Mit zwei VLANs an NAS QNAP TS-230?

[KaliOL]

Hallo zusammen,

ich bräuchte mal eine erste Einschätzung von Euch zu meiner Amateurverdrahtung.
Der PC vom Junior hängt am Port 4 der Fritz.box im Gast-LAN (orange) - zum Schutz der anderen Mitbewohner :-)
Die zwei Netgear GS108Ev3 sind 802.1Q-VLAN-fähig, laufen aktuell aber ohne VLAN.
Am zweiten GS108Ev3 hängt ein QNAP TS-230 NAS.

Ziel wäre es, das Gast-LAN an einen Port des ersten GS108E als VLAN- zu hängen und von dort den PC-A und zusätzlich das NAS zu erreichen. Weiterhin müsste aber das "Hauptnetz" auch das NAS erreichen.
Ich habe schon gesehen, dass man beim QNAP TS-230 VLANs eintragen kann - vermutlich aber nur eine VLAN-ID pro Netzwerkschnittstelle?

Ziel zusammengefasst: Gast- und Hauptnetz sollen aufs NAS zugreifen sich aber sonst nicht weiter beeinflussen können.

Könnte sowas funktionieren?

 

[Nilson]

Laut QNAP gehen VLANs nur auf NAS mit x86 Prozessor. Du hast eins mit ARM.
Das NAS kann man aber mit einem USB-WLAN-Adapter erweitern. Den kannst du dann ins Gast-WLAN hängen. Oder du kaufst dir einen kleinen Router (Ubiquiti ER-X oder MikroTik RouterBOARD hEX (lite)), der zwischen den beiden Netzen routet/Firewall spielt.

 

[KaliOL]

Danke für die informative Rückmeldung!

Da werde ich wohl noch mal in einen kompatiblen WLAN-Adapter investieren müssen. Das scheint der einfachste, schnellste und für mich der sicherste Weg zu sein.

Der Weg über den Router ist auch sehr interessant aber für mich komplizierter. Zum Routing/Firewall müsste ich mich erstmal einlesen. Primär wollte ich das "Hauptnetz" gegen Verschlüsselungstrojaner schützen.
Wenn man es "kann" würde es dann auch möglich sein ein HUE-Bridge im Gast-LAN aus dem Hauptnetz zu erreichen ohne sich zu viele Löcher in diese Firewall zu reißen?

BTW:
>>Laut QNAP gehen VLANs nur auf NAS mit x86 Prozessor. Du hast eins mit ARM.

Das hatte ich auch gelesen aber der Dialog lässt es zu - vielleicht hat es aber keine Funktion, habe es nicht aktiviert aus Angst nicht mehr ans NAS zu kommen :-)

 

[KaliOL]

Noch mal eine Rückmeldung für alle die evtl. auch nach so einer Lösung suchen und noch unschlüssig sind.

Ich bin dem Hinweis von Nilson gefolgt:
Laut QNAP (http://www.qnap.com/compatibility) gibt es für das TS-230 aktuell drei komp. USB-WLAN-Dongle.
Ich habe den D-Link DWA-172 Wireless USB Adapter genommen.
Eingesteckt, Zugang zum Gast-WLAN eingerichtet, funktioniert.
Benutzer mit eingeschränkten Berechtigungen/Freigabe im NAS eingerichtet.
PC im Gast-LAN mit net use Script Laufwerk/Freigabe zugeordnet - funktioniert perfekt.

TS-230:

Ich geh mal davon aus, dass das sicher ist - und sollte mal im Gast-LAN was nicht stimmen, dass ein Angreifer nicht so ohne weiteres über das NAS ins andere LAN kommt.

 

[Nilson]

Primär wollte ich das "Hauptnetz" gegen Verschlüsselungstrojaner schützen.

Das NAS kann natürlich trotzdem noch verschlüsselt werden.

 

[KaliOL]

Das NAS kann natürlich trotzdem noch verschlüsselt werden.

Ohne weitere Angriffe aber doch nur der/die Freigabeordner für das Gast-LAN oder? Ein Verschlüsselungstrojaner sollte an die übrigen Daten nach meinem Verständnis nicht ran kommen.

 

[Raijin]

Ich geh mal davon aus, dass das sicher ist - und sollte mal im Gast-LAN was nicht stimmen, dass ein Angreifer nicht so ohne weiteres über das NAS ins andere LAN kommt.

Warum sollte das so sein? Das NAS hat jeweils ein Bein in deinem Haupt- bzw. Gast-Netzwerk. Sobald ein Angreifer das NAS von einer Seite erfolgreich infiltriert, hat er Zugang zur anderen Seite.

 

[KaliOL]

Warum sollte das so sein? Das NAS hat jeweils ein Bein in deinem Haupt- bzw. Gast-Netzwerk. Sobald ein Angreifer das NAS von einer Seite erfolgreich infiltriert, hat er Zugang zur anderen Seite.

Diese eher theoretischen Gefahr war nicht gemeint. Wenn ein PC mit Verschlüsselungstrojaner sich die Freigaben vornimmt, dann sollte die Freigaben für das Hauptnetz nicht betroffen sein (solange sie nicht in beiden Netzen freigegeben sind).