Zwei Internetzugänge separieren

[Zonk87]

Hallo zusammen

Ich sitze seit ein paar Tagen und zwerbreche mir den Kopf über ein Problemchen in meinem Heimnetz.

In meinem Haus nehme ich bald einen Mieter mit auf und möchte gern das Jede Partei sein eigenes Internet hat. Aktuell ist es so das alle Netzwerkkabel aus dem Hausanschlussraum über einen Switch(unmanaged) und Patchfeld in die jeweiligen Zimmer verteilt werden. Jetzt habe ich mir das so vorgestellt das man eine zweiten Switch einbaut in den Anschlusschrank und die Patchkabel der Wohunung des Mieters auf den zweiten Switch zu legen. Auf den ersten Switch hängt meine Kabel-Router dran und auf den zweiten soll dann der Kabel-Router meines Mieters dran das wir beide Separate Internetanschlüsse hat.
Das Problem was ich jetzt habe ist das einige Service die ich bei mir im Netzwerk momentan habe gerne mit meinem Mieter teilen möchte aber ohne das er Leistung von meinem Internet bekommt oder anders herum.
Ich habe jetzt schon was von einem Firewall-MiniPC gehört das man dort dann die Regeln einstellen kann was erst mal ganz gut klingt aber ich würde gern noch alternativen die eventuell für mich einfacher umsetzbar sind und nicht ganz so Preisintensiv sind.

Mit freundlichen Grüßen
Zonk87

 

[klapproth]

Du landest wahrscheinlich in der Ecke von OpnSense, VLANs und enstprechenden managed Switchen. Das wird eine steile Lernkurve.

Das hängt natürlich auch von den Diensten ab die geteilt werden sollen. Eventuell geht es hier auch simpler und günstiger.

 

[DJMadMax]

Sagt dir der Begriff VLAN etwas?

EDIT: da war jemand schneller

 

[Nilson]

1. Ich würde auf einen managed Switch setzen und den "virtuell" per VLANs teilen, statt zwei physikalische Switche zu nutzen. Dann bist du flexibler
2. Den eigenen Internetanschluss mit dem (Unter-) Mieter zu teilen ist immer etwas problematisch. Immerhin geht sein gesamter Trafik über deinen Internetanschluss. Eine eigene Kabel- oder DSL-/Telefon-Dose gibt es für ihn nicht?
3. Wenn es nicht anders geht oder das Teilen der Service Priorität hat: was sind das für "Dienste"?

 

[DJMadMax]

@Nilson
Wenn ich den TE richtig verstehe, sind zwei getrennte Internetzugänge vorhanden. Es geht nur um das Teilen lokaler Netzwerkressourcen.

 

[Nilson]

Stimmt, hatte ich beim ersten lesen anders verstanden. Dann streicht Punkt 2 oben.

 

[Zonk87]

Die Dienste sind sowas wie TrueNAS Scale, HomeAssistant, und andere kleinere Docker Anwendungen.

Es geht eigentlich nur um die rote Verbindung das da drüber NUR Locale Anwendungen geteilt werden und aber das Internet gesperrt wird.
Ich denke mal über eine MiniPC Firewall könnte man dann sagen "Gib alles frei außer Internet".

 

[redeye86]

Kannst du evtl. den Server oder NAS auf dem die Anwendungen laufen mit einer zweiten Netzwerkkarte an den zweiten switch hängen?
Dann hätte der Server in beiden Netzen eine eigene IP. Und im Netz des Mieters könnte man die Dienste noch weiter per Firewall auf dem Server einschränken.

Wäre viel einfacher.

Wenn keine weitere NIC möglich ist, könnte man das gleiche auch über das ein vlan realisieren. Brauchst dann aber auch nen managed switch

 

[Nilson]

@redeye86 ist da schon auf dem richtigen Weg. Wenn die Dienste alle auf dem gleichen Gerät/Server laufen. sollte sich das recht einfach einrichten lassen.
Ich nehme mal an du kennst den Mieter wenn du ihn auf dein NAS etc. zugreifen lassen willst?

Wenn es mehrere Geräte sind, wird es etwas komplizierter, weil du etwas brauchst, was zwischen deinen Netzen vermittelt. Das wäre eigentlich die Aufgabe des Routers, aber die meisten Kabel-Router sind dafür zu eingeschränkt. Die können nur zwei (Sub-)Netze (bzw. noch ein Gastnetz)

 

[Zonk87]

Kannst du evtl. den Server oder NAS auf dem die Anwendungen laufen mit einer zweiten Netzwerkkarte an den zweiten switch hängen?
Dann hätte der Server in beiden Netzen eine eigene IP. Und im Netz des Mieters könnte man die Dienste noch weiter per Firewall auf dem Server einschränken.

Wäre viel einfacher.

Wenn keine weitere NIC möglich ist, könnte man das gleiche auch über das ein vlan realisieren. Brauchst dann aber auch nen managed switch

Es sind leider schon alle PCIe Lanes ausgereizt von daher ist ledier ein weiterer NIC nicht möglich aber das Motherboard was drin ist ist ein ASUS ProArt B550-Creator was 2x2,5G RJ45 Anschlüsse hat. Ich weiss jetzt nicht ob man das aufteilen kann.

@redeye86 ist da schon auf dem richtigen Weg. Wenn die Dienste alle auf dem gleichen Gerät/Server laufen. sollte sich das recht einfach einrichten lassen.
Ich nehme mal an du kennst den Mieter wenn du ihn auf dein NAS etc. zugreifen lassen willst?

Ja die Dienste sind alle auf dem selben Server aber ich möchte nicht alles dem Mieter freigeben halt nur einige Dienste davon.

