Konzept Absicherung NAS ?
-
Liebe Leute
Für mein EFH plane ich derzeit 2 VLANs: adminLAN, IoT
Eine zentrale Komponente ist das NAS. Darauf möchte ich
- die wichtigsten Daten der W10/11-Clients replizieren,
- die Backups der Client Maschinen (Acronis) dort ablegen
- mehrere virtuelle Maschinen laufen lassen
- das NAS als Fileserver nutzen
Wo sollte eurer Meinung nach das NAS hängen?
adminLAN oder IoT?
Oder soll ich ein 3. VLAN anlegen?Ich will einerseits verhindern, dass ein kompromittiertes IoT Gerät über das NAS in mein adminLAN kommt, andererseits dass alle IoT Geräte ihre Daten auf das NAS schreiben können (zB Kameras &NVR) und diese dann vom adminLAN aus abrufbar sind.
tnx!
-
@hudri Hi,
da du leider nichts dazu geschrieben hast, was in deiner Denkweise das adminLAN ist (warum admin?) und was da sonst noch existiert - schwierig zu sagen. Da auf dem NAS auch noch virtuelle Maschinen existieren können, ist das ganze noch schwerer, denn damit wird es quasi zum Hypervisor und die VMs sollten ggf. in andere Netze als das NAS.
Daher wäre ein wenig mehr Input hilfreich :)
Cheers
\jens -
@jegr ich möchte meine kleine welt in lediglich 2 VLANs teilen: "vertrauenswürdig" und "IoT" :)
jetzt frag' ich mich wie da ein NAS hineinpasst.
Derzeitige "Lösung" für den Anlassfall Kameras und NVR:
NAS in das adminLAN, und von dort greife ich den RTSP-Stream der Kameras ab.
IoT-VLAN darf nicht auf adminLAN, umgekehrt aber schon. Da die Verbindung aber vom adminLAN ausgeht, sollte das ja klappen.
Die virtuellen Maschinen würden sich wahrscheinlich alle im admnLAN bewegen -
@hudri OK wenns lediglich 2 sein sollen, dann sollte IMHO das NAS ins LAN. IoT Geräte sind notorische Streßkandidaten, da würde ich höchst ungern ein NAS direkt drin parken :)
-
@jegr genau. da geht es primär um IP Kameras und die Haussteuerung (Wechselrichter, Batterie, etc).
Ich werde halt vereinzelt den IOT-VLAN Käfig öffnen müssen.
Der NVR ist auf dem NAS und da initiere ich -wie gesagt- die Verbindung in das IOT VLAN -
Wenn du dann eh schon mal dabei bist, dann kannst auch gleich ein schickes /22er Netz aussuchen und hast LAN; PV; IoT, Gastnetz schon mal sauber als /24er rumliegen.
Planst du mehr, nimmst halt irgendwas im Bereich /19, dann hast du 32 Netze für die interne Verwendung.
Passt dann auch gut, wenn du ein /59er Prefix vom Provider bekommst, so hast du auch hier gleich 32 Netze die du sauber mit Dual Stack versehen kannst.Gerade PV würde ich von den IoT Seuche noch mal sauber trennen, denn du kannst ja nicht überall ein Tasmota drauf schieben.
