Syno mit mehreren LAN Subnetzen und unterschiedlichen Berechtigungen

[chieftobitobsn]

Moin,

ich habe eine RS812+, die mir als zentraler Datenspeicher und Backuziel dient. Ich habe mehrere VLANs zwecks Sicherheit. Ich habe ein abgekapseltes VLAN für VoIP, wo nur IP Telefone und eine Telefonanlage drin sind und die nur ins Internet kommen. Jetzt benötige ich allerdings in dem VoIP VLAN einen Webserver, der ein paar Steuerdateien hostet.

Nun habe ich ja ein NAS, welches die Möglichkeit eines Webservers bietet, aber ich brauche es auch in meiner jetzigen Konfiguration. Das NAS hat zwei LAN Anschlüsse, welche ich aber per LACP aggregiert habe. Jetzt zwei Fragen:

1. Gibt es die Möglichkeit, eine virtuelle Netzwerkkarte auf dem NAS zu erstellen und diese per VLAN Tagging auf einem anderem Subnetz zu betreiben? Wenn nicht, müsste ich den Bond aufbrechen, was doof wäre. Wäre aber vertretbar.
2. Wenn ich zwei Subnetze auf unterschiedlichen Schnittstellen auf dem NAS habe, kann ich diese per Firewall zuverlässig trennen, sodass auf einem (dem alten) Subnetz alles weiterhin läuft. Auf dem anderen soll aber nur die Webstation ansprechbar sein und nur die freigegebenen Steuerdateien. Alles andere soll auf dem neuen Subnetz definitiv niemals verfügbar sein.

Hat jemand ne Ahnung, ob die Konfig so mit dem NAS realisierbar ist?


mfg

 

[chieftobitobsn]

Antwort für die interessierten Leser:

1. virtuelle LAN Ports mit VLAN Tagging sind aktuell nicht möglich (über das GUI)
2. physikalische LAN Ports sind über ihr Subnetz mit der Firewall pro Applikation oder Port abtrennbar

Damit kann das NAS für mehrere LANs als Server getrennt genutzt werden. Die Beschränkung liegt somit aktuell bei den physikalischen Ports.

 

[8bitCrunch]

AFAIK sollte VLAN auch mit der Synology laufen. Ich nutze es bspw. seit einiger Zeit, da meine DS213+ nur einen LAN Port bietet.
Dies ist allerdings nicht über das GUI konfigurierbar, sondern via config files:

Bsp meiner Konfiguration mit einer festen Internet IP und meiner lokalen IP fürs LAN:

# cat /etc/sysconfig/network-scripts/ifcfg-eth0.2
DEVICE=eth0.2
VLAN_ROW_DEVICE=eth0
VLAN_ID=2
ONBOOT=yes
BOOTPROTO=static
NETMASK=255.255.255.0
IPADDR=10.13.37.2

# cat /etc/sysconfig/network-scripts/ifcfg-eth0.1337
DEVICE=eth0.1337
VLAN_ROW_DEVICE=eth0
VLAN_ID=1337
ONBOOT=yes
BOOTPROTO=dhcp

Neustarten und vorher auf jeden Fall sicherstellen, dass alle Daten korrekt sind, sonst sperrt man sich schnell aus.

Nachdem es konfiguriert wurde, hast Du in der GUI auch 2 separate Interfaces:


Diese können dann auch in der Firewall separat mit Regeln konfiguriert werden - leider kosmetisch etwas blöd, weil beide Interfaces "LAN" als Bezeichnung tragen und die Unterscheidung etwas schwierig ist.


Gruß, ByteCrunch

 

[whitbread]

Interessantes Script ByteCrunch. Warum das über die GUI nicht geht ist mir rätselhaft, denn tagged VLAN mit einer ID geht ja bereits, ist imo aber witzlos. VLAN-Trunking ist da schon eher interessant, allerdings aus Sicherheitsgründen recht fragwürdig.

Denn leider verschlimmbessern beide Varianten (2 Netzwerkports in unterschiedlichen Subnetzen oder eben die Trennung über VLAN) die Sicherheit. Damit entsteht quasi eine Bridge zwischen dem untrusted und dem trusted Subnetz. Da leider nur die Firewall der NAS genutzt werden kann hilft diese eben auch nicht mehr im Falle einer Kompromittierung.

Zugegeben: Ich habe es bei mir ebenso gelöst, allerdings mit dem Unterschied, dass ich die Trennung der Services mittels Virtualisierung gelöst habe. Wirklich gefallen tut es mir aber nicht, gerade, wenn man die aktuellen Vault-7 Erkenntnisse betrachtet. Wirklich sauber ist nur sich eine dedizierte DS116 o.ä hinzustellen.

 

[chieftobitobsn]

@8bitChrunch: Coole Lösung. Allerdings suche ich eine supportete und übersichtliche Lösung zwecke Management von verschiedenen NASen. Dies ist ja eher ein Proof-of-Concept, was ich in produktiven Umgebungen nicht verwenden würde. Aber trotzdem werde ich es mal auf einem Experimental NAS umsetzen...

@whitbread: Gut, wenn dein Schutzplan in Richtung Vault-7 Schutz geht, würde ich an deiner Stelle mein eigenes Internet aufziehen Ehrlich: An die Virtualisierung hatte ich noch gar nicht gedacht. Dies scheint mir dafür sehr geeignet zu sein und bringt deutliche Vorteile bzgl. einer Trennung nur über die Firewall, oder? Wie sind die Erfahrungungen damit?

 

[whitbread]

Ich habe sowohl Instanzen mit DockerDSM als auch mit VirtualDSM am Laufen. Ich nutze diverse Standardpakete und verpasse allen neuen Instanzen jeweils ein Standard-Setup via CMS. Läuft soweit alles rund.

Was derzeit noch problematisch ist, ist die fehlende Möglichkeit V-DSM-Instanzen von volumeX nach volumeY zu verschieben. Bei Docker kann man ja einfach den Ordner verschieben.

Interessant könnte noch die Möglichkeit der V-DSM-Replikation ab 6.1 werden - da bin ich noch nicht weiter.

 

[chieftobitobsn]

Klingt gut. Also werde ich mich damit mal beschäftigen.
Daumen hoch!