maxim.webster
Ensign
- Registriert
- Feb. 2022
- Beiträge
- 239
Moin zusammen,
ich hab aktuell eine - wie ich denke - nicht ungewöhnliche Netzwerk-Situation zu Hause:
Diesen Setup möchte ich nun renovieren und dabei auch (endlich) ein Auge auf die Sicherheit werden. Folgende Veränderungen sind geplant:
Die Fritzbox (ist meine eigene) kann als Modem bestehen bleiben oder wird ggfs. gegen ein Kabel-Modem ersetzt.
Ich bin zwar Informatiker, aber mehr im Bereich Software aktiv. Was Netzwerke angeht reicht mein Wissen für den heimischen Setup, bei IPv6 wird es schon mühseelig, VLANs verwende ich (wissentlich) aktuell nicht, aber ich lese mich gerade in das Thema ein.
Meine Fragen an euch:
Gruß
Maxim
ich hab aktuell eine - wie ich denke - nicht ungewöhnliche Netzwerk-Situation zu Hause:
- Gigabit-Kabelanschluß an Fritzbox 6561 mit echtem Dual-Stack
- ein WLAN Netz, ein WLAN Gastnetz via Fritzbox und Fritz Repeater 3000
- LAN-Dosen in verschiedenen Zimmern inkl. nachgelagerter Switches, an denen PCs, "Smarthome"-Geräte und Unterhaltungselektronik angeschlossen sind.
- außerdem einen "Server", der Dienste im Internet anbietet, realisiert über Port-Freigaben (Port 80,443) der Fritzbox. Die Dienste laufen als Docker-Container auf einem Linux-Host
Diesen Setup möchte ich nun renovieren und dabei auch (endlich) ein Auge auf die Sicherheit werden. Folgende Veränderungen sind geplant:
- "Professionalisierung" der Netzwerk-Infrastruktur durch Komponenten der Firma Ubiquiti. Konkret geplant sind die Dream Machine Pro, ein 16-24 Port Switch mit PoE Ports (z.B. USW-16-POE), 3-4 kleinere Managed Switches (Flex Mini) und 2 Access Points (Flex HD).
- Verwendung der Firewall-Funktion und diverser VLANs zur Separierung der internen Netze, insbesondere Isolation der Multimedia-Geräte (Playstation, Smart-TVs, etc.) vom Heimnetz.
- Portierung der öffentlichen Dienste vom aktuellen Server auf einen (bereits eingerichteten) Kubernetes-Cluster.
Die Fritzbox (ist meine eigene) kann als Modem bestehen bleiben oder wird ggfs. gegen ein Kabel-Modem ersetzt.
Ich bin zwar Informatiker, aber mehr im Bereich Software aktiv. Was Netzwerke angeht reicht mein Wissen für den heimischen Setup, bei IPv6 wird es schon mühseelig, VLANs verwende ich (wissentlich) aktuell nicht, aber ich lese mich gerade in das Thema ein.
Meine Fragen an euch:
- im genannten Setup bzw. geplanten Setup, wie sieht ein sinnvoller Schnitt bzgl. VLANs aus? Ich habe wie gesagt eigene Geräte (Desktop-PCs) mit denen gearbeitet wird. Diese müssen Zugang ins Internet und zu anderen Geräten im Heimnetz haben. Ich werden einen Kubernetes-Cluster haben, den ich von "innen" (via SSH) administrieren muss, der Services via https anbietet und der - im Falle eines Einbruchs - keinen Zugriff auf das Heimnetz haben soll. Und ich habe Geräte, die ohne mein Wissen mit Internet-Anbietern kommunizieren, die ebenfalls nicht ins Heimnetz kommen sollen (z.B. Playstation).
- lässt sich mit der oben genannten Hardware (UniFi) ein Load-Balancer ins (V)LAN realisieren? Der Kubernetes Cluster besteht aus 3 Nodes (1 Control Plane, 2 Worker Nodes), ich bräuchte also einen (Round Robin) Load Balancer über zwei Nodes.
Gruß
Maxim