Mehrstufiges Heimnetz mit DHCP, Webserver etc.

rmg_lazy_bone · 02. Juni 2014

Hallo liebe PCMs,

ich habe eine etwas kompliziertere Frage und bevor ich mich stundenlang durch verschiedene Tutorials kämpfe und mir dann was zusammenreime dachte ich, frage ich doch einfach euch 😀
Ich habe durchaus ein Verständnis von Netzwerken, Hardware, Virtuaalisierung etc. (informatisches Studium), kenne mich aber nicht so genau mit den Konfigurationsmöglichkeiten der verschiedenen Technologien aus.

Zuerst zur aktuellen Situation:
Mein Heimnetz besteht aus mehreren Desktop-PCs (meiner, meine Freundin, Media), einem NAS (LinkStation), mobilen Geräten (Android-Tablet, 2xWP8, verschiedene Note/Netbooks) und wird von der FritzBox 7360SL verwaltet (DHCP etc).

Die Änderungen:
Grund für die geplanten umfangreichen Änderungen sind 2 Dinge: Ich möchte Website(s) erstellen, für meinen Schwiegervater, mich und was sonst noch so ansteht. Grund 2: Ich hätte gerne einen Heimserver zum rumspielen (etwa einen Anwendungsserver für ne CouchDB, Tomcat...). Wegen Grund 1 wird der nun endlich realisiert. Deswegen sollen die Websites auch gleich darauf laufen - sonst kann ich den ja nicht rechtfertigen 😀

Der Plan:
Geplant ist deswegen ein physikalischer Rechner, der virtualisiert einen Webserver, 1-2 Anwendungsserver und einen Hostserver (DHCP, DNS oder was sonst noch so ansteht) bereitstellt. Ich rechne also mit 4 virtuellen Maschinen. Da ich um die Sicherheitsproblematik bei Webservern weiß, würde ich den gerne in eine virtuelle DMZ stellen. Also 2 zusätzliche Netzwerkkarten in den Server: eine wird für den Webserver, die wird an die Fritzbox angeschlossen, eine wird für die restlichen VMs, die wird auch an die Fritzbox und routet dann über die Onboard ins Heimnetz (an einen Switch+AP). Ein AP für Gastgeräte kommt vielleicht noch direkt an die FritzBox, damit die nicht im Heimnetz sind.
Virtualisiert wird wahrscheinlich mit nem ESXi, die Maschinen werden UbuntuServers und Windows-Server nehme ich an (über Dreamspark hab ich noch ein paar Windows-Server-Lizenzen)
Soviel zum Plan.

Die Fragen:
Dabei kommen mir aber mehrere Fragen auf:
1. Funktioniert das Konzept so, gerade im Hinblick auf:

a) Wäre das Heimnetz dann wirklich sicher (Weil ja der VM-Host mit allen Netzwerkkarten verbunden ist)?
b) Gibt es da Bandbreitenprobleme (wenn das gesamte Heimnetz an einem Switch hängt, der durch ne VM an die Fritzbox geht), wenn das Heimnetz mit Gbit-Ethernet laufen soll?
c) Funktioniert sowas wie DHCP, DNS etc. auch über die Fritzbox, falls ich meinen Hostserver mal abstelle (Wartung, ausfall etc)?

2. Dann zur Hardware: Der Rechner muss genug Power für 4 VMs haben, wobei eine den Webserver für kurzfristig eine und langfristig 3 Websites stellt, VM 2 wird der Hostserver mit DHCP und was mir sonst noch einfällt, und VM 3+4 eben zum Spielen, wobei da nicht groß gerechnet wird. Die werden wahrscheinlich auch eher ab und zu mal erstellt. Gleichzeitig muss die Maschine wegen des Webservers 24/7 laufen, sollte also nicht all zu viel Strom ziehen.

3. Weiter gehts mit der Domain: Mein Schwiegervater ist freischaffender Wisenschaftler, die Website wird also quasi-kommerziell. Vielleicht wird auch irgendwann man eine Website für den Vertrieb von Fotographien drauf laufen. Ich hätte also gerne einen schönen Domainnamen.

Sollte ich da was mieten, DynDNS wählen oder wie siehts da aus?
Muss ich irgendwas beachtet, muss ich sowas etwa bei meinem ISP (1&1) machen?
Muss ich wegen IP v4/v6 irgendwas beachten?

4. Reicht meine 50er DSL-Leitung aus? Hab nicht die Möglichkeit, da noch aufzurüsten, erwarte aber auch keinen großen Traffic (<100 Anfragen/Tag). Wir sind privat aber gerade Abends mal am Streamen, 1080p-Youtube, Video on Demand etc.

Ich habe mal ein kleines Bild gemalt, um die Idee aufzuzeigen (ist aber nur Paint^^)

Vielen lieben Dank für eure Hilfe!

LG
RMG

Reggea Gandalf · 03. Juni 2014

Ich versuche mal, dir weiter zu helfen.
Erst einmal zu den ersten Fragen bezüglich des logischen Aufbaus des Netzwerks.
a)
Du solltest hier auf jeden Fall mit VLANs arbeiten, das kann ESXi auch. Dazu sollte es eine virtuelle Maschine geben, die als Firewall fungiert (das auf FreeBSD basierende PFSense ist sehr gut), falls das lokale Netz "hinter" dem ESXi Host stecken soll. Nur so kannst du wirklich eine DMZ realisieren.
Sonst würde sich ein Switch/Router anbieten, der auch VLAN kann.
In deiner Abbildung wäre der AP und die Server ja schon im gleichen Netz. Mit VLANs könntest du das voneinander trennen (VLAN 1 dann Server und VLAN 2 der AP zum Beispiel).

b)
Probleme nur, wenn du ständig die volle Leistung der Gigabit Leitung ausreizt. Der Uplink wäre in diesem Fall ja "nur" 1x Gbit. Alle Clients dahinter müssten sich diesen eben Teilen.
Wenn allerdings dieser Uplink nur für die Verbindung nach außen relevant ist, kannst du den Nachteil vernachlässigen, da die Internetleitung deutlich langsamer ist.

c)
In deiner Zeichnung nur noch für den AP, da das LAN ja hinter dem Hostserver hängt.
Würdest du allerdings mit VLANs arbeiten, könntest du deinen Router als DNS/DHCP Server nutzen und das Heimnetz würde auch ohne den ESXi Host laufen.

zu 2)
CPU Leistung ist meistens beim Virtualisieren das kleinere Problem. Allerdings sollte schon ein Quad Core darin stecken. Speicher (RAM) ist hier wichtiger. Da sollten es mindestens 8-12 GB sein, wenn da etwas Bewegung auf den virtuellen Maschinen ist.
Optimal wäre auch ein RAID für den Datastore.
Sollte das dann gebrauchte Hardware sein oder würdest du dir selber etwas zusammen stellen wollen ?

zu 3 und 4)
Da du selber relativ wenig Traffic bei der Homepage erwartest, könntest du den Server auch selber stellen. Wie hoch ist denn der Uplink deiner Leitung ? Ist das ein VDSL 50/10 ?
DynDNS benötigst du, wenn du keine feste Adresse vom Provider bekommst. Leider wollen viele Dienste mittlerweile Geld dafür. TwoDNS ist völlig kostenlos, so weit ich weiß.
Die bekannten Anbieter (DynDNS.org, no-ip.com) wollen entweder Geld oder für ihre freien Angebote musst du regelmäßig deinen Account bestätigen (alle 30 Tage kommt eine Mail).
Wenn du eine IPv6 Adresse vom Provider hast, dürfte das eine feste Adresse sein, die IPv4 Adresse ist meist dynamisch. Manche Provider geben aber auch da feste Adressen oder machen intern NAT, da könnte es mit der Erreichbarkeit Probleme geben. Das müsstest du in Erfahrung bringen oder einfach ausprobieren.

Ich hoffe, das hilft schon mal etwas weiter. Ansonsten einfach raus damit 🙂

rmg_lazy_bone · 03. Juni 2014

Hey Gandalf,

erstmal vielen Dank für die ausführliche Antwort!
VLANs hätte ich jetzt auch geplant, muss ich mal schauen wie ich das umsetze - da bräuchte ich ja wahrscheinlich 2 Switches (einer, der VLAN kann hinter dem Router und einer ins private LAN, der kein VLAN braucht).
Wenn ich das mit der Firewall richtig verstanden habe, würde ich das etwa so konfigurieren:
Der Router ist mit 2 Netzwerkkarten verbunden: an NK1 hängt der Webserver, auf NK2 hat nur die VM mit der Firewall Zugriff. Die Routet dann an NK3, an der das private LAN inklusive Host-Server dranhängt.

