Suche Hilfe für Netzwerk Konzept, DNS-Zonen der Domain und IP-Adressbereiche

Hallo Icer,

danke dir für deine Hinweise und Fragen.

Ja das stimmt. Die Zeichnung bildet so ungefähr das Netzwerk ab. Ist bisher nicht zu Ende gedacht und nur ein Zwischenzustand. Daher dieses Posting. Ich versuche mal es etwas weiter aufzudröseln.

Der pfsense soll quasi vor allem sitzen. Also hinter Router 1 und vor der DMZ. Das habe ich falsch gezeichnet... Ups
Möglicherweise einen 2. pfsense hinter dem 2. Router.

Der DNS soll die Auflösung des ganzen LANs machen. Einen 2. DNS als Secondary wäre gut. Wo müsste er dann eingebunden werden. Müssten möglicherweise weitere DNS Server installiert werden?

Der adds soll die Benutzer und Gruppen regeln. Auch für das NAS.

Das NAS ist der zentrale Fileserver für die User und Backupsystem für die VMs, Clients, etc.

Der Media Server soll Zuspieler für die Clients und den Medienbereich im Wohnzimmer sein.

Der DB-Server für die Webseiten (Interne Webseiten und öffentliche). Macht das Sinn oder lieber Zwei?

Der Reverse Proxy für die Verteilung der Webseitenanfragen an entsprechende www-Server.

Die verschiedenen www-Server für die einzelnen www-Projekte. Nur intern zugängliche (Intranet) und öffentlich zugängliche.

Mailserver für die Hauptdomain xydomain.de.


Die Clients dürfen quasi alles das Gleiche nutzen und müssen so nicht voreinander in Gruppen abgeschottet werden. Hauptsächlich der Zugang zum NAS, die internen Webseiten, Mail und Drucker. Den Pihole als Filter davor.

Sollte ich versuchen die Zugriffsmöglichkeiten als Plan zu Zeichen?

Jetzt laufen ein paar VMs mit allem weitern im gleichen Adressbereich und ohne den adds. Das soll sich aber jetzt ändern. Und durch verschiedene Artikel im Netz habe ich von der Router-Kaskade gelesen. Da hieß es z. B. dass unsicherer eingestufte und ältere Geräte (TV, Medienspieler, etc.) besser in der DMZ zu platzieren wären. Die Clients so mehr Schutz bekämen. Macht dieser Ansatz Sinn?

Oder sollte ich alles in einem Adressbereich und in der Hauptdomaine xydomain.de betreiben? Also ohne weitere DNS-Zonen. Denke aber, dass wäre auch nicht wirklich sinnvoll. Eben wie die zwei DNS auf einem Blech.

Frage mich halt, welche Geräte, oder welche Dienste die zusammen gehören sollte ich in eigene IP-Bereiche packen? Oder eigene DNS-Zonen? Was könnte sinnig sein?

Hallo Ralf.
Danke für deine Gedanken. Das hilft mir schon einmal wieder ein Stückchen weiter.

Das stimmt wohl. Aber es ist halt zu Hause, weisst aber wohl eher die Strukturen eines Firmen-Netzwerks auf.
Dadurch, dass wir in der Familie im Tierschutz tätig geworden sind und auch immer wieder großere Sachen angefasst haben, sind diese Strukturen so entstanden oder sollen so entstehen. Es sind halt kurzfristig immer wieder eine Handvoll exteren neue User da, die dann bei entsprechenden Projekten mitarbeiten. Und so sollen sie dann auch kurzfristig entsprechende Zugänge bekommen und auf Daten, Mail, etc. zugreifen dürfen.
Bisher ist das eben alles sehr Verteilt und eher Chaotisch gewesen.
Soviel nur am Rande...

Ja. Warum eigentlich... Einmal hatte ich von der Routerkaskade gehört bzw. auch gelesen. Die Schaffung einer DMZ und den separierten Bereich. Und zum Anderen bin ich einem Posting rund um eine virtualisierte Firefall (pfSense) gefolgt. Da ich dem ersten Router (Fritzbox 7390) und seiner Firewall nicht recht traue, wollte ich die pfSense Firewall dahinter hängen. Und weil ich eben noch alte Hardware habe, ist gedanklich für den sparierten Bereich der 2. Hardware-Router (Fritzbox 7270) dazu gekommen. Nicht wissend, dass der pfSense für sich auch schon Router ist.
Und bei all den Überlegungen und Recherchen kamen für mich dann weitere separate IP-Bereiche dazu.

