Routingkonzept für neue "infrastruktur"

teqqy

teqqy

Enthusiast
Thread Starter
Mitglied seit
30.07.2012
Beiträge
1.166
Ort
Rheinhessen
Hallo zusammen,

ich zerbreche mir die Tage über ein Konzept den Kopf bei dem nicht nicht so genau weiß, wie ich es realisieren soll, weil es ein weichen Übergang geben muss.

Folgende Ausgangssituation:

Doppelhaus mit uns (meiner Freundin und mir) und ihren Eltern. Internetanschluss wird sich geteilt.

- Internet über Kabel Deutschland mit Fritzbox 6390 (IP: 192.168.0.1)
- HP N54L mit Windows 2012 Server und Exchange 2013 (IP: 192.168.0.10) [produktiv]

Jetzt habe ich vorletzte Woche ein neuen Server zusammengestellt und gebaut. Dort ist mittels ESXi das hier allbewehrte All-in-one Konzept realisiert.
IP des ESXi ist derzeit 192.168.0.5

Im Prinzip soll es in Zukunft zwei Netze geben. Einmal ein 192.168.0.x für das elterliche Netzwerk mit WLAN.
Für uns soll es ein weiteres geben mit getrenntem WLAN (dafür werden noch extra Access Points angeschafft).

Ich möchte auf dem ESXi eine Sophos UTM zwecks Firewall und VPN Einwahl installieren. Diese müsste ja dann mit einem Bein an die Fritzbox und mit dem anderen Bein ins neue Netz (sagen wir mal 192.168.5.x). Dann müsste ich auch den ESXi umziehen ins neue Netz.

Mein Problem bei der Sache ist, dass ich noch kein Client ins 192.168.5.x Netz hängen kann, weil die Verkabelung erst im Februar stattfinden wird. Dann werden auch die APs verkabelt (stationäre Geräte werden per LAN angeschlossen). Die Installation möchte ich allerdings schon jetzt machen um den N54L abzulösen.

Daher meine Frage wie ich das mit dem Routing einrichten müsste, damit ich als 192.168.0.x Client auf den ESXi und die dann darauf liegenden VMs (RDP) zugreifen kann.

Würde mich über Hilfe freuen. :)
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Keep it stupid simple.

Wozu so ein komplexes Gebilde? Hast du hochsensible Daten oder geht es nur darum das ihre Eltern nicht auf deine Dateien zugreifen können?
 
Schmeiße mal vlan in den Raum. Aber der Sinn erschließt sich mir auch nicht.
Du kannst ihre Eltern ja einfach ins gästenetz packen oder ne eigene ssid vergeben
 
Traue nie den Schwiegereltern in spe :)
 
Es geht mir auch um die Sachen die ich "aus bequemlichkeit" direkt publiziere, wie z. B. DLNA etc. Diese Geschichten müssen nicht im kompletten Netzwerk verfügbar sein.

Tendenziell habt ihr recht, dass es natürlich nicht unbedingt notwendig ist, aber dennoch hätte ich gerne eine logische Trennung der Netzwerke. VLANs kann ich z. B. nicht über die Fritzbox realisieren, fällt damit dann raus. Zudem wäre es dann später ein erhöhter Konfigurationsaufwand bei APs oder anderen Geräten. Zudem sind ist das andere Netz mit WLAN und stationären Geräten ausgestattet. Daher reicht eine 2. SSID nicht aus.
 
Die sauberste Lösung wäre natürlich ein Switch mit VLAN-Funktionalität. Das Modem käme ans WAN-Interface des Gateways (von dem ich mal annehme dass das die Sophos UTM sein soll, sonst wäre das als Firewall ja ungeeignet) und zwei VLANs als LAN-Interfaces, dann hast du deine zwei getrennten Netze; mit einem Layer-3-Switch könnte man den Traffic zwischen den Netzen auch ohne den Umweg übers Gateway routen. Auf Basis von DD-WRT oder OpenWrt gäbe es auch VLAN-fähige WLAN-APs mit denen man auf einem Gerät mehrere SSIDs einsetzen kann, die jeweils einem bestimmten VLAN zugeordnet werden können.

