2
Hilfe bei Netzwerk Konzipierung mit DMZ, VMs etc
Hallo zusammen,
ich plane ein kleines privates Projekt. Folgendes schwebt mir vor:
-Router: Fritzbox 7490 mit 4 Port GBit Switch. Wird noch mit Freetz gepatcht werden müssen für den VLAN Tagging und DMZ Support
-Internes LAN/W-LAN: Da sollen alle internen Geräte rein wie Drucker, Mac, PCs, Mobilgeräte, NAS.
-Hypervisor (Rechner z.B. mit Proxmox o.ä. (KVM basiert)
-Auf dem Hypervisor sollen 3 VMs laufen. Die Management Konsole des Hypervisors soll nur im internen LAN erreichbar sein.
-Die drei VMs sollen Docker Container ausführen. Wobei zwei VMs zur Verwaltung der Docker Container dienen (z.B. mittels Rancher). Die Verwaltungsoberfläche für die Container soll ebenfalls nur intern erreichbar sein.
-Eine der drei VMs soll in einem Docker Container Owncloud bereitstellen und zwar auch nach außen hin (heißt über Internet erreichbar).
Mir ist noch nicht ganz klar wie ich das Netzwerk aufbauen muss, um eine halbwegs sichere Konfiguration hin zu bekommen.
VLAN und DMZ sind mir schon ein Begriff aber wie spielt das alles in meinem Fall am Besten zusammen?
Ich hoffe es ist klar was ich vorhabe und jemand kann mir einen Schubs in die richtige Richtung geben.
Viele Grüße
Schmidtskatz
ich plane ein kleines privates Projekt. Folgendes schwebt mir vor:
-Router: Fritzbox 7490 mit 4 Port GBit Switch. Wird noch mit Freetz gepatcht werden müssen für den VLAN Tagging und DMZ Support
-Internes LAN/W-LAN: Da sollen alle internen Geräte rein wie Drucker, Mac, PCs, Mobilgeräte, NAS.
-Hypervisor (Rechner z.B. mit Proxmox o.ä. (KVM basiert)
-Auf dem Hypervisor sollen 3 VMs laufen. Die Management Konsole des Hypervisors soll nur im internen LAN erreichbar sein.
-Die drei VMs sollen Docker Container ausführen. Wobei zwei VMs zur Verwaltung der Docker Container dienen (z.B. mittels Rancher). Die Verwaltungsoberfläche für die Container soll ebenfalls nur intern erreichbar sein.
-Eine der drei VMs soll in einem Docker Container Owncloud bereitstellen und zwar auch nach außen hin (heißt über Internet erreichbar).
Mir ist noch nicht ganz klar wie ich das Netzwerk aufbauen muss, um eine halbwegs sichere Konfiguration hin zu bekommen.
VLAN und DMZ sind mir schon ein Begriff aber wie spielt das alles in meinem Fall am Besten zusammen?
Ich hoffe es ist klar was ich vorhabe und jemand kann mir einen Schubs in die richtige Richtung geben.
Viele Grüße
Schmidtskatz
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 378235
Url: https://administrator.de/contentid/378235
Printed on: April 24, 2024 at 09:04 o'clock
2 Comments
Latest comment
Grundsätzlich soll die DMZ ja eine Barriere sein zwischen der Außenwelt und deinem internen Netz.
Alles was vom Internet aus erreichbar sein soll kommt in die DMZ.
Ist bei dir also die Owncloud VM.
Der Rest kommt alles in das interne Netz. Denn es soll ja keines der Geräte vom Internet erreichbar sein.
Für die innere Firewall (DMZ > Intern) machst du dir dann Firewallregeln von der IP von der Owncloud zum internen Netz für die Ports die du benötigst. Somit kann deine Owncloud und nur deine Owncloud mit Intern kommunizieren.
Wenn sich jemand in die DMZ einklinkt (physikalisch) hätte er dann immer noch keinen Zugriff auf dein internes Netz. (Außer es schafft jemand direkten Zugriff auf die Owncloud zu bekommen).
Für die äußere Firewall (DMZ > Internet) machst du dir dann Firewallregeln damit deine Owncloud für jedermann erreichbar ist (du willst ja von jeder öffentlichen IP aus zugreifen können. Also eine Any > Owncloud Regel für die Ports die du benötigst.
Das wars dann eigentlich schon.
Um das jetzt noch physikalisch zu trennen (weil es wohl dann alles über die Ports der Fritzbox läuft) bekommen alle Anschlüsse mit Geräten im Internen Netz das VLAN Tag 100 und alle Geräte in der DMZ das VLAN Tag 200.
Da hier VMs im Einsatz sind muss der Virual Switch des Hypervisor sowie die Fritzbox auf dem Port an den der Host angeschlossen ist natürlich beide VLAN Tags verarbeiten.
Alles was vom Internet aus erreichbar sein soll kommt in die DMZ.
Ist bei dir also die Owncloud VM.
Der Rest kommt alles in das interne Netz. Denn es soll ja keines der Geräte vom Internet erreichbar sein.
Für die innere Firewall (DMZ > Intern) machst du dir dann Firewallregeln von der IP von der Owncloud zum internen Netz für die Ports die du benötigst. Somit kann deine Owncloud und nur deine Owncloud mit Intern kommunizieren.
Wenn sich jemand in die DMZ einklinkt (physikalisch) hätte er dann immer noch keinen Zugriff auf dein internes Netz. (Außer es schafft jemand direkten Zugriff auf die Owncloud zu bekommen).
Für die äußere Firewall (DMZ > Internet) machst du dir dann Firewallregeln damit deine Owncloud für jedermann erreichbar ist (du willst ja von jeder öffentlichen IP aus zugreifen können. Also eine Any > Owncloud Regel für die Ports die du benötigst.
Das wars dann eigentlich schon.
Um das jetzt noch physikalisch zu trennen (weil es wohl dann alles über die Ports der Fritzbox läuft) bekommen alle Anschlüsse mit Geräten im Internen Netz das VLAN Tag 100 und alle Geräte in der DMZ das VLAN Tag 200.
Da hier VMs im Einsatz sind muss der Virual Switch des Hypervisor sowie die Fritzbox auf dem Port an den der Host angeschlossen ist natürlich beide VLAN Tags verarbeiten.
Hallo Bem0815,
vielen Dank für die Unterstützung. Genau diese Hilfestellung habe ich gebraucht um das grobe Vorgehen zu verstehen. Ich denke mit den Details komme ich dann allein weiter.
Vielen Dank für deine Mühe
Schmidtskatz
vielen Dank für die Unterstützung. Genau diese Hilfestellung habe ich gebraucht um das grobe Vorgehen zu verstehen. Ich denke mit den Details komme ich dann allein weiter.
Vielen Dank für deine Mühe
Schmidtskatz
