EliteGroup Posted June 30, 2023 Share Posted June 30, 2023 Hallo, da ich vollständig auf Omada umstrukturiere und ebenso mein Unraid auf wenn ich auf 6.12 update, dachte ich mir ich sehe mir mein Docker Netzwerk an... Aktuell habe ich 2 Netzwerke (HOME, SRV) Unraid hat 2 OnBoard NICs, eth0 ist im Home und eth1 im SRV. Alle Docker sind auf "Custom br" mit fester internet IP je nach dem ob der Dienst auch übers Internet erreichbar ist dann ist der im SRV Netz. Die Firewall leitet aus dem Internet nur auf Nginx Proxy Manager im SRV Netz (80,443 sonst nichts geöffnet) Da die Firewall eine OpnSense ist und immer mehr Traffic über die Firewall läuft und der Stromverbrauch nach oben geht bei ständigen transfer, suche ich einer Lösung von HOME ins SRV Netzwerk zu gelangen ohne die Route über die Firewall. Wenn ich nun die Docker alle in die Bridge nehme, dann sind diese von beiden Netzwerken aus direkt erreichbar bzw wichtig ist ja nur das der Nginx aus beiden Netzwerken direkt erreichbar ist. Dann jenachdem ob man im HOME Netzwerk oder SRV Netzwerk ist, dessen IP von Unraid nehmen und den Port dazu. Ergibt dann noch die Netzwerktrennung überhaupt einen Sinn? Oder könnte man gleich Unraid direkt ins HOME setzten, die Docker in die Bridge und die Firewall leitet nur 80,443 an den NginxProxy. Leider kenne ich mich da nicht genug aus. Ich hoffe ihr könnt das ein bisschen aufklären. Es ist nicht wichtig wie aktuell mein Netzwerkplan aussieht, ich möchte den Planen je nach der richtigen konfiguration der Docker / Nginx lg Elite Quote Link to comment
Ford Prefect Posted July 1, 2023 Share Posted July 1, 2023 22 hours ago, EliteGroup said: Da die Firewall eine OpnSense ist und immer mehr Traffic über die Firewall läuft und der Stromverbrauch nach oben geht bei ständigen transfer, suche ich einer Lösung von HOME ins SRV Netzwerk zu gelangen ohne die Route über die Firewall. ...häng einen Switch mit L3-Hardware-Offloading davor. Der braucht weniger Leistung...oder die Sense gegen einen "echten" Router tauschen (der am besten noch so nen Switch-Chip drin hat, der auch L3-HW-Offloading kann), das spart gleich noch mehr Energie. 22 hours ago, EliteGroup said: Wenn ich nun die Docker alle in die Bridge nehme, dann sind diese von beiden Netzwerken aus direkt erreichbar bzw wichtig ist ja nur das der Nginx aus beiden Netzwerken direkt erreichbar ist. Dann jenachdem ob man im HOME Netzwerk oder SRV Netzwerk ist, dessen IP von Unraid nehmen und den Port dazu. Ergibt dann noch die Netzwerktrennung überhaupt einen Sinn? Oder könnte man gleich Unraid direkt ins HOME setzten, die Docker in die Bridge und die Firewall leitet nur 80,443 an den NginxProxy. Das funzt, wenn überhaupt, nur ohne VLANs und nur für Docker/VMs auf unraid, nicht für beide Netze...Clients ausserhalb unraid, die mit einem Docker kommunizieren und im anderen Netz sind, müssen immer noch über den Router, weil sie nur den als Gateway kennen. Und die Netzwerktrennung macht dann eben auch keinen Sinn mehr, ist nicht existent. Quote Link to comment
Sacred Posted July 1, 2023 Share Posted July 1, 2023 22 hours ago, EliteGroup said: ich möchte den Planen je nach der richtigen konfiguration der Docker / Nginx Dann solltest du einfach mal noch sagen, was du warum vor hast bzw. willst. Wenn du nun als Beispiel sagst, du machst das alles nur um auf deine selbst gehostete Nextcloud (usw.) zugreifen zu können und der Rest deines Netzwerkes soll davor extra Safe sein, würde ich halt einwerfen, dass du auch einfach am Router (mittlerweile können das viele) nen VPN einrichten kannst. Solltest also bissel mehr ausholen und zu erzählen. Quote Link to comment
