mikrocontroller.net

Forum: PC Hard- und Software Netzwerk gebraucht!


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
Autor: Werauchimmer (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo Leute!

ich brauche bei mir ein Netzwerk mit etwa 3-4 Rechnern und einem 
Datenbankserver. Ich habe an zwei VLANs gedacht.
Das eine mit einem Datenbankserver + NAS und das andere mit den 
Rechnern.

Wie macht man heute sowas? Für zwei VLANs muss ich ja routen dafür 
bräuchte ich ja ein Router usw.

Wie realisiere ich nun das ganze in Realität/Praktisch?

Danke!

Autor: Gerd E. (robberknight)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Werauchimmer schrieb:
> Ich habe an zwei VLANs gedacht.
> Das eine mit einem Datenbankserver + NAS und das andere mit den
> Rechnern.

Was soll das VLAN genau bezwecken? Warum packst Du die nicht gemeinsam 
in ein LAN?

Willst Du einfach einen "dummen" Switch nehmen und in allen Rechnern 
VLAN-Tags konfigurieren? Oder ein managebaren Switch nehmen und dort für 
jeden Port die passenden VLANs konfigurieren?

Ich will Dich nicht davon abbringen oder Dir davon abraten - mir geht es 
eher darum, daß Du Dir Gedanken über die Anforderungen und Ziele machst.

Soll das ganze die Sicherheit durch Netzwerktrennung erhöhen?

Oder dafür sorgen, daß sich die Rechner nicht gegenseitig stören, z.B. 
durch irgendwelche Broadcasts?

Oder irgendwelche anderen Gründe?

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Werauchimmer schrieb:
> Hallo Leute!
>
> ich brauche bei mir ein Netzwerk mit etwa 3-4 Rechnern und einem
> Datenbankserver. Ich habe an zwei VLANs gedacht.
> Das eine mit einem Datenbankserver + NAS und das andere mit den
> Rechnern.
>
> Wie macht man heute sowas? Für zwei VLANs muss ich ja routen dafür
> bräuchte ich ja ein Router usw.
>
> Wie realisiere ich nun das ganze in Realität/Praktisch?
>
> Danke!


Du brauchst dafür einen Layer-3 managed Switch mit vlan Unterstützung.
Dann kannst du dem über den Switch vlans aufbauen.
Z.B. in dem du einen physischen RJ-45 Port jeweils zu ein vlan zuweisst 
oder über den Port zwei oder mehr vlans laufen lässt.

Im letzteren Fall muss das Betriebssystem auf dem Clientrechner aber 
vlan auch können.
Bei Linux geht das seit irgendeiner älteren Kernelversion Haus aus.
Bei Windows ist es teilweise eine Treibersache.
Hier sind dann Netzwerkchips von Intel empfehlenswert.
Bei Windows 10 soll es offiziell unterstützt sein, aber diese Aussicht 
ist nicht gesichert, also mit Vorsicht zu genießen.

Falls die Clientrechner kein vlan können, dann brauchst du am Client 
zwei physisch vorhandene RJ-45 Ports, zwei Leitungen und am Switch dann 
zwei Ports, wovon du einen bspw. für VLAN 1 und den anderen für VLAN 2 
konfigurierst.

Falls ein DSL oder Kabelrouter im Spiel ist, dann achte darauf, dass der 
nur zu einem VLAN eine Verbindung hat und nur für dieses einen DHCP 
Dienst bietet.

Für das andere VLAN sollte der Layer 3 Switch dann als DHCP Server 
einspringen.
Du darfst nämlich nicht zwei DHCP Server im gleichen Netzwerk haben, das 
führt nur zu Problemen.
Alternativ kannst du auch statische IPs vergeben, aber diese Lösung ist 
unschön.

Sonstige Geräte, wie Drucker, billige Konsumer NAS usw. werden 
wahrscheinlioch auch kein VLAN beherrschen, die brauchen dann am Switch 
einen eigenen Port auf dem nur ein VLAN zugewiesen ist.

Ein Switch mit dem das alles definitiv geht ist bspw. der Cisco SG350-10 
Small Business Switch, den habe ich nämlich selber im Einsatz und ich 
nutze zwei VLANs.

Den gibt es auch mit mehr Ports, falls gewünscht und mit Power over 
Ethernet.

Ansonsten kannst du dir auch die Layer 3 Switches von HP mal ansehen.
Es muss zwingend ein Layer 3 Switch und ein managed Switch sein.
Das muss beides vom Switch erfüllt werden, wenn du VLAN und einen DHCP 
Server darauf laufen lassen können willst.

Alternativ dazu geht auch die alte Lösung mit 2 Switches, ein Router und 
für jeden Client 2 Kabel und 2 Netzwerkinterfaces, aber das ist eher 
unschön.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Noch eine Ergänzung:

Werauchimmer schrieb:
> Ich habe an zwei VLANs gedacht.
> Das eine mit einem Datenbankserver + NAS und das andere mit den
> Rechnern.

Wenn du mit den Geräten vom einen VLAN Pakete in das andere VLAN leiten 
willst, dann ist dafür ein Router notwendig.
Routerfähige Switches sind allerdings teuer.

Alternativ könntest du einen externen Rechner an den Layer3 Switch 
anschließen und diesen Rechner als Router einsetzen.
Auf den Rechner kannst du dazu dann ein Linux installieren, dass das 
Routen durchführt. FW & Co kann man da dann auch einrichten, sofern 
notwendig.

Autor: Wieauchimmer (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Gerd E. schrieb:

>
> Soll das ganze die Sicherheit durch Netzwerktrennung erhöhen?
>

Hallo Gerd!
Genau das, Datenmässig ist das ganze ein Witz ist ne 50mb Datenbank.



Nano!
Das Bier geht auf mich! Was für wunderbarer Post!



Meine Idee war das ganze aus Sicherheitszwecken schön in zwei VLANs zu 
trenen . Ob das ganze wirklich notwendig ist weiß ich nicht. Es sind wie 
gesagt 3-4 Rechner und ein Datenbankserver.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wieauchimmer schrieb:
> Meine Idee war das ganze aus Sicherheitszwecken schön in zwei VLANs zu
> trenen . Ob das ganze wirklich notwendig ist weiß ich nicht. Es sind wie
> gesagt 3-4 Rechner und ein Datenbankserver.

Ich selbst nutze das zweite VLAN um damit mein Servermainboard per IPMI 
zu konfigurieren. IPMI ist von Haus aus nämlich leider kein besonders 
sicheres Protokoll.

Dadurch dass der RJ-45 Port zum Baseboard Management Controller (BMC) 
dieses Servermainboards im eigenen VLAN ist und nur über meinen 
Adminrechner, der ebenfalls in diesem VLAN ist, konfiguriert werden 
kann, ist eine Konfiguration via IPMI des BMC von den anderen Rechnern, 
die sich noch im Netz befinden nicht möglich.
Das erhöht also die Sicherheit.

Wenn man diese Infrastruktur schon hat, dann kann man verschiedene VLANs 
auch dazu nutzen, um sichere von unsicheren Rechnern zu trennen.
Die ganzen Smart-TVs, Smartphones usw. bekommen bspw. irgendwann keine 
Updates mehr. Damit die nicht die die Arbeitsrechner gefährden, die in 
diesem Szenario also gepatched und sicher gelten, könnte man sie bspw. 
in ein eigenes VLAN packen.
Und die Arbeitsrechner in ein eigenes.

Auch dadurch wird die Sicherheit erhöht.

In deinem Fall könntest du das NAS, den Datenbankserver und falls 
vorhanden, den Netzwerkdrucker in ein eigenes VLAN packen und die 
anderen Rechner nur über einen Router auf diese zugreifen lassen.
Im Router könntest du dann FW Regeln anlegen oder sogar einen Proxy 
konfigurieren.
Damit wären diese Geräte von den Arbeitsrechnern von einander gut 
abgeschottet.

Zwingend notwendig ist es aber bei einem kleinen Überschaubaren Netz mit 
reinen gut gepflegten Arbeitsrechnern eher nicht, wenn es für das NAS 
immer noch Sicherheitspatches gibt und der Datenbankserver auch 
abgeschottet und gut gepatched ist.
Ein via vlan getrenntes Netz könnte aber gegen Zero Day Exploits einen 
gewissen Schutz bieten. Und wenn auf einem Clientrechner irgendwelche 
Dubiose Software installiert und Po*nosammlungen angeschaut werden, dann 
wäre es auch sinnvoll, den vom Datenbankserver und dem NAS in einem 
separaten Netz zu trennen.

Autor: P. W. (deneriel)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Und wie genau soll die Trennung zweier Netze, die durch den Router 
(Routing Switch oder sonstwas) dann wieder verbunden werden die 
Sicherheit erhöhen?

Wen willst du damit überhaupt gegen was schützen?

Angreifer aus dem bösen Internet? Weitere Geräte im Netz die du nicht 
erwähnt hast? Oder sollen einfach die Kids mit ihren Smartphones und 
Zocker-PCs nicht im Büronetzwerk rumfummeln?


Klar, du kannst dir nen L3-Switch auf den Tisch legen und VLANs darauf 
bauen. Die Wahrscheinlichkeit, dass du dir ein nutzloses Ei legst, 
scheint mir aber gerade recht hoch.

Autor: Wieauchimmer (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Mhm also einfach:

Router -> Switch und alles dran

4-5 Clients
Datenbankserver
NAS


Und das wars? Also so kann ich ein Netz aufbauen und es laufen lassen?

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
P. W. schrieb:
> Und wie genau soll die Trennung zweier Netze, die durch den Router
> (Routing Switch oder sonstwas) dann wieder verbunden werden die
> Sicherheit erhöhen?

Per Proxy.

Durch eine bloße Portweiterleitung wird die Sicherheit natürlich nicht 
erhöht.
In dem Fall beschränkt sich die Sicherheit nur darauf, dass man alle 
Ports dicht macht, die man bspw für das Datenbankmanagementsystem nicht 
benötigt
und man eine gewisse Kontrolle darüber hat, wer sich alles vom internen 
Netz 1 überhaupt mit dem DBMS in Netz 2 verbinden darf.
Bspw. Arbeitsrechner 1 und 2 dürfen eine Verbindung aufbauen, die 
Gamingrechner von Tochter und Sohn dürfen es nicht.


Wird der Port des DBMS nach außen weitergeleitet und Arbeitsrechner 1 
hat darauf Zugriff und ist mit Schafsoftware verseucht und das DBMS 
enthält eine Sicherheitslücke, dann hilft so eine Netzwerktrennung 
natürlich auch nichts mehr.
Sollte der Datenverkehr zur Datenbank über einen Proxy laufen, den man 
auf dem Router einrichten kann, dann sieht es natürlich anders aus.

Beim Netzwerkdrucker kann man den Router als Printserver einrichten, der 
kann die Druckaufträge dann an den Netzwerkdrucker weiterleiten.
Das erhöht dann bspw. die Sicherheit dadurch, dass der Netzwerkdrucker 
mit seiner veralteten und eventuell anfälligen Firmware nicht mehr im 
gleichen Netzwerk hängt, in dem die ganzen anderen Rechner hängen.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wieauchimmer schrieb:
> Mhm also einfach:
>
> Router -> Switch und alles dran
>
> 4-5 Clients
> Datenbankserver
> NAS
>
> Und das wars? Also so kann ich ein Netz aufbauen und es laufen lassen?

So kann man das auch machen, ja.

Die meisten Homerouter verfügen aber bereits über 4-6 RJ-45 Ports und 
WLAN. D.h. hängt man alles ins gleiche Netz, dann kann man bei 
ausreichender R-45 Port Anzahl auch den Switch weglassen.

Die Fritzbox verfügt übrigens über die Möglichkeit eines Gastzugangs für 
Gäste die mal zu Besuch kommen. Der Gastzugang wird per vlan vom 
normalen LAN getrennt.


Willst du vlans benutzen, dann kann deine Konfiguration z.b. so 
aussehen.

DSL bzw Cable Router <-> Switch
Und am Switch hängt alles dran + zusätzlich ein interner Router, der 
zwischen den VLANs routet. Das kann dann bspw. ein raspberry Pi sein.

Aber auch andere Varianten sind möglich bzw. wegen den Bedingungen vor 
Ort notwendig.
Meine Fritzbox und mein CICSO Switch sind bspw. nicht im gleichen Raum.
Am CISCO Switch hängt mein NAS, mein Adminrechner und mein Raspberry Pi 
den ich hier aber nicht zum Routen verwende.
An der Fritzbox hängt der Switch und noch 3 weitere Rechner die in 
anderen Räumen stehen, einschließlich des Netzwerkdruckers.

In einem separaten VLAN ist also nur der CISCO Switch, der Amdinrechner 
und der IPMI Zugang für das NAS.
Sinnvoll wäre es noch, den Drucker wie oben beschrieben in ein eigenes 
VLAN zu hängen und einen Router einzusetzen, aber da der Netzwerkdrucker 
in einem anderen Raum steht und ich keine zweite Leitung durch die Wand 
habe, funktioniert das so nicht.

Es gibt genaugenommen also recht viele Lösungen ein Netzwerk zu 
konfigurieren.

Autor: Wieauchimmer (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Vielen Herzlichen Dank!


Nano du hast mir wirklich sehr weitergeholfen!!!!!


Muss jetzt mal eine Nacht darüber schlafen!

Autor: Thomas (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Dazu braucht er aber erstmal nen Router der vernünftig VLan unterstützt.
Speedport gaaaanz schlecht.
Und wenn er auf dem Nas User mit Passwörtern angelegt hat, dann ist doch 
schon mal die erste Hürde geschafft. Evtl. andere PW als auf den 
Rechnern. Auch wenn's mal nervt.

Autor: oszi40 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
VLAN ist zwar eine schöne Sache, WENNN es funktioniert. Man muß es aber 
auch beherrschen und immer ausreichend dokumentieren. Sonst wird die 
Fehlersuche recht lustig. Ausfallzeiten können teuer sein.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Thomas schrieb:
> Dazu braucht er aber erstmal nen Router der vernünftig VLan
> unterstützt.

Ein Linux Rechner kann das.
vlan Support gibt's dort schon eine ganze Weile.
Ein paar Dutzend Ports braucht er nicht, das übernimmt der Switch.
Natürlich muss der Datenverkehr dann durch dieses Nadelöhr, mit einem 
echten Hardwarerouter ist das nicht zu vergleichen, aber auch in einem 
Netz mit 4-6 Rechner auch kaum nötig.
Und wenn doch, dann kann man auch einen 10 GBit/s Switch kaufen (teuer) 
und
für den PC Router 1 oder 2 NICs mit 10 GBit/s Interface einbauen.
Das ist möglicherweise immer noch günstiger als ein echter 
Hardwarerouter mit vlan Unterstützung.


> Und wenn er auf dem Nas User mit Passwörtern angelegt hat, dann ist doch
> schon mal die erste Hürde geschafft. Evtl. andere PW als auf den
> Rechnern. Auch wenn's mal nervt.

Die kommerziellen NAS werden ja leider nicht ewig mit Sicherheitspatches 
supported.

Da gibt es gute Geräte, z.B. von Synology oder QNAP, wo der Support 
recht lange dauert, aber auch schlechte, wo nur Hardware verkauft werden 
soll und man nach 2 Jahren im Stich gelassen wird.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ach noch etwas, mit link aggregation kann man das Nadelöhr auch etwas 
breiter machen.
Dann reichen zwei 1 GBit/s Ports im Router PC, der oben genannte 1 
Gbit/s Switch kann link aggregation.
Damit kann der Traffic von zwei Clientrechner mit jeweils voller 1 
Gbit/s Geschwindigkeit gleichzeitig durch den Router an jeweils zwei 
verschiedene andere Netzwerkgeräte oder ein NAS mit Link Aggregation 
Unterstützung geleitet werden, sofern die HW des Routers das packt, 
wovon ich bei einem richtigen PC auszugehen wäre. Mit einem Raspi geht's 
natürlich nicht.
Das ist dann eine recht günstige Lösung, die heute für wenig Geld zu 
haben ist und ohne 10 GBit/s NICs und ohne 10 GBit/s Switch günstig 
realisierbar ist.

Autor: Thomas (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Willst Du ihm nen Linux-PC als Proxy aufziehen lassen?

Entschuldige bitte ... Ich denke, er hat bestimmt schon vorher Probleme.

Aber die Leute wollen alles 'maximal' billig, aber die Sicherheit kommt 
zu kurz.

Heuzutage ist ein 'fähiger' Router unabdingbar. Selbst die Standard- 
Fritzbox - Schiene taugt nix, und stürzt auch noch ab.

Ich selbst hab einen Lancom 1781VAW. Da kommt mir nix rein. Und wenn der 
Router zugescannt wird, dann trennt er sich vom Wan, und dann ist ruhe. 
Und er schreibt es mir. Kostet halt etwas mehr. Aber das ist es mir 
wert!

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nano schrieb:
> Damit kann der Traffic von zwei Clientrechner mit jeweils voller 1
> Gbit/s Geschwindigkeit gleichzeitig durch den Router an jeweils zwei
> verschiedene andere Netzwerkgeräte oder ein NAS mit Link Aggregation
> Unterstützung geleitet werden,

Kleine Korrektur.
Es kann sein, dass die Link Aggregation zwischen Router und NAS nicht 
funktioniert.
Normalerweise kann bei der standardisierten link aggregation die 
Geschwindigkeit nicht kombiniert werden, sondern es können nur zwei 
verschiedene Geräte mit der vollen Geschwindigkeit des NICs bedient 
werden.

Ich bin mir also nicht sicher, ob das zwischen dem PC Router mit 2 oder 
4 RJ-45 Ports zum Switch und dem NAS mit 2 RJ-45 Ports und dem Switch 
dazwischen, die alle link aggregation können, so funktioniert.

Für PC 1 und PC 2 im vLAN 1, die an PC Router mit 2 x 1 GBit/s NICs die 
mit vLAN 1 verbunden sind, funktioniert also die volle Geschwindigkeit 
von jeweils 1 Gbit/s durch Link Aggregation.
Aber auf der anderen Seite, also vLAN 2 muss der Datenverkehr dann 
wiederum an zwei getrennte Rechner gehen um mit voller 1 Gbit/s 
Geschwindigkeit die Daten übertragen zu können.
Ich glaube nicht, dass hier vom PC Router mit 2 * 1 GBit/s NICs auf 
Seite von vlan 2 eine 2 * 1 Gbit/s fähige Verbindung zum NAS mit Link 
Aggregation aufgebaut werden kann, da die Pakete, die vom Router kommen 
nicht als von zwei Geräten kommend zählen, sondern eben von diesem einen 
Router.
Aber so genau bin ich mir da nicht sicher.
In dem Beispiel gehe ich davon aus, dass der PC Router über 4 x  RJ45 
Ports verfügt die Link Aggregation beherrschen. Die 4 RJ45 Ports können 
auch gerne über 2 PCIe Netzwerkkarten realisiert sein, dass muss also 
keine 4er Kombikarte sein. Die sind AFAIK auch recht teuer.

Autor: P. W. (deneriel)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
@Wieauchimmer:
An der Stelle wo du ein paar Rechner mit einem Switch zusammensteckst 
oder in ein gemeinsames WLAN einbuchst, hast du ein Netzwerk aufgebaut.
Da gehört noch nichtmal ein Router mit einer Internetanbindung dazu - 
geht völlig ohne. Ist trotzdem ein Netzwerk.
Wenn es keine weiteren Geräte in diesem Netz gibt, wird das so 
funktionieren. Ganz ohne VLANs.

Also nochmal die Fragen:
- Gibt es außer diesen Geräten weitere Geräte im geplanten Netzwerk?
- Soll eine Anbindung an das Internet erfolgen?
- Wer muss mit wem sprechen können?
- Welche Infrastruktur besteht bisher schon?
- Gibt es Nutzer die die Infrastruktur (WLAN) nutzen sollen, aber nicht 
auf das Datenbank- und NAS-System zugreifen?


@Nano:
Du kannst dir auch nen Loch ins Knie bohren, Milch rein schütten und 
warten dass sie sauer wird. Offenbar hast du deutlich mehr Informationen 
über die Infrastruktur des Fragestellers als wir.
Oder, was wahrscheinlicher ist: Du schreibst Blech.

Zumindest käme ich nicht auf die Idee mich pauschal darin zu versteigen, 
dass man doch einen Proxyservice für die Datenbank auf dem Router laufen 
lassen möge - ohne zu wissen um welche Datenbank es sich überhaupt 
handelt, geschweige denn ob die zu nutzende Anwendung damit zurecht 
kommt.

Was du mit Portforwarding in einem gerouteten LAN ohne NAT anstellen 
willst erschließt sich mir auch nicht. Explizite Portfreigaben beim 
Einsatz eines Paketfilters sind zwar üblich, aber eine ganz andere 
Baustelle.

Ganz oben schreibst du, dass zwingend ein managebarer Layer 3 Switch 
einzusetzen sei. Nö, muss es nicht sein! VLANs sind Layer 2, 
Managementfähigkeit ist auch kein Layer3-Feature und Routing kann auch 
ein anderes Gerät machen.

Deine Aussagen zu DHCP stimmen auch nur in diesem angenommenen Kontext 
einigermaßen. Mitnichten muss das ein L3-Switch machen und anderswo sind 
mehrere DHCP-Server pro Netzsegment aus Redundanzgründen sogar üblich 
(natürlich sind die auch entsprechend konfiguriert).


Bis hierhin hättest du dem Fragesteller jetzt verkauft:
- einen Layer3 Switch
- mehrere Netzwerkkarten für die Clients
- Einen PC als Router oder gleich eine ganze Firewallappliance
- nen Haufen Dienstleistung für die Einrichtung
Kannste schon so machen, aber seriös ist anders.

Wohlgemerkt: Einem Fragesteller der nicht genau weiß was er will und 
hier fragt ob ihm VLANs helfen können.

Nachtrag:

Jetzt auch noch Link Aggregation. Das war gar nicht die Frage. Wir 
wissen immer noch nichtmal was in der Bude überhaupt vorhanden ist.
Da wo ich herkomme nennt man das "mit Kanonen auf Spatzen schießen".

Oder ist das mit dem dankbaren Gast hier eine sehr aufwendige Art sich 
selbst zu beweihräuchern?

: Bearbeitet durch User
Autor: z-q (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
50mb db-trafic in einem lokalen netz, lokal entkoppelt über vlan...
und das hinter einer fritzbox, sorry aber da ist die draht/mütze 
korrelation nicht mehr gegeben. das hört sich nach "anleitung für 
cardsharing" für idioten an.
my 5  cent

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Thomas schrieb:
> Willst Du ihm nen Linux-PC als Proxy aufziehen lassen?
>
> Entschuldige bitte ... Ich denke, er hat bestimmt schon vorher Probleme.

So schwer ist das auch wieder nicht.
Ich habe früher einen Linux Router mit Slackware drauf direkt am DSL 
Modem betrieben, als solche Home Router noch nicht verfügbar oder 
schweine teuer waren.
Zwischen den Rechnern hing dann nur ein billiger 10 Mbit/s Hub, das war 
nicht einmal ein Switch, hat aber funktioniert und war ausreichend.
Mehr als AFAIK DSL 768 KBit/s gingen da ja eh noch nicht.

Dadurch konnte ich, mein Bruder und mein Vater gleichzeitig ins 
Internet, während alle anderen noch ihren Win9x oder Win2k Rechner am 
DSL Modem hingen haben und sich über Schadsoftware geärgert haben.

Am schönsten war es bei der Neuinstallation auf den Clientrechnern, denn 
es musste das DSL Modem nicht extra konfiguriert werden, das Netzwerk 
stand über den Linux Router einfach zur Verfügung und die statische IP 
war schnell eingerichtet.
DHCP habe ich zu dem Zeitpunkt noch nicht genutzt.

> Aber die Leute wollen alles 'maximal' billig, aber die Sicherheit kommt
> zu kurz.

Mit einem Linux Rechner kann er beides haben. Eine günstige Lösung und 
Sicherheit. Er muss nur etwas Zeit investieren.

Mit heutiger Hardware und einem Debian System ist das aber kein großer 
Aufwand.
Ich musste damals vor > 20 Jahren noch Slackware nehmen, da ich meine 
Kernel wegen den nur 8 MB RAM auf dem alten Rechner noch alle selber 
backen musste. Bei nur 8 MB RAM wurde es da sehr eng, Debian konnte man 
damit nicht booten. Slackware ging aber.

Er kann sich das alles sparen, da man heute für wenig Geld einen für 
solche Zwecke völlig ausreichenden PC mit mehr als genug RAM bekommt und 
Debian stable out of the box laufen wird.
Die FW Regeln zu erstellen ist da wahrscheinlich noch die schwierigste 
Aufgabe, aber im Netz findet man heutzutage auch da genug Anleitungen.

Autor: Thomas (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wenn man's kann ist es gut. Aber es gibt User die beschäftigen sich 
nicht damit, und wollen niemals mit der Komandozeile in berührung 
kommen.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
P. W. schrieb:
> Oder, was wahrscheinlicher ist: Du schreibst Blech.

Du bist sehr aggressiv, dabei will ich nur helfen und nein ich schreibe 
keinen  Blech nur weil es dir nicht gefällt.


> Zumindest käme ich nicht auf die Idee mich pauschal darin zu versteigen,
> dass man doch einen Proxyservice für die Datenbank auf dem Router laufen
> lassen möge - ohne zu wissen um welche Datenbank es sich überhaupt
> handelt, geschweige denn ob die zu nutzende Anwendung damit zurecht
> kommt.

Er möchte das und hat danach gefragt, ich habe ihm die Antwort dazu 
geliefert.


> Was du mit Portforwarding in einem gerouteten LAN ohne NAT anstellen
> willst erschließt sich mir auch nicht.

Von "ohne NAT" habe ich nichts erwähnt.
Es ist üblich dass man für jedes vlan eigene Subnetze verwendet, man 
muss das nicht machen, aber es ist aus diversen Gründen sinnvoll, kannst 
gerne im Internet nachschlagen.
Also ist NAT durchaus sinnvoll, sofern wir über ein IPv4 Netzwerk 
sprechen, wovon ich ausgehe.

> Explizite Portfreigaben beim
> Einsatz eines Paketfilters sind zwar üblich, aber eine ganz andere
> Baustelle.

Ich habe nie behauptet das NAT und Paketfilter eins wären.

> Ganz oben schreibst du, dass zwingend ein managebarer Layer 3 Switch
> einzusetzen sei. Nö, muss es nicht sein! VLANs sind Layer 2,

Den Layer 3 Switch brauchst du wegen dem DHCP Server.
Natürlich kannst du den DHCP Server auch auf einem der Clientrechner 
oder dem extra Router aufsetzen, ist aber unnötig, wenn das dein Switch 
kann.
Außerdem kosten Layer 3 Switchs heutzutage nicht die Welt und bieten 
noch eine ganze Reihe weiterer Vorteile.

> Managementfähigkeit ist auch kein Layer3-Feature

Das habe ich nie behauptet. Aber wie willst du den einzelnen Ports vLANs 
zuweisen, wenn der Switch unmanged ist?
Also, merkst du hoffentlich selbst, dass der Switch managed sein muss.
Das Blech Reden  kann ich ab dem Punkt jetzt auch an dich zurückweisen. 
Ich habe dir in diesem Thread schon genug erklären müssen, gefällt dir 
nicht, ich weiß, aber niemand zwingt dich mitzudiskutieren.


> und Routing kann auch
> ein anderes Gerät machen.

Ja, du kannst, so wie du es sagst, auch einen Clientrechner dazu 
abstellen (dumme Idee, dazu komme ich gleich), aber du willst doch 
hoffentlich nicht auf dem NAS oder DBMS routen (noch dümmere Idee).

Eine dumme Idee ist das, weil der Clientrechner 1 wahrscheinlich auch 
nicht immer laufen wird und noch Anwendungssoftware laufen hat, auf dem 
routet und filtert man besser nicht.
Das überlässt man einem dedizierten dafür abgestellten Rechner.
Und ja, bei kleinem Datenaufkommen kann das ein kleiner 
Einplatinenrechner sein, der ist auch sehr sparsam. Das ein Raspi dafür 
nicht die beste Wahl ist, sagte ich schon.

Und auf dem NAS und DBMS routet man aus Sicherheitsgründen nicht.

Nur weil man vieles machen kann, bedeutet das nicht, dass es auch 
sinnvoll ist. Soviel zum Blech reden.


>
> Deine Aussagen zu DHCP stimmen auch nur in diesem angenommenen Kontext
> einigermaßen. Mitnichten muss das ein L3-Switch machen

Ein L3 Switch bietet sich dafür aber an.


> Bis hierhin hättest du dem Fragesteller jetzt verkauft:
> - einen Layer3 Switch

Mein CISCO Switch den ich oben vorschlug, bekam ich für ca. 140 €. Für 
das was der kann ist das günstig.

> - mehrere Netzwerkkarten für die Clients
Nein, das war nur optional, wenn er zwingend einen hohen Datendurchsatz 
benötigt. Bitte besser lesen und weniger Blech reden.

> - Einen PC als Router oder gleich eine ganze Firewallappliance
Auch das war nur optional, wenn er zwingend einen hohen Datendurchsatz 
benötigt.
Das mit dem Einplatinencomputer hast du wohl absichtlich vergessen.

> - nen Haufen Dienstleistung für die Einrichtung
> Kannste schon so machen, aber seriös ist anders.

Von dir kam nichts zu seiner Frage.


> Nachtrag:
>
> Jetzt auch noch Link Aggregation. Das war gar nicht die Frage.

Wird aber relevant, wenn er den NAS auch mit hohem Datendurchsatz 
bedienen will, seine Anwendungsfall kennst du ja nicht, ich auch nicht.
Das mit der Geschwindigkeit hat sich aber so im Laufe der Diskussion so 
ergeben.
Und wie schon gesagt, auch das war nur optional und keine Pflicht.
Ja, du kannst auch alles mit dem 100 MBit/s NIC und USB 2 Anbindung des 
Raspberry Pi 3 über die Grenze der beiden vLANs schaufeln, aber ob das 
eine schöne Lösung ist, wenn jeder Wald und Wiesen PC heutzutage schon 
ein 1 Gbit/s NIC hat, ist eine andere Frage. Meine erste Wahl wäre es 
nicht.

Autor: P. W. (deneriel)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Weißt du, mein Gutester. Entweder hab ich es mit den Augen, mit dem 
Leseverständnis oder du mit der Interpretation.


Der Threadersteller fragt hier nach der Möglichkeit der Netztrennung 
mittels VLAN für eine Handvoll Rechner, einen Datenbankserver und ein 
NAS.
Unter der Prämisse dass werauchimmer und wieauchimmer die gleiche Person 
sein soll, noch mit dem Hinweis dass es sich lediglich um 50MB Datenbank 
handelt und er sich selbst nicht sicher ist, ob das notwendig sei.
Ich lese da nichts von Performanceanforderungen. Aber auch nicht zur 
bestehenden Situation.


Den Proxy-Server für die Datenbank hast du vorgeschlagen.
Der Fragesteller hat sich dazu hier nicht geäußert. Dass das gewollt sei 
ist deine Aussage.
Ich bezweifle dass der Fragesteller das will, wenn ihm Aufwand/Nutzen 
und Fehlermöglichkeiten bekannt gemacht werden.


Wenn du von Routing sprichst, impliziert das nicht ein NAT.
Wenn du NAT meinst, solltest du auch NAT schreiben. Ansonsten reden wir 
über Routing OHNE NAT.
Ich bin mir folglich gerade nicht sicher ob wir in der gleichen 
Terminologie sprechen: Eigene IP-Netze pro VLAN meint in meiner Welt 
Netze mit unterschiedlichen Adressbereichen. Denn dann braucht es eben 
kein NAT dazwischen. Und für die Verbindung sorgt ja das Routing.
Kannst du gerne im Internet nachlesen.


>> - mehrere Netzwerkkarten für die Clients
>Nein, das war nur optional, wenn er zwingend einen hohen Datendurchsatz
>benötigt. Bitte besser lesen und weniger Blech reden.
Bitte besser schreiben, denn von optional und hohem Datendurchsatz steht 
in deinem Beitrag nix.
Hast du vielleicht gemeint, aber nicht geschrieben.

"Falls die Clientrechner kein vlan können, dann brauchst du am Client
zwei physisch vorhandene RJ-45 Ports, zwei Leitungen und am Switch dann
zwei Ports, wovon du einen bspw. für VLAN 1 und den anderen für VLAN 2
konfigurierst."


>> Ganz oben schreibst du, dass zwingend ein managebarer Layer 3 Switch
>> einzusetzen sei. Nö, muss es nicht sein! VLANs sind Layer 2,
>
>Den Layer 3 Switch brauchst du wegen dem DHCP Server.
>Natürlich kannst du den DHCP Server auch auf einem der Clientrechner
>oder dem extra Router aufsetzen, ist aber unnötig, wenn das dein Switch
>kann.
>Außerdem kosten Layer 3 Switchs heutzutage nicht die Welt und bieten
>noch eine ganze Reihe weiterer Vorteile.
- Bei ZWEI Devices im "Servernetz" brauche ich nichtmal einen 
DHCP-Server. Das ist mit statischen IPs gut machbar. Ob man die Adresse 
auf dem Device selbst einträgt oder eine Reservierung auf dem Switch 
spielt da auch keine Geige. Bei 20 oder 200 Devices sieht die Sache 
natürlich ganz anders aus.
- Ob ich im Clientnetz einen separaten DHCP brauche hängt von der 
restlichen Umgebung ab. Wenn das kein isoliertes Netz sein soll und am 
Internet hängt, hat man in der Regel nen kleinen Plastikrouter dabei der 
das sowieso schon macht.
- Ich hatte eine entsprechende Rückfrage gestellt.


>> Managementfähigkeit ist auch kein Layer3-Feature
>Das habe ich nie behauptet. Aber wie willst du den einzelnen Ports vLANs
>zuweisen, wenn der Switch unmanged ist?
>Also, merkst du hoffentlich selbst, dass der Switch managed sein muss.
Nochmal zum mitmeißeln: Es gibt auch managebare Switches die nur Layer 2 
können.


>> - Einen PC als Router oder gleich eine ganze Firewallappliance
>Auch das war nur optional, wenn er zwingend einen hohen Datendurchsatz
>benötigt.
Aber er will doch einen Proxy für die Datenbank laufen lassen, hast du 
geschrieben.Und der läuft auf deinem Linksys-Switch? Ähhh, ich meine 
natürlich Cisco...

>Das mit dem Einplatinencomputer hast du wohl absichtlich vergessen.
Der auch manuell eingerichtet werden müsste. Wäre in der Anschaffung 
billiger, aber der Aufwand trotzdem vorhanden. Dafür mit geringerer 
Leistung und Durchsatz.
Ja, scheint als hätte ich die nicht zielführende Idee ignoriert.


> Von dir kam nichts zu seiner Frage.
Du meinst außer Rückfragen, die dazu dienen zu beurteilen ob eine 
Netztrennung mittels VLAN für die gewünschte Anwendung wirklich sinnvoll 
ist?
Da wo ich herkomme macht man das so wenn die Anforderungen nicht 
eindeutig sind: Man fragt nach.

Nachdem er sich ja selbst nicht sicher war, hast auch du schon die 
Variante mit den üblichen vorhandenen Gastzugängen bei Plastikroutern 
festgestellt.
In diesem Fall wäre übrigens der Plastikrouter das "andere Gerät" 
welches Routing und DHCP für beide Netzsegmente übernehmen würde.
Eine andere Variante wäre das Kaskadieren derartiger Geräte. 
Funktioniert auch und man schafft mit überschaubarem Aufwand (!) ein 
internes Netz und eine DMZ.


Richtig, ich stelle das gesamte Ansinnen "Netztrennung mittels VLAN" 
damit in Frage - und das so lange bis klar ist ob die Idee zum Szenario 
passt.


>Ja, du kannst auch alles mit dem 100 MBit/s NIC und USB 2 Anbindung des
>Raspberry Pi 3 über die Grenze der beiden vLANs schaufeln,
Auf das schmale Brett auf einem Pi mit USB-NICs rumzuhampeln wäre ich 
nichtmal gekommen.
Wozu auch? Dafür hat doch mal jemand VLANs erfunden. Und Linux kann 
damit umgehen.
Dein Switch auch.
Und ich halte fest, dass der Pi dein Vorschlag war, nicht meiner.


>Ich habe dir in diesem Thread schon genug erklären müssen, gefällt dir
>nicht, ich weiß, aber niemand zwingt dich mitzudiskutieren.
Vielen Dank für deine Aufklärung.


Und damit bin ich dann hier raus und im Bett.
Gute Nacht.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
P. W. schrieb:
> Ich lese da nichts von Performanceanforderungen. Aber auch nicht zur
> bestehenden Situation.

Klar steht das nicht in den Anforderungen, wenn du den Threadverlauf 
aber folgst, dann kannst du merken, dass das für den Fall der Fälle 
erwähnt wurde, falls er es doch mal braucht.
Ich halte nichts davon mit Informationen zurückhalten nur weil er nicht 
explizit danach gefragt hat.
Zumal er da auch ein NAS betreiben möchte und nicht nur eine Datenbank.
Auf dem NAS könnte bspw. die Fotosammlung oder Videos drauf kommen und 
schon ändern sich die Performanceanforderungen.


> Den Proxy-Server für die Datenbank hast du vorgeschlagen.
> Der Fragesteller hat sich dazu hier nicht geäußert. Dass das gewollt sei
> ist deine Aussage.

Er wollte die Datenbank in einem vlan, der Proxy kann hier die 
Sicherheit erhöhen, deswegen wurde der erwähnt weil die Sicherheit im 
Laufe des Threads zu einem Thema wurde.
Dein ganzes Meckern würde sich daher erübrigen, wenn du dem Verlauf der 
Diskussion nur einmal von Anfang bis Ende nachgehen würdest, anstatt nur 
mal kurz reinzugucken was gerade ganz unten steht.


>>Nein, das war nur optional, wenn er zwingend einen hohen Datendurchsatz
>>benötigt. Bitte besser lesen und weniger Blech reden.
> Bitte besser schreiben, denn von optional und hohem Datendurchsatz steht
> in deinem Beitrag nix.

Nein, das muss ich keineswegs besser schreiben, sondern du solltest 
besser dem Thread folgen, aus dem Verlauf kann man nämlich deutlich 
entnehmen, dass das optional ist.
Würdest du den Thread sequentiell lesen, und nicht irgendwo mitten drin 
oder ganz unten anfangen, dann hättest du nicht fragen müssen.


> Hast du vielleicht gemeint, aber nicht geschrieben.

Siehe oben, das ergibt sich aus dem Threadverlauf und dem Kontext.


> - Bei ZWEI Devices im "Servernetz" brauche ich nichtmal einen
> DHCP-Server.
> Das ist mit statischen IPs gut machbar. Ob man die Adresse
> auf dem Device selbst einträgt oder eine Reservierung auf dem Switch
> spielt da auch keine Geige.

Habe ich nicht gesagt, aber ich habe gleich weitergedacht.
Die meisten sind froh, wenn das Netzwerk einfach funktioniert, wenn ein 
neues Gerät angeschlossen wird.
So gut wie alle Konsumergeräte holen sich per Defaultkonfiguration ihre 
IP von einem DHCP Server in dem sie nach diesem fragen.
Klar kannst du auch statische IPs vergeben, aber erklär das mal jemand 
wie man das an einem Drucker macht, wenn er gar nicht das Webinterface 
erreicht weil im gegebenen Netz kein DHCP Server steht, der ihm eine IP 
geben könnte.
Gerade wenn er Laie ist, vereinfacht ein DHCP Server einiges.

Außerdem ignorierst du wissentlich, dass ich ganz oben folgendes 
geschrieben habe:
"Alternativ kannst du auch statische IPs vergeben, aber diese Lösung ist
unschön."

Jetzt so zu tun, als wäre das Wort statische IP von mir nie gefallen ist 
schon ziemlich dreist, findest du nicht?

Aber ich sagte ja, folge dem Thread komplett, dann würde sich ein 
Großteil deiner Meckerrei in Luft auflösen.



> - Ob ich im Clientnetz einen separaten DHCP brauche hängt von der
> restlichen Umgebung ab. Wenn das kein isoliertes Netz sein soll und am
> Internet hängt, hat man in der Regel nen kleinen Plastikrouter dabei der
> das sowieso schon macht.

Aber nicht im zweiten VLAN.


>>> Managementfähigkeit ist auch kein Layer3-Feature
>>Das habe ich nie behauptet. Aber wie willst du den einzelnen Ports vLANs
>>zuweisen, wenn der Switch unmanged ist?
>>Also, merkst du hoffentlich selbst, dass der Switch managed sein muss.
> Nochmal zum mitmeißeln: Es gibt auch managebare Switches die nur Layer 2
> können.

Liest du eigentlich was da steht?
In meinem Text, auf den du geantwortet hast und den du selbst zitiert 
hast, habe ich ganz klar klargestellt, dass ich nie behauptet habe, dass 
Managementfähigkeit ein Layer 3 Feature sei.
Also kannst du dir denken, dass mir das sehr wohl klar ist, dass man 
Mangementfähigkeit auch mit einem Layer 2 Switch bekommt, aber darum 
ging es gar nicht, sondern darum, dass er managed sein muss. Mit einem 
unmanaged geht nämlich das nicht und du klebst an deinem Layerzeug fest 
obwohl ich dich ganz klar gefragt habe, wie du das mit unmangaed 
Switches machen willst, die Frage war nicht, wie du das mit einem Layer 
2 Switch machen willst, sondern es ging um das managed vs. unmanaged und 
wenn du oben mal nachguckst, dann würdest du erkennen, dass vor dem 
Satz:
>>> Managementfähigkeit ist auch kein Layer3-Feature
noch mehr dran stand.

Und dann nochmal, heutzutage macht es keinen großen Sinn mehr, auf einen 
Layer 3 Switch zu verzichten, weil dieses Feature schon fast geschenkt 
ist.
Die Layer 2 Switches sterben nämlich nach und nach aus. Warum soll er 
dann ein altes Eisen kaufen?


>
>>> - Einen PC als Router oder gleich eine ganze Firewallappliance
>>Auch das war nur optional, wenn er zwingend einen hohen Datendurchsatz
>>benötigt.
> Aber er will doch einen Proxy für die Datenbank laufen lassen, hast du
> geschrieben.Und der läuft auf deinem Linksys-Switch? Ähhh, ich meine
> natürlich Cisco...

Den Router PC, Einplatinencomputer etc.. vergisst du jetzt absichtlich 
oder was oder doch eher doof oder hauptsache irgendwie mimimi machen 
damit man etwas dagegen schreiben kann?


>>Das mit dem Einplatinencomputer hast du wohl absichtlich vergessen.
> Der auch manuell eingerichtet werden müsste. Wäre in der Anschaffung
> billiger, aber der Aufwand trotzdem vorhanden. Dafür mit geringerer
> Leistung und Durchsatz.
> Ja, scheint als hätte ich die nicht zielführende Idee ignoriert.

Jeder Computer muss eingerichtet werden.
Und oben meckerst du wegen der 50 MB Datenbank und einem schnellen 
Netzwerk, aber plötzlich reicht der Einplatinencomputer für die paar 
kbyte Traffic zur 50 MB Datenbank nicht mehr.
Klingt irgendwie nach irgendwie dagegen halten, auch wenn gar kein Plan 
und kein Konzept dahinter steht. Und das ein Einplatinencomputer viel 
weniger Strom braucht und der deswegen eben doch möglicherweise 
zielführend sein kann, das ist dir auch nicht klar.
Und nein, ganz oben im Thread sagte ich schon, dass der Raspi nicht die 
beste Lösung ist, aber es gibt Einplatinencomputer, die eine bessere 
Netzanbindung haben. Der Raspi wäre dann der unterste gemeinsame Nenner, 
so wie Link Aggregation und 10 GBit/s NICs usw. die obere Grenze bei 
einem akzeptablen Preis/Leistungsverhältnis darstellen.
Dazwischen kann er sich was raus suchen, wie er es eben braucht.
Wenn er nur 50 KBit/s zur Datenbank schieben muss, dann reicht nämlich 
der Raspi.
Will er dagegen > 50 MB/s Traffic zum NAS schieben, dann sollte er 
besser was anderes nehmen.


Insofern, so, ich mach jetzt Schluss, mir wird das mit dir schlichtweg 
zu doof.

Mein Rat an dich, halte dich zukünftig einfach raus, wenn ich anderen 
Menschen die Fragen habe helfe und wenn du etwas zu sagen hast, dann 
mach einen unabhängigen Diskussionsstrang mit dem Fragesteller auf ohne 
dabei auf meine Antworten Bezug zu nehmen.
Sag du ihm deine Tipps oder wie du es oben machen wolltest, frag ihn 
erstmal Löcher und lass mich meinen eigenen Diskussionsstrang mit ihm 
führen.
Mir ist nämlich echt die Zeit zu schade, mich rumzustreiten wenn ich nur 
jemandem helfen wollte und dann Leuten wie dir alles mehrfach erklären 
soll, nur weil deinesgleichen meint, nicht den ganzen Thread von oben 
nach unten lesen zu müssen und Kontexte nicht beachten zu müssen.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.