DS916+ in zwei getrennten Netzwerken

Status
Für weitere Antworten geschlossen.

tufkabb

Benutzer
Mitglied seit
28. Mrz 2010
Beiträge
383
Punkte für Reaktionen
6
Punkte
24
Hi, ich brauche mal einen Rat.
Mein Netzwerk zu Hause ist durch einen Ubiquiti EdgeRouterX in mehrere Subnetze aufgeteilt. Unter anderem in:

1) Privates Subnetz für alle Rechner/ Notebooks etc.
2) IoT Sub-Netz in dem Fernseher, Kameras etc hängen.

Das IoT Netz hat keinen Zugriff auf das Privat Netz, beide Netze habe Zugriff auf das Internet. Das ist alles im EdgeRouter geregelt und funktioniert soweit.

Nun möchte ich, dass beide Netze Zugriff auf die DS916+ haben und dort Daten ablegen und lesen können, in verschiedenen freigegebenen Ordnern. Die strikte Trennung der beiden Netze soll aber ansonsten erhalten bleiben. Dazu will ich die DS916+ mit je einem ihrer Netzwerkanschlüsse in eines der Subnetze hängen. Verschiedene User für den Zugriff auf die freigegebenen Ordner anlegen. Natürlich mit zwei verschiedenen IP Nummern Kreisen, aber ansonsten alles auf Standard, ohne DS-Firewall. Siehe angehängten Screenshot.

Es soll also kein Routing in der DS stattfinden. Funktioniert das so mit Standardeinstellungen der DS oder muss sonst noch was beachtet werden.
Netz1.jpg
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Das sollte einfach funktionieren. Ohne DS-Firewall steckt das Ding dann allerdings auch "nackt" im IoT-Netz. Mitunter ein 3. "shared" Netz, wo das LAN komplett und das IoT-Netz nur eingeschränkt Zugriff hat. Firewall-Regeln dann eben auf dem Router hinterlegen. Somit kann man auch besser filtern, welche der IoT-Geräte überhaupt mit welchen Diensten auf das NAS dürfen. Alternativ halt doch die DS-Firewall nutzen (dann eben nur auf dem Interface im IoT-Netzwerk).
 

tufkabb

Benutzer
Mitglied seit
28. Mrz 2010
Beiträge
383
Punkte für Reaktionen
6
Punkte
24
@blurrrr, danke fürs Feedback,

Alternativ halt doch die DS-Firewall nutzen (dann eben nur auf dem Interface im IoT-Netzwerk).

Auf der DS916+ sollen aus dem IoT Subnetz Daten von den Kameras (Surveillance Station) und aufgenommene TV-Filme vom Sat-Receiver gespeichert werden, sowie von den TVs (DLNA) gelesen werden können. Also müssten die entsprechenden Ports für das IoT-Ethernet Subnetz in der DS-Firewall freigegeben werden um den Zugriff auf den Rest einzugrenzen.

Als da wären:
DLNA 50001, 50002, 1900
Surveillance Station 19998, 19997, 554
CIFS 137, 138, 139, 445 (eventuell reicht hier 445 alleine)
Und alle restlichen Ports von IoT Subnetz sperren.

Muss ich mal testen per Try&Error, möglicherweise sind ja nicht alle Ports nötig

Den Zugriff aufs WAN fürs IoT Subnetz steuere ich in der EdgeRouter Firewall.
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Wenn man ehrlich ist, kann man sich das ganze IoT-Netz eigentlich sparen, wenn man die NAS dann eh' ungeschützt im LAN stehen hat.
Ich fahre allerdings ein ähnliches Setup, mit dem Unterschied, dass ich sämtliche Geräte im IoT-Netz voneinander isoliere und nur über einen Proxy und VPN ins Internet lasse. Notwendige Ports zwischen den Geräten werden explizit freigeschaltet. Gerade, wenn man die NAS eben auch als IoT-Gerät betrachtet (was sie je nach Nutzung ja leider auch ist) und diese zugleich noch ungeschützt im LAN steht, halte ich einen Switch fürs IoT-Netz für keine gute Idee.
Im Endeffekt musst Du Dir doch immer vor Augen halten, dass mal ein IoT-Gerät kompromittiert werden könnte. Dann stellt sich die Frage, was damit angerichtet werden könnte, bzw. was Du gegen eine weitergehende Kompromittierung vorgesehen hast. Wenn jedes Gerät nur Uplink hat und nur notwendige Dienste bzw. Ports frei sind, schlafe ich deutlich ruhiger...
Die Firewall der DS ist ein Schritt in die richtige Richtung, aber wie gesagt, eigentlich gehören IoT-Geräte voneinander isoliert.
 

tufkabb

Benutzer
Mitglied seit
28. Mrz 2010
Beiträge
383
Punkte für Reaktionen
6
Punkte
24
eigentlich gehören IoT-Geräte voneinander isoliert.

Da stimme ich dir 100% zu.

Problem ist halt nur wenn man seine DS auch für die Surveillance Station nutzen möchte. Die IP-Kameras hängen im IoT Netz und sind gegen das Internet komplett gesperrt. Aber um mit der Surveillance Station zusammen arbeiten zu können, müssen sie die DS916+ erreichen können.

Ich könnte höchstens meine alte DS412+ in IoT Netz hängen und rein für die Surveillance-Station nutzen. Irgendwie ist sie mir dazu zu schade, zumal ich mir dann ne andere Backuplösung für die DS916+ anschaffen müsste. Und es würde halt noch ein Gerät dauernd Strom verbrauchen.

Wie man es dreht und wendet, einen Frosch muss man schlucken.
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Naja - der Frosch nennt sich Router und kostet um die 60€ ...

Offtopic:
Ja die gute alte DS412+ - was war ich sauer, als ich die verkauft hatte und dann der Intel-Bug kam!
Aber im Endeffekt bekommst Du heute eine DS218+ dafür - doch kein so schlechter Tausch.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Aber um mit der Surveillance Station zusammen arbeiten zu können, müssen sie die DS916+ erreichen können.

Sorry, aber das ist einfach nur "falsch". Die Surveillance-Station braucht Zugriff auf die Cams, nicht die Cams auf die Surveillance-Station. Kurzum, nur aus dem LAN kann eine Verbindung zu den IoT-Geräten aufgebaut werden, nicht andersrum. Somit kann die Internersperre weiterhin bestehen bleiben, das IoT-Netz darf ebenso wenig ins LAN, aber das LAN darf ins Internet und ins IoT-Netz. So würde ich das zumindestens gestalten. Je nach Gerätschaften ggf. noch eine Trennung der Geräte untereinander (wie whitbread schon anmerkte).
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
In einem "vernünftigen" Router kann man die berechtigten Geräte, MAC, IP und auch Anwendungen derart genau spezifizieren, dass sich auch die entsprechenden Freigaben in der Firewall extrem detailliert einrichten lassen. Wer das nicht kennt weiss auch nicht welche Möglichkeiten man zur Verfügung hätte.
Das ganze noch durch verschiedene VLANs getrennt und man hat ein recht sicheres Konstrukt.
So nett der Ubiquiti auch ist, da ist er schlicht überfordert.
 

tufkabb

Benutzer
Mitglied seit
28. Mrz 2010
Beiträge
383
Punkte für Reaktionen
6
Punkte
24
Sorry, aber das ist einfach nur "falsch". Die Surveillance-Station braucht Zugriff auf die Cams, nicht die Cams auf die Surveillance-Station.

Danke für den Hinweis, das war dann ein Denkfehler von mir. Damit wäre ja ein Teil meines Problems schon gelöst, denn vom privaten LAN, in dem die DS916 steht, habe ich Zugriff auf das IoT Lan.
 

tufkabb

Benutzer
Mitglied seit
28. Mrz 2010
Beiträge
383
Punkte für Reaktionen
6
Punkte
24
In einem "vernünftigen" Router kann man die berechtigten Geräte, MAC, IP und auch Anwendungen derart genau spezifizieren, dass sich auch die entsprechenden Freigaben in der Firewall extrem detailliert einrichten lassen.

Kannst du da was bezahlbares für Privatleute empfehlen?

So nett der Ubiquiti auch ist, da ist er schlicht überfordert.

Naja ganz so dumm ist der kleine EdgerouterX nicht https://abload.de/img/er1dmcry.png. Da ist schon einiges möglich (ok PFSense wird mehr können). VLANs kann der ERX auch und VPN ebenso. Bei dem Preis von ca. 50€ eigentlich ideal für Homenetze. Er hat meine Fritzbox als Router im Heimnetz ersetzt, und hängt hinter einem Telekom Hybridrouter. Die Fritte ist ja leider nicht am Hybrid Anschluß der Telekom so recht brauchbar.
 
Zuletzt bearbeitet:

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Es gibt einige Firmen/Router, die da besser aufgestellt sind. Normaler Weise reicht die Uniquiti auch, vor allem für den Preis bietet er richtig viel.
In dem Moment wo man mehr möchte verlässt man auch den preislichen Bereich der Fritzboxen, egal wofür man sich entscheidet.
Meine Erfahrungen beschränken sich auf deine Erfordernisse bezogen auf nur 2 Geräte, Bintec und Draytek.
Zu Bintec würde ich eher nicht raten aber mit den Drayteks habe ich nur gute Erfahrungen gemacht (Dual-WAN Geräte).
Was die Teile können kannst du dir auch in der Live-Demo selbst ansehen. https://www.draytek.de/produktuebersicht.html
Der Support von denen ist jedenfalls 1A.
Netgear kann auch viel, hat meiner Meinung nach nur ein katastrophale, unübersichtliche GUI.
Vielleicht hat ja noch jemand anderes hier im Forum potente Tipps, Blurrr wird ja sicher wieder auf Sophos verweisen, was mir nicht so zugesagt hatte.
 

tufkabb

Benutzer
Mitglied seit
28. Mrz 2010
Beiträge
383
Punkte für Reaktionen
6
Punkte
24
Danke für den Tipp, ich werde mir die Geräte von Draytek anschauen.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Blurrr wird ja sicher wieder auf Sophos verweisen, was mir nicht so zugesagt hatte.

Erstens mal garnicht und zweitens sowieso schon mal überhaupt nicht... und drittens....warum?! *schnief* :p:D

Aber mal ernsthaft: Sophos UTM Home ist "kostenlos" für Heimanwender (aber auf interne 50 IPs beschränkt), bringt dafür aber "alles" an entsprechend verfügbaren (ansonsten bezahlten) Subscriptions mit. Ich sag ja nicht, dass es das Allheilmittel ist, sondern nur, dass es ggf. mal einen Blick wert ist. pfSense, OPNsense, IPcop und unzählige weitere haben nebst den großen Herstellern (wie z.B. Bintec, Draytec, Sophos, usw.) natürlich auch Ihre Daseinsberechtigung und ich persönlich komme da eigentlich immer zu einem Schluss: ruhig alles mal anschauen (in kleinen VMs z.B.) und sich dann entsprechend für etwas entscheiden (was auch gefällt). Bei NSFH ist es Bintec/Draytec, ich bin eher auf der Sophos-Typ, in diesem Sinne... schau Dich einfach mal ein bisschen um und such Dir etwas aus was gefällt und womit Du gut klar kommst :)
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Bei Mikrotik bekommst Du für 60€ einen aktuellen potenten Router - je nach Anforderungen kommst Du auch mit einem älteren Modell für die Hälfte hin.

Bei Sophos (habe ich auch im Einsatz) ist neben der zähen WebUI halt immer die Frage, auf welcher HW Du das laufen lassen willst. Ich habe noch eine alte Astaro-Kiste am Laufen, aber die tut mir vom Stromverbrauch her schon weh!
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Home-Version läuft aber (erstmal) nicht auf original-Hardware (ausser man fummelt da rum, was dann aber meist nur für die aktuelle Version hält). Früher ging es auch mal, indem man das erstmal "woanders" installiert hat und dann wieder die HDD in die originale Hardware eingebaut hat. Bei einem "zähen" Webinterface kann ich allerdings nicht mitreden.. gab es früher mal, aber derzeit... nicht, dass ich wüsste. Ich hab da auch noch so ein altes Ding (220er Astaro (die alten Gehäuse sehen auch einfach besser aus als diese weissen neuen :cool:)), da läuft aber eine pfSense drauf (um schon mal das gröbste wegzufiltern). Über Lautstärke und Stromverbrauch muss man sich da natürlich unterhalten :eek: Je nach Anforderungen kann man auch einfach selbst Hardware für eine Firewall kaufen (da gabs schon einige Beiträge zu hier im Forum, bei mir laufen sie auch teils virtualisiert). Bezüglich Microtik - waren die nicht letztens noch in den Schlagzeilen wegen irgendwas anfälligem mit ihrem RouterOS?
 

SynKlaus

Benutzer
Mitglied seit
14. Feb 2013
Beiträge
384
Punkte für Reaktionen
0
Punkte
16
Vielleicht kann ich mich hier auch mit reinhängen!? Ich habe im Prinzip die gleichen Anforderung wie @tufkabb stehe bloß noch am Anfang - Bevor ich mit der Konfiguration beginnen kann, muss ich erst mal Hardware anschaffen.
Bisher habe ich eine Fritz!Box, einen Fritz!Repeater und 2 unmanged 8-Port-Netgear-Switches. Direkt an der Fritz!Box hängt der 1. Switch und der 2. Switch hängt wiederum am ersten. Alle WLAN-Geräte hängen am Fritz!Repeater, welcher über eine LAN-Brücke mit der Fritz!Box verbunden ist.
Nun sollen 2 IP-Kameras und ein POE-Switch dazu kommen. In dem Zuge möchte ich auch die IoT-Geräte von meinen restlichen Geräten trennen und auch einige dieser Geräte in Ihren Internetrechten beschneiden.
Ich bin mir aktuell aber nicht so richtig im klaren, was ich nun genau kaufen soll. Die Fritz!Box würde ich erst mal behalten wollen, da darüber auch die DECT-Telefonie läuft - Ansonsten müsste diese mit etwas ersetzt werden, was ebenfalls DECT-fähig ist. An den Switches hänge ich aber nicht so. Hier macht es dann vielleicht Sinn, wenn es ein managed 24-Port-Switch wird, der POE unterstützt?
Alle WLAN-Geräte könnte ich dann aber nicht in eines der VLANs schieben - Oder doch?

Grüße.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Die Fritzboxen habe ich noch alle in Betrieb, aber aber nur für VOIP hinter dem Router. Als Modem taugen die Dinger nicht.
Ist die Fritz hinter dem Router geht auch Gastnetz nicht mehr, das sollte man wissen.
Was den eigentlichen Router angeht, ich würde raten immer einen ohne Modem zu kaufen, denn diese Schnittstelle lässt sich beliebig austauschen, aber das LAN dahinter bleibt davon immer unberührt.
Heisst also, wenn man auf meinen aktuellen Liebling Draytek geht benötigt man für VDSL einen Vigor130 und dahinter einen zB Dual WAN Router.
Ich habe in dieser Konfiguration über den 4-Port Switch des Routers 4 VLANs laufen für unterschiedliche Zwecke.
Wer in diesen VLANs was und wohin darf lässt sich über Ports, IP, App, Zeitfenster beleibig steuern. Die Firewall gibt da wirklich extrem viel her.
Ausserdem funktioniert Radius aus der Syno total genial mit SSL VPN des Routers. So einfach habe ich VPN und die Nutzerverwaltung noch nie eingerichtet. WLAN läuft natürlich auch darüber, incl Gäste-Netz.
Alles spricht vom iDomix empfohlenen Ubiquiti (habe ich auch in der Verwendung und ist natürlich preislich günstiger) aber Draytek toppt das funktionell noch.
 

SynKlaus

Benutzer
Mitglied seit
14. Feb 2013
Beiträge
384
Punkte für Reaktionen
0
Punkte
16
Das Modem an der Fritz!Box nutze ich auch nicht. Die Fritz!Box hängt am Glasfaser-Modem. Werde mir aber mal die Draytek-Switches ansehen.

Grüße.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Dann ist ja ein Gerät aus der Dual-WAN Klasse ideal für dich, ohne Modem direkt auf das Glasfasermodem.
Die Fritz kommt dann mit LAN Port1 an den Router und dient nur noch als Telefonanlage und wenn man möchte für WLAN. Nur Gäste LAN/WLAN kann dann die Fritz nicht mehr!
Diese Konfiguration habe ich schon mehrfach laufen und klappt super.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Jop, dito. Als reine Mini-TK-Anlage oder teils sogar nur als reiner AB und Faxempfänger geht das schon klar. Das schöne bei der Trennung des Einwahlgerätes (je nach Medium) ist eben, dass man so ziemlich frei in der Wahl seines Routers/Firewall ist. Da dürfte dann wirklich für jeden was dabei sein :eek:
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat