Routing / Router und DHCP

[LL0rd]

Hallo Leute,

ich brauche mal ein paar Anregungen und Meinungen zur Umstellung, die ich bei mir momentan im Netzwerk plane.

Ist Zustand bei mir zu Hause ist momentan, dass ich ein Netzwerk habe, in dem ca. 50 Devices unterwegs sind. Unter anderem Fernseher, Internetradios, Receiver, Handys, etc. Das Problem an diesem Zustand ist, dass dort diverse Devices unterwegs sind, über die ich keine Kontrolle habe. Ich weiß jetzt nicht, ob das Android Handy meiner Mutter mit Firmwarestand von vor 2 Jahren - da es keine Updates mehr gibt - nicht doch einen Trojaner hat. Deshalb möchte ich mein Netzwerk in drei Teile mit VLANs teilen.

Teil 1) Ist der private Teil. Hier werden alle Devices enthalten sein, die der Unterhaltung dienen. Also Fernseher, Telefone, ein paar Drucker, die Rechner meiner Familie, die Handys meiner Familie, etc.

Teil 2) Der Business Teil. Hier ist alles enthalten, was ich für meine Arbeit brauche. Mein Rechner, Drucker, Fileserver, Arbeitsserver, Handy.

Teil 3) Das soll ein Gäste-Netzwerk sein. Hauptsächlich über WLAN sollen sich Gäste in dieses Netz einloggen können, um bei mir zu surfen bzw. auf einem Fileserver temporär Daten auszutauschen.

evtl. Teil 4) Dieses Netz soll die kritische Infrastruktur bedienen, wie alle Teile der Hausautomation.

Die Rechte sollen folgende sein:
Die Gäste können nur im Internet surfen.
Aus dem privaten Netz können die Rechner nur auf die Devices im privaten Netz zugreifen + Fileserver des Gästenetzes. Auf das Business Netzwerk gibt es keinen Zugriff
Aus dem Business Netzwerk kann ich auf das private Netzwerk und auch auf das Gästenetz zugreifen. Also quasi auf alles.

Das Netz habe ich heute testweise in die drei Segmente geteilt. Dabei ist bei mir ein Problem aufgetaucht. Und zwar wenn ich z.B. von dem Business Netzwerk auf den z.B. Sat-Receiver zugreifen möchte, dann habe ich zwei Möglichkeiten. Ich mache mir ein VLAN auf meinem Rechner, das dem des privaten Netzes entspricht. Dann geht der Traffic direkt zum Receiver. Nachteil ist, dass damit alle privaten Devices nun auf meinen Rechner zugreifen können. Oder ich nutze den Router.

Leider hat mein Router nur 100MBit Schnittstellen und wird dementsprechend zum Flaschenhals. Meine Idee war deswegen, in den Gentoo-Linux Server eine Intel PRO/1000 PT Dual Karte einzubauen, die beiden Schnittstellen mit Teaming zu verbinden, sodass ich damit 2 Gigabit Duplex Traffic routen kann. Der Traffic zwischen den VLANs wird dann mit der iptables Firewall in Schach gehalten + ich habe zusätzliche Rechenpower, um den Traffic auf sicherheitsrelevates Zeugs zu untersuchen.

Da habe ich aber wiederum zwei Möglichkeiten. Ich kann sagen, dass jetzt der Linux Rechner mein Default Gateway ist. Damit geht dann jeder Traffic in ein fremdes Netz durch den Router durch. Oder ich lasse den echten Router als Router für die Internetanbindung und trage bei den entsprechenden Rechnern eine Route ein, dass der Traffic für dies und das Netz über dieses Gateway (den Linux Server) geroutet wird.

Was meint Ihr? Was ist da die bessere Idee?
_________________
Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen.