You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
2.4G Wifi fuer Sensoren und alte Geraete (Zugriff auf internes Netzwerk) SSID1
5G Wifi fuer Admins (Zugriff auf internes Netzwerk) (per PSK oder RADIUS?) SSID2
5G Wifi fuer untrusted devices (= Gaeste, kein Zugriff auf internes Netzwerk, nur ausgehender Zugriff auf Internet) SSID3
Internes LAN fuer Server, etc.(wie werden die Ports geschützt?)
Zugriff aus internem LAN ins Internet (mit DNS Schutz oder freie Liebe/Internet?)
Zugriff aus internem LAN per wireguard zu rumpl (Daten an InfluxDB schicken) ->S2SVPN
Zugriff von extern auf interne Services (VMs, status.json, etc; momentan via port forwarding)
wie? --noqqe
Zugriff von extern auf internes Netzwerk (momentan via SSH und bastion host, auch via port forwarding)
Wie Zugriff auf 3D Drucker?
Ziele
Infrastruktur modernisieren
Bestehende Funktionalitaet beibehalten
Dinge nicht komplizierter machen als vorher
Wenn moeglich, Dinge vereinfachen
Wenn moeglich, Sicherheit erhoehen
Ideen und Gedanken
Fritzbox mit OpenWRT flashen (wir haben noch ne Menge rumliegen)<- gilt nur für veralterte FB, mehr Mehrwert ggü. bestehendem OpenWRT Archer C7 Router, Thin Client mit OPNSense als Firewall, VPN Endpunkt und internem DNS/DHCP,
ordentlicher Access Point ->OpenWRT oder kommerziell; Einzel-AP(s) oder mehrere über (virtuellen) Controller?
neue Switches? Wieviele Ports werden benötigt? PoE? Wo verbauen (Lautstärke, Strombedarf)?
Bastion Host noch notwendig? Eventuell tut es auch eine VPN Verbindung mit Wireguard -> keine Bastion Host VM und kein Port Forwarding notwendig
Vielleicht DMZ einrichten?
Monitoring ausbauen
Zugriffskontrolle für LAN-Ports
Alarmierung
The text was updated successfully, but these errors were encountered:
VLAN 1: Management (Hypervisor, Firewall, etc.).
VLAN 2: alle VMs und Dienste.
VLAN 3: Sensoren.
VLAN 4: Gäste.
WLANs? Eins für Gäste, eins für Devices, eins für den Zugriff auf VMs und eins für Admin-Zeugs? Damit koennen Leute einfach an $Dingen arbeiten, haetten aber kein Zugriff auf das Management Netz. Zugriff vom am meisten privilegierten Netz (Management) in alle niedrigeren Netze (nur in eine Richtung, also logischerweise kein Zugriff von z.B. VM Netz nach Management Netz).
Dann haben wir immer noch das Problem mit den LAN Dosen. Welches Netz soll da anliegen? Ohne Authentifizierung nur Gaeste, mit Authentifizierung dann ein hoeher privilegiertes Netz? 802.1X
Port-Based Authentication
Use Cases
Ziele
Ideen und Gedanken
The text was updated successfully, but these errors were encountered: