Heimnetzwerk mit mehreren Subnetzen



  • Hallo,

    ich hoffe, hier richtig zu sein und auch gegen keine Forenetikette zu verstoßen. Ein Unix-/Netzwerk-Profi bin ich nicht, aber ich hangele mich durch.

    Folgende Aufgabenstellung
    Errichtung eines Heimnetzwerkes mit mehreren Subnetzen
    a) Heimarbeitsplatz - aus dem Internet nicht erreichbar, nur VPN-Tunnel zum Arbeitgeber
    b) Privat - lokaler Server als Fileserver etc… Zugang aus dem Internet per VPN, um auch von Unterwegs auf meine Bilder, Literatur etc. zugreifen zu können und das Netzwerk nicht dem I-Net zu präsentieren
    c) getrentes Netzwerk für die Kinder, wobei aus b) darauf zugegriffen werden können soll, aber nicht aus c) zu b)
    d) Medien, also Filme etc, auf diese soll aus b) und c) zugegriffen werden können, Inhalte sollen aus b) zugeladen werden können, nicht aus c)
    e) Gastnetzwerk: nur Surfen etc, kein Up-/Download ...
    f) DMZ mit Server für Homepage, ggf. Diaspora, Owncloud. Auf dieses soll aus B zugegriffen werden können, zum Sync der Owncloud mit dem internen Server und um Inhalte zu aktualisieren, die DMZ soll nirgendwo drauf zugreifen können
    g) Services: Drucker, Scanner, Zugriff jeweils aus a, b, c möglich
    h) als weitere Ausbaustufe eine eine Telefonanlage Asterix o. ä., irgendwann

    Alle Subnetze sollen entweder fest verkabelt werden oder per verschlüsseltem WLAN erstellt werden.

    Nach meinen Recherchen wäre ein managbarer Switch sinnvoll, um VLANS zu erstellen.

    Die Frage, ist das auch mit pfsense möglich? Und was für ne Hardware braucht man, um eine zentrale Instanz zu hanem, die als Firewall, Router, managed Switch dient, unter der Vorstellung einer privaten Nutzung, also keine Hochverfügbarkeit und abgesehen von Filmen, die empfangen werden, z. B. per iTunes, Internetfernsehen o. ä. keine aussergewöhnlichen Geschwindigkeitserwartungen.

    Falls ich ein paar Anregungen, Hilfen bekomme, bin ich dafür sehr dankbar.



  • Hört sich ziemlich oversized an für den Heimbereich, ist aber mit PFsense machbar ;)

    Ich hab selbst zuhause mehrere Netze und sogar Multi-WAN.

    Bei mehreren Netzen ist, wie du schon erwähnt hast, ein Managed-Switch zwingend notwendig. Die Dlink DGS-1100er Serie kann ich z.b. empfehlen. Die sind relativ günstig, haben ein Webinterface und sind recht stromsparend.

    Als Hardware für die PFsense kann ich dir die neue Alix APU empfehlen. Die hat genügend Leistung für den Heimbereich zum günstigen Preis und Stromverbrauch.

    Wenn du auch WLan mit mehreren Netzen betreiben willst, benötigst du auch AccessPoints die Vlan-fähig sind, oder halt pro Netz ein AP.

    Gruß
    Rubinho



  • Ein paar Gedanken:

    Ich habe für etwas ähnliches mehrere VLANs mit zwei Netgear Prosafe Switches im Einsatz. Die sind zwar nur mit einer Windows-Software steuerbar (keine Konsole, kein Web-Interface), aber kostengünstig.

    Nicht alles kannst Du mit der Firewall lösen. Für die Zugriffsrechte auf die Medien hilft das nichts. Und Downloads in einem Gästenetz kann man vermutlich nicht ganz verhindern, wenn man Surfen erlaubt.

    Kannst Du auf einen Drucker oder Scanner im lokalen LAN zugreifen, wenn Dein Heimarbeitsplatz einen VPN-Tunnel zum Arbeitgeber aufbaut? Es dürfte von der Konfiguration abhängen. In meinem Fall ginge das nicht, da der gesamte Verkehr über das VPN zum Arbeitgeber läuft.

    Du hast Internetfernsehen angegeben. Meinst Du IPTV von der Deutschen Telekom? Dann schaust Du danach, daß Deine switches IGMP snooping können.

    -flo-



  • @-flo-

    Ja die Prosafe Switche sind auch gut (habe selbst 2 in Betrieb), einzig die Konfiguration über Windows stört mich daran
    Deswegen bin ich auf die DGS-1100er umgestiegen.



  • […] Prosafe Switche […] (habe selbst 2 in Betrieb) […] die DGS-1100er umgestiegen.

    Macht summa summarum >= 4 Switches? Das ist dann auch schon was Größeres …

    Ich habe die Administration mit einer Windows-XP-VM gelöst, läuft seamless unter VMWare Fusion auf dem Mac. So ist das recht erträglich. :) Allerdings greife ich auch nur von einem Rechner aus auf die Switches zu. Zum Glück macht man das nicht so häufig. ::)

    -flo-



  • @rubinho:

    Hört sich ziemlich oversized an für den Heimbereich, ist aber mit PFsense machbar ;)

    Ich hab selbst zuhause mehrere Netze und sogar Multi-WAN.

    Bei mehreren Netzen ist, wie du schon erwähnt hast, ein Managed-Switch zwingend notwendig. Die Dlink DGS-1100er Serie kann ich z.b. empfehlen. Die sind relativ günstig, haben ein Webinterface und sind recht stromsparend.

    Als Hardware für die PFsense kann ich dir die neue Alix APU empfehlen. Die hat genügend Leistung für den Heimbereich zum günstigen Preis und Stromverbrauch.

    Wenn du auch WLan mit mehreren Netzen betreiben willst, benötigst du auch AccessPoints die Vlan-fähig sind, oder halt pro Netz ein AP.

    Gruß
    Rubinho

    Ich habe mal "durchgerechnet", dass ich so ca. 6 Ports maximal für meine Vorstellungen brauche, das wäre 6 Subnetze. Da nicht alle WLAN brauchen, würden die, die es benötigen dafür jeweils eigen AP bekommen.

    Meine Frage, ich habe das leider nicht explizit geschrieben, zielte auch dahin, die FW also pfsense und den Switch auf einer Hardware laufen zu lassen?

    Ginge das? Könnte pfsense softwareseitig den Switch ersetzen und gibts Hardware, mit sagen wir, 1-2 WAN und ca. 6 Ausgängen (für 6 VLAN)?



  • @unixoid:

    Meine Frage, ich habe das leider nicht explizit geschrieben, zielte auch dahin, die FW also pfsense und den Switch auf einer Hardware laufen zu lassen?

    Ginge das? Könnte pfsense softwareseitig den Switch ersetzen und gibts Hardware, mit sagen wir, 1-2 WAN und ca. 6 Ausgängen (für 6 VLAN)?

    Hm. Eine pfSense auf der neuen Alix APU und ein Switch brauchen zusammen vermutlich weniger Strom als ein Rechner mit 8 Netzwerkkarten / -ports.

    Unabhängig vom Stromverbrauch: Ein Switch ist dann auf jeden Fall zu empfehlen, wenn Du ein Subnetz auf mehreren Ports verteilst. Ein Switch ist einfach performanter als ein Router.

    -flo-



  • @-flo-:

    Macht summa summarum >= 4 Switches? Das ist dann auch schon was Größeres …

    Ich habe die Administration mit einer Windows-XP-VM gelöst, läuft seamless unter VMWare Fusion auf dem Mac. So ist das recht erträglich. :) Allerdings greife ich auch nur von einem Rechner aus auf die Switches zu. Zum Glück macht man das nicht so häufig. ::)

    -flo-

    Ja, mein Netz ist mit 9 Haushalten angebunden über 6 Richtfunkstrecken, schon etwas größer ;)

    Und 4 Switche reichen da auch nicht aus :D

    Im übrigen habe ich auch eine VM auf meinem Server laufen für die Prosafe Switche zu administrieren

    @unixoid

    Ich kann da -flo- nur zustimmen, die Pfsense als Switch zu benutzen halte ich auch als suboptimal.

    Das Alix APU mit einem der erwähnten Switche ist die bessere Lösung. Somal es die Switche in verschiedenen Varianten gibt, was die Portanzahl beztrifft. Ich kann dir aber nur dazu raten, wenn du einen Switch kaufst, lieber einen zu holen, der ein paar Ports mehr hat.

