Netzwerk aufteilen

Status
Für weitere Antworten geschlossen.

gaulo23

Benutzer
Mitglied seit
30. Mai 2013
Beiträge
978
Punkte für Reaktionen
0
Punkte
36
Hallo

Ich nutze eine DS918+ auf der DS greifen mehrere von außen drauf zu. Eine 8MP 4K IP Kamera läuft auch 24 Stunden. Wenn ich das alles zusammen rechne, geht von meinem Netzwerkanschluss viel Bandbreite verloren. Durch die aufgeführten Ereignisse. Ist es möglich, das alle die von außen drauf zugreifen sowie die IP Kamera z.b über LAN2 zugreifen. Und ich benutze für mich nur LAN1?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Sicher geht das. Am besten über VLAN. Die Verbindung Router<>Syno läuft dann über den einen Port, über den anderen greifst du aus deinem Lokalen LAN auf die Syno zu. Die beiden Ports kannst du dann durch die Firewall getrennt absichern. So hast du dann auch in der Router-NAS Verbindung keine Protokolle aus deinem internen LAN laufen, ein Stück mehr Sicherheit. ich mache das schon lange so.
Die CT hat dazu mal einen schönen Artikel veröffentlicht: https://www.heise.de/ct/artikel/VLAN-Virtuelles-LAN-221621.html
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
wenn du etwas Geld in die Hand nehmen willst (nicht viel), dann mach es, wie NSFH geschrieben hat mit VLANs.

Eine einfachere Alternative: wenn du einen 2. Router besitzt, dann per Routerkaskade. NAS hinter dem 1. Router, dein PC hinter dem zweiten. So ist es auch getrennt und du kannst vom PC trotzdem aufs NAS zugreifen. Guckst du hier:
https://www.heise.de/ct/artikel/Router-Kaskaden-1825801.html

Ich persönlich würde mich aber eher an die Empfehlung von NSFH halten...hochwertigen VLAN fähigen Router und ggf. Switch kaufen (oder alternativ ne pfSense) und einrichten...

Grüßle
the other
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
6.597
Punkte für Reaktionen
1.174
Punkte
254
Da wäre ich vorsichtig.. Thema doppeltes NAT.. Mit CGN Verbindung, 3faches NAT :)

Im übrigen halte ich VLAN in kleinen Heimnetzen für völlig überzogen. Macht mehr Arbeit und die Vorteile halten sich in Grenzen. Aber das ist nur meine Meinung..
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
???
VLAN in SoHo LANs ist überzogen? Ist aufwändig?
Das ist mit wenigen Klicks in der Switch-Konfiguration und einem Eintrag im Nw-Interface der Syno erledigt.
Mal ganz abgesehen von einem Tick mehr Sicherheit im Netz.
Von Router-Kaskaden kann ich auch nur abraten. Das ist ein künstlicher Flaschenhals.
 

Solear

Benutzer
Mitglied seit
05. Aug 2014
Beiträge
224
Punkte für Reaktionen
0
Punkte
16
Kommt auf die Router an, ob es aufwändig zu konfigurieren ist und wie genau das ist. Unifi mag einfach sein, Mikrotik ist dagegen nicht ohne Fachwissen zu schaffen, dafür aber auch genauer.
Sinn macht es schon, wenigstens nach außen offene Services in einer DMZ oder eben wenigstens per VLAN getrennt laufen zu lassen. Auch wenn man mit Firmenrechnern arbeitet, macht es Sinn diese in ein eigenes VLAN zu packen.
Ich handhabe das bei mir so, dass nur ein Raspi mit Wireguard auf dem DMZ-Port liegt und sonst nichts nach außen erreichbar ist. Alle Dienste (Baikal, Fotos, Zugriff aufs Heimnetz etc) liegen im normalen Heimnetz und sind nichts fürs Internet offen, nur von der DMZ aus zugreifbar.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Aufwändig für jemanden, der mit der Materie vielleicht nicht jeden Tag umgeht. Halbwissen kann dann auch schnell mal mehr Schaden als Nutzen bringen.

Appendix-OP ist auch ein Klacks, ich würd's trotzdem nicht selbst versuchen.
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
6.597
Punkte für Reaktionen
1.174
Punkte
254
???
VLAN in SoHo LANs ist überzogen? Ist aufwändig?
Das ist mit wenigen Klicks in der Switch-Konfiguration und einem Eintrag im Nw-Interface der Syno erledigt.
Mal ganz abgesehen von einem Tick mehr Sicherheit im Netz.
Von Router-Kaskaden kann ich auch nur abraten. Das ist ein künstlicher Flaschenhals.

Deshalb.. Aber das ist nur meine Meinung.. Lass du mir meine, ich lass dir deine! ;)

Du darfst für deine 20 Geräte im LAN gerne ein VLAN einrichten, denn DU kennst dich vermutlich damit aus. Aber für jemanden der nach einer Lösung sucht wie der TE und erstmal hier im Forum danach fragen muss, welche Möglichkeiten er hat, ist VLAN wahrscheinlich eine Herausforderung. und mit Sichherheit wird bei den ersten Versuchen erstmal das NAS nicht mehr erreichbar sein. Denn hier gilt, wenn das VLAN falsch konfiguriert ist, dann gibt es kein Zurück mehr. Diese Erfahrung musste ich auch schon 3mal machen. Es bringt nichts im NAS mal kurz VLAN20 einzutragen, wenn der Rest vom Netz falsch konfiguriert ist. Und mit Rest meine ich ALLES an Hardware.
 

Solear

Benutzer
Mitglied seit
05. Aug 2014
Beiträge
224
Punkte für Reaktionen
0
Punkte
16
Aber nur so lernt man es. Ich finde es gut. Mit try & error, nachfragen und probieren erweitert man seinen Horizont. Es sollten bei Spielereien halt keine geschäftskritischen Daten ohne Backup in Mitleidenschaft gezogen werden aber auch das lernt man wenn man sich ausgesperrt hat. Auch das Sicherheitsthema kommt nach und nach. Man wird nie gleich die Perfekte Konfiguration anlegen.
Lernen durch Schmerz :)

Als reiner Privatier braucht man kein VLAN. Aber als ambitionierter Heimanwender kann man schon seine iot-Geräte auskreisen und eine DMZ einrichten. Ich würde nur erstmal mit ein paar Raspis üben.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Was ist hieran Hexerei?
https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen
Und was kann man bei microtik bei VLANs genauer einstellen als bei anderen Geräten? Ich kenne da keine weiteren Features, egal ob Billig-Geräten oder CISCO.

Gerade bei IoT oder auch externen Kameras würde ich aus Sicherheitsgründen nur mit VLAN arbeiten. Gleiches gilt für spionierende TV-Geräte.
 
Zuletzt bearbeitet:

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Keine Hexerei, bedarf aber mindestens auch der Erläuterung einiger Dinge. "PVID" wird in dem Text zwar benutzt, aber nirgends definiert. Nur als Beispiel.
Mit solch einem kleinen Textschnipsel ist es also nicht getan.
Ich will hier einen möglichen Nutzen von VLANs gar nicht in Abrede stellen. Es darf eben nur nicht immer davon ausgegangen werden, dass hier jeder vom Fach ist.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Fangen wir jetzt an Beiträge zu unterteilen je nach Fachwissen?
Hier einen Lösungsvorschlag zerreden, weil u.U der TE oder ein anderer Leser nicht das nötige Fachwissen hat ist schon komisch, wenn man den Sinn eines Forums betrachtet.

Mach doch mal einen Vorschlag wie Antworten aussehen sollen, wenn du nicht weisst ob der TE Ahnung hat oder nicht. Soll ich dir mal Beispiele von dir raussuchen, wo du mit Wissen um dich schmeisst wo du auch njciht weist wer das alles liest und überhaupt versteht?
Ich glaube deine Antwort liegt in etwas ganz anderem begründet......und das ist schwach!
Und damit überlasse ich das Feld wieder den Über-Usern, ich bin hier raus :)
 

ketterechts

Benutzer
Mitglied seit
04. Jul 2019
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
Ich habe das als Laie mal mit meinen beiden externen Cams ausprobiert und siehe da, es funktioniert! Aus dem VLan der Cams komme ich nicht mehr in mein Heimnetz, weil die Cams jetzt auf dem zweiten Port der 916 per VLAN angeschlossen sind. Da werde ich jetzt auch noch meinen Smart-TV hin verbannen.
Habe dafür einen Unify Switch verwendet. Hilfreich war für mich der Link zu der ct um zu verstehen was da eigentlich passiert. Merci von einem stillen Mitleser!
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Fangen wir jetzt an Beiträge zu unterteilen je nach Fachwissen?

Was heißt "unterteilen"?
Das Niveau der Antwort orientiert sich immer am Niveau der Frage bzw. des Fragestellenden. Das ist nicht abwertend gemeint. Man kann doch nicht von jedem DS Besitzer, der sich in diesem Forum tummelt auch eintsprechendes Vorwissen annehmen. Wenn du so drauf bist, dann antwortest du bei Hilfeschreien bzgl. Datenrettung vermutlich auch nur "Kein Backup. Kein Mitleid". Das hilft ja niemandem und sicher keinem, der immer noch meint RAID1 sei doch ein Backup.

Insofern beantworte ich die Frage mit einem klaren "Nein! Das war schon immer so."
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
eine kaskadierte Lösung für die Frage ist in der Tat, wie ich ja geschrieben habe, nur eine Alternative. Wenn Segmentierung gewünscht ist, dann würde ich auch zu VLANs raten (wie ich ja auch geschrieben habe).

Ich hab auch nur ein kleines Heimnetz, trotzdem mit VLANs. Zum einen: Spass am Lernen. Zum anderen: ich fand es eigentlich auch nicht so schwierig umzusetzen (hier mit pfsense). Aber klar: was wirklich nötig ist, muss ja jedeR selbst wissen. Braucht hier jedeR ein NAS? Braucht es darin Kapazitäten von mehreren TB?

Aber, hey, soll doch jedeR schauen, was gewünscht ist (hat ja selten was mit was wirklich nötig ist zu tun). Und: WOCHENENDE!!! Yay...

Grüßle
the other
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat