Einblick in mein Netzwerk

Einblick in mein Netzwerk
Noch nicht bewertet. Sei die/der Erste!

Für die meisten Menschen ist der PC nur eine Maschine, mit der man Arbeiten, Spiele spielen oder mit anderen in Kontakt treten bzw. bleiben kann.
Dann gibt es Mitmenschen, die sich zwar mehr für die Technik rund um den Computer interessieren, selbst aber wenig praktisch umsetzten.
Aber da ist auch noch eine kleine Minderheit (behaupte ich jetzt mal), die ihr erworbenes Wissen auch zu Hause umsetzen wollen und sich selbst und für die Familie ein größeres Netzwerk mit eigenen Servern und Diensten aufbauen – wie ich.

In der Regel wird für den Zugang zum Internet eine Router des Providers verwendet, was in den meisten Fällen auch vollkommen ausreichend ist.
Wer möchte, kann sich natürlich auch einen eigenen Router installieren. Hierfür gibt es mehrere Betriebssysteme, die jeden PC mit mindestens zwei Netzwerkanschlüssen in einen vollwertigen Router mit vielen nützlichen Zusatzfunktionen umrüsten können.

Eines dieser Betriebssysteme ist die Sophos UTM (früher Astaro). Sie bietet interessante Funktionen wie einen http/ftp-Proxy, VPN (SSL, L2TP/IPsec, PPTP), Application-Firewall, Webserver-Firewall, usw. Sie verrichten bei mir schon mehrere Jahre zuverlässig ihren Dienst.

Es spricht nichts dagegen, die UTM auf einer Hardware laufen zu lassen. Da in meinem Netzwerk aber bereits ein VMware ESXi vor sich in werkelt, ist es naheliegend auch das Router-Betriebssystem zu virtualisieren.
Für den Hypervisor sollte, je nach Einsatzanforderungen, logischerweise auch entsprechend potente Hardware eingesetzt werden. Meistens wird hier auf XEON-Prozessoren von Intel gesetzt. Das ist für Firmen definitiv die beste Wahl, aber für den Heimgebrauch doch ziemlich „oversized“ – vom Stromverbrauch mal abgesehen.
Was viele aber nicht glauben: Für den heimischen Einsatz reicht ein halbwegs aktueller Celeron mit einem TDP von 35W vollkommen aus – vorausgesetzt hierauf sollen keine ungewöhnlich leistungsfressenden Aufgaben ausgeführt werden. Schließlich lastet man den Host zu Hause nie oder nicht sonderlich lange voll aus.

Ich habe in meiner Vergangenheit schon einige Hardwarekombinationen für den VMware ESXi Hypervisor ausprobiert und stelle für meine hauptsächlichen Zwecke (Active Directory, Webserver, E-Mail-Server, PRTG-Probe, DNS, SQL-Server) keinen großen Unterschied bezüglich Leistungsengpässen zu meiner vorherigen stromfressenden AMD Phenom II X4 bzw. Intel XEON CPU und dem jetzigen Celeron fest. Gut, virtuelle Maschinen zur Konvertierung oder zum Rendering von Videos kann ich auf dem Celeron nicht sinnvoll laufen lassen, aber dafür gibt es nun einen dedizierten Server. Dieser läuft nur auf „Zuruf“ und nicht 24/7.

Mein Haupt-ESX ist ein HP Microserver Gen8 mit einem Celeron G1610T und 16 GB DDR3 1600 ECC RAM mit dem OS VMware ESXi 6.0 und führt 8 VMs aus. Eine davon ist die Sophos UTM, der 3 von 6 Netzwerkanschlüssen über eine gesteckte Quad-Port Netzwerkkarte zugewiesen sind: 2x WAN und 1x LAN.

Der 2. ESX (der nur auf „Zuruf“ läuft) ist ein alter Supermicro mit Intel XEON Dualcore und einem RAID 10 mit 3 TB Speicherplatz und 8 GB DDR2 RAM – eben schon etwas älter.

Der 3. ist ein Intel NUC mit einer i3-CPU und führt hauptsächlich meinen Jump-Server bzw. den 2. Domänencontroller aus.

Die WAN-Seite sieht wie folgt aus:
Physisch gesehen sind zwei Anschlüsse zum Internet mit jeweils 100 Mbit/s Download und 6 Mbit/s Upload vorhanden. Einer der beiden führt über einen Router des Providers per DMZ-Konfiguration direkt zur UTM.
Am zweiten Anschluss hängt natürlich auch ein Router des ISPs (100 Mbit/s down, 6 Mbit/s up) nur ist dieser in den reinen Bridge-Modus geschaltet. Das heißt, dass der Router nur noch als Modem dient und damit im Netzwerk bzw. Internet nicht sichtbar ist. Daran wiederum ist ein weiterer Router angeschlossen, der nur dazu dient, die UTM zusammen mit einem weiterem Router über dieselbe IP Zugang zum Internet zu verschaffen (nur NAT). Dabei ist hier die Astaro wieder in der DMZ-Konfig.
Am selben NAT ist zudem ähnlich der UTM ein virtualisierter Router angeschlossen. Dieser baut eine Verbindung zu einem Anbieter für VPN-Zugänge auf. Dadurch erhalte ich eine feste IPv4-Adresse und ein IPv6-Netz. Das ermöglicht mir, selbst Dienste im Internet von zu Hause aus anbieten zu können.
Demnach habe ich drei WAN-Schnittstellen.

Ein weiterer Netzwerkanschluss des ESXi ist allein für die anderen VMs zuständig. Wieder zwei weitere sind allein für den Hypervisor abgestellt. Auf einem laufen die SAN-Verbindungen in einem eigenen Netzwerksegment und auf dem anderen die Management-Dienste wie vSphere und SNMP.

Neben dem NFS-Freigabe als SAN verfügt der ESXi auch über 2 TB an internem Speicher im RAID 1 Verbund mit nativen Server-Festplatten von Seagate. Das Betriebssystem selbst startet von einem USB-Stick, der an einem internen USB-Anschluss gesteckt ist.

Die NFS-Freigabe liegt auf meiner Synology DS412+, die über 5,3 TB Speicher und für die SAN-Anbindung über eine 1 Gbit/s Netzwerkanbindung verfügt. Ein weiterer 1 Gbit/s Anschluss führt die üblichen Datei-Diensten wie CIFS und FTP aus. Um unabhängig von außenstehenden DNS-Providern zu sein, lösen zwei DNS rekursiv (selbstständig) auf.

Für externe Dienste betreibe ich zu Hause unter anderem einen Mailserver für sämtliche Statusmails von außerhalb und innerhalb. Auch hoste ich einige Webseiten.
Dafür laufen drei eigene VMs auf dem ESXi in einem eigenen VLAN „DMZ“, auf denen die Dienste teils mit Docker getrennt sind.


Alte Konfiguration


Konfiguration 2014

Server 2015

Server 2015

Server 2017

Server 2017

 

 

 

 

 

 

 

 

Als wäre das nicht schon genug, betreibe ich extern noch einen Root-Server. Auf diesem laufen Dienste wie Mail- und Webserver. Du hast bereits Bekanntschaft mit ihm gemacht, indem zu diese Seite besucht hast 😉 .

Zu den Webseiten, die ich hier hoste gehören unter anderem:

  • Sämtliche APIs für die Tools, die ich zum Download anbiete
  • Ein BugTracker zur einfachen Meldung von Bugs bzw. zum Verfolgen des Entwicklungsstandes einzelner Programme
  • Eine eigene Sammlung von JS-Bibliotheken und anderen wiederverwendbaren Dateien in Webseiten und Programmen
  • URL-Shorter zum Kürzen von URLs
  • Eine Webversion vom W2B in Form einer Startseite

Für mein Tool W2B (Webcam to Background) zum Beispiel ist dieser Server die zentrale Anlaufstelle für sämtliche Anfragen, wie bspw. „lade die aktuelle Liste der Webcams“ oder „was sind die Infos zu der und der Webcam“. Neuerdings werden auch einige der eingetragenen Webcams gecacht um die Betreiber nicht unnötig für die Vorschaubilder zu belasten. Der Cache regelmäßig aktualisiert.

Alle meine Programme besitzen eine Funktion, die Updates meldet. Ein paar wenige können diese auch selbstständig herunterladen. Hier werden mit meinem Server logischerweise Daten ausgetauscht. Jedoch nur so viel, wie auch für den Vorgang notwendig sind (zum Beispiel Version des Programms, Updatenachricht, usw.). Zu keiner Zeit werden hier personenbezogene Daten ohne Nachfrage übermittelt.

Ich persönlich hätte es am liebsten, wenn der ganze Internetverkehr verschlüsselt abliefe, um es den allzu neugierigen Schnüfflern schwerer zu machen. Daher habe ich auch ein SSL-Wildcard-Zertifikat für meine Domain „gservon.de“ ausstellen lassen. Somit kann ich meine Webseiten über eine verschlüsselte Verbindung ausliefern – was bei den meisten bereits der Fall ist.

Das alles wird vom PRTG überwacht. Dieser läuft wiederum auf einem eigenen Server, der ausschließlich für das Monitoring zuständig ist. Somit werde ich bei eventuellen Ausfällen benachrichtigt. Dabei ist der Überwachungsbereich in zwei Segmente unterteilt. Das eine überwacht die externen Server und alle von außen erreichbaren Dienste. Das andere wird über eine so genannte „Probe“ bzw. eine Sonde im lokalen Netzwerk realisiert und überwacht hier sämtliche Server. Diese Probe läuft wiederum auf einer eigenen VM auf meinem ESXi.

Zusammen hält das Ganze ein Managed-Switch von TP-Link, auf dem 3 VLANs konfiguriert sind. VLAN 1 ist das normale LAN, in dem sich alle Client und ein paar Server aufhalten. VLAN 10 ist die DMZ. Darin stecken die Server, die von extern erreichbar sind. Dadurch kann ich sie vom LAN abschotten, sollten sie infiltriert werden. Das letzte VLAN 20 ist das Gast-Netzwerk. Dahin verbinden sich zum Beispiel Gäste per WLAN.

Wenn du es bis hierhin geschafft hast zu lesen, hast du einen groben Einblick in mein Netzwerk erhalten und ich hoffe, dass es interessant war!

Wenn du möchtest, kannst du mir gerne ein Kommentar dalassen.



4 Kommentare zu “Einblick in mein Netzwerk

  1. Wenn man viel Platz im Keller hat, dann kann man auch so komplexes System aufbauen xD
    Aber das kennt man ja nicht anders xD
    Leider habe ich nur 18 m² zum Wohnen & Server =)
    Bald werden es mehr

    1. Danke! Der Grund, warum ich nicht mit Proxmox virtualisiere ist, dass mich die VMware-Umgebung sehr interessiert. Zudem hatte ich Proxmox vor längerer Zeit mal ausprobiert. Damals sagte mir dieses Setup jedoch nicht besonders zu.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.