[TIPP] Portainer: Verteilung von Containern auf mehrere Netzwerke

[StefanW]

Hi,

das ist schon krass, was ihr macht, Respekt, weil das ist echt viel Arbeit, das alles zu trennen.

Interessante fände ich dabei, welches Netzwerk-Equipment ihr verwendet. Also Router / Switches / Gateway / Besonderheiten.

Frage hat auch einen Hintergrund: Wir haben durchaus - eines Tages, ohne etwas versprochen zu haben - eine Rework des Netzwerkes im TWS in Planung und da geht es auch um IPv6 und VLAN Unterstützung.

lg

Stefan

[Marino]

Ich kann nur für mich sprechen, nutze aber seit 5-7 Jahren Ubiquiti. (Unifi Dream Machine Pro, 2x AP AC Pro Accesspoints, 1x NanoHD Accesspoint, 24-fach Switch Gen 1 und Draytek Vigor 165 Modem).
Andre Hersteller habe ich aber auch nicht getestet. Wenn man erstmal ausgestattet ist, muss man zuviel Geld in die Hand nehmen, um alles zu tauschen

Viele Grüße
Nils

[alexbeer]

Danke @gurumeditation ,@Eraser für eure Aufstellung.

Wenn der MFP Drucker und das NAS in verschiedenen VLANs stecken, aber der MFP auf das NAS scannen soll, dann bin ich doch gezwungen per Firewall wieder viele "Löcher" zu bohren, oder?

Ist die Trennung dann dennoch noch sinnvoll?

[cybersmart]

Ich bin ein Freund deutscher Hersteller bei sicherheitsempfindlichen Themen und setze auf Lancom.

2x Router (1x davon LTE Router per VPN angebunden)
2x Managed Switch (26 Port)
4x Access Point (Multi-SSID)

Muss dazu sagen, dass ich da auch einen gewissen beruflichen Bezug dazu hatte - ich war sehr eng in die Übernahme durch Rohde & Schwarz involviert, war 13 Jahre dort (R&S) beschäftigt im Bereich sichere Kommunikationssysteme und dann Aufbau der internen Cybersecurity und des Geschäftsfelds Cybersecurity.

Es steckt ein eigenes OS (LCOS) drin (das mag evtl. nicht jeder aber war schon mehrfach bei Schwachstellen die diverse Router betroffen haben extrem von Vorteil). Ist extrem gut dokumentiert, lediglich etwas gewöhnungsbedürftig mit einigen speziellen Begrifflichkeiten. Stark auf Sicherheit fokussiert. Unterstützt aus der Historie heraus Telefonie inkl. Legacy ISDN noch sehr stark. VoIP integriert in den meisten Routern falls relevant.

Würde auch für grössere Projekte auf die ihr anbietet evtl. gut zu euch passen als Komplettanbieter

Lange Supportzeit/Lebensdauer passen auch gut zu Euch.

Evtl mal einen Blick wert.

[cybersmart]

… nutze aber seit 5-7 Jahren Ubiquiti.

Andre Hersteller habe ich aber auch nicht getestet. Wenn man erstmal ausgestattet ist, muss man zuviel Geld in die Hand nehmen, um alles zu tauschen

Das wäre bei mir auch Favorit im Preis-Leistungsoptimierten Bereich, aber wenn man mal ein System sauber hat wechselt man ungern und ich kaufe gerne auch gebraucht das was Unternehmen nach 3 Jahren tauschen Kenne es bisher auch nur von vielen positiven Berichten. Unterstütze aber den letzten deutschen Netzwerkanbieter Lancom erstmal weiterhin …

[gurumeditation]

Wenn der MFP Drucker und das NAS in verschiedenen VLANs stecken, aber der MFP auf das NAS scannen soll, dann bin ich doch gezwungen per Firewall wieder viele "Löcher" zu bohren, oder?

Ist die Trennung dann dennoch noch sinnvoll?

Ich habe genau das bei mir umgesetzt, aber es sind nicht "viele Löcher" sondern genau eines (Beispiel für SMB Share):

Code: Alles auswählen

ALLOW FROM <IP MFP> to <IP NAS> TCP Port 445

Mehr braucht es nicht für den Scan, nur den Zugriff dieses einen Geräts (MFP) auf den SMB Port (445) dieses einen anderen Geräts (NAS).

Ich halte die Trennung für sinnvoll. Eine kurze Recherche damals hatte ergeben, dass Drucker entgegen meiner laienhaften Annahme tatsächlich ein Risiko darstellen. Offenbar gab es in diversen Firmen schon Vorfälle, die ihren Ursprung in den Druckern nahmen. Ob das Szenario nun für mich zu Hause eine hohe Eintrittswahrscheinlichkeit hat, ist mir egal - ich trenne einfach. Am Ende muss ich ohnehin Regeln definieren, damit Gäste, Kinder und auch die Homeoffice PCs drucken können. Der Drucker selbst hat auf den Endgeräten aber nichts zu suchen.

[starwarsfan]

Hallo miteinander

Eine kurze Recherche damals hatte ergeben, dass Drucker entgegen meiner laienhaften Annahme tatsächlich ein Risiko darstellen. Offenbar gab es in diversen Firmen schon Vorfälle, die ihren Ursprung in den Druckern nahmen.

Da fällt mir wieder der Vortrag von David Kriesel ein: Traue keinem Scan, den du nicht selbst gefälscht hast. Unglaublich, muss man gesehen haben. Ganz grosses Kino!

[Marino]

Danke Yves für den Link. Ich habe mir eben das Video angeschaut. Echt unglaublich. Sehr unterhaltsam!

[Sun1453]

Bei mir gibt es als Internetzugang / Telefonie Fritzbox. Intern Ubiquiti Hardware (Edge Router / Egde Switch) für Netztrennung / Wlan. POE Verteilung noch DIGITUS PoE+ Extender Switch.