Beratung für Netzwerk-Zonen-Konzept im Heim Netz erwünscht

K

KlimperHannes

Neuling
Thread Starter
Mitglied seit
25.12.2014
Beiträge
77
Hallo,

ich habe eine Fritz Box, mehrere Wi-Fi und LAN Clients, eine Synology und einen ESXi Host mit mehren VMs im Einsatz.
Zwei der VMs unterscheiden sich jeweils von allen anderen Geräten in meinem Netzwerk:
Zum einen gibt es eine VM mit owncloud, welche via NAT Port-Forwarding aus dem Internet erreicht werden kann.
Auf der anderen besonderen VM ist meine Heimautomatisierungs-Software installiert, die bestmöglich geschützt werden soll. Zugriff von aussen soll definitiv nur via VPN möglich sein.
Macht es Sinn, mit verschiedenen VLANs zu arbeiten? Eventuell auch das Wi-Fi von LAN zu trennen, so dass ein geknacktes Wi-Fi noch keinen Zugriff auf den Heimautomat. Server ermöglicht...?
Habt ihr da Ideen, Vorschläge?
Vielen Dank
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Würde darüber nachdenken verschiedene Zonen einzurichten, eine DMZ für die Server die auch von aussen erreichbar sein müssen. KA ob eine Fritzbox das kann.
Diese Server mit enem VLAN abkapseln. würde ich nicht unbedingt, auf deinem Router muss ja dann eh ein Trunkport anliegen wo du wieder überall hinkommst.
Dann gibts es halt noch normale praktiken um etwas sicherheit zu gewinnen, z.B. nicht die Standardports verwenden, VPN Login mit Zertifikat absichern etc.
 
Es ist durchaus empfehlenswert, Hosts mit unterschiedlichen Sicherheitsanforderungen in getrennten LAN-Abschnitten unterzubringen. Vor allem aus dem Internet erreichbare Hosts sollten nicht im gleichen LAN wie interne Hosts stehen.

Mit einem VLAN-fähigen Switch lässt sich das bei Dir auch ohne weitere Hardware-Investitionen mittels einer Router-/Firewall-VM auf dem ESXi lösen. Mit der kannst Du dann granular per Host/Port Zugriff zwischen den einzelnen Netzabschnitten konfigurieren. Dazu am besten mal diesen Artikel auf Heise durchlesen: VLAN: Virtuelles LAN | heise Netze

Ein "Problem" stellt eventuell die Fritzbox dar, falls Dienste der FB von den internen Clients genutzt werden sollen (z.B. DHCP, DNS-Relay, Media Server, etc.). Die FB unterstützt nämlich üblicherweise kein Port-Forwarding auf IP-Adressen ausserhalb des eigenen LAN-Abschnitts, der in diesem Szenario ja von den Internet-Hosts getrennt sein soll. Leider tut sie das selbst dann nicht, wenn man eine statische Route zum Fremdnetz in der FB einrichtet. Umgehen lässt sich das Problem allerdings dadurch, dass das Port-Forwarding auf der Fritzbox an die Router-/Firewall-Adresse im FB-LAN geht, und die Router-/Firewall-VM ein weiteres Port-Forwarding auf den Zielhost durchführt. Nicht schön, klappt aber.

Die optimale Netz-Topologie hängt schlussendlich von Deinen individuellen Anforderungen ab, sprich welche Clients auf welche Dienste zugreifen können sollen. Als "best practice" würde ich mal mit getrennten LAN-Abschnitten für Internet-Hosts (Owncloud), WLAN-Clients und interne Clients (Synology, Desktops, Home-Automation-VM, etc.) anfangen, jeweils verbunden über die Router-/Firewall-VM. Den VPN-Zugang auf die Home-Automation-VM könntest Du auf der Router-/Firewall-VM terminieren. Ein separates Management-VLAN zur Administrierung der Internet-Hosts könnte man ebenfalls andenken, wäre aber eher die Kür.
 
Danke für die Hinweise und Tipps bezüglich VLANs und DMZ.
Dass die FritzBox Probleme mit Forwarding in "fremde" Subnetze hat, war mir gar nicht bewusst.
Ich werde die Hinweise und den Link mal sondieren und mal ein Konzept ausarbeiten. Dann würde ich nochmal zum "Absegnen" vorbeischauen :)
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh