diff options
| author | Kablersalat <crt@adastra7.net> | 2025-02-28 17:26:19 +0100 |
|---|---|---|
| committer | Kablersalat <crt@adastra7.net> | 2025-02-28 17:26:19 +0100 |
| commit | 40fa75cae8f320b9236ff42105eda2133ced0f8a (patch) | |
| tree | 892e06cefc08760bdbab1ab384871d3321e2246b | |
| parent | f962797d06b1fc8b7a3fa25e4a4dfac84f413a2a (diff) | |
Updated readme
| -rw-r--r-- | README.md | 66 |
1 files changed, 64 insertions, 2 deletions
@@ -1,3 +1,65 @@ -# M145-TBZ +# M145 Netzwerk betreiben und erweitern +> T.B PE22c - 2025-02-28 (Start Date) -M145 Module for TBZ
\ No newline at end of file +## Übersicht +Auf dieser README Seite ist eine Grobe Übersicht des Projektes zu Modul 145 zu finden. +Alle weiteren relevanten Dateien, Beschreibungen, Journale werden im laufe des Modules noch beigefügt. (Journal und verwendete Ressourcen) + +## Links +- Todo + +## Projekt Beschreib +Dieses Projekt zeigt die Planung sowie die Implementierung eines segregierten, einigermassen sicherem und überwachten Netzwerks mit MikroTik-Hardware. Die Netzwerkinfrastruktur beinhaltet VLANs um Netzwerke zu trennen, mehrere WLANs für verschiedene Beispielsbenutzer, eine Wireguard VPN Verbindung zu meiner Colocation sowie einem SNMP Monitoring System zur Überwachung der des Netzwerkes. + +## Disclaimer +- Anpassungen an der Projekt übersicht können möglich sein da noch nicht alles in Stein gemeisselt ist und noch einiges offen ist. + +## Hardware +- **MikroTik RouterBoard 260S** (Router verantwortlich für VLANs, routing, fireall and VPN) +- **MikroTik RouterBoard hAP ac** (Access Point verantwortlich für halt WLAN und test Punkt für VLANs auf ETH Schnittstellen) +- **Zotac Mini PC** (Proxmox VE Host für SNMP Monitoring Lösing) + +## VLAN Übersich +Das Netwerk wird soweit in 4 VLANs unterteilt welche wie folgt aussehen : + +| VLAN ID | Name | Subnet | Zugangs und Kategorie Beschreibung | +|---------|------|----------------|-----------------------------| +| 1 | Admin | 10.101.0.0/24 | Vollzugriff auf alles and Physische Hardware | +| 101 | VPS | 10.101.1.0/24 | Zugriff auf individuelles für Virtuelle Maschienen | +| 102 | Users | 10.101.2.0/24 | Benutzerzugriff auf Internet und VPS | +| 103 | Guest | 10.101.3.0/24 | Nur Internet Zugang | + +## WLAN Übersicht +Der Access Point wird 3 SSIDs austrahlen für drei der vier VLANs + +| SSID Name | VLAN | +|--------------|-------| +| teleco-admin | VLAN 1 | +| teleco-user | VLAN 102 | +| teleco-guest | VLAN 103 | + +## VPN Übersicht +Eine Wireguard Site to Site VPN wird eingerichtet welche folgendes erlauben wird : +- **Site to Site auf VLAN Basis** : VLANs 1 und 101 werden zugang auf andere meiner Standorte haben. +- **Remote Administration und Hosting** : So kann ich zugriff auf relevante services und hardware von anderen Standorten haben und Services via Nginx proxy an anderen Standorten mit Public IPv4 / IPv6 exposen auch wenn das Netz an einen NAT oder CGNAT Netz hängt. + +## 6. Network Monitoring (SNMP) +- Todo + +## 7. Firewall Matrix +Die Firewall Regeln werden Grob etwa wie folgt aussehen : + +| Source ↓ \ Destination → | VLAN 1 (Admin) | VLAN 101 (VPS) | VLAN 102 (Users) | VLAN 103 (Guest) | Internet | WireGuard VPN | +|--------------------------|----------------|---------------|------------------|------------------|----------|---------------| +| **VLAN 1 (Admin)** | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | +| **VLAN 101 (VPS)** | ALLOW | ALLOW | DENY | DENY | ALLOW | ALLOW | +| **VLAN 102 (Users)** | DENY | ALLOW | ALLOW | DENY | ALLOW | DENY | +| **VLAN 103 (Guest)** | DENY | DENY | DENY | ALLOW | ALLOW | DENY | +| **WAN** | DENY | DENY | DENY | DENY | ALLOW | DENY | +| **VPN** | ALLOW | ALLOW | DENY | DENY | ALLOW | ALLOW | + +## Topologie +- Todo + +## Implementation +- Todo
\ No newline at end of file |