DS1515+ in zwei Netzen

[real_skydiver]

Hallo,

ich bin selbstständiger IT'ler (hauptsächl. Softwareentwicklung im Bereich MES, das nur so nebenbei) und habe folgenden Konfiguration:

WAN -> FritzB. -> LAN1 (192.168.178.0/24) -> FLI4L (Router) -> LAN2 (10.0.0.0/22)
(Routing nur von LAN2 -> LAN1 möglich)

Im LAN1 sind im Moment das Zimmer meines Sohnes und die IP-Telefone.
Im LAN2 das NAS (DS1515+ / DX213-2), meine Entwicklungsrechner (2 Phys, mehrere VM's), VMWare-Server, Notebook meiner Frau, Wohnzimmer-TV, Schlafzimmer-TV (jeweils mit FireTV+Kodi), Handy (Frau + meines) + versch. Tablets.

Der Grund warum sich so viele Geräte im LAN2 "tummeln" sind Multimedia-Inhalte, die auf dem NAS (2x4TB im DX213-2) liegen. Mein Wunsch ist es, Alles aus dem LAN2 in das LAN1 zu verbannen, was nichts mit meiner Arbeit zu tun hat.

Von den vier LAN-Ports der DS1515+ sind im Moment zwei in einem Bond zusammengefasst und liegen auf einem 24xSwitch (GB) für das LAN 2.

Frage: kann ich das NAS so konfigurieren, das ein (oder beide) freier LAN-Port eine IP aus dem Bereich des LAN1 bekommt und somit beide Netze "bedienen"? Das heißt, das NAS hätte dann zwei verschiedene IP's. Und wenn das möglich ist (wovon ich jetzt fast ausgehe), inwieweit kompromittiere ich die Sicherheit des LAN2? Mit anderen Worten, ist ein Routing von LAN1 zu LAN2 vorbei an dem FLI4L Router über NAS möglich?

Vielen Dank!!

 

[Iarn]

Du kannst eine Diskstation mit mehreren Netzwerk Ports in verschiede Netze hängen, habe ich eine Weile auch so betrieben.

Prinzipiell sind die Netze auch getrennt, das heisst, die Syno tritt zwar beiden Netzen bei aber sie routet nicht. Man kann sie routen lassen, allerdings nur über Linux Kommandozeile und Frickelei. Man kann sie auch als Proxy aufsetzen. Hatte ich mal eine Weile am laufen um LAN2 ins Internet zu bringen, habe es dann aber verworfen und lasse das einen 2. Router machen.

Aber noch mal zurück, out of the box bleiben die Netze getrennt auch wenn die Syno an beiden Netzen teilnimmt. Du kannst auch Dienste portbasiert sperren und öffnen, z.B. FTP und SSH nur an LAN2 etc.

 

[real_skydiver]

Vielen, vielen Dank!! Deine Antwort hat mir viel Zeit gespart!!

Mit besten Grüßen!

 

[jahlives]

Mit anderen Worten, ist ein Routing von LAN1 zu LAN2 vorbei an dem FLI4L Router über NAS möglich?

würde sagen kommt drauf an
In der default Konfig macht die DS kein IPv4-Forwarding. Somit wäre das 10-er Netz nicht via IP der DS in LAN1 erreichbar. Was aber ohne Forwarding gehen dürfte ist es die DS auf ihrer 10-er IP auf dem Interface in LAN1 anzusprechen.

 

[Iarn]

Gerne. Stehe auch für weitere Fragen zu Verfügung obwohl ich zur Zeit die Synos nur in einem Netz hängen habe.

 

[whitbread]

Also ich fahre genau die von Dir angedachte Konstruktion, abgesehen davon, dass ich nur 2 LAN-Ports habe und daher beide ohne Trunk/Bonding fahre: Ein trusted Netz mit Zugriff auch auf unverschlüsselte Dienste und ein semi-trusted Netz mit WLAN-Clients u.a. mit Zugriff auf verschlüsselte Dienste plus Medien (leider teilweise unverschlüsselt).

Ich weiss nicht, ob das wirklich was bringt, da ich die Konstruktion mit den virtuellen Netzwerk-Switches für die virtuellen Maschinen noch nicht durchdrungen habe, aber ich fahre halt Vieles, was nicht notwendigerweise auf der physischen NAS benötigt wird, in einer virtuellen DSM-Instanz. Nur so als Denkanstoss...

 

[real_skydiver]

Hallo whitbread,

kannst Du mir ein bisschen mehr über die virt. DSM-Instanz erzählen? Ich mache (beruflich wie priv.) viel mit VMWare, auch der fli4l von LAN1 zu LAN2 läuft in einer VM (mit eigenen, dedizierten NIC's). Mit virtualisierten DSM's habe ich noch gar keine Erfahrung, klingt aber erstens spannend und zweitens auch nützlich. Wo und wie virtualisierst Du die DSM?

 

[whitbread]

Nix für ungut - aber lies Dir erstmal die Releasenotes von DSM 6 durch. Auf konkrete Fragen antworte ich dann gerne.

 

[real_skydiver]

Hatte ich schon Ebenso den Part mit der Möglichkeit zu Virtualisierung des DSM. Da ich in meinem ersten Posting VMWare erwähnt hatte und damit täglich - und das seit vielen Jahren - arbeite, ging mein erster Gedanke bei der Erwähnung von "virtuallen Maschinen" in Deinem Post natürlich in Richtung VMWare. Sorry für den Fauxpas