutzbare Kabelmodem (Technicolor TC4400-EU) vor seine Firewall packen.
Zitat von @aqui:
Wie immer... Du betreibst die FW ja als Router_Kaskade. Telefon schliesst du dann an die FB an und fertig.
Alternativen:
Wie immer... Du betreibst die FW ja als Router_Kaskade. Telefon schliesst du dann an die FB an und fertig.
Alternativen:
- FB ersetzen durch NUR Modem wie Vigor 165/167 oder Zyxel VMG3006 und FB nur noch als reine VoIP Anlage im internen Netz betreiben. Du kannst dann alle VoIP Telefone und Dect Telefone deiner Wahl benutzen.
Da es sich um einen Kabelanschluss handelt, sollte der TO entweder mit dem doppelten NAT und Portforwarding leben, bei Vodafone versuchen, den Bridgemode einzurichten oder das AFAIK einzig nutzbare Kabelmodem (Technicolor TC4400-EU) vor seine Firewall packen.
Sorry, das mit dem TV Kabel hatte ich im Eifer des Gefechts übersehen. Du hast natürlich absolut Recht mit deinem Hinweis ! 👍
