App installieren
How to install the app on iOS
Follow along with the video below to see how to install our site as a web app on your home screen.
Anmerkung: This feature may not be available in some browsers.
Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder ein alternativer Browser verwenden.
Du solltest ein Upgrade durchführen oder ein alternativer Browser verwenden.
VLAN? Managed Switch / Smart-Managed Switch für NAS Anschluss?
- Ersteller CeoN
- Erstellt am
Ich bräuchte Hilfe zu den Theman VLAN, Smart-Managed Switches und Managed Switches Unterschied.
Mein Ziel ist, mein kürzlich gekauftes NAS nur von meinen Geräten aus ansteuerbar und sichtbar zu machen. Im Anhang habe ich meine angedachte Netzwerktopologie kurz skizziert. (Rechtsklick in neuem Tab öffnen, sonst ist die Schrift nicht zu lesen, da schwarzer Hintergrund die Transparenz ausfüllt!)
- Nur PC2 und PC3 sollen Zugriff auf das NAS haben.
- PC1,2,3 wollen alle ins Internet.
- Aber das Internet soll niemals Zugriff auf das NAS haben, genausowenig wie alle Elemente auf Routerebene. D.h. im Fall des Anhangs: PC1 nicht!
Was brauche ich nun?
Reicht mir ein Smart-Managed Switch, welche VLAN Fähigkeiten haben, (meiner Recherche nach Layer-2-Switch) wie z.B.:
Cisco SG200-08, ca.80€
oder benötige ich schon Managed Switche (Layer-3-Switch) für mein Vorhaben, wie z.B.:
Cisco SG300, ca. 150€
oder brauche ich gar etwas ganz anderes?
Reguläre (unmanaged) Switche ~10€ reichen ja jedenfalls nicht aus, da diese einfache Portreplikatoren wären.
Mein Ziel ist, mein kürzlich gekauftes NAS nur von meinen Geräten aus ansteuerbar und sichtbar zu machen. Im Anhang habe ich meine angedachte Netzwerktopologie kurz skizziert. (Rechtsklick in neuem Tab öffnen, sonst ist die Schrift nicht zu lesen, da schwarzer Hintergrund die Transparenz ausfüllt!)
- Nur PC2 und PC3 sollen Zugriff auf das NAS haben.
- PC1,2,3 wollen alle ins Internet.
- Aber das Internet soll niemals Zugriff auf das NAS haben, genausowenig wie alle Elemente auf Routerebene. D.h. im Fall des Anhangs: PC1 nicht!
Was brauche ich nun?
Reicht mir ein Smart-Managed Switch, welche VLAN Fähigkeiten haben, (meiner Recherche nach Layer-2-Switch) wie z.B.:
Cisco SG200-08, ca.80€
oder benötige ich schon Managed Switche (Layer-3-Switch) für mein Vorhaben, wie z.B.:
Cisco SG300, ca. 150€
oder brauche ich gar etwas ganz anderes?
Reguläre (unmanaged) Switche ~10€ reichen ja jedenfalls nicht aus, da diese einfache Portreplikatoren wären.
Zuletzt bearbeitet:
Dalai
Grand Admiral Special
- Mitglied seit
- 14.06.2004
- Beiträge
- 7.420
- Renomée
- 262
- Standort
- Meiningen, Thüringen
- Mein Laptop
- Thinkpad T43 mit 15" UXGA (1600x1200), 2x 1 GiB RAM, 100GB HD, Bluetooth, GBit LAN, ATi X300
- Prozessor
- AMD Ryzen 5 2600 (Pinnacle Ridge)
- Mainboard
- ASUS Prime X370-A
- Kühlung
- Noctua NH-U12S mit 1x NF-F12
- Speicher
- Crucial Ballistix Sport LT weiß (BLS2K8G4D32AESCK): 2x 8 GiB DDR4-3200 (CL16) @ 1,25V
- Grafikprozessor
- Zotac GeForce GTX 1060 6GB AMP Edition
- Display
- Dell U2410, 24 Zoll, IPS, 16:10
- SSD
- Samsung 850 Evo 250 GB
- HDD
- WD40EZRZ (WD Blue) 4000GB SATA3, WD20EZRX (WD Green) 2000GB SATA3
- Optisches Laufwerk
- Pio DVR-212 (DVD-RAM), ASUS E818A6T (DVD-ROM), Pio DVD-106S (Slot-in DVD-ROM)
- Soundkarte
- Creative SoundBlaster Audigy 2 ZS PCI
- Gehäuse
- Lian Li PC-8NB Midi-Tower
- Netzteil
- Enermax EMP400AGT MaxPro 400W
- Betriebssystem
- Windows 7 Professional x64 und immer mal wieder ein neues Linux :-)
- Webbrowser
- Mozilla Firefox mit diversen Erweiterungen
- Verschiedenes
- 2x 120mm Gehäuselüfter (Front und Rückwand), DVBSky T9580, Sharkoon Frontpanel B (2x USB 3.0)
Kann man im NAS nicht Zugriffsrechte setzen? Dann spart man sich den Aufwand der Einrichtung und natürlich auch Geld für einen Switch. Oder hast du Geld beim Kauf des NAS gespart und man kann dort keine Zugriffsrechte setzen?
MfG Dalai
MfG Dalai
Ich will nicht nur keinen Zugriff zulassen, ich will eigentlich, dass das NAS nur mit den am Switch angeschlossenen geräten kommunizieren kann darf, also Steuerung durch den Switch!
Die NAS IP soll einfach nicht vom Switch bekanntgemacht werden auf Routerebene.
Das NAS wäre ein Qnap412, das könnte natürlich mit Zugriffsrechten umgehen.
Zudem soll der Switch ein Gigabit Switch werden, was wiederrum der derzeitige Router nicht kann.
Die NAS IP soll einfach nicht vom Switch bekanntgemacht werden auf Routerebene.
Das NAS wäre ein Qnap412, das könnte natürlich mit Zugriffsrechten umgehen.
Zudem soll der Switch ein Gigabit Switch werden, was wiederrum der derzeitige Router nicht kann.
Dalai
Grand Admiral Special
- Mitglied seit
- 14.06.2004
- Beiträge
- 7.420
- Renomée
- 262
- Standort
- Meiningen, Thüringen
- Mein Laptop
- Thinkpad T43 mit 15" UXGA (1600x1200), 2x 1 GiB RAM, 100GB HD, Bluetooth, GBit LAN, ATi X300
- Prozessor
- AMD Ryzen 5 2600 (Pinnacle Ridge)
- Mainboard
- ASUS Prime X370-A
- Kühlung
- Noctua NH-U12S mit 1x NF-F12
- Speicher
- Crucial Ballistix Sport LT weiß (BLS2K8G4D32AESCK): 2x 8 GiB DDR4-3200 (CL16) @ 1,25V
- Grafikprozessor
- Zotac GeForce GTX 1060 6GB AMP Edition
- Display
- Dell U2410, 24 Zoll, IPS, 16:10
- SSD
- Samsung 850 Evo 250 GB
- HDD
- WD40EZRZ (WD Blue) 4000GB SATA3, WD20EZRX (WD Green) 2000GB SATA3
- Optisches Laufwerk
- Pio DVR-212 (DVD-RAM), ASUS E818A6T (DVD-ROM), Pio DVD-106S (Slot-in DVD-ROM)
- Soundkarte
- Creative SoundBlaster Audigy 2 ZS PCI
- Gehäuse
- Lian Li PC-8NB Midi-Tower
- Netzteil
- Enermax EMP400AGT MaxPro 400W
- Betriebssystem
- Windows 7 Professional x64 und immer mal wieder ein neues Linux :-)
- Webbrowser
- Mozilla Firefox mit diversen Erweiterungen
- Verschiedenes
- 2x 120mm Gehäuselüfter (Front und Rückwand), DVBSky T9580, Sharkoon Frontpanel B (2x USB 3.0)
Für den Unterschied zwischen Managed und Smart Managed bietet die deutsche Wikipedia leider nichts, aber dafür die englische Wikipedia.
Zugriffsrechte würde ich aber unabhängig davon setzen, denn was machst du, wenn dein (Managed) Switch aussteigt und du (temporär) einen Unmanaged benutzen musst?
MfG Dalai
Zugriffsrechte würde ich aber unabhängig davon setzen, denn was machst du, wenn dein (Managed) Switch aussteigt und du (temporär) einen Unmanaged benutzen musst?
MfG Dalai
eR1K1
Vice Admiral Special
- Mitglied seit
- 12.01.2008
- Beiträge
- 797
- Renomée
- 10
- Standort
- Berlin
- Mein Laptop
- FJS Amilo M1420
- Prozessor
- AMD Athlon II X3 450
- Mainboard
- MSI 880GMA-E45
- Kühlung
- Noctua NH-C12P SE14
- Speicher
- 2 x 4GB G.Skill Ripjaws 1333
- Grafikprozessor
- Sapphire HD4850 Dual Slot GDDR3 512MB
- Display
- 2 x FJS P19-2 @ 1280x1024
- HDD
- Samsung HD501J 500GB SATA
- Optisches Laufwerk
- HL-DT-ST DVDRAM GSA-H10N (DVD+R9:10x, DVD-R9:6x, DVD+RW:16x/8x, DVD-RW:16x/6x, D
- Soundkarte
- onBoard
- Gehäuse
- Enermax Chakra ECA3052
- Netzteil
- beQuiet Dark Power Pro 530 W
- Betriebssystem
- Win7 Pro
- Webbrowser
- Mozilla Firefox
Ich empfehle dir die Zugriffsbeschränkungen auf der QNAP zu erstellen. Entweder über Benutzerrechte oder über ACLs. Ich verstehe auch richtig das du keine Updates auf der QNAP durchführen möchtest oder möchtest du diese dann von Hand installieren?
Darüber hinaus solltest du in deinem Internetrouter alle unnötigen Ports die über das Internet erreichbar sind schließen. Bei den meisten Geräten wird das von Hause aus schon getan.
Darüber hinaus solltest du in deinem Internetrouter alle unnötigen Ports die über das Internet erreichbar sind schließen. Bei den meisten Geräten wird das von Hause aus schon getan.
gumi
Commander
- Mitglied seit
- 06.11.2004
- Beiträge
- 184
- Renomée
- 3
- Aktuelle Projekte
- Derzeit mache ich kein DC.
- BOINC-Statistiken
Der Layer 3-Switch kann IP routen, aber er kann kein NAT oder Firwewalling Richtung Router. Wenn du mit VLANs arbeitest müsstest du die Pakete auf den PC 2 und 3 oder/und auf dem NAS dazu auch noch taggen. Das macht das Setup kompliziert.
Ich rate dir daher auch von der Konstruktion mit dem Layer 3-Switch ab. Hänge alle Geräte an einen billigen GBit-Switch (hinter dem Router) und mach den Rest über die Berechtigungen im NAS.
Alternativ besorg dir einen Router, der einzelne Ports für "Gäste" freigeben kann (oder ein Gast-WLAN alternativ zum normalen anbietet). Dann hast du die Trennung der Netze schon im Router und alles ist viel einfacher.
Ich rate dir daher auch von der Konstruktion mit dem Layer 3-Switch ab. Hänge alle Geräte an einen billigen GBit-Switch (hinter dem Router) und mach den Rest über die Berechtigungen im NAS.
Alternativ besorg dir einen Router, der einzelne Ports für "Gäste" freigeben kann (oder ein Gast-WLAN alternativ zum normalen anbietet). Dann hast du die Trennung der Netze schon im Router und alles ist viel einfacher.
Meinst du mit Router mit Gastports, einen Router als Ersatz für den Router im Bild oder soll dieser statt den Platz des Switches einnehmen?
Davon abgesehen, mir gehts eigentlich darum, dass ich mich mit meinen Geräten ein einen Port des bestehenden Internetrouters hänge, egal wo ich bin d.h. ich habe keinen Zugriff auf die Einstellungen des Routers. Effektiv bräuchte ich eben den Router hinter dem Router, der genauso nach außen nur seine IP zeigt, ich dachte diese Switche erfüllen das
Davon abgesehen, mir gehts eigentlich darum, dass ich mich mit meinen Geräten ein einen Port des bestehenden Internetrouters hänge, egal wo ich bin d.h. ich habe keinen Zugriff auf die Einstellungen des Routers. Effektiv bräuchte ich eben den Router hinter dem Router, der genauso nach außen nur seine IP zeigt, ich dachte diese Switche erfüllen das
Zuletzt bearbeitet:
netghost78
Fleet Captain Special
Wenn du an dem Router nix einstellen kannst, weil du keinen Zugriff darauf hast, bleibt nur, einen eigenen kleinen Ethernet-Router einzusetzen. Damit bist du alleine in deinem Netz.
Du meinst also, ein Standard Router, wie ich ihn normalerweise an den DSL-Splitter anschließe kann ich auch hinter den ersten Router setzen und habe damit die gleichen Vorteile? Oder ist das noch ein anderer "Routertyp"? Heißt gleichzeitig, die Managedswitche sind nicht das was ich brauche?
ghostadmin
Grand Admiral Special
Der Layer 3-Switch kann IP routen, aber er kann kein NAT oder Firwewalling Richtung Router.
VLAN ist Layer2 und nicht Layer3.
Der Unterschied zwischen Smartmanage und Manage ist meist der das smartmanage günstiger ist und nur ein Webinterface hat.
Mit dem Layer hat das erstmal nichts zu tun.
Auf allen Endgeräten muss man auch das VLAN einstellen sofern es nicht nativ (=1) ist.
Zuletzt bearbeitet:
tomturbo
Technische Administration, Dinosaurier
- Mitglied seit
- 30.11.2005
- Beiträge
- 9.455
- Renomée
- 665
- Standort
- Österreich
- Aktuelle Projekte
- Universe@HOME, Asteroids@HOME
- Lieblingsprojekt
- SETI@HOME
- Meine Systeme
- Xeon E3-1245V6; Raspberry Pi 4; Ryzen 1700X; EPIC 7351
- BOINC-Statistiken
- Mein Laptop
- Microsoft Surface Pro 4
- Prozessor
- R7 5800X
- Mainboard
- Asus ROG STRIX B550-A GAMING
- Kühlung
- Alpenfön Ben Nevis Rev B
- Speicher
- 2x32GB Mushkin, D464GB 3200-22 Essentials
- Grafikprozessor
- Sapphire Radeon RX 460 2GB
- Display
- BenQ PD3220U, 31.5" 4K
- SSD
- 1x HP SSD EX950 1TB, 1x SAMSUNG SSD 830 Series 256 GB, 1x Crucial_CT256MX100SSD1
- HDD
- Toshiba X300 5TB
- Optisches Laufwerk
- Samsung Brenner
- Soundkarte
- onboard
- Gehäuse
- Fractal Design Define R4
- Netzteil
- XFX 550W
- Tastatur
- Trust ASTA mechanical
- Maus
- irgend eine silent Maus
- Betriebssystem
- Arch Linux, Windows VM
- Webbrowser
- Firefox + Chromium + Konqueror
- Internetanbindung
-
▼300
▲50
Nur wenn es getagged ist.Auf allen Endgeräten muss man auch das VLAN einstellen sofern es nicht nativ (=1) ist.
1 ist nicht zwangsweise das default VLAN, kommt drauf an was man einstellt.
ghostadmin
Grand Admiral Special
mhh stimmt. Dann geht aber nur 1 VLAN auf 1 Port
tomturbo
Technische Administration, Dinosaurier
- Mitglied seit
- 30.11.2005
- Beiträge
- 9.455
- Renomée
- 665
- Standort
- Österreich
- Aktuelle Projekte
- Universe@HOME, Asteroids@HOME
- Lieblingsprojekt
- SETI@HOME
- Meine Systeme
- Xeon E3-1245V6; Raspberry Pi 4; Ryzen 1700X; EPIC 7351
- BOINC-Statistiken
- Mein Laptop
- Microsoft Surface Pro 4
- Prozessor
- R7 5800X
- Mainboard
- Asus ROG STRIX B550-A GAMING
- Kühlung
- Alpenfön Ben Nevis Rev B
- Speicher
- 2x32GB Mushkin, D464GB 3200-22 Essentials
- Grafikprozessor
- Sapphire Radeon RX 460 2GB
- Display
- BenQ PD3220U, 31.5" 4K
- SSD
- 1x HP SSD EX950 1TB, 1x SAMSUNG SSD 830 Series 256 GB, 1x Crucial_CT256MX100SSD1
- HDD
- Toshiba X300 5TB
- Optisches Laufwerk
- Samsung Brenner
- Soundkarte
- onboard
- Gehäuse
- Fractal Design Define R4
- Netzteil
- XFX 550W
- Tastatur
- Trust ASTA mechanical
- Maus
- irgend eine silent Maus
- Betriebssystem
- Arch Linux, Windows VM
- Webbrowser
- Firefox + Chromium + Konqueror
- Internetanbindung
-
▼300
▲50
Kommt auf den switch an.mhh stimmt. Dann geht aber nur 1 VLAN auf 1 Port
Wenn getagged wird gehen auch mehrere VLAN's über einen Port.
Bei CISCO nennt sich das dann trunk port.
ghostadmin
Grand Admiral Special
Nein ich meinte in dem Fall das man das auf dem Endgerät nicht einstellen kann, dann geht nur 1 VLAN
SirGalahad5
Vice Admiral Special
Ich bräuchte Hilfe zu den Theman VLAN, Smart-Managed Switches und Managed Switches Unterschied.
Mein Ziel ist, mein kürzlich gekauftes NAS nur von meinen Geräten aus ansteuerbar und sichtbar zu machen. Im Anhang habe ich meine angedachte Netzwerktopologie kurz skizziert. (Rechtsklick in neuem Tab öffnen, sonst ist die Schrift nicht zu lesen, da schwarzer Hintergrund die Transparenz ausfüllt!)
- Nur PC2 und PC3 sollen Zugriff auf das NAS haben.
- PC1,2,3 wollen alle ins Internet.
- Aber das Internet soll niemals Zugriff auf das NAS haben, genausowenig wie alle Elemente auf Routerebene. D.h. im Fall des Anhangs: PC1 nicht!
Was brauche ich nun?
Reicht mir ein Smart-Managed Switch, welche VLAN Fähigkeiten haben, (meiner Recherche nach Layer-2-Switch) wie z.B.:
Cisco SG200-08, ca.80€
oder benötige ich schon Managed Switche (Layer-3-Switch) für mein Vorhaben, wie z.B.:
Cisco SG300, ca. 150€
oder brauche ich gar etwas ganz anderes?
Reguläre (unmanaged) Switche ~10€ reichen ja jedenfalls nicht aus, da diese einfache Portreplikatoren wären.
Zunächst mal zum Thema "Sicherheit und VLANs": VLANs limitieren eigentlich nur Broadcasts, d.h. VLANs sind eigentlich nicht für Sicherheitsanwendungen gedacht. Wenn du eine Leaky VLAN Implementierung im Router/Switch hast, dann reicht die Einrichtung eines statischen ARP Eintrags um Geräte im anderen VLAN zu erreichen.
Zudem kommst du mit reinen portbasierten VLANs hier (außer mit ein paar Tricks) nicht weiter. Das Problem ist, das Du bei portbasierten VLANs nur eine VLAN ID pro Endgeräteport am Switch zur Verfügung hast. D.h. ein Gerät das ungetaggt sendet (so gut wie alle Endgeräte), dessen Frames werden am Switchport mit dem jeweiligen Port VLAN Tag versehen. Sendet das Endgerät mit VLAN Tags und die VLAN ID entspricht nicht der Port VLAN ID, dann wirft der Switch das Frame weg (untrusted port) oder leitet es trotzdem weiter (trusted port).
D.h. der Traffic von PC2 und PC3 und dem NAS kann jeweils vom Switch nur einem VLAN zugeordnet werden. Leider dürfen aber das NAS und der Internetanschluss auch nicht im gleichen VLAN sein. D.h. du bräuchtest an den Switchports 1 und 2 jeweils 2 Port VLANs, eins mehr als möglich ist.
Eine Abhilfe sind protokollbasierte VLANs, da kann der Switch anhand des im Frame eingekapselten Protokolls erkennen, in welches VLAN er das Frame stecken soll. Aber das können die meisten kleinen managed Switche (noch) nicht.
Ein (theoretisch) möglicher Trick ist, an den Endgeräten (z.B. PC2) eine Applikation mit VLAN Tag senden zu lassen und eine andere Applikation ohne VLAN Tag. Dann musst Du noch den jeweiligen Switchport auf "trusted" setzen und die zweite VLAN ID als Port VLAN ID konfigurieren. So packt der Switch alle ungetaggt empfangenen Frames in ein VLAN und die getaggten Frames bleiben im zweiten VLAN. Das kannst Du aber nur machen, wenn du im Prinzip alles in den Endgeräten kontrollieren kannst (Applikation, Netzwerkkartentreiber,...). In 99,99% aller Fälle wird das im Hausgebrauch nicht der Fall sein.
Die in dem Fall beste Lösung ist vermutlich wirklich, das mit Berechtigungen im NAS zu lösen oder mit zwei Netzwerkkarten (jeweils für VLAN NAS und VLAN Internet) in PC2 und PC3. Das ist dann aber immer noch keine narrensichere Lösung (siehe leaky VLAN).
Edit: Ich sehe gerade, der von dir verlinkte SG300 von Cisco kann protokollbasierte VLANs. Damit ginge es dann, es verbleibt der (Un-)Sicherheitsaspekt.
Zuletzt bearbeitet: