1
German - Deutsch / Re: Rückfragen Netzwerkplanung
« on: April 24, 2022, 09:09:39 pm »
Hi zusammen,
vielen Dank schonmal für eure Anmerkungen und Tipps. Ich versuche einmal strukturiert darauf einzugehen.
@meyergru, @trixter:
Ich habe mich in der Vergangenheit bereits etwas intensiver mit dem Thema VPN beschäftigt. Bevor ich die Netzwerke neu einrichte möchte ich (gem. JeGr's Rat) das Thema schonmal grob durchgehen, damit ich auf dem Weg nicht auf unerwartete Probleme stoße.
Der Tipp auf WireGuard zu setzen entspricht auch meinem bisherigen Bauchgefühl welche VPN-Lösung ich einsetzen möchte. Ich frage mich allerdings ob die Lösung via DynDNS der richtige Weg ist. Hintergrund: Neben Site-To-Site plane ich auch ein User-VPN.
Bei WireGuard habe ich diesbezüglich das Problem gehabt, dass der Host nur zum Zeitpunkt des Tunnelaufbaus aufgelöst wird. Habe ich nun bspw. von einem mobilen Endgerät aus das VPN aufgebaut und die lokale WAN-Adresse ändert sich, führt dies zu einem Abbruch im Tunnel (trotz DynDNS), welcher erst durch einen neuen manuellen Verbindungsaufbau behoben werden kann.
Ein wenig Internetrecherche hat mir ein paar Hinweise erbracht, dass ich dieses Problem ggf. mittels eines VPS-Servers mit eigener IP umgehen könnte. Sofern ich das verstehe würden Geräte sich in dem Fall immer mit dem VPS-Server verbinden (welcher als WireGuard-Server dient) und die Sites wären als VPN-Clients angebunden.
Ich bin hier mit der Recherche noch ziemlich am Anfang und weiß auch nicht, ob dies der optimale Weg für mein Setup wäre oder es nicht vielleicht doch alternative Möglichkeiten gibt das Thema mit den dynamischen IP's in Verbindung mit einer möglichst robusten Leitung anzugehen.
@JeGr:
Erst einmal vielen Dank dafür, dass du dir die Zeit für eine so ausführliche Antwort genommen hast. Die Ausführungen zu den IP-Ranges haben mich jetzt schon sehr viel weiter gebracht. Tatsächlich sind die Sites aktuell wirklich so konfiguriert wie du es grade nicht empfiehlst... ^^
Um auf die Fragen zu antworten:
>Sind die IP Ranges bei den Eltern da schon in Betrieb schon fix? Oder kann/wird das alles noch umgestellt?
Ich plane die Netzwerke und eingebundenen Geräte komplett neu zu konfigurieren, u.a. um auch einige Fehler aus der Vergangenheit direkt zu fixen. Dementsprechend können auch die IP-Ranges komplett umgestellt werden.
>OK aber ist das Netz der Eltern wie gesagt schon fix? Sind da IP Ranges schon vergeben? Welche? Kann das ggf. neu geplant werden?
Die IP-Ranges können neu geplant werden. Zum aktuellen Netzaufbau beider Sites werde ich die kommenden Tage noch einen Netzwerkplan erstellen und hier zur Verfügung stellen.
Deine Hinweise zu einem möglichen Netzaufbau werde ich die kommenden Tage auch einmal in einen Netzwerkplan gießen, um das ganze einmal zu visualisieren.
Eine Frage aus deinen Ausführungen hat sich für mich ergeben:
Inzwischen hat sich mir auch noch eine 2. allgemeine Frage ergeben. Gibt es Best Practices in welches Netz ich das NAS hänge? Aktuell hängt sie mit einem Port im LAN und einem weiteren Port im MGMT (für Pi-Hole).
Ciao
vielen Dank schonmal für eure Anmerkungen und Tipps. Ich versuche einmal strukturiert darauf einzugehen.
@meyergru, @trixter:
Ich habe mich in der Vergangenheit bereits etwas intensiver mit dem Thema VPN beschäftigt. Bevor ich die Netzwerke neu einrichte möchte ich (gem. JeGr's Rat) das Thema schonmal grob durchgehen, damit ich auf dem Weg nicht auf unerwartete Probleme stoße.
Der Tipp auf WireGuard zu setzen entspricht auch meinem bisherigen Bauchgefühl welche VPN-Lösung ich einsetzen möchte. Ich frage mich allerdings ob die Lösung via DynDNS der richtige Weg ist. Hintergrund: Neben Site-To-Site plane ich auch ein User-VPN.
Bei WireGuard habe ich diesbezüglich das Problem gehabt, dass der Host nur zum Zeitpunkt des Tunnelaufbaus aufgelöst wird. Habe ich nun bspw. von einem mobilen Endgerät aus das VPN aufgebaut und die lokale WAN-Adresse ändert sich, führt dies zu einem Abbruch im Tunnel (trotz DynDNS), welcher erst durch einen neuen manuellen Verbindungsaufbau behoben werden kann.
Ein wenig Internetrecherche hat mir ein paar Hinweise erbracht, dass ich dieses Problem ggf. mittels eines VPS-Servers mit eigener IP umgehen könnte. Sofern ich das verstehe würden Geräte sich in dem Fall immer mit dem VPS-Server verbinden (welcher als WireGuard-Server dient) und die Sites wären als VPN-Clients angebunden.
Ich bin hier mit der Recherche noch ziemlich am Anfang und weiß auch nicht, ob dies der optimale Weg für mein Setup wäre oder es nicht vielleicht doch alternative Möglichkeiten gibt das Thema mit den dynamischen IP's in Verbindung mit einer möglichst robusten Leitung anzugehen.
@JeGr:
Erst einmal vielen Dank dafür, dass du dir die Zeit für eine so ausführliche Antwort genommen hast. Die Ausführungen zu den IP-Ranges haben mich jetzt schon sehr viel weiter gebracht. Tatsächlich sind die Sites aktuell wirklich so konfiguriert wie du es grade nicht empfiehlst... ^^
Um auf die Fragen zu antworten:
>Sind die IP Ranges bei den Eltern da schon in Betrieb schon fix? Oder kann/wird das alles noch umgestellt?
Ich plane die Netzwerke und eingebundenen Geräte komplett neu zu konfigurieren, u.a. um auch einige Fehler aus der Vergangenheit direkt zu fixen. Dementsprechend können auch die IP-Ranges komplett umgestellt werden.
>OK aber ist das Netz der Eltern wie gesagt schon fix? Sind da IP Ranges schon vergeben? Welche? Kann das ggf. neu geplant werden?
Die IP-Ranges können neu geplant werden. Zum aktuellen Netzaufbau beider Sites werde ich die kommenden Tage noch einen Netzwerkplan erstellen und hier zur Verfügung stellen.
Deine Hinweise zu einem möglichen Netzaufbau werde ich die kommenden Tage auch einmal in einen Netzwerkplan gießen, um das ganze einmal zu visualisieren.
Eine Frage aus deinen Ausführungen hat sich für mich ergeben:
Quote
VPN Einwahl: 172.21.15.0/24 (ganzes Netz reservieren, aber ggf. nur ein /26 oder so konfigurieren, damit Platz für Multiple VPNs)Hier habe ich ich noch eine Wissenslücke was CIDR angeht. Angenommen ich definiere '172.21.15.0/26' für ein VPN und möchte dann noch ein weiteres VPN in dem 24er Netz einrichten. Wie würde ich dann bspw. eine weitere Sub-Range zwischen 172.21.15.63 und 172.21.15.254 definieren?
Inzwischen hat sich mir auch noch eine 2. allgemeine Frage ergeben. Gibt es Best Practices in welches Netz ich das NAS hänge? Aktuell hängt sie mit einem Port im LAN und einem weiteren Port im MGMT (für Pi-Hole).
Ciao