Netzwerkaufbau mit Synology, auf der verschiedene Container laufen sollen

Willkommen im neuen Forum!
Wir freuen uns, euch hier begrüßen zu dürfen! Uns ist bewusst, dass viele Funktionen noch nicht vollständig verfügbar sind und dass es hier und da einige Fehler gibt. Seid versichert, dass wir daran arbeiten, diese Probleme nach und nach zu beheben.
Euer Feedback ist uns wichtig, also zögert nicht, uns eure Anmerkungen und Vorschläge mitzuteilen. Vielen Dank für eure Geduld und euer Verständnis!
Viel Spaß im Forum!

Feedback Thread
Changelog Thread
Design Feedback Thread

    Hallo zusammen,

    da ich mir eine Synology zugelegt habe, ich dort auch den HomeAssistant (und ggf. noch andere Container) laufen lassen möchte, bin ich mir unsicher, wie ich das im Netzwerk organisiere. Wohin packe ich die Synology?

    Derzeit habe ich folgende VLANs eingerichtet:

    • default (Nur die Unifi-Devices)
    • Ein Netz für Geräte mit statischer / fixierter IP (*HIER DACHTE ICH WÄRE DER PASSENDE ORT FÜR DIE SYNOLOGY*)
    • ein Netz für IoT-Geräte
    • natürlich ein Gastnetz
    • eines ist für das Thema Surveillance vorgesehen
    • und in einem weiteren hängt alles rund um TV

    Den meisten Respekt habe ich vor dem Thema Firewall, da ich eine solche zuletzt vor gefühlt 10 Jahren in den Fingern hatte. Deshalb habe ich zum Schutz bisher nur die Netztrennung folgender Netze aktiviert: IoT, Gast, Surveillance, TV.

    Vielen Dank schon mal für eure Hilfe

    der Newbie

    Moin, das Netz was du dir ausgesucht hast ist schon mal ganz gut.

    Wichtig ist zu wissen dass der Haken "Isoliertes Netzwerk" nur das Netz von anderen trennt, nicht andersrum, (also Netz A kann nicht auf andere zugreifen, Netz B-Z kann aber auf Netz A) persönlich finde ich die Option unnötig. Ich würde generell die Kommunikation per Firewall Regeln trennen und dann einzeln aufmachen, damit der Sinn von VLAN's auch da ist.

    Hierzu gibt es 2 gute Wiki Einträge, schau was dir besser passt:

    Firewall-Regeln 2.0 by defcon

    Firewall-Regeln by Naichbindas

    Mein Netzwerk mit Versionen

    Internet: Muenet Glasfaser mit 300↓ /150↑ @ UDM-PRO v4.0.19
    Switches: 1x USW-Aggregation v7.1.16 | 2x USW-Flex v7.1.16 | 1x USW-Flex-Mini v2.0.9 | 1x USW-24-Gen2 v7.1.16
    Accesspoints: 2x U6-Lite v6.6.77 | 1x UAP-LR | 1x U6-LR
    Protect: 2x UVC-G4-Bullet v4.71.149 | 1x UVC-G5-Bullet v4.71.149 | 1x UVC-G5-Turret-Ultra v4.71.149 | 1x UVC-G3-Flex v4.71.149
    Extras: 1x Switch Flex Utility (USW-Flex-Utility) | 1x FritzBox 7590 für Telefonie

    Network Version : v8.4.59

    Protect Version : 4.1.53

    Stand: 27.08.2024

    Server Hardware

    1x Dell PowerEdge R730 | 36 Cores | 768 GB DDR4 ECC Ram | Dual 10G | 16G SAN

    1x Dell PowerEdge R415 | 12 Cores | 64 GB DDR2 ECC Ram | Dual 1G

    1x Synology DiskStation SAN 4 TB

    2x Raspberry Pi 3B 1GB für Loadbalancer

    2x Raspberry Pi 5 8GB für Kubernetes Cluster

    2x Raspberry Pi 5 4GB für Kubernetes Cluster

    Quote from sebcodes

    Moin, das Netz was du dir ausgesucht hast ist schon mal ganz gut.

    Wichtig ist zu wissen dass der Haken "Isoliertes Netzwerk" nur das Netz von anderen trennt, nicht andersrum, (also Netz A kann nicht auf andere zugreifen, Netz B-Z kann aber auf Netz A) persönlich finde ich die Option unnötig. Ich würde generell die Kommunikation per Firewall Regeln trennen und dann einzeln aufmachen, damit der Sinn von VLAN's auch da ist.

    Hierzu gibt es 2 gute Wiki Einträge, schau was dir besser passt:

    Firewall-Regeln 2.0 by defcon

    Firewall-Regeln by Naichbindas

    OKaaayy - Der Haken "isoliertes Netzwerk" legt nicht gerade nahe, dass nur der Eingang ins Netz gesperrt, der Ausgang aber erlaubt ist. Wer bitte versteht das unter einem isolierten Netzwerk?

    Danke für Deine Info, dann sehe ich das genau wie Du: Das kann man sich schenken!

    Dann muss ich also doch ran an die Firewall, naja, war vorherzusehen ...

    Deine Synology sollte mit VLANs umgehen können (falls nicht: direkt zurück zum Händler

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    ). Es müsste demnach möglich sein, das Gerät selbst (Web-Management und SMB-Dienst) in einem anderen VLAN zu betreiben als die Apps wie Dein Homeassistant, die darauf laufen.

    Quote from Ubiquitsj

    OKaaayy - Der Haken "isoliertes Netzwerk" legt nicht gerade nahe, dass nur der Eingang ins Netz gesperrt, der Ausgang aber erlaubt ist. Wer bitte versteht das unter einem isolierten Netzwerk?

    Hier ist auch nochmal der Ausschnitt von der unifi angelegten Regel bei 2 Netzen die ich testweise isoliert habe, ist wohl für anwendungszwecke die ich nicht nachvollziehen kann

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    :

    Mein Netzwerk mit Versionen

    Internet: Muenet Glasfaser mit 300↓ /150↑ @ UDM-PRO v4.0.19
    Switches: 1x USW-Aggregation v7.1.16 | 2x USW-Flex v7.1.16 | 1x USW-Flex-Mini v2.0.9 | 1x USW-24-Gen2 v7.1.16
    Accesspoints: 2x U6-Lite v6.6.77 | 1x UAP-LR | 1x U6-LR
    Protect: 2x UVC-G4-Bullet v4.71.149 | 1x UVC-G5-Bullet v4.71.149 | 1x UVC-G5-Turret-Ultra v4.71.149 | 1x UVC-G3-Flex v4.71.149
    Extras: 1x Switch Flex Utility (USW-Flex-Utility) | 1x FritzBox 7590 für Telefonie

    Network Version : v8.4.59

    Protect Version : 4.1.53

    Stand: 27.08.2024

    Server Hardware

    1x Dell PowerEdge R730 | 36 Cores | 768 GB DDR4 ECC Ram | Dual 10G | 16G SAN

    1x Dell PowerEdge R415 | 12 Cores | 64 GB DDR2 ECC Ram | Dual 1G

    1x Synology DiskStation SAN 4 TB

    2x Raspberry Pi 3B 1GB für Loadbalancer

    2x Raspberry Pi 5 8GB für Kubernetes Cluster

    2x Raspberry Pi 5 4GB für Kubernetes Cluster

    Quote from Networker

    Deine Synology sollte mit VLANs umgehen können (falls nicht: direkt zurück zum Händler

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    ). Es müsste demnach möglich sein, das Gerät selbst (Web-Management und SMB-Dienst) in einem anderen VLAN zu betreiben als die Apps wie Dein Homeassistant, die darauf laufen.

    Genau deswegen bin ich hier im Forum angemeldet - diese Aussage verstehe ich Null! Nada!

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    Ich hänge also meine Synology ins normale Netz, aktiviere dort SMB, NFS und was man so an Zugriffsprotokollen braucht (Beispielsweise VLAN 100)

    Dann richte ich Container mit dem Homeassistant ein, und dieser soll dann im Netz IoT (VLAN 110) laufen? Ähm, wie geht dass denn?

    Du musst als Grundkonzept verstehen, dass die Arbeit mit VLANs zunächst mal bedeutet, verschiedene Subnetze gleichzeitig über ein und dasselbe Kabel zu transportieren.

    Wenn Du Dein NAS im Standard-Netz betreiben willst, aber eine Anwendung darauf ins IOT-Netz soll, musst Du dem Switchport, an dem das NAS hängt (mindestens) diese beiden VLANs zuweisen.

    Das NAS "empfängt" die Infos für alle VLANs auf ihrem Kabel und kann diese entsprechend weiterverarbeiten.

    Wie es konkret innerhalb der Synology abläuft, kann ich Dir leider nicht sagen, ich arbeite damit nicht. Es gibt hier aber genügend Wissen dazu bei anderen im Forum.

    Quote from Networker

    Du musst als Grundkonzept verstehen, dass die Arbeit mit VLANs zunächst mal bedeutet, verschiedene Subnetze gleichzeitig über ein und dasselbe Kabel zu transportieren.

    Wenn Du Dein NAS im Standard-Netz betreiben willst, aber eine Anwendung darauf ins IOT-Netz soll, musst Du dem Switchport, an dem das NAS hängt (mindestens) diese beiden VLANs zuweisen.

    Das NAS "empfängt" die Infos für alle VLANs auf ihrem Kabel und kann diese entsprechend weiterverarbeiten.

    Wie es konkret innerhalb der Synology abläuft, kann ich Dir leider nicht sagen, ich arbeite damit nicht. Es gibt hier aber genügend Wissen dazu bei anderen im Forum.

    Die Access-Points von Unifi hängen an einem Switch-Port und sind in der Lage verschiedene WLAN-Netze auszugeben. Ist das das gleiche Prinzip?

    Wäre also ein Access-Point in der WLAN-Ausgabe beschränkt, wenn ich an seinem Port am Switch ein bestimmtes Netz blocken würde?

    Quote from Networker

    Ja, richtig. Jedes WLAN basiert auf einem "Kabelnetz" und ein AP kann nur diejenigen WLANs aussenden, deren Kabelnetze ihm über seinen Switchport zugewiesen werden.

    Top! Wieder was gelernt!

    Somit muss ich also nur den Port, an dem die Synology hängt, für jedes Netz freischalten, welches Informationen für das NAS bereitstellt. Danke

    Nach zwei stressigen Monaten habe ich nun Zeit mich um mein eigenes Netz zu kümmern.

    Leider ist der Start nicht wie erwartet, oder anders ausgedrückt "so wie ich es verstanden habe funktioniert es leider nicht".

    Ich kann nämlich vom NAS aus die Sicherheitskamera nicht anpingen. Logge ich mich in die Synology ein und setze einen ping mit der Adresse der Kamera ab, so erhalte ich überhaupt keinen response!

    Ich skizziere daher mal meine Einstellungen:

    ** Sicherheitskamera **

    - hängt an Port 2:

    + natives VLAN = ID 113 (dieses Netzwerk ist isoliert)

    + "VLAN-Management mit Tag" = "Alle zulassen"

    ** Synology 2 **

    - hängt an Port 3:

    + natives VLAN = ID 110 (dieses Netzwerk ist NICHT isoliert)

    + "VLAN-Management mit Tag" = "Alle zulassen"

    Wie stelle ich das nun ein, dass ich von der Synology aus die Kamera erreichen kann?

    Hallo

    Erstmal welche Synology hast du? Hatt die mehrere LAN Schnittstellen dann eine Schnittstelle in das ander VLAN einbinden.

    Ansonsten wäre dann noch eine Firewallregelschreiben das aus dem einem VLAN auf das andere VLAN davon ein Gerät zugegriffen werden darf.

    Mann hat es nicht leicht, aber leicht hat es einen..

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.
    Quote from Naichbindas

    Hallo

    Erstmal welche Synology hast du? Hatt die mehrere LAN Schnittstellen dann eine Schnittstelle in das ander VLAN einbinden.

    Ansonsten wäre dann noch eine Firewallregelschreiben das aus dem einem VLAN auf das andere VLAN davon ein Gerät zugegriffen werden darf.

    Hi Naichbindas, leider hat die Syno nur eine LAN-Schnittstelle und die hängt im Standardnetz ID 110.

    Wie sähe das mit der Firewall aus?

    Quote from Naichbindas

    Das ist nicht schlimm. Du musst bei Quelle deine Cam auswählen und als Ziel dein NAS.....

    Zum eigenen Verständnis: Da das Netz der Kamera (ID 113) isoliert ist kann sie nicht antworten (kein ping response), da sie ja nicht in andere Netze sprechen darf. Um nun die Kommunikation von Kamera zur Synology zu ermöglichen erstelle ich eine "einfache Regel" mit ...

    ... Aktion = zulassen

    ... Quelle = Gerät Kamera

    ... Ziel = IP-Adresse der Synology (da ich hier kein Gerät auswählen kann)

    Ist das so richtig?

    Ja das ist richtig. Die Kamera muss das NAS ja auch erreichen können. Wichtig ist auch das in der Firewall des NAS dazu ales eingerichtet ist. Ich vermute du willst surveillance station nutzen oder?

    Mann hat es nicht leicht, aber leicht hat es einen..

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    Das mit der App ist eine andere Geschichte.

    Das hattest du bis jetzt auch nicht erwähnt aber auch nicht schlimm.

    Welche App meinst du denn? Die auf deinem Handy oder auf deinem PC?

    Mann hat es nicht leicht, aber leicht hat es einen..

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login