|
|
@@ -1,3 +1,65 @@
|
|
|
-# M145-TBZ
|
|
|
+# M145 Netzwerk betreiben und erweitern
|
|
|
+> T.B PE22c - 2025-02-28 (Start Date)
|
|
|
|
|
|
-M145 Module for TBZ
|
|
|
+## Übersicht
|
|
|
+Auf dieser README Seite ist eine Grobe Übersicht des Projektes zu Modul 145 zu finden.
|
|
|
+Alle weiteren relevanten Dateien, Beschreibungen, Journale werden im laufe des Modules noch beigefügt. (Journal und verwendete Ressourcen)
|
|
|
+
|
|
|
+## Links
|
|
|
+- Todo
|
|
|
+
|
|
|
+## Projekt Beschreib
|
|
|
+Dieses Projekt zeigt die Planung sowie die Implementierung eines segregierten, einigermassen sicherem und überwachten Netzwerks mit MikroTik-Hardware. Die Netzwerkinfrastruktur beinhaltet VLANs um Netzwerke zu trennen, mehrere WLANs für verschiedene Beispielsbenutzer, eine Wireguard VPN Verbindung zu meiner Colocation sowie einem SNMP Monitoring System zur Überwachung der des Netzwerkes.
|
|
|
+
|
|
|
+## Disclaimer
|
|
|
+- Anpassungen an der Projekt übersicht können möglich sein da noch nicht alles in Stein gemeisselt ist und noch einiges offen ist.
|
|
|
+
|
|
|
+## Hardware
|
|
|
+- **MikroTik RouterBoard 260S** (Router verantwortlich für VLANs, routing, fireall and VPN)
|
|
|
+- **MikroTik RouterBoard hAP ac** (Access Point verantwortlich für halt WLAN und test Punkt für VLANs auf ETH Schnittstellen)
|
|
|
+- **Zotac Mini PC** (Proxmox VE Host für SNMP Monitoring Lösing)
|
|
|
+
|
|
|
+## VLAN Übersich
|
|
|
+Das Netwerk wird soweit in 4 VLANs unterteilt welche wie folgt aussehen :
|
|
|
+
|
|
|
+| VLAN ID | Name | Subnet | Zugangs und Kategorie Beschreibung |
|
|
|
+|---------|------|----------------|-----------------------------|
|
|
|
+| 1 | Admin | 10.101.0.0/24 | Vollzugriff auf alles and Physische Hardware |
|
|
|
+| 101 | VPS | 10.101.1.0/24 | Zugriff auf individuelles für Virtuelle Maschienen |
|
|
|
+| 102 | Users | 10.101.2.0/24 | Benutzerzugriff auf Internet und VPS |
|
|
|
+| 103 | Guest | 10.101.3.0/24 | Nur Internet Zugang |
|
|
|
+
|
|
|
+## WLAN Übersicht
|
|
|
+Der Access Point wird 3 SSIDs austrahlen für drei der vier VLANs
|
|
|
+
|
|
|
+| SSID Name | VLAN |
|
|
|
+|--------------|-------|
|
|
|
+| teleco-admin | VLAN 1 |
|
|
|
+| teleco-user | VLAN 102 |
|
|
|
+| teleco-guest | VLAN 103 |
|
|
|
+
|
|
|
+## VPN Übersicht
|
|
|
+Eine Wireguard Site to Site VPN wird eingerichtet welche folgendes erlauben wird :
|
|
|
+- **Site to Site auf VLAN Basis** : VLANs 1 und 101 werden zugang auf andere meiner Standorte haben.
|
|
|
+- **Remote Administration und Hosting** : So kann ich zugriff auf relevante services und hardware von anderen Standorten haben und Services via Nginx proxy an anderen Standorten mit Public IPv4 / IPv6 exposen auch wenn das Netz an einen NAT oder CGNAT Netz hängt.
|
|
|
+
|
|
|
+## 6. Network Monitoring (SNMP)
|
|
|
+- Todo
|
|
|
+
|
|
|
+## 7. Firewall Matrix
|
|
|
+Die Firewall Regeln werden Grob etwa wie folgt aussehen :
|
|
|
+
|
|
|
+| Source ↓ \ Destination → | VLAN 1 (Admin) | VLAN 101 (VPS) | VLAN 102 (Users) | VLAN 103 (Guest) | Internet | WireGuard VPN |
|
|
|
+|--------------------------|----------------|---------------|------------------|------------------|----------|---------------|
|
|
|
+| **VLAN 1 (Admin)** | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW | ALLOW |
|
|
|
+| **VLAN 101 (VPS)** | ALLOW | ALLOW | DENY | DENY | ALLOW | ALLOW |
|
|
|
+| **VLAN 102 (Users)** | DENY | ALLOW | ALLOW | DENY | ALLOW | DENY |
|
|
|
+| **VLAN 103 (Guest)** | DENY | DENY | DENY | ALLOW | ALLOW | DENY |
|
|
|
+| **WAN** | DENY | DENY | DENY | DENY | ALLOW | DENY |
|
|
|
+| **VPN** | ALLOW | ALLOW | DENY | DENY | ALLOW | ALLOW |
|
|
|
+
|
|
|
+## Topologie
|
|
|
+- Todo
|
|
|
+
|
|
|
+## Implementation
|
|
|
+- Todo
|
Kablersalat