2.5GE Netzwerk?

Hallo Bink,

Das Konzept mit der physischen Trennung(Port-Tresor) der LAN-Segmente ist mir unverständlich.

Erschwinglich finde ich die Produkte nicht gerade! Zumindest wenn ich sie mit Mikrotik vergleiche.

Mag sein dass dieser Vergleich unzulässig ist im SInne, das man Äpfel eben nicht mit Birnen vergleichen kann.

Auch ist es so, das ich gar nicht wüßte welches Protectli Produkt ich eigentlich bräuchte! Und kann folglich schon daher, keinen Preis ermitteln!Ich wundere mich etwas über die vglw. geringe Portanzahl der Protectlis. Ich habe 3PC, 1 Router und ggf 1-2 NAS, die verbunden werden sollen!?

Mag sein, das das Port-Tresor-Konzept für eine einfachere, schnellere und sicherere LAN-Konfiguration sorgt, dazu aber kann ich nichts sagen, weil mir die Erfahrung fehlt, die ich ja zu machen gedenke! Jetzt probiere ich es ersteinmal mit “normalen” VLANs. Dann werde ich vielleicht begriffen haben, warum das andere, das Protectli-Konzept besser/weniger umständlich!

Vielleicht magst du ja das Konzept noch etwas näher erläutern?

Gruss EOZ

OK…!

Ich verkürze mal so, es wird seine Zeit brauchen, bis Syn. von seinem Ast heruntersteigt und die vermeintlichen Lorbeeren vom Haupt nimmt. Einbrechende Absatzzahlen werden da schon ein Umdenken erzwingen. Auch gegen alle firmeninternen Widerstände, die da da sein mögen.

Das Umdenken kommt aber meist erst recht spät. Wir würden Auch nicht gleich alles umkrempeln, wenn wir ein Problem entdecken. Etwa so wie man sagt: “Schuster bleib bei deinen Leisten”.

Or never change a winning team! Aber wehe es “winningt” nicht mehr! Außerdem verlöre Syn. sein Argument, das die Inkompatibilitätslisten einzig der Anwendersicherheit dienen und keineswegs vorrangig der Steigerung der Absatzzahlen der eigenen Hardware. …Wer es glaubt…

Das mit der Software hab ich schon gemutmaßt, aber aufgrund mangelnder Anwendererfahrung war ich mir unsicher, inwieweit hier vielleicht doch ein nicht unwesentlicher Unterschied.

Immerhin lässt sich die DS224+ auf 2.5 GE via Eternetadapter bringen. Damit liese sie sich ins LAN einbinden und nutzen was sie so mitbringt. Zusammen mit einem weiteren 2-Bay NAS , gäbe es dann theoretisch 4HDDs im System. Ob die sich, etwa mit TrueNAS od. vglb. zu einem RAID 5-Array verbinden liesen? Gedankliche Spielerei? Da aber die beiden HDDs im jeweiligen NAS

1 Speicherpool bilden, hätte man vmtl. zusammen 2 Speicherpools und käme auch “nur” zu einem RAID1.

Evtl. müsste man die HDDs im jeweiligen NAS ja nicht spiegeln, dann ginge es evtl. Vorallem bei Verwendung eines terramaster f2-424 NAS, denn das hat noch eine Besonderheit gegenüber smtl. anderen NAS_Systemen. Sein OS läuft nicht auf einer der HDDs sondern auf einer dafür extra vorgesehenen SSD. So das die gesamte Speicherkapazität der HDDs zur Verfügung steht.

Alles etwas bescheuert! What shalls. Nächtliches Inferno!

Ich glaube wenn man schon meint, man wolle unbedingt ein RAID 5-Array, dann ist man mit einem Selbstbau deutlich besser bedient.

Gruss EOZ

Ich verwende ein Übersetzungstool, bitte haben Sie daher Verständnis, wenn die Übersetzung manchmal etwas holprig ist.

In der Vergangenheit habe ich VLANs für mein Heimnetzwerk verwendet, um Netzwerksegmente voneinander zu isolieren. Jetzt verwende ich einen 6-Port-Router (den Protectli), um dasselbe ohne VLANs zu erreichen. Dieser Übergang hat für mich in praktischer Hinsicht die Verwaltung einfacher und zuverlässiger gemacht, aber das basiert auf meinem Anwendungsfall, daher biete ich dies nur als Überlegung an.

Vielleicht habe ich es zuvor übersehen, aber wie viele Netzwerksegmente hatten Sie geplant (wie viele VLANs)?

Den Protectli mit einem verwalteten Netzwerk-Switch zu vergleichen, ist, wie Sie sagen, ein bisschen wie Äpfel mit Birnen zu vergleichen.

Der Protectli ist ein PC in Industriequalität, der für den 24/7-Betrieb ausgelegt ist. Sie installieren darauf ein Betriebssystem Ihrer Wahl. Sie könnten beispielsweise EndeavourOS darauf installieren und es als Desktop betreiben. Ich habe mich für die Installation von OpnSense entschieden, einer leistungsstarken Firewall/einem Router auf FreeBSD-Basis. Dieser verfügt über viele leistungsstarke Funktionen, die über einfaches Routing hinausgehen. Das Modell, das ich für meine Zwecke ausgewählt habe, war der 6-Port-Protectli Vault V1610, der nun seit 10 Monaten einwandfrei läuft. Möglicherweise benötigen Sie jedoch nur 4 Ports, was kostengünstiger wäre.

Der Mikrotik Managed Switch hingegen ist im Vergleich dazu nur ein Managed Switch mit begrenztem Einsatzzweck. Aber ich verstehe, dass er dennoch Ihre Anforderungen perfekt erfüllen kann.

Sie haben erwähnt, dass der Protectli nur über eine begrenzte Anzahl von Ports verfügt. Betrachten Sie den Protectli nicht als Switch, sondern als Router. Der Unterschied besteht darin:

• Ein Switch bedient ein einzelnes Netzwerksegment, sodass ein Switch mit 6 oder 24 Ports ein Netzwerksegment bedient. Eine Ausnahme bildet natürlich der Fall, dass VLANs verwendet werden, um eine logische Netzwerksegmentierung auf „intelligenten” oder verwalteten Switches durchzuführen.

• Die gerouteten Ports eines Routers hingegen bedienen jeweils ein physisches Netzwerksegment. Jedes dieser physischen Netzwerksegmente kann auch Netzwerkswitches und deren Vorteile nutzen.

Sie können weiterhin einen Switch verwenden, um Client-Verbindungen zum Protectli zu erweitern, benötigen jedoch nur einen einfachen 2,5-GbE-Switch und keinen teureren verwalteten Switch. Die Verwaltungsaspekte werden vom Protectli übernommen, da es sich nun in einem physisch isolierten Netzwerksegment befindet und keine VLANs verwendet.

Ich fand dies einfacher zu verwalten, da ich nicht mehr die VLAN-Konfiguration für bestimmte Ports auf verschiedenen Switches im Haus verfolgen und ändern musste. Außerdem besteht kein Risiko von VLAN-Konfigurationsfehlern oder einer schlechten VLAN-Implementierung auf den Geräten, die die Sicherheit gefährden könnten.

Ich möchte hier noch kurz einen Gedanken einwerfen. Gerade wenn es darum geht etwas Neues aufzubauen und die Technik auszuloten macht es vielleicht Sinn, nicht beim netzwerk + NAS stehen zu bleiben. Ich würde empfehlen statt einem NAS direkt einen kleinen Server aufzubauen (bsp. mit debian stable). Und dann docker drauf laufen zu lassen und sich bsp. eine Nextcloud für zu Hause aufzusetzen.

Nextcloud hat den Vorteil das es dafür smartphone apps gibt (iphone, android) und man seine Bilder oder Dokumente vom smartphone direkt ohne Umwege sichern kann. Die Einbindung in Linux per webdav ist ebenfalls möglich. Der debian server kann aber auch samba oder NFS.

Hi Bink,

nein, daran das du ein ÜBersetzungstool verwendest liegt es nicht, das ich das Konzept des Protectli nicht verstehe. Eher sind es meine mangelnden Netzwerkkenntnisse, die es verhindern!

Greets EOZ

Hallo mbod,

schade, du bist wohl etwas zu spät. Vielleicht wäre das mit dem SErver eine ganz gute Idee gewesen, auf die ich evtl. noch zurückkomme.

Aber jetzt ist einiges an Hardware da und die gilt es nun geschickt miteinander zu verbinden und zu konfigurieren. 3 Rechner und ein Router(FB7690) sowie 2 NAS( Ugreen dxp2800+Syn. DS224+) sollen an einen managed Switch Mikrotik crs310_8g_2s_in.

Aber vielleicht kannst du mir bei der Architektur etwas helfen?

Noch weiss ich nicht genau was sich mit dem Switch alles konfigurieren lässt.
Derzeit denke ich die 3 PCs kommen in ein VLAN, welches Zugriff auf ein weiteres VLAN hat, indem sich die beiden NAS befinden. Nur wie wird der Router eingebunden? Über einen sich im VLAN mit den PCs befindlichen Port? Oder sollte der Router der Sicherheit wegen, etwa an einen isolierten Port? Auf welchen das PC-VLAN Zugriff hat?

Der Wege nach Rom sind da viele!

Kannst du mir da unter die Arme greifen?

Gruß EOZ

@EOZ, vielleicht wäre es besser, wenn Sie Ihre derzeitige Überlegungen zur Verwendung eines VLANs mit allen darauf befindlichen PCs, das zu einem anderen VLAN mit den NAS-Geräten geroutet wird, erläutern würden.

Was ist Ihr Ziel mit dem VLAN?

Hi Bink,

es ist lediglich eine Sicherheitsfrage. Ich dachte ich trenne die Produktivumgebung (die PCs) von den Sicherungsgeraeten. Derzeit beabsichtige ich nicht Daten auf den NAS online abfragen zu wollen. Sollte ich jedoch meine Meinung ändern, müsste ich umdenken. Jedenfalls fragt sich spätestens dann, wie der Router sich zu den beiden VLANs verhält und wie dieser möglichst sicher eingebunden wird!

Gruss EOZ

Hi Oliver,
möchte mich bei mbod anschließen - aus Erfahrung.
Habe mal vor gut 10 Jahren mit einem 4er Syno angefangen (das war damals noch das Nonplusultra) und dachte auch, das wird die eierlegende Wollmilchsau wegen der vielen Software - denkste!
Inzwischen läuft zwar ein Nachfolge-Modell mit etwas mehr Wumms und 4 Disk (noch freie Damen- äh- Plattenwahl), aber nur als Datengrab mit nfs und für Backups.
Das mit der Uralt-Software würde ich sofort unterschreiben, allerdings lasse ich das inzwischen komplett links liegen - läuft nur in meinem abgeschotteten Netz.
Was Software und Server angeht, da gab es ganz schnell einen Raspi, dann einen 3er und dann einen 4er. Läuft unter plain Arch schon seit Jahren und Software gibt es beliebig viel.

Meine Stromrechnung sieht seither deutlich günstiger aus.

Wenns unbedingt Nextcloud werden muß, ist der allerdings etwas knapp. Hatte ich schon, aber aufgehört damit.

Hi wolfn,

an die Stromrechnung hab ich auch schon gedacht. Das Syn. DS224+ werdeich wohl “nur” für Backups nutzen. Heißt, es wird abgeschasltet, wenn ich es nicht benötige.
Die Ugreen dxp2800, wird der eigentliche Fileserver (private Cloud), die lasse ich auch nicht durchlaufen.Sondern lediglich, wenn ich produktiv arbeite.
Vielleicht ersetze ich auf der dxp das UgOS auch durch Proxmox- mal sehen.
Ein eigener Server, steht noch nicht an! Ist auch ne Kostenfrage, gescheite HDDs sind nicht gerade günstig. Stattdessen auf SSDs rückzugreifen, wäre eine etwaige Möglichkeit.

Gruss EOZ

HI zusammen,
aber eigentlich wollte ich nun wissen, wie ihr die 3 Rechner, den Router und die beiden NAS an den managed Switch anschließen würdet.
Der Mikrotik CRS 8G-2S in kann quasi alles konfigurieren (VLAN,etc). Da mir noch der Durchblick bei den vielen Möglichkeiten fehlt, bräuchte ich eure Hilfe, hier eine geeignete Konfiguration des Netzwerk bzw. des Switch zu finden!

Bitte um eure Empfehlungen und Gedankengänge!

GRuss EOZ

Hi,
ich versuche es nochmal:

Kann ich den Protectli also so verstehen, das seine Ports jeweils unterschiedlichen Netzwerksegmenten zugeordnet sind? Also Segmenten, die jeweils eine eigene
Subnetzmaske haben? Und der Protectli verwaltet dann auch Konzepte um etwa Daten zwischen
den Segmenten auszutauschen o.ä.?

Gruss EOZ

Ich verstehe ncht ganz was du erreichen möchtest.

Normalerweise kann man ja jeden Rechner im Netzwerk über seine IP Adresse erreichen. Auch wenn die Rechner sich in untershciedlichen VLANs befinden. Möchtest du das verhindern? Ist es dein Ziel Rechner zu isolieren? Also quais eine DMZ mit einem VLAN aufbauen?

Sollte es dir um isolation eines oder meherer PCs geht, dann stellt sich mir spontan die Frage ob eine firewall nicht die bessere Lösung wäre.

