aboutsummaryrefslogtreecommitdiff
path: root/README.md
blob: 161c637001452f2c031d6d44bb4de4447b0c367f (plain) 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64


   

M145 Netzwerk betreiben und erweitern




T.B PE22c - 2025-02-28 (Start Date)




Übersicht


Auf dieser README Seite ist eine Grobe Übersicht des Projektes zu Modul 145 zu finden.
Alle weiteren relevanten Dateien, Beschreibungen usw. werden im laufe des Modules noch beigefügt. (zB. Ressourcen)



Journal


Projekt Beschreib


Dieses Projekt zeigt die Planung sowie die Implementierung eines segregierten, einigermassen sicherem und überwachten Netzwerks mit MikroTik Hardware. Die Netzwerkinfrastruktur beinhaltet VLANs um Netzwerke zu trennen, mehrere WLANs für verschiedene Beispielsbenutzer, eine Wireguard VPN Verbindung zu meiner Colocation sowie einem SNMP Monitoring System zur Überwachung der des Netzwerkes.


Disclaimer


    

  • Anpassungen an der Projekt Übersicht können möglich sein da noch nicht alles in Stein gemeisselt ist und noch einiges offen ist.
    • 



Hardware


    

  • MikroTik RouterBoard 260S (Router verantwortlich für VLANs, routing, firewall and VPN)
    • 

  • MikroTik RouterBoard hAP ac (Access Point verantwortlich für halt WLAN und test Punkt für VLANs auf ETH Schnittstellen)
    • 

  • Zotac Mini PC (Proxmox VE Host für SNMP Monitoring Lösing)
    • 



VLAN Übersich


Das Netwerk wird soweit in 4 VLANs unterteilt welche wie folgt aussehen :






VLAN ID
Name
Subnet
Zugangs und Kategorie Beschreibung






1
Admin
10.201.0.0/24
Vollzugriff auf alles and Physische Hardware




101
VPS
10.201.1.0/24
Zugriff auf individuelles für Virtuelle Maschienen




102
Users
10.201.2.0/24
Benutzerzugriff auf Internet und VPS




103
Guest
10.201.3.0/24
Nur Internet Zugang






WLAN Übersicht


Der Access Point wird 3 SSIDs austrahlen für drei der vier VLANs






SSID Name
VLAN






teleco-admin
VLAN 1




teleco-user
VLAN 102




teleco-guest
VLAN 103






VPN Übersicht


Eine Wireguard Site to Site VPN wird eingerichtet welche folgendes erlauben wird :


    

  • 

    Site to Site auf VLAN Basis : VLANs 1 und 101 werden zugang auf andere meiner Standorte ihre respektiven VLANs haben.
    

    • 

  • 

    Remote Administration und Hosting : So kann ich zugriff auf relevante services und hardware von anderen Standorten haben und Services via Nginx proxy an meinem Haupt Standort mit Public IPv4 / IPv6 exposen auch wenn das M145 Netz an einen NAT oder CGNAT hängt.
    

    • 



6. Network Monitoring (SNMP)


    

  • Todo
    • 



7. Firewall Matrix


Die Firewall Regeln werden Grob etwa wie folgt aussehen :






Source  ↓ \ Destination →
VLAN 1 (Admin)
VLAN 101 (VPS)
VLAN 102 (Users)
VLAN 103 (Guest)
Internet
WireGuard VPN






VLAN 1 (Admin)
ALLOW
ALLOW
ALLOW
ALLOW
ALLOW
ALLOW




VLAN 101 (VPS)
ALLOW
ALLOW
DENY
DENY
ALLOW
ALLOW




VLAN 102 (Users)
DENY
ALLOW
ALLOW
DENY
ALLOW
DENY




VLAN 103 (Guest)
DENY
DENY
DENY
ALLOW
ALLOW
DENY




WAN
DENY
DENY
DENY
DENY
ALLOW
DENY




VPN
ALLOW
ALLOW
DENY
DENY
ALLOW
ALLOW






Topologie


    

  • Todo
    •
generated by cgit v1.2.3-70-g09d2 (git 2.46.0) at 2025-04-04 22:59:15 +0000