[Erledigt] [DMZ] VLAN und Lan-Interface vs. DMZ-Interface
-
Ich habe eine laienhafte Verständnisfrage:
Ich möchte ggf. einen Raspberry Pi mit einer Nextcloud-Installation daheim über das Internet erreichbar machen. Mir ist allerdings nicht ganz klar, ob es im Hinblick auf die Trennung vom heimischen LAN (mit mehreren VLANs) einen Unterschied macht (und wenn ja, welchen), ob ich den Raspi in ein separates VLAN stecke via LAN-Port und VLAN-fähigem Switch, oder den Raspi direkt an den DMZ-Port meiner pfSense hänge (identische Firewall-Regeln vorausgesetzt).
Für Hinweise und Tipps herzlichen Dank im voraus und bitte Nachsicht, falls die Frage allzu anfängerhaft sein sollte.
Gruß Jürgen
-
Ahoi,
ich vermute mal, du meinst mit DMZ Port eine zusätzliche Schnittstelle (HW) direkt in deiner pfSense Box. Und diese verglichen mit einem sauber aufgesetzten VLAN sowohl auf der Sense als auch auf einem VLAN-fähigen Switch (der bspw. keinen Bug hat und sein VLAN leaked).
Wenn das die Frage ist: gibt es von der praktischen Sicherheit her eigentlich keine sprechenden Gründe. Der einzige Punkt der bei VLAN vs separates LAN ins Spiel kommt ist Perfomance im Sinne von Datendurchsatz. Bspw. ein NAS. Da man davon ausgehen kann, dass man darauf entsprechend große Sachen speichert, geht da ordentlich was durch. Hat man LAN und NAS VLAN dann auf dem gleichen physikalischen Port geht da natürlich Bandbreite flöten (es geht ja physikalisch durch den gleichen Port rein und raus). Bei einem Raspi bei dem potentiell nicht mal das Gigabit erreicht wird (OK ab Raspi4 wurds besser) und der nur hin und wieder angesprochen wird (Cloud) ist das mehr als verschmerzbar :)
Grüße
-