 

[Mojo1987]

Die Frage ist warum er da überhaupt Zugriffe braucht.
Er ist Mieter, er kann gerne seine eigene Technik in den Schrank hängen und seine Anschlüsse verkabeln, übergreifend würde ich da garnichts machen, wenn das nicht gerade ein guter Kumpel ist.

Es kann immer mal Stress mit Mietern geben, vorallem dann wenn das für dich das erste Mal als Vermieter ist.
Sowas ist dann direkt was wo weiterer Ärger vorprogrammiert ist. Aus Rechtlicher Sicht dann nochmal ein anderes Thema und schwierig.

Ansonsten VLANs, aber die Zugriff auf welche Dienste er dann darf, musst du ggf. über die Docker Container und TrueNAS selbst regeln. VLANs regeln in dem Fall nur den Zugriff bis zum TrueNAS aber nicht innerhalb des TrueNAS und seiner Container.

 

[Zonk87]

Die Frage ist warum er da überhaupt Zugriffe braucht.
Er ist Mieter, er kann gerne seine eigene Technik in den Schrank hängen und seine Anschlüsse verkabeln, übergreifend würde ich da garnichts machen, wenn das nicht gerade ein guter Kumpel ist.

Es kann immer mal Stress mit Mietern geben, vorallem dann wenn das für dich das erste Mal als Vermieter ist.
Sowas ist dann direkt was wo weiterer Ärger vorprogrammiert ist. Aus Rechtlicher Sicht dann nochmal ein anderes Thema und schwierig.

Du hast vollkommen Recht mit dem was du sagst. Der Mieter ist ein Familienmitglied daher gehe ich mal davon aus das es da weniger Porbleme geben wird "Ich hoffe"

 

[Mojo1987]

Joa war als netter Hinweis gedacht, wenn man das erste Mal vermietet, ist die Lernkurve ziemlich steil was das angeht. Wenns ein Familienmitglied ist, dann wirds vermutlich nicht ganz so eng sein was potentielle Probleme angeht.

Dann waren wie gesagt die Tips mit VLANs nicht schlecht, die Lernkurve hierfür ist allerdings auch steil.
Und wie gesagt, damit regelst du dann nur den Zugriff bis zum NAS, alles weitere muss ggf. im NAS / Container passieren. Wie da die Möglichkeiten aussehen kommt auf die Anwendungen an.

 

[qiller]

Wichtig ist erstmal, so wie du das oben darstellst, dass beide Netzwerke unterschiedliche Netzadressen verwenden und dann könntest du inmitten deiner "roten Linie" in deinem Diagramm eine Firewall-Distribution setzen und dort mit Regeln den Zugriff vom Mieternetzwerk auf dein Netzwerk bzw den Diensten dahinter regeln. Geht dann alles ohne irgendwelche extra NICs, VLANs etc. Aber du solltest dir da schon ne FW-Distribution raussuchen (oder ne Fertig-FW), womit du was anfangen kannst. Hardware-Firewalls zu administrieren ist jetzt nicht sooo einfach.

Edit: Achso, du wirst nicht umhin kommen, auch einige Einstellungen im Mieternetzwerk vorzugeben, z.B. entsprechende Routen, die hinterlegt werden müssen, damit deine Dienste im Mieternetzwerk auch gefunden werden.

 

[Nilson]

Wenn er seinen Server über VLAN bzw. über die beiden NICs in beide Netze hängt, spart er sich die Firewall und die Routen.
Vorrausetzung für alle Setups sind die verschiedenen Subnetze für Ver- und Mieter-Netzwerk.
Sofern alle relevanten Dienste ein User-System anbieten, sollte das eigentlich ausreichen. Zumindest auf dem "Vertrauenslevel".

Einen neuen Swich wird er aber so oder so brauchen. Und dann direkt managed, dann hat man alle Optionen.

 

[qiller]

Hatte jetzt nur das Diagramm im Auge und nicht gesehen, dass der 2. Switch ja noch gar nicht da ist. Aber managed müsste der 2. Switch nicht sein, da reicht nen unmanaged auch aus. Im Server muss man dann noch die entsprechenden Dienste auf die 2. IP-Adresse der zusätzlichen NIC binden.

 

[Zonk87]

Also wenn ich die ganzen Beiträge jetzt richtig verstanden habe würde auch ein Managed Switch reichen?

Hier könnte ich dann , wenn ich das richtig verstehe, mit meinen Zwei Netzwerkanschlüssen am Server einen an den Mieter und einen an den Vermieter Teil rein stecken und dort separate Netzte aber der Server ist geteilt und ich kann mit mit Userrechten auf den Diesnten den Zugriff beschränken was die meisten Dienste die ich nutze haben.

 

[qiller]

Korrekt. 2 getrennte VLANs in einem managed Switch ist praktisch dasselbe wie 2 getrennt voneinander betriebene, unmanaged Switche.

Du verbindest dann die erste Netzwerkverbindung deines Servers mit dem "grünen" Bereich (VLAN1) und die zweite Netzwerkverbindung des Servers mit dem "orangenen" Bereich (VLAN2).

Entsprechende Berechtigungen musst du dann in den Diensten realisieren. Z.B. würde ich dann Adminzugänge o. Konfigurationsoberflächen vom "orangenen" Netz aussperren.

 

[Zonk87]

Das dann der Server nur von der Grünen Seite aus Internet bekommt das kann man glaube in der FRITZ!Box dann einstellen bei dem Netzwerk Einstellungen in den einzelnen Geräten. Dann sperre ich das auf der Mieter Seite und dann sollte das doch alles klappen Oder?

Wenn ja könntet ihr mir Gute und preisgünstige Vorschläge machen die sowas realisieren könnten?

 

[qiller]

In der 2. Netzwerkkarte, die zum orangen Netz geht, lässt du einfach das Gateway weg, feddich.