EliteGroup Posted July 1, 2023 Author Share Posted July 1, 2023 1 hour ago, Ford Prefect said: ...häng einen Switch mit L3-Hardware-Offloading davor. Der braucht weniger Leistung...oder die Sense gegen einen "echten" Router tauschen (der am besten noch so nen Switch-Chip drin hat, der auch L3-HW-Offloading kann), das spart gleich noch mehr Energie. Ein Switch mit Omada Setup TL-SG2218 Ich weiß nicht genau ob dieser Switch das inter VLAN Routing beherrscht, oder ob das Omada System das (noch?) nicht zulässt. Ich kann im Switch direkt VLAN A zu VLAN B sperren per ACL ohne das es über die Firewall läuft, aber beim erlauben wird trotzdem über die Firewall geroutet. Also die Funktion wäre da... Es wäre natürlich top wenn die Regel bereits im Switch eingestellt werden könnte. Nur dachte ich der Switch wäre dazu fähig aber das Omada System kann es noch nicht. Meine OpnSense möchte ich nur sehr ungern aufgeben als Router... 2 hours ago, Ford Prefect said: Das funzt, wenn überhaupt, nur ohne VLANs und nur für Docker/VMs auf unraid, nicht für beide Netze...Clients ausserhalb unraid, die mit einem Docker kommunizieren und im anderen Netz sind, müssen immer noch über den Router, weil sie nur den als Gateway kennen. Und die Netzwerktrennung macht dann eben auch keinen Sinn mehr, ist nicht existent. VLAN exisitiert nur zwischen OpnSense <-> Switch, dort sind dann nur physische Ports am Switch und in Unraid 2 NICs. Was über das Internet zugreift soll auch über die Firewall das ist kein Problem da gehen sowieso nur maximal 50Mbit/s und die CPU/Router im Idle braucht kaum Strom. Nur der interne Traffic von Home zu Srv ist hoch und nicht sehr produktiv über die CPU... aber wenn die Netzwerktrennung dann keinen Sinn mehr hatt, ist das Thema sowieso gegessen. 2 hours ago, Sacred said: Dann solltest du einfach mal noch sagen, was du warum vor hast bzw. willst. Wenn du nun als Beispiel sagst, du machst das alles nur um auf deine selbst gehostete Nextcloud (usw.) zugreifen zu können und der Rest deines Netzwerkes soll davor extra Safe sein, würde ich halt einwerfen, dass du auch einfach am Router (mittlerweile können das viele) nen VPN einrichten kannst. Solltest also bissel mehr ausholen und zu erzählen. Ich möchte den besten / korrekten weg vom LAN Netzwerk zu dem SRV Netzwerk ohne über die Firewall routen zu müssen... Das wäre das Ziel. VPN kommt eher nicht in Frage, da ich mir einige Dienste mit Freunde, Familie teile über eine eigene Domain. Darunter Nextcloud, Emby etc Deshalb Netzwerktrennung. VPN bei allen einrichten wäre sehr umständlich auch wenn es Sicherheit bietet... Es soll nur eine Lösung her zum internen Routing. Ich dachte die Bridge könnte eine sein... Aber wie Ford Prefect schon sagt macht die Netztrennung dann keinen Sinn. Vielleicht gibt es einen Omada Switch der VLAN Routing beherrscht. Da müsste ich mich noch umsehen wie genau die Bezeichung dieser Funktion ist. Netzwerksegment ist sehr kompliziert und ich versuche da noch zu lernen. Eine andere Frage noch dazu: Wenn ich das Routing hinbekomme, könnte ich den gesamten Unraid Server nur in das SRV Netz hängen oder? SMB Freigabe benutze ich kaum, FTP und andere Dienste garnicht. Die VMs sollten auch laufen in dem Netz. Quote Link to comment
Ford Prefect Posted July 1, 2023 Share Posted July 1, 2023 Nein, ne ACL ist nicht, was ich meine. VLANs sind L2, Routing ist L3. L3-Hardware-Offloading ist was ganz anderes, lies mal hier: https://help.mikrotik.com/docs/display/ROS/L3+Hardware+Offloading#L3HardwareOffloading-Introduction Dein TP-Link ist ein L2+ Switch und kann zumindest L3 static routing: https://www.tp-link.com/de/business-networking/smart-switch/tl-sg2218/#specifications ich vermute aber, er macht das mit der CPU und nicht mit dem Switch-Chip... Du könntest versuchen das zu testen, was der auf dem Level kann, wenn Du die Sense für die I-Net-Verbindung in ein getrenntes, drittes Netz legst und den Switch als Gateway für HOME und SRV verwendest. Wie Du das im Swich aber intern konfiguriert kann ich nicht sagen....wahrscheinlich brauchst Du den Omada Controller dazu. 17 minutes ago, EliteGroup said: VLAN exisitiert nur zwischen OpnSense <-> Switch, dort sind dann nur physische Ports am Switch und in Unraid 2 NICs. Das heisst, Du hast im unraid kein VLAN aktiviert? 18 minutes ago, EliteGroup said: Nur der interne Traffic von Home zu Srv ist hoch und nicht sehr produktiv über die CPU... Siehe oben, das ist nunmal so...ein kleiner embedded Router wäre stromsparender...vor allem, wenn Du nur 50MBit I-Net hast.....wofür brauchst Du die Sense denn genau, wenn Du kein VPN nutzt? Ein 50EUR Router schafft das schon, wenn der Traffic nicht zu klein gehackt ist: https://mikrotik.com/product/RB750Gr3#fndtn-testresults und saugt nur 2-3W....und der kann auch schon wireguard, ipsec usw. Mein RB4011 macht mit der CPU etwa 7-9Gbps im Inter-VLAN-Routing auf dem 10Gbs-Link und braucht keine 7W dabei. 28 minutes ago, EliteGroup said: Ich möchte den besten / korrekten weg vom LAN Netzwerk zu dem SRV Netzwerk ohne über die Firewall routen zu müssen... siehe oben....Wenn die Firewall richtig konfiguriert ist, muss nicht jedes Paket da durch....sobald die Firewall weiss, dass die IP-Verbindung "erlaubt" ist, muss sie die nachfolgenden Pakete auf derselben Verbindung nicht mehr prüfen....wohlgemerkt "Verbindung", das heisst Quell- und Ziel-IP *und* Port. Bei Mikrotik heisst das fasttrack: https://help.mikrotik.com/docs/display/ROS/Basic+Concepts#BasicConcepts-FastTrack ...ob das eine Sense kann, weiss ich nicht. Quote Link to comment
EliteGroup Posted July 2, 2023 Author Share Posted July 2, 2023 (edited) 1 hour ago, Ford Prefect said: Das heisst, Du hast im unraid kein VLAN aktiviert? Genau, Unraid hat 2x 1Gbit/s NIC eth0 = Home (Für SMB, VMs und Dockers die ich nur im LAN verwende) eth1 = Srv (Für Nginx-Proxy und Dockers als Dienste zb Nextcloud) hängen an den jeweiligen Ports am Switch, in Unraid ist VLAN deaktiviert. Dank deinen Infos habe ich schon mal einiges zu tun, und schauen zuerst mal in das HW-Offloading rein, das sollte aktivierbar sein und meine Intel I350 NIC sollte es können. Also ist und bleibt die sicherste Lösung für Dockers die aus den Internet zugänglich sind in ein eigenes Netzwerk per Custom br1 zu verfrachten? Dann kann ich meinen aktuellen Aufbau lassen und mich nur auf den Switch/Router konzentrieren. Edited July 2, 2023 by EliteGroup Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.