Mein Netz zu Hause - Vorstellung

    @don hatte mich gebeten, meine Netzstruktur zu Hause einmal darzustellen. Das werde ich mal versuchen, vielleicht zeichne ich noch mal einen Netzplan, hier versuche ich erst mal es zu beschreiben.

    Ich bin in eine Bestandimmobilie gezogen, daher war die Verkabelung nicht so umfangreich möglich wie ich es mir gewünscht hatte. Unser Haus hat einen Keller (KG), ein Erdgeschoss (EG), ein Obergeschoss (OG) und ein bewohntes Dachgeschoss (DG).

    Es liegt zwischen den Stockwerken:
    - eine Leitung von DG in EG
    - Eine Leitung von KG zu DG
    - Eine Leitung von KG zu OG
    - jedenfalls so ungefähr ;)

    Der Internetanschluss kommt im KG rein und wird in das EG geschaltet, wo es auf einer FritzBox(FB) 7390 aufgenommen wird. Die FritzBox hängt dann mit dem LAN1 Anschluss an dem "GS108Ev3 - 8-Port Gigabit ProSAFE Plus Switch" von Netgear. Das ist ein kleiner SmartManaged Switch. Die FB ist mit LAN1 an der Portgruppe "ROT" angeschlossen.
    Von dem 8er Switch geht es hoch ins Dachgeschoss zum "JGS524Ev2 - 24-Port Gigabit ProSAFE Plus Switch", ebenfalls ein SmartManaged Switch. Die Verbindung hier wird über einen TAGGED-Port realisiert, über die ich alle Netze von einem Switch zum anderen gebe.
    Am 24er Switch wird dann das TAGGED wieder aufgesplittet in die momentanen Netze die ich habe. "ROT", "GRÜN", "ORANGE", "BLAU". Dementsprechend habe ich die Portgruppen auch so benannt und versuche das auch mit den Farben der Ethernetleitungen abzubilden.
    Im Dachgeschoss arbeitet nun mein erster kleiner Server. Dieser ist virtualisiert mit ESXi. Das Management-Netzwerk liegt auf der 5. Netzwerkkarte. Auf dem ESXi läuft erst mal die Firewall pfSense (FreeBSD basiert). Die pfSense hat 4 physikalische Netzwerkadapter, über die Intel i340-T4 Serverkarte. Hier kommen wieder die Ports "rot, grün, orange, blau" zum Einsatz.

    Die globalen Regeln sind folgende:
    Rot (WAN): darf auf Orange zugreifen
    Gün: darf auf rot zugreifen, darf auf orange zugreifen
    Orange: darf auf rot zugreifen, darf nicht auf grün zugreifen
    Blau: befindet sich im Aufbau (später bei Aussicht)

    Im roten Netz stehen:
    - pfSense (als exposed Host an der Fritzbox), Fritzbox, Freifunk Router (für Gäste), Alexa
    Im grünen Netz stehen:
    - unsere Laptops, mein Desktop Rechner, unsere Smartphones, unsere Tablets, mein Cubietruck Server als NAS für private Daten, mein easyVDR Server (HP Microserver) für Multimedia NAS, mein BackupServer (macht wöchentlich Backups meiner anderen Server), noch der LogitechHub, mein Testserver Ubuntu 16.04LTS als virtuelle Maschine auf dem ESXi, noch mein Marantz SR6006 Receiver, Fire TV Box, Fire TV Stick, der HTPC, die pfSense als Gateway für grün. Rune Audio Clients und Server
    Im orangen Netz stehen:
    - mein Debian Server als virtuelle Maschine für Wordpress, Zugriffgesteuert über .htaccess
    - mein CubietruckServer mit Ubuntu 16.04 LTS für zukunftige Anwendungen und temporärem FTP
    - die pfSense als Gateway für orange

    Im Haus sind momentan zwei einfache Accesspoints von TP-Link "verteilt", welche die Geräte ins grüne Netz lassen.

    Von außen greife ich über openvpn auf mein grünes Netz zu. Selbstverständlich zertifikatsgesteuert und nicht mit preshared-key. Das macht auch die pfSense mit.