    Eine Pfsense aufzubauen, die min. 6+1 Netzwerkkarten (1 WAN Port) besitzt verbraucht schon einiges an Strom, mehr als die getrennte Lösung.



  • Vielen Dank erst mal.

    Jetzt ergeben sich neue Fragen, ich hoffe, ich nerve nicht, aber vieles kann man nur so in Erfahrung bringen, bzw. erschließt sich mir erst am konkreten Beispiel. Und, um das real durchzuspielen, fehlt mir (noch) die Hardware, die ich wiederum erst erweben will, wenn ich alles sauber geplant habe. Ich taste mich vorsichtig ran.

    Gegeben sei also ein Netzwerk mit einem Eingang (WAN) per DSL-Modem.
    Dahinter sitze eine solche ALIX APU mit pfsense als Router-Firewall.
    Dahinter wiederum ein managed Switch.

    Vorgesehen sei die Einrichtung von z. B. 4 Subnetzen, als VLANS,

    A) DMZ, IP-Adresse per DynDNS, 2 fest Rechner per Ethernet
    B) Privates Netz, VPN (IP-Adresse per DynDNS), WLAN per eigenem AP/Router,
    dieser wiederum im NAT-Modus
    C) weiteres privates Netz, kein Internetzugang
    D) Service-Netz: Drucker, Scanner etc, Zugriff soll aus B (und per VPN) und aus C möglich sein.

    Wenn ich es richtig verstanden habe, richtige ich diese VLANS also auf dem Switch ein,
    dort stelle ich ein, welcher Port der Eingang ist (WAN), und welche Ports zu den Subnetzen / VLANS gehören

    z. B.
    Eingang (WAN bzw. pfsense) > Port 1
    VLAN A > Port 1 + 2
    VLAN B > Port 3 (daran wiederum ein WLAN-AP / Router im NAT)
    VLAN C > Port 4 + 5
    VLAN C > Port 6 + 7

    Welche Einstellungen muss ich nun auf der pfsense/Firewall/Router machen,
    unter PFsense gibts ja Einstellungen zu VLANS?

    Danke



  • @unixoid

    sry ich habe dein Konstrukt zwar nicht ganz verstanden, aber funktionieren sollte es folgendermaßen.

    Hier eine grobe Kurzbeschreibung…

    In der Pfsense richtest du der erste physikalische Netzwerkport für WAN ein mit PPPoE Authentisierung ein. (Damit ist der mal vom Tisch)

    Dann richtest du die VLans ein, und weist Sie dem nächsten freien Port zu. In deinem Fall vier.
    Danach tauchen die Vlans als Interfaces auf und kannst Sie damit zuordnen.
    Das erste Netz nach dem WAN ist standartmäßig LAN (also das Intranet ) alle anderen Interfaces sind werden allgemein als OPTx bezeichnet. (Die Namen kannst du aber ändern)

    Am Switch musst du einen sogenannten Trunkport einrichten. Dort konfigurierst du die 4 VLans auf den einen Port der zur PFsense führt.

    Damit sollte die grundlegende Connectivität herstellt sein.

    Bei der Ersteinrichtung der PFsense über den Konsolezugang wirst Du bei der Zurordnung der Interfaces bzw. VLannutzung via Wizzard geführt. Ist also kein Hexenwerk.



  • VLAN B > Port 3 (daran wiederum ein WLAN-AP / Router im NAT)

    Ein zweites NAT würde ich nicht empfehlen. Ein WLAN-AP sollte m.E. eher im Bridge-Mode betrieben werden.

    Dann schlagen die Rechner im WLAN auch mit ihren eigenen Adressen auf der Firewall auf, sonst wäre da nämlich nur die Adresse des WLAN-AP sichtbar.

    Und bzgl. VLANs: Das sollte mit 802.1Q konfiguriert werden. Aber das ist Dir vermutlich schon klar. Die Netgear Switches haben da auch einfachere Varianten.

    Übrigens: Die Erstkonfiguration per Konsole habe ich im Verdacht, daß sie ein unnötiges Gateway erstellt. Das war bei mir definitiv der Fall und das hat mich viel Nerven gekostet. Dann geht nämlich vom LAN nichts ins Internet raus.

    -flo-


Log in to reply