ComputerBase Menü
Aktuelles

LAN Ressource von Internet mit Switch trennen

F

Fastfingerfredd

Cadet 4th Year
Registriert
Okt. 2022
Beiträge
107
Sersla,

Ich versuchs so kurz und präzise wie möglich ^^
Erstmal ein Schaubild, das mein derzeitiges Setup zeigt, siehe Bild/Anhang.

Der abgebildete Switch bildet das Tor meines LAN ins Internet.
Im Prinzip soll alles, was aus meinem LAN über den Switch geht, ins Internet können.
NUR die Netzressource (schwarz) soll es nicht koennen!

Mein derzeitiger Switch ist so ein ganz simpler:
https://www.amazon.de/dp/B01EXDG2MO?ref_=ppx_hzsearch_conn_dt_b_fed_asin_title_8

Mit dem lässt sich da denk ich nicht viel machen.


Ich hätte gern von euch Vorschläge, wie ich mein gewünschtes Konzept möglichst hardwareseitig umsetzen kann!
Mir ist wichtig, dass die Trennung vom Internet für die Netzressource physisch ist.

Ich weiß von Switches, die Hardwareseitig schon getrennte Netze auf ihren verschiedenen Ports anbieten. Das wär natürlich nicht schlecht, den Zugang zum Internet kann ich so kappen, allerdings ist es halt so, dass die Netzressource nicht von den anderen Teilnehmern im LAN abgeschnitten sein soll. Die Ressource ist ein ganz normaler Windows Rechner, den ich aber mehr oder weniger nur als LAN Server verwende, also fast schon ein überdimensioniertes NAS (hatte halt derzeit alte Komponenten rumliegen und wozu ein NAS kaufen wenns auch so geht?).


Also dann freue ich mich auf eueren geschätzten fachlichen Rat! :)

Gruß

Freddy
 

Anhänge

  • Skizze.jpg
    Skizze.jpg
    42,5 KB · Aufrufe: 243
Fixe IP und keinen Gateway vergeben oder halt im Router den Internetzugang sperren für die "LAN Ressource". Da muss nichts am Switch gemacht werden, was eh nur bei einem Managed Switch möglich wäre, nicht aber bei einem "ganz simplen".
 
  • Gefällt mir
Reaktionen: redjack1000
Und wenn Du ganz sicher gehen möchtest, entferne auch noch die DNS Einstellungen, in den Netzwerkprotokollen, des "Lan-Server".

CU
redjack
 
  • Gefällt mir
Reaktionen: Asghan, redjack1000 und Fastfingerfredd
Hey, erstmal danke an all die hilfreichen Antworten! :D

Ja die softwarebasierten Lösungen merk ich mir erstmal! :)
So ein managed switch wäre aber schon eher das, was ich bevorzugen würde.

Könnt ihr mir Produktvorschläge dazu machen?
Ich werd mir sicher kein 1000 euro teil von Cisco oder so anschaffen xD Wenns das dafür sein müsste, dann mach ichs lieber anders.

Aber wenns irgendwas gibt was entweder zweistellig bleibt oder zumindest niedrig dreistellig, dann wäre das schon was fuer mich.
Es gibt hier nen sehr günstigen von TP Link:
https://www.amazon.de/TP-Link-TL-SG...71&sprefix=managed+switch,aps,121&sr=8-4&th=1


Aber der ist von seiner Funktionalität her scheinbar nur sehr bedingt "managed" xD
https://www.reddit.com/r/homelab/comments/14l8r3d/are_tplink_tlsg608e_managed_or_not/
 
Von Mikrotik gibt es genügend günstige Switche. CSS318, CSS610, CSS326 (gebraucht), CRS326 (auch teilweise unter 100€ gebraucht) oder die Semi-Pro-Serien von Zyxel GS19XX bspw.. Vor dem Kauf Handbuch lesen. ;-)
 
  • Gefällt mir
Reaktionen: Fastfingerfredd
Das simpelste ist, dem Server einfach den Internet-Zugang im Router zu sperren.
Ich weis nicht ob das ittlerweile jeder kann, aber in ner Fritzbox geht das ganz gut.