    Aussicht:
    Nach meinen Erfahrungen muss ich nun einiges anpassen:

    - Interface BLAU wird aktiviert.
    - Über Interface Blau werden folgende VLAN-Netze realisiert. Netz: IoT, Netz Control, Netz Smart, Netz Kind 1 (inaktiv), Netz Kind2 (inaktiv). Die Kindernetze brauche ich noch nicht, weil die erst 3 bzw. 1 Jahre sind. Später werde ich darüber die Regeln festlegen, was die dürfen (Zugriffkontrolle, Contentfilter...)

    Die Netze dann folgende Regeln erhalten:
    Rot: darf auf Orange, IoT, Control
    Grün: darf auf Orange, Rot
    Orange: darf auf Rot
    V-IoT: darf auf Rot
    V-Control: darf auf Rot
    V-Smart: darf auf Rot
    Alles war nicht erlaubt ist, wird verboten.

    Die Accesspoints werden durch Ubiquiti Multi-SSID Accesspoints getauscht, welche dann die SSID: LAN, LAN-IoT, LAN-Control, LAN Smart ausstrahlen und diese in die entsprechenden V-LAN verteilen.
    Die VPN Verbindungen enden dort wo sie hingehören. Laptops nach Grün, Smartphones nach V-Smart.


    So schaut das momentan aus bei mir. Ich hoffe es ist halbwegs verständlich. Sonst gerne Fragen. :)

    Kein Backup - kein Mitleid!

    4 Mal editiert, zuletzt von BigChris (24. Januar 2017 um 08:24)

    @don siehe anderen Thread;

    pfsense ist wie ipfire, ipcop, endian firewall, usw ein FirewallOS und basiert auf LINUX (meist Red Hat, FreeBSD)


    Diese kannst du jeweils virtuell oder auf eigenständiger Hardware laufen lassen.

    pfsense gibt es zudem auch als eigenständige Hardware.

    TV: Sony 65XE9005, AVR: Denon X1400 @ Jamo S606 HCS 3 Black
    HTPC: Intel® Corei3-540 System @ Antec Fusion Remote
    TV: Sony 65XG9505, AVR: Denon X1600 @ Jamo S 809 HCS 5.0 schwarz
    HTPC: Intel NUC
    NAS: Chenbro Mini-ITX Server SR30169; Intel I3 4150; GigaByte H97N-WIFI; 256 + 1TB SSD & 4x4TB HDD
    BluRay: XBOX ONE X
    Remote: Harmony Touch + Harmony Hub

    Zitat von don

    ist die pfSense ein eigenes Stück Hardware? Oder läuft das als installiertes System auf mehr oder weniger 0815 Hardware?

    Ja, die ist recht flexibel zu installieren.
    Vorher hatte ich die IPFire dort gibt es auch Versionen für ARM. Meine ersten Gehversuche habe ich auf einem Banana Pi Routerboard gemacht, welches ich für schmales Geld bei Ebay-Kleinanzeigen gekauft hatte.

    danke dir für die Aufstellung ein anschauliches bild wäre auch nochmal cool.

    Ist das ganze nicht alles sehr pflegebedürftig?
    Also was updates ziehen und so angeht. Oder bist du da eher nach dem Prinzip “never change a running system“ unterwegs.. heißt erst wenn mal irgendwas nicht läuft dann schaust du nach.
    Ich meine ich bin in dem Gebiet echt nicht bewandert aber es hört sich so an.. wenn ich das nur annähernd so hätte wie du und es funktioniert irgendwas nicht... oh je. :S

    Aber trotzdem danke für die Auflistung :thumbup:

    Zitat von Mumpitz-88

    Ist das ganze nicht alles sehr pflegebedürftig?

    Hm, den ESXi habe ich lange nicht angefasst, weil ich keine Notwendigkeit sehen.
    Die Switche sind einmal konfiguriert und laufen seit dem so stabil, dass ich neulich lange brauchte bis ich im System war weil ich mich an die Passwörter nicht mehr erinnern konnte ;)
    Sie pfSense läuft auch so vor sich hin, da habe ich bisher einmal ein Update eingespielt...

    Das Aufsetzen dauert schon ein bisschen, die Pflege ist eigentlich nicht schlimm.

    alles klar.
    Hab zwar nur dahein ein kleines Netzwerk aber evtl steht in baldiger zukunft das eigenheim an.
    Da muss ich nich mal bissl mit beschäftigen.
    Die pfsense läuft glaub auch aufm pi wie du schreibst dann werd ich das mal bei Gelegenheit antesten,
    Die pis sind echt für alles gut.. :thumbup:

    Na ob ein PFSense heute noch so gut ist? Ich bin da ein Freund von tieferer Analyse - Aber dann bräuchte man schon potentere Hardware wie ein Celeron + 4GB RAM aufwärts ... und dann eine Sophos Home oder Ähnliches.

    Aber dickes lob für deine sehr gute Einrichtung! Da lebt jmd das Thema Sicherheit, finde ich sehr toll! Vorallem, dass du alles wirklich so genau trennst. Zeigt mal wieder, das in dem Forum wirklich die richtigen Leute sind (Die Nerds :D )

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

    Zitat von Mumpitz-88

    Die pfsense läuft glaub auch aufm pi wie du schreibst dann werd ich das mal bei Gelegenheit antesten,

    Ja, schon aber du bekommst Probleme mit den Netzwerkkarten. Zum Ausprobieren wird das aber gehen.


    Zitat von noob_at_pc

    Na ob ein PFSense heute noch so gut ist?

    Hm, also mir ist jetzt nichts bekannt was fehlen könnte. Bei Fortigate oder Cisco ASA würde ich vielleicht noch mitgehen, aber Sophos? Gleiche Liga würde ich sagen.


    Zitat von noob_at_pc

    Da lebt jmd das Thema Sicherheit, finde ich sehr toll!

    Ja, aber das macht einem das Leben manchmal auch wirklich nicht leichter. Aber was kann ich dafür, dass sie hinter mir her sind?

    Zitat von noob_at_pc

    ... und dann eine Sophos Home oder Ähnliches

    Sophos ist eine englische Firma und ich sag nur Backdoor laut Gesetz 8|

    Aber ansonsten ist die Sophos UTM bzw. Sophos UTM Home schon ein ziemlich geniales Teil, arbeite seit über 10 Jahren mit den Teilen, damals noch Astaro

    Die Sophos UTM Home hat auch noch einen weitere Nachteile: nur 50 IP Adressen, das könnte für so manches Smart Home zu wenig sein

    @BigChris

    Schönes Netz :thumbup:

    lg

    Torben

    Mein Alter? 42 die Antwort auf alles ;)

    Zitat von Nord75

    Sophos ist eine englische Firma und ich sag nur Backdoor laut Gesetz 8|

    Nope nicht ganz. Die Jungs entwickeln in Deutschland und sind Backdoorfrei. Zumindest behaupten Sie es stolz und geben ein Garantie druff. Gerade im Bereich öffentliche Einrichtungen ist das in DE z.B. vorschrift. Nur so am Rande :D

    Aber genug OT denke :)

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

    Naja leider hab ich zuhause die Hütte nicht wirklich verkabelt um dort alle netze so zu trennen wie es vielleicht nötig wäre ;/
    das fängt es leider leider schon an.
    Würde ich neu bauen wäre auch im Keller der Zentrale Punkt um alles aufzufangen und von dort aus zu verkabeln.

    TV: Sony 65XE9005, AVR: Denon X1400 @ Jamo S606 HCS 3 Black
    HTPC: Intel® Corei3-540 System @ Antec Fusion Remote
    TV: Sony 65XG9505, AVR: Denon X1600 @ Jamo S 809 HCS 5.0 schwarz
    HTPC: Intel NUC
    NAS: Chenbro Mini-ITX Server SR30169; Intel I3 4150; GigaByte H97N-WIFI; 256 + 1TB SSD & 4x4TB HDD
    BluRay: XBOX ONE X
    Remote: Harmony Touch + Harmony Hub

    Zitat von noob_at_pc

    im Bereich öffentliche Einrichtungen ist das in DE z.B. vorschrift.

    Nicht in der in der ich bin. Da wird z.B. unter anderem Checkpoint verwendet. Und das ist USA.


    Zitat von Th0r_

    Naja leider hab ich zuhause die Hütte nicht wirklich verkabelt um dort alle netze so zu trennen wie es vielleicht nötig wäre ;/

    Habe ich auch nicht. VLAN ist hier das Stichwort. Ich habe auch die 4 Netze mit einer Leitung realisiert.

    Zitat von Nord75

    Die Sophos UTM Home hat auch noch einen weitere Nachteile: nur 50 IP Adressen, das könnte für so manches Smart Home zu wenig sein

    Die 50 Adressen sind nicht das Problem wenn du die jeweiligen Netze mit Sophos Essentials FWs aufteilst ;) Die Home wäre dann die letzte die nur den Verkehr nach draussen regelt und hätte nicht die ganzen IPs zu regeln.

    Nvidia Shield TV Pro
    Server: Intel Core i5-11400 CPU @ Gigabyte H510M S2H V3 Intel H470 | 3x 8TB, 4x6TB, 2x1TB Cachepool | 2x16GB DDR4-3200 | unRAID 6.12.13 | Emby | Unifi | Teamspeak | Swag | DDclient | Heimdall | PiHole | Vaultwarden | RustDesk Server

    Zitat von BigChris

    Habe ich auch nicht. VLAN ist hier das Stichwort. Ich habe auch die 4 Netze mit einer Leitung realisiert.

    Klar, über VLAN WLAN aufspannen; bin aber eigentlich ein Freund von Kupfer ;D
    Was nutzt du für Access Points ?

    TV: Sony 65XE9005, AVR: Denon X1400 @ Jamo S606 HCS 3 Black
    HTPC: Intel® Corei3-540 System @ Antec Fusion Remote
    TV: Sony 65XG9505, AVR: Denon X1600 @ Jamo S 809 HCS 5.0 schwarz
    HTPC: Intel NUC
    NAS: Chenbro Mini-ITX Server SR30169; Intel I3 4150; GigaByte H97N-WIFI; 256 + 1TB SSD & 4x4TB HDD
    BluRay: XBOX ONE X
    Remote: Harmony Touch + Harmony Hub

    Zitat von Th0r_

    Klar, über VLAN WLAN aufspannen; bin aber eigentlich ein Freund von Kupfer ;D

    Nein, so ist das nicht.
    Mein 24 Switch hat diese Portgruppen geschaltet:

    1: Tagged. VLAN 100, 200, 300, 400
    2-4: Untagged VLAN 100 (rot)
    13-24: Untagged VLAN 200 (grün)
    5-6: Untagged VLAN 300 (Blau)
    7-12: Untagged VLAN (Orange)

    Es geht dann EINE Ethenetleitung an den 8er Switch, nämlich von Port 1 zu Port 1
    Der 8er Switch:
    1: Tagged. VLAN 100, 200, 300, 400
    2: Untagged VLAN 100 (rot)
    4-8: Untagged VLAN 200 (grün)
    3: Untagged VLAN 300 (Blau)

    Da ist dann erst mal nix WLAN. 4 Netze an den Switchen mit einer Kupferleitung verbunden.

    Diese AP werde ich demnächst einrichten: https://www.ubnt.com/unifi/unifi-ap-ac-lite/
    Momentan nutze ich die : TL-WA901ND

    Was ist eigentlich wenn der ESXi einen HW/SW Schaden hat ? Wie es aus sieht haben dann alle ein größeres Problem :) Kann man so ein System/Aufbau "schnell" zurückfahren das wenigstens das lebensnotwendige funktioniert ?

    Super für die Mühe, das alles so aufzuschreiben.

    Ich frage mich nach dem ich den Text gelesen habe noch folgendes:
    - Firewall -> nur 1x Update? Ich wette, da werden deutlich öfters Sicherheitsupdates rausgegeben als nur 1x in der letzten Zeit?
    - WLAN AP wolltest du ja eh austauschen
    - Welches Handy OS wird genutzt? Android Geräte ohne Updates sind einfach extrem anfällig geworden.

    Die nächste Ausbaustufe wäre dann eine zweistufige Firewall :P WAN <-> Cisco ASA/Sophos/xxx <-> DMZ <-> pfSense <-> Interne VLANs =)

    Zitat von CvH

    Was ist eigentlich wenn der ESXi einen HW/SW Schaden hat ? Wie es aus sieht haben dann alle ein größeres Problem Kann man so ein System/Aufbau "schnell" zurückfahren das wenigstens das lebensnotwendige funktioniert ?

    Notfalls kann man recht zügig seinen Router, z.B. in dem Fall die FritzBox einfach direkt nach intern hängen, dass die Geräte ohne Firewall nach außen kommen. Das würde nur ein paar Minuten Konfigurationsarbeit benötigen, oder man würde sogar eine passende Konfiguration in der FritzBox für diesen Fall vorbereiten, dass man die Konfig einspielen kann.
    Aber generell sind Systeme ohne Hochverfügbarkeit immer ein Problem, wenn etwas ausfällt. Da würde nur helfen - Virtualisierungshost (In dem Fall ESX) und Firewall mit je 2 Einheiten im Verbund aufzustellen. Wäre etwas übertrieben.
    Im Fall Firewall könnte man sich auch noch mit alter Hardware die irgendwo rumliegt helfen und die Firewall Konfig dort einspielen.

    Wege um einen Komplettausfall im Heimnetz zu vermeiden gibt es schon. Ist eben ein wenig aufwendiger und ggf. kostenintensiver.

    Zitat von pauabaer

    Hast du einen Richtwert, was die ganze Sicherheit-Infrastruktur für einen Preis veranschlagt? Wie stark ist dein Stromverbrauch dadurch gestiegen?

    Hm, schwer zu sagen. Mein Routerboard habe ich damals für 50€ geschossen. Stromverbrauch ist vielleicht so 5-6 Watt gewesen.
    Switche brauche ich eh, die Mehrkosten für das Management sind vernachlässigbar (finde ich).
    Einen Server brauchte ich eh, die Software ist kostenlos. Die Netzwerkkarte mit 4 Ports habe ich auch gebraucht bei Servershop24 gekauft oder so, für 70€.
    Von daher hält sich das kostenmäßig wirklich im Rahmen.


    Zitat von CvH

    Was ist eigentlich wenn der ESXi einen HW/SW Schaden hat ?

    Kommt drauf an, wo der Schaden liegt. Ein neues Mainboard / CPU / RAM bringt mir Amazon am nächsten Tag, das kann ich verkraften
    Der ESXi selbst läuft auf von einem USB-Stick. Den habe ich als Backupdatei hier liegen. Einen Stick auch. Die Konfiguration auch noch mal :)
    Die Maschinen liegen auf einer Festplatte, die geklont hier in der Schublade liegt. Die sind schnell wieder online. Ebenso wie die drei Platten im NAS jede Woche durch ein rsync laufen.
    Für dringendes Internet würde ich das Freifunk Netz benutzen, was ich hier zur Verfügung stelle.


    Zitat von FTimo

    - Firewall -> nur 1x Update? Ich wette, da werden deutlich öfters Sicherheitsupdates rausgegeben als nur 1x in der letzten Zeit?

    Ne, die ist Uptodate


    Zitat von FTimo

    Welches Handy OS wird genutzt?

    Bisher habe ich Cyanogenmod. Da es da ja bekannterweise zu Problemen kommt, überlege ich mein Android selbst zu komplilieren. Meine Smartphones laufen aber alle auf Android 7.x. Das Tablett ist wahrscheinlich noch ein Schwachpunkt auf 4.4, damit lebe ich aber momentan mal einfach weil ich das Teil nicht entsperrt bekomme.


    Zitat von FTimo

    Die nächste Ausbaustufe wäre dann eine zweistufige Firewall

    Sehe ich keinen Vorteil, wenn die eine Stufe vernünftig gemacht ist.
    Naja, ok. Wenn die eine Firewall einen Schwachstelle hat, dann vielleicht. Hm... Interessant, im Heimbereich wahrscheinlich übertreiben. Oder... Oh mann, wenn ich heute nicht schlafen kann bist du schuld!

    Zitat von FTimo

    Da würde nur helfen - Virtualisierungshost (In dem Fall ESX) und Firewall mit je 2 Einheiten im Verbund aufzustellen. Wäre etwas übertrieben.

    Ja, das habe ich auf der Arbeit in verschiedenen Rechenzentren. Das wäre wirklich übertrieben. Sogar für mich ;) Mir geht es um Sicherheit, nicht um Hochverfügbarkeit.
    Generell muss man sich fragen: Was ist besonders schützenswert? Bei mir ist das mein NAS, und davon nur die privaten Daten. Um die drumrum baue ich mein System. Mein NAS steht unter dem Dach, der Backup-Server im Keller. Das beugt Wasserschaden und Brand etwas vor ;)

    Kein Backup - kein Mitleid!

    Einmal editiert, zuletzt von BigChris (25. Januar 2017 um 10:13)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden