Lunner Posted April 9 Share Posted April 9 Liebe Cummunity und Unraid begeisterte, ich bitte euch um Unterstützung bei meiner Serverplanung weil ich auf Erfahrungen angewiesen bin und einfach nur hin und her überlege und kaum etwas voran komme... Zuerst einmal beschreibe ich was benötigt wird für meine Firma und Privat, danach was ich zur Verfügung habe; Liste was benötigt wird: Quote -- Firewall / OpenSense hinter einem Modem -- Firmensoftware /// Erpnext Docker mit Zugriff Lokal und von Außen via Firmentablet (Um vor Ort Kunden zu erstellen, Kundeninformationen abzufragen, Rechnungen schreiben, Bilder hochzuladen...) -- Datenserver // für Daten, Bilder und Videos, je nach User-Berechtigung zum hochladen und/oder downloaden (Kollegen sollen Bilder und Videos hochladen aber auch downloaden können in einem eigenen zugewiesenen Ordner die nach ihren Nachnamen benannt werden (jeweils eigener Acc auch mit ihren Nachnamen) * Kunden sollen auch Bilder und Videos hochladen können, dies aber mit einem Gast Acc/Ordner ohne weitere lese oder schreib Berechtigungen, ganz einfach von ihrem Handy aus, also rein hochladen und nichts sehen -- Backups // vom Unraidserver und Erpnext Firmensoftware, eines im Server und eines extern offline Zwischenfrage: Reicht bei einem Unraidserver nicht ein Backup von der Parity Platte aus, da man ja von Dieser alles wiederherstellen kann? -- kleines Dashboard / Infoscreen für Server und Daten Überwachung -- Private Backuplösung für Familienfotos und Videos und ein paar Daten später eventuell noch: -- Eigene kleine Webseite und e-Mail Account auf eigenem Server zuhause Hosten aber das muss noch warten weil ich schon genug Zeit für obiges verballere... Quote Vorhanden ist; 1x Server mit Intel core i5-12600, 32GB DDR5 Ram, alte Nvidia Grafikkarte, 3 Nvme's und Platz für 8 Sataplatten 1x GEEKOM Mini Air12 Mini-PC Intel Alder Lake der 12.Generation 1x Client PC mit Intel® Core™ i5-4570 × 4, 16 Gb Ram, Grafikkarte Mesa Intel® HD Graphics 4600 (HSW GT2) / NV137, auf dem Linux Debian 12 läuft 1x Zimablade mit Gehäuse für 2 Festplatten 1x Switch von Netgear ProSafe GS108 (billigteil) 1x Tablet Unraid unendlich Zuerst dachte ich folgendes; 1. Server für Erpnext (Firmensoftware), Dashboard, Backups, Fileserver, und später vielleicht noch Webseite und e-Mail, da der Server ja allerhand Leistung mitbringt 2. Mini Air 12 als Firewall 3. Zimablade für Offlinebackup Jedoch ist der Stromverbrauch vom Server sehr hoch im dauerzustand und die Ressorcen der anderen wären wohl verschwendung.. Der Server der Schlussendlich die Firmensoftware drauf hat muss nicht ständig an sein und in der Nacht schon gar nicht, so schalte ich ihn in der Früh oder Unterwegs ein wenn ich ihn benötige. Also wenn überhaupt 24/7 dann später nur der Server wenn Dieser meine Webseite und einem Firmen e-Mail Acc Hostet und da würde ja vielleicht ein Zimablade oder Mini Air 12 mit 6-35 Watt ausreichen <- aber da weiß ich nicht ob das wirklich reicht. (Homepage soll eher nur wie eine Visitenkarte sein mit ein paar Fotos, vielleicht 2-3 Videos und Fertig!) Ihr könnt bei euren Lösungsansätzen ohne Probleme ein weiteres Zimablade oder einen Mini Air 12 dazu packen wenn es leichter ist, das ist im budget noch drin. Jedoch habe ich den großen Server bereits und wenn der das alles (außer die Firewall) alleine bewältigen kann, dann soll mir das auch recht sein und ab den Zeitpunkt ab dem ich eine Homepage Lokal Hoste 24/7 an sein... Oder würde folgendes funktionieren? 1x Mini PC Air 12 als Firewall, Firmensoftware und Datenserver <- wenn das geht, also OPNSense mit Adguard usw. + weitere Server? 1-2x Zimablade's für Backups (Unraid, Firmendaten, Familien Bilder/Videos) und Dashboard auf Monitor für Systeminfos und Überwachtung später für Webseite und e-Mail noch ein Zimablade oder einen Mini Pc... dann allerdings wäre der große Server fast Sinnlos und ich würde ihn als over powered Client für Videoschnitt nutzen... Also ihr seht ich habe nicht die Erfahrung was welcher Computer/Server mit Unraid leisten und schaffen kann.. Ich freue mich auf Erfahrungen und Ratschläge! Mit den besten Grüßen, Ewald. Quote Link to comment
Lunner Posted April 11 Author Share Posted April 11 Also vielleicht ist das zuviel für den Anfang, daher möchte ich mich etwas ran tasten da es anscheinend schon sehr viele Interessiert! Fangen wir Schritt für Schritt an um dem ganzen näher zu kommen, denn ich vermute dass sich hier viele Probleme auch bei anderen Lösen werden! Kann ich mit einem Mini PC der mein Router und meine Firewall sein soll auch einen Sicheren File-Server packen der auch die Sicherheit der Firewall genießt? Versteht ihr was ich meine? Mini PC Air 12 von Geekom auf dem folgendes installiert ist; OPNSense - mit Adguard, Pihole usw. (da muss ich mich noch weiter einlesen) Fileserver mit Fernzugriff - Nextcloud mit Passwort Zugang für Gäste und User mit Verschlüsselung etc. also so sicher wie es mir möglich ist! Ich bedanke mich herzlich für jede Erfahrung und jedes KnowHow! Quote Link to comment
Ford Prefect Posted April 11 Share Posted April 11 On 4/9/2024 at 9:23 PM, Lunner said: -- Firewall / OpenSense hinter einem Modem Also DAS würde ich mal lassen, denn das hat keinen WAF und bei quasi kommerzieller Nutzung ist das ein No-GO. Es gibt genug Möglichkeiten, wenn es denn opensense sein muss (warum eigentlich, schon Erfahrung damit, was ist der UseCase), einer ordentlichen I-Net Anbindung und Firewall. Quote Link to comment
Lunner Posted April 11 Author Share Posted April 11 Danke vielmals für Deine Erfahrungen! 8 minutes ago, Ford Prefect said: Also DAS würde ich mal lassen, denn das hat keinen WAF und bei quasi kommerzieller Nutzung ist das ein No-GO. Es gibt genug Möglichkeiten, wenn es denn opensense sein muss (warum eigentlich, schon Erfahrung damit, was ist der UseCase), einer ordentlichen I-Net Anbindung und Firewall. Kennst Du folgendes Video von den Geekfreaks? Also für mich ist das sicherer als Anderes... Oder was meinst Du damit? Quote Link to comment
EliteGroup Posted April 12 Share Posted April 12 (edited) Gibt viele Firmen die eine OpnSense hinter einem Modem betreiben, dafür gibts auch Support ist also nicht unüblich. Der Mini PC Air 12 ist allerdings dafür nicht ideal. Du liegt aber richtig, du solltest dir zuerst dein gewünschtes Netzwerk aufbauen und dann erst deinen Server einrichten. Das Problem ist das du dich scheinbar nicht mir Firewalls auskennst und zuerst persönliche Kontakte brauchst die dir bei der Umsetzung helfen. -- OpnSense kannst du mit AdGuard als Plugin betreiben. Edited April 12 by EliteGroup 1 Quote Link to comment
Archonw Posted April 12 Share Posted April 12 (edited) Ich würde dir abraten von der Webseite und rate dringend vom eigenen Mail-Server ab. Gerade zum Mail-Server reichen ein paar Anfragen auf Google und du wirst schnell feststellen, dass das nicht mehr so einfach ist, so etwas effiektiv selbst zu hosten. Zu viele Hürden, die man dabei heute erklimmen muss, damit überhaupt ein anderer Provider noch auf deinen kleinen unbekannten MAil-Server eine Mail zu stellt. Uch die Webseite, empfehle ich, vor allem, wenn sie beruflich genutzt wird nicht selbst zu hosten. Diese sollte nämlich dann so wenig wie möglich an downtime haben, damit Google und Co. sie auch überhaupt ernst nehmen. Die Firewall sollte auf jedenfall als eingenes Gerät im Netz vorhanden sein. Auch hier dem Gedanken geschuldet, dass du sie im gewerblichen Bereich benötigst. Kein Single-point-of-failure wenn produzieren, wenn es sich vermeiden lässt. Spinnt der z.B. File-Server auf dem auch die Firewall drauf ist geht sofort gar nichts mehr im Netz. Was derzeit sinnvoll an Geräten für eine Firewall ist kann ich nicht genau sagen, da ich es bisher nicht gebraucht habe. Da solltest du nochmal bei Google und gerne auch Youtube vorbeischauen. Da werden diverse Möglichkeiten gezeigt und vorgestellt. Bitte nur aufpassen, bei den Videos von Geekfreaks. Diese dienen leider nur noch als grober überblick, und sind nicht als Lehrvideos zu gebrauchen. (Anmerkung: das ist meine bescheidene Meinung, die nicht als Gesetz angesehen werden soll) Habe hier doch noch etwas zum Thema Opensense gefunden. https://schroederdennis.de/firewall/beste-opnsense-pfsense-hardware-appliance-empfehlung-router/ Auch ein Youtuber, aber mit besserm Kenntnissen und eigenem Dyndns-Dienst. Kennt sich in der Netzwerktechnik also recht gut aus. Edited April 12 by Archonw 1 Quote Link to comment
Ford Prefect Posted April 12 Share Posted April 12 18 hours ago, Lunner said: Oder was meinst Du damit? Ich meinte damit, dass Du opnsense offensichtlich virtualisierung willst. DAS ist ein no-go...zum rumspielen ganz ok, aber nicht für produktiv genutzte Netze. Ebenso die Frage nach dem Skill-Level...eine echte Firewall ist schon was anderes als ein Netz hinter NAT zu verstecken. Überlege Dir ob Du das brauchst und ob Du selbst Deine Zeit reinstecken musst (welche dann nicht für Dein Business zur Verfügung steht). My 2cents 3 Quote Link to comment
Lunner Posted April 12 Author Share Posted April 12 (edited) Danke vielmals für Eure konstruktiven Ansätze und Ratschläge! Dafür bin ich sehr dankbar denn ich merke wie ich richtig viel Zeit an Recherche ersparre durch die Erfahrungen von anderen... Kontakte für diese Themen habe ich nicht, daher hocke ich gerade Nacht für Nacht um hier meine Wünsche zu verwirklichen... Und danke für den Link @Archonw Das mit der Homepage und dem Mailserver habe ich mir schon gedacht und werde es outsourcen! Gut, also die Firmensoftware und der Datenserver wird auf dem Mini Air 12 laufen mit Betrieb von ca. 7:30 Uhr - 20 Uhr. Um zusätzlich Strom zu sparen. Diesen Micro Firewall: https://www.amazon.de/dp/B0C8J1Z7R8?tag=schrodennplugin-21&linkCode=ogi&th=1&psc=1 werde ich mir auch bestellen und als Router/Firewall einbauen. Also ja, eine Hardware Firewall möchte ich schon da unser System zuhause schon etwas "sicherer" dadurch wird als ohne etwas, außerdem benötige ich Sicherheit für meine Erpnext Firmensoftware + Datenserver und auf diese möchte ich von außen auch zugreifen können mit Wireguard oder was am sichersten ist.. Folgend wie es bei mir aussehen würde; Hier fehlt noch der Client, ein etwas älterer PC mit 8 Gb Ram und altem Prozessor (Intel(R) Core(TM) i5-4570 CPU @ 3.20GHz) der gerade noch so Debian 12 mit Gnome packt... Alternative könnte ich den MINI Air 12 als Client und das Zimablade für Firmensoftware und Datenserver nutzen wenn ihr meint dass die Geräte dafür gut ausgelegt sind..? Edited April 12 by Lunner Quote Link to comment
Ford Prefect Posted April 12 Share Posted April 12 (edited) 4 hours ago, Lunner said: außerdem benötige ich Sicherheit für meine Erpnext Firmensoftware + Datenserver ....mit einem unmanaged Switch wie dem netgear kannst Du die internen, separaten Netze aber nicht wirklich trennen...Du wolltest doch sicher separate Netze für Heim + Firma + Gast ..und auch in den evtl. vorhandenen WLANs/SSIDs ?? Edited April 12 by Ford Prefect Quote Link to comment
Lunner Posted April 13 Author Share Posted April 13 (edited) 23 hours ago, Ford Prefect said: ....mit einem unmanaged Switch wie dem netgear kannst Du die internen, separaten Netze aber nicht wirklich trennen...Du wolltest doch sicher separate Netze für Heim + Firma + Gast ..und auch in den evtl. vorhandenen WLANs/SSIDs ?? Ja, dann mach ich das mit dem Router.. (https://www.amazon.de/dp/B0C8J1Z7R8?tag=schrodennplugin-21&linkCode=ogi&th=1&psc=1) Wireless ist privat und ein Lan Port und das Firmennetz ist anderer Lan Port zu Switch... Oder meinst du es sei besser einen Switch zu haben? Edited April 13 by Lunner Quote Link to comment
Ford Prefect Posted April 14 Share Posted April 14 (edited) 11 hours ago, Lunner said: Ja, dann mach ich das mit dem Router.. Kannst Du machen, solange Dir die Ports nicht ausgehen. Pysische Ports am Router reichen dann für N-1 (weil 1x WAN) Netze und entsprechende Gegenstellen. 11 hours ago, Lunner said: Oder meinst du es sei besser einen Switch zu haben? Zähle einfach durch, wie viele Endgeräte mit den LANx-Ports des Routers verbunden sind. Hast Du an einem LAN schon zwei, brauchst Du dafür einen Switch. Passiert Dir das für mehr als einen LANx, wäre es besser einen Switch zu haben, den Du aufteilen kannst, statt mehrere Switche. Brauchst Du mehr als N-1 Netze, musst Du auf VLANs gehen. Beispiele: Der Netzwerkdrucker ist ja sicherlich für Alle (shared)...braucht also nochmal ein Netz. Hast Du im unraid mehr als ein Netz aber dafür nicht genug Netzwerk-Ports, kannst Du dann zB VLANs nutzen. Ich habe in meinem unraid ne 10G Karte zum Switch und VLANs am Start, damit trenne ich unraid Admin selbst und Docker für Heim, Gast, IoT, ... Für kritische VMS habe ich weitere dedizierte NICs zum durchreichen. Ausserdem, mit dem richtigen Switch muss auch Inter-(V)LAN Traffic nicht komplett durch den Router durch. Die "kleine" Sense ist schon ganz nett...wirespeed mit Inter-(V)LANs wird ihr aber schon zusetzen, denn die NICS haben keinen vollen L2-Offload oder gar L3-HW-Offload, wie manche andere Multi-NIC Router mit Switch-Chip oder eben dedizierte Switche....alles muss bei der Sense durch die CPU. Eigentlich soll die Sense ja nur den Speed des I-Net schaffen und halten....den Rest soll der Switch erledigen. Also ja, dedizerter Switch, mit richtiger Hardware-Ausrüstung macht Sinn. 11 hours ago, Lunner said: dem Router.. (https://www.amazon.de/dp/B0C8J1Z7R8?tag=schrodennplugin-21&linkCode=ogi&th=1&psc=1) ...dafür gibt es zB den: https://geizhals.de/mikrotik-routerboard-rb5009-router-rb5009ug-s-in-a2585362.html ...und der zieht Kreise um Deine Sense....und einen Switch mit L2-HW-Beschleunigung hat er schon drin (und Wireguard kann er auch nativ (edit: selbst zerotier geht schon ab Werk: https://help.mikrotik.com/docs/display/ROS/ZeroTier und bietet sogar Container support) Allerdings ist RouterOS für viele keine leichte Kost (obwohl ich selbst das Gegenteil bin...ich kriege BSD networking ener Sense nicht in den Kopf...RouterOS auf Linux fällt mir leicht). Gibt aber auch gute Anleitungen, Foren und Hilfe: https://help.mikrotik.com/docs/display/ROS/Getting+started Edit: falls Du bei ner Sense bleiben willst, kann ich natürlich die Mikrotik Switches immer empfehlen Edited April 14 by Ford Prefect Quote Link to comment
Lunner Posted April 16 Author Share Posted April 16 (edited) On 4/14/2024 at 11:48 AM, Ford Prefect said: ..dafür gibt es zB den: https://geizhals.de/mikrotik-routerboard-rb5009-router-rb5009ug-s-in-a2585362.html ...und der zieht Kreise um Deine Sense....und einen Switch mit L2-HW-Beschleunigung hat er schon drin (und Wireguard kann er auch nativ (edit: selbst zerotier geht schon ab Werk: https://help.mikrotik.com/docs/display/ROS/ZeroTier und bietet sogar Container support) Allerdings ist RouterOS für viele keine leichte Kost (obwohl ich selbst das Gegenteil bin...ich kriege BSD networking ener Sense nicht in den Kopf...RouterOS auf Linux fällt mir leicht). Gibt aber auch gute Anleitungen, Foren und Hilfe: https://help.mikrotik.com/docs/display/ROS/Getting+started Edit: falls Du bei ner Sense bleiben willst, kann ich natürlich die Mikrotik Switches immer empfehlen Der Router den du mir vorstellst ist hier als Switch gedacht? ?Sense? Auf meinem Router soll eher OpenSense drauf statt RouterOS, oder spricht etwas dagegen? Tut mir leid, ich verstehe viel, aber eure "Sprache" habe ich noch nicht so ganz durchblick da sehr viele neue Ausdrücke entstanden sind, daher bitte ich um etwas mehr einfachere Begriffe um es besser verstehen zu können was du mir sagen willst! Das hier sollte man "Sicher" betreiben können. Der untere Bereich wird abgeschottet, wobei die Backup-Server und der Client Zugriff nach oben hin Zugriff haben, jedoch der Mini Air 12 von oben nicht nach unten. Nach außen hin sollte nur ein oder 2 Ports zum Mini Air 12 geöffnet werden, wobei ich mich hier noch richtig schlau machen muss! Der Switch wird noch ausgewächselt da der Netgear hier weniger ein Switch sondern mehr ein Lan-Hub zu sein scheint... Gast W-Lan kann ich mit einem extra WLan-Access-Point erstellen bei einem weiteren des Ausgang Routers denn ich selber benötige kein WLan... ODER kann ich den Router mit einem WLan Accsess Point ausstatten sodaß meine Frau über diesen ins Internet kommt? z.B.: Dieses Teil Kann das hier so verwirklicht werden angesichts der Sicherheit und funktion? Herzlichen Dank für Deine Mühe! Ich bin euch wirklich sehr dankbar für die Fragen und Kritik und Sichtweisen! Edited April 16 by Lunner Quote Link to comment
Ford Prefect Posted April 17 Share Posted April 17 7 hours ago, Lunner said: Der Router den du mir vorstellst ist hier als Switch gedacht? Nein das ist ein Router *und* ein Switch. Der Mini-PC, den Du als Router auserkoren hast hast zwar ein paar Netzwerk-Ports, wenn Du aber Netze trennen willst und je Netz-Segment nicht willst (das willst Du nicht) das der Traffik immer durch den Router muss, dann braucht es einen Switch. Ein Switch bietet Hardware-Unterstützung dafür, dass Teilnehmer im Netz, obwohl an unterschiedliche Ports angeschlossen, mit maximaler Geschwindigkeit miteinander kommunizieren können. Er hat dazu einen Switch-Chip eingebaut (quasi eine kleine CPU, die auf Netzwerk-/Ethernet-Traffic und -kommunikation getrimmt ist). Der Mini-PC/Router aus Amazonien hat so einen Switch-Chip nicht!! Das man also einen Switch nutzen kann/muss hast Du prinzipiell auch erkannt, aber nicht bedacht, dass man bei Nutzung von verschiedenen Netz-Segmenten diese auch im Switch trennen muss. Daher ist ein unmanaged Switch wie Deiner ungeeignet. 7 hours ago, Lunner said: ?Sense? Es gibt mehr als ein Derivat von der Router-Software, die Du angedacht hast ...PFSense oder OPNSense --- was Du nimmst ist eigentlich egal...wenn man ein paar Bytes sparen will, schreibt man Sense 7 hours ago, Lunner said: Auf meinem Router soll eher OpenSense drauf statt RouterOS, oder spricht etwas dagegen? Nein, mein Hinweis war nur, dass Du für weniger Geld viel mehr Leistung bekommst mit dem Mikrotik. Unter anderem musst Du auch keinen managed Switch mehr kaufen. ...vielleicht siehst Du es noch nicht, kommt aber bestimmt noch. 8 hours ago, Lunner said: Das hier sollte man "Sicher" betreiben können. Wenn Dein mini Air Dingsbums ein unraid host (oder Proxmox oder was anderes in der Art) ist, dann brauchst Du entweder mehr physische Ports um die Software-Komponenten (Host/Verwaltung, Dienste/Server/VMs/Docker) auf Netzsegmente zu trennen oder VLANs. Denke nicht in Kabeln, sondern in Netz-Segmenten (= IP-Segemente)...male das Bild mal damit neu...wo landet der Mini Air dann, in Deinem Diagramm am besten? 8 hours ago, Lunner said: Der Switch wird noch ausgewächselt da der Netgear hier weniger ein Switch sondern mehr ein Lan-Hub zu sein scheint... Ein Switch ist aber genau das...die Frage ist, wie viele LAN-Segmente, die voneinander getrennt sein sollen, brauchst Du...ein unmanaged Switch sieht alle Ports als ein LAN. 8 hours ago, Lunner said: Gast W-Lan kann ich mit einem extra WLan-Access-Point erstellen bei einem weiteren des Ausgang Routers denn ich selber benötige kein WLan... Klar...aber wie kommt sie den heute ins Internet? 8 hours ago, Lunner said: ODER kann ich den Router mit einem WLan Accsess Point ausstatten sodaß meine Frau über diesen ins Internet kommt? z.B.: Dieses Teil Warum? Willst Du ne Eierlegende Wollmilchsau (eine Fritz)box nachbauen? Nimm einen normalen AP....den kannst Du auch noch in der Position im Haus etwas besser verändern um die WLAN Versorgung zu optimieren. Du weisst wahrscheinlich nicht, was ein WAF ist Ausserdem ist das Teil da nur ein Adapter...fehlt noch die WLAN-Karte und Antenne...und die Karte musst Du danach aussuchen, das OPNSense dafür Treiber hat (wenn es überhaupt welche für sowas bietet) und hoffen, dass die Treiber auch bei Updates noch da sind/mitgepflegt werden. Ich würde es *nicht* so machen. Quote Link to comment
Lunner Posted April 18 Author Share Posted April 18 (edited) On 4/17/2024 at 8:30 AM, Ford Prefect said: Nein das ist ein Router *und* ein Switch. Der Mini-PC, den Du als Router auserkoren hast hast zwar ein paar Netzwerk-Ports, wenn Du aber Netze trennen willst und je Netz-Segment nicht willst (das willst Du nicht) das der Traffik immer durch den Router muss, dann braucht es einen Switch. Ein Switch bietet Hardware-Unterstützung dafür, dass Teilnehmer im Netz, obwohl an unterschiedliche Ports angeschlossen, mit maximaler Geschwindigkeit miteinander kommunizieren können. Er hat dazu einen Switch-Chip eingebaut (quasi eine kleine CPU, die auf Netzwerk-/Ethernet-Traffic und -kommunikation getrimmt ist). Der Mini-PC/Router aus Amazonien hat so einen Switch-Chip nicht!! Also kann ich auf den dann auch OPNSense darauf installieren und Adguard und Pihole und von was immer die Rede ist? Ich habe nicht gesehen ob der einen Prozessor, eine Festplatte oder Ram Speicher oder irgendetwas hat um Blacklisten oder Apps daruf zu laden. Nach meinem Plan sind ja unteres und oberes Netzwerk getrennt mit einem unterschiedlichen IP-Segment... On 4/17/2024 at 8:30 AM, Ford Prefect said: Das man also einen Switch nutzen kann/muss hast Du prinzipiell auch erkannt, aber nicht bedacht, dass man bei Nutzung von verschiedenen Netz-Segmenten diese auch im Switch trennen muss. Daher ist ein unmanaged Switch wie Deiner ungeeignet. Das würde ja der Router auch machen wie ich es auf dem Plan gezeigt habe, nur dass dieser halt kein Switch in dem Sinne ist, allerdings könnte man noch einen dazu stellen bzw. einen Virtuellen drauf tun.. Ich weiß noch nicht ob ich Unraid auf den Router auch drauf installieren muss für die gnazen Apps wie Adguard, Pihole usw.. On 4/17/2024 at 8:30 AM, Ford Prefect said: Wenn Dein mini Air Dingsbums ein unraid host (oder Proxmox oder was anderes in der Art) ist, dann brauchst Du entweder mehr physische Ports um die Software-Komponenten (Host/Verwaltung, Dienste/Server/VMs/Docker) auf Netzsegmente zu trennen oder VLANs. Denke nicht in Kabeln, sondern in Netz-Segmenten (= IP-Segemente)...male das Bild mal damit neu...wo landet der Mini Air dann, in Deinem Diagramm am besten? Das bedeutet dass der Switch jede Anfrage zum Router hin weiterleitet auch wenn sie eigentlich in seinem IP-Segment bleiben sollten? Man kann mit dem Router genauso einstellen welcher Lan-Port welches IP-Segment hat, auch welcher Port für das Internet ist uvm.. daher verstehe ich nicht ganz was Du mir damit sagen möchtest? Ich sitze auf der Leitung.. On 4/17/2024 at 8:30 AM, Ford Prefect said: Ein Switch ist aber genau das...die Frage ist, wie viele LAN-Segmente, die voneinander getrennt sein sollen, brauchst Du...ein unmanaged Switch sieht alle Ports als ein LAN. Eigentlich nur 2 und bei 4 Port's wäre Port 0 zum Modem Port 1 mit z.B. 192.168.2... Port 2 mit z.B. 192.168.0... On 4/17/2024 at 8:30 AM, Ford Prefect said: Klar...aber wie kommt sie den heute ins Internet? Über unseren Router den wir von T-Mobile gestellt bekommen haben, der eben kaum Schutz bietet warum ich eine Hardware-Firewall erstellen möchte. Und über deren W-Lan ist sie auch im Netzwerk meiner Server und da habe ich mich auch schon gefragt ob es hier irgendwelche Firewall App's gibt die auch intern das Netzwerk überwachen wenn sie ja auf dem Smartphone surft und dann Bilder auf unsere Nextcloud schiebt... On 4/17/2024 at 8:30 AM, Ford Prefect said: Warum? Willst Du ne Eierlegende Wollmilchsau (eine Fritz)box nachbauen? Nimm einen normalen AP....den kannst Du auch noch in der Position im Haus etwas besser verändern um die WLAN Versorgung zu optimieren. Du weisst wahrscheinlich nicht, was ein WAF ist Ausserdem ist das Teil da nur ein Adapter...fehlt noch die WLAN-Karte und Antenne...und die Karte musst Du danach aussuchen, das OPNSense dafür Treiber hat (wenn es überhaupt welche für sowas bietet) und hoffen, dass die Treiber auch bei Updates noch da sind/mitgepflegt werden. Ich würde es *nicht* so machen. Aber die Eierlegende Wollmichsau kam doch von dir... 