Seite 1 von 4 123 ... LetzteLetzte
Ergebnis 1 bis 10 von 31
  1. #1
    Anwender
    Registriert seit
    28.03.2010
    Beiträge
    342

    Standard DS916+ in zwei getrennten Netzwerken

    Hi, ich brauche mal einen Rat.
    Mein Netzwerk zu Hause ist durch einen Ubiquiti EdgeRouterX in mehrere Subnetze aufgeteilt. Unter anderem in:

    1) Privates Subnetz für alle Rechner/ Notebooks etc.
    2) IoT Sub-Netz in dem Fernseher, Kameras etc hängen.

    Das IoT Netz hat keinen Zugriff auf das Privat Netz, beide Netze habe Zugriff auf das Internet. Das ist alles im EdgeRouter geregelt und funktioniert soweit.

    Nun möchte ich, dass beide Netze Zugriff auf die DS916+ haben und dort Daten ablegen und lesen können, in verschiedenen freigegebenen Ordnern. Die strikte Trennung der beiden Netze soll aber ansonsten erhalten bleiben. Dazu will ich die DS916+ mit je einem ihrer Netzwerkanschlüsse in eines der Subnetze hängen. Verschiedene User für den Zugriff auf die freigegebenen Ordner anlegen. Natürlich mit zwei verschiedenen IP Nummern Kreisen, aber ansonsten alles auf Standard, ohne DS-Firewall. Siehe angehängten Screenshot.

    Es soll also kein Routing in der DS stattfinden. Funktioniert das so mit Standardeinstellungen der DS oder muss sonst noch was beachtet werden.
    Netz1.jpg
    DS916+ 8GB RAM, 4x3TB WD Red, SHR, btrfs ; DS412+ (Backup NAS) 1GB RAM, 4x1,5TB WD Green, SHR, btrfs
    Kein Backup, kein Mitleid

  2. #2
    Anwender
    Registriert seit
    23.01.2012
    Beiträge
    1.599

    Standard

    Das sollte einfach funktionieren. Ohne DS-Firewall steckt das Ding dann allerdings auch "nackt" im IoT-Netz. Mitunter ein 3. "shared" Netz, wo das LAN komplett und das IoT-Netz nur eingeschränkt Zugriff hat. Firewall-Regeln dann eben auf dem Router hinterlegen. Somit kann man auch besser filtern, welche der IoT-Geräte überhaupt mit welchen Diensten auf das NAS dürfen. Alternativ halt doch die DS-Firewall nutzen (dann eben nur auf dem Interface im IoT-Netzwerk).

  3. #3
    Anwender
    Registriert seit
    28.03.2010
    Beiträge
    342

    Standard

    @blurrrr, danke fürs Feedback,

    Zitat Zitat von blurrrr Beitrag anzeigen
    Alternativ halt doch die DS-Firewall nutzen (dann eben nur auf dem Interface im IoT-Netzwerk).
    Auf der DS916+ sollen aus dem IoT Subnetz Daten von den Kameras (Surveillance Station) und aufgenommene TV-Filme vom Sat-Receiver gespeichert werden, sowie von den TVs (DLNA) gelesen werden können. Also müssten die entsprechenden Ports für das IoT-Ethernet Subnetz in der DS-Firewall freigegeben werden um den Zugriff auf den Rest einzugrenzen.

    Als da wären:
    DLNA 50001, 50002, 1900
    Surveillance Station 19998, 19997, 554
    CIFS 137, 138, 139, 445 (eventuell reicht hier 445 alleine)
    Und alle restlichen Ports von IoT Subnetz sperren.

    Muss ich mal testen per Try&Error, möglicherweise sind ja nicht alle Ports nötig

    Den Zugriff aufs WAN fürs IoT Subnetz steuere ich in der EdgeRouter Firewall.
    DS916+ 8GB RAM, 4x3TB WD Red, SHR, btrfs ; DS412+ (Backup NAS) 1GB RAM, 4x1,5TB WD Green, SHR, btrfs
    Kein Backup, kein Mitleid

  4. #4
    Anwender
    Registriert seit
    24.01.2012
    Beiträge
    1.011

    Standard

    Wenn man ehrlich ist, kann man sich das ganze IoT-Netz eigentlich sparen, wenn man die NAS dann eh' ungeschützt im LAN stehen hat.
    Ich fahre allerdings ein ähnliches Setup, mit dem Unterschied, dass ich sämtliche Geräte im IoT-Netz voneinander isoliere und nur über einen Proxy und VPN ins Internet lasse. Notwendige Ports zwischen den Geräten werden explizit freigeschaltet. Gerade, wenn man die NAS eben auch als IoT-Gerät betrachtet (was sie je nach Nutzung ja leider auch ist) und diese zugleich noch ungeschützt im LAN steht, halte ich einen Switch fürs IoT-Netz für keine gute Idee.
    Im Endeffekt musst Du Dir doch immer vor Augen halten, dass mal ein IoT-Gerät kompromittiert werden könnte. Dann stellt sich die Frage, was damit angerichtet werden könnte, bzw. was Du gegen eine weitergehende Kompromittierung vorgesehen hast. Wenn jedes Gerät nur Uplink hat und nur notwendige Dienste bzw. Ports frei sind, schlafe ich deutlich ruhiger...
    Die Firewall der DS ist ein Schritt in die richtige Richtung, aber wie gesagt, eigentlich gehören IoT-Geräte voneinander isoliert.
    DS916+ 8GB RAM Basisvolumes mit Replikation zu DS218+ | Virtual DSM | DS211j | DSM 6.1

  5. #5
    Anwender
    Registriert seit
    28.03.2010
    Beiträge
    342

    Standard

    Zitat Zitat von whitbread Beitrag anzeigen
    eigentlich gehören IoT-Geräte voneinander isoliert.
    Da stimme ich dir 100% zu.

    Problem ist halt nur wenn man seine DS auch für die Surveillance Station nutzen möchte. Die IP-Kameras hängen im IoT Netz und sind gegen das Internet komplett gesperrt. Aber um mit der Surveillance Station zusammen arbeiten zu können, müssen sie die DS916+ erreichen können.

    Ich könnte höchstens meine alte DS412+ in IoT Netz hängen und rein für die Surveillance-Station nutzen. Irgendwie ist sie mir dazu zu schade, zumal ich mir dann ne andere Backuplösung für die DS916+ anschaffen müsste. Und es würde halt noch ein Gerät dauernd Strom verbrauchen.

    Wie man es dreht und wendet, einen Frosch muss man schlucken.
    DS916+ 8GB RAM, 4x3TB WD Red, SHR, btrfs ; DS412+ (Backup NAS) 1GB RAM, 4x1,5TB WD Green, SHR, btrfs
    Kein Backup, kein Mitleid

  6. #6
    Anwender
    Registriert seit
    24.01.2012
    Beiträge
    1.011

    Standard

    Naja - der Frosch nennt sich Router und kostet um die 60€ ...

    Offtopic:
    Ja die gute alte DS412+ - was war ich sauer, als ich die verkauft hatte und dann der Intel-Bug kam!
    Aber im Endeffekt bekommst Du heute eine DS218+ dafür - doch kein so schlechter Tausch.
    DS916+ 8GB RAM Basisvolumes mit Replikation zu DS218+ | Virtual DSM | DS211j | DSM 6.1

  7. #7
    Anwender
    Registriert seit
    23.01.2012
    Beiträge
    1.599

    Standard

    Zitat Zitat von tufkabb Beitrag anzeigen
    Aber um mit der Surveillance Station zusammen arbeiten zu können, müssen sie die DS916+ erreichen können.
    Sorry, aber das ist einfach nur "falsch". Die Surveillance-Station braucht Zugriff auf die Cams, nicht die Cams auf die Surveillance-Station. Kurzum, nur aus dem LAN kann eine Verbindung zu den IoT-Geräten aufgebaut werden, nicht andersrum. Somit kann die Internersperre weiterhin bestehen bleiben, das IoT-Netz darf ebenso wenig ins LAN, aber das LAN darf ins Internet und ins IoT-Netz. So würde ich das zumindestens gestalten. Je nach Gerätschaften ggf. noch eine Trennung der Geräte untereinander (wie whitbread schon anmerkte).

  8. #8
    Anwender
    Registriert seit
    09.11.2016
    Beiträge
    1.015

    Standard

    In einem "vernünftigen" Router kann man die berechtigten Geräte, MAC, IP und auch Anwendungen derart genau spezifizieren, dass sich auch die entsprechenden Freigaben in der Firewall extrem detailliert einrichten lassen. Wer das nicht kennt weiss auch nicht welche Möglichkeiten man zur Verfügung hätte.
    Das ganze noch durch verschiedene VLANs getrennt und man hat ein recht sicheres Konstrukt.
    So nett der Ubiquiti auch ist, da ist er schlicht überfordert.
    • RS815RP+ (DSM 6.2) * Bintec3002 * Fritzbox7590 (VOIP) * APC Smart-UPS 1500RM * 2xNetgear Switch 24+2 Port * Ubiquiti Cloud Key + 2x Unifi AC PRO
    • DS916+ (DSM 6.2) * Draytek Vigor130 + Vigor2960 * Fritzbox 7490 (VOIP) * Eaton Ellipse ECO800
    • DS418play (DSM 6.2) * Fritzbox 6490C * FritzBox 7490 * Ubiquiti UniFi US-8-60W

  9. #9
    Anwender
    Registriert seit
    28.03.2010
    Beiträge
    342

    Standard

    Zitat Zitat von blurrrr Beitrag anzeigen
    Sorry, aber das ist einfach nur "falsch". Die Surveillance-Station braucht Zugriff auf die Cams, nicht die Cams auf die Surveillance-Station.
    Danke für den Hinweis, das war dann ein Denkfehler von mir. Damit wäre ja ein Teil meines Problems schon gelöst, denn vom privaten LAN, in dem die DS916 steht, habe ich Zugriff auf das IoT Lan.
    DS916+ 8GB RAM, 4x3TB WD Red, SHR, btrfs ; DS412+ (Backup NAS) 1GB RAM, 4x1,5TB WD Green, SHR, btrfs
    Kein Backup, kein Mitleid

  10. #10
    Anwender
    Registriert seit
    28.03.2010
    Beiträge
    342

    Standard

    Zitat Zitat von NSFH Beitrag anzeigen
    In einem "vernünftigen" Router kann man die berechtigten Geräte, MAC, IP und auch Anwendungen derart genau spezifizieren, dass sich auch die entsprechenden Freigaben in der Firewall extrem detailliert einrichten lassen.
    Kannst du da was bezahlbares für Privatleute empfehlen?

    Zitat Zitat von NSFH Beitrag anzeigen
    So nett der Ubiquiti auch ist, da ist er schlicht überfordert.
    Naja ganz so dumm ist der kleine EdgerouterX nicht https://abload.de/img/er1dmcry.png. Da ist schon einiges möglich (ok PFSense wird mehr können). VLANs kann der ERX auch und VPN ebenso. Bei dem Preis von ca. 50€ eigentlich ideal für Homenetze. Er hat meine Fritzbox als Router im Heimnetz ersetzt, und hängt hinter einem Telekom Hybridrouter. Die Fritte ist ja leider nicht am Hybrid Anschluß der Telekom so recht brauchbar.
    Geändert von tufkabb (18.09.2018 um 10:38 Uhr)
    DS916+ 8GB RAM, 4x3TB WD Red, SHR, btrfs ; DS412+ (Backup NAS) 1GB RAM, 4x1,5TB WD Green, SHR, btrfs
    Kein Backup, kein Mitleid

Seite 1 von 4 123 ... LetzteLetzte

Ähnliche Themen

  1. Verbindung zwischen zwei lokal getrennten NAS per HyperBackup schlägt fehl
    Von independence2206 im Forum Netzwerkkonfiguration
    Antworten: 4
    Letzter Beitrag: 13.03.2017, 10:19
  2. Ds 112+ mit 2 getrennten Netzwerken, Wie?
    Von hollywoodmen im Forum Installation und Konfiguration allgemein
    Antworten: 5
    Letzter Beitrag: 27.06.2016, 08:21
  3. DS-212+ in zwei Netzwerken
    Von hansmeyer1960 im Forum Geräte der +-Serie
    Antworten: 8
    Letzter Beitrag: 11.02.2012, 09:32
  4. Ein NAS in zwei (2) Netzwerken (DS1511+)
    Von lavcadio im Forum Kaufberatung - Fragen vor dem Kauf
    Antworten: 3
    Letzter Beitrag: 06.05.2011, 11:25

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •