Netzwerkaufbau und Hardware-Empfehlung

[e36Alex]

Hallo zusammen,

ich bin gerade die Erweiterung meines Netzwerkes. Aktuell hängt alles in einem Netz an einer Fritzbox 7590 und einem daran angeschlossenen Switch.

Um eine höhere Sicherheit im Netzwerk zu gewährleisten, möchte ich gerne bestimmte Geräteklassen in verschiedene VLAN verteilen und somit den Zugriff auf die anderen Netze verhindern. Dass ich mit meiner aktuellen Hardware das Ziel nicht erreichen werde, ist mir bewusst. Daher liebäugel ich mit der Anschaffung von Unifi-Netzwerkkomponenten.

Ich hänge dabei aber gerade an den folgenden Punkten:

• Mein HomeServer erledigt momentan zentral die Arbeiten für mehrere Gerätegruppen. Theoretisch könnte ich den einzelnen VLANs Zugriff auf das VLAN des Servers gewähren (siehe Grafik), jedoch wäre ich dann ja bzgl. der Zugriffe fast auf dem gleichen Stand wie heute. Ich würde aber nur ungerne die Aufgaben auf drei physische Server verteilen. Welche Möglichkeiten / Alternativen gibt es da?
• Wie schon geschrieben, liebäugel ich mit der Anschaffung von Unifi Netzwerkkomponenten (USG, Switch, Accesspoints, Cloudkey2 Pro, Cams). Beim Switch bin ich mir unsicher, ob Layer2-Funktionen ausreichen oder ich einen Switch mit Layer3-Funktionalitäten benötige. Welche Komponenten würdet ihr für mein Vorhaben empfehlen?

Vielen Dank schon mal für eure Hilfe!

Gruß Alex

 

[eigs]

Mein HomeServer erledigt momentan zentral die Arbeiten für mehrere Gerätegruppen. Theoretisch könnte ich den einzelnen VLANs Zugriff auf das VLAN des Servers gewähren (siehe Grafik), jedoch wäre ich dann ja bzgl. der Zugriffe fast auf dem gleichen Stand wie heute. Ich würde aber nur ungerne die Aufgaben auf drei physische Server verteilen. Welche Möglichkeiten / Alternativen gibt es da?

Den Server nicht in andere VLANs geben sondern nur die vorgesehenen Verbindungen zwischen den VLANs routen.

Wie schon geschrieben, liebäugel ich mit der Anschaffung von Unifi Netzwerkkomponenten (USG, Switch, Accesspoints, Cloudkey2 Pro, Cams). Beim Switch bin ich mir unsicher, ob Layer2-Funktionen ausreichen oder ich einen Switch mit Layer3-Funktionalitäten benötige. Welche Komponenten würdet ihr für mein Vorhaben empfehlen?

Wenn du routen willst brauchst du Layer 3 Funktionalitäten. Ich kann Mikrotik empfehlen. Man muss sich allerdings damit beschäftigen und gut auskennen wenn man das ordentlich konfigurieren will.

 

[Raijin]

Ein L3-Switch wird nur benötigt, wenn man massiven Traffic zwischen den VLANs hat. Hintergrund ist der, dass ein L3-Switch Inter-VLAN-Routing unterstützt. D.h. er kann quasi direkt von Port 7 (=VLAN 10) zu Port 15 (=VLAN 20) "switchen" bzw. eben routen.
Im Gegensatz dazu ist ein L2-Switch lediglich darauf ausgelegt, in verschiedene VLAN-Segmente, quasi kleine Subswitches, unterteilt zu werden. Jeder Traffic zwischen den VLANs muss daher den Switch verlassen und über einen Uplink zu einem Router geschickt werden. Dieser routet dann ins jeweils andere Subnetz bzw. VLAN und schickt die Daten dann wieder zum Switch runter. Bei viel Verkehr zwischen den VLANs kann der bzw. können die Uplink(s) zum Router zum Flaschenhals werden.

Ich sage es aber ganh ehrlich: In einem Heimnetzwerk ist das weit weniger relevant als in einem Firmennetzwerk. In letzterem redet man schließlich von Etagen-Switches bzw. ganzen Stacks mit Dutzenden von Clients, die sonst quer durch die Firma zum Serverraum geroutet werden müssten, während ein L3-Switch das noch im Büro selbst routen könnte (zB vom PC im Büro-VLAN zum daneben stehenden Drucker im Drucker-VLAN).

Es spricht aber auch nichts dagegen, sich dennoch einen L3-Switch zuzulegen. Man muss aber bedenken, dass man so ein Gerät auch konfigurieren können muss und die Dinger können noch mehr als nur VLANs...


Den Server könnte man ganz klassisch in eine DMZ packen. Ein eigenes (V)LAN, in das alle rein_schicken , aber nur die Antworten auch _raus dürfen. D.h. ein kompromittierter Server kann nicht einfach so nach draußen und auch nicht in die anderen VLANs. Auch kann VLAN A nicht über die DMZ in VLAN B. Das regelt eben die Firewall und die ist der Knackpunkt bei komplexeren Netzwerken mit mehreren VLANs.

 

[Groug]

Ich kann Mikrotik empfehlen. Man muss sich allerdings damit beschäftigen und gut auskennen wenn man das ordentlich konfigurieren will.

Das dürfte für alle Netzwerkkomponenten mit den Möglichkeiten von RouterOS gelten.

 

[madmax2010]

Was @eigs sagt.
Für Routing und VLANs bin ich mit dem Ubiquiti Edgerout-X SFP Extrem zufrieden, der hängt bei mir direkt hinter dem Modem. Der ist billig und tut gut. In 6 Wochen löse ich ihn jedoch durch den guten mikrotik Jean-Cloude van Router-Switch ab.

 

[Groug]

Falls du nicht unbedingt 19 Zoll brauchts, es gibt den jetzt auch in einem kleineren Gehäuse als CRS326-24G-2S+IN.
Läuft bei mir mit einem CRS309-1G-8S+IN.

 

[eigs]

Ein L3-Switch wird nur benötigt, wenn man massiven Traffic zwischen den VLANs hat.

Ohne L3-Switch braucht man wieder einen Router der den Anforderungen entspricht. Und die vom ISP zur Verfügung gestellten Router erfüllen in der Regel diese Anforderungen nicht.
Also ist das Geld besser angelegt wenn man sich gleich einen L3-Switch kauft.

 

[t-6]

Also ist das Geld besser angelegt wenn man sich gleich einen L3-Switch kauft.

...um dann trotzdem weiterhin den Gammel-ISP-Router einsetzen?
Ich würde behaupten dass ein halbwegs kompetenter Router ein größeres Feature-Set hat als günstige L3-Switches und einfacher zu konfigurieren sind als L3-Switches, von daher ist das Geld da besser angelegt.

 

[eigs]

...um dann trotzdem weiterhin den Gammel-ISP-Router einsetzen?

Warum willst du den Gammel-ISP-Router einsetzen wenn du Mikrotik mit RouterOS hast?

Ich würde behaupten dass ein halbwegs kompetenter Router ein größeres Feature-Set hat als günstige L3-Switches

Welche Features fehlen dir bei RouterOS?

einfacher zu konfigurieren sind als L3-Switches

Wenn du Features die über den vereinfachten Einrichtungsassistent hinausgehen nutzen willst wird es auch mit dedizierten Routern nicht einfacher.

 

[Raijin]

Viele L3-Switches haben keine Ahnung von NAT, PAT, etc, weil das einfach nicht Teil ihrer Aufgabe ist. MikroTik-Switches mit RouterOS stellen da ggfs eine Ausnahme dar, wenn sie denn dadurch das volle Feature-Set eines MikroTik Routers bekommen und nicht evtl. nur eine eingeschränkte Variante. Man darf aber in keinster Weise davon ausgehen, dass jeder L3-Switch dazu fähig ist. Deswegen muss man zwingend die Datenblätter der Kandidaten studieren.

Warum willst du den Gammel-ISP-Router einsetzen wenn du Mikrotik mit RouterOS hast?

Weil du sonst ein Modem für die Internetverbindung brauchst? Oder wie willst du einen Switch - RouterOS hin oder her - an eine DSL- oder Kabel-Leitung hängen?

 

[e36Alex]

Hallo und vielen Dank erstmal an alle für die Beiträge und die interessante Diskussion. Ich bin schon mal "froh", dass die Frage Layer2 oder Layer3 doch nicht so einfach zu beantworten ist und durchaus diskussionsbedarf besteht.

Bei viel Verkehr zwischen den VLANs kann der bzw. können die Uplink(s) zum Router zum Flaschenhals werden.

Ich sage es aber ganh ehrlich: In einem Heimnetzwerk ist das weit weniger relevant als in einem Firmennetzwerk.

Sehe ich genauso! Der Datenverkehr soll zwar schon performant sein, aber realistisch gesehen wird das im meinem UseCase nicht das Bottleneck.

Für Routing und VLANs bin ich mit dem Ubiquiti Edgerout-X SFP Extrem zufrieden, der hängt bei mir direkt hinter dem Modem. Der ist billig und tut gut.

Danke für den Hinweis, den hatte ich bisher nicht auf dem Schirm. Jetzt stellt sich für mich aber noch mal ne grundsätzliche Frage:
Ich habe bisher in die Richtung gedacht, dass ich die Fritzbox (oder ggf. ein anderes Modem) als reines DSL-Modem nutze und mich dann mit dem WAN-Port des Switches dranhänge.
Für mich hatte sich daher erstmal nur die Frage gestellt, welches dieser beiden Geräte das "richtige" für mich ist (oder ob ich doch noch den Edge-Router brauche?):
USW 24 - Layer2:
https://eu.store.ui.com/collections/unifi-network-routing-switching/products/usw-24-poe-gen2
USW Pro 24 - Layer3:
https://eu.store.ui.com/collections/unifi-network-routing-switching/products/usw-pro-24-poe-gen2

Eine Alternative wäre für mich noch der Einsatz der DreamMaschinePro in Kombination mit einem USW24 oder USW Pro24. Hier würde sich aber auch wieder die gleiche Frage bzgl. der L2 / L3 Thematik stellen.

Ich würde gerne zunächst mit einem 24-Port-Switch starten, kann aber nicht ausschließen, dass ich später noch einmal mehr benötige und ggf. noch einen weiteren 24-Port-Switch hinzufügen möchte.

• Kann ich den zweiten Switch dann einfach über den SFP-Port an den ersten Switch hängen und kann dann die VLANs "switchübergreifend" konfigurieren oder müssen die Geräte dann entsprechend der VLANs auf die jeweiligen Switche umgeswitched werden und es wird noch ein Router benötigt?
• Könnte ich dann als zweiten Switch einen L2 nehmen oder müsste das dann auch ein L3 sein?

 

[Raijin]

WAN-Port des Switches

Ein Switch hat effektiv keinen WAN-Port. Er hat nur LAN-Ports, die unter Umständen als WAN konfiguriert werden können. Sofern MikroTik bei den Switches mit geflashtem RouterOS volle Funktion bietet, kann man das machen. Bei anderen L3-Switches ist das in der Regel nicht der Fall.

Wenn man gar ein reines Modem einsetzen will, kommt PPPoE ins Spiel. Das ist das Protokoll, mit dem sich ein Router über ein Modem beim Provider einwählt. Auch das ist bei einem L3-Switch nicht zwingend vorhanden. Das ist wie gesagt auch nicht seine eigentliche Aufgabe. Nicht ohne Grund heißt die Routing-Funktion von L3-Switches explizit "Inter-VLAN-Routing". Im Falle von den MikroTiks mag das anders sein, das fänd ich persönlich extremst positiv, ist aber nicht die Regel.

Fritzboxxen können übrigens seit geraumer Zeit gar nicht mehr als reines Modem konfiguriert werden.


Die grundsätzliche Frage, die sich stellt ist: Wieviel Aufwand willst du betreiben und wieviel Zeit und Energie willst du für das KnowHow und danach in die Einrichtung stecken?

Von der Investition in diverse Geräte ganz zu schweigen. Und was erhoffst du dir am Ende davon? Also was sind aktuell deine konkreten Befürchtungen in Sachen Sicherheit? Man kann das Netzwerk beliebig komplex und professionell gestalten, aber man muss auch damit umgehen können. Es ist sinnfrei, wenn du jetzt große Pläne hast, am Ende aber keine Ahnung hast was du wo und wie tun musst. Je komplexer das Netzwerk wird, umso aufwändiger wird die Fehlersuche. Ohne die notwendigen Kenntnisse wird das unweigerlich auf zahlreiche Threads im Forum hinauslaufen - und das wird nicht nur für dich anstrengend.

Beispiel: Wenn du etwas im Bereich SmartHome benutzt, kann es sein, dass du in große Probleme rennst, wenn die SmartHome-Geräte in einem anderen VLAN sind als deine bedienenden Endgeräte (zB Smartphone). Das liegt daran, dass zahlreiche vermeintlich smarten Apps gar nicht so smart sind und immer nur im lokalen Subnetz (also diesem einen VLAN) nach den Geräten suchen - Geräte in anderen Subnetzen? Von sowas haben viele Hersteller noch nie gehört. Dann musst du plötzlich mit Broadcast-Relays arbeiten, um die Suche der App von einem VLAN ins andere zu bringen, und und und....

 

[Groug]

Sofern MikroTik bei den Switches mit geflashtem RouterOS volle Funktion bietet, kann man das machen.

Die Dualbootmodelle wie zB. CRS326-24G-2S+IN oder CRS309-1G-8S+IN haben ein komplettes RouterOS mit allen Funktionen und das SwitchOS. Man kann da zur Not auch einen 26 bzw. einen 9 Port Router draus machen.

 

[Raijin]

Und wie ist die Routing-Performance von den Geräten, wenn NAT, etc. aktiviert ist? Auf der Produktseite sind leider nur Routing-Messungen ohne nähere Angaben, sprich: Mutmaßlich ohne NAT, etc.

Wenn ich mir nämlich so die CPU anschaue, dann hat der erste einen SingleCore ARM mit 800 MHz, der zweite immerhin einen DualCore mit 800 MHz, der mit der CPU im hEX vergleichbar ist (2x 880 MHz). Der hAP ac2 hat gar einen QuadCore 716 MHz, aber der Vergleich hinkt, weil der ja auch noch WLAN mit an Bord hat. Das allein sagt natürlich nicht viel aus, weil die CPU nicht allein arbeitet, aber gerade bei SingleCore werde ich skeptisch. Daher würden mich Praxistests interessieren. Ich werde mal ein wenig goggeln

 

[Groug]

Ich nutze sie nur als Switch unter RouterOS mit ein paar VLans aber ein CRS109-8G-1S-2HnD-IN benutze ich in Dänemark am Kabel mit NAT + WLan usw. mit 500 MBit/s und da langweilt sich die CPU nur.
Aber ist schon richtig das es schon sinnvoller ist die nicht gerade als Router zu nutzen. Da bieten sich eher die RB* oder CCR* Modelle für an.

 

[Raijin]

Hättest du nicht sagen können, dass das furz lahm ist?!? Jetzt will ich so'n Ding haben, einfach nur so zum rumspielen... verdammt

 

[Groug]

Ich gebe nix von meinen Spielzeug ab

 

[e36Alex]

Die grundsätzliche Frage, die sich stellt ist: Wieviel Aufwand willst du betreiben und wieviel Zeit und Energie willst du für das KnowHow und danach in die Einrichtung stecken?

Fairer Punkt. Aber das lässt sich natürlich nur schwer bemessen. Ich bin schon interessiert und möchte mich mit dem Thema intensiver auseinandersetzen und sehe solche Projekte immer als Chance, sich neues Wissen anzueignen. Ein Informatikstudium strebe ich aber natürlich auch nicht an. Daher bin ich auch bei den Unifi-Produkten gelandet, da der Funktionsumfang deutlich über den z.B. einer Fritzbox hinausgeht und die Konfiguration dennoch über ein übersichtliches UI möglich ist. - Dass man auch trotz UI wissen sollte, was man tut und ich vor einer Lernkurve stehe ist mir dabei bewusst.

Von der Investition in diverse Geräte ganz zu schweigen. Und was erhoffst du dir am Ende davon? Also was sind aktuell deine konkreten Befürchtungen in Sachen Sicherheit?

