3
Hochrüstung Homelab mit openWRT und VLAN
Hallo liebe Community,
Ich habe hier schon viel mitgelesen und gelernt, nun brauche ich expliziten Input zu einem Projekt.
Zuhause ist eine Netzwerk-Struktur gewachsen welche 1. meine Anforderungen nicht ganz erfüllt und 2. zukünftig an ihre Grenzen stoßen wird.
Ich bin beruflich in anderen Bereichen unterwegs, daher fehlt mir ein bisschen der Einblick in die aktuellen Möglichkeiten die ich habe - ich habe aber einen Plan und bitte um Feedback/Verbesserungsvorschläge. Ich würde gerne grobe Denkfehler ausräumen bevor ich in die Hardware-Auswahl gehe.
Dass ich hier mit nem Budget >1000€ rechnen muss ist mir völlig bewusst.
Erstmal zum derzeitigem Aufbau: €dit: Anschluss ist ein Verbrauchervertrag: VF Kabel DOCSIS 3.1., 1000Mbit/50Mbit,Dual Stack mit öffentlicher dynamischer IPv4 und IPv6 Adresse.
Der Router steht im Arbeitszimmer, der Rest der Netzwerktechnik ist in einem Multimedia-Unterverteiler - ich habe von A nach B 2 CAT6e Kabel in der Wand.
Ich habe viele IoT/Hausautomatisierung-Geräte (denen ich großteils nicht vertraue), welche ich in dem Setup zwar das Internet blocke aber in meinem Netzwerk mit NAS und Co reicht mir das nicht. Desweiteren gibt es ein paar Geräte mit Cloud-Zwang (z.B. Saugrobbi) auf deren "smarte" Funktionen ich nicht verzichten möchte - daher nichtmal vom Internet blocken will.
1. Vorhaben: Alle nicht von mir 100% kontrollierbare Geräte in ein separates Netz/VLAN packen - lediglich meine VM zur Hausautomatisierung muss mit den Geräten kommunizieren und 2 brauchen zusätzlich noch Internet.
Meine WiFi Abdeckung ist mäßig durch ungünstigen (aber vorgegebenen) Standort der Fritte.
2. Vorhaben: Ich will von einem einzelnen Wifi-Router auf 2 APs gehen, am besten POE. (brauche ich für die WLAN-IoT-Geräte sowieso)
Mein NAS-Aufbau kann deutlich mehr als mein Switch (gemessen!) - da würde ich gerne den 2.5GbE NiC auch nutzen wenn er schon dran ist.
3. Vorhaben: Geschwindigkeit am Switch auf 2,5GbE erhöhen
Wenn mein Proxmox-Server abschmiert komme ich durch den fehlenden VPN entry nicht mehr in mein Netz. Den würde ich gerne auf ein Gerät umziehen wo ich nicht ständig dranrumspiele. Meine Fritzbox kann kein OpenVPN...
4. Vorhaben: OVPN Clienten auf Router umziehen. (Ein eigener PI nur dafür ist natürlich ne Alterntive, wäre so aber in meinen Augen hübscher)
Mein DOCSIS 3.0 Router kriegt die Datenrate zu Zeiten mit hoher Last nicht auf die Reihe.
5. Vorhaben: Auf DOCSIS 3.1 upgraden
Meine Vorstellung:
Konkrete Fragen dazu:
Gibt es Hardware-Lösungen wo man das openWRT und den Switch vereint? Oder ist das völliger Blödsinn?
Wer übernimmt in einem solchen Setup das routen zwischen den VLANs? Der Switch oder openWRT?
Kann ich VLANs über ein VPN routen oder benötige ich dann mehrere VPN instanzen? Hintergrund ist mein Android-Autoradio was ich nicht in mein Main-Netz hängen will (Android veraltet), was aber Fahrzeugdaten, Dashcam-Aufnahmen, etc. nach Hause schicken soll.
PS: Antworten wie "Bist du wahnsinnig? Das kriegst du privat nicht sauber gewartet!!! Lass das!" müsst ihr euch NICHT verkneifen - Aufwand der Einrichtung kann ich abschätzen, Wartung nicht wirklich.
Vielen Dank schonmal fürs Geschichte lesen
Richard
Ich habe hier schon viel mitgelesen und gelernt, nun brauche ich expliziten Input zu einem Projekt.
Zuhause ist eine Netzwerk-Struktur gewachsen welche 1. meine Anforderungen nicht ganz erfüllt und 2. zukünftig an ihre Grenzen stoßen wird.
Ich bin beruflich in anderen Bereichen unterwegs, daher fehlt mir ein bisschen der Einblick in die aktuellen Möglichkeiten die ich habe - ich habe aber einen Plan und bitte um Feedback/Verbesserungsvorschläge. Ich würde gerne grobe Denkfehler ausräumen bevor ich in die Hardware-Auswahl gehe.
Dass ich hier mit nem Budget >1000€ rechnen muss ist mir völlig bewusst.
Erstmal zum derzeitigem Aufbau: €dit: Anschluss ist ein Verbrauchervertrag: VF Kabel DOCSIS 3.1., 1000Mbit/50Mbit,Dual Stack mit öffentlicher dynamischer IPv4 und IPv6 Adresse.
Ich habe viele IoT/Hausautomatisierung-Geräte (denen ich großteils nicht vertraue), welche ich in dem Setup zwar das Internet blocke aber in meinem Netzwerk mit NAS und Co reicht mir das nicht. Desweiteren gibt es ein paar Geräte mit Cloud-Zwang (z.B. Saugrobbi) auf deren "smarte" Funktionen ich nicht verzichten möchte - daher nichtmal vom Internet blocken will.
1. Vorhaben: Alle nicht von mir 100% kontrollierbare Geräte in ein separates Netz/VLAN packen - lediglich meine VM zur Hausautomatisierung muss mit den Geräten kommunizieren und 2 brauchen zusätzlich noch Internet.
Meine WiFi Abdeckung ist mäßig durch ungünstigen (aber vorgegebenen) Standort der Fritte.
2. Vorhaben: Ich will von einem einzelnen Wifi-Router auf 2 APs gehen, am besten POE. (brauche ich für die WLAN-IoT-Geräte sowieso)
Mein NAS-Aufbau kann deutlich mehr als mein Switch (gemessen!) - da würde ich gerne den 2.5GbE NiC auch nutzen wenn er schon dran ist.
3. Vorhaben: Geschwindigkeit am Switch auf 2,5GbE erhöhen
Wenn mein Proxmox-Server abschmiert komme ich durch den fehlenden VPN entry nicht mehr in mein Netz. Den würde ich gerne auf ein Gerät umziehen wo ich nicht ständig dranrumspiele. Meine Fritzbox kann kein OpenVPN...
4. Vorhaben: OVPN Clienten auf Router umziehen. (Ein eigener PI nur dafür ist natürlich ne Alterntive, wäre so aber in meinen Augen hübscher)
Mein DOCSIS 3.0 Router kriegt die Datenrate zu Zeiten mit hoher Last nicht auf die Reihe.
5. Vorhaben: Auf DOCSIS 3.1 upgraden
Meine Vorstellung:
Konkrete Fragen dazu:
Gibt es Hardware-Lösungen wo man das openWRT und den Switch vereint? Oder ist das völliger Blödsinn?
Wer übernimmt in einem solchen Setup das routen zwischen den VLANs? Der Switch oder openWRT?
Kann ich VLANs über ein VPN routen oder benötige ich dann mehrere VPN instanzen? Hintergrund ist mein Android-Autoradio was ich nicht in mein Main-Netz hängen will (Android veraltet), was aber Fahrzeugdaten, Dashcam-Aufnahmen, etc. nach Hause schicken soll.
PS: Antworten wie "Bist du wahnsinnig? Das kriegst du privat nicht sauber gewartet!!! Lass das!" müsst ihr euch NICHT verkneifen - Aufwand der Einrichtung kann ich abschätzen, Wartung nicht wirklich.
Vielen Dank schonmal fürs Geschichte lesen
Richard
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 43282424473
Url: https://administrator.de/contentid/43282424473
Printed on: April 28, 2024 at 02:04 o'clock
3 Comments
Latest comment
Meine Fritzbox kann kein OpenVPN...
Dafür aber Wireguard oder IPsec. So oder so beides immer deutlich besser als das in die Jahre gekommene OpenVPN.Das ist auch generell ein sicherheitstechnischer Pferdefuss deiner alten Konfig. VPNs gehören immer auf die Peripherie. Wenn man schon OpenWRT oder einen VPN fähigen Router oder Firewall einsetzt gehört das VPN immer dort terminiert.
Dadurch das du einen externen vHost als VPN Jumphost betreibst kann man schliessen das du einen DS-Lite Anschluss mit CG-NAT ohne öffentliche IPv4 betreibst (geraten). Leider machst du dazu keinerlei hilfreiche Angaben in der ansonsten sehr guten Doku. 🤔
Den Jumphost kann man natürlich problemlos auch direkt mit der Fritzbox und IPsec oder Wireguard betreiben wie du HIER ja auch selber sehen kannst.
So ein Konzept ist besser und deutlich sicherer als Löcher in die Firewall zu bohren. Ganz besonders wenn man Hausautomatik und IoT betreibt!
Gibt es Hardware-Lösungen wo man das openWRT und den Switch vereint?
Ja, das gibt es natürlich indem du z.B. einen Mikrotik Router o.a. verwendest der das alles in einem vereint und was ein durchaus gängiges Konzept ist.Bedenken solltest du aber wenn der Router mal ausfällt steht dein gesamtes Netz. Ob das für dich tolerabel ist kannst natürlich nur DU selber beurteilen.
Zu deinen Fragen:
- Das VLAN Routing kann der Switch machen wenn du einen L3 fähigen Switch wie z.B. den alles in einem Mikrotik verwendest der den Router ja schon integriert hat. Siehe dazu auch HIER. Bei einem reinen Layer 2 Konzept mit einem reinen L2 VLAN Switch muss natürlich ein externer Router oder Firewall die VLANs routen. (Siehe u.a. auch HIER).
- Alle VLANs kannst du über ein einziges VPN routen, es sind keine mehrfachen Instanzen nötig was auch unsinnig wäre. (Siehe auch obige Jumphost Konfig wenn du einen DS-Lite Anschluss haben solltest (geraten)).
Einen technischen Fehler hat dein neues Konzept: Ein reines Modem kann man nicht mit einer Link Aggregation betreiben. Sowas ist bei reinen Modems technisch nicht möglich.
Vermutlich hast du aber hier nur den Begriff Modem und Router verwechselt was bei Laien leider oft vorkommt. Technisch besteht ein Unterschied zw. beiden Begriffen. Siehe dazu auch hier!
Ansonsten ist das alles in allem ein klassisches Standard Design für ein segmentiertes Heimnetz an dem es erstmal nichts auszusetzen gibt.
Hi Aqui,
danke für deine Infos. Meine 3 Fragen hast du damit vollumfänglich beantwortet.
Nein es ist kein DS-Lite, ich habe ne öffentliche IPv4 & IPv6 - halt nicht statisch. Den VPN Jumphost habe ich ja eigentlich genau wegen der Löcher in der Firewall eingerichtet - damit habe ich zuhause überhaupt gar nichts offen.
2. großer Vorteil ist, bei Problemen mit dem VF Anschluss hilft der Provider mir nur wenn deren Provider-Schei**-Gerät dran ist - meinem System ist das Umstecken bis auf die Verteilung des lokalen DNS völlig egal.
Der vServer ist mit nem Profi zusammen gehärtet worden und hat außer der OVPN Instanz nichts zu tun, selbst wenn man Zugriff auf den Server bekommt kommt dieser selbst nicht in mein Netzwerk rein. - €dit: Naja, das ist ne steile These... ich meine, dass Anfragen vom Server selbst nicht durchgeroutet werden, sondern nur die von den clients. Also kleine Angriffsfläche in meinen Augen - aber gut möglich dass das grausam überholt ist.
OpenVPN nutzt mein Arbeitgeber als Standard-Lösung - dass das einigermaßen überholt ist wie du sagst schockiert mich gerade
Cool, danke für das Stichwort!
danke für deine Infos. Meine 3 Fragen hast du damit vollumfänglich beantwortet.
