Beiträge von V-Reacher

Zitat von Tomcat

Das ist natürlich auch ein Super-GAU für jede Firewall, die braucht eine ordentliche Administration und vor allem Dokumentation. Basteln ist da eher ein Sicherheitsrisiko.
Wobei ich von einer Virtualisierung bei ner Firewall eher absehen würde, die gehört auf eigene Hardware VOR das eigentlich Netzwerk und nicht mitten rein.

Die OpnSense war/ist ja direkt nach der fb01 und netzwerktechnisch vor dem hyper-v01, auch wenn sie auf dem hyper-v läuft.

Auch deswegen, habe ich mir ja den UCG-Ultra gegönnt. In Verbindung mit traeffik, authentik und anderen Mechanismen reichen die dortigen Security Feature vollkommen aus um meinen Bedarf abzudecken.

Zitat von gierig

Nein das Stimmt nicht. Was er nicht kann ist eine Untersumme an VLAN tagged auf den port ausgeben.

Also ein Port Kann entweder alles (Default als natives, rest tagged) oder ein Spezifisches VLAN als Natives

dann aber keine anderen als tagged.

Ah okay. Danke für die Klarstellung.

Ich denke ich werde erstmal mit den Fritten und Zyxeln starten und dann nach und nach einzelne Switche ersetzen.

Beim Modem bin ich noch unschlüssig welches ich bestelle, aber es wird mit Sicherheit eines werden (müssen).

Alternativ müsste ich wie jetzt auch schon mit dem doppelten NAT leben. Da hatte ich in der Vergangenheit immer mal wieder Herausforderungen mit Traeffik und Diensten aus der DMZ, so dass ich mit zusätzlichem S bzw. DNAT arbeiten musste, das wollte ich mir eigentlich in Zukunft ersparen.

Möglicherweise lag es aber auch an der völlig verbastelten OpnSense, diese wurde quasi immer nur geflickt, damit Dinge gehen, aber nicht wirklich gepflegt.

Zitat von gierig

Default sind sie sogar als Modem Konfiguriert. Das die auch als L3 Router dienen können ist da eher als schmückendes Beiwerk

(machen die aber auch ganz gut, kann als BCP/DARP dienen)

Na ob ne Preisvergleich als Technische Information Quelle dienen kann...

Den Zyxel kram kenn ich so Garnich (das Letzte mal Zyxel waren Analoge Modems, die waren gut)

Die Drytek gerate waren bisher immer Unauffällig und machten was sie sollen.

aber ja, würde alle Fritz!Boxen wegwerfen (ja ja eine als TK Anlage als Client)

und dafür eher kleine 5 Port Unifi FlexMini (die sich auch über POE versorgen lassen)

als "lokale access Switch" benutzen. Einwahl die Uinfi Kiste machen lassen und

dafür mit nen Drytek Modem holen. ggf in schritten...

Alles anzeigen

Okay, danke für die Info. Ich bin mit Zyxel bisher sehr gut gefahren vom Preis-Leistungsverhältnis.

Zumindest was die Switche angeht. Die Infos auf Geizhals sind meistens sehr akkurat.

Laut den Techspecs auf ui.com und geizhals können die FlexMini, kein VLAN. Ist das so?

Edit: Ein DrayTek 177 kann ich nirgends finden. Von welchem Hersteller ist dieses Gerät?

Zitat von Networker

Dann muss das Gerät selbst auf jeden Fall an einen untagged Port.

Soll hier eine Frage drin stecken?

Vectoring wird in Deutschland für alle Kupfer-basierten Internetanschlüsse >50 Mbit/s Downstream benutzt.

Alle aktuellen (VSDL-)Fritzboxen und Draytek Vigors beherrschen Vectoring.

Ja, die Fritte fürs VOIP und als Switch muss ja ebenfalls untagged angeschlossen werden.

Wie gesagt habe ich kaum schimmer und VDSL2-Supervectoring 35b können laut gh.de nur drei Modems:

VMG4005-B50A-EU01V

VMG3006-D70A-DE01V1F

Allnet ALL-BM100VDSL2

Die DrayTek Geräte werden dort als Router mit Modem geführt. Aber genau das soll/brauch ich doch nicht aufbauen.

Oder können die "nur" als Modem betrieben werden?

Welches dieser drei Geräte würdet ihr empfehlen? BZw. habt ihr eventuell schon praktische Erfahrung mit?

Produktvergleich DrayTek Vigor167 (V167), ZyXEL VMG4005-B50A (VMG4005-B50A-EU01V), ZyXEL VMG3006-D70A (VMG3006-D70A-DE01V1F) Geizhals Deutschland

Zitat von gierig

In Advance Network "101" werden die alte weise Männer mir Prof Titel sagen das du eine Anständige DMZ

nur aufbauen kann wenn dies sowohl von Internet also auch von Internen LAN geschützt ist.

Klassischer Aufbau mit 2 Firewalls ist nicht unüblich. Damit benötigst du eine Firewall von Internet in die DMZ

und eine Firewall con der DMZ in Interne LAN. Einige Zertifizierung im PII/PCI/Zahlungs-Bereich wollen das auch gerne so

sehen natürlich mit zertifizierter dedizierte hardware.

Dem Rest der Welt lang ne FW mit mehreren Ports und einem Regelnsatz und dem HeimUser

der DMZ Port seines 4 Port Switch Routeers

Alles anzeigen

Ja, wobei die beiden Firewalls am besten noch von unterschiedlichen Herstellern sein.

Das war aber nicht der Grund, ich habe das mal für einen Kunden Test benötigt und nie wieder abgebaut. Wobei es schon charmant war, dass ich die eine Firewall neu starten konnte und die andere den Traffic dennoch geroutet hat.

Heißt ich hatte keine bzw. eine deutlich geringere Downtime.

Habe Bilder hinzugefügt.

Networker und gierig:

Danke für das Feedback

Ich hatte gehofft, durch die zwei bereits vorhandenen FBs um ein reines Modem drumherum zu kommen.

Fritzbox als Modem benutzen - Alternative VDSL Modem Fritzbox (emil.network) - das habe ich gefunden, geht das nicht mehr?

Der Asus EA-AC87 unterstützt ebenfalls kein V-LAN, aber dort sollen nur private Geräte (VLAN 1) ran.

Die beiden (virtuellen) OpnSense, werden sterben und gegen das eine UCG-Ultra getauscht.

Laut gh.de können drei Produkte VDSL2-Vectoring, was ich wenn die Infos aus der FB richtig lese benötige:

Verbindungstyp: VDSL2 35b G.Vector

Hallo zusammen,

zunächst einmal habe ich mir einige Artikel zur Thematik Fritz!Box XY und Unifi Router durchgelesen, verstehe aber glaube ich nicht zu 100% wie ich es realisieren muss.

Daher würde ich hier gerne zusammenfassen, was ich verstanden habe und dann auch gerne Feedback erhalten.

Ich nutze das alles sowohl geschäftlich als auch Privat

Folgende Komponenten sind schon vorhanden bzw. befinden sich im Zulauf:

Die Komponenten sind momentan wie folgt verkabelt:

TAE VDSL (1und1) => Fritz!Box 7590 => Hyper-V Host an WAN

Der Hyper-V Host hat ingesamt 5 Netzwerkkarten, welche alle als Hyper-V Switche ohne VLAN konfiguriert sind und über die virtuelle OpnSense Weitergeleitet werden, diese macht auch DHCP per KEA für das LAN, alle anderen Netze haben feste IPs, bzw. einen eigenen DHCP über den DC01 im LAB.

Die folgenden Netze sind als Hyper-V Switche konfiguriert und liegen als virtuelle NICs in der fw01 an:

WAN 192.168.120.0/24 (no shared use)

MGMT 192.168.100.0/24 (shared use) (Zugang zum Hyper-V, CARP/PFSync/KEA-Replication)

LAN 192.168.101.0/24 (no shared use)

LAB 192.168.200.0/24 (no shared use)

DMZ 192.168.222.0/24 (no shared use)

Die OpnSense ist dann am GS1900-24E angeschlossen, welcher die Verteilung in die einzelnen Räume übernimmt.

Dort sind die Ports wie folgt belegt:

An der Fritz!Box im Buero hängen aktuell unterschiedliche Geräte, wie Notobooks, Desktops, einigen davon würden auf den GS1200-8 wandern, da die Fritte ja kein VLAN unterstützt.

Später soll es so sein, dass sowohl der GS1900 als auch der GS1200 mit VLANs, welche über die UCG verteilt werden versorgt werden.

Die VLANs sollen wie folgt konfiguriert werden:

Das Client-LAN muss ich denke nicht weiter erklären, dieses soll für die diversen privaten Geräte genutzt werden und quasi ohne VLAN genutzt werden.

Im Prod-LAN sollen meine Arbeitsgeräte hängen, sprich Firmenrechner, Firmentelefon => diese könnten zur Not auch ins Client-LAN, falls meine Idee aus quantitativen Gründen nicht aufgehen sollte.

In der Labor Umgebung sollen zum einen Geräte von Kunden hängen mit denen ich Tests oder Szenarios nachstellen muss oder auch Vorab-Konfigurationen durchführe => diese könnten zur Not auch ins Demo-LAN, falls meine Idee aus quantitativen Gründen nicht aufgehen sollte.

In der DMZ sollen Dienste sowohl auf dem Hyper-Host als dem Unraid Server beheimatet sein, welche ich nach außen stellen möchte oder muss, wie Dyn-DNS Client, Entra ID Connect, Traeffik, Authentik, der Technitium DNS Server über den ich RFC2136 Anfragen beantworten möchte um Lets Encrypt Zertifikate für interne Hosts/Dienste zu erzeugen.

In der Demo Umgebung sollen ein paar Clients und, Server, zur Verfügung gestellt werden, welche ich für Kunden-Demos im Client Management Umfeld (also Quest KACE SMA, Microsoft Intune, etc.) benötige.

Die Gäste-Umgebung soll ausschließlich ein Gäste-WLAN bereitstellen, => diese könnten zur Not auch als isolated Clients ins Client-LAN, falls meine Idee aus quantitativen Gründen nicht aufgehen sollte.

Nun zu meinen Herausforderungen:

Zum einen fürchte ich, dass meine oben genannte Idee nicht aufgeht, weil der UCG-Ultra ja nur vier LAN-Ports hat, sowie ich es verstanden ich mit meinen Switchen (beide "nur" Layer 2) pro Kabel nur ein VLAN taggen kann. Sprich ich kann eigentlich nur insgesamt vier VLANs verwenden/verteilen (Dies wären dann 1, 222, 244 und noch eines, wobei ich vermutlich 266 nehmen würde). Korrekt?

Kann ich überhaupt mit den beiden Fritzboxen doppeltes NAT verhindern?

Meine Idee ist wie erwähnt die 7590 als Modem zu nutzen und dort dann die UCG-Ultra dran zuhängen, welche die VLANs auf dem GS1900 verteilt, welche dann vom GS1200 aufgenommen werden.

Die Port Konfig auf dem GS1900 würde dann wie folgt aussehen:

An der Fritz!Box 7590 AX würde ich dann die SIP Einwahl zu 1und1 konfigurieren und das DECT bereitstellen, sowie Geräte, welche im privaten LAN sind anschließen.

Den GS1200 würde ich wie folgt konfigurieren:

So soll es am Ende aussehen:

Kann man das so überhaupt bauen? Oder habe ich irgendwo einen Denkfehler. Ich bin zwar durch meine Arbeit an sich IT-Affin, aber beim Thema Routing/Switching bin ich leider schon immer "überfordert" gewesen.

VLANs kenn ich auch nur aus Sicht eines Nutzers, aber noch nie als Admin.

Vielen Dank fürs lesen, ist dann doch sehr lang geworden, aber ich denke je ausführlicher desto sinnvoller wird euer Input. Schon mal vielen Dank im Voraus.