Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Netzwerk planen #13

Open
lnxu303 opened this issue Jan 13, 2024 · 1 comment
Open

Netzwerk planen #13

lnxu303 opened this issue Jan 13, 2024 · 1 comment
Assignees
@lnxu303 @recou

Comments

@lnxu303
Copy link

lnxu303 commented Jan 13, 2024

Use Cases

  1. 2.4G Wifi fuer Sensoren und alte Geraete (Zugriff auf internes Netzwerk) SSID1
  2. 5G Wifi fuer Admins (Zugriff auf internes Netzwerk) (per PSK oder RADIUS?) SSID2
  3. 5G Wifi fuer untrusted devices (= Gaeste, kein Zugriff auf internes Netzwerk, nur ausgehender Zugriff auf Internet) SSID3
  4. Internes LAN fuer Server, etc.(wie werden die Ports geschützt?)
  5. Zugriff aus internem LAN ins Internet (mit DNS Schutz oder freie Liebe/Internet?)
  6. Zugriff aus internem LAN per wireguard zu rumpl (Daten an InfluxDB schicken) ->S2SVPN
  7. Zugriff von extern auf interne Services (VMs, status.json, etc; momentan via port forwarding)

    wie? --noqqe

  8. Zugriff von extern auf internes Netzwerk (momentan via SSH und bastion host, auch via port forwarding)
  9. Wie Zugriff auf 3D Drucker?

Ziele

  1. Infrastruktur modernisieren
  2. Bestehende Funktionalitaet beibehalten
  3. Dinge nicht komplizierter machen als vorher
  4. Wenn moeglich, Dinge vereinfachen
  5. Wenn moeglich, Sicherheit erhoehen

Ideen und Gedanken

  1. Fritzbox mit OpenWRT flashen (wir haben noch ne Menge rumliegen)<- gilt nur für veralterte FB, mehr Mehrwert ggü. bestehendem OpenWRT Archer C7 Router, Thin Client mit OPNSense als Firewall, VPN Endpunkt und internem DNS/DHCP,
  2. ordentlicher Access Point ->OpenWRT oder kommerziell; Einzel-AP(s) oder mehrere über (virtuellen) Controller?
  3. neue Switches? Wieviele Ports werden benötigt? PoE? Wo verbauen (Lautstärke, Strombedarf)?
  4. Bastion Host noch notwendig? Eventuell tut es auch eine VPN Verbindung mit Wireguard -> keine Bastion Host VM und kein Port Forwarding notwendig
  5. Vielleicht DMZ einrichten?
  6. Monitoring ausbauen
  7. Zugriffskontrolle für LAN-Ports
  8. Alarmierung
@lnxu303
Copy link
Author

lnxu303 commented Jan 13, 2024
edited

Braindump

VLAN 1: Management (Hypervisor, Firewall, etc.).
VLAN 2: alle VMs und Dienste.
VLAN 3: Sensoren.
VLAN 4: Gäste.
WLANs? Eins für Gäste, eins für Devices, eins für den Zugriff auf VMs und eins für Admin-Zeugs? Damit koennen Leute einfach an $Dingen arbeiten, haetten aber kein Zugriff auf das Management Netz. Zugriff vom am meisten privilegierten Netz (Management) in alle niedrigeren Netze (nur in eine Richtung, also logischerweise kein Zugriff von z.B. VM Netz nach Management Netz).
Dann haben wir immer noch das Problem mit den LAN Dosen. Welches Netz soll da anliegen? Ohne Authentifizierung nur Gaeste, mit Authentifizierung dann ein hoeher privilegiertes Netz? 802.1X
Port-Based Authentication

@lnxu303 lnxu303 mentioned this issue Jan 13, 2024
Open
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees

@lnxu303 lnxu303

@recou recou

Labels
None yet
Projects
K4CG Neue
Status: In progress
Milestone
No milestone
Development

No branches or pull requests
2 participants
@lnxu303 @recou