Das kam aus meinem Denken, dass der erste Router ja vom kompletten Netzwerk Bescheid wissen müsse. Also auch bis in die Sub-Netze rein. Und jedes Subnetz nur für sich, also /24... Und bei weiteren Überlegungen war es dann doch nicht mehr ganz für mich schlüssig und klemmte irgendwie.

Naja. Aus dem was ich über Active Directory Domain Server gelesen habe, wird in ihm die zu verwaltende Domain eingetragen. So bekommt der adds dann auch seinen eigenen eindeutigen FQDN. Also adds.int.xydomaine.de zum Beispiel. Im eigenen Netzwerk werden so dann die Namen im DNS aufgelöst. Halt immer mit der Sub-Domaine. Und die Zugriffe erfolgen dann über den internen DNS und werden zu den lokalen Clients oder Servern aufgelöst. Ohne den Umweg raus ins Internet (externer DNS, der die Domaine xydomaine.de ohne Sub-Domains verwaltet) und wieder zurück aus dem Netz in das eigene interne Netzwerk.
Der adds bekommt keine eigene TLD, sondern ist intern im Netzwerk auch nur ein Teil der Sub-Domain.
Oder habe ich das bisher falsch verstanden?

Das kristallisiert sich für mich gerade auch immer mehr heraus. Auch der Aufbau oder die erforderliche Hardware.
Nun habe ich auch die Anleitungen von @aqui gefunden und studiere sie. Daraus ergibt sich für mich schon einmal, dass ich die Hardwäre hier ändern sollte und es durchaus sinniger ist, ein VLAN hier aufzuziehen.


Gedanklich ist mir nun mehr klar geworden, das wie du schon sagst, das Netzwerk erst stehen sollte. Also, wer ist in welchem Netzwerk-Bereich und wer darf wen sehen und miteinander komunizieren dürfen. Ich denke danach wird es sich dann richten, wieviele VLAN-Bereiche und damit verschiedene IP-Address-Bereiche es geben sollte. Stimmt das so weit?

Nun ergeben sich für mich aber auch weitere neue Fragen... Gerade nach den Anleitungen...
1. Der erste Router muss denke ich bleiben. Eben wegen der Telefonie. Der erste Router (FB 7490) wird dann quasi nur noch als Modem und zur Bereitstellung des Internet-Zuganges gebraucht. Ein Betrieb als reines Modem geht leider nicht, bzw. lässt der Router nicht zu.

2. Danach käme aus meinem Verständnis die pfsense, welche mir die entsprechenden VLAN's bereit stellt und das Routing übernimmt, wer mit wem was darf und wer nicht. Also aus einem VLAN in ein anderes VLAN hinein. Oder eben nicht. Hoffe ich drücke mich einigermassen verständlich aus.

3. Dann stellt sich mir die Frage, ob ich den pfSense virtualisieren kann oder ich eine separate Hardware nehmen muss?
Denke der Übersichtlichkeit des Netzwerkes ist ein separates Gerät wohl besser. Aber da die finanziellen Ressoursen doch arg beschrängt sind, muss ich schauen, ob es nicht irgendwie günstig geht.

4. Ist es den möglich, dass ich der virtualisierten pfsense einen zusätzlichen Quad-NIC spendiere und die 4 Ports je ein VLAN zuordne? Und könnte dann an jedem Port ein normaler kleiner, schon vorhandener Switch ohne VLAN-Funktionalitäten die Verteilung an die Clients und oder Geräte übernehmen?

5. Ich suche noch nach einer Software zum Zeichnen von Netzwerkplänchen. Bisher habe ich zwei ausprobiert (Network Notepad und Dia), doch bin ich mit beiden nicht ganz zufrieden. Bei der einen fehlt mir das was die andere jeweil kann und gut ist. Beide zusammen wären toll... Gibt es da noch etwas anderes?

Viele Grüße, Dirk

Hi Aqui,

jep, neue Strukturen schaffen. Genau da stehe ich jetzt. Und auch bei der Überlegung, welche meiner Hardware ich noch nutzen kann und welche halt neu dazu kommen muss oder sollte.


Also das bestehende Konzept wird denke ich nicht so das rechte sein. Und die VLAN-Technik scheint mir da die geeignetere Variante zu sein. Denke auch die "sauberer". Berichtige mich bitte, wenn ich daneben liegen!

Bisher habe ich halt ein klassisches Netzwerk. Verteilt in der ganzen Wohnung. Eben auch ohne eine ordentliche und saubere Verkabelung. Halt nur mit Patchkabeln von Router zu Switch zu entsprechenden Geräten.
In drei Räumen sind Soho-Switche. Eben weil dort mehr daran hängt. Der Router steht ziemlich zentral.
Die drei Switche müssen auch in den Räumen bleiben. Ist nur die Frage, ob ich sie weiter benutzen kann oder ob ich sie durch ein VLAN tauglichen Switch auch noch ersetzten muss. Um das zu beantworten, komme ich gedanklich wieder zu Punkt 4 in meinem vorigen Posting:
Oder ist das gar keine Möglichkeit, bzw. ist davon dringend abzuraten?
Wenn das ginge, dann würde der Server seinen örtlichen Standort wechseln (Raumwechsel) und ich bräuchte quasi nur eine zusätzliche NIC per Passtrough im Proxmox-Server. Und die Switche könnten so bleiben.

Wenn das nicht zu empfehlen ist, dann müsste auf jeden Fall ein VLAN Switch her. Level 2 oder 3 weiß ich noch nicht und müsste ich mich erst schlau machen. Ein VLAN-Switch ist denke ich nicht vorhanden, erst recht kein managbarer. Bleibt die Frage, ob die vorhandenen Normalo-Switche zukünftig noch eine Aufgabe hier übernehmen können? Wenn nicht, dann muss ich hier gänzlich umstrukturieren und es müssen weitere VLAN-fähige Switche her...

Dem Bildchen nach wäre dann der Cisco Router meine FB7490. Das heißt es gäbe nur diese FB Firewall. Kann man der den trauen?

Dann müsste ich quasi nur einen L3-Switch erwerben. Dieser ist dann der zentrale Punkt im Netzwerk. Von da aus würde es in die einzelnen Räume gehen. Was für einen Switch müsste ich dann dort anhängen?

Da klemmt es gerade ein wenig. Eben weil ich noch nicht so recht weis, was ich noch von meiner Hardware behalten kann oder noch weiter verwenden kann.
Und was dann mit hinein spielt ist, wie sich dann die vorhanden Kabel weiter nutzen lassen, oder ob weitere hinzukommen müssen.
Zum Beispiel hat Raum 1 dann Geräte aus 2 verschiedenen VLAN's. Oder Raum 3 aus 3 verschiedenen VLAN's.

Dann müssten ggfs. neue Kabel dazu gelegt werden und der zentrale Switch muss mehr Ports haben, oder es kommt ein weiterer VLAN-Switch in den entsprechenden Raum und verteilt die VLAN Bereiche an die entsprechend angeschlossenen Clients und Geräte.

Also denke ich, hängt die Geräte-Auswahl auch mit an meinen Örtlichkeiten.

Auch stellt sich mir die Frage, wenn ich einen Soho-Switch an einen Port des L3-Switches hänge der nur VLAN_10 zur Verfügung stellt, ob dann die am Soho-Switch angeschlossenen Clients funktionieren. Vorrausgesetzt ihre IP-Adressen sind aus dem VLAN_10 IP-Address-Bereich.
Wenn das geht, dann könnte ich wiederum einen kleineren zentralen L3-Switch nehmen.
Weißt du ob das klappen kann?

Nach einer längeren Pause geht es nun weiter.
Den Plan habe ich erneuert.
Nun sieht er so aus:

Bitte schaut einmal drüber. Vielleicht sind Fehler drin oder ihr habt Verbesserungsvorschläge, etc.