9
Von 6660 Cable auf ordentliche Struktur
Hallo,
ich setze mich seit kurzem immer mehr mit dem Thema Netzwerksicherheit / Netzwerkstrukturen auseinander und möchte in diesem Zuge etwas Ordnung und mehr Schutz in eigenen 4 Wänden haben.
Aktuell ist es so das alles bei uns in der Wohnung ganz gewöhnlich über eine FB 6660 cable (Dualstack) per DHCP läuft bzw. diese wegen Portmangel um einen PnP Switch erweitert wurde.. Dadurch das keine sensiblen Daten genutzt wurden war das soweit In Ordnung.
Nun ist es aber so das ab Herbst ich mich selbständig mache und man gerade dann sich erst so richtig mit dem Thema „Wie baue ich ein sicheres Netzwerk auf“ auseinander setzt.
So fangen wir mit meiner Theorie an….
Von der FB komme ich leider nicht weg - damit muss ich erstmal leben.
Dahinter dachte ich an einen Switch an dem ich mehrere VLAN einrichte - bin immer offen für Verbesserungen oder Sinn und Unsinn Strukturen
Switch Wohnzimmer:
VLAN1 - Admin
VLAN2 - TV , UHD Player und Konsole
VLAN3 - Sonos Port
VLAN4 - Access Point
Switch Büro:
VLAN5 - Arbeit-PC , NAS
VLAN6 - Privater Desktop PC, Freundin Laptop
Bei VLAN3 ( Sonos Port) muss per WiFi von Smartphone und Tablet per App erreichbar sein und Inet Zugang haben aber von den restlichen VLAN getrennt.
Es gibt sonst noch 2 WiFi Cam in der Wohnung auf die per HomeKit auch außer Haus zugegriffen werden soll.
Auf den NAS soll auch unterwegs nur mit dem Arbeitslaptop zugegriffen werden, ist da VPN die ideale Lösung?
Auf kurz oder lang ist Pi-Hole, BitWarden über ein Homelab das kommen soll.
Sind meine Wünsche und Ansprüche soweit realisierbar oder gibt es hier und da ein Problem?
Wäre eine Hardware Firewall angebracht oder sind manche Switches bereits so sicher einzurichten?
Und welche Hardware / Software kann man mir dafür empfehlen?
Als Programmierer versteh ich einiges nur bin ich in dem Aufbau von Netzwerken absolut grün hinter den Ohren.
Grüße
ich setze mich seit kurzem immer mehr mit dem Thema Netzwerksicherheit / Netzwerkstrukturen auseinander und möchte in diesem Zuge etwas Ordnung und mehr Schutz in eigenen 4 Wänden haben.
Aktuell ist es so das alles bei uns in der Wohnung ganz gewöhnlich über eine FB 6660 cable (Dualstack) per DHCP läuft bzw. diese wegen Portmangel um einen PnP Switch erweitert wurde.. Dadurch das keine sensiblen Daten genutzt wurden war das soweit In Ordnung.
Nun ist es aber so das ab Herbst ich mich selbständig mache und man gerade dann sich erst so richtig mit dem Thema „Wie baue ich ein sicheres Netzwerk auf“ auseinander setzt.
So fangen wir mit meiner Theorie an….
Von der FB komme ich leider nicht weg - damit muss ich erstmal leben.
Dahinter dachte ich an einen Switch an dem ich mehrere VLAN einrichte - bin immer offen für Verbesserungen oder Sinn und Unsinn Strukturen
Switch Wohnzimmer:
VLAN1 - Admin
VLAN2 - TV , UHD Player und Konsole
VLAN3 - Sonos Port
VLAN4 - Access Point
Switch Büro:
VLAN5 - Arbeit-PC , NAS
VLAN6 - Privater Desktop PC, Freundin Laptop
Bei VLAN3 ( Sonos Port) muss per WiFi von Smartphone und Tablet per App erreichbar sein und Inet Zugang haben aber von den restlichen VLAN getrennt.
Es gibt sonst noch 2 WiFi Cam in der Wohnung auf die per HomeKit auch außer Haus zugegriffen werden soll.
Auf den NAS soll auch unterwegs nur mit dem Arbeitslaptop zugegriffen werden, ist da VPN die ideale Lösung?
Auf kurz oder lang ist Pi-Hole, BitWarden über ein Homelab das kommen soll.
Sind meine Wünsche und Ansprüche soweit realisierbar oder gibt es hier und da ein Problem?
Wäre eine Hardware Firewall angebracht oder sind manche Switches bereits so sicher einzurichten?
Und welche Hardware / Software kann man mir dafür empfehlen?
Als Programmierer versteh ich einiges nur bin ich in dem Aufbau von Netzwerken absolut grün hinter den Ohren.
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 8061861145
Url: https://administrator.de/contentid/8061861145
Printed on: May 2, 2024 at 19:05 o'clock
9 Comments
Latest comment
Mit der FB, die du ja behalten willst, hast du ja schon eine vollwertige Firewall. Es reicht also ein Layer 3 Switch. Was du da nimmst ist völlig egal. Da du auch keinerlei technische Vorgaben zu Mindestanforderungen machst geschweige denn einen Budgetrahmen nennst ist eine zielführende Antwort schwer bis unmöglich. Weisst du als Programmierer auch selber. 
Generell ist dein Vorhaben zur Segmentierung richtig. Wie man das grundsätzlich angeht erklären dir diese Tutorials.
Layer 3 Switchdesign
Layer 3 Segmentierung mit Mikrotik Switches
Generell ist dein Vorhaben zur Segmentierung richtig. Wie man das grundsätzlich angeht erklären dir diese Tutorials.
Layer 3 Switchdesign
Layer 3 Segmentierung mit Mikrotik Switches
Hi,
dadurch das man zur FB kaum Alternativen hat wird sie erstmal bleiben. Falls Glasfaser irgendwann kommen sollte würde das Setup dann natürlich einen ordentlichen Router gespendet bekommen.
Preislich dachte ich da um die 1000€ wobei ich wegen 200€ hin oder her auch nicht rum mache.
Oh die Tutorial sind ja wirklich sehr gut und informativ geschrieben. Da hab ich für den Abend eine Beschäftigung
Bei den ganzen Marken ist mir auch Mikrotik positiv aufgefallen. Unify wirkt recht verspielt und bei Zyxel hat mir ihrem Nebula wohl auch keine großen Freunde. Wie steht um um TP Link? Die AP von denen scheinen mir sehr ordentlich zu sein wenn ich die Daten mir anschaue.
dadurch das man zur FB kaum Alternativen hat wird sie erstmal bleiben. Falls Glasfaser irgendwann kommen sollte würde das Setup dann natürlich einen ordentlichen Router gespendet bekommen.
Preislich dachte ich da um die 1000€ wobei ich wegen 200€ hin oder her auch nicht rum mache.
Oh die Tutorial sind ja wirklich sehr gut und informativ geschrieben. Da hab ich für den Abend eine Beschäftigung
Bei den ganzen Marken ist mir auch Mikrotik positiv aufgefallen. Unify wirkt recht verspielt und bei Zyxel hat mir ihrem Nebula wohl auch keine großen Freunde. Wie steht um um TP Link? Die AP von denen scheinen mir sehr ordentlich zu sein wenn ich die Daten mir anschaue.
Man kann die Fritzbox natürlich auch hinter einem anderen Router betreiben, so man das will. Eben als Routerkaskade, wobei dann die Fritzbox die Telefonie regelt. Und du kannst darüber dann noch gleich ein (sogar zwei) eigenes Netz für Gast-Internet betreiben.
Mit Mikrotik machst du da eher nix falsch.
Ich hab zwar auch einen EAP 245 von TP-Link und der arbeitret problemlos, ich nutze da nur VLAN nicht und kann daher nix drüber sagen.
Ich würd sagen, der Vorteil von Mikrotik ist auch die Community.
Mit Mikrotik machst du da eher nix falsch.
Ich hab zwar auch einen EAP 245 von TP-Link und der arbeitret problemlos, ich nutze da nur VLAN nicht und kann daher nix drüber sagen.
Ich würd sagen, der Vorteil von Mikrotik ist auch die Community.
Moin,
Da du Cable und glücklicherweise auch Dualstack hast und zu 99% bei Vodafone zu sein scheinst, kannst du dir die Vodafonestation geben lassen und als reine Bridge laufen lassen. Ich weiß nicht, ob das mit der Fritzbox mittlerweile auch geht. Alternativ könntest du dir das TC4400 bei Ebay ergattern.
Dahinter dann z.B. eine PFSense/Opensense auf einem APU / IPU und dahinter dann einen oder mehrere Switche die mit VLAN umgehen können. Die Fritzbox (wenns deine ist) dann als WLAN AP + SIP Client nutzen.
Damit hättest du keine Routerkaskade und ebenso ein sauberes managebares Netz mit den Optionen z.B. Multiwan usw. zu betreiben.
Grüße
Da du Cable und glücklicherweise auch Dualstack hast und zu 99% bei Vodafone zu sein scheinst, kannst du dir die Vodafonestation geben lassen und als reine Bridge laufen lassen. Ich weiß nicht, ob das mit der Fritzbox mittlerweile auch geht. Alternativ könntest du dir das TC4400 bei Ebay ergattern.
Dahinter dann z.B. eine PFSense/Opensense auf einem APU / IPU und dahinter dann einen oder mehrere Switche die mit VLAN umgehen können. Die Fritzbox (wenns deine ist) dann als WLAN AP + SIP Client nutzen.
Damit hättest du keine Routerkaskade und ebenso ein sauberes managebares Netz mit den Optionen z.B. Multiwan usw. zu betreiben.
Grüße
1
Ehrlich gesagt wer ich froh wenn ich die FB los bin, aber gerade übers Kabel ist das echt ein Thema.
Bridge Mode geht nicht, vor allem nicht wenn man sich die FB selbst gekauft hat.Dann müsste man schon wie gesagt von VF ein Gerät schicken lassen und so einrichten.
Das TC-4400 wird so teuer gehandelt das ich für diese alte Gerät nicht einsehe so viel auszugeben.
In Aussicht das Glasfaser in 1/1,5 Jahren installiert ist wäre daher zunächst die Lösung mit den beiden Switch eine Idee und dann wenn der Tag X kommen wird die Erweiterung mit Opensense die Idee.
Welche MT L3 Switches kann man denn empfehlen? Oder wäre Cisco auch eine Alternative ?
Bridge Mode geht nicht, vor allem nicht wenn man sich die FB selbst gekauft hat.Dann müsste man schon wie gesagt von VF ein Gerät schicken lassen und so einrichten.
Das TC-4400 wird so teuer gehandelt das ich für diese alte Gerät nicht einsehe so viel auszugeben.
In Aussicht das Glasfaser in 1/1,5 Jahren installiert ist wäre daher zunächst die Lösung mit den beiden Switch eine Idee und dann wenn der Tag X kommen wird die Erweiterung mit Opensense die Idee.
Welche MT L3 Switches kann man denn empfehlen? Oder wäre Cisco auch eine Alternative ?
Wieder machst du keinerlei sinnvolle Angaben zur Ausstattung der Switches! 
Wie soll man dir also eine zielführende und helfende Antwort auf deine Frage geben? 🤔
Alle MT Router die RouterOS in der Firmware supporten sind die für dich in Frage kommenden Modelle, denn diese supporten IP Forwarding (Routing).
https://mikrotik.com/products
Du kannst hier in der Switch und Router Produkpalette dir das für dich Passende aussuchen bzgl. Portanzahl und Ausstattung.
Bei Cisco sind es im SoHo Bereich alle Modelle der CBS250er oder CBS350er Modellreihe
https://www.cisco.com/c/en/us/products/switches/business-250-series-smar ...
Wie soll man dir also eine zielführende und helfende Antwort auf deine Frage geben? 🤔
Alle MT Router die RouterOS in der Firmware supporten sind die für dich in Frage kommenden Modelle, denn diese supporten IP Forwarding (Routing).
https://mikrotik.com/products
Du kannst hier in der Switch und Router Produkpalette dir das für dich Passende aussuchen bzgl. Portanzahl und Ausstattung.
Bei Cisco sind es im SoHo Bereich alle Modelle der CBS250er oder CBS350er Modellreihe
https://www.cisco.com/c/en/us/products/switches/business-250-series-smar ...
Oh sorry….
also der Switch im Wohnzimmer an dem auch die FB ins Netz geht sollte zum Wohle des Hausfriedens möglichst leise oder lüfterlos sein mit mind. 8 Port von denen min. 1 (besser währen 2) POE hat für die AP. Ob für die Switch zu Switch Verbindung eine SFP mit 2.5 oder mehr zu empfehlen ist kann ich so nicht sagen.
Bei dem Switch im Büro darf es gerne 16 Port+ sein mit mind.. 2 SFP+ für die NAS, mind. 2 POE Port und vom Geräuschpegel auch alles im Rahmen.
Da man mir Eingangs ein L3 Switch genannt hat müsste ich bei Cisco eher in der CBS350er Serie schauen oder?
Würde bei MT der CRS112-8P-4S-IN und CRS326-24G-2S+RM für meinen Fall passen?
also der Switch im Wohnzimmer an dem auch die FB ins Netz geht sollte zum Wohle des Hausfriedens möglichst leise oder lüfterlos sein mit mind. 8 Port von denen min. 1 (besser währen 2) POE hat für die AP. Ob für die Switch zu Switch Verbindung eine SFP mit 2.5 oder mehr zu empfehlen ist kann ich so nicht sagen.
Bei dem Switch im Büro darf es gerne 16 Port+ sein mit mind.. 2 SFP+ für die NAS, mind. 2 POE Port und vom Geräuschpegel auch alles im Rahmen.
Da man mir Eingangs ein L3 Switch genannt hat müsste ich bei Cisco eher in der CBS350er Serie schauen oder?
Würde bei MT der CRS112-8P-4S-IN und CRS326-24G-2S+RM für meinen Fall passen?
Dann hast du ja alle Daten um einmal in die Datenblätter deiner bevorzugten Systeme zu sehen und zu vergleichen. 😉
Guten Morgen!
Jetzt wurde sehr viel gelesen und hoffentlich auch verstanden was VLAN angeht
Ich habe mich jetzt mal einen CRS-112 und CRS-326 bestellt. Wenn die da sind und ich nicht gut durch das Tutorial komme wende ich mich nochmal an euch hier.
Jetzt wurde sehr viel gelesen und hoffentlich auch verstanden was VLAN angeht
Ich habe mich jetzt mal einen CRS-112 und CRS-326 bestellt. Wenn die da sind und ich nicht gut durch das Tutorial komme wende ich mich nochmal an euch hier.
1
