Behöver assistans att tänka rätt kring nätverket!

Hej,

Skulle behöva lite hjälp kring att tänka rätt för att säkra upp och begränsa tillgång till internet för vissa maskiner här hemma.

Jag är väl helt rudis när det kommer till just nätverk, även om jag läst på en hel del på sistone. Learning by doing har varit mottot i min virtualiseringsmiljö och på denna länken kan ni se ett diagram över mitt nätverk.

---

Det jag vill göra är egentligen att segmentera nätverket och begränsa internetåtkomst till vissa delar (AD, ESXi, vCenter, Övervakning, FreeNAS och utvecklingsmiljön för webb-applikationer) och tillåta internetåtkomst för andra (produktionsmiljön för webb, media, nedladdning och OpenVPN). Jag skulle också vilja begränsa åtkomsten för olika maskiner att prata med varann som inte har ett behov av detta för att säkra upp även ur det perspektivet - samtidigt som jag vill ha tillgång till att administrera alla olika delar från mitt hemnätverk och kunna koppla in mig externt via openvpn för att även då kunna administrera mitt hemnätverk.

---

Det finns såklart en mängd olika sätt man kan göra detta på, dels kring att använda olika subnät men även att dela upp i olika VLAN. När jag själv tänker på hur detta ska se ut, blir jag bara yr, eftersom jag inte gjort något liknande tidigare.

Jag har tänkt mig att min AD som också huserar DHCP & DNS skall kunna dela ut adresser till samtliga enheter/nätverk.

Hårdvara som används:

Router: Edgerouter Lite
AP: UAP AC LITE
Switch: Zyxel GS1910-24HP (Smart/Managed L2)
För den nyfikne...
Server: Custom-bygge med Supermicro X8DTE-F, 2x Xeon L5630, 96GB PC10600 DDR3L ECC, IPMI, 2x1GBIT Intel Nic, 2x256GB SSD, 5x4TB WD Red

Kan vara värt att tilläggas att jag inväntar ett intel quad-port gigabit nic också...

---

Alla tankar, åsikter, idéer och förslag mottages tacksamt. Mitt mål med projektet är dels att lära mig så mycket som möjligt om verkliga scenarion (ur ett rent hobby-perspektiv/intresse) samtidigt som det ska vara fullgott för att täcka mina "privata" behov.

EDIT:
Är självklart öppen för att jag har gjort några fundamentala tankefel i min hittills obefintliga planering av nätverket, så fritt fram att kritisera så länge man är konstruktiv!

Kul o höra! Jag hoppas innerligt någon kan styra mig/oss i rätt riktning. För min del handlar det inte om att få hela svaret, utan bara bli pekad i rätt riktning så jag vet hur jag borde tänka och vad jag behöver plugga in för att få ihop det

Suveränt, det är ungefär så jag tänkt också - där det kör ihop sig i mitt huvud är två saker; CAP - hur säkerställer jag att VM X inte kan prata med VM Y - och den andra poängen är; hur säkerställer jag att jag alltid kan kommunicera från min dator i "hemnätverket" till samtliga övriga?

Allt som allt får det mig att föreställa mig ett oerhört rörigt upplägg med ett tiotal olika VLAN för att koppla in Dator X i Nätverk 1,2,3,4,5 osv. Är det så "bökigt" man behöver göra det, eller finns det någon best practice kring lite mer avancerade nätverksuppsättningar du kan peka mig i rätt riktning att läsa mer om?

I vilket fall som helst - stort tack för ditt svar!

/Sebastian

Perfekt. Inte ens tänkt på att jag kan göra det så enkelt för mig. Lätt att bli hemmablind. Ska läsa på lite mer också får vi se hur det slutar! Tack återigen!

Ska försöka läsa genom slutet av din tråd där jag misstänker att utveckligen har skett, såg bara lite i början av den där det fortfarande var ugnefär likadan frågeställningar som du nämnde.

Inte en helt tokig idé heller faktiskt, det känns ganska enkelt. Vad tänker du med brandväggsregler? Jag har ju en mjukvarubrandvägg i min router som styr för alla utgående/inkommande paket, men menar du att jag i så fall skulle titta på att sätta upp det på varje enskild host?

Allt sker lokalt hemma hos mig, så alla har sina dedikerade ip-adresser som inte förändras om inte jag ändrar något manuellt, så det i sig bör vara det minsta problemet! Tack! Mycket som ska läsas in på nu