Wenn das Modem nur vors Gateway geschaltet wird braucht es auch nicht mit VLANs umgehen zu können. Statische Routen für die dahinterliegenden Netze muss man dann natürlich konfigurieren, damit das Modem weiß über welches Gateway die zu erreichen sind.
 
ko schrieb:
Die sauberste Lösung wäre natürlich ein Switch mit VLAN-Funktionalität. Das Modem käme ans WAN-Interface des Gateways (von dem ich mal annehme dass das die Sophos UTM sein soll, sonst wäre das als Firewall ja ungeeignet) und zwei VLANs als LAN-Interfaces, dann hast du deine zwei getrennten Netze; mit einem Layer-3-Switch könnte man den Traffic zwischen den Netzen auch ohne den Umweg übers Gateway routen. Auf Basis von DD-WRT oder OpenWrt gäbe es auch VLAN-fähige WLAN-APs mit denen man auf einem Gerät mehrere SSIDs einsetzen kann, die jeweils einem bestimmten VLAN zugeordnet werden können.

Wenn das Modem nur vors Gateway geschaltet wird braucht es auch nicht mit VLANs umgehen zu können. Statische Routen für die dahinterliegenden Netze muss man dann natürlich konfigurieren, damit das Modem weiß über welches Gateway die zu erreichen sind.
Zum Vergrößern anklicken....
Das ist die richtige Lösung. :)
 
Okay, die Idee klingt ganz Charmant. Zumal ich eh noch ein Switch kaufen müsste und könnte dann auf entsprechende Funktionalität achten.

Jemand eine Empfehlung wie man es ohne VLAN lösen könnte? Als Alternativvorschlag.
 
Naja mit nem Router der 2 getrennte Netzwerke aufspannen kann. Aber da ist der Layer3 switch schon sie beste Variante. Oder eben 2 inet Anschlüsse ;)
 
teqqy schrieb:
Jemand eine Empfehlung wie man es ohne VLAN lösen könnte? Als Alternativvorschlag.
Zum Vergrößern anklicken....
Wie viele Netzwerkkarten besitzt der ESXi-Host? Wenn es mindestens drei sind, kann man das so lösen:
  • NIC0: WAN, dort die Fritzbox anschließen und intern nur die Sophos-VM
  • NIC1: Subnetz 192.168.5.x, dort einen Switch ran (an den die WLAN APs für euer WLAN) und intern sowohl die Verwaltungskonsole als auch die Sophos-VM und die virtuellen Maschinen an den virtuellen Switch
  • NIC2: Subnetz 192.168.0.x, dort einen Switch ran (an den den/die WLAN-AP/s für das Eltern-WLAN) und intern die Sophos-VM und mit jeweils einer zweiten virtuellen Netzwerkkarte die virtuellen Maschinen, auf die aus dem Netzwerk zugegriffen werden soll. Wenn auf den virtuellen Maschinen kein Routing aktiviert ist, kann man über die nicht vom einen ins andere Subnetz kommen.
 
Eye-Q schrieb:
Wie viele Netzwerkkarten besitzt der ESXi-Host? Wenn es mindestens drei sind, kann man das so lösen:
  • NIC0: WAN, dort die Fritzbox anschließen und intern nur die Sophos-VM
  • NIC1: Subnetz 192.168.5.x, dort einen Switch ran (an den die WLAN APs für euer WLAN) und intern sowohl die Verwaltungskonsole als auch die Sophos-VM und die virtuellen Maschinen an den virtuellen Switch
  • NIC2: Subnetz 192.168.0.x, dort einen Switch ran (an den den/die WLAN-AP/s für das Eltern-WLAN) und intern die Sophos-VM und mit jeweils einer zweiten virtuellen Netzwerkkarte die virtuellen Maschinen, auf die aus dem Netzwerk zugegriffen werden soll. Wenn auf den virtuellen Maschinen kein Routing aktiviert ist, kann man über die nicht vom einen ins andere Subnetz kommen.
Zum Vergrößern anklicken....
Check, einfach jedes Netz auf ein Interface und jeweils ein 0815-Switch dran - fertig.

Wenn dein ESXI nur 2 Interfaces hat, kannst du auch 2 Netze auf einem Interface/VLAN betreiben (über additional addresses), eins davon halt dann mit statischen IPs.
Hässliche Lösung aber für den Übergang evtl. praktikabel...
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.

Ähnliche Themen

J
OpenVPN Client auf Debian: Network is unreachable bei Verbindungsaufbau
Antworten
0
Aufrufe
452
justinh999
J
G
[User-Review] Grandstream Access Points - bye bye Mikrotik
Antworten
25
Aufrufe
2K
Speeddeamon
Speeddeamon
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh