VLAN (kostenlos) vs wireguard

  • Virinum


    Danke. Ich hab das jetzt mal probiert:


    Server 1:


    Server 2:

    Pings gehen durch


    S1: Ubuntu 20.0.4

    S2: Ubuntu 22.0.4

  • Die Einträge sind veraltet und können prinzipiell nach einem Softwareupdate plötzlich ungültig sein. Die solltest du durch die aktuellen Aufrufe ersetzen.

  • so, mal ein Update zum ursprünglichen Thema. Im Moment leider etwas wenig Zeit, mich damit zu beschäfrgien.


    Im Moment habe ich folgendendes Setup.


    - Einen größeren VPS (A) und einen Piko (B)

    - Beide sind via VLAN (100 MBit) verbunden

    - B dient als Reverse Proxy und SSH Jumphost für A, d.h. per Firewall sind auf A nur mein Port für SSH, sowie Port 80 und 443 NUR für die interne IP von B offen, alles andere wird geblockt. Vielleicht separiere ich mal bei Gelegenheit noch den SSH Jump Server vom Proxy.


    Dasselbe werde ich dann mal parallel für Tailscale machen. D.h. Tailscale auf beide Kisten und Firewall auf Tailscale IP erweitern. Tailscale deshalb, weil es schnell und einfach eingerichtet ist ;D.


    Danach kann ich dann entweder den Proxy auf die Tailcale IP oder die interne IP von A leiten und mal erste Vergleiche machen.

  • wie kopiere ich am besten über das eingerichtete VLAN von Server A nach Server B?

    scp -r /Quellordner Benutzer@Ziel-IP:/Zielordner

    scheitert mit dieser Meldung:

    ssh: connect to host 10.xxx.1.20 port 22: Connection refused


    Mein SSH Port ist auch nicht mehr 22, weder auf Server A noch auf Server B

  • Du kannst bei SSH Servern konfigurieren, auf welchen Schnittstellen oder IPs sie lauschen sollen. Genau da, wo man auch den Port einstellt. Überprüfe mit netstat -tulpen, auf welchen IPs der SSH Server lauscht und korrigiere es bei Bedarf.

  • Vorteil:

    • MTU 1500
    • Verbraucht keinen Traffic
    • Zweiter Host benötigt kein Netz
    • Einfaches Firewalling
    • L2
    • Benötigt keine Rechenleistung

    Nachteil:

    • Unverschlüsseltes VXLAN
    • Nur innerhalb eines Standortes möglich

    Sorry der Nachfrage aber wie ist das genau gemeint mit "Unverschlüsseltes VXLAN"? Im Vergleich zu Wireguard?

    Ich habe VLan bis dato noch nicht wirklich benutzt, aber ich gehe mal davon aus das sonst keiner im gleichen Netzwerk ist außer ich. Könnte abgesehen von Netcup jemand sonst das Netzwerk mitlesen wenn ich zwei Server mithilfe von VLan zusammenschalte?


    Vielen Dank im Voraus

  • Sorry der Nachfrage aber wie ist das genau gemeint mit "Unverschlüsseltes VXLAN"?

    Ein VXLAN ist erstmal nichts anderes als ein VPN welches unten drunter mit UDP läuft.

    Im Gegensatz zu Wireguard ist der Tunnel in sich nicht verschlüsselt.


    Wenn dir eine Verschlüsselung wichtig ist, musst du dann natürlich deine Dienste selbst über TLS laufen lassen.

    Meistens verwendet man im VLAN allerdings doch eher unverschlüsselte Dienste, wie z.B. MySQL - sonst könnte man sie auch einfach ohne VLAN laufen lassen.


    aber ich gehe mal davon aus das sonst keiner im gleichen Netzwerk ist außer ich. Könnte abgesehen von Netcup jemand sonst das Netzwerk mitlesen wenn ich zwei Server mithilfe von VLan zusammenschalte?

    Im Besten Fall kann nur Netcup mitlesen, allerdings würde ich das VLAN immer wie das Internet behandeln und abwägen, ob mir Autorisierung und Verschlüsselung wichtig sind.


    Neben anderen Akteuren, wie z.B. Strafverfolgungsbehörden, Angreifern, Innentäter kann es auch durch Fehlkonfigurationen und Fehlfunktionen der beteiligten Hardware dazu kommen, dass Datenverkehr die von Netcup kontrollierte Hardware verlässt und anderen in die Hände fällt - oder es unerwünschte Gäste gibt.

    Die Szenarien sind an sich unwahrscheinlich, aber dennoch nicht ausgeschlossen.


    Wie du damit umgehst, ist letztenendes deiner Gefahreneinschätzung und Anforderung an Sicherheit überlassen.

    Sowohl das Netcup VLAN, als auch Wireguard haben ihre Daseinsberechtigung und jeweiligen Einsatzzwecke.

  • Danke für die Aufklärung! Ich kenne es tatsächlich auch genau so wie du es beschrieben hattest, aber ich dachte ich frage lieber nochmal nach ob das bei Netcup eventuell irgendwie anders gehandhabt wird und man da potenziell etwas beachten sollte. Ich war eigentlich nur verwirrt weil da "Unverschlüsseltes VLan" stand, da Netzwerke an sich ja unverschlüsselt sind, aber das war mehr eine Gegenüberstellung zur Wireguard.

  • Ich glaube, dass der Provider mit dem Anfangsbuchstabe H und seinen Rechenzentren in Nürnberg und Falkenstein mit seinem Produkt vSwitches VLAN anbietet, welches gegenüber dem VXLAN, welches hier Netcup anbietet, auch die Protokolle TCP und UDP unterstützt. Weiß da jemand mehr drüber?