Der eingezeichnete AP ist nur für Gastgeräte gedacht - ich würde dann natürlich noch einen ins private LAN hängen.

Das 1x GBit wäre dann nur für das private LAN. Der WS hätte dann noch einmal 1GBit und der AP 100Mbits. Alles zusammen würde über die 50er VDSL rausgehen.

Hardware würde ich wahrscheinlich teilweise gebraucht und teilweise neu nehmen. Bei miner Freundin läuft momentan ein I5-2500k auf einem Asus P6P67. Die würde ich gegen einen Q6600 den ich noch rumliegen habe tauschen, weil der alte C2Q mir zuviel strom für den Server frisst. SpaWas und CPU sind wassergekühlt (240er Slim), das werde ich denke ich übernehmen (will nicht den SpaWa-Kühler demontieren).
RAM werden denke ich 16GB 1600er, wenn ich mal mit Hadoop oder so spiele ist weniger unschön.
HDD gibts wahrscheinlich nen kleines RAID 1 für den Webserver (da muss ja nicht viel rauf) und dann noch 1 TB für den Rest. Denn alles was im privaten LAN sitzt, kann ja Backups auf mein NAS ziehen (momentan 2x 3TB im RAID 1).
Netzteil denke ich ein kleines beQuiet!, damits schön leise bleibt. 300W sollten da ja reichen. Vielleicht nehm ich auch was teureres mit ner höheren 80+, das muss ich mal durchrechnen.
Case wird ein bitfenix Neos, damit ich noch ein bisschen modden kann 😀

Wegen IP-Adresse vom Provider muss ich mal schauen.
Wie genau funktioniert dass denn mit der Domain und so, ich habe da ehrlich gesagt wenig Ahnung. Wenn ich mir z.B. rmg.de reserviere (kostenpflichtig natürlich) und ne ipV6 von 1&1 habe, wie verknüpfe ich dass dann? Muss ich das beim reservieren eintragen?
Und wenn ich ne dynDNS nehme (oder twoDNS oder so), bräuchte ich ja ne Weiterleitung von rmg.de auf meine dynDNS, die dann an meine (dann natürlich dynamische IPv4) weiterleitet, oder?

Danke nochmal 😉
LG
RMG

- - - Aktualisiert - - -

P.S: Also 1&1 würde mir z.B. ne TLD (.de) für 12 Monate für 1ct/Monat und danach 1€/Monate geben - klingt ja schonmal nicht schlecht.
Im Angebot steht "1 inklusiv-Domain". Wenn ich das nehme, könnte ich die Websites ja quasi als Second-Level-Domains anlegen, oder? Also z.B. LazyBone.rmg.de, meinSchwiegervater.rmg.de und meineFreundin.rmg.de, oder?
Was muss ich da für DNS-Services nutzen? Laut 1&1 ist eine DNS-Verwaltung inklusive ("eigene IP-Adressen verwalten"). Reicht sowas oder setz ich mir einfach einen eigenen kleinen DNS-Server auf?

LG
RMG

- - - Aktualisiert - - -

PPS: Habe jetzt mal mit den 80Plus-standards rumgerechnet. Bin bei einem Mix von 2,5% vollast, 7,5% Mittellast und 90% fast-idle darauf gekommen, dass die beQuiet! oder Corsair-Netzteile sich erst bei 2-3Jahren Dauerlauf rentieren, im Vergleich zum 30€ teuren Bronze System Power 7 300W... also wirds wohl das.

Reggea Gandalf · 03. Juni 2014

Du kannst auch alles mit einem VLAN Switch erledigen, wenn denn das lokale Netz völlig unabhängig vom ESXi sein soll. Der Switch müsste nur genug Ports haben. Es würde aber auch mit einem Port vom VLAN-Switch gehen und an dem hängt dann ein gewöhnlicher Switch.
Ich bin aber eher dafür, nicht zig Geräte im Netzwerk hängen zu haben.

Wenn aber das lokale Netz hinter dem ESXi Server hängen soll, solltest du es anders machen.
Da müsstest du mit VLANs beim ESXi arbeiten und die entsprechenden VLANs auch auf dem Switch haben.
Die Firewall müsste dann so konfiguriert sein, dass diese zwischen den virtuellen Netzwerken hängt.
Also etwa wie folgt:

Der Server ist mit einem Netzwerkanschluss am Router, ein anderer führt dann zum lokalen Netz.
Die Firewall müsste natürlich auch entsprechend konfiguriert werden, da sie zwischen deinem "Servernetz" und dem lokalen Netz hängt.
eth0 -> WAN (VLAN 1) zum Router/Internet
eth1 -> LAN (VLAN 2) zum lokalen Netz

Die Server (Webserver usw.) müssen dann auch ins VLAN 1, da sie ja auch ins Internet sollen. Vom lokalen Netz sollen die Server ja auch nur über die "interne" Firewall erreichbar sein.
Wo ich aber gerade darüber nachdenke, brauchst du in diesem Fall einen Router bzw. einen Layer 3 Switch, um zwischen den VLANs zu Routen.
Es funktioniert in der beschriebenen Konstellation aber auch ohne VLAN, dann nur mit Routen. Allerdings kannst du auch den PFSense als Router nutzen.
Ist letztlich dir überlassen, wie es für dich angenehm ist.

So etwas in Richtung i5-2500 würde ich auch empfehlen, die sind auch relativ sparsam. Optimal wäre sogar ein 200 Watt Netzteil oder gar kleiner. Das 300 Watt-Netzteil wird immer weit von seiner optimalen Effizienz entfernt bleiben, da die Last viel zu klein ist. Leider sind gute 150-200 Watt Geräte relativ teuer.

Mit den Domains habe ich mich leider auch nicht so intensiv beschäftigt. Wie das bei 1&1 ist, weiß ich leider nicht. Bei Strato funktioniert das mit den Subdomains recht einfach.
Du würdest aber dann trotzdem den Server selber hosten oder das zu 1&1 auslagern ?
Wenn du nach außen nur eine v6 Adresse hast und du auch v4 nutzen willst, musst du das irgendwie umleiten, das ist richtig. Entweder nutzt du einen v6 zu v4 Tunnel oder machst alles per DNS.

Einen eigenen DNS Server musst du in der Regel nicht aufsetzen.

rmg_lazy_bone · 03. Juni 2014

Super, ich denke ich habe jetzt eine gute Vorstellung meiner Möglichkeiten zu dem Aufbau des Netzes - danke dafür!

Der Webserver bleibt bei mir, sonst kann ich wie gesagt das gesamte System nicht rechtfertigen - und ich will doch den Rechner 😀

LG
RMG

Reggea Gandalf · 03. Juni 2014

Gerne 🙂

Berichte mal vom fertigen Zustand 🙂

Sent from my Find 5 using PCMasters.de mobile app

rmg_lazy_bone · 03. Juni 2014

Achso eine Frage hätte ich noch:
Hättest du bzw. jmd anderes einen Tip für einen guten Switch?
Grundsätzlich bräuchte ich auf jeden Fall einen 8-Port GBit-Switch, der min. 70MB/s schafft - bei Beanspruchung von 3 oder mehr Geräten gleichzeitig. VLAN kann ich ja auch mit der Hypervisor machen, ist also nicht Pflicht.
Preislich wäre <80€ nett, mehr nur wenns was wirklich gutes ist (dann auch im Hinblick von Verarbeitung, Management-Möglichkeiten...).
Grundsätzlich möglichst was stabiles und kein kleines (kein 19"-Rack).

Danke!
LG
RMG

- - - Aktualisiert - - -

Achso eine Frage hätte ich noch:
Hättest du bzw. jmd anderes einen Tip für einen guten Switch?
Grundsätzlich bräuchte ich auf jeden Fall einen 8-Port GBit-Switch, der min. 70MB/s schafft - bei Beanspruchung von 3 oder mehr Geräten gleichzeitig. VLAN kann ich ja auch mit der Hypervisor machen, ist also nicht Pflicht.
Preislich wäre <80€ nett, mehr nur wenns was wirklich gutes ist (dann auch im Hinblick von Verarbeitung, Management-Möglichkeiten...).
Grundsätzlich möglichst was stabiles und kein kleines (kein 19"-Rack).

Danke!
LG
RMG

Reggea Gandalf · 03. Juni 2014

Kann ich tatsächlich. Würde dir auch gerne noch alternative Router ans Herz legen.
Das wären von TP-Link der TL-WR1043 und der TL-WDR4300

Beide haben eine super Unterstützung seitens der OpenWRT Community. Für das Geld mit Open WRT nicht zu schlagen von den Funktionen und Möglichkeiten. Gibt es auch als Modemrouter, falls du dir das mal ansehen möchtest.