Show Posts
1
German - Deutsch / Starthilfe bei Netzwerk-Segmentierung
« on: February 06, 2022, 03:57:09 pm »
Hallo zusammen,
ich bin Neuling in Netzwerkthemen und lese mich langsam Stück für Stück ein.
Mein Ziel ist es, dass eine Opnsense-Firewall meinen ISP-Router erstmal ablöst und ich nach und nach weitere Features nachrüsten kann (Adblock, VPN, NAS-Zugriff von unterwegs, usw.)
Aber ersteinmal stehe ich am Anfang.
Als Hardware habe ich:
Ich habe folgende Endgeräte-Gruppen:
In Summe habe ich ca. 20 Endgeräte.
Internetanschluss hat 1000Mbps down/400Mbps up.
So sieht mein Netzwerk aus bzw. so würde ich es gerne aussehen lassen.
VLAN100 auf WAN ist für den Internetzugriff schon gesetzt.
Zu meinem Problem: Wie würde eine sinnvolle Segmentierung/Gruppierung/Aufteilung aussehen? (Welcher Begriff passt hier?)
1. Konzept: Ich arbeite mit VLANs.
1.1 Ich fasse die Ports em1, em0, em4 mit LAG zusammen. Von Bridging wird ja allgemein abgeraten und soll wohl mit VLANs nicht so gut funktionieren wie LAG.
1.2. Ich erstelle 4 unterschiedliche VLANs für die Gruppen (200,300,400,500) und weise sie dem gebündeltem Port zu.
1.3. Rechtezuweisung in der Firewall über die VLANs.
+ sauber aufgeteiltes Netz und Sicherheit, wenig Betreuung
- eher schlechte inter-VLAN-Performance
2. Konzept: Ich arbeite mit Aliases.
2.1 Ich fasse die Ports em1, em0, em4 mit Bridging zusammen.
2.2. Ich erstelle Alias-Gruppen und trage dort die einzelnen Clients (Hosts) ein
2.3 Rechtezuweisung in der Firewall über die Alias-Usergruppen
+ übersichtlich und sehr einfach aufgebaut
- viel manuelle Arbeit, keine automatischen Gäste
3. Konzept: Ich arbeite mit Radius.
Schritte wie bei 2. Aliases, aber User-/Rechte-Management über (Free-)Radius.
Ich muss ich mich noch tiefer einlesen.
+ übersichtlich und sehr einfach aufgebaut?
- viel manuelle Arbeit?
Wenn ich mich richtig eingelesen habe, dann dürften alle Konzepte irgendwie funktionieren, aber was wäre denn in Sachen Performance und Sicherheit der „beste“ Ansatz?
Ich habe kein Problem das Netzwerk später über den Haufen zu werfen oder zu erweitern, aber ich bräuchte doch gerne einen kleinen Schubser für den Anfang.
Ich danke euch schonmal!
ich bin Neuling in Netzwerkthemen und lese mich langsam Stück für Stück ein.
Mein Ziel ist es, dass eine Opnsense-Firewall meinen ISP-Router erstmal ablöst und ich nach und nach weitere Features nachrüsten kann (Adblock, VPN, NAS-Zugriff von unterwegs, usw.)
Aber ersteinmal stehe ich am Anfang.
Als Hardware habe ich:
- Einen Intel-i5 SFF-Rechner als Opnsense-Hardware mit Intel-NICs (in Summe 5 Ports). Hier recycle ich einfach einen alten PC…
- Einen Netgear R7800-Router mit Openwrt, der hier als WLAN-Access-Point dienen soll. Gewählt habe ich ihn, weil er schon da ist und sein WLAN sehr gut ist. Er kann aber nur eine SSID für alle WLAN-Geräte bzw. wären mehrere SSID wegen der Bandbreitenreduzierung nicht optimal.
Ich habe folgende Endgeräte-Gruppen:
- Blau: User, die ins Internet dürfen und Zugriff auf grüne Geräte haben.
- Grün: Geräte, die mit Usern kommunizieren dürfen, aber sonst nix dürfen (->kein Internet).
- Rot: TVbox des ISP, der ins Netz darf und mit Usern kommunizieren darf für Chromecast.
- Gelb: Gäste, die ins Internet dürfen, aber im lokalen Netz nix dürfen. Jeder Neuling im lokalen Netz ist automatisch ein Gast.
- Grau: Admin ist mein PC, der nur zur Einrichtung/Wartung direkt an der Firewall hängt. Der Port ist ansonsten nicht belegt und mein PC ist ansonsten ein User über WLAN.
In Summe habe ich ca. 20 Endgeräte.
Internetanschluss hat 1000Mbps down/400Mbps up.
So sieht mein Netzwerk aus bzw. so würde ich es gerne aussehen lassen.
VLAN100 auf WAN ist für den Internetzugriff schon gesetzt.
Zu meinem Problem: Wie würde eine sinnvolle Segmentierung/Gruppierung/Aufteilung aussehen? (Welcher Begriff passt hier?)
1. Konzept: Ich arbeite mit VLANs.
1.1 Ich fasse die Ports em1, em0, em4 mit LAG zusammen. Von Bridging wird ja allgemein abgeraten und soll wohl mit VLANs nicht so gut funktionieren wie LAG.
1.2. Ich erstelle 4 unterschiedliche VLANs für die Gruppen (200,300,400,500) und weise sie dem gebündeltem Port zu.
1.3. Rechtezuweisung in der Firewall über die VLANs.
+ sauber aufgeteiltes Netz und Sicherheit, wenig Betreuung
- eher schlechte inter-VLAN-Performance
2. Konzept: Ich arbeite mit Aliases.
2.1 Ich fasse die Ports em1, em0, em4 mit Bridging zusammen.
2.2. Ich erstelle Alias-Gruppen und trage dort die einzelnen Clients (Hosts) ein
2.3 Rechtezuweisung in der Firewall über die Alias-Usergruppen
+ übersichtlich und sehr einfach aufgebaut
- viel manuelle Arbeit, keine automatischen Gäste
3. Konzept: Ich arbeite mit Radius.
Schritte wie bei 2. Aliases, aber User-/Rechte-Management über (Free-)Radius.
Ich muss ich mich noch tiefer einlesen.
+ übersichtlich und sehr einfach aufgebaut?
- viel manuelle Arbeit?
Wenn ich mich richtig eingelesen habe, dann dürften alle Konzepte irgendwie funktionieren, aber was wäre denn in Sachen Performance und Sicherheit der „beste“ Ansatz?
Ich habe kein Problem das Netzwerk später über den Haufen zu werfen oder zu erweitern, aber ich bräuchte doch gerne einen kleinen Schubser für den Anfang.
Ich danke euch schonmal!