Netzwerkplan / Netzwerkaufbau - was wäre besser ?

[Veraut]

Hallo,

habe ein Netzwerk wie in beigefügtem Image.

1 Fritzbox 7590 + 1 LTE Stick als Backup via USB in der Fritzbox (public IP)
mehrere Synology NAS Systeme
3 Domänen, welche über ReverseProxy (welches auf einer Synology NAS läuft) an den jeweiligen Server bzw Applikation "geroutet" werden.

Grundsätzlich funktioniert das alles so. Ich gehe nun einmal davon aus, dass solch ein Netzwerk nicht unbedingt die beste Option ist und vermutlich auch nicht Stand der heutigen Technik ist.
Deshalb wäre ich über sinnvolle Empfehlungen froh, was verbessert werden könnte oder man anders machen sollte.

Momentan ist das "Problem" dass die Fritzbox eine statische IP hat und die Domänen auf diese statische IP geroutet sind. Also wenn das Backup (LTE STick) einschaltet (weil die Fritzbox keine DSL Verbindung mehr hat), dann bringt das nicht viel, weil die URLs der Domänen dann ja auf die statische IP routen und nicht auf die dynamische IP des LTE Stick. (no-ip ddns Service ist vorhanden).
Ich schätze ich muß bei der Domäne-Einstellung auch die dyn.DDNS Adresse angeben, damit im Falle, falls die statische IP nicht verfügbar ist, die URL Nutzer auf dennoch richtig geroutet werden (beide in den A Record eintragen?).

Weiteres "Problem" ist der LTE Stick, als Backup in der Fritzbox, da dieser erst nach einigen Minuten erkennt, dass die Internetverbindung der Fritzbox nicht mehr verfügbar ist und dann erst "einschaltet". (kann 15 Minuten oder mehr dauern).

Grundsätzlich wäre ein Fritzbox LTE router (public IP) auch vorhanden, jedoch habe ich den nicht ins Laufen bekommen mit der Fritzbox 7590 :-( [deshalb auch nicht in Betrieb]

Bin schon gespannt, wer mir hier weiterhelfen kann. oder vielleicht sagen die Netzwerkexperten eh, dass die Lösung derzeit "optimal" ist ;-)

LG
Patrick

 

[Poati]

Aus Sicherheitsperspektive schaut das nicht optimal aus. Vermutlich hast du einfach ein Portforwarding auf dein NAS oder direkt als exposed Host eingetragen? Hier wäre ein Artikel von Synology: Klick. Da gibt es auch ein paar kurze Infos, was man für grundlegende Sicherheitsfeatures zur Verfügung hat. Dienste im öffentlichen Netz haben eben eine entsprechende Angriffsfläche. Für privat würde ich da immer zum VPN raten.

Fallback über dyndns sollte hinhauen.

 

[norKoeri]

[Fallback] kann 15 Minuten oder mehr dauern

Andere Systeme überprüfen häufiger, aber technisch am Ende das selbe. Hast Du so oft DSL-Ausfälle, dass diese Wartezeit dermaßen stört? Dann sollten wir uns eher Dein DSL anschauen. Oder nutzt Du kein DSL?

no-ip ddns

Der Internet-Router aktualisiert bei einem WAN-Wechsel den Dynamic-DNS von sich aus. Also ja, Dynamic-DNS wäre der Ansatz. Wobei Du das auch ohne No-IP machen kannst, wenn Dein Domain-Anbieter direkt Dynamic-DNS böte. Bietet das Dein bisheriger Anbieter nicht (World4You), würde ich den wechseln.

Ich gehe nun einmal davon aus, dass solch ein Netzwerk nicht unbedingt die beste Option ist und vermutlich auch nicht Stand der heutigen Technik ist.

Schwierig. Wenn Dein Internet-Anbieter die Mehrfach-Einwahl bietet, dann würde ich öffentliche Dienste vom Heimnetz trennen. Aktuell könnte Dich die Gegenstelle (auch die eingebettete Werbung) beim Web-Surfen über Deine feste IP-Adresse bzw. über einen Port-Scan tracken. Aber die Frage ist, wie weit man Dich eh schon tracken kann bzw. wie wichtig Dir dieses Thema ist.

 

[Veraut]

nein, bis dato war der Netzausfall bei DSL eh gering... dachte nur so als Sicherheit ;-)

DDNS ja, im Testdurchlauf hat no-ip auch die IP korrekt geändert (auf die dynamische). aber wie weiß die Domäne (URL) dann diese geänderte IP ? (durch einen 2. A-Eintrag ? (also einmal die statische IP + zusätzlich die no-ip url ?) wäre das ausreichend ?

Ja, ich weiß eine fixe IP ist immer ein Risiko ;-) wird vermutlich in Zukunft eh vom Provider geändert auch auf eine dynamische IP. Momentan ist sie noch fix.

Ergänzung (28. Februar 2024)

Aus Sicherheitsperspektive schaut das nicht optimal aus. Vermutlich hast du einfach ein Portforwarding auf dein NAS oder direkt als exposed Host eingetragen? Hier wäre ein Artikel von Synology: Klick. Da gibt es auch ein paar kurze Infos, was man für grundlegende Sicherheitsfeatures zur Verfügung hat. Dienste im öffentlichen Netz haben eben eine entsprechende Angriffsfläche. Für privat würde ich da immer zum VPN raten.

Fallback über dyndns sollte hinhauen.

dzt habe ich einen reverse proxy laufen, der je nach eingehender URL (domäne) dann auf den jeweiligen eingetragenen Server (lokale IP) routet.

ja auf der Fritzbox sind auch gewisse Ports freigegeben.

 

[h00bi]

Du wirst nie eine 100% Dienste-Uptime erreichen, auch nicht mit Fallback.
Selbst wenn das Fallback schon aktiv ist und der DDNS Eintrag aktualisiert wurde muss der Client auch wissen dass da ein neuer Eintrag steht.
Dementsprechend müsstest du mit sehr kurzen TTLs arbeiten, was wiederum neue Probleme verursacht.

Das nächste ist, dass du per LTE oftmals hinter einem CG-NAT hängst und per IPv4 gar nicht auf deine Dienste kommst. Du müsstest also per IPv6 hosten und dann ist die Domain von IPv4 only Anschlüssen (z.B. in einigen Mobilfunknetzen) nicht erreichbar.

Ich würde die Diensterreichbarkeit bei Fallback überhaupt nicht berücksichtigen. So kritisch können diese Dienste nicht sein.

 

[Maximilian.1]

Ich würde die Diensterreichbarkeit bei Fallback überhaupt nicht berücksichtigen. So kritisch können diese Dienste nicht sein.

Kritische Dienste gehören nicht hinter ein DSL.

Entweder Anbindung über redundante Standleitungen, oder Hosting bei einem der großen Cloud Anbieter.
Dort gibt es entsprechend verschiedene HA-Lösungen.

 

[h00bi]

Du weißt aber schon, dass du hier im Heimnetz-Forum bist?

 

[Raijin]

Grundsätzlich funktioniert das alles so. Ich gehe nun einmal davon aus, dass solch ein Netzwerk nicht unbedingt die beste Option ist und vermutlich auch nicht Stand der heutigen Technik ist.
Deshalb wäre ich über sinnvolle Empfehlungen froh, was verbessert werden könnte oder man anders machen sollte.

Gemäß deiner Skizze reden wir hier über ein Netzwerk mit 9 Synology Diskstations und 1 Rackstation.. Irgendwie kann ich mir nur schwer vorstellen, dass das ein Heimnetzwerk sein soll. Mein erster Verbesserungsvorschlag wäre da ganz klar: Systemhaus.

Abgesehen davon fällt auf, dass das verwendete Subnetz nicht im privaten Bereich liegt. Es mag ein Tippfehler sein, aber 192.162.0.0/24 liegt im öffentlichen IP-Bereich. Davon kann man nur abraten. Sollte es eigentlich 192.168.0.0/24 heißen, würde ich auch davon abraten, weil bei einem Netzwerk dieser Art VPN-Verbindungen von außen wahrscheinlich sind und diese dann zB im Hotel oder vom HomeOffice aus in einen Subnetzkonflikt rennen können...
RFC1918 bietet für private Subnetze drei große Bereiche, die man auch gerne nutzen darf - einfach kreativ sein...

Bezüglich der Erreichbarkeit über LTE-Fallback bin ich ganz bei @h00bi. Wenn der Fallback im Falle eines Falles nur für die lokale Nutzung des Internets herhalten soll, würde ich mich nicht um die Erreichbarkeit der Server scheren.

Sollen die Server dennoch auch beim Ausfall der primären Internetleitung erreichbar bleiben, muss man zunächst gucken ob der Mobilfunktarif überhaupt eine öffentliche Erreichbarkeit des Anschlusses bietet - ggfs IPv4 vs IPv6 Problematik - und wenn das gewährleistet ist, kann man sich über die IP-Adressen Gedanken machen. Denkbar wäre eine separate DDNS-Domain mit kurzer TTL wie @h00bi schon erwähnt hat oder eben ein eigener DDNS-Dienst über den Domain-Provider.

Wenn die gehosteten Dienste kritisch sind und immer erreichbar sein müssen, sind Fritzbox-DSL + LTE-Stick aber letztendlich die falschen Werkzeuge. In solchen Szenarien führt kaum ein Weg an zwei stabilen Leitungen und einem vernünftigen Dual-WAN-Router vorbei.

DDNS ja, im Testdurchlauf hat no-ip auch die IP korrekt geändert (auf die dynamische). aber wie weiß die Domäne (URL) dann diese geänderte IP ? (durch einen 2. A-Eintrag ? (also einmal die statische IP + zusätzlich die no-ip url ?) wäre das ausreichend ?

Nein. Man kann zwar mehrere IP-Adressen hinterlegen, aber das geht dann in die Richtung von Round-Robin. Das ist kein Fallback für Notfälle. Die "Domäne" (die URL hat mit DNS nix zu tun) weiß ihre IP dadurch, dass man im zuständigen DNS-Server der Eintrag ändert. Bei DDNS-Anbietern geschieht das mittels APIs und bei normalen Hostern in der Regel über die Account-Einstellungen. Bietet der Hoster ebenfalls eine API für DNS an, kann man auch seinen eigenen DDNS-Dienst basteln.

 

[Maximilian.1]

Entweder Anbindung über redundante Standleitungen, oder Hosting bei einem der großen Cloud Anbieter.
Dort gibt es entsprechend verschiedene HA-Lösungen.

Du weißt aber schon, dass du hier im Heimnetz-Forum bist?

Ein Netzwerk mit 9 Synology Diskstations und 1 Rackstationm, statischedr IP und redundanter WAN-Anbindung wird nicht dadurch zum Heimnetzwerk, dass man das im Heimnetzwerk-Forum postet...

• Sofern die Erreichbarkeit der Dienste so kritisch ist, dann Bedarf das einer entsprechenden Architektur inkl. Absicherung aller relevanten Ausfall- und Bedrohungsszenarien
• Wenn nicht, dann reicht die Anbindung über DSL und es sollte auf die redundante Anbindung über LTE verzichtet werden