Vorteil: virtuelle Maschinen auf dem Server können trotzdem Internet bekommen, solange die eine andere IP haben...
 
cbtaste420 schrieb:
Von Mikrotik gibt es genügend günstige Switche. CSS318, CSS610, CSS326 (gebraucht), CRS326 (auch teilweise unter 100€ gebraucht) oder die Semi-Pro-Serien von Zyxel GS19XX bspw.. Vor dem Kauf Handbuch lesen. ;-)
Zum Vergrößern anklicken....
Ach Mensch super!
Danke! :)

Bei dem Zyxel gibts auch ein etwas kleineres Format.
Wir haben v.a. an der Stelle im LAN keinen Bedarf an ganz vielen Ports, drum ist mit der kleinere Formfaktor vom Zyxel mit 8 Ports sehr recht!
Gibts das auch bei den Mikrotiks?
Auch die potenzielle Lautstärke wäre wichtig, so ein managed switch kann natürlich mehr als ein unmanaged/pseudo-managed, zur Not nehm ichs schon in Kauf, aber wenns irgendwie geht gerne klein und leise, 8 ports reichen vollkommen.

K-551 schrieb:
Das simpelste ist, dem Server einfach den Internet-Zugang im Router zu sperren.
Ich weis nicht ob das ittlerweile jeder kann, aber in ner Fritzbox geht das ganz gut.

Vorteil: virtuelle Maschinen auf dem Server können trotzdem Internet bekommen, solange die eine andere IP haben...
Zum Vergrößern anklicken....
Ja ich hab ne gute Fritzbox, hab nachgeschaut, die kann das! :)
Das werd ich auch machen, aber zusätzlich bzw. lieber ist mir trotzdem die physische Trennung.
Doppelt hält besser und ich bin einfach ein Freund davon, "den Stecker zu ziehen", ist mir in der heutigen Zeit einfach am liebsten. Die physische Barriere immer noch die, die von der Softwareseite her am schwersten zu bewältigen ist xD
 
@redjack1000 naja wie ich schon im OP beschrieben hab, wenn ich durch die Koppelelemente im LAN bereits dafür sorge, dass die Netzressource nicht bis zum Router/Gateway/"Tor ins Internet" durchdringen kann. Das meine ich hier mit physischer Trennung.

Absolut genial wär natürlich wenn das auch ohne Konfiguration im Switch/Layer 2 Koppelelement erfolgen koennte. Aber die Ressource soll halt noch im LAN verfügbar sein, und mir fehlt gerade der Geistesblitz, wie man das anstellen koennte, darum hol ich mir von euch eure Ratschläge, vielleicht blitzts bei euch mehr :D
 
Dann nimm am besten ein Schrödinger-LAN-Kabel, das ist dann jeweils eingesteckt, wenn ein Datenpaket fürs LAN kommt und ausgesteckt, wenn eins für ins Internet kommt. Solls nur heute zum Sonderpreis geben. 😉
 
  • Gefällt mir
Reaktionen: h00bi, cbtaste420 und Incanus
So wie du denkst mit einem LAN geht es einfach physikalisch nicht.

Wenn geht es nur über zwei LAN Netze eine lokale Gruppe für das Nas mit eigenem Router und der bisherige mit dem zweiten Netzwerk für das Internet.

Technologisch trennen in einem LAN geht nur mit Entzug des Gateways für die Geräte die nicht ins Internet sollen.
 
cbtaste420 schrieb:
Port-Isolation
Zum Vergrößern anklicken....
Ich stehe noch auf dem Schlauch. Wie soll das hier helfen? Bei der Port-Isolation kannst Du die Geräte innerhalb des Heimnetzes voneinander trennen. Der Port zum Router wird nicht isoliert, entsprechend können dann alle isolierten Ports nur zum Router. Ich sehe bisher nur die Lösung über eine Sperre im Router.
 
Gehen tut das schon. Du erlaubst jede Kommunikation, blockierst nur, dass Pakete die am "NAS-Port" rein kommen zum "Router-Port" raus dürfen (und umgekehrt).
Umfangreicher und mächtiger wäre da eine Hardware-(Firewall). Die erlaubt dann gezieltes blockieren anhand von IP-Adressen oder sogar auf Port-Ebene (z.B. nur Port 445 für smb). Die meisten Lösungen sind aber für den Zwekc fast zu mächtig, relativ günstig liese sich das aber z.B. mit einem Ubiquiti EdgeRouter X oder einem MikroTik RouterBOARD hEX umsetzen. An Port1 den "LAN-Switch", an Port 2 das NAS und an Port 3 den Internet-Router und dann lässt sich sehr genau steuern wer mit wem über was reden darf. Ist aber auch alles andere als Plug and Play.

Warum soll das NAS überhaut nicht ins Internet? Auch ein NAS, vor allem ein windowsbasiertes, sollte sich ab und zu Updates ziehen.
 
Nilson schrieb:
Du erlaubst jede Kommunikation, blockierst nur, dass Pakete die am "NAS-Port" rein kommen zum "Router-Port" raus dürfen (und umgekehrt).
Zum Vergrößern anklicken....
Habe ich leider auch noch nicht verstanden. Das NAS soll ja gerade nicht mit dem Router und damit dem Internet sprechen dürfen, also es soll Switch intern bleiben. Abgesehen davon, dass das auch noch voraussetzt, dass alle Geräte direkt am Switch angeschlossen sind.
 
Basierend auf der Anleitung von @cbtaste420 für mikrotik würde ich den Switch wie folgt konfiguieren:
Mit der Annahme: An Port 1 hängt der Router, an Port 10 das NAS.
SwOS_Management.png

Jeder darf mit jedem, nur Port 1 und Port 10 nicht.
 
  • Gefällt mir
Reaktionen: cbtaste420
Puh. Müsste man ausprobieren. Oder hast Du selbst einen MikroTik mit SwOS (Lite) da? Das ist jedenfalls etwas, was nur Switche mit zwei-dimensionaler Port-Isolation anbieten. Will man absolute Geschwindigkeit wäre auch fraglich, ob das noch auf Hardware geschieht, also ob irgendein Switch-Chipsatz das überhaupt bietet und ob das nicht eine von MikroTik entwickelte Software-Emulation ist.

Könnte – selbst noch nicht probiert – bei D-Link DGS-1210 → Security → Traffic-Segmentation gehen. Zyxel bietet das selbst in den besseren Serien wie der 1920er nicht, denn hier kann ich lediglich den Port anhaken, ob er „isolated“ sein soll oder nicht. Wüsste jetzt auch keinen anderen Switch für SoHo bzw. KMU, der das bietet, selbst Cisco CBS350/C1300 nicht.
Fastfingerfredd schrieb:
Wir haben v.a. an der Stelle im LAN keinen Bedarf an ganz vielen Ports, drum ist mit der kleinere Formfaktor vom Zyxel mit 8 Ports sehr recht!
Zum Vergrößern anklicken....
Nur damit kein Missverständnis entstand: Falls das bei MikroTik wirklich so geht, müssten alle Geräte im LAN mit dem Switch direkt verbunden sein; also alle Geräte, die mit dem NAS kommunizieren können sollen. Geht das baulich überhaupt bzw. reicht dann ein noch 8er-Switch bei Dir?
 
Zuletzt bearbeitet: (Hyperlink zur aktuellen Dokumention für SwOS (Lite) hinzugefügt; D-Link nachgeschaut)
norKoeri schrieb:
Nur damit kein Missverständnis entstand: Falls das bei MikroTik wirklich so geht, müssten alle Geräte im LAN mit dem Switch direkt verbunden sein; also alle Geräte, die mit dem NAS kommunizieren können sollen. Geht das baulich überhaupt bzw. reicht dann ein noch 8er-Switch bei Dir?
Zum Vergrößern anklicken....


Hmmm das geht nicht. Hier ne etwas vollständigere Skizze:
 

Anhänge

  • 1.jpg
    1.jpg
    67,3 KB · Aufrufe: 41
Zuletzt bearbeitet:
Bilder bitte direkt anhägen. Zum einen sind sie immer verfügbar, zum anderen geht imgur von der Firma aus nicht ;)
norKoeri schrieb:
Falls das bei MikroTik wirklich so geht, müssten alle Geräte im LAN mit dem Switch direkt verbunden sein; also alle Geräte, die mit dem NAS kommunizieren können sollen.
Zum Vergrößern anklicken....
Warum?
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

A
Pins am PoE+ Switch trennen für ein zweites Gerät
Antworten
9
Aufrufe
936
Raijin
Raijin
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz