Managed Switch (VLAN) + Selfmade Router (opnsense) + VDSL Modem

[Snoopy00]

Mit "Hat sich hiermit denke ich erledigt" meinte ich damit nur die aktuelle Situation, da brauch ich jetzt nicht weiter Testen, wenn das mit der fritzbox gar nicht geht, im Bezug auf openVPN.

Der VPN Anbieter gibt mir fünf Ports zur freien Auswahl. Deswegen wundert es mich das es nicht klappt.
Werde jetzt kurz eine manuelle VPN Verbindung per ipsec anlegen, um die Port Geschichte noch mal zu Testen.

Ich werde morgen weiter machen. Aufgeben ist (noch) keine Option .

Danke für die klaren Worte bisher.

 

[Snoopy00]

So, wieder etwas Zeit für den ganzen Kram gefunden .

Zuerst, openVPN klappt hinter der fritzbox. Die Sache mit den Portfreigaben beim VPN Anbieter klappt auch, nur dass der Anbieter die Ports nach sieben Tagen ändert, dass alle Nutzer auch alle Ports nutzen können und ich nicht bestimmte Ports für mich reservieren kann, so die Aussage des Anbieters.

Deshalb ist nun die Idee, alles hinter den VPN zu hängen, nicht mehr so schlau .
Ich würde gerne auf das von dir unten Geschriebene eingehen.

VPN-Anbieter würde ich daher immer nur als alternatives Gateway ins Netzwerk einbinden. So kann man über den DHCP-Server bestimmen welches Gateway und damit welche Verbindung standardmäßig genutzt werden soll (zB GW=192.168.178.1 => ohne VPN // GW=192.168.178.2 => mit VPN) und über die manuelle Konfiguration am Gerät selbst kann man die Verbindung explizit auswählen. Das hat den Effekt, dass man beispielsweise am PC mit einem kleinen Skript auf dem Desktop mit einem Doppelklick zwischen ohne und mit VPN umschalten kann, in dem im Hintergrund einfach kurz das Gateway gewechselt wird.

fritzbox(modem Modus)--opnsense(DHCP aus)--Switch(DHCP an)

opnsense = 2 Gateways konfiguriert wie von dir beschrieben. Einmal mit openVPN, einmal ohne openVPN

Könnte ich in dem Switch bestimmen, welche Ports (angeschlossene Geräte), welches Gateway bekommen soll?

Dann müsste ich nicht direkt an jedem Gerät das Gateway ändern, sondern müsste nur alles zusammen stöpseln, vlans einrichten und Gateways zuordnen.

 

[Raijin]

fritzbox(modem Modus)--opnsense(DHCP aus)--Switch(DHCP an)

Soll das heißen, dass du dem Switch die Rolle des DHCP-Servers geben willst oder wie darf man das sonst interpretieren?

opnsense = 2 Gateways konfiguriert wie von dir beschrieben. Einmal mit openVPN, einmal ohne openVPN

Jein, ich bin mir nicht sicher ob ich dich hier richtig verstehe oder ob du meinen Vorschlag richtig verstanden hast.

Bei einem 2-Gateway-Setup verfährt man wie folgt:

Internetrouter für Zugriff ohne VPN = x.y.z.1
---> Alle Geräte, die ohne VPN ins Internet gehen sollen, werden mit Standardgateway=x.y.z.1 konfiguriert

VPN-Gateway (zB ein Raspberry PI) für Zugriff mit VPN = x.y.z.
---> Alle Geräte, die mit VPN ins Internet gehen sollen, werden mit Standardgateway=x.y.z.2 konfiguriert

Der DHCP-Server wird so eingestellt, dass er den bevorzugten Standardweg (zB Gateway via DHCP = x.y.z.1 für Standard-ohne-VPN) als Gateway ausliefert. Bei den Geräten, die den anderen Weg nehmen sollen, wird das Standardgateway manuell auf das jeweils andere Gateway konfiguriert (zB x.y.z.2 für Explizit-mit-VPN).

Folglich besteht das 2-Gateway-Setup aus zwei separaten Geräten.




Innerhalb von OPNsense kann man das so nicht machen, bzw. es ist nur bedingt sinnvoll und würde zwei lokale IP an der OPNsense bedingen, die unterschiedlich geroutet werden würden. Wenn OPNsense selbst sowohl das Internetgateway ohne VPN als auch das Internetgateway mit VPN ist, würde man sich stattdessen jedoch des Policy Based Routings, kurz: PBR, bedienen. Damit gibt man dem Router ein Regelwerk mit, das nicht nur wie sonst üblich ausschließlich anhand der Ziel-IP routet, sondern auch anhand anderer Kriterien wie zB Ports oder eben auch nach der Quell-IP. Mit PBR ist es möglich, komplett individuelle Routing-Tabellen zu erstellen, die beispielsweise verschiedene Endgeräte gezielt anders routen oder auch geräteübergreifend bestimmte Dienste bzw. Ports mal über das VPN und mal zum ISP schicken.

Könnte ich in dem Switch bestimmen, welche Ports (angeschlossene Geräte), welches Gateway bekommen soll?

Schon, irgendwie. In einer erweiterten DHCP-Konfiguration kann man Clients nicht nur explizit immer dieselbe IP-Adresse zuweisen wie man es bereits kennt, die klassische IP-Reservierung, sondern auch andere DHCP-Einstellungen gerätespezifisch zuweisen. Das hängt aber maßgeblich vom verwendeten DHCP-Server ab.

Dann müsste ich nicht direkt an jedem Gerät das Gateway ändern, sondern müsste nur alles zusammen stöpseln, vlans einrichten und Gateways zuordnen.

VLANs nehmen abermals eine Sonderstellung ein. Da jedes VLAN stets ein eigenes Subnetz, einen eigenen DHCP-Server und ein eigenes Standardgateway hat, kann man die VLANs auch individuell auf mit/ohne VPN zuschneiden. Die Auswahl welches Gerät welchen Weg nimmt, geschieht durch die Zuordnung des jeweiligen Anschlussports zum gewünschten VLAN, das entweder ohne oder mit VPN ins Internet geht. Ein wenig PBR wird bei dieser Lösung aber auch benötigt, um die VLANs im Router jeweils dem ISP oder der VPN-Anbindung zuzuweisen.



Alles in allem reißt du also gerade drei grundverschiedene Szenarien an, ohne es zu wissen. Die rein client-basierte Konfiguration durch den Einsatz von zwei physischen Gateways im Netzwerk, die komplett router-basierte Konfiguration mittels PBR und zu guter Letzt die virtuelle Aufteilung des Netzwerks in VLANs und somit gewissermaßen eine switch-basierte Konfiguration.

 

[Snoopy00]

Sehr geil 🥳. Hab mir deinen Text nun drei mal durchgelesen und hab denke ich etwas gelernt 😆👌. Werde mir morgen das ganze noch mal durchlesen und mich etwas durchs WWW Wälzen, danke.

 

[Snoopy00]

Bei einem 2-Gateway-Setup verfährt man wie folgt:

Internetrouter für Zugriff ohne VPN = x.y.z.1
---> Alle Geräte, die ohne VPN ins Internet gehen sollen, werden mit Standardgateway=x.y.z.1 konfiguriert

VPN-Gateway (zB ein Raspberry PI) für Zugriff mit VPN = x.y.z.
---> Alle Geräte, die mit VPN ins Internet gehen sollen, werden mit Standardgateway=x.y.z.2 konfiguriert

Der DHCP-Server wird so eingestellt, dass er den bevorzugten Standardweg (zB Gateway via DHCP = x.y.z.1 für Standard-ohne-VPN) als Gateway ausliefert. Bei den Geräten, die den anderen Weg nehmen sollen, wird das Standardgateway manuell auf das jeweils andere Gateway konfiguriert (zB x.y.z.2 für Explizit-mit-VPN).

Folglich besteht das 2-Gateway-Setup aus zwei separaten Geräten.

Das wäre dann das hier.


Am liebsten würde ich gerne den kompletten Traffic, also auch die entschlüsselten Daten aus der VPN Verbindung, vorher filtern, bevor sie zu den Clients kommen.

Würde gerne über OPNsense zb. Werbung für alle Clients herausfiltern. Wenn ich das nach dem Bild von oben machen würde, könnte OPNsense das machen, ist das unabhängig vom Gateway?

Innerhalb von OPNsense kann man das so nicht machen, bzw. es ist nur bedingt sinnvoll und würde zwei lokale IP an der OPNsense bedingen, die unterschiedlich geroutet werden würden. Wenn OPNsense selbst sowohl das Internetgateway ohne VPN als auch das Internetgateway mit VPN ist, würde man sich stattdessen jedoch des Policy Based Routings, kurz: PBR, bedienen. Damit gibt man dem Router ein Regelwerk mit, das nicht nur wie sonst üblich ausschließlich anhand der Ziel-IP routet, sondern auch anhand anderer Kriterien wie zB Ports oder eben auch nach der Quell-IP. Mit PBR ist es möglich, komplett individuelle Routing-Tabellen zu erstellen, die beispielsweise verschiedene Endgeräte gezielt anders routen oder auch geräteübergreifend bestimmte Dienste bzw. Ports mal über das VPN und mal zum ISP schicken.

Würde funktionieren, aber mit fummelei an PBR.



Hier hätte ich den normalen,- + entschlüsselten Traffic komplett durch die OPN Firewall abgesichert und könnte zb. für alle Geräte Werbung mit OPNsense herausfiltern.

VLANs nehmen abermals eine Sonderstellung ein. Da jedes VLAN stets ein eigenes Subnetz, einen eigenen DHCP-Server und ein eigenes Standardgateway hat, kann man die VLANs auch individuell auf mit/ohne VPN zuschneiden. Die Auswahl welches Gerät welchen Weg nimmt, geschieht durch die Zuordnung des jeweiligen Anschlussports zum gewünschten VLAN, das entweder ohne oder mit VPN ins Internet geht. Ein wenig PBR wird bei dieser Lösung aber auch benötigt, um die VLANs im Router jeweils dem ISP oder der VPN-Anbindung zuzuweisen.

vLAN sollte auf jeden Fall dabei sein. Nur weiß ich noch nicht, welches Gerät ich dafür nehmen sollte, eigentlich würde das doch der Switch übernehmen.


War gestern schon kurz davor mir den Switch+AP zu bestellen. Theoretisch wird das schon klappen oder? Dachte mir, einfach mal Bestellen und versuchen. Hätte einen kleinen PC übrig zum Testen, der hat einen
LAN Port am Board, würde dann noch eine Netzwerkkarte mit zwei Ports reinbasteln.


Welche Kombination, würdest du mir für mein Vorhaben hiervon empfehlen?

 

[Raijin]

Deine Zeichnungen sind nicht ganz korrekt. VLANs sind auf Layer 2 separierte Netzwerke, so als wenn sie komplett unabhängige Switches hätten - nur dass diese Switches eben virtuell durch VLAN-IDs auf ein- und demselben Hardware-Switch virtuell vorhanden sind. Das bedeutet aber auch, dass sie jeweils auf Layer 3 eigene Subnetze haben müssen, weil der Router sonst nichts damit anzufangen weiß.


Ein übliches VLAN-Szenario sähe so aus:

Router

         ┌────────────────────────────────────┐
         │                 WAN                │
         │                                    │
         │               Router               │
         │ LAN1                          LAN2 │
         │ 192.168.10.1          192.168.20.1 │
         └───┬────────────────────────────┬───┘
             │                            │
             │                            │
         ┌───┴────────────────────────────┴───┐
         │  P1                           P9   │
         │(VLAN10)                    (VLAN20)│
         │               SWITCH               │
         │(VLAN10)                    (VLAN20)│
         │ P2-P8                      P10-P16 │
         └───┬────────────────────────────┬───┘
             │                            │
     ┌───────┼───────┐            ┌───────┼───────┐
     │       │       │            │       │       │
  ┌──┴──┐ ┌──┴──┐ ┌──┴──┐      ┌──┴──┐ ┌──┴──┐ ┌──┴──┐
  │     │ │     │ │     │      │     │ │     │ │     │
  └─────┘ └─────┘ └─────┘      └─────┘ └─────┘ └─────┘
  .10.10  .10.11  .10.12       .20.10  .20.11  .20.12

Bei einem 2-Gateway-Setup gibt es innerhalb ein und desselben Netzwerks (hier bei VLAN20) ZWEI Gateways.

         ┌────────────────────────────────────┐
         │                 WAN                │
         │                                    │
         │               Router               │
         │ LAN1                          LAN2 │
         │ 192.168.10.1          192.168.20.1 │
         └───┬────────────────────────────┬───┘
             │                            │
             │                            │
         ┌───┴────────────────────────────┴───┐
         │  P1                           P9   │
         │(VLAN10)                    (VLAN20)│
         │               SWITCH               │
         │(VLAN10)                    (VLAN20)│          ┌─────┐
         │ P2-P8                      P10-P16 │──────────| GW2 |~~~~~ VPN
         └───┬────────────────────────────┬───┘          └─────┘
             │                            │               .20.2
     ┌───────┼───────┐            ┌───────┼───────┐
     │       │       │            │       │       │
  ┌──┴──┐ ┌──┴──┐ ┌──┴──┐      ┌──┴──┐ ┌──┴──┐ ┌──┴──┐
  │     │ │     │ │     │      │     │ │     │ │     │
  └─────┘ └─────┘ └─────┘      └─────┘ └─────┘ └─────┘
  .10.10  .10.11  .10.12       .20.10  .20.11  .20.12

Die Clients aus VLAN20 würden nun über die Auswahl Standardgateway=.20.1 oder .20.2 auswählen ob sie ohne oder mit VPN ins Internet gehen wollen. Der DHCP im VLAN20 würde das Gateway verteilen, das standardmäßig - also ohne manuelle Konfiguration am Client - benutzt werden soll.

Am liebsten würde ich gerne den kompletten Traffic, also auch die entschlüsselten Daten aus der VPN Verbindung, vorher filtern, bevor sie zu den Clients kommen.

Da kann ich dir ehrlich gesagt nicht folgen. VPN-Traffic ist verschlüsselt und niemand außer dem VPN-Client und dem VPN-Server kann unterwegs die Daten lesen - das ist ja Sinn der Sache. Bei einem 2-Gateway-Setup kann die OPNsense also rein gar nichts tun, weil sie vom VPN-Gateway (GW2) nur verschlüsseltes Kauderwelsch sieht. Wenn irgendwas gefiltert werden sollte, müsste dies also direkt in GW2 geschehen. Wobei "filtern" ein weit gefasster Begriff ist. Es gibt DNS-Filter, die letztendlich nur komplette Domains blockieren, aber auch Proxies, die den gesamten Traffic inkl. bestimmter Ports oder einzelner URLs filtern können, und zu guter Letzt natürlich auch noch die Firewall des Gateways, die Ports und IPs komplett blocken kann.

Würde gerne über OPNsense zb. Werbung für alle Clients herausfiltern. Wenn ich das nach dem Bild von oben machen würde, könnte OPNsense das machen, ist das unabhängig vom Gateway?

Jein. Wenn die OPNsense beispielsweise ein DNS-Plugin hat (ich glaube pfSense hat ein Paket namens pfblock oder so ähnlich), ginge das. Gegebenenfalls kann man OPNsense vermutlich auch als Proxy einsetzen. Es gibt wie gesagt viele Wege, die nach Rom führen.

Würde funktionieren, aber mit fummelei an PBR.


Hier hätte ich den normalen,- + entschlüsselten Traffic komplett durch die OPN Firewall abgesichert und könnte zb. für alle Geräte Werbung mit OPNsense herausfiltern.

Klar, bis zur OPNsense wäre in diesem Fall alles komplett unverschlüsselt (im Sinne eines VPNs, https ist natürlich nach wie vor verschlüsselt) und es kann nach Belieben gefiltert, geblockt und umgeleitet werden.

 

[Snoopy00]

Danke für deine mühe, du bist echt der Hammer 👏.

Wie bereits geschrieben, habe mir einen PC besorgt, dort kommt eine 2Port Netzwerkkarte rein, macht dann 3xLAN.

Mein Switch ist nun auch mein Router 😎. Nächste Woche kommt die neue Hardware, das wird spannend 🤯

Switch, AP, Modem

Wenn dann alles läuft,....... kommt noch ein kleiner Netzwerkschrank, wo alles seinen Platz darin finden soll.

 

[0-8-15 User]

Mein Switch ist nun auch mein Router 😎.

Bin gespannt, ob du damit glücklich wirst. Bei mir ist aktuell mein Router, mein Switch. 😎

 

[Snoopy00]

So, krasser Scheiss, viel gelernt in den letzten Tagen, aber noch nicht fertig. Der Switch war kurz mein Router, ist jetzt aber wieder zum Switch mutiert und wahrscheinlich später wieder zum Router...., aber zu den Details komme ich erst wenn alles läuft.

Komme gerade nicht weiter, openVPN und normales Internet parallel, auf zwei Interfaces über eine WAN Schnittstelle laufen zu lassen.

OPNsense, pfSense+4Port Netzwerkkarte (WAN, LAN, OPT2), openVPN Client startet mit pfSense und läuft über LAN, passt.

LAN= 192.168.1.0
OPT2= 192.168.2.0
DHCP macht pfSense.

Erstmal kein Switch angeschlossen. Kabel abwechselnd von pfSense zu PC.
Wie gesagt, der Tunnel steht direkt und immer auf LAN.

Wenn ich jetzt OPT2 an den PC stecke, sagt mir Windows im Freigabecenter, dass ich Internet habe.
Kann aber keine Webseite öffnen, oder zb. die computerbase IP direkt pingen.

Das geht schon so wie ich mir das vorstelle? Gleichzeitig über WAN raus?

Anbei noch ein paar Bildchen.

 

[Raijin]

Bin gerade unterwegs, daher nur ein kurzer Kommentar, ohne auf die Screenshots zu gucken:

Komme gerade nicht weiter, openVPN und normales Internet parallel, auf zwei Interfaces über eine WAN Schnittstelle laufen zu lassen.

OpenVPN erzeugt ja ein virtuelles Interface, in der Regel tun0. Mittels PBR kann man nur zwei Routingtabellen erstellen, eine mit für Internet via WAN und eine für tun0. Regeln definieren welche Kriterien die eine oder andere Tabelle triggern, fertig.

Wenn ich jetzt OPT1 an den PC stecke, sagt mit Windows im Freigabecenter, dass ich Internet habe.
Kann aber keine Webseite öffnen, oder eine zb. computerbase IP, direkt pingen

ping ip.der.pfsense
ping 8.8.8.8
nslookup computerbase.de ip.der.pfsense
nslookup computerbase.de 8.8.8.8

 

[Snoopy00]

Die Regel sagt, dass LAN über das VPN Gateway geht, und OPT1 über Gateway WAN.


C:\WINDOWS\system32>ping 192.168.2.1 Ping wird ausgeführt für 192.168.2.1 mit 32 Bytes Daten: Antwort von 192.168.2.1: Bytes=32 Zeit<1ms TTL=64 Antwort von 192.168.2.1: Bytes=32 Zeit<1ms TTL=64 Antwort von 192.168.2.1: Bytes=32 Zeit<1ms TTL=64 Antwort von 192.168.2.1: Bytes=32 Zeit<1ms TTL=64 Ping-Statistik für 192.168.2.1: Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms C:\WINDOWS\system32>ping 8.8.8.8 Ping wird ausgeführt für 8.8.8.8 mit 32 Bytes Daten: Zeitüberschreitung der Anforderung. Zeitüberschreitung der Anforderung. Zeitüberschreitung der Anforderung. Zeitüberschreitung der Anforderung. Ping-Statistik für 8.8.8.8: Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4 (100% Verlust), C:\WINDOWS\system32>nslookup computerbase.de 192.168.2.1 Server: UnKnown Address: 192.168.2.1 Nicht autorisierende Antwort: Name: computerbase.de Addresses: 2a02:cbf3:210::a2 87.230.75.2 C:\WINDOWS\system32>nslookup computerbase.de 8.8.8.8 DNS request timed out. timeout was 2 seconds. Server: UnKnown Address: 8.8.8.8 DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. *** Zeitüberschreitung bei Anforderung an UnKnown.


Update:

Habe Unter System/Allgemeine Einstellungen bei DNS nun 8.8.8.8 und 8.8.4.4 hinzugefügt.

Immer noch keine Verbindung, aber


C:\Users\snoop>ping 192.168.2.1 Ping wird ausgeführt für 192.168.2.1 mit 32 Bytes Daten: Antwort von 192.168.2.1: Bytes=32 Zeit<1ms TTL=64 Antwort von 192.168.2.1: Bytes=32 Zeit<1ms TTL=64 Antwort von 192.168.2.1: Bytes=32 Zeit<1ms TTL=64 Antwort von 192.168.2.1: Bytes=32 Zeit<1ms TTL=64 Ping-Statistik für 192.168.2.1: Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms C:\Users\snoop>ping 8.8.8.8 Ping wird ausgeführt für 8.8.8.8 mit 32 Bytes Daten: Antwort von 8.8.8.8: Bytes=32 Zeit=9ms TTL=118 Antwort von 8.8.8.8: Bytes=32 Zeit=9ms TTL=118 Antwort von 8.8.8.8: Bytes=32 Zeit=9ms TTL=118 Antwort von 8.8.8.8: Bytes=32 Zeit=9ms TTL=118 Ping-Statistik für 8.8.8.8: Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 9ms, Maximum = 9ms, Mittelwert = 9ms C:\Users\snoop>nslookup computerbase.de 192.168.2.1 Server: UnKnown Address: 192.168.2.1 Nicht autorisierende Antwort: Name: computerbase.de Addresses: 2a02:cbf3:210::a2 87.230.75.2 C:\Users\snoop>nslookup computerbase.de 8.8.8.8 Server: dns.google Address: 8.8.8.8 Nicht autorisierende Antwort: Name: computerbase.de Addresses: 2a02:cbf3:210::a2 87.230.75.2

Beim Gateway, steht eine veraltete IP drinnen.

 

[0-8-15 User]

Ohne im Detail drinzustecken, aber mit pfSense 2.5.0 / 2.5.1 gab es teils massive Probleme mit Multi-WAN.

Ich würde mal einen Blick in den Bugtracker werfen oder 2.4.5 probieren, nicht dass du dich unnötig quälst.

 

[Snoopy00]

Habe nun 2.4.5 drauf und es klappt. Allerdings glaube ich es lag nicht an der Version, sondern am falsch konfiguriertem NAT. Hatte dort vorher einfach nicht durchgeblickt, und falsch angepasst. Werde nun wieder die neue Version drauf machen (um sicher zu gehen), um dann später OPNsense drauf zu machen.

 

[Snoopy00]

Kurzes update, bin ja noch nicht fertig, dauert noch ein wenig.

Habe nun alles auf OPNsense am laufen. Bedeutet: Internet mit und ohne VPN, getrennt mit mehreren physischen Interfaces, die an den Switch gehen. Am Switch hängt der AP, zwei Server, IOT zeugs.
IDS, IPS, ADGuard, DDNS+cron läuft.
DHCP macht OPNsense, vLAN macht der Switch.

MagentaTV hab ich noch nicht über den Switch zum laufen gebracht, alles mögliche bei IGMP snooping versucht, wenn man aber keine Ahnung und kein glück hat, wird das halt nichts , werde ich aber im lancom Forum später noch klären. MagentaTV läuft soweit, ist direkt an der OPNsense angeschlossen.

Neue OPNsense Hardware ist auch schon da, fehlt nur noch das Gehäuse.
Habe mich für AM4 enschieden, erst mal klein anfangen, falls nötig, ist später mit der AM4 Plattform noch massig Platz nach oben zum aufrüsten.
BOARD, CPU, RAM, M2SSD und ein schickes Gehäuse.
Sollte eine weile reichen...

Heute habe ich mir einen Netzwerkschrank geholt 19zoll 9HE. Den werde ich noch etwas "tunen".


Ich bin noch am überlegen, wie ich am besten mehr Komfortabilität erreichen kann, ohne Sicherheit dagegen eintauschen zu müssen.
Jedes vLAN ist ja ein eigenes, logisch von einander getrenntes Netz.
Wenn mein PC mit dem ich jetzt schreibe, zugriff auf das Servernetz haben möchte, muss ich mich im Moment, um stöpseln. Ich könnte mir auch einfach eine 4Port Netzwerkkarte in diesen PC einbauen, und somit dauerhaft per LAN-Kabel mit allen netzen verbunden sein und eben immer nur die Schnittstelle die ich benötige Aktivieren. Sollte sich aber jemand von außen, zugriff auf den PC verschaffen, könnte er das auch machen.

Das muss doch anders gehen, oder?