Dafür aber Wireguard oder IPsec. So oder so beides deutlich besser als das in die Jahre gekommene OpenVPN.
Okay, das ist scheinbar an mir vorbeigegangen...Dadurch das du einen externen vHost als VPN Jumphost betreibst kann man schliessen das du einen DS-Lite Anschluss mit CG-NAT ohne öffentliche IPv4 betreibst (geraten). Leider machst du dazu keinerlei hilfreiche Angaben in der ansonsten sehr guten Doku. 🤔
Den Jumphost kann man natürlich problemlos auch direkt mit der Fritzbox und IPsec oder Wireguard betreiben wie du HIER ja auch selber sehen kannst.
So ein Konzept ist besser und deutlich sicherer als Löcher in die Firewall zu bohren. Ganz besonders wenn man Hausautomatik und IoT betreibt!
Den Jumphost kann man natürlich problemlos auch direkt mit der Fritzbox und IPsec oder Wireguard betreiben wie du HIER ja auch selber sehen kannst.
So ein Konzept ist besser und deutlich sicherer als Löcher in die Firewall zu bohren. Ganz besonders wenn man Hausautomatik und IoT betreibt!
Nein es ist kein DS-Lite, ich habe ne öffentliche IPv4 & IPv6 - halt nicht statisch. Den VPN Jumphost habe ich ja eigentlich genau wegen der Löcher in der Firewall eingerichtet - damit habe ich zuhause überhaupt gar nichts offen.
2. großer Vorteil ist, bei Problemen mit dem VF Anschluss hilft der Provider mir nur wenn deren Provider-Schei**-Gerät dran ist - meinem System ist das Umstecken bis auf die Verteilung des lokalen DNS völlig egal.
Der vServer ist mit nem Profi zusammen gehärtet worden und hat außer der OVPN Instanz nichts zu tun, selbst wenn man Zugriff auf den Server bekommt kommt dieser selbst nicht in mein Netzwerk rein. - €dit: Naja, das ist ne steile These... ich meine, dass Anfragen vom Server selbst nicht durchgeroutet werden, sondern nur die von den clients. Also kleine Angriffsfläche in meinen Augen - aber gut möglich dass das grausam überholt ist.
OpenVPN nutzt mein Arbeitgeber als Standard-Lösung - dass das einigermaßen überholt ist wie du sagst schockiert mich gerade
Gibt es Hardware-Lösungen wo man das openWRT und den Switch vereint?
Ja, das gibt es natürlich indem du z.B. einen Mikrotik Router o.a. verwendest der das alles in einem vereint und was ein durchaus gängiges Konzept ist.
Ich antworte mal separat auf deinen edit:
Da hast du völlig recht, da hab ich was beim aufzeichnen verbockt. Ein möglicher Kandidat für das Gerät ist ein Router mit Link Aggregation, der zweite Kandidat ein Modem - und ich hab beide miteinander vermischt.
Zitat von @aqui:
Einen technischen Fehler hat dein neues Konzept: Ein reines Modem kann man nicht mit einer Link Aggregation betreiben. Sowas ist bei reinen Modems technisch nicht möglich.
Vermutlich hast du aber hier nur den Begriff Modem und Router verwechselt was bei Laien leider oft vorkommt. Technisch besteht ein Unterschied zw. beiden Begriffen. Siehe dazu auch hier!
Einen technischen Fehler hat dein neues Konzept: Ein reines Modem kann man nicht mit einer Link Aggregation betreiben. Sowas ist bei reinen Modems technisch nicht möglich.
Vermutlich hast du aber hier nur den Begriff Modem und Router verwechselt was bei Laien leider oft vorkommt. Technisch besteht ein Unterschied zw. beiden Begriffen. Siehe dazu auch hier!
Da hast du völlig recht, da hab ich was beim aufzeichnen verbockt. Ein möglicher Kandidat für das Gerät ist ein Router mit Link Aggregation, der zweite Kandidat ein Modem - und ich hab beide miteinander vermischt.
1
