Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Einsteiger Netzwerk fragen
« previous
next »
Print
Pages: [
1
]
Author
Topic: Einsteiger Netzwerk fragen (Read 2412 times)
donoli
Newbie
Posts: 13
Karma: 0
Einsteiger Netzwerk fragen
«
on:
July 24, 2020, 10:34:15 am »
Hallo zusammen
Ich bin einerseits neu hier, wie auch in der Netzwerk/Firewall Welt. Ich bin in meinem sonstigen Leben Dev/Programmierer, aus dieser Sicht, musste ich mich bis jetzt nicht grossartig mit Netzwerken beschäftigen, die liefen einfach, dank den lieben Sysadmin's..
Nun hat mich das Thema jedoch doch mal gepackt und schon stehe ich durch mein Unwissen an.
Ich habe mir Zuhause ein kleines HomeLab aufgebaut. Dieses soll natürlich einerseits funktionell aber auch sicher sein. Dafür habe ich mich für die OPNsense entschieden und diese wurde auch installiert. Mein Netzwerk habe ich jetzt auch schon einmal rudimentär aufgebaut.
Nun zu meinen Fragen, welche euch wahrscheinlich hoffentlich einfach fallen und mir hoffentlich weiter Helfen.
Was ich habe: (sieht mal auch in der beiliegenden Grafik)
OPNsense (OPNsense 20.1.4-amd64) (4-physikalische Port's)
Managed 16-Port Switsch
Server mit ESXi (4-physikalische Port's)
ESXi (VMware ESXi 7.0.0) (Verschiedene VM's)
Netzwerk: 10.0.0.0/16 (Ich weiss etwas übertrieben)
verschieden Teilnehmer mit DHCP
Was möchte ich erreichen:
Ich habe ein Heimnetzwerk (10.0.0.0/16) in welchem sich meine PC's und die ganze Familie aufhält. Auch habe ich in diesem Netzwerk zwei VM's am laufen, welche von allen Teilnehmern in diesem Heimnetz erreicht werden sollen. (IP VM: 10.0.0.51/10.0.0.52) Mein PC welcher natürlich auch der Chef der ganzen Sache ist, sollte natürlich überall hin Zugriff haben.
Nun zum etwas schwereren Teil. Ich möchte nun Webserver laufen lassen, diese sollen von Aussen erreichbar sein (HAproxy) Diese will ich aber nicht in meinem Homenetz(10.0.0.0/16) haben, diese sollen im eigenen Subnetz (Webserver Net 10.1.0.0/24) getrennt vom Rest laufen. Jedoch möchte ich natürlich mit meinem PC diese auch erreichen können, diese sollen aber nicht in meinem Heimnetz sichtbar sein.
Wie würde ich dies anstellen?
Was wären die Voraussetzungen?
Ich hoffe das dies auch ohne V-LAN's möglich wäre? (Noch etwas mehr zum lernen :S)
So viel geschrieben.. Ich hoffe das ein erfahrener Netzwerkspezi sich meiner Fragen/Probleme anmint..
Auch hoffe ich dass ich mich klar genug ausgedrückt habe und das es soweit verständlich ist, was ich versuche.
Bitte scheut euch nicht, mich zu Fragen, was ihr noch für Informationen braucht.
Ich danke euch und hoffentlich bis später
Oliver
«
Last Edit: July 24, 2020, 10:36:02 am by donoli
»
Logged
micneu
Hero Member
Posts: 1913
Karma: 59
Re: Einsteiger Netzwerk fragen
«
Reply #1 on:
July 24, 2020, 10:41:36 am »
erster tipp, aktualisiere erstmal deine sense, so bist du auf dem aktuellen stand.
Logged
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
Router/Firewall: pfSense+ 23.09 |
Hardware: Netgate 6100
donoli
Newbie
Posts: 13
Karma: 0
Re: Einsteiger Netzwerk fragen
«
Reply #2 on:
July 24, 2020, 10:54:41 am »
Danke..
Update durchgeführt -> OPNsense 20.1.9-amd64
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: Einsteiger Netzwerk fragen
«
Reply #3 on:
July 24, 2020, 10:59:48 am »
Die nächsten Tipps:
- Warum das Heimnetz so groß? /16 braucht man wirklich nicht und gerade daheim macht es eher Sinn kleiner zu werden und Dinge auszulagern in eigene VLANs wenn man eh schon nen managed Switch hat.
- Was heißt "diese sollen aber nicht IN meinem Heimnetz sichtbar sein". Was ist sichtbar, was ist IN? Die sollen ja eh nicht in dein HomeLAN, ergo sind sie da auch nicht drin
Also was ist damit konkret gemeint?
- "Hoffe ohne VLANs..." Nö. Getrennte Netze sind wichtig und da gehören VLANs dazu wenn du nicht extra Switches für jedes Netz verwenden willst (was BTW Blödsinn wäre im Hinblick auf Kosten/Nutzen
). Und so irre viel zu VLANs gibts nun auch nicht zu lernen
Ich würde hin gehen, das 10.0.0.0er Netz zu einem /24er umbauen in dem erstmal nur die Server Sachen bleiben wenn die schwer(er) umzubauen sind und würde neue IPs und kleinere Netze mit VLANs ausrollen. Wenn man eh schon dabei ist, kann mans auch richtig angehen
Ansonsten um nur das gewünschte abzudecken, wäre das Vorgehen wahrscheinlich:
* Auf der Sense das 10.1.0.0/24 als neues Interface oder als VLAN auf vorhandenem LAN Port (nicht so schön)
* Switch mit zweitem VLAN konfigurieren
* Port an Sense mit zweitem VLAN zusätzlich bestücken oder einen zweiten Port für ein zweites Kabel in neues VLAN packen und an physisches Interface anschließen
* zweites VLAN zu ESXi bringen - entweder als VLAN on top oder mit zusätzlicher Netzwerkkarte - je nachdem
* vSwitch intern entsprechend konfigurieren und VLAN durchreichen an 10.1er VMs
* Testen
Ohne VLANs wird das so oder so nichts, weil du das 10.1er Netz sonst nicht isoliert über den Switch schieben kannst und/oder dir dann VMware im Quadrat springt, weil du mehrere Netze in der gleichen Broadcastdomain / dem gleichen Layer2 Netz fährst. Das wird böse und ist loop-anfällig daher no-no
Grüße
\jens
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
donoli
Newbie
Posts: 13
Karma: 0
Re: Einsteiger Netzwerk fragen
«
Reply #4 on:
July 24, 2020, 12:01:03 pm »
Danke für die nächsten Tipps
- Heimnetz wurde auf /24 verkleinert.
- zu "IN meinem Heimnetz sichtbar" -> Ich möchte gerne mit meinem PC direkt die Server im Webserver Netz administrieren. Dass heisst kein Teilnehmer aus dem 10.0.0.0/24 Netz ausser meinem PC soll Zugriff auf das 10.1.0.0/24 Netz haben und auch "vice versa". Ich sehe, dass mit der vorgeschlagenen Lösung die Trennung sichergestellt ist, wie wäre aber eine Verbindung für nur einen PC möglich?
- Wenns nicht ohne VLAN's geht, dann wird dies auch gleich mitgelernt..
Dann werde ich mich mal ans Werk machen und versuchen die vorgeschlagene Lösung umzusetzen. Ich werde sicherlich Rapportieren, wie es voran geht und bei Fragen, von denen sicherlich noch welche auftauchen, mich wieder Melden..
Ich danke schon mal für die schnelle und informative Antwort @JeGr
Grüsse
Oli
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: Einsteiger Netzwerk fragen
«
Reply #5 on:
July 24, 2020, 12:25:42 pm »
> - Heimnetz wurde auf /24 verkleinert.
Das schonmal gut
> Ich möchte gerne mit meinem PC direkt die Server im Webserver Netz administrieren.
Spricht auch nichts dagegen
> Dass heisst kein Teilnehmer aus dem 10.0.0.0/24 Netz ausser meinem PC soll Zugriff auf das 10.1.0.0/24 Netz haben
Eine Regel hilft damit. Entweder "alles erlauben was MEIN_PC ist nach 10.1.0.0/24" oder "blocke alles was nicht MEIN_PC ist nach 10.1.0.0/24" und darunter eine allow any würde das dann auch rausfiltern.
> und auch "vice versa".
Naja umgekehrt besteht überhaupt kein Grund, warum 10.1.0.0 ins LAN sollte, oder? Dazu gäbe es keinen Grund, demzufolge keine Regel ergo - Nö.
> Ich sehe, dass mit der vorgeschlagenen Lösung die Trennung sichergestellt ist, wie wäre aber eine Verbindung für nur einen PC möglich?
Siehe oben. Regeln regeln
> - Wenns nicht ohne VLAN's geht, dann wird dies auch gleich mitgelernt..
Hilft definitiv und ist wie gesagt sooo viel gar nicht zu lernen. Schwierig ist häufig eher die unterschiedliche Art und Weise, wie das Switche in der CLI oder einer GUI implementiert haben und darstellen, das macht einen oft mehr kirre als das Konzept an sich.
> von denen sicherlich noch welche auftauchen, mich wieder Melden..
Fragen schadet nie
Gruß
\jens
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
lfirewall1243
Hero Member
Posts: 1386
Karma: 45
Re: Einsteiger Netzwerk fragen
«
Reply #6 on:
July 28, 2020, 02:36:16 pm »
Wenn du die Geräte für die "DMZ" direkt an die Firewall anschließt, sparst du dir den VLAN kram.
Solltest du aber dafür extra Switche benötigen, mach es mit VLans
Logged
(Unoffial Community) OPNsense Telegram Group:
https://t.me/joinchat/0o9JuLUXRFpiNmJk
PM for paid support
donoli
Newbie
Posts: 13
Karma: 0
Re: Einsteiger Netzwerk fragen
«
Reply #7 on:
September 09, 2020, 11:13:41 pm »
Hallo zusammen
Ich möchte mich kurz für die längere Abwesenheit entschuldigen. Ich danke euch aber viel mal für die Hilfreichen Tipps, es ist alles eingerichtet und hat super geklappt.
Gruss
Oliver
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Einsteiger Netzwerk fragen