16
Verständnisfragen Routing und Switching Layer 2 und 3
Hallo zusammen,
Habe mir für ein kleineres Netzwerk ein CISCO Switch aus der aktuellen SG350X Serie zugelegt.
Als Ersatz für meinen "Popeligen und veralteten D-Link DGS-1324T WebSmart Switch.
Als Gateway wurde PFSense verwendet auf einer Atom plattform. (möchte auf OpenSense und stärkere HW wechseln.
Mit dem Smart Switch habe ich bis anhin mithilfe "IEEE 802.1Q VLAN Configuration" von Ports zu Gruppen zusammengefasst Subnetz 1 / 2 /3 .
Das hat bis anhin auch immer funktioniert so weit. Allerdings mit Gigalan immer sehr langsam.
Nun möchte ich das ganze ein wenig Professioneller aufgleisen. Alle Geräte befinden sich nun auch in einem Rack.
Nun habe ich noch nicht wirklich viel Ahnung wie das Ganze am besten aufgegleist werden soll.
Ich möchte vier Subnetze von denen eines als Internes LAN Gefahren werden kann mit Kontakt nach außen. Und ein Internes LAN ohne Außenanbindung.
Die PC-Clients können über das Gateway nach aussen aufs WAN.
Die Drucker sollen aber alle im Internen LAN sein und nicht nach außen können.
Oder ist hier eine DMZ die bessere Variante (habe keine Anhnung davon) ?
Bis jetzt habe ich das so gelöst das zwei Netzwerkschnittstellen in den Clients verbaut wurden, wobei jedes ein anderes Netz war.
Also 192.168.166.0/24 mit Gateway und das andere 192.200.200.0/24 eingetragen ohne Gateway. Alles mit Fixen IP's
Es gibt auch VNC Anwendungen die mit NAT gelöst wurden. Zugfriff von aussen via Mobile mit VNC Enterprise
ist das nach wie vor eine sinnvolle Lösung oder gibts da besseres dafür?
Mir ist die Sicherheit ebenso wichtig wie auch der Speed also Durchsatz. Layer 1 ist auf Kat.6 ausgelegt.
Ist es sinvoll mit VLAN zu Arbeiten oder unabhängige Hardware zu verwenden. Wenn der L3 Swicth ein SW oder HW Problem hat, könnten rein theoretisch die VLAN untereinander ja plötzlich Kontakt haben, weil keine Trennung mehr stattfindet und die Kabel nun mal am Switch physikalisch gepatcht sind. ?
Dann habe ich noch die Ubiquiti WLAN Geschichte, ich selbst möchte auf alle Netze via WLAN zugreifen können.
Möchte zusätzlich aber ein Gast WLAN mit DHCP Range, CaptivePortal, Authentifizierung läuft über internen Radius Server (Blackberry Pi4)
Die Topologie sieht so aus:
zwei Büros, ein Schlafzimmer, ein Wohnzimmer.
Die Geräte in Büro (PCs, Drucker, Scanner, NAS, USV) 1 und 2 können Direkt ab Core-SWITCH (Patchpanel) gezogen werden.
Ins Schlafzimmer führen zwei Kat.6 Leitungen. Das eine an einen Ubiquiti Switch US-8, daran hängen TV, Multimediabox, Playstation). Das andere Kabel direkt auf die Popcorn-Hour. Dies habe ich so gemacht, weil ich die ganze Bandbreite auf diesem Gerät haben möchte.
Ins Wohnzimmer führt auch eine Leitung vom Core-Switch auch an einen US-8-150W Switch, dort Hängen ebenfalls ein TV, Telefon, etc.
Von Ubiquity habe ich ebenfalls einen Cloud-Key, ein US-16-150W Switch und eine USG-PRO-4.
Nebst der ganzen Verkabelung stellen sich mir die folgenden Anfängerfragen.
Es wird immer wieder von Port basiert und nicht Port basiert gesprochen. In Bezug auf L2/3.
Das heißt das es Port basierte also z. B. Physikalischer Port 2 gibt (vermutlich für Trunks) und nicht Port basierte, also alle "Clients" an Core-Switch anhängen der Rest macht der Switch IP-passiert egal an welchem Port was hängt?
Die VLAN Segmentierung hat untagged, tagget, trunk ?
Und ist es beim Cisco Switch so das man ihn da erste Mal via seiner Standart IP Konfigurieren muss. Und dieser dann nur in diesem Netz angesprochen werden kann.
Oder kann jedes Subnetz dann auf diesem Zugreifen. ?
Ich hoffe, ich konnte mich verständlich genug ausdrücken konnte. Sonst fragt bitte nach.
In der Hoffnung das ihr mir Helfen könnt resp. helfen mögt.
Servus
funroli
Habe mir für ein kleineres Netzwerk ein CISCO Switch aus der aktuellen SG350X Serie zugelegt.
Als Ersatz für meinen "Popeligen und veralteten D-Link DGS-1324T WebSmart Switch.
Als Gateway wurde PFSense verwendet auf einer Atom plattform. (möchte auf OpenSense und stärkere HW wechseln.
Mit dem Smart Switch habe ich bis anhin mithilfe "IEEE 802.1Q VLAN Configuration" von Ports zu Gruppen zusammengefasst Subnetz 1 / 2 /3 .
Das hat bis anhin auch immer funktioniert so weit. Allerdings mit Gigalan immer sehr langsam.
Nun möchte ich das ganze ein wenig Professioneller aufgleisen. Alle Geräte befinden sich nun auch in einem Rack.
Nun habe ich noch nicht wirklich viel Ahnung wie das Ganze am besten aufgegleist werden soll.
Ich möchte vier Subnetze von denen eines als Internes LAN Gefahren werden kann mit Kontakt nach außen. Und ein Internes LAN ohne Außenanbindung.
Die PC-Clients können über das Gateway nach aussen aufs WAN.
Die Drucker sollen aber alle im Internen LAN sein und nicht nach außen können.
Oder ist hier eine DMZ die bessere Variante (habe keine Anhnung davon) ?
Bis jetzt habe ich das so gelöst das zwei Netzwerkschnittstellen in den Clients verbaut wurden, wobei jedes ein anderes Netz war.
Also 192.168.166.0/24 mit Gateway und das andere 192.200.200.0/24 eingetragen ohne Gateway. Alles mit Fixen IP's
Es gibt auch VNC Anwendungen die mit NAT gelöst wurden. Zugfriff von aussen via Mobile mit VNC Enterprise
ist das nach wie vor eine sinnvolle Lösung oder gibts da besseres dafür?
Mir ist die Sicherheit ebenso wichtig wie auch der Speed also Durchsatz. Layer 1 ist auf Kat.6 ausgelegt.
Ist es sinvoll mit VLAN zu Arbeiten oder unabhängige Hardware zu verwenden. Wenn der L3 Swicth ein SW oder HW Problem hat, könnten rein theoretisch die VLAN untereinander ja plötzlich Kontakt haben, weil keine Trennung mehr stattfindet und die Kabel nun mal am Switch physikalisch gepatcht sind. ?
Dann habe ich noch die Ubiquiti WLAN Geschichte, ich selbst möchte auf alle Netze via WLAN zugreifen können.
Möchte zusätzlich aber ein Gast WLAN mit DHCP Range, CaptivePortal, Authentifizierung läuft über internen Radius Server (Blackberry Pi4)
Die Topologie sieht so aus:
zwei Büros, ein Schlafzimmer, ein Wohnzimmer.
Die Geräte in Büro (PCs, Drucker, Scanner, NAS, USV) 1 und 2 können Direkt ab Core-SWITCH (Patchpanel) gezogen werden.
Ins Schlafzimmer führen zwei Kat.6 Leitungen. Das eine an einen Ubiquiti Switch US-8, daran hängen TV, Multimediabox, Playstation). Das andere Kabel direkt auf die Popcorn-Hour. Dies habe ich so gemacht, weil ich die ganze Bandbreite auf diesem Gerät haben möchte.
Ins Wohnzimmer führt auch eine Leitung vom Core-Switch auch an einen US-8-150W Switch, dort Hängen ebenfalls ein TV, Telefon, etc.
Von Ubiquity habe ich ebenfalls einen Cloud-Key, ein US-16-150W Switch und eine USG-PRO-4.
Nebst der ganzen Verkabelung stellen sich mir die folgenden Anfängerfragen.
Es wird immer wieder von Port basiert und nicht Port basiert gesprochen. In Bezug auf L2/3.
Das heißt das es Port basierte also z. B. Physikalischer Port 2 gibt (vermutlich für Trunks) und nicht Port basierte, also alle "Clients" an Core-Switch anhängen der Rest macht der Switch IP-passiert egal an welchem Port was hängt?
Die VLAN Segmentierung hat untagged, tagget, trunk ?
Und ist es beim Cisco Switch so das man ihn da erste Mal via seiner Standart IP Konfigurieren muss. Und dieser dann nur in diesem Netz angesprochen werden kann.
Oder kann jedes Subnetz dann auf diesem Zugreifen. ?
Ich hoffe, ich konnte mich verständlich genug ausdrücken konnte. Sonst fragt bitte nach.
In der Hoffnung das ihr mir Helfen könnt resp. helfen mögt.
Servus
funroli
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 548608
Url: https://administrator.de/contentid/548608
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
16 Kommentare
Neuester Kommentar
Zitat von @funroli:
Ich möchte vier Subnetze von denen eines als Internes LAN Gefahren werden kann mit Kontakt nach außen. Und ein Internes LAN ohne Außenanbindung.
Die PC-Clients können über das Gateway nach aussen aufs WAN.
Die Drucker sollen aber alle im Internen LAN sein und nicht nach außen können.
Oder ist hier eine DMZ die bessere Variante (habe keine Anhnung davon) ?
Bis jetzt habe ich das so gelöst das zwei Netzwerkschnittstellen in den Clients verbaut wurden, wobei jedes ein anderes Netz war.
Also 192.168.166.0/24 mit Gateway und das andere 192.200.200.0/24 eingetragen ohne Gateway. Alles mit Fixen IP's
Es gibt auch VNC Anwendungen die mit NAT gelöst wurden. Zugfriff von aussen via Mobile mit VNC Enterprise
ist das nach wie vor eine sinnvolle Lösung oder gibts da besseres dafür?
Mir ist die Sicherheit ebenso wichtig wie auch der Speed also Durchsatz. Layer 1 ist auf Kat.6 ausgelegt.
Ist es sinvoll mit VLAN zu Arbeiten oder unabhängige Hardware zu verwenden. Wenn der L3 Swicth ein SW oder HW Problem hat, könnten rein theoretisch die VLAN untereinander ja plötzlich Kontakt haben, weil keine Trennung mehr stattfindet und die Kabel nun mal am Switch physikalisch gepatcht sind. ?
Dann habe ich noch die Ubiquiti WLAN Geschichte, ich selbst möchte auf alle Netze via WLAN zugreifen können.
Möchte zusätzlich aber ein Gast WLAN mit DHCP Range, CaptivePortal, Authentifizierung läuft über internen Radius Server (Blackberry Pi4)
Die Topologie sieht so aus:
zwei Büros, ein Schlafzimmer, ein Wohnzimmer.
Die Geräte in Büro (PCs, Drucker, Scanner, NAS, USV) 1 und 2 können Direkt ab Core-SWITCH (Patchpanel) gezogen werden.
Ins Schlafzimmer führen zwei Kat.6 Leitungen. Das eine an einen Ubiquiti Switch US-8, daran hängen TV, Multimediabox, Playstation). Das andere Kabel direkt auf die Popcorn-Hour. Dies habe ich so gemacht, weil ich die ganze Bandbreite auf diesem Gerät haben möchte.
Ins Wohnzimmer führt auch eine Leitung vom Core-Switch auch an einen US-8-150W Switch, dort Hängen ebenfalls ein TV, Telefon, etc.
Von Ubiquity habe ich ebenfalls einen Cloud-Key, ein US-16-150W Switch und eine USG-PRO-4.
Oder kann jedes Subnetz dann auf diesem Zugreifen. ?
Ich möchte vier Subnetze von denen eines als Internes LAN Gefahren werden kann mit Kontakt nach außen. Und ein Internes LAN ohne Außenanbindung.
Die PC-Clients können über das Gateway nach aussen aufs WAN.
Die Drucker sollen aber alle im Internen LAN sein und nicht nach außen können.
Oder ist hier eine DMZ die bessere Variante (habe keine Anhnung davon) ?
Bis jetzt habe ich das so gelöst das zwei Netzwerkschnittstellen in den Clients verbaut wurden, wobei jedes ein anderes Netz war.
Also 192.168.166.0/24 mit Gateway und das andere 192.200.200.0/24 eingetragen ohne Gateway. Alles mit Fixen IP's
Es gibt auch VNC Anwendungen die mit NAT gelöst wurden. Zugfriff von aussen via Mobile mit VNC Enterprise
ist das nach wie vor eine sinnvolle Lösung oder gibts da besseres dafür?
Mir ist die Sicherheit ebenso wichtig wie auch der Speed also Durchsatz. Layer 1 ist auf Kat.6 ausgelegt.
Ist es sinvoll mit VLAN zu Arbeiten oder unabhängige Hardware zu verwenden. Wenn der L3 Swicth ein SW oder HW Problem hat, könnten rein theoretisch die VLAN untereinander ja plötzlich Kontakt haben, weil keine Trennung mehr stattfindet und die Kabel nun mal am Switch physikalisch gepatcht sind. ?
Dann habe ich noch die Ubiquiti WLAN Geschichte, ich selbst möchte auf alle Netze via WLAN zugreifen können.
Möchte zusätzlich aber ein Gast WLAN mit DHCP Range, CaptivePortal, Authentifizierung läuft über internen Radius Server (Blackberry Pi4)
Die Topologie sieht so aus:
zwei Büros, ein Schlafzimmer, ein Wohnzimmer.
Die Geräte in Büro (PCs, Drucker, Scanner, NAS, USV) 1 und 2 können Direkt ab Core-SWITCH (Patchpanel) gezogen werden.
Ins Schlafzimmer führen zwei Kat.6 Leitungen. Das eine an einen Ubiquiti Switch US-8, daran hängen TV, Multimediabox, Playstation). Das andere Kabel direkt auf die Popcorn-Hour. Dies habe ich so gemacht, weil ich die ganze Bandbreite auf diesem Gerät haben möchte.
Ins Wohnzimmer führt auch eine Leitung vom Core-Switch auch an einen US-8-150W Switch, dort Hängen ebenfalls ein TV, Telefon, etc.
Von Ubiquity habe ich ebenfalls einen Cloud-Key, ein US-16-150W Switch und eine USG-PRO-4.
Oder kann jedes Subnetz dann auf diesem Zugreifen. ?
Hallo.
Also zunächst einmal Glückwunsch zu Deinem Projekt.
Nun gibt es mehrere Punkte die für mich noch nicht ganz klar sind.
1. Warum haben die Clients mehrere Schnittstellen verpasst bekommen? Sollen verschiedene Geräte auf mehrere Netze zugreifen können?
2. Was macht deine USG-Pro 4? Diese ist ja eine vollwertige Firewall, welche auch VLANs unterstützt. Eine PFSense oder OPNSense ist da meines Erachtens eine unnötige Stufe, welche das ganze Konstrukt komplexer macht.
Ich würde an Deiner Stelle die PFSense/OPNSense als Gateway zum WAN und zu den Subnetzen nutzen. Dort mit VLANs arbeiten und diese entsprechend so konfigurieren, dass die von Dir gewünschten Clients auch nur in die gewünschten "Regionen" vorstoßen können.
Das Captive Portal kann ebenfalls über die Sense laufen (Du meintest sicher Raspberry Pi4).
Den Zugriff von außen würde ich ebenfalls über die Sense oder zur Not über den Raspberry Pi mit OPN-VPN lösen.
Gruß
Radiogugu
Das hiesige VLAN Tutorial hast du gelesen ? Es erklärt dir eigentlich alle Punkte im Detail und mit Screenshot Beispielen wie es auf dem Cisco und 350 umzusetzen ist.:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Da dein 350er ein Layer 3 Switch ist solltest du die VLANs immer auf dem Switch selber routen und ggf. dort mit ACLs abschotten !
Wie so ein klassisches Standard Design aussieht und aufzubauen ist erklärt dir dieser Thread:
Verständnissproblem Routing mit SG300-28
Genau danach solltest du vorgehen.
Einzig das Captive Portal VLAN nimmst du vom Routing aus am Switch und transportierst es mit einem Tagged Uplink direkt auf die pfSense um es dort wasserdicht abzusichern.
Auch das vollkommen isolierte LAN nimmst du von der Layer 3 IP Adsressierung an Switch und Firewall komplett raus. Damit ist es dann eine vollkommen nach außen isolierte Insel.
Eigentlich kein Hexenwerk das ganze...
Das Problem sind eher deine massiven Defizite im Design bzw. Design Konzepten. Ggf. solltest du dir da dann doch jemanden an die Hand nehmen der wenigstens die einfachsten Grundlagen dafür versteht ?!
Es sprengt sicher den Rahmen eines Admin Forums wenn man dir hier von Null auf an erklären müsste wie sowas auszusehen hat und wie man vorgeht. Das hiesige pfSense_Tutorial hat einige Anregungen dazu.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Da dein 350er ein Layer 3 Switch ist solltest du die VLANs immer auf dem Switch selber routen und ggf. dort mit ACLs abschotten !
Wie so ein klassisches Standard Design aussieht und aufzubauen ist erklärt dir dieser Thread:
Verständnissproblem Routing mit SG300-28
Genau danach solltest du vorgehen.
Einzig das Captive Portal VLAN nimmst du vom Routing aus am Switch und transportierst es mit einem Tagged Uplink direkt auf die pfSense um es dort wasserdicht abzusichern.
Auch das vollkommen isolierte LAN nimmst du von der Layer 3 IP Adsressierung an Switch und Firewall komplett raus. Damit ist es dann eine vollkommen nach außen isolierte Insel.
Eigentlich kein Hexenwerk das ganze...
Das Problem sind eher deine massiven Defizite im Design bzw. Design Konzepten. Ggf. solltest du dir da dann doch jemanden an die Hand nehmen der wenigstens die einfachsten Grundlagen dafür versteht ?!
Es sprengt sicher den Rahmen eines Admin Forums wenn man dir hier von Null auf an erklären müsste wie sowas auszusehen hat und wie man vorgeht. Das hiesige pfSense_Tutorial hat einige Anregungen dazu.
Hallo,
die Schwachstelle mit der Geschwindigkeit könnte wahrscheinlich dann die Atomplattform sein.
@ DMZ / Perimeternetzwerk und wie es sonst noch heißt
Ist im klassischen Sinne ein Netzwerk, das zwischen dem Internet und dem internen Netz sein sollte. Hier sollten Dinge stehen, die ( A ) von außen erreichbar sein sollten, und ( B ) kein großen Verlust darstellen, wenn die angebotenen Services wech sind. Ich nenne mal z.b. Webserver. Ist er platt, Backup einspielen und updaten. Im Grunde genommen ist das aber auch nur ein normales Lan-Segment, das über die Definition eine Bedeutung bekommt. Vorsicht nur bei Firewallkonfigs, die da schon diverse Regeln mitbringen.
@ VLAN
Naja wenn da was SW oder HW technisch sich zerlegt, ist dies wohl möglich aber sehr unwahrscheinlich. Ich für mein Teil würde es so lösen, das ich
die sicheren Bereich per IP festgelegt habe und die unsicheren ( z.b. Gastzugriff ) per DHCP.
Sollte sich da die VLAN-CONFIG zerlegen, kommen die Geräte erstmal nicht weit und es wird sich beschwert, das kein Internet da ist.
@ WLAN
Ich kenne zwar das Ubiquiti-Gerät nicht, aber du kannst in der Regel bei AP's den angebotenen WLANS -> VLANS zuweisen.
Damit kannst du die Trennung realisieren und somit die unterschiedlichen IP-Kreise.
@ CaptivePortal
damit hab ich bis Dato noch nichts mit gemacht.
Wenn ich es halberlei 3/4 verstanden habe, solltest du folgendes umsetzen.
Ich denke mal das du eine ordentliche HW Plattform benötigst mit 4 x LAN mit der Firewall ( PFSENSE / OPENSENS )
Konfiguriere die Geräte, die miteinander kommunizieren sollen, in LAN ( x.x.1.0 ) mit fester IP,
die internen Mobile Geräte mit LAN 2 ( x.x.2.0 ) ebenfalls fester IP.
Definiere im AP 2 WLANS mit passenden VLAN ( 2,3 )
Konfiguriere den VLAN-Switch so, das er auf 1 Port den AP ( VLAN 2 / 3 ) anklemmt und auf 2 weiteren Ports die Vlans einzeln ankommen die dann an die FW gehen.
Die FW sollte dann konfiguriert werden,
Ich denke mal das ist eine gute Stichpunktartige Zusammenfassung.
MFG Uwe
Edit
Openvpn zur Einwahl ist auch ne nette Geschichte und sollte ggf mit einfliessen, da man auch hier mit den passende Regeln viel steuern kann und mit Zertifikaten und User Anmeldung einen ordentlichen Schutz hat. --->>> Es muss dann aber mit etwas mehr Rechenleistung gerechnet werden.
die Schwachstelle mit der Geschwindigkeit könnte wahrscheinlich dann die Atomplattform sein.
@ DMZ / Perimeternetzwerk und wie es sonst noch heißt
Ist im klassischen Sinne ein Netzwerk, das zwischen dem Internet und dem internen Netz sein sollte. Hier sollten Dinge stehen, die ( A ) von außen erreichbar sein sollten, und ( B ) kein großen Verlust darstellen, wenn die angebotenen Services wech sind. Ich nenne mal z.b. Webserver. Ist er platt, Backup einspielen und updaten. Im Grunde genommen ist das aber auch nur ein normales Lan-Segment, das über die Definition eine Bedeutung bekommt. Vorsicht nur bei Firewallkonfigs, die da schon diverse Regeln mitbringen.
@ VLAN
Naja wenn da was SW oder HW technisch sich zerlegt, ist dies wohl möglich aber sehr unwahrscheinlich. Ich für mein Teil würde es so lösen, das ich
die sicheren Bereich per IP festgelegt habe und die unsicheren ( z.b. Gastzugriff ) per DHCP.
Sollte sich da die VLAN-CONFIG zerlegen, kommen die Geräte erstmal nicht weit und es wird sich beschwert, das kein Internet da ist.
@ WLAN
Ich kenne zwar das Ubiquiti-Gerät nicht, aber du kannst in der Regel bei AP's den angebotenen WLANS -> VLANS zuweisen.
Damit kannst du die Trennung realisieren und somit die unterschiedlichen IP-Kreise.
@ CaptivePortal
damit hab ich bis Dato noch nichts mit gemacht.
Wenn ich es halberlei 3/4 verstanden habe, solltest du folgendes umsetzen.
Ich denke mal das du eine ordentliche HW Plattform benötigst mit 4 x LAN mit der Firewall ( PFSENSE / OPENSENS )
- WAN
- LAN ( x,x,1.0 )
- LAN 2 ( WLAN INTERN ) -> VLAN 2 ( x,x,2.0 )
- LAN Gast -> VLAN 3 ( DHCP x.x.3.0 )
Konfiguriere die Geräte, die miteinander kommunizieren sollen, in LAN ( x.x.1.0 ) mit fester IP,
die internen Mobile Geräte mit LAN 2 ( x.x.2.0 ) ebenfalls fester IP.
Definiere im AP 2 WLANS mit passenden VLAN ( 2,3 )
Konfiguriere den VLAN-Switch so, das er auf 1 Port den AP ( VLAN 2 / 3 ) anklemmt und auf 2 weiteren Ports die Vlans einzeln ankommen die dann an die FW gehen.
Die FW sollte dann konfiguriert werden,
- das auf dem GAST LAN PORT DHCP konfiguriert wird und ggf das CaptivePortal
- das auf dem INTERN-WLAN passend der Verkehr zum LAN geroutet wird
- das auf der LAN Seite nur die IP'S raus dürfen, die raus sollen
- Nichts sollte erlaubt sein was nicht unbedingt benötigt wird
Ich denke mal das ist eine gute Stichpunktartige Zusammenfassung.
MFG Uwe
Edit
Openvpn zur Einwahl ist auch ne nette Geschichte und sollte ggf mit einfliessen, da man auch hier mit den passende Regeln viel steuern kann und mit Zertifikaten und User Anmeldung einen ordentlichen Schutz hat. --->>> Es muss dann aber mit etwas mehr Rechenleistung gerechnet werden.
Hallo,
den Netzwerkbereich 192.200.200.0/24 zu nutzen ist vielleicht nicht so der richtige Weg.
es gibt genug frei private IP Adressen die du verwenden kannst.
Dir stehen die Bereiche:
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
https://de.wikipedia.org/wiki/Private_IP-Adresse
zur Verfügung.
und du kannst auch kleinere Netze wählen.
ich weiß nicht ob du /24 Netze mit 254 möglichen Teilnehmern brauchst
brammer
den Netzwerkbereich 192.200.200.0/24 zu nutzen ist vielleicht nicht so der richtige Weg.
es gibt genug frei private IP Adressen die du verwenden kannst.
Dir stehen die Bereiche:
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
https://de.wikipedia.org/wiki/Private_IP-Adresse
zur Verfügung.
und du kannst auch kleinere Netze wählen.
ich weiß nicht ob du /24 Netze mit 254 möglichen Teilnehmern brauchst
brammer
Erstmals Euch allen ein herzliches Dankeschön für Eure zahlreichen Antworten, ich bin überwältigt 
@radioguru
Die USG4 habe ich mir Organisiert, weil nur so sämtliche UbiFi Funktionalitäten vorhanden sind.
Ich wollte mit PfSense und USG4 ab WAN je Direkt ab Modem einspeisen.
Es ist im Moment auch so das, dass Gateway die PFSense darstellt.
@ aqui
Danke für die verlinkten Artikel, in den ersten hatte ich mich schon ein wenig eingearbeitet.
Das Captive Portal möchte ich nach Möglichkeit von Ubiquity her nutzen.
Das Isolierte LAN ab Switch Layer 3 ohne Gateway, wie mache ich das Genau?
Sofern man es weiß wie ist es sicherlich kein Hexenwerk aber bis man es mal weiß.
Die Grundbegriffe von TCP/IP und das ganze Subnetting sind mir schon ein wenig klar, nur das Layer 3 getöns nicht wirklich.
@Metzger-MCP (Uwe)
Deine Einschätzung bezüglich Atom-Plattform teile ich mit dir, genau deshalb habe ich neue HW besorgt.
Ein supermicro Barebone 5019D-FN8TP Intel Xeon D-2146NT 8-Core-Prozessor und 2 x Kingston 64GB DDR4 2666MHz LRDIMM ECC Memory
fürs NAS habe ich mir ein Supermicro CSE-825TQ-R720LPB gezogen (dort soll dann XigmaNAS oder so darauf)
also ist die DMZ nicht unbedingt nötig?
Die Verbindungen 1 Server / NAS möchte ich über die SFP+ Ports über den CISCO verbinden.
Dazu haben diese Clients eine Supermicro SFP+ Netzwerkkarte AOC-STGN-I2S 10Gbps spendiert bekommen.
Bezüglich VLAN den sicheren Bereich per IP festlegen und die unsicheren per DHCP ist sicherlich, dass was ich bevorzuge und das wird auch mit VLAN Tagging gelöst?
Ja Du hast es 3/4 richtig verstanden
Ich denke die HW Plattform sollte nun Ordentlich genug sein. Dort stellt sich mir nur noch die Frage bei PFsense bleiben oder zu Opensense wechseln. Außer anderem Proxy, ZFS und GUI ist es ja fast dasselbe.
Du meinst statt VNC via VPN Einwahl von Außen auf die Clients?
@all
es ist halt so das ein wenig die "Angst, vom großen bösen CISCO Switch vorherrscht, die vermutlich völlig unbegründet ist.
Wenn man allerdings von so einem D-Link Spielzeug herkommt, erschlägt es einem Förmlich.
Es eröffnen sich so ganz neue Möglichkeiten. Nun zu wissen was das Beste ist. Vom Netzdesign her finde, ich ist schon eine Herausforderung.
Aber ich bin immer froh wieder was dazu lernen zu dürfen.
Ach ja wie unterbindet man eigentlich Broadcasting Storms, das soll ja das Netz in die Knie Zwingen und langsam machen?
Das ganze sollte performant laufen, Ethernete die lahmen sind langweilig und mühsam
Servus
funroli
@radioguru
Die USG4 habe ich mir Organisiert, weil nur so sämtliche UbiFi Funktionalitäten vorhanden sind.
Ich wollte mit PfSense und USG4 ab WAN je Direkt ab Modem einspeisen.
Es ist im Moment auch so das, dass Gateway die PFSense darstellt.
@ aqui
Danke für die verlinkten Artikel, in den ersten hatte ich mich schon ein wenig eingearbeitet.
Das Captive Portal möchte ich nach Möglichkeit von Ubiquity her nutzen.
Das Isolierte LAN ab Switch Layer 3 ohne Gateway, wie mache ich das Genau?
Sofern man es weiß wie ist es sicherlich kein Hexenwerk aber bis man es mal weiß.
Die Grundbegriffe von TCP/IP und das ganze Subnetting sind mir schon ein wenig klar, nur das Layer 3 getöns nicht wirklich.
@Metzger-MCP (Uwe)
Deine Einschätzung bezüglich Atom-Plattform teile ich mit dir, genau deshalb habe ich neue HW besorgt.
Ein supermicro Barebone 5019D-FN8TP Intel Xeon D-2146NT 8-Core-Prozessor und 2 x Kingston 64GB DDR4 2666MHz LRDIMM ECC Memory
fürs NAS habe ich mir ein Supermicro CSE-825TQ-R720LPB gezogen (dort soll dann XigmaNAS oder so darauf)
also ist die DMZ nicht unbedingt nötig?
Die Verbindungen 1 Server / NAS möchte ich über die SFP+ Ports über den CISCO verbinden.
Dazu haben diese Clients eine Supermicro SFP+ Netzwerkkarte AOC-STGN-I2S 10Gbps spendiert bekommen.
Bezüglich VLAN den sicheren Bereich per IP festlegen und die unsicheren per DHCP ist sicherlich, dass was ich bevorzuge und das wird auch mit VLAN Tagging gelöst?
Ja Du hast es 3/4 richtig verstanden
Ich denke die HW Plattform sollte nun Ordentlich genug sein. Dort stellt sich mir nur noch die Frage bei PFsense bleiben oder zu Opensense wechseln. Außer anderem Proxy, ZFS und GUI ist es ja fast dasselbe.
Du meinst statt VNC via VPN Einwahl von Außen auf die Clients?
@all
es ist halt so das ein wenig die "Angst, vom großen bösen CISCO Switch vorherrscht, die vermutlich völlig unbegründet ist.
Wenn man allerdings von so einem D-Link Spielzeug herkommt, erschlägt es einem Förmlich.
Es eröffnen sich so ganz neue Möglichkeiten. Nun zu wissen was das Beste ist. Vom Netzdesign her finde, ich ist schon eine Herausforderung.
Aber ich bin immer froh wieder was dazu lernen zu dürfen.
Ach ja wie unterbindet man eigentlich Broadcasting Storms, das soll ja das Netz in die Knie Zwingen und langsam machen?
Das ganze sollte performant laufen, Ethernete die lahmen sind langweilig und mühsam
Servus
funroli
Greezy,
@ DMZ Siehe oben ... ist nur eine Definition und technisch gesehen genauso wie jedes andere Lan auch.
@ VLAN ...
Manche Hersteller geben Funktionen andere Namen als andere Hersteller. Schau dir mal die Funktionen an und verstehe das Prinzip wie es funktioniert. So wie ich es meine geht das genau so.
@ Sensen XD
Das ist eine Geschmacksfrage. Beide Produkte bieten alles was du da brauchst.
@ Broadcast Storm
Die entscheidende Frage ist, ( A ) was ist das überhaupt und ( B ) wer verursacht es ...
Ich denke mal, wenn du A ergoogled hast kommst du selber drauf ...
MFG Uwe
p.s. mit allen Informationen an Anfang, würde es weniger Irritationen geben und man kann besser .... ach lassen wir das -> Stichwort -> 10G Modulen und neue Hardware
@ DMZ Siehe oben ... ist nur eine Definition und technisch gesehen genauso wie jedes andere Lan auch.
@ VLAN ...
Manche Hersteller geben Funktionen andere Namen als andere Hersteller. Schau dir mal die Funktionen an und verstehe das Prinzip wie es funktioniert. So wie ich es meine geht das genau so.
@ Sensen XD
Das ist eine Geschmacksfrage. Beide Produkte bieten alles was du da brauchst.
@ Broadcast Storm
Die entscheidende Frage ist, ( A ) was ist das überhaupt und ( B ) wer verursacht es ...
Ich denke mal, wenn du A ergoogled hast kommst du selber drauf ...
MFG Uwe
p.s. mit allen Informationen an Anfang, würde es weniger Irritationen geben und man kann besser .... ach lassen wir das -> Stichwort -> 10G Modulen und neue Hardware
Was mich noch intressieren würde als es noch keine Layer 3 Switche gab.
Und Software das erledigen musste. Ist es nicht so das L3 Switching durch die ganzen ID-Tags in den Paketen.
a.) mehr Netztraffic verursachen und b.) es extren Bandbreite im Netz kostet ?
Grundsätzlich würde bei vorhandensein von mehr Hardware ja auch L2 funktrionieren, oder?
Und Software das erledigen musste. Ist es nicht so das L3 Switching durch die ganzen ID-Tags in den Paketen.
a.) mehr Netztraffic verursachen und b.) es extren Bandbreite im Netz kostet ?
Grundsätzlich würde bei vorhandensein von mehr Hardware ja auch L2 funktrionieren, oder?
Nein das ist Unsinn....
Das sind popelige 32Bit die das Paket größer ist. Siehe hier:
https://de.wikipedia.org/wiki/IEEE_802.1Q
Die haben auch schon zu seligen Zeiten von altem Koax Ethernet 10-Base-2 keinerlei Performance Einbußen oder Bandbreitenverlust verursacht, das wäre Quatsch. Pakete variieren zudem ja selber auch zw. 64 und 1500 Byte also fällt sowas niemals ins Gewicht auch in den guten alten Ethernet zeiten mit 10 Mbit/s nicht.
Das sind popelige 32Bit die das Paket größer ist. Siehe hier:
https://de.wikipedia.org/wiki/IEEE_802.1Q
Die haben auch schon zu seligen Zeiten von altem Koax Ethernet 10-Base-2 keinerlei Performance Einbußen oder Bandbreitenverlust verursacht, das wäre Quatsch. Pakete variieren zudem ja selber auch zw. 64 und 1500 Byte also fällt sowas niemals ins Gewicht auch in den guten alten Ethernet zeiten mit 10 Mbit/s nicht.
@aqui,
Danke für deine verstäntliche und aufschlussreiche Antwort.
Also in diesem Fall ist Layer 3 Switching sowas wie der heutige Standart.
Danke für deine verstäntliche und aufschlussreiche Antwort.
Also in diesem Fall ist Layer 3 Switching sowas wie der heutige Standart.
Was ist "Seitching" ??
Ganz so kann man es nicht sagen. In Umgebungen wo man generell kein Routing (Layer 3) braucht wie z.B. beim Switching im Access Bereich, da reicht L2 vollkommen.
Es kommt also immer aufs Design und auf die Anwendungen des Netzes an. L2 und L3 sind beides eigentlich "heutige" Standards.
Ganz so kann man es nicht sagen. In Umgebungen wo man generell kein Routing (Layer 3) braucht wie z.B. beim Switching im Access Bereich, da reicht L2 vollkommen.
Es kommt also immer aufs Design und auf die Anwendungen des Netzes an. L2 und L3 sind beides eigentlich "heutige" Standards.
Mit dem genanten Setup von oben PfSense/OpenSense als Gateway. Sowie Ubiquity USG4 Pro füe Ap`s
Würdet Ihr hier einen Pi-Hole auf dem Raspberry Pi empfehlen den man ins Netzt hängt, (möglichst voller 1 Gbit/s Durchsatz auf WAN seite) oder soll diese möglichkeitr auf der Sense stattfinden, und wenn ja wie?
Würdet Ihr hier einen Pi-Hole auf dem Raspberry Pi empfehlen den man ins Netzt hängt, (möglichst voller 1 Gbit/s Durchsatz auf WAN seite) oder soll diese möglichkeitr auf der Sense stattfinden, und wenn ja wie?
Würdet Ihr hier einen Pi-Hole auf dem Raspberry Pi empfehlen den man ins Netzt hängt
Ja das macht immer Sinn zum Schutz.Raspberry Pi Zero W als Pi-hole Adblocker
Auf der pfSense geht es auch aber die Installation ist um einiges aufwendiger. Das geht dann über das Package pfBlockerNG
https://www.computing-competence.de/2018/06/11/mit-pfsense-werbung-und-p ...
Danke Dir aqui für deine wertvollen Hinweise.
Welche Variante Empfiehlst Du?
Ist der Pi4 mit Pi-Hole den Schnell genug um keine Geschwindigkeits einbussen beim Download zu verursachen?
Es bingt ja nix viel Geld in die gesamte Infra zu Pumpen (neuer PF Leistungsstarker-Barebone) um dann mit dem Pi den Durchsatz wieder zu verringern.
Und wo genau ist dieser ins Netz zu hängen?
Welche Variante Empfiehlst Du?
Ist der Pi4 mit Pi-Hole den Schnell genug um keine Geschwindigkeits einbussen beim Download zu verursachen?
Es bingt ja nix viel Geld in die gesamte Infra zu Pumpen (neuer PF Leistungsstarker-Barebone) um dann mit dem Pi den Durchsatz wieder zu verringern.
Und wo genau ist dieser ins Netz zu hängen?
Du hast das Pi-Hole Prinzip technisch völlig missverstanden !!! Bitte nochmal genau lesen und verstehen !!
Das ist lediglich ein DNS Filter der bösartige Malware und Werbe DNS Requests filtert, mehr nicht.
Performance spielt da keinerlei Rolle da der Traffic mit dem Pi Hole nicht das Geringste zu tun hat !!
Das rennt problemlos auf einem RasPi Zero oder einem Orange Pi Zero der einbeinig wie ein Rechner im netz hängt. Mehr nicht...ist kinderleicht.
Das ist lediglich ein DNS Filter der bösartige Malware und Werbe DNS Requests filtert, mehr nicht.
Performance spielt da keinerlei Rolle da der Traffic mit dem Pi Hole nicht das Geringste zu tun hat !!
Das rennt problemlos auf einem RasPi Zero oder einem Orange Pi Zero der einbeinig wie ein Rechner im netz hängt. Mehr nicht...ist kinderleicht.
Erstmal Danke das Du mir hilfst.
Doch Doch ich glaube schon das ich das konzept verstanden habe dahinter, PI-Hole fungiert als DNS-Server (Filter).
Die beantwortung des DNS request braucht je nachdem ja auch seine Zeit. Dies ist zum beispiel sehr gut zu beobachten wenn FF crasht und alle Fenster wieder hergestellt werden müssen.
Die Clients haben neben ihrer eigenen lokalen Statischen IP-Adresse ja auch die Adresse des DNS-Servers enthalten, meine Frage bezieht sich nun darauf wie ich den Pi-hole in das bestehende Netzwerk integrieren kann.
In Unserem Fall ist ja der DNS das Gateway PFSense (dort sind als DNS Primary eingetragen die vom Provider, Secondary DNS der Google DNS)
Ein DHCP Server für die Vergabe der WLAN Clients.
Wenn nun der PiHole mit fixer IP ins Spiel kommt ist ja das dann so Quasi der DNS Server im Netzwerk.
Das ganze müsste dann ja auch über L3 funktinieren. Mit veschiedenen VLANS.
Das würde ja bedeuten das ich jedem Client die IP des Pi-Hole angeben müsste als Primary DNS?
Und der PiHole selbst entweder auch sich selbst verweisen lassen als DNS oder eben beim Pi-Hole die des Providers resp. Goolge-DNS eintragen
Ist dies so in etwas Korrekt?
Welchen der beiden varianten Du empfiehlst und weshalb, kann ich aus deiner Antwort leider nicht herausziehen.
Doch Doch ich glaube schon das ich das konzept verstanden habe dahinter, PI-Hole fungiert als DNS-Server (Filter).
Die beantwortung des DNS request braucht je nachdem ja auch seine Zeit. Dies ist zum beispiel sehr gut zu beobachten wenn FF crasht und alle Fenster wieder hergestellt werden müssen.
Die Clients haben neben ihrer eigenen lokalen Statischen IP-Adresse ja auch die Adresse des DNS-Servers enthalten, meine Frage bezieht sich nun darauf wie ich den Pi-hole in das bestehende Netzwerk integrieren kann.
In Unserem Fall ist ja der DNS das Gateway PFSense (dort sind als DNS Primary eingetragen die vom Provider, Secondary DNS der Google DNS)
Ein DHCP Server für die Vergabe der WLAN Clients.
Wenn nun der PiHole mit fixer IP ins Spiel kommt ist ja das dann so Quasi der DNS Server im Netzwerk.
Das ganze müsste dann ja auch über L3 funktinieren. Mit veschiedenen VLANS.
Das würde ja bedeuten das ich jedem Client die IP des Pi-Hole angeben müsste als Primary DNS?
Und der PiHole selbst entweder auch sich selbst verweisen lassen als DNS oder eben beim Pi-Hole die des Providers resp. Goolge-DNS eintragen
Ist dies so in etwas Korrekt?
Welchen der beiden varianten Du empfiehlst und weshalb, kann ich aus deiner Antwort leider nicht herausziehen.
Die beantwortung des DNS request braucht je nachdem ja auch seine Zeit.
Nein, denn der Pi-Hole betreibt einen Cache aus dem das in Wirespeed gemacht wird.neben ihrer eigenen lokalen Statischen IP-Adresse ja auch die Adresse des DNS-Servers enthalten
Ja, aber hat mit der Fragestellung hier nicht das Geringste zu tun...Frage bezieht sich nun darauf wie ich den Pi-hole in das bestehende Netzwerk integrieren kann.
Irgendwo in einem Segment des Netzes anschliessen und gut iss....Secondary DNS der Google DNS
Sowas machen heute eigentlich nur noch Dummies. Jeder Schüler weiss ja mittlerweile das Google diese Daten mit Dritten vermarktet. Wer sowas noch macht dem ist eh nicht mehr zu helfen.Normale, verantwortungsbewusste IT Menschen nehmen einen Datenschutzfreundlichere Alternative wie z.B. Quad DNS u.a.
Im Pi_hole ist der Primary DNS dann die pfSense und Secondary sollte immer der Provider DNS sein. Allein schon um die Lauf- Und Antwortszeiten so gering wie möglich zu halten.
Wenn nun der PiHole mit fixer IP ins Spiel kommt ist ja das dann so Quasi der DNS Server im Netzwerk.
Das ist richtig !Das würde ja bedeuten das ich jedem Client die IP des Pi-Hole angeben müsste als Primary DNS?
Auch das ist logischerweise richtig !Und der PiHole selbst entweder auch sich selbst verweisen lassen
Das wäre völliger Quatsch. Der hat als Weiterleitung immer die pfSense und den Provider DNS, mehr nicht.Google = NoGo !
