Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Netzwerktechnik Forum

Forum Netzwerktechnik (Archiv)

Kategorie Netzwerktechnik - Forum Netzwerke einrichten

 
monowall - Netzwerkaufbau und Switch-Entscheidung

geschrieben am 09.10.2009 um 22:19 von Anton

Tach zusammen,

vorweg Ich habe (nur noch) wenig Ahnung von Netzwerken. Daher bitte Verständnis auch bei eventuell banalen Fragen. -)

Ich beschäftige mich seit Kurzem mit dem Aufbau eines Haus-internen Netzwerk, wo ein monowall-Router (wichtig ist hier die Voucher-Funktionalität) seinem Dienst verrichten soll.

Folgenden Aufbau habe ich mir vorgestellt
ISP <-> DSL-Modem <-> monowall <-> Switch <-> 8 User

monowall
- DSL-Zugangsdaten werden hier hinterlegt (PPPoE) - ok
- DHCP aktiviert - ok
- von außen (remote) erreichbar - Wie??

Switch (12 Ports)
- Wichtig an dieser Stelle ist, dass die am Switch angeschlossenen PCs/Notebooks sich untereinander nicht sehen dürfen. Dennoch sollen alle via dem monowall-Router (nach Voucher-Eingabe) ins Internet.

--> Wie setze ich das um und was muss der Switch dafür können?

Mein Gedanke ist das mit V-LANs zu lösen. Dass ich quasi 8 V-LANs erzeuge und jeden PCs zusammen mit dem "WAN-Port", der zum Router führt, in ein V-LAN stecke. - Machbar?

Welchen Switch könnt Ihr mir dafür empfehlen?

Was muss ich bei der Firewall-Konfiguration beachten? Wenn möglich möchte ich File-Sharing unterbinden. Dafür muss ich doch lediglich die entsprechenden Ports blockieren, oder?

Habt Ihr sonst noch Hinweise/Tipps, damit das Netzwerk sicher ist, aber dennoch sauber läuft? - Jeder Hinweis ist willkommen!


Vielen Dank Euch im Voraus!
Gruß,
Anton
 

geschrieben am 13.10.2009 um 07:30 von Otaku19

damit du die einzelnen Clients voneinander am Switch via VLAns trennst gibts dann 2 Möglichkeiten damit alle zum monowall Router kommen:

1. du musst je VLAN auch eine physikalische Verbindunge zum Router machen -> 8 ! Interfaces am Router nur fürs LAN +1 WAN

2. Du baust einen trunk zwischen dem device auf dem monowall läuft, dann flutscht alles über ein Kabel. Dazu brauchst du eien Switch sowie für die monowall Kiste eien NIC die dot1q unterstützt

[3. private vlans bauen...das geht dann aber wohl etwas zu weit]

Filesharing ist halt so ne Sache, das kommt ganz auf das verwendete Protokoll oder die Anwendung an, keine Ahnung was monowall alles kann, aber hier müsste man auf Applikationsebene scannen (je nach traffic Aufkommenmehr oder weniger CPU lastig) und die Firewall müsste das "Verhalten" der Applikationen kennen...und sowas gibts eigentlich nur wenn man Scheinchen einwirft...viele Scheinchen und zwar regelmässig.

Ab dem Moment wo über erlaubte Dienste verschlüsselt übertragen wird ist dann sowieso der Ofen aus, da gibt nur mehr wenige Möglichkeiten da was zu tun (die wieerum mit vielen Scheinchen bezahlt werden müssen)

Je nachdem was du da vorhast solltest du dir über die Rechtslage im Klaren sein, da kann es evtl. den ein oder anderen stolperstein geben

zum remotethema:einfach auf den Seiten dazu schauen, da habe ich gleich mal was das sich m0n0wall CMI nennt gefunden, aber da das Ding ja immer noch ne Linux Kiste ist, gibts hier sicher auch SSH
 

geschrieben am 15.10.2009 um 00:01 von Anton

Hallo Otaku19,

richtig, ich möchte eigentlich nur ein Verbindungskabel zwischen monowall-Router und Switch haben. Also Dein Vorschlag #2.

Damit ich es verstehe Wie sähen die VLANs dann aus? Jeder Port am Switch muss in einem eigenen VLAN sein, und zwar immer mit dem Port, der rüber zum Router geht, oder?

Was sind private VLANs?


Danke wiedermal! -)
Anton
 

geschrieben am 15.10.2009 um 08:22 von Otaku19

du hättest dann 8 VLANS, je Anschluss einen. Die Ports Richtung User sind access ports, und eben in dem VLAN in dem du den User haben möchtest.

Der Port zum Router ist ein trunk port, darüber werden alle VLANs übertragen. Da es sich wohl um einen "normalen" internet Anschluss handelt und die Teilnehmer eh keine Daten untereinander übertragen können gibts auch nicht die Gefahr das dieser eine Link zum Router ein Bottleneck ergibt. Sprich, selbst mit einem 100MBit Switch ist man schon auf der sicheren Seite.

Je nach Anforderung wäre aber eine redundante Anbindung des Routers/FW zu überlegen, denn ein Link kann an vielen Dingen scheitern: NIC der FW hin, NIC vom Switch hin, Kabel hin. Also evtl gleich 2 NICs für die FW planen. Da Bandbreite eh schon massig vorhanden ist reicht dann ein failover setup.

private VLANS:
http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_25_see/configuration/guide/swpvlan.html
 

[ Dieses Thema im Live-Forum aufrufen ]

Sie befinden sich im Archiv des Forums.
Zum Forum

Archiv erstellt mit phpBB2HTML 0.1 - Foren in statisches HTML umwandeln © 2006 Mirko Kulpa

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 13.05.2019