Auch das ist ein guter Punkt. Ich habe für das Projekt kein festes Budget definiert und bin auch noch in der Phase, in der ich versuche den Umfang zu evaluieren. Daher insbesondere auch die Frage, ob für mein Ziel L3 oder L2 erforderlich ist - das sind ja schon ein paar Euro unterschied bei den Geräten.
Meine Motivation lässt sich eigentlich auf die folgenden Punkte zusammenfassen:

• Demnächst steht ein Hausbau an, da ist natürlich die Planung von Netzwerk und Smarthome (KNX) ein Thema. Ich möchte mich jetzt schon einmal mit dem Thema genauer auseinandersetzen und gerne auch schon das ein oder andere "Vorbeireiten" - wenn die Bauarbeiten beginnen, wird es sicher genug andere Themen geben, die meine Aufmerksamkeit erfordern.
• Die Sicherheit in meinem aktuellen Netzwerk ist nicht optimal. Alle Geräte hängen in einem Netz - auch die Überwachungskameras, die außen mit per Netzwerkkabel eingebunden sind. Das ist aus meiner Sicht schon ein vermeidbares Einfallstor (war mir damals aber tatsächlich nicht so bewusst). Hinzu kommt, dass ich unsere Firmengeräte (Notebooks, Handy, Ipads) im Gast-WLAN habe. Wenn ich aber nun tatsächlich mal etwas ausdrukcen möchte (kommt zum Glück nur relativ selten vor), dann ist der WLAN-Drucker aufgrund der Trennung nicht erreichbar.
• Und zu guter Letzt natürlich das Interesse an der Thematik.

Ich hoffe, ich konnte mit der Beschreibung einen besseren Eindruck verschaffen, was die Hintergründe und Ziele sind.

 

[Raijin]

Ok, das klingt plausibel.


Dann würde ich dir aber dazu raten, dich zunächst mit der Theorie zu beschäftigen bevor du groß einkaufen gehst. Zum einen gibt es diverse Netzwerk Simulationstools, zum anderen kann man sich auch eine Umgebung mit mehreren Mini-VMs aufbauen. So kann man sich die Grundkonzepte für das Routing und die Firewall anschauen und durchspielen. In deiner Grafik hast du immerhin 5 Netzwerke eingezeichnet, das ist schon nicht ohne, wenn man gegenseitige Zugriffe reglementieren will.

Es ist wenig sinnvoll, wenn du jetzt losgehst und semiprofessionelles Equipment kaufst, wenn du noch nicht das KnowHow dazu hast. Die Tatsache, dass solche Geräte deutlich mehr Funktionen bieten als zB eine Fritzbox, ist Fluch und Segen zugleich. Otto Normal, der gerade so mit einer Fritzbox klarkommt, wird von solchen Geräten in der Regel erschlagen, weil sie sich an fortgeschrittene Anwender richten und eher selten umfangreiche Wizards oder Hilfen anbieten - es wird erwartet, dass der Bediener weiß was er da tut und wie er es tun muss.


UniFi wiederum ist ein nettes System und es ist sehr angenehm, wenn man alle Unifi-Geräte in einer Oberfläche konfiguriert. Der Vorteil liegt darin, dass man zB VLANs nur einmalig definiert und dann auf den einzelnen Geräten gewissermaßen nur anklickt. Bei gemischten Systemen, zB 1x EdgeRouter, 1x MikroTik-Switch, 1x Netgear-Switch, muss man penibel darauf achten, die VLAN-IDs überall identisch einzustellen. Allerdings macht man das mehr oder weniger nur einmal und dann lange Zeit nicht mehr - wir reden hier also über eine vermeintliche Zeitersparnis durch Unifi von vielleicht 15 Minuten pro Jahr oder so... Dafür bezahlt man aber gerade bei den Switches auch einen vergleichsweise stolzen Preis, den ich persönlich für zu hoch halte. Daher setze ich von Unifi auch ausschließlich die Access Points ein. Ein komplettes Unifi-Setup hat aber definitiv seinen Charme, @flo222 hat eines und ist sehr zufrieden damit.
Allerdings gibt es bei Unifi eines zu beachten: Sowohl das USG als auch die US hatten zumindest mal große Probleme mit IGMPv3, Multicasts. Hat man also Telekom Entertain / MagentaTV, muss man bei Unifi unter Umständen einige Hürden nehmen, um das sauber einzurichten, während das bei Zyxel, Netgear und Co prinzipiell nur ein Haken ist. Es kann aber sein, dass es mittlerweile ein Update dazu gab, ich verfolge die Thematik nicht aktiv.

 

[dtee]

was genau würdest Du denn an Stelle des USGs als Alternative empfehlen? Bin da auch gerade auf der Suche.