Hi,
es geht mir schon um SIcherheit! Vorallem wie ich den Router( als das Tor nach außen) an den Switch anschließe. Gibt es also ein konfigurierbares Konzept, das es den PCs erlaubt weiterhin auf das Internet zuzugreifen, den ZUgriff aus dem Internet aber weitgehend unterbindet?
Sorry, wenn ich noch etliche Denkfehler (DF) produziere, ich stehe noch ziemlich am Anfang, der komplexen Materie der Netzwerktechnik! Ob nun eine DMZ oder eine FIrewall besser geeignet, weiß ich im Moment noch nicht zu sagen!

Gruss EOZ

Gruss EOZ

Das geht mit einer Firewall auf dem Rechner in null komma nichts.

EDIT:
Im übrigen ist ja der router zum Internet, bsp. die fritz box, auch immer schon eine firewall die keinen Zugriff in das lokale Netz erlaubt.

Hi,

ich sehe schon, das THema Firewall hab ich bislang etwas “stiefmütterlich” behandelt, sie ist zwar installiert, aber nicht weiter konfiguriert. Lediglich um Konflikte beim Zugriff auf das DS224+ zu vermeiden, habe ich diverse Ports und Dienste eingestellt.
Das Konzept Firewall, ist mir aber fremd geblieben!
HIlft also wohl alles nichts - werde ich mich damit wohl auseinandersetzen müssen. Das nächste Buch mit 7 Siegeln! Shit .

Gruss EOZ

Der Protectli Vault V1610, den ich als Beispiel genannt habe, verfügt über sechs Netzwerkanschlüsse, sodass es durchaus möglich ist, jeden Anschluss als separates Netzwerksegment einzurichten. Um Ihre Frage zu beantworten: Diese stellen in der Regel eindeutige Subnetze dar, aber noch wichtiger ist, dass sie jeweils eine eindeutige Broadcast-Domäne sind.

Bei korrekter Konfiguration sind VLANs vollständig voneinander isoliert, mit Ausnahme von Geräten, die explizit für den Empfang von Paketen aus mehreren VLANs konfiguriert wurden (z. B. ein Router oder ein Uplink-Switch-Port).

Hier stellt sich die Frage, was die “korrekte Konfiguration” ist.

ich kenne es aus dem beruflichen Umfeld so, das VLANs dazu benutzt werden broadcast messages einzufangen (DHCP, ARP, mDNS, NTP, etc.) und um es Angreifern im lokalen Netz schwerer bzw. unmöglich zu machen eine discovery laufen zu lassen.

Nichts desto trotz können alle Rechner in einem VLAN aus dem VLAN heraustelefonieren. Und die Rechner sind per se auch von außen per IP adresse erreichbar, wenn man die IP Adresse kennt. Die Isolation einzelner Rechner geschieht über eine firewall aber nicht über VLAN.

So würde ich es auch im privaten Umfeld handhaben.

Normalerweise sind VLANs durchaus nicht in der LAge aus einem VLAN zum nächsten zu telefonieren. VLAN “ports” die mehrere VLANs aggregieeren und das ermöglichen werden trunk ports genannt. Das ist im “Auslieferungszustand” bei Cisco, Broadcom und Mikrotik der Fall, mehr kenne ich nicht selber.
Firewalls werden zusätzlich genutzt, so das man mehrere Level von Sicherheit hat - auf Switchebene und auf Firewallebene.
NATting vom Router ist keine Firewall, obwohl das Ergebnis durchaus vergleichbar ist.

Man muss sich das mit den VLANs so vorstellen:
Man hat einen Router mit Netz 1 an Port 1 und Netz 2 an Port 2.
And Port 1 und Port 2 hängen jeweils ein Switch - das sind dann das selbe wie VLANs.

Per default haben diese keine gemeinsame Broadcastdomain, keine Routen zueinander und können nicht miteinander reden. Der Router jedoch kann mit beiden sprechen - das wäre dann der Trunkport.

Ja ok. Aber sie können aus ihrem VLAN heraustelefonieren und das Internet erreichen. Das war ja die ursprüngliche Frage:

Das macht jedes VLAN automatisch. Nur broadcast bzw. - wie du richtig sagst - Nachbarschaftsfunk funktioniert nicht. Eine Fritzbox macht das ähnlich mit dem Gastnetz. Da ist der Weg frei ins Internet aber mein heimnetz ist isoliert davon.

Für meinen Geschmack ist ein VLAN setup im privaten Umfeld mit nur ein handvoll PCs mit Kanonen auf Spatzen schiessen. Sowohl Linux PCs als auch Windows PCs kommen mit einer Firewall die das alles ganz einfach regeln kann.