search

k4cg / k4cg-neue

Ort fuer Koordination und Kollaboration nach dem Umzug ins unseren neuen Raum.
0 stars 0 forks source link

Netzwerk planen #13

Open lnxu303 opened 10 months ago

lnxu303 commented 10 months ago

Use Cases

  1. 2.4G Wifi fuer Sensoren und alte Geraete (Zugriff auf internes Netzwerk) SSID1
  2. 5G Wifi fuer Admins (Zugriff auf internes Netzwerk) (per PSK oder RADIUS?) SSID2
  3. 5G Wifi fuer untrusted devices (= Gaeste, kein Zugriff auf internes Netzwerk, nur ausgehender Zugriff auf Internet) SSID3
  4. Internes LAN fuer Server, etc.(wie werden die Ports geschützt?)
  5. Zugriff aus internem LAN ins Internet (mit DNS Schutz oder freie Liebe/Internet?)
  6. Zugriff aus internem LAN per wireguard zu rumpl (Daten an InfluxDB schicken) ->S2SVPN
  7. Zugriff von extern auf interne Services (VMs, status.json, etc; momentan via port forwarding)

    wie? --noqqe

  8. Zugriff von extern auf internes Netzwerk (momentan via SSH und bastion host, auch via port forwarding)
  9. Wie Zugriff auf 3D Drucker?

Ziele

  1. Infrastruktur modernisieren
  2. Bestehende Funktionalitaet beibehalten
  3. Dinge nicht komplizierter machen als vorher
  4. Wenn moeglich, Dinge vereinfachen
  5. Wenn moeglich, Sicherheit erhoehen

Ideen und Gedanken

  1. Fritzbox mit OpenWRT flashen (wir haben noch ne Menge rumliegen)<- gilt nur für veralterte FB, mehr Mehrwert ggü. bestehendem OpenWRT Archer C7 Router, Thin Client mit OPNSense als Firewall, VPN Endpunkt und internem DNS/DHCP,
  2. ordentlicher Access Point ->OpenWRT oder kommerziell; Einzel-AP(s) oder mehrere über (virtuellen) Controller?
  3. neue Switches? Wieviele Ports werden benötigt? PoE? Wo verbauen (Lautstärke, Strombedarf)?
  4. Bastion Host noch notwendig? Eventuell tut es auch eine VPN Verbindung mit Wireguard -> keine Bastion Host VM und kein Port Forwarding notwendig
  5. Vielleicht DMZ einrichten?
  6. Monitoring ausbauen
  7. Zugriffskontrolle für LAN-Ports
  8. Alarmierung
lnxu303 commented 10 months ago

Braindump

VLAN 1: Management (Hypervisor, Firewall, etc.). VLAN 2: alle VMs und Dienste. VLAN 3: Sensoren. VLAN 4: Gäste. WLANs? Eins für Gäste, eins für Devices, eins für den Zugriff auf VMs und eins für Admin-Zeugs? Damit koennen Leute einfach an $Dingen arbeiten, haetten aber kein Zugriff auf das Management Netz. Zugriff vom am meisten privilegierten Netz (Management) in alle niedrigeren Netze (nur in eine Richtung, also logischerweise kein Zugriff von z.B. VM Netz nach Management Netz). Dann haben wir immer noch das Problem mit den LAN Dosen. Welches Netz soll da anliegen? Ohne Authentifizierung nur Gaeste, mit Authentifizierung dann ein hoeher privilegiertes Netz? 802.1X Port-Based Authentication