Netzwerk-Übersicht: Subnetze, WLANs und Erreichbarkeit
Standorte und Firewalls
| Standort |
Kürzel |
Firewall |
Serial |
WAN-Provider |
Öffentliche IPs |
| Pferdebachstr. 31, Witten |
40er-Netz |
XGS-40 (10.128.40.1) |
X12109F732PCJ5E |
NetCologne |
94.79.128.243–246/29 |
| Ruhrstr., Witten (Ev. Popakademie) |
30er-Netz |
XGS-30 (10.128.30.1) |
X12109F68YHWX03 |
— |
213.168.82.178–182/29 |
| Zuhause (ak) |
178er-Netz |
FritzBox (192.168.178.10) |
— |
DS-Lite |
— |
Verwaltung beider Firewalls über Sophos Central Admin.
Subnetze und WLANs
Pferdebachstr. (XGS-40) — 2 Netze
| Subnetz |
Zone |
SSID |
Interface |
Zweck |
| 10.128.40.0/24 |
LAN |
ckoffice-static |
Port7 (LAN), Port1.2 (VLAN 2) |
Büro-LAN + Büro-WLAN |
| 10.128.50.0/24 |
WiFi (Gast) |
ckoffice-gast |
Port1.15 (VLAN 15) |
Gast-WLAN (isoliert, nur Internet) |
Ruhrstr. (XGS-30) — 3 Netze
| Subnetz |
Zone |
SSID |
Interface |
Zweck |
| 10.128.30.0/24 |
LAN |
evpop-office |
Port2 (LAN), Port1.2 (VLAN 2) |
EPA Büro-LAN + WLAN |
| 10.128.20.0/24 |
WiFi (Gast) |
evpop-gast |
Port1.11 (VLAN 11) |
EPA Gast-WLAN (isoliert, nur Internet) |
| 10.128.10.0/24 |
WiFi |
ckoffice-ruhrstr |
— |
CK-Mitarbeiter-WLAN in Ruhrstr. |
Standortverbindung (RED-Tunnel)
| Seite |
RED-Tunnel-IP |
Uplink (öffentlich) |
| Pferdebachstr. |
10.128.20.20 |
94.79.128.241 |
| Ruhrstr. |
10.128.20.10 |
213.168.82.178 |
VPN-Netze
| Subnetz |
Zweck |
| 10.244.2.0/24 |
OpenVPN-Tunnel (vpn.creative-kirche.de:7443) |
| 10.100.0.0/24 |
WireGuard VPS ↔ Pi5 |
Referenz-Netz (Zuhause)
| Subnetz |
Gerät |
Zweck |
| 192.168.178.0/24 |
FritzBox 7590 |
Heimnetz, Pi5, rpp1, Mac |
| 192.168.100.0/24 |
Sungrow WR |
PV-Wechselrichter (isoliert) |
Alle IP-Bereiche auf einen Blick
| Netz |
Standort |
Typ |
SSID |
| 10.128.10.0/24 |
Ruhrstr. |
WiFi (CK-Büro) |
ckoffice-ruhrstr |
| 10.128.20.0/24 |
Ruhrstr. |
WiFi (EPA-Gast) |
evpop-gast |
| 10.128.30.0/24 |
Ruhrstr. |
LAN + WiFi (EPA-Büro) |
evpop-office |
| 10.128.40.0/24 |
Pferdebachstr. |
LAN + WiFi (CK-Büro) |
ckoffice-static |
| 10.128.50.0/24 |
Pferdebachstr. |
WiFi (CK-Gast) |
ckoffice-gast |
| 10.244.2.0/24 |
— |
OpenVPN-Tunnel |
— |
| 10.100.0.0/24 |
— |
WireGuard VPS↔Pi5 |
— |
| 192.168.178.0/24 |
Zuhause |
Heimnetz |
— |
| 192.168.100.0/24 |
Zuhause |
PV-Wechselrichter |
— |
WLAN Access Points
Pferdebachstr. (40er-Netz) — 5 APs
| IP |
Modell |
| 10.128.40.31 |
Sophos AP55C |
| 10.128.40.32 |
Sophos AP55C |
| 10.128.40.33 |
Sophos AP55C |
| 10.128.40.37 |
Sophos AP55C |
| 10.128.40.43 |
Sophos APX320 |
Ruhrstr. (30er-Netz) — 8 APs
| IP |
Modell |
| 10.128.30.31 |
Sophos AP55C |
| 10.128.30.32 |
Sophos AP55C |
| 10.128.30.33 |
Sophos AP55C |
| 10.128.30.34 |
Sophos AP55C |
| 10.128.30.35 |
Sophos AP55C |
| 10.128.30.36 |
Sophos AP55C |
| 10.128.30.37 |
Sophos APX320 |
| 10.128.30.38 |
Sophos AP55C |
Wichtige Hosts
Pferdebachstr. (10.128.40.x)
| Host |
IP |
Funktion |
| XGS-40 |
10.128.40.1 |
Firewall, DNS, Gateway |
| SaltoServer (VM) |
10.128.40.6 |
ProAccess Space, SNMP-Exporter, Blackbox-Exporter, Syslog-Relay |
| Hyper-V Host |
10.128.40.7 |
TAROX Business PC, hostet SaltoServer-VM |
| Drucker KM C308 OG2 |
10.128.40.24 |
Konica Minolta |
| Drucker KM C284e OG1 |
10.128.40.25 |
Konica Minolta |
| Drucker KM C284e EG |
10.128.40.26 |
Konica Minolta |
| Drucker Epson |
10.128.40.27 |
Epson |
| NAS |
10.128.40.68 |
Synology |
| NAS |
10.128.40.86 |
Synology |
| Grandstream HT802 |
10.128.40.153 |
VoIP-Wandler Türsprechanlage |
Ruhrstr. (10.128.30.x)
| Host |
IP |
Funktion |
| XGS-30 |
10.128.30.1 |
Firewall, DNS, Gateway |
| Drucker KM C308 |
10.128.30.10 |
Konica Minolta |
| Salto SNP-Gateway |
10.128.30.15 |
Türcontroller (3 Nodes) |
Zuhause (192.168.178.x)
| Host |
IP |
Funktion |
| FritzBox 7590 |
192.168.178.10 |
Gateway, DNS → Pi-hole |
| rpp1 |
192.168.178.67 |
OpenVPN-Gateway (VPN-IP 10.244.2.130) |
| raspip5 |
192.168.178.199 |
Smart Home, Docker (11 Container) |
Extern
| Host |
IP |
Funktion |
| VPS sck-debian-nbg |
178.104.125.96 |
CK-Monitoring, Claude Code (VPN-IP 10.244.2.2) |
Erreichbarkeits-Matrix
| Von ↓ \ Nach → |
40er Büro |
30er Büro |
10er CK-Ruhr |
50er Gast |
20er Gast |
Drucker .30.10 |
Salto .40.6 |
Internet |
| 40er Büro |
✓ direkt |
✓ S2S-VPN |
? |
✗ |
✗ |
✓ S2S-VPN |
✓ direkt |
✓ |
| 30er Büro |
✓ S2S-VPN |
✓ direkt |
? |
✗ |
✗ |
✓ direkt |
✓ S2S-VPN |
✓ |
| 10er CK-Ruhr |
? |
? |
✓ direkt |
✗ |
✗ |
? |
? |
✓ |
| 50er Gast |
✗ |
✗ |
✗ |
✓ direkt |
✗ |
✗ |
✗ |
✓ |
| 20er Gast |
✗ |
✗ |
✗ |
✗ |
✓ direkt |
✗ |
✗ |
✓ |
| Zuhause (178.x) |
✓ rpp1 VPN |
✓ rpp1 VPN |
✗ |
✗ |
✗ |
✓ rpp1 VPN |
✓ rpp1 VPN |
✓ |
| VPS |
✓ OpenVPN |
✓ OpenVPN |
✗ |
✗ |
✗ |
✓ OpenVPN |
✓ OpenVPN |
✓ |
? = unklar — Firewall-Regeln für 10.128.10.0/24 noch prüfen (hat CK-WLAN in Ruhrstr. Zugriff auf 30er/40er LAN und Drucker?)
Firewall-Regeln (bekannt)
| Regel |
Position |
Source |
Dest |
Aktion |
Besonderheit |
| MS Claude (FastPath) |
1 |
LAN, WiFi |
MS 365 FQDNs |
Accept |
Kein DPI, kein TLS-Aufbruch |
| Office nach extern |
2+ |
LAN, WiFi |
WAN |
Accept |
WebFilter, IPS, AV, Sandstorm |
| Gast → Internet |
— |
Gast-Zone |
WAN |
Accept |
Nur Internet, kein LAN |
| S2S-VPN |
auto |
40er ↔ 30er |
|
Accept |
RED-Tunnel zwischen XGS |
VPN-Routing
Internet
│
├── Pferdebachstr. (XGS-40, NetCologne 94.79.128.x)
│ ├── 10.128.40.0/24 Büro (ckoffice-static)
│ └── 10.128.50.0/24 Gast (ckoffice-gast)
│ │
│ RED-Tunnel (10.128.20.20 ↔ 10.128.20.10)
│ │
├── Ruhrstr. (XGS-30, 213.168.82.x)
│ ├── 10.128.30.0/24 EPA-Büro (evpop-office)
│ ├── 10.128.20.0/24 EPA-Gast (evpop-gast)
│ └── 10.128.10.0/24 CK-Büro (ckoffice-ruhrstr)
│
├── VPS (178.104.125.96)
│ ├── OpenVPN → 10.244.2.2 → CK-Netze
│ └── WireGuard → 10.100.0.1 → Pi5
│
└── Heimnetz (FritzBox)
├── 192.168.178.0/24
├── rpp1 (.67) → OpenVPN → 10.244.2.130 → CK-Netze
└── Pi5 (.199) → WireGuard → 10.100.0.2 → VPS
Offene Punkte
- [ ] Firewall-Regeln für 10.128.10.0/24 (ckoffice-ruhrstr) klären: Zugriff auf 30er/40er LAN? Drucker?
- [ ] VLAN-Zuordnung bestätigen: VLAN 15 = 50er-Netz? VLAN 11 = 20er-Netz?
Aktualisiert: 2026-03-29
Quellen: Bear-Notiz IT-Infrastruktur SCK, SNMP, Prometheus, Sophos Central API