Zwei Internetzugänge separieren
- Ersteller Zonk87
- Erstellt am
Klar geht das, solang die 2 verschiedene MAC-Adresssen haben (wovon ich mal ausgehe). Habe mich mit dem Begriff "Netzwerkkarte" auch etwas unklar ausgedrückt. Es spielt natürlich keine Rolle, ob die zweite Netzwerkverbindung über eine extra installierte Netzwerkkarte erfolgt, oder über eine zweite LAN-Schnittstelle am Mainboard.
Zuletzt bearbeitet:
Raijin
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 18.285
Wichtig ist dabei, dass der Server nicht routet. Wenn er zwei Netzwerkschnittstellen hat und damit jeweils einmal im Mieter- und einmal im Vermieternetz sitzt, dann stellt der Server auch einen Übergang vom einen ins andere Netzwerk dar. Das muss man unterbinden. Einerseits muss die Firewall des Servers vernünftig konfiguriert werden damit nur die gewünschten Dienste erreichbar sind und andererseits muss IP-Forwarding deaktiviert werden, falls es aktiv ist. Letzteres sorgt nämlich sonst dafür, dass der Server als Router agiert und genau das will man ja nicht. Je nachdem wie die Docker-Container am Netzwerk hängen (zB NAT vs Bridge) muss man auch hier schauen ob ggfs IP-Forwarding aktiv ist, da auch ein Container routen könnten.
Alternativ/zusätzlich zur Konfiguration der Firewall für die zugelassenen Dienste auf dem Server kann man natürlich auch die Dienste bzw. Container selbst entsprechend konfigurieren und sie zB nur an NIC#1 binden. Auf NIC#2 gäbe es diesen Dienst dann überhaupt nicht.
Ich persönlich tät das ganze aber tendenziell eher mit einer DMZ lösen. Das erfordert aber ein wenig mehr Gehirnschmalz. Ein kleiner Router zwischen den beiden Netzwerken - zB ein MikroTik, EdgeRouter oder ne kleine pfSense, o.ä. - und dort dann 3 Schnittstellen definieren, Mieter-, Vermieter- und DMZ-Netzwerk. In die DMZ käme dann alles, was man teilen möchte, sei es der Server, ein Drucker, die smarte Waschmaschine, dies. das. Die DMZ-Regeln im Router würden den Zugriff reglementieren.
Diese Lösung ist flexibler und man kann mehr als nur den Server teilen (wenn das überhaupt vorkommt). Allerdings ist so ein Router auch schwieriger einzurichten als man es zB von Fritzboxxen kennt, weil pfSense und Co nicht nur ~5% der Möglichkeiten bieten wie es bei Fritzboxxen, etc ist, sondern gewissermaßen 100% der Themenwelt "Netzwerk" und das kann unerfahrene Nutzer im ersten Moment überfordern.
Alternativ/zusätzlich zur Konfiguration der Firewall für die zugelassenen Dienste auf dem Server kann man natürlich auch die Dienste bzw. Container selbst entsprechend konfigurieren und sie zB nur an NIC#1 binden. Auf NIC#2 gäbe es diesen Dienst dann überhaupt nicht.
Ich persönlich tät das ganze aber tendenziell eher mit einer DMZ lösen. Das erfordert aber ein wenig mehr Gehirnschmalz. Ein kleiner Router zwischen den beiden Netzwerken - zB ein MikroTik, EdgeRouter oder ne kleine pfSense, o.ä. - und dort dann 3 Schnittstellen definieren, Mieter-, Vermieter- und DMZ-Netzwerk. In die DMZ käme dann alles, was man teilen möchte, sei es der Server, ein Drucker, die smarte Waschmaschine, dies. das. Die DMZ-Regeln im Router würden den Zugriff reglementieren.
Diese Lösung ist flexibler und man kann mehr als nur den Server teilen (wenn das überhaupt vorkommt). Allerdings ist so ein Router auch schwieriger einzurichten als man es zB von Fritzboxxen kennt, weil pfSense und Co nicht nur ~5% der Möglichkeiten bieten wie es bei Fritzboxxen, etc ist, sondern gewissermaßen 100% der Themenwelt "Netzwerk" und das kann unerfahrene Nutzer im ersten Moment überfordern.
- Registriert
- Sep. 2021
- Beiträge
- 17
Ohhje soviele Befriffe auf einen Haufen ich glaube ich muss erst mal Studieren gehen 
.
Ich kann so viel sagen der Server läuft mit Unraid und hat eine TrueNAS VM und im Unraid selber noch ein paar Docker Container laufen die nicht über den Netzwerktypen "Bridge" laufen sondern in einem Custom erstellten.
Das klingt alles bestimmt sehr plausibel für jemanden der ein wenig Ahnung davon hat aber ich glaube da versuche ich doch erst mal lieber die Version mit den VLAN's und versuche raus zu finden wie ich das eventuell aktive routing aus dem Server aus bekomme.
Zum Thema Smarte Waschmaschine kann die mir dann auch gleich die Wäsche bügel und zusammenlegen sowie in den Schrank legen ?
Gibt es eventuell Vorschläge für gute Managed 48 Port PoE Switche die Preislich ok sind?
Ich hatte einen gepostet gehabt als Verlinkung aber der Beitrag wartet noch auf Freischaltung.
Ich schmeiß den Namen einfach mal hier so rein. "ZYXEL GS1900 48HP 48-port GbE Smart Managed PoE Switch". Habe den bei Ebay gebraucht für 180€ gefunden.
.Ich kann so viel sagen der Server läuft mit Unraid und hat eine TrueNAS VM und im Unraid selber noch ein paar Docker Container laufen die nicht über den Netzwerktypen "Bridge" laufen sondern in einem Custom erstellten.
Das klingt alles bestimmt sehr plausibel für jemanden der ein wenig Ahnung davon hat aber ich glaube da versuche ich doch erst mal lieber die Version mit den VLAN's und versuche raus zu finden wie ich das eventuell aktive routing aus dem Server aus bekomme.
Zum Thema Smarte Waschmaschine kann die mir dann auch gleich die Wäsche bügel und zusammenlegen sowie in den Schrank legen ?
Gibt es eventuell Vorschläge für gute Managed 48 Port PoE Switche die Preislich ok sind?
Ich hatte einen gepostet gehabt als Verlinkung aber der Beitrag wartet noch auf Freischaltung.
Ich schmeiß den Namen einfach mal hier so rein. "ZYXEL GS1900 48HP 48-port GbE Smart Managed PoE Switch". Habe den bei Ebay gebraucht für 180€ gefunden.
Zuletzt bearbeitet:
Raijin
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 18.285
Ich sag's mal so: Eigentlich ist es gar nicht so kompliziert, aber so ein Szenario geht nun mal über den Anwendungsfall eines 08/15 Heimnetzwerks hinaus. Man betritt also den Bereich, in dem man sich selbst um die Sicherheit kümmern muss. Im Standard-Heimnetzwerk kümmert sich der Router um alles, ohne Zutun des Anwenders. Ein zweites (Fremd-)Netzwerk ist da aber schlicht und ergreifend nicht vorgesehen.Zonk87 schrieb:Ohhje soviele Befriffe auf einen Haufen ich glaube ich muss erst mal Studieren gehen
h00bi
Fleet Admiral
- Registriert
- Aug. 2006
- Beiträge
- 21.277
Viel einfacher wären eigentlich 3 vLANs, jede Partei ein eigenes und ein drittes für die gemeinsamen Ressourcen.
Dazu wäre aber relevant welche Dienste du überhaupt zur Verfügung stellen willst, bei welchen es egal ist und welche auf keine Fall zu Verfügung stehen dürfen.
Dazu wäre aber relevant welche Dienste du überhaupt zur Verfügung stellen willst, bei welchen es egal ist und welche auf keine Fall zu Verfügung stehen dürfen.
Ähnliche Themen
- Frage
