ComputerBase Menü
Aktuelles

DMZ/Router Hardware

B

boiler

Newbie
Registriert
Mai 2024
Beiträge
3
Hallo Zusammen,
ich betreibe einen Server und einige „unsichere“ Hardware in meinem Netzwerk und möchte diese vom „Vertrauenswürdigen“ Rest trennen. Bisher habe ich das über einen Router gelöst, vor dem Router „unsicher“, danach „"sicher". Ich muss mein Netzwerk neu aufbauen und stehe nun vor dem Problem, dass es irgendwie keine Router für Rack Mount gibt. Allgemein scheint mir die Lösung mit dem Router aus der Mode gekommen zu sein, stimmt das? Löst man das heute anders? VLAN? Irgendwie geistert im Hinterkopf das VLAN nicht ganz so sicher wie die Lösung mit dem Router ist...
Danke und Grüße
 
Wenn ich dich richtig verstehe, hast du dir bisher eine Routerkaskade gebaut. Damit geht eine rudimentäre DMZ. Das ist aber eher ein Workaround, da die ganzen Consumer-Router in der Regel nur zwei Netze (WAN und LAN) können (drei wenn man das Gast-Netz mitzählt).
Für jeden Router mit halbwegs Anspruch ist das aber kein Problem. Da muss man nicht mal unbedingt viel Geld für ausgeben. Geht schon für um 50 € los:
Ubiquiti EdgeRouter X oder MikroTik RouterBOARD hEX.
Das sind dann aber reine Router, ohne Modem, WLAN etc. und sind nicht ganz so einfach einzurichten wie eine Fritzbox und Co, vor allem wenn sie auch Firewall Richtung Internet machen sollen.
VLANs braucht es dafür nicht unbedingt. Das wird dann relevant, wenn du deine Netze (WAN, DMZ, LAN) im Haus verteilen willst, aber nicht für jedes extra Kabel ziehen willst.
 
  • Gefällt mir
Reaktionen: GTrash81
Auch fuer VLANs braucht es einen Router ;)
Ein eigenes abgeschirmtes Subnetz oder VLAN ist erst mal egal. Beides ist vergleichbar sicher, es kommt halt drauf an was rein und was raus darf. Das entscheidet dann meist der Router oder die Firewall

Die sind im Rack verbaubar:
https://geizhals.de/?cat=switchgi&x...=de&hloc=pl&plz=&dist=&mail=&sort=p&bl1_id=30
Ich denke die ganze CRS Serie sollte bei dir passen, aber vielleicht ist das auch gleich etwas overkill :)

Nilson schrieb:
MikroTik RouterBOARD hEX.
Zum Vergrößern anklicken....
Auch Empfehlung für die kleinen :) Rackböden kosten auch nicht die Welt
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: GTrash81 und Nilson
du wirfst so ziemlich alles durcheinander ;)
erstmal ist eine DMZ etwas anderes, genau "zwischen" dem sicheren und dem unsichern Bereich, dort befinden sich Geräte, die sich mit beiden Seiten unterhalten müssen.

Router und VLAN, ja das ist so eine Sache. Eigentlich sind das zwei völlig verschiedene Dinge.
ein Router arbeitet auf Layer-3 (IP Level) und VLANs sollten eigentlich Switch Ports voneinander trennen und auf Layer2 arbeiten. Es gibt auch "einfache" Consumer Switches, die genau danach arbeiten.
"leider" hat sich im Profi Bereich durchgesetzt, dass VLAN und Layer3 quasi gleich gestellt sind.

wenn du von VLAN redest, dann ist es etwas völlig anderes wenn das auf einem "managed Netgear" oder einem Layer3 Cisco Switch läuft.
beim Netgear ordnest du jeden Port wirklich einem (oder rauch mehreren) VLAN zu und der kann nur mit anderen Ports Daten austauschen, die im gleichen VLAN "Mitglied" sind. Beim Cisco läuft das mehr oder weniger doch wieder über die IP Adresse.

edit: was ich völlig vergessen hatte, ich vermute mal, dass du eigentlich eine "Firewall" suchst.
um die Verwirrung komplett zu machen: das was man heutzutage "Firewall" nennt, hat nicht mehr viel mit dem zu tun, was man so früher als "Packet Filter" kennengelernt hat.
damit bezeichnet man heute i.d.R. eine Kombination aus Switch, Router und Firewall. Entweder in einem Gehäuse (auch Rack) oder auch als Software auf einem entsprechend ausgerüsteten PC. Teilweise (Imme häufiger) läuft das heute sogar virtualisiert, selbst die Switches sind virtuell und das läuft in einem Cluster on premises oder gar in der Cloud.

du kannst aber gucken, es gibt von z.B. Paolo Alto & Co. (edit: war Sophos) "Firewalls" für Privat für lau. Wenn du einen PC mit zwei oder drei Interfaces nimmst, dann kannst du dir etwas "richtig gutes" bauen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Nilson
Mickey Mouse schrieb:
"leider" hat sich im Profi Bereich durchgesetzt, dass VLAN und Layer3 quasi gleich gestellt sind.
Zum Vergrößern anklicken....
What? Nein das ist nicht so. Nur sind VLANs für 95% aller Fälle ohne eine routende Instanz nutzlos. Denn was macht man u.a. mit VLANs - Broadcast Domänen einschränken. Das sich darin jedoch Geräte befinden die mit Geräten in anderen VLANs Daten austauschen müssen (z.b
Client Server) ist der Regelfall. Daher ist so gut wie immer einem VLAN auch ein Subnetz zugeordnet. Ausnahmen gut es jedoch immer bspw. Heartbeat VLANs etc. Daher ist kommt diese Gleichstellung wie du sie nennst. Aber das OSI Modell kennt jeder Profi und somit auch den Unterschied zwischen VLAN und Subnetz.
Mickey Mouse schrieb:
"Mitglied" sind. Beim Cisco läuft das mehr oder weniger doch wieder über die IP Adresse.
Zum Vergrößern anklicken....
Sorry auch das stimmt nicht. Geräte in unterschiedlichen VLANs auf einem Cisco Switch können sich nicht miteinander unterhalten. Erst wenn man ip routing aktiviert (vorausgesetzt der Switch kann es) und man SVIs konfiguriert, kann der Switch auch routen.
 
  • Gefällt mir
Reaktionen: Hannibal Smith und madmax2010
Hammelkoppter schrieb:
What? Nein das ist nicht so. Nur sind VLANs für 95% aller Fälle ohne eine routende Instanz nutzlos.
Zum Vergrößern anklicken....
wir reden aneinander vorbei...

ich vermute mal, dass du noch nicht so lange dabei bist und nicht wie ich noch in den 80er Jahren "Vampir Stecker" in Yellow Cable geschraubt hast?
damals gab es keine VLAN, "nur" Routing.

wenn man die Entwicklung mitgemacht hat, dann kann man mich vielleicht besser verstehen.

ich hatte versucht, das anhand des Netgear Beispiels besser verständlich zu machen. Hier mal ein "Bild" dazu:
Screenshot 2024-05-31 at 20.57.45.png


das ist VLAN völlig ohne Layer3, das kann der Switch gar nicht...

man kann sehr viele Dinge auch mit den "traditionellen" VLAN (so wie ich es meine) erledigen, im Heimnetz sowieso.
man muss kein extra Subnet für die Kameras einrichten, man kann auch dem Layer2 Switch sagen, dass die Ports, an denen die hängen, nur mit dem Port kommunizieren dürfen, an dem der "Rekorder" hängt. Wenn ich jemand dann an diesen Port dran klemmt, dann kann er eben nicht das ganze Netzwerk sehen.


Hammelkoppter schrieb:
Sorry auch das stimmt nicht. Geräte in unterschiedlichen VLANs auf einem Cisco Switch können sich nicht miteinander unterhalten.
Zum Vergrößern anklicken....
das habe ich auch nicht gesagt!
Hammelkoppter schrieb:
Erst wenn man ip routing aktiviert (vorausgesetzt der Switch kann es) und man SVIs konfiguriert, kann der Switch auch routen.
Zum Vergrößern anklicken....
genau, jetzt kommen wir zusammen, das "moderne" VLAN Konzept wird heute meist zusammen mit Layer3 Routing eingesetzt.
es soll Leute geben, die behaupten, es mache auch nur so in 95% aller Fälle Sinn, andere Leute sehen das anders ;)
 
  • Gefällt mir
Reaktionen: madmax2010
Mickey Mouse schrieb:
man muss kein extra Subnet für die Kameras einrichten, man kann auch dem Layer2 Switch sagen, dass die Ports, an denen die hängen, nur mit dem Port kommunizieren dürfen, an dem der "Rekorder" hängt. Wenn ich jemand dann an diesen Port dran klemmt, dann kann er eben nicht das ganze Netzwerk sehen.
Zum Vergrößern anklicken....
Ja genau das machen VLANs. Grundsätzlich können sich dann 2 Geräte auch über die MAC Adressen unterhalten. Nur heute haben die Geräte IP Adressen und wenn man diese dann in ein Subnetz (d.h. beiden eine IP mit entsprechender Maske gibt) packt, können Sie sich unterhalten. Die anderen die nicht in dem VLAN sind, können (trotz vielleicht passender IP) nicht mit diesen Geräten aus dem anderen VLAN sprechen. Das gilt auch für reine Layer 2 Kommunikation d.h. Mac aus VL1 kann z.B. mac aus VL2 nicht sehen.
Mickey Mouse schrieb:
das habe ich auch nicht gesagt!
Zum Vergrößern anklicken....
Zitat: "beim Netgear ordnest du jeden Port wirklich einem (oder rauch mehreren) VLAN zu und der kann nur mit anderen Ports Daten austauschen, die im gleichen VLAN "Mitglied" sind. Beim Cisco läuft das mehr oder weniger doch wieder über die IP Adresse."

Und wie ist das dann zu verstehen? Ordnet man beim Cisco einen Port kein VLAN zu oder was? Ein "Show VLAN" zeigt dir, welcher Port in dem VLAN ist.
Mickey Mouse schrieb:
genau, jetzt kommen wir zusammen, das "moderne" VLAN Konzept wird heute meist zusammen mit Layer3 Routing eingesetzt.
es soll Leute geben, die behaupten, es mache auch nur so in 95% aller Fälle Sinn, andere Leute sehen das anders ;)
Zum Vergrößern anklicken....
"Moderne VLAN Konzept" - Kann ja sein das die seit nun mehr 40 Jahren im Netzwerk unterwegs bist. Ich bin "erst" seit 15 Jahren dabei. Aber Intervlan Routing ist alles, nur nicht modern. Kann ja in deinem Fall mit den Kameras und den Rekordern passen (hab ja auch geschrieben, dass es durchaus Anwendungsfälle gibt), aber es gibt halt deutlich mehr Fälle in denen man Routing benötigt.

Und deine Vampirstecker - sorry aber die interessieren heute niemanden mehr und damit zu "flexen" ist auch etwas arm.
 
Zuletzt bearbeitet:
Zugegeben, eine richtige DMZ ist das nicht, vergesst das mal...

Was mir reicht, ist eine Trennung von 2 Netzen, physikalisch habe ich das bisher mit dem Router gemacht, jetzt macht man das logisch mit VLAN. Wenn ich das richtig verstanden habe, kann ich mir auch einen Managed Switch mit Layer 3 besorgen, um dann das Routing zu konfigurieren?
 
Klar kannst du das so machen. Aber irgendwo musst du reglementieren wenn du sichere von unsicherer Hardware trennen willst. Wenn der Switch das kann und die das nicht zu aufwändig (musst halt schauen ob der Switch stateful Firewalling kann) ist, mach es halt damit. Ich an deiner Stelle würde einen Router / eine Firewall dazu nutzen.
 
@boiler warum nicht den Ansatz von Nilson, also einen Router der mehrere Heimsegmente erlaubt. Davor dann den entsprechenden Medien-Adapter. Welchen Internet-Anschluss hast Du (DSL, DOCSIS, Fiber, LTE) in welchem Land? Hätte jetzt einfach einen Router aus dem Regal von Lancom genommen – die bieten auch ein Rackmount.
 
DSL von der Telekom. Ich hab jetzt meinen alten TP-Link ER605 mit in das Rack gebracht auf einem Server Rack Shelf. Läuft alles wie gehabt und das Teil hält. Hab noch einen alten anderen Switch darauf installiert und konnte somit meinen alten Kram einfach zu dem neuen übernehmen...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Gohst
OpenWRT Router Eigenbau - welche Hardware?
Antworten
4
Aufrufe
595
Gohst
Gohst
OsiMosi
pfSense Hardware - Empfehlungen / Kaufberatung / Erfahrungen
Antworten
19
Aufrufe
1.338
OsiMosi
OsiMosi
DFFVB
Kurzes Review Qnap Qhora 301 / verschieden WLAN Router im Vergleich (Asus, Zyxel, QNAP, Synology)
Antworten
1
Aufrufe
907
Mickey Mouse
Mickey Mouse
DukNukem
Alte Router und ISDN Hardware - verschrotten oder behalten?
Antworten
12
Aufrufe
1.737
blastinMot
B
S
Suche eine Aufstellung von WLAN-Routern, die Hardware-AES-Verschlüsselung bieten
2
Antworten
24
Aufrufe
2.184
foofoobar
foofoobar
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz