Netzwerk-Konfiguration: Ideensammlung und Fragen

[oicfar]

Hallo zusammen,

über die Jahre habe ich mir eine "kleine" Spielwiese aufgebaut. Ich probiere ein wenig mit Microservices herum und spiele es hier ein.

Kurze Erklärung zum Bild:

• FB -> macht DNS
  • WLAN für paar Geräte
  • LAN -> Mini-Server (24/7)
    • Pi-Hole -> aber kein DNS
    • Apt-Cacher-ng -> wird von jedem Linux Server bzw. Linux VM genutzt
  • LAN -> TP-Link TL-SG608E 8-Ports Gigabit Easy Smart Managed Netzwerk Switch
    • LAN -> Switch (1) mit Raspis
      • IPs sind in der FB fest zugewiesen
    • LAN -> Switch (2) mit NUCs
      • IPs sind in der FB fest zugewiesen
      • Proxmox mit VMs
        • teilweise feste IPs
    • LAN -> NAS
    • LAN -> weiter Geräte

Der rot markierte Bereich ist ausgeschaltet und wird nur dann hochgefahren, wenn ich damit was machen möchte. Der andere Bereich ist so aufgebaut, dass es in der Summe stromsparend läuft.

Mit dem Netzwerk-Setup hatte ich mich bisher im Detail nicht beschäftigt und die Möglichkeiten in der FB waren/sind ausreichend. So wie es gewachsen ist, stelle ich halt fest, dass die IP Zuweisung in der FB unübersichtlich wird. Ich könnte das auch über Pi-Hole machen. Aktuell überlege ich VLANs (VLAN -> Raspis und VLAN -> NUCs/VMs) aufzubauen. Für die Hauptgeräte will ich weiterhin die FB als DNS nutzen. Nur die Spielwiese soll abgetrennt werden. Für denn Fall, dass ich nicht mehr da bin, soll meine Familie es einfach haben und sich nicht fragen, was ich da aufgebaut habe und wie man wieder Internet hat.

Wenn ich es richtig verstanden habe, müsste ich entweder einen Router für die Verwaltung der VLANs (DNS pro VLAN) anstatt TP (M) hinstellen. Sehe ich das richtig? Wenn ja, was wäre hier empfehlenswert ohne dass es überdimensioniert für mein Setup ist? Wie schon geschrieben, es ist eine Spielwiese.

Irgendwie macht mich das Netzwerk wahnsinnig. Ich könnte es auch wie bisher lassen und mit den Schwächen leben. Aber die innere Stimme sagt mir, dass ich das angehen sollte.

• Fragen?
• Bemerkungen?
• Tipps wie ich es sinnvoll angehen könnte/müsste?

Danke schon mal für den Austausch!

 

[dope69]

Wenn du nur deine Spielwiese abtrennen willst, könntest du theoretisch das Gast Netz der FritzBox nutzen. Das kannst du auf einem der Ports der FritzBox aktivieren und da dann den TP Managed Switch dranhängen. (Gerät #1 in deinem Schaubild müsste dann weg von dem Switch und direkt an die Fritte)

Wenn ich es richtig verstanden habe, müsste ich entweder einen Router für die Verwaltung der VLANs (DNS pro VLAN) anstatt TP (M) hinstellen. Sehe ich das richtig? Wenn ja, was wäre hier empfehlenswert ohne dass es überdimensioniert für mein Setup ist? Wie schon geschrieben, es ist eine Spielwiese.

Korrekt, günstigste wäre wahrscheinlich einer deiner Raspberrys mit OPNSense/pfSense.

 

[oicfar]

Wenn du nur deine Spielwiese abtrennen willst, könntest du theoretisch das Gast Netz der FritzBox nutzen. Das kannst du auf einem der Ports der FritzBox aktivieren und da dann den TP Managed Switch dranhängen. (Gerät #1 in deinem Schaubild müsste dann weg von dem Switch und direkt an die Fritte)

Das geht leider nicht. Da der Abstand hier zu lang ist und ich kein 2. LAN ziehen kann. Und den Switch nur für die Spielwiese zu ehmen, wäre ein wenig zu schade. An dem TP Switch hängt noch was anderes, was nicht im Schaubild abgebildet ist.

Korrekt, günstigste wäre wahrscheinlich einer deiner Raspberrys mit OPNSense/pfSense.

Muss mir das noch durch den Kopf gehen lassen.

Ich schaue mal nach, was es so Richtung Micro Firewall Appliance Mini PC Router gibt. Zuerst aber mal einige Tutorials reinziehen um es besser zu verstehen.

 

[oicfar]

Ich werde es vielleicht so machen. An TP-Link (den brauche ich, wenn die Spielwiese abgeschaltet ist und es verbraucht wenig Energie) noch einen Router (OPNSense/pfSense) mit 4 LANs anschließen.

• LAN 1 -> Verbindung zum TP-Link
• LAN 2 -> Verbindung zum Switch mit Raspis (VLAN10)
• LAN 3 -> Verbindung zum Switch mit NUCs (VLAN20)
• LAN 4 -> Verbindung zum Proxmox (VLAN30)

An sich kann das dann auch aus sein. Und würde eingeschaltet werden, wenn ich was vom anderen Teil brauche. So kann ich die anderen VLANs dazu schalten. Zumindest die grobe Theorie.

@dope69 das würde bedeuten, dass ich TP-Link so konfigurieren müsste, dass wenn ich die anderen VLANs erreichen möchte, ich das an den neuen Router weiterleite. Und wenn die Geräte in den neuen VLANs das "normale" Netzt erreichen müssen, ich es nur im neuen Router konfiguriere oder muss der Rückweg auch im TP-Link konfiguriert werden.

Aber zuerst muss ich erst noch die Theorie verstehen/lernen bevor ich hier ~200€ ausgebe.

 

[dope69]

Auf dem Switch konfigurierst du keine Routen, da definierst du nur deine VLANs.

Der Weg zwischen den VLANs geht immer über den Router. Einen Router mit 4 Ports brauchst du nicht unbedingt, in OPNSense kannst du auf einem Interface verschiedene VLANs erstellen, die dann alle über ein Kabel zum Switch gehen und der verteilt die dann entsprechend seiner Config. Sollte theoretisch sogar mit nur einem LAN Port am Router gehen, bin mir aber nicht sicher ob OPNSense WAN zwingend auf einem einzelenen Interface haben will. Nachteil wäre eben der Flaschenhals von nur einem Kabel, wenn du z.B. aus VLAN10 nach VLAN20 große Datenmengen kopieren willst, fließen die einmal hin zum Router über ein Kabel und einmal zurück über das selbe Kabel.

Routen müsstest du folgende anlegen wenn du von überall nach überall zugreifen willst:
In der FritzBox:
FritzBox Netz -> VLAN10
FritzBox Netz -> VLAN20
FritzBox Netz -> VLAN30
Im neuen Router:
VLAN10->FritzBox Netz
VLAN20->FritzBox Netz
VLAN30->FritzBox Netz
VLAN10->VLAN20
VLAN10->VLAN30
VLAN20->VLAN10
VLAN20->VLAN30
VLAN30->VLAN10
VLAN30->VLAN20

Die Geräte im VLAN bekommen den neuen Router als Standardgateway, die alten Geräte (im FritzBox Netz) bekommen weiterhin die FritzBox als Standardgateway.

 

[oicfar]

@dope69 danke! Das macht es ein wenig klarer.

Wenn ich ein Lasttest fahre, dann schicken die Raspis zu einem der NUCs Logs. Wie viel es ist, hängt vom Loglevel aus. Außerdem laufen auf den NUCs auch die Datenbanken. 1GB sollte hier reichen. Aber man weiß ja nie.

Ich bin erst dabei noch das nötige Wissen aufzubauen und dann schaue ich, welchen Weg ich gehen werden. Und ob am Ende ich dann die 200€ ausgeben werde, ist noch offen und es wäre keine schlechte Ausgabe.

 

[dope69]

Falls du einen Raspberry rumliegen hast würde ich mir einfach mal OPNSense/pfsense installieren und ein Testnetz aufbauen. Damit kannst du rumspielen und machst nichts kaputt und viel dabei lernen.

 

[oicfar]

Klingt gut, das kann ich dann versuchen. Habe zufällig einen Pi noch übrig.

Die Geräte im VLAN bekommen den neuen Router als Standardgateway, die alten Geräte (im FritzBox Netz) bekommen weiterhin die FritzBox als Standardgateway.

Das ist soweit klar.

Ich greife schon mal vor, da ich hier noch nicht im Thema stecke. Dann aber wären 3 Standardgateways, d.h.

• VLAN10 Standardgateway (Beispiel 192.168.10.1)
• VLAN20 Standardgateway (Beispiel 192.168.20.1)
• VLAN30 Standardgateway (Beispiel 192.168.30.1).

Oder? Nicht eins für alle 3 VLANs?

 

[dope69]

Ja richtig der Router hat eine IP in jedem VLAN und eine im FritzBox Netz, also insgesamt 4.

 

[oicfar]

Jujut. Danke dir. Die Tipps haben es dann klarer gemacht. Der Setup ist dann wiederum was anderes. Aber so habe ich einen Anhaltspunkt. Ich werde mich mit dem Thema dann in den 2. Dezemberhälfte beschäftigen. Bis dahin noch ein wenig Theorie und paar Tutorials reinziehen.