😇 Ja ein AP ist denke ich auch die bessere Lösung, am liebsten aber über die Firewall und ins eigene Netzwerk am liebsten auch über die Firewall damit sich nicht irgendetwas einschmuggelt Und nein, WAF kenne ich noch nicht, Web Applications Firewall.. ist das für den Client oder für den Browser, habe noch keine genaueren Informationen auf die schnelle gefunden.. ?Es scheint für Hosting-Server zu sein..? Edit: es sind wohl diese "Recaptcha" dinger "sind sie wirklich ein Mensch"-Dinger... Also am liebsten alles über die Firewall auch jede Kommunikation intern damit das alles Überwacht wird, oder gibt es hierfür etwas anderes? Bei Sophos Switches gibt es "intelligente" die den internen Datenverkehr überwachen und sogar einen PC/Server/sonstiges Gerät in Quarantäne stecken wenn dieser "Infiziert" ist, soetwas würde mich auch interessieren, aber das ist dann wieder etwas zu teuer... + man zahlt noch Upgrade Service Pauschalen usw. Edited April 18 by Lunner Quote Link to comment
Ford Prefect Posted April 18 Share Posted April 18 1 hour ago, Lunner said: Also kann ich auf den dann auch OPNSense darauf installieren Nein, das ist ein Hardware-Router, mit RouterOS. 1 hour ago, Lunner said: darauf installieren und Adguard und Pihole ja, das schon...allerdings wäre entweder Adguard oder Pihole...zusammen macht nirgends Sinn 1 hour ago, Lunner said: und von was immer die Rede ist? ...ich weiss nicht, von was immer da die/Deine Rede ist...kannste bei OPNSense auch nicht. Aber wie schon gesagt, RouterOS ist keine leichte Kost....da Du Dich da wohl garnicht auskennst, würde ich sagen lass es. Es gibt mehr Videos, die Du kopieren kannst von OPNSense/PFSense.... 1 hour ago, Lunner said: Nach meinem Plan sind ja unteres und oberes Netzwerk getrennt mit einem unterschiedlichen IP-Segment... In Deinem Plan erkennt man keine IP-Segmente, nur Netzwerk(Kabel)Verbindungen ...oder was soll jedee Verbindung in dem Bild darstellen? Wenn es ein Netzwerk-Segment darstellen sollte, hast Du da schon einen Fehler, denn um das korrekt zu bauen, braucht es auf dem "Firmensoftware-Server" mehr als ein Netzz-Segment... 1 hour ago, Lunner said: Das bedeutet dass der Switch jede Anfrage zum Router hin weiterleitet auch wenn sie eigentlich in seinem IP-Segment bleiben sollten? Nein. 1 hour ago, Lunner said: Man kann mit dem Router genauso einstellen welcher Lan-Port welches IP-Segment hat, auch welcher Port für das Internet ist uvm.. daher verstehe ich nicht ganz was Du mir damit sagen möchtest? Ich sitze auf der Leitung.. Du gehst davon aus, dass der "Firmensoftwareserver" nur ein Segment braucht...das ist falsch...zumindest wenn Du es sicher machen willst. Und im inneren willst Du vielleicht ja auch mehr als eines brauchen.... 1 hour ago, Lunner said: Über unseren Router den wir von T-Mobile gestellt bekommen haben, der eben kaum Schutz bietet warum ich eine Hardware-Firewall erstellen möchte. Ich glaube der bietet für den Zweck ausreichend Schutz. Da dort der User die Firewall nicht kaputt konfigurieren kann, bietet er genaugenommen weniger Risko für den Normalo-User als wenn dieser mit einer OPNSense o.ä. spielt. 1 hour ago, Lunner said: Aber die Eierlegende Wollmichsau kam doch von dir... 😇 gut gekontert, aber in dem Kontext geht es um WiFi und genau das habe ich Dir nicht in einem Gerät empfohlen. 1 hour ago, Lunner said: Und nein, WAF kenne ich noch nicht, -> Wife Acceptance Factor 1 hour ago, Lunner said: Also am liebsten alles über die Firewall auch jede Kommunikation intern damit das alles Überwacht wird, oder gibt es hierfür etwas anderes? Bei Sophos Switches gibt es "intelligente" die den internen Datenverkehr überwachen und sogar einen PC/Server/sonstiges Gerät in Quarantäne stecken wenn dieser "Infiziert" ist, soetwas würde mich auch interessieren, aber das ist dann wieder etwas zu teuer... + man zahlt noch Upgrade Service Pauschalen usw. Yepp...genau...mach das mal...aber komm bitte nicht hierher, wenn Dir der WAF im Nacken sitzt Also, bevor das hier zu weit abdriftet....gegen Deine grundsätzlichen Ansprüche an Sicherheit ist ja nix einzuwenden, aber bei der Umsetzung schiesst Du - mein Eindruck - etwas übers Ziel hinaus - und über Deine Fähigkeiten, vermutlich. Nur weil eine Lösung sowas kann, ist sie nicht so einfach zu bedienen, wie der Heim-Router. Der ist genauso sicher im Rahmen der Möglichkeiten, die er bietet...kann aber komplexere Netzwerk-Setups nicht, aber dafür kann der User nicht viel falsch machen und die Sicherheit unterlaufen. Bei einer "frei konfigurierbaren" Lösung ist das anders...nicht umsonst werden diese Instanzen in einer 4ma von Profis betreut (normalerweise). Du solltest das etwas minimalistischer angehen. Auch eine OPNSense ist mit wenigen Einstellungen erstmal sicher...mit jedem Register, das man danach zieht steigt das Risiko, dass man etwas verkonfiguriert, statt es noch sicherer zu machen. 1 Quote Link to comment
Lunner Posted April 18 Author Share Posted April 18 (edited) 24 minutes ago, Ford Prefect said: In Deinem Plan erkennt man keine IP-Segmente, nur Netzwerk(Kabel)Verbindungen ...oder was soll jedee Verbindung in dem Bild darstellen? Wenn es ein Netzwerk-Segment darstellen sollte, hast Du da schon einen Fehler, denn um das korrekt zu bauen, braucht es auf dem "Firmensoftware-Server" mehr als ein Netzz-Segment... Du gehst davon aus, dass der "Firmensoftwareserver" nur ein Segment braucht...das ist falsch...zumindest wenn Du es sicher machen willst. Und im inneren willst Du vielleicht ja auch mehr als eines brauchen.... Gut, solche Plane erstelle ich zum ersten mal, jedoch war die rote Strichlierte Linie so gedacht dass es 2 Unterschiedliche IP-Segmente sind. Warum sollte der Firmensoftware-Server mehrere Netzwerk-Segmente benötigen? Kannst Du mir ein Beispiel nennen? 24 minutes ago, Ford Prefect said: Ich glaube der bietet für den Zweck ausreichend Schutz. Da dort der User die Firewall nicht kaputt konfigurieren kann, bietet er genaugenommen weniger Risko für den Normalo-User als wenn dieser mit einer OPNSense o.ä. spielt. Also, bevor das hier zu weit abdriftet....gegen Deine grundsätzlichen Ansprüche an Sicherheit ist ja nix einzuwenden, aber bei der Umsetzung schiesst Du - mein Eindruck - etwas übers Ziel hinaus - und über Deine Fähigkeiten, vermutlich. Nur weil eine Lösung sowas kann, ist sie nicht so einfach zu bedienen, wie der Heim-Router. Der ist genauso sicher im Rahmen der Möglichkeiten, die er bietet...kann aber komplexere Netzwerk-Setups nicht, aber dafür kann der User nicht viel falsch machen und die Sicherheit unterlaufen. Bei einer "frei konfigurierbaren" Lösung ist das anders...nicht umsonst werden diese Instanzen in einer 4ma von Profis betreut (normalerweise). Du solltest das etwas minimalistischer angehen. Auch eine OPNSense ist mit wenigen Einstellungen erstmal sicher...mit jedem Register, das man danach zieht steigt das Risiko, dass man etwas verkonfiguriert, statt es noch sicherer zu machen. Da liegst du wohl weit richtig, jedoch lerne ich nie mein System zu verbessern wenn ich es nicht wage. Andererseits ist es mir schon einiges wert wenn Du meinst dass unser Router auch für meinen Firmen-Server genügend Schutz bietet, andererseits möchte ich einmal Nextcloud für Kunden und Kollegen und einmal Erpnext nach draußen hin öffnen.. also Kunden/Freunde/Kollegen sollen dann Bilder auf meinen Firmenserver hochladen können. Bei einer OPN-Sense Firewall würde ich alles zumachen und Stück für Stück Webseiten (wegen Blacklisten) oder Ports freigeben. Ports am liebsten nur einen einzigen <- irgendwo habe ich gelesen dass dies geht, dann sind es halt 2-3 mehr. Denkst du wirklich dass "mein" System weniger Sicher ist als mit einem stink normalen Router unseres Providers? Immerhin hätte ich ja als Unterstützung mehrere App's wie eben Adguard was mein Router nicht hat.. 🤔 Edited April 18 by Lunner Quote Link to comment
Lunner Posted April 18 Author Share Posted April 18 On 4/11/2024 at 11:25 PM, Ford Prefect said: Also DAS würde ich mal lassen, denn das hat keinen WAF und bei quasi kommerzieller Nutzung ist das ein No-GO. Es gibt genug Möglichkeiten, wenn es denn opensense sein muss (warum eigentlich, schon Erfahrung damit, was ist der UseCase), einer ordentlichen I-Net Anbindung und Firewall. WAF schützt bei HTTP, in OPNSense kann ich auf HTTPS umstellen, aber ich denke ich habe dich hier nicht verstanden weil es für mich noch zu viele neue Begriffe sind, die ich allerdings gerade im Eiltempo lerne... On 4/12/2024 at 6:03 PM, Ford Prefect said: Ich meinte damit, dass Du opnsense offensichtlich virtualisierung willst. DAS ist ein no-go...zum rumspielen ganz ok, aber nicht für produktiv genutzte Netze. @Ford Prefect Du meinst damit dass man Diagramme bzw. Überwachung nicht auf einen Monitor schalten sollte? Quote Link to comment
Ford Prefect Posted April 18 Share Posted April 18 11 minutes ago, Lunner said: Gut, solche Plane erstelle ich zum ersten mal, jedoch war die rote Strichlierte Linie so gedacht dass es 2 Unterschiedliche IP-Segmente sind. Warum sollte der Firmensoftware-Server mehrere Netzwerk-Segmente benötigen? Kannst Du mir ein Beispiel nennen? Ich habe nicht von der roten gestrichelten Liniie, sondern von der Verbindung Firmenserver (der Mini) zur Firewall gesprochen. Das Beispiel ist einfach: Du schreibst ja selbst, von Innen und Aussen erreichbar. Und jeder Server hat eine System-/Verwaltungs-Ebene und eine Applikations-Ebene. Beim Beispiel unraid möchtest Du das Web-Interface zur Konfiguration nicht im gleichen Netz haben ueber das auch die externen Nutzer auf die anderen Dienste/Apps/... zugreifen. im "echten" Leben ist ein Host in der "demilitarisierten Zone (DMZ) *zwischen* zwei Firewalls - eine zwischen DMZ und I-Net und eine zwischen DMZ und Heimnetz. Sind die Dienste auf dem Server in der DMZ virtualisiert, macht es das noch komplizierter. 21 minutes ago, Lunner said: wenn Du meinst dass unser Router auch für meinen Firmen-Server genügend Schutz bietet, andererseits möchte ich einmal Nextcloud für Kunden und Kollegen und einmal Erpnext nach draußen hin öffnen.. also Kunden/Freunde/Kollegen sollen dann Bilder auf meinen Firmenserver hochladen können. Nein, das kann er nicht, weil er eben nicht mehrere Netze kann. Um diese Dienste anzubieten musst Du die Firewall quasi teilweise durchlöchern. Das gilt auch bei deinem Telekom-Router...das Problem: er kann nur ein Netz...ist die Verbindung kompromittiert, ist das eine/ganze Netz kompromittiert. Hast Du nun mehrere Netze, schön durch Firewalls getrennt, ist dann eben (hoffentlich) nur das eine Netz kompromittiert....mehrere Netze machen es also nicht sicherer, sondern senken nur das Risiko eines "Totalschadens". 29 minutes ago, Lunner said: Bei einer OPN-Sense Firewall würde ich alles zumachen und Stück für Stück Webseiten (wegen Blacklisten) oder Ports freigeben. Ports am liebsten nur einen einzigen <- irgendwo habe ich gelesen dass dies geht, dann sind es halt 2-3 mehr. Denkst du wirklich dass "mein" System weniger Sicher ist als mit einem stink normalen Router unseres Providers? Immerhin hätte ich ja als Unterstützung mehrere App's wie eben Adguard was mein Router nicht hat.. 🤔 Blacklistes, Adguard usw sind Services, die auf die Teilnehmer im internen Netz "wirken"...Portweiterleitungen sind für Zugriffe von Aussen nach Innen. Das sind getrennte Perspektiven. Quote Link to comment
Ford Prefect Posted April 18 Share Posted April 18 4 minutes ago, Lunner said: WAF schützt bei HTTP, in OPNSense kann ich auf HTTPS umstellen, aber ich denke ich habe dich hier nicht verstanden weil es für mich noch zu viele neue Begriffe sind, die ich allerdings gerade im Eiltempo lerne... ...also mit WAF war jetzt wirklich was anderes gemeint 🤣 8 minutes ago, Lunner said: Du meinst damit dass man Diagramme bzw. Überwachung nicht auf einen Monitor schalten sollte? ...es ging um diese Aussage von Dir: On 4/9/2024 at 9:23 PM, Lunner said: 1x Mini PC Air 12 als Firewall, Firmensoftware und Datenserver <- wenn das geht, also OPNSense mit Adguard usw. + weitere Server? -> ein physischer Host mit unterschiedlichen Diensten....davon einer als Firewall, eine OPNSense. Das bedeutet, dass auf dem Host eine OPNSense als Virtuelle Maschine läuft. Wenn diese Firewall die zentrale Firewall sein soll, dann macht man das nicht mit einer VM !!! -> das war meine Aussage. Hintergrund: hat der Server mal "Wartung", steht die Firewall. Das bedeutet im besten Fall ungemach mit der Familie und/oder Ärger mit Firmenkunden/Mitarbeitern. Quote Link to comment
Lunner Posted April 24 Author Share Posted April 24 Gut, was würdest Du mir -unabhängig von den folgenden Fragen- konkret vorschlagen? Ich habe jetzt eine MicroFirewall/Barebone über Amazon bestellt und wollte darauf Unraid laufen lassen und OPNSense usw. installieren.. danach sollte vielleicht ein Switch geschaltet werden der die Netze trennen kann, also 192.168.1.1 // 192.168.2.1, eine für den FirmenServer und die andere für das private Netz... z.B. die Sophos Switches können das, kostet aber auch wieder ein paar Hunderter was ich mich erinnere und Support oder so... Mit der eigenen Firewall sollte das ja auch gehen, oder nicht? Wenn ich das überhaupt fließend zum laufen bekomme.. grml.. Also sollte ich diese stornieren weil ich das ganze wohl eh nicht hinbekomme oder reicht mein Router für die Sicherheit meines Zwecks nicht aus? Meinen MiniPC mit meiner erpnext-Software an unseren Router, einen Port freigeben und schön Backupen falls doch etwas ist und fertig... Möglichkeiten habe ich jetzt genügend, leider habe ich jetzt mir viel Geld, dafür aber sehr schnell viel Erfahrung gesammelt. Denn ich habe bemerkt was ich nicht alles gebraucht hätte und was schwerer zum umsetzen ist (z.B. Zimablade mit Unraid für Backups und sonstige tätigkeiten, jedoch kein Array oder Cache da die 2 Festplatten für die Backup's gedacht sind... haha...) 😕 Quote Link to comment
Ford Prefect Posted April 25 Share Posted April 25 23 hours ago, Lunner said: Gut, was würdest Du mir -unabhängig von den folgenden Fragen- konkret vorschlagen? ...also, basierend auf Deiner oben angeführten Hardware, inkl. der Mini-Firewall aus Amazonien, würde ich folgendes machen: On 4/9/2024 at 9:23 PM, Lunner said: 1x Server mit Intel core i5-12600, 32GB DDR5 Ram, alte Nvidia Grafikkarte, 3 Nvme's und Platz für 8 Sataplatten ...das wird Dein zentraler Unraid-Server.....was für ein i5 ist es genau? ist die Nvidia nötig oder hat de CPU eine interne Grafik (IGP)? Welches MB ist es genau..sind de 8xSATA on-board oder ist das nur der Platz im Gehäuse..was für ein NT ist da drin? Ich würde Datei/Bild-Server für Firma und Privat komplett trennen..über VLANs und eigene, getrennte Instanzen einer Nextcloud....das ist weniger anfällig gegen Fehler in der Konfiguration...als Frontend nach Aussen und/oder auch Innen kannst Du immer noch ein SWAG, am besten mit 2FA nutzen. unraid Host selbst auf eigenem (Management-)VLAN. Wenn Du meinst das 1xGBit Bandbreite für alles nicht reicht: Hast Du evtl. noch Platz für eine weitere Dual- oder gar Quad-Netzwerkkarte? (eine i350-T2 oder -T4, z.B. sowas...) On 4/9/2024 at 9:23 PM, Lunner said: 1x GEEKOM Mini Air12 Mini-PC Intel Alder Lake der 12.Generation ...den nimmst Du für Deine Firmen-ERP-Lösung (wenn die da rauf läuft...hast Du das schon probiert? On 4/9/2024 at 9:23 PM, Lunner said: 1x Zimablade mit Gehäuse für 2 Festplatten fürs Backup? Keine Ahnung, was das Ding wirklich kann und wie man da die 2x3.5HDDs anschliesst ohne das die irgendwie rumfliegen (passen die *in* das Blade?) On 4/14/2024 at 1:18 AM, Lunner said: Ja, dann mach ich das mit dem Router.. (https://www.amazon.de/dp/B0C8J1Z7R8?tag=schrodennplugin-21&linkCode=ogi&th=1&psc=1) ...den nimmst Du jetzt für Deine PFsense/OPNSense Firewall....inkl. Adguard, unbound, wireguard, .... On 4/9/2024 at 9:23 PM, Lunner said: 1x Switch von Netgear ProSafe GS108 (billigteil) ...jo, da nimmst Du was Neues inkl. Management und VLANs, Auswahl hier ...ich empfehle zB Zyxel, Dlink oder Mikrotik Quote Link to comment
Lunner Posted April 25 Author Share Posted April 25 (edited) Wenn du schon so in Fahrt bist hänge ich mich gleich rein! 😅 1 hour ago, Ford Prefect said: ...also, basierend auf Deiner oben angeführten Hardware, inkl. der Mini-Firewall aus Amazonien, würde ich folgendes machen: ...das wird Dein zentraler Unraid-Server.....was für ein i5 ist es genau? ist die Nvidia nötig oder hat de CPU eine interne Grafik (IGP)? Welches MB ist es genau..sind de 8xSATA on-board oder ist das nur der Platz im Gehäuse..was für ein NT ist da drin? i5-12600K mit GPU die Nvidia ist nur zur unterstützung der GPU bzw. für VMs 8 Sata Festplatten sind verbaut + 3 von 4 Nvme's Netzteil: THERMALTAKE ToughPower GF A3 Gold 650W ATX 3.0 Tower als MainServer (für folgende Apps und für VM's, ?eventuell auch für Fehleranalyse Programme oder derartiges?..) ? (bin gerade verwundert über meinen Ram Riegel, denn ich kaufte diesen "KINGSTON FURY Beast DIMM 32GB, DDR5-5200, CL40-40-40" und sehe aber hier oben DDR5 3600...) ? 1 hour ago, Ford Prefect said: Ich würde Datei/Bild-Server für Firma und Privat komplett trennen..