Hallo zusammen,
ich möchte auf meiner DS723+ PiHole einrichten, ohne meine bisherige "Sicherheitsarchitektur" mit Subnetzen in der Wirkung einzuschränken. Ich benötige etwas Orientierung für den richtigen Weg.
Bislang hatte ich mit mehreren Routern eine kleine Kaskade an Subnetzen erzeugt. An der Spitze steht Router1, der den Internetzugang und Netzwerk1 bereitstellt. In diesem Netzwerk1 hängen u.a. IoT-Geräte (Fernseher, Staubsaugerroboter, ...), der Drucker, ... und bislang war da auch ein Raspi mit PiHole. Außerdem sind an Router1 einige weitere Router angeschlossen, die jeweils Subnetze für Smarthome, Kinder, Arbeit, Privat, Daten, ... bereitstellen. Im Subnetz Daten befinden sich meine Synologys, darunter auch die DS723+. Jedes Subnetz kann auf die Geräte in Netzwerk1 zugreifen (also z.B. drucken), in die Subnetze ist i.d.R. kein Zugriff möglich. Genau das ist auch die Idee dahinter: Die Subnetze sollen sich gegenseitig abschotten, damit mir z.B. die Kinder weder die Heizung umprogrammieren noch mit einem aufgelesenen Virus meine Daten gefährden können. (Das Ganze ist dank aussortierter alter Router sehr preiswert, nur Router1 ist ein aktuelles Modell.)
Nun soll PiHole auf der DS funktionieren, ohne dass die DS dazu ihr Subnetzt verlassen oder gefährlich öffnen muss. Mein erster Gedanke dazu ist, die DS über LAN1 weiter in ihr Subnetz und neu über LAN2 in Netzwerk1 zu hängen. Ziel wäre, dass nur PiHole (und sonst nix) LAN2/Netzwerk1 nutzen darf. Der Weg dürfte mich in Richtung MacVLAN usw. führen...
Aber ist das überhaupt ein möglicher und sinnvoller Weg?
Wäre es dann wirklich so sicher/getrennt wie bislang?
Geht es ohne Risiko einfacher (z.B. "alles über LAN1, da kann nix passieren")?
Womöglich am entscheidensten: Ist die bisherige Architektur überhaupt erhaltenswert? Oder sollte ich lieber in Richtung VLAN o.ä. denken? Solange es nicht viel mehr als 100 EUR kostet, wäre auch das ein möglicher Ansatz.
Danke für alle Denkanstöße!
Grüße
der Keks
ich möchte auf meiner DS723+ PiHole einrichten, ohne meine bisherige "Sicherheitsarchitektur" mit Subnetzen in der Wirkung einzuschränken. Ich benötige etwas Orientierung für den richtigen Weg.
Bislang hatte ich mit mehreren Routern eine kleine Kaskade an Subnetzen erzeugt. An der Spitze steht Router1, der den Internetzugang und Netzwerk1 bereitstellt. In diesem Netzwerk1 hängen u.a. IoT-Geräte (Fernseher, Staubsaugerroboter, ...), der Drucker, ... und bislang war da auch ein Raspi mit PiHole. Außerdem sind an Router1 einige weitere Router angeschlossen, die jeweils Subnetze für Smarthome, Kinder, Arbeit, Privat, Daten, ... bereitstellen. Im Subnetz Daten befinden sich meine Synologys, darunter auch die DS723+. Jedes Subnetz kann auf die Geräte in Netzwerk1 zugreifen (also z.B. drucken), in die Subnetze ist i.d.R. kein Zugriff möglich. Genau das ist auch die Idee dahinter: Die Subnetze sollen sich gegenseitig abschotten, damit mir z.B. die Kinder weder die Heizung umprogrammieren noch mit einem aufgelesenen Virus meine Daten gefährden können. (Das Ganze ist dank aussortierter alter Router sehr preiswert, nur Router1 ist ein aktuelles Modell.)
Nun soll PiHole auf der DS funktionieren, ohne dass die DS dazu ihr Subnetzt verlassen oder gefährlich öffnen muss. Mein erster Gedanke dazu ist, die DS über LAN1 weiter in ihr Subnetz und neu über LAN2 in Netzwerk1 zu hängen. Ziel wäre, dass nur PiHole (und sonst nix) LAN2/Netzwerk1 nutzen darf. Der Weg dürfte mich in Richtung MacVLAN usw. führen...
Aber ist das überhaupt ein möglicher und sinnvoller Weg?
Wäre es dann wirklich so sicher/getrennt wie bislang?
Geht es ohne Risiko einfacher (z.B. "alles über LAN1, da kann nix passieren")?
Womöglich am entscheidensten: Ist die bisherige Architektur überhaupt erhaltenswert? Oder sollte ich lieber in Richtung VLAN o.ä. denken? Solange es nicht viel mehr als 100 EUR kostet, wäre auch das ein möglicher Ansatz.
Danke für alle Denkanstöße!
Grüße
der Keks
