ComputerBase Menü
Aktuelles

Mehrere Zonen im Heimnetz und keinen Plan

N

nabla²

Cadet 3rd Year
Registriert
Juli 2007
Beiträge
42
Ich bin gerade dabei, mein Heimnetz neu zu ordnen. Als Laie weiß ich nur begrenzt, was machbar ist, mir scheint aber, dass meine Zielvorstellungen sich zum Teil widersprechen:
  • Separation in Subnetze: Privater Bereich, demilitarisierte Zone, etc.
  • möglichst wenige Geräte bzw. niedriger Stromverbrauch
  • einheitliche Benutzerverwaltung mittels LDAP
Bis jetzt sieht's bei mir eher einfach. Fritzbox mit WLAN und Gast-WLAN. LAN auch unterteilt in normalen Bereich und Gastbereich. Insbesondere möchte ich den LAN-Bereich weiter unterteilen. Prinzipiell könnte es so aussehen. Es sind noch nicht alle Geräte verhanden, aber ich möchte diese schon perspektivisch mitdenken:

Persönlicher Bereich (teilweise 10Gbit LAN)
  • 3 PCs (95% Linux-Benutzung)
  • NAS mit persönlichen Daten
  • LDAP-Server insbesondere um IDs (uid und gid) für NFS-Server auf NAS konsistent zu halten
  • MySQL/MariaDB Server für digikam (Bilderverwaltung)
DMZ (kein Zugriff auf privaten Bereich), auch Zugriff von außen
  • NAS mit allgemeinen Daten (Musik, Filme, ...)
  • Jellyfin-Medien-Server
  • Remote Backup Ziel
  • git repository
Zugriff auf DMZ (kein Zugriff auf privaten Bereich)
  • Medienplayer
  • WLAN-Geräte
Weitere Geräte ohne Zugriff auf DMZ (die vorher Gast-Geräte waren)

Nun habe ich folgende Probleme mit diesem Aufbau. Eigentlich möchte ich nicht mehrere NAS-Geräte verwenden. Auch wollte ich eigentlich von den privaten Rechnern (zum Teil) 10Gbit-LAN Zugriff sowohl auf die privaten Daten als auch die potenziell öffentlichen Daten. Die ganze Infrastruktur dann auf 10GBit umzustellen ist aber vermutlich unnötig und zu teuer. Auch sollten sich die Rechte auf dem öffentlichen NAS-Teil nach dem LDAP-Server richten. Wie schlecht ist es also, wenn man die NAS (mit mehreren LAN ports) an unterschiedliche Netzbereiche hängt und die gefährdeten Dienste im Docker oder einer VM laufen? Theoretisch doof, aber aus praktischer Sicht?
Zusätzlich irgendwie ein VPN-Server? Auf meiner FritzBox reicht die Rechenleistung für volle Geschwindigkeit nicht aus. Auch hätte ich gerne, dass sowas eher über Keys geht als über Passwörter (ähnlich wie bei SSH). Da nur sehr wenige Leute Zugriff von außen haben sollen, könnte es also auch ok sein, bei der Ersteinrichtung etwas Aufwand zu haben. Geht sowas?

Welche Geräte würde man benötigen?

Ich würde mich über grobe Richtungsangaben freuen. Details fuchse ich mir dann schon irgendwie zurecht. Ich weiß, irgendwie noch alles etwas konfus, ich habe halt keine Ahnung, was alles geht.

Vielen Dank euch.
 
Mir wäre da erstmal nicht bekannt, dass man auf einer NAS fileshares so einrichten kann, dass z.B die Ordner A, B und C nur für das öffentliche, und D, E und F für das private Netz sichbar sind.

In dem Fall gibts aus meiner Sicht die Überlegung, wie du das segmentierst.
a) NAS ins private Netz, und Zugriffe aus dem öffentliche Netz auf einzelne Ports freigeben
b) NAS is öffentliche Netz, und Zugriffe aus dem privaten Netz auf einzelnen Ports freigeben
c) NAS in ein eigenes Netz, Zugriffe aus den Netzen einzeln regeln, z.B öffentlich darf nur NFS, privat darf auch Web-UI, etc.

Grundsätzlich heißt das Zauberwort für das was du vor hast VLAN. Sprich du definierst eigene VLANs, die du dann entweder WLANs oder Switch-Ports zuweisen kannst.
Keine Ahnung, ob das die Fritzbox kann. Unifi Equipment kann sowas z.B
 
NAS ins Internet? Sag schonmal tschüss zu den Daten.
Verbinde dich mit VPN ins private Netz und gut ist. Du willst nichts nach außen frei haben.
 
  • Gefällt mir
Reaktionen: donnerwolke und Der Lord
NAS in die DMZ und gleichzeitig noch im privaten Netz einbinden ist absurd. Ausm Bauch raus würde ich behaupten, dass es keine DMZ im klassischen Sinne braucht für dich. Eine gute Firewall Lösung, die Netze mittels VLANs trennen kann und einen VPN Server bereitstellt, sollte dich an dein Ziel bringen. Bevor man etwas öffentlich ans Netz hängt sollte man sich zehnmal überlegen, ob das sein muss. VPN ist - ganz besonders privat- die bessere Option, wenn es darum geht Zugriffe von anderen Standorten zu ermöglichen. Vermutlich kennst du die betroffenen Geräte/Nutzer und damit ist es dann auch gut zu bewerkstelligen.
 
nabla² schrieb:
Bis jetzt sieht's bei mir eher einfach. Fritzbox mit WLAN und Gast-WLAN. LAN auch unterteilt in normalen Bereich und Gastbereich. Insbesondere möchte ich den LAN-Bereich weiter unterteilen.
Zum Vergrößern anklicken....
Ganz ehrlich, mach einfach nur die zwei Netze. Alles andere ist Mumpitz bei der vorhandenen Hardware und auch dem Ziel es simpel zu halten. Zugriff von außen nur über verschlüsselte VPN.

VLAN und so weiter ist alles eh nur sinnvoll wenn du komplexere Netze aufbaust in Verbindung mit Servern, du brauchst dann auch Switches, etc.. die das alles unterstützen. Das ist für zu Hause bei so wenig Geräten total unnötig. Ich mein, was willst du in die Netze rein hängen? Deine Aufstellung oben hat so keine Vorteile.
 
  • Gefällt mir
Reaktionen: Mickey Mouse
ganz ehrlich?
wenn ich mir das so durchlese, dann treibst du erheblichen Aufwand mit "gefährlichem Halbwissen" und am Ende wird das Konstrukt vermutlich wesentlich unsicherer sein als eine "geradeaus Lösung".
KISS -> keep it simple & stupid
 
  • Gefällt mir
Reaktionen: whats4, Red Sun, snaxilian und 3 andere
Würde das mal anderes herum angehen, was hast du denn vor bzw. vor was willst du dich schützen?
Klingt erstmal so als gäbe es die üblichen zwei Anforderungen wie das bei den meisten so ist.

1. Du selbst mit der Nutzung von allem was du beschreibst
2. Gäste die sich ins WLAN einloggen um ausschließlich Internet zu bekommen

Wenn du also nicht in einer WG oder sonstiges wohnst wo sehr viele "unbekannte" Personen im Haus sind dann reicht die übliche Gast WLAN Nummer eigentlich aus.
Weil klar steckst du eventuell dein TV z.B. per LAN Kabel an dein "privates" Netz um Zugriff aufs NAS etc. zu bekommen und wenn sich da jetzt einer das Kabel schnappt kommt er in dein "privates" Netz.

AAAber da gibt es was viel effizienteres gegen als all das was du beschreibst... die Hand mit der man Schellen an die Leute verteilt wenn es deine Wohnung ist. Bestes Tool für Cybersecurity in den eigenen 4 Wänden. ;)
 
Vielen Dank euch allen für eure schnellen Antworten.
Mickey Mouse schrieb:
ganz ehrlich?
wenn ich mir das so durchlese, dann treibst du erheblichen Aufwand mit "gefährlichem Halbwissen" und am Ende wird das Konstrukt vermutlich wesentlich unsicherer sein als eine "geradeaus Lösung".
KISS -> keep it simple & stupid
Zum Vergrößern anklicken....
Vollkommen richtig. Immerhin ist es bewusste Inkompetenz. ;) Mein Plan ist durchaus, erst einmal zu verstehen, ob ich es verstehe und mich langsam einzuarbeiten.

Poati schrieb:
NAS in die DMZ und gleichzeitig noch im privaten Netz einbinden ist absurd. Ausm Bauch raus würde ich behaupten, dass es keine DMZ im klassischen Sinne braucht für dich. Eine gute Firewall Lösung, die Netze mittels VLANs trennen kann und einen VPN Server bereitstellt, sollte dich an dein Ziel bringen. Bevor man etwas öffentlich ans Netz hängt sollte man sich zehnmal überlegen, ob das sein muss. VPN ist - ganz besonders privat- die bessere Option, wenn es darum geht Zugriffe von anderen Standorten zu ermöglichen. Vermutlich kennst du die betroffenen Geräte/Nutzer und damit ist es dann auch gut zu bewerkstelligen.
Zum Vergrößern anklicken....
Gut, überzeugt. Mit dem Zugang nur per VPN sollte es dann gleich deutlich sicherer sein. Hättet ihr mal ein ganz konkretes Beispiel für ein entsprechendes Gerät? Meine Fritzbox (7490) ist älter und könnte so langsam auch ersetzt werden. Diese muss also nicht unbedingt zu dem neuen Gerät passen bzw. könnte ein neues Gerät diese teilweise ersetzen. Mein Switch (Zyxel GS1900-24E) ist VLAN-fähig. So trenne ich im Moment das Hauptnetz und das Gastnetz im LAN.

Erzherzog schrieb:
Ganz ehrlich, mach einfach nur die zwei Netze. Alles andere ist Mumpitz bei der vorhandenen Hardware und auch dem Ziel es simpel zu halten. Zugriff von außen nur über verschlüsselte VPN.

VLAN und so weiter ist alles eh nur sinnvoll wenn du komplexere Netze aufbaust in Verbindung mit Servern, du brauchst dann auch Switches, etc.. die das alles unterstützen. Das ist für zu Hause bei so wenig Geräten total unnötig. Ich mein, was willst du in die Netze rein hängen? Deine Aufstellung oben hat so keine Vorteile.
Zum Vergrößern anklicken....
Gut, alle Geräte, die einfach nur Internet benötigen, kommen ins Gastnetz. Folgendes Problem bleibt aber (und das hätte ich oben schon erwähnen sollen), wenn der Rest jetzt in einem Netz ist: Meine NAS-Daten binde ich an den Haupt-Computern per NFS ein. Irgendwie bin ich zu blöde für Kerberos (und mir scheint, dass eine Synology NAS das auch nicht direkt als Server anbietet), so dass die Authentifizierung über uid und gid läuft. Prinzipiell heißt das dann aber auch, dass jeder Rechner, wenn er nur wollte, Zugriff auf die Daten hat.
Meine Lösung war nun, dem NFS-Server auf das NAS nur Zugriff aus einem Teilnetz zu erlauben (192.168.0.0/27) und dann die vertrauenswürdigen Geräte eben in diesem Bereich sind. Der Rest (zum Beispiel Medienplayer) in einem höheren Bereich von (192.168.0.0/24). Bei den WLAN-Geräten wird die FritzBox das schon so managen, bei den LAN-Geräten, die keinen Zugang haben sollen, habe ich halt die IP fest konfiguriert. Nun könnte doch aber so ein LAN-Gerät, wenn es denn böses wollte, seine IP-Adresse ändern und wäre dann wieder in dem Bereich mit Zugriff. Ja, vermutlich ist das paranoid, aber irgendwie ist mir halt bei der NFS-Geschichte nicht wohl... Bin ich da zu paranoid? Wie geht man das an? Nur VPN Server (wie?) und die Netzaufteilung so lassen?
 
nabla² schrieb:
Prinzipiell heißt das dann aber auch, dass jeder Rechner, wenn er nur wollte, Zugriff auf die Daten hat.
Zum Vergrößern anklicken....
Nein, das ist kein Problem. NFS heißt ja nicht das du alles für jeden frei geben musst, du kannst auf der Synology Nutzerprofile erstellen mit manuellen Freigaben. Das solltest du so der so tun, egal was du machst.


nabla² schrieb:
Bin ich da zu paranoid?
Zum Vergrößern anklicken....
Ja, du willst einfach nur Netze aufteilen ohne Nutzen im Heimnetz. Die anderen Geräte kommen eh nicht auf das NAS wenn du den Zugriff einschränkst.
 
ich glaube, wir kommen dem eigentlichen Problem näher!
es geht im Kern gar nicht um Netzwerk Strukturen, sondern authentication und authorization (auch das sind zwei im Grundsatz völlig andere Dinge und werden gerne durcheinander geworfen).

ich hatte mit meiner Synology genau das gegenteilige Problem. Vorher hatte ich NAS (iOmega und Intel) mit "sehr hoher Unix/Linux Affinität". D.h. die konnte man sehr einfach in eine NIS Verwaltung einbauen aber für Windows sahen die Dinger immer etwas komisch aus (die gesamte Rechte Vergabe basierte halt auf UID/GID und read/write/execute). Die Synology (DS213) macht out of the box alles "im Windows Style".

ich gehe davon aus, dass man das auch deiner Synology beibringen kann.

Falls nicht, muss man mal sehen was FÜR DICH die einfachste, günstigste, performanteste, leiseste, stromsparenste, ... (du merkst was ich meine? ;) ) Lösung ist.
Sind deine Platten eh ausgelutscht, dann könnte ein ganz neues NAS die Lösung bringen. Und da muss man sich dann überlegen, ob man da wieder eine "Fertig-Kiste" nimmt oder sich einen "Server" zusammen baut.
da gibt es ja inzwischen unzählige Varianten, von einem RasPi bis hin zu einem HCI Cluster z.B. mit ProxMox und CEPH, auf dem man entsprechende "virtuelle NAS" laufen lassen kann oder auch eine "Windows Umgebung" mit Zentyal oder UCS (das ist das, was ich mir mal angesehen habe und sehr einfach zu bedienen ist).
 
Erzherzog schrieb:
Nein, das ist kein Problem. NFS heißt ja nicht das du alles für jeden frei geben musst, du kannst auf der Synology Nutzerprofile erstellen mit manuellen Freigaben. Das solltest du so der so tun, egal was du machst.
Zum Vergrößern anklicken....
Nicht im Allgemeinen. Bei NFS ohne Kerberos wird alles über uid und gid geregelt. Passwörter sind nicht nötig. Ich kann Nutzer einrichten, wie ich will, die Daten sind erst einmal auf Clients verfügbar. Erst mit NFSv4 wurde Authentifizierung mit Kerberos möglich. Hier war ich aber bis jetzt zu doof, das mit meiner Synology 916+ umzusetzen.

Mickey Mouse schrieb:
ich glaube, wir kommen dem eigentlichen Problem näher!
es geht im Kern gar nicht um Netzwerk Strukturen, sondern authentication und authorization (auch das sind zwei im Grundsatz völlig andere Dinge und werden gerne durcheinander geworfen).

...

ich gehe davon aus, dass man das auch deiner Synology beibringen kann.

Falls nicht, muss man mal sehen was FÜR DICH die einfachste, günstigste, performanteste, leiseste, stromsparenste, ... (du merkst was ich meine? ;) ) Lösung ist.
Sind deine Platten eh ausgelutscht, dann könnte ein ganz neues NAS die Lösung bringen. Und da muss man sich dann überlegen, ob man da wieder eine "Fertig-Kiste" nimmt oder sich einen "Server" zusammen baut.
...
Zum Vergrößern anklicken....
Ja, da hast du vermutlich Recht. Meine Unfähigkeit, die Authentifizierung richtig hinzubekommen, habe ich versucht durch weitere Netzwerkaufteilung zu regeln. Vermutlich ist das nicht der richtige Ansatz. Ich habe halt nicht gefunden, wie ich einen Kerberos-Server auf meiner Synology 916+ zum Laufen bringen. Vielleicht in einem Docker container? Oder ich guck mir mal dieses Active Directory an, was aber eher so ein Windows Ding zu sein scheint...
Aber ja, irgendwann wird sicherlich eine neue NAS fällig. Meine 4x14TB (RAID 5) sind praktisch voll... :freak: Danke, ich werde überlegen, ob ich da was selber baue. Ist vermutlich eine Zeitfrage... Ja, Synology scheint eher auf die Windows-Experience zu optimieren, für die vollen Docker features muss ich mich eh einloggen etc. Ein eigener richtiger Server könnte sich da besser anfühlen. Ob dann wirklich besser, da bin ich mir halt nicht so sicher...
 
also "normalerweise" ist die Windows Benutzerverwaltung bei den Synology aktiv, dahinter "versteckt" sich "automatisch" der Kerberos Dienst, wenn man per SMB/CIFS drauf zugreift. Da musst du nix zusätzlich einrichten.
du kannst dann noch "hintenrum" Shares zusätzlich und auch parallel dazu per NFS freigeben, wo dann die Verantwortung auf den Client verlagert wird (naja, Feigenblatt mäßig...).

du kannst doch auf dem Synology User und Gruppen anlegen und auf Windows dann die Rechte entsprechend verteilen?!?
 
Mickey Mouse schrieb:
also "normalerweise" ist die Windows Benutzerverwaltung bei den Synology aktiv, dahinter "versteckt" sich "automatisch" der Kerberos Dienst, wenn man per SMB/CIFS drauf zugreift. Da musst du nix zusätzlich einrichten.
du kannst dann noch "hintenrum" Shares zusätzlich und auch parallel dazu per NFS freigeben, wo dann die Verantwortung auf den Client verlagert wird (naja, Feigenblatt mäßig...).

du kannst doch auf dem Synology User und Gruppen anlegen und auf Windows dann die Rechte entsprechend verteilen?!?
Zum Vergrößern anklicken....
Mmhh... ich verstehe nicht genau, was du meinst; vermutlich weil ich praktisch nur Linux verwende, aber auch nicht genau Kerberos verstehe... Ja, ich habe auf der Synology User und Gruppen. Per SMB klappt das auch alles soweit. So greift mein Medienplayer per SMB auf die NAS zu und ganz selten verwende ich das auch unter Windows. Die Zugriffsrechte passe ich praktisch nur auf Rechnern an, die die Shares über NFS gemountet haben. Hier muss ich halt im Moment manuell sicherstellen, dass uid und gid übereinstimmen. Im Dateibrowser der File Station werden mir die Zugriffsrechte dann auch UNIX-style angezeigt, wobei ich vermeide, sie dort zu verändern, da dass dann wieder nach Windows aussieht.

Meinst du, auf der Synology läuft schon irgendwie ein Kerberos-Server? Wenn ich das richtig verstehe, braucht man ja einen Kerberos-Server, der Tickets verteilt. So etwas bräuchte ich halt, um in Synologys NFS server the Kerberos Authentifizierung anstellen zu können. (Bitte korrigiere mich, falls das hier alles bullshit ist.)
 
Hmm finde ich interessant. Ich will eigentlich auch mehrere Windows/Linux Rechner mit geteilten home und gesharter authentication haben. Geht aber wohl nicht mit den home Versionen von Windows. Zumindest meines Wissens nach nicht
 
nabla² schrieb:
Erst mit NFSv4 wurde Authentifizierung mit Kerberos möglich. Hier war ich aber bis jetzt zu doof, das mit meiner Synology 916+ umzusetzen.
Zum Vergrößern anklicken....
Ja gut, ich ging jetzt schon davon aus das du das entsprechend nutzt. Synology hat doch ein sehr gutes Handbuch, schau da mal rein bevor wir hier ellenlang hin und her schreiben.
 
Erzherzog schrieb:
Ja gut, ich ging jetzt schon davon aus das du das entsprechend nutzt. Synology hat doch ein sehr gutes Handbuch, schau da mal rein bevor wir hier ellenlang hin und her schreiben.
Zum Vergrößern anklicken....
Für den reinen NFS-Teil ja. Aber mir scheint, als wenn Synology gar keine Lösung für einen Kerberos-Server anbietet und entsprechend keine Anleitung bietet. Ich mir scheint fast, als müsste ich das alles in einer virtuellen Maschine regeln. Docker images habe ich auf die schnelle nicht gefunden, denen ich so einfach vertrauen würde...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Sterntaste
Wechsel von 1G auf 2,5G im Heimnetz
Antworten
4
Aufrufe
602
ushome1
U
D
Zugriff aufs NAS im Netzwerk gestört. Brauche Euren Rat!
Antworten
6
Aufrufe
705
DarkScout
D
D
Verbindung unsicher: Ionos-Server Portweiterleitung zur NAS im Heimnetz
Antworten
9
Aufrufe
798
chrigu
chrigu
Y
Beratung zu Mesh-System mit LAN Anbindung
Antworten
17
Aufrufe
1.043
jensxp
jensxp
L
Einbindung einer IP Kamera ins Heimnetz mit eingeschränktem Zugang
Antworten
15
Aufrufe
594
norKoeri
N
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz