Netzwerkaufbau mit Synology, auf der verschiedene Container laufen sollen

Hallo zusammen,

da ich mir eine Synology zugelegt habe, ich dort auch den HomeAssistant (und ggf. noch andere Container) laufen lassen möchte, bin ich mir unsicher, wie ich das im Netzwerk organisiere. Wohin packe ich die Synology?

Derzeit habe ich folgende VLANs eingerichtet:

• default (Nur die Unifi-Devices)
• Ein Netz für Geräte mit statischer / fixierter IP (*HIER DACHTE ICH WÄRE DER PASSENDE ORT FÜR DIE SYNOLOGY*)
• ein Netz für IoT-Geräte
• natürlich ein Gastnetz
• eines ist für das Thema Surveillance vorgesehen
• und in einem weiteren hängt alles rund um TV

Den meisten Respekt habe ich vor dem Thema Firewall, da ich eine solche zuletzt vor gefühlt 10 Jahren in den Fingern hatte. Deshalb habe ich zum Schutz bisher nur die Netztrennung folgender Netze aktiviert: IoT, Gast, Surveillance, TV.

Vielen Dank schon mal für eure Hilfe

der Newbie

Zitat von sebcodes

Moin, das Netz was du dir ausgesucht hast ist schon mal ganz gut.

Wichtig ist zu wissen dass der Haken "Isoliertes Netzwerk" nur das Netz von anderen trennt, nicht andersrum, (also Netz A kann nicht auf andere zugreifen, Netz B-Z kann aber auf Netz A) persönlich finde ich die Option unnötig. Ich würde generell die Kommunikation per Firewall Regeln trennen und dann einzeln aufmachen, damit der Sinn von VLAN's auch da ist.

Hierzu gibt es 2 gute Wiki Einträge, schau was dir besser passt:

Firewall-Regeln 2.0 by defcon

Firewall-Regeln by Naichbindas

Alles anzeigen

OKaaayy - Der Haken "isoliertes Netzwerk" legt nicht gerade nahe, dass nur der Eingang ins Netz gesperrt, der Ausgang aber erlaubt ist. Wer bitte versteht das unter einem isolierten Netzwerk?

Danke für Deine Info, dann sehe ich das genau wie Du: Das kann man sich schenken!

Dann muss ich also doch ran an die Firewall, naja, war vorherzusehen ...

Zitat von Networker

Deine Synology sollte mit VLANs umgehen können (falls nicht: direkt zurück zum Händler ). Es müsste demnach möglich sein, das Gerät selbst (Web-Management und SMB-Dienst) in einem anderen VLAN zu betreiben als die Apps wie Dein Homeassistant, die darauf laufen.

Genau deswegen bin ich hier im Forum angemeldet - diese Aussage verstehe ich Null! Nada!

Ich hänge also meine Synology ins normale Netz, aktiviere dort SMB, NFS und was man so an Zugriffsprotokollen braucht (Beispielsweise VLAN 100)

Dann richte ich Container mit dem Homeassistant ein, und dieser soll dann im Netz IoT (VLAN 110) laufen? Ähm, wie geht dass denn?

Zitat von Networker

Du musst als Grundkonzept verstehen, dass die Arbeit mit VLANs zunächst mal bedeutet, verschiedene Subnetze gleichzeitig über ein und dasselbe Kabel zu transportieren.

Wenn Du Dein NAS im Standard-Netz betreiben willst, aber eine Anwendung darauf ins IOT-Netz soll, musst Du dem Switchport, an dem das NAS hängt (mindestens) diese beiden VLANs zuweisen.

Das NAS "empfängt" die Infos für alle VLANs auf ihrem Kabel und kann diese entsprechend weiterverarbeiten.

Wie es konkret innerhalb der Synology abläuft, kann ich Dir leider nicht sagen, ich arbeite damit nicht. Es gibt hier aber genügend Wissen dazu bei anderen im Forum.

Alles anzeigen

Die Access-Points von Unifi hängen an einem Switch-Port und sind in der Lage verschiedene WLAN-Netze auszugeben. Ist das das gleiche Prinzip?

Wäre also ein Access-Point in der WLAN-Ausgabe beschränkt, wenn ich an seinem Port am Switch ein bestimmtes Netz blocken würde?

Zitat von Networker

Ja, richtig. Jedes WLAN basiert auf einem "Kabelnetz" und ein AP kann nur diejenigen WLANs aussenden, deren Kabelnetze ihm über seinen Switchport zugewiesen werden.

Top! Wieder was gelernt!

Somit muss ich also nur den Port, an dem die Synology hängt, für jedes Netz freischalten, welches Informationen für das NAS bereitstellt. Danke