über VLANs und eigene, getrennte Instanzen einer Nextcloud....das ist weniger anfällig gegen Fehler in der Konfiguration...als Frontend nach Aussen und/oder auch Innen kannst Du immer noch ein SWAG, am besten mit 2FA nutzen. unraid Host selbst auf eigenem (Management-)VLAN. Wenn Du meinst das 1xGBit Bandbreite für alles nicht reicht: Hast Du evtl. noch Platz für eine weitere Dual- oder gar Quad-Netzwerkkarte? (eine i350-T2 oder -T4, z.B. sowas...) Klingt gut und ja, Platz ist noch vorhanden aber zuerst sehe ich ob die 1xGB ausreichend sind. 1 von 2 mini PCI (2te wird durch Graka verdeckt) und 1x Nvme Mini Air 12 als Firmen-Datei-Server (mit 2FA) ( auf Netzwerksegment 1) MainServer für Private Datein und Bilder (dieser muss auch nicht durchlaufen sondern wird bei bedarf eingeschalten) (auf Netzwerksegment 2) 1 hour ago, Ford Prefect said: ...den nimmst Du für Deine Firmen-ERP-Lösung (wenn die da rauf läuft...hast Du das schon probiert? Mini Air 12 für Firmensoftware (mit 2FA und einem automatischen ausloggen) Ja, ich denke der ist am sparsamsten wenn der jeden Tag von ca. 6Uhr - 22Uhr läuft. Der kommt leider erst. Er wurde nur vorbestellt und wird ende Apr. losgeschickt, aber das läuft bestimmt, am MainServer habe ich es schon laufen. 1 hour ago, Ford Prefect said: fürs Backup? Keine Ahnung, was das Ding wirklich kann und wie man da die 2x3.5HDDs anschliesst ohne das die irgendwie rumfliegen (passen die *in* das Blade?) Dazu gibt es ein Gehäuse, dabei dachte ich mir dass ich das Blade für weitere Zwecke laufen lasse und ich ein Programm finde das die Festplatten nach jedem Backup wieder automatisch aushängt, allerdings ist das dann keine 100% Offline Sicherung. Auf jeden Fall ist dieses ding bereits bei mir und ein wirklich lustiges Ding dass ich früher sicher in mein Auto verbaut hätte. 1 hour ago, Ford Prefect said: ..den nimmst Du jetzt für Deine PFsense/OPNSense Firewall....inkl. Adguard, unbound, wireguard, .... ...jo, da nimmst Du was Neues inkl. Management und VLANs, Auswahl hier ...ich empfehle zB Zyxel, Dlink oder Mikrotik Micro Firewall Appliance, Mini PC (PFsense/OPNSense Firewall....inkl. Adguard, unbound, wireguard, ....) Manages Switch (von Zyxel, Dlink oder Mikrotik) Gut, auf den Mini Air und die Firewall warte ich noch, die sind auf dem Weg. Mit dem Switch beschäftige ich mich die Tage, das wird ein günstigeres Modell Mit dem Zimablade überlege ich mir noch etwas, es ist am ehesten als Nas zu verwenden, hat aber schon auch Potential für mehr.. Zusammengefasst: Micro Firewall Appliance, Mini PC (PFsense/OPNSense Firewall....inkl. Adguard, unbound, wireguard, ....) Manages Switch (von Zyxel, Dlink oder Mikrotik) MainServer für Private Datein und Bilder (für folgende Apps und für VM's...) ( auf Netzwerksegment 2) Mini Air 12 als Firmen-Datei-Server & Firmensoftware (mit 2FA) ( auf Netzwerksegment 1) Ort für Backup - noch undefiniert Ort für Offline Backup - noch undefiniert Verfügbar: Mainserver /// Zimablade mit 2x 3,5" Sata So, habe mir auch etwas Mühe gegeben um Deine Anzuerkennen, ich hoffe es etwas Übersichtlich rüber gebracht zu haben. Danke für Deine Zeit und Mühe! Generell alle hier sind sehr bemüht! Danke! Edited April 25 by Lunner Quote Link to comment
Ford Prefect Posted April 25 Share Posted April 25 16 minutes ago, Lunner said: 8 Sata Festplatten sind verbaut ..das heisst, das Motherboard hat 8 SATA Anschlüsse oder ist ein extra SATA Controller vorhanden? Welches Motherboard ist es denn genau? Sag am beten mal, was alles für Komponeten in dem Ding stecken, inkl. PCIe Adapter/Controller usw. 22 minutes ago, Lunner said: Mini Air 12 als Firmen-Datei-Server (mit 2FA) ( auf Netzwerksegment 1) MainServer für Private Datein und Bilder (dieser muss auch nicht durchlaufen sondern wird bei bedarf eingeschalten) (auf Netzwerksegment 2) Ich dachte beim Mini Air nur an das ERP Datei/Mainserver für Firma/Kunden als Nextcloud #1 auf unRaid-Host Date/Mainserver für private Zwecke als Nextcloud #2 auf unraid-Host ...alles in getrennten (V)LANs, damit der Traffik zwischen Instanzen auch immer durch die Firewall durch muss, wenn es mal solche Verbindungen gibt. Quote Link to comment
Ford Prefect Posted April 26 Share Posted April 26 12 hours ago, Lunner said: ? (bin gerade verwundert über meinen Ram Riegel, denn ich kaufte diesen "KINGSTON FURY Beast DIMM 32GB, DDR5-5200, CL40-40-40" und sehe aber hier oben DDR5 3600...) ? ...schau in die Einstellungen ins BIOS....die CPU sollte DDR-4800 unterstützen ..versuche das XMP-Profile. Quote Link to comment
Lunner Posted April 30 Author Share Posted April 30 On 4/26/2024 at 12:37 AM, Ford Prefect said: ..das heisst, das Motherboard hat 8 SATA Anschlüsse oder ist ein extra SATA Controller vorhanden? Welches Motherboard ist es denn genau? Sag am beten mal, was alles für Komponeten in dem Ding stecken, inkl. PCIe Adapter/Controller usw. Das Motherboard hat 8 und es sind gerade 7 Festplatten verbaut. 3 Nvme's und eine ältere Nvidia Grafikkarte Mainboard: ASROCK Z790 PRO RS ATX Intel DDR5 S1700 unten auf Technische Daten klicken, es gibt kein Datenblatt. On 4/26/2024 at 12:50 PM, Ford Prefect said: ...schau in die Einstellungen ins BIOS....die CPU sollte DDR-4800 unterstützen ..versuche das XMP-Profile. Danke, ja dort steht 3600, warum auch immer... On 4/26/2024 at 12:37 AM, Ford Prefect said: Ich dachte beim Mini Air nur an das ERP Datei/Mainserver für Firma/Kunden als Nextcloud #1 auf unRaid-Host Date/Mainserver für private Zwecke als Nextcloud #2 auf unraid-Host ...alles in getrennten (V)LANs, damit der Traffik zwischen Instanzen auch immer durch die Firewall durch muss, wenn es mal solche Verbindungen gibt. Den großen MainTower möchte ich nicht den ganzen Tag laufen lassen und die Privaten Bilder müssen auch nicht über Internet übertragen werden sondern bleiben Zuhause im Netzwerk. Von mir aus über WLan wenn der Tower eingeschalten ist. Das reicht meiner Frau. Den MainTower benötige ich hauptsächlich für Arbeiten, VM's, später Videoschnitt und Backup's. Ich dachte eher den Mini Air für ERP und eine Art FTP-Server oder etwas wofür man keine APP benötigt. Eine Homepage kommt dieses Jahr und ich werde mit dem Hoster sprechen ob ein FTP-Server mit Gast Zugang inkludiert ist, so kann ich das gleich outsourcen.. Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.