gogy
Goto Top

Anschlussreihenfolge in kleinem Netzwerk

Fragen zur Vernetzungsreihenfolge

Entschuldigung, falls diese Frage schon einmal gestellt wurde, aber ich konnte beim besten Willen keine passende Antwort mit meinen Suchbegriffen finden.

Es geht darum, dass ich 3 Rechner (Win XP Professional) und 1 Server (Small Business Server 2003) ans Internet anschließen möchte.

Nun habe ich im Handbuch verschiedene Varianten dazu gesehen.

Bei der ersten Variante wird dabei eine 2. Netzwerkkarte im Server installiert und die Workstations gehen dann über den Server ins Internet: Router -> Firewall (derzeit nur über Router realisiert, soll ggf. später zusätzlich installiert werden) -> Server -> Workstations.

Bei der zweiten Variante wird der Router direkt an das Switch angeschlossen und die Rechner haben quasi unabhängig von dem Server Internetzugang: Router -> Firewall (derzeit nur über Router realisiert, soll ggf. später zusätzlich installiert werden) -> Server und Workstations.

Meine Frage lautet nun, welche Variante besser geeignet ist. Die 2. Variante scheint mir vom Installationsaufwand niedriger zu sein, aber über die restlichen Vor- und Nachteile bin ich mir noch nicht im Klaren.

Würde mich sehr freuen, wenn jemand ein paar Erläuterungen zu dem Thema posten könnte. Hoffe ja mal, dass hier auch noch an einem Sonntag-Nachmittag Leute im Forum sind.

Vielen Dank im Voraus,

Gogy

Content-ID: 26364

Url: https://administrator.de/contentid/26364

Ausgedruckt am: 22.11.2024 um 20:11 Uhr

aqui
aqui 19.02.2006 um 14:29:42 Uhr
Goto Top
In der ersten Variante ist der Nachteil das dein Server das zentrale Element für den Internet Zugang ist. Er muss also immer verfügbar sein sonst kommt keiner ins Internet !
2. wichtiger Punkt. Du hast eine Windows Maschine mit allen Ports und derzeitigen Sicherheitslücken etc. direkt am Internet sofern du den DSL oder ISDN Anschluss direkt über eine Serverkarte realisierst. Das erfodert permanetes Einspielen von Bugfixes Patches etc. und erfordert zwingend die Verwendung von ggf. extra Firewall SW etc. also Mehrkosten.
Da Windows Systeme zentral immer das primäre Ziel von Attacken im Internet sind kann man nur dringend davon abraten ! Durchschnittlich dauert es ca. 7 Sek. nach Einwahl bis der Rechner durch Ping Sweeps und Port Scanner erkannt wird und DoS Attacken auf ihn losgelassen werden speziell wenn er sich als Windows System outet. Ferner besteht bei einer Rechte oder Firewall Fehlkonfiguration auch wenn sie ungewollt ist sofort dasgleiche Problem.
Der Router hat immer einen DNS Cache aktiv und kann somit DNS Fragen in Wirespeed beantworten wenn er es denn müsste und fragt nur den Root DNS wenn er Namen nicht kennt. Also auch hier ein resourcenschonendes Verfahren.
Aus Sicherheitsgründen sollte man immer Variante 2 vorziehen ! Die ca. 60 Euro die ein Router, sei es ISDN oder DSL, kostet sollte einem die Sicherheit schon wert sein...oder ?
potatoe
potatoe 19.02.2006 um 14:30:23 Uhr
Goto Top
moin gogy
einige allgemeine überlegungen meinerseits ohne der weisheiten letztem schluss
version 1 (routing über 2te nic des sbs): die namensauflösung nach extern kann man dann schön über den server laufen lassen, die anmeldung an die domain läuft dann meiner erfahrung nach deutlich schneller als wenn die clients erst den router wie in lösung 2 abfragen.
...und dann wäre noch die frage ob du den sbs auch als exchange-server verwenden möchtest.
je nachdem wie gross das nw werden soll denke ich lohnt sich der aufwand
schönen sonntag gruss jan
Gogy
Gogy 19.02.2006 um 15:29:13 Uhr
Goto Top
2. wichtiger Punkt. Du hast eine Windows
Maschine mit allen Ports und derzeitigen
Sicherheitslücken etc. direkt am
Internet sofern du den DSL oder ISDN
Anschluss direkt über eine Serverkarte
realisierst.

Ich glaube da gibt es ein Mißverständnis, vielleicht habe ich das nicht genau erklärt. In beiden Fällen möchte ich einen Router verwenden.

Die beiden Fälle unterscheiden sich nur in der Position der einzelnen Geräte, nicht in ihren Komponenten.

Vielleicht zum besseren Verständnis nochmal die Reihenfolge mit allen Geräten:

Variante 1: Router -> Firewall (derzeit nur über Router realisiert, soll ggf. später zusätzlich installiert werden) -> Server -> Switch -> Workstations.

Variante 2: Router -> Firewall (derzeit nur über Router realisiert, soll ggf. später zusätzlich installiert werden) -> Switch -> Server und Workstations.

@potatoe Das Netzwerk wird vielleicht 4-5 Workstations umfassen und auch Exchange beinhalten.
potatoe
potatoe 19.02.2006 um 15:56:00 Uhr
Goto Top
ja, also, da würde ich mir dann wie vorhin bemerkt 1. überlegen wo sich die clients anmelden und 2. die sicherheitsbedenken von aqui wie üblich ernstnehmen, auch hinter einem router; ich erwähne das nur der form halber, entschuldige die besserwisserei am sonntag nachmittag.
aquis bemerkung bzgl. das der server immer laufen muss von wg. internetzugang der anderen ist natürlich auch korrekt - aber den hast du ja wohl auf nem 'besseren' system.

insofern : probier doch einfach variante 2 - und wenns probleme gibt sattel um auf variante 1.
dauert ja beides nicht wirklich lange zum einrichten. wenn du dann noch ne alte kiste so ab pI/500 (bsplweise) überhast kannst du ja zb dir noch den ipcop als extra firewall einrichten - finde ich sehr einfach einzurichten, auch für reine windows-user

und abschliessend: bei den insgesamt 4-5 nutzern und einer dsl-flat braucht man dann wirklich auch keinen stress mit eigenem windows-update-server betreiben, ist ja alles schön überschaubar

gruss jan
Gogy
Gogy 19.02.2006 um 16:06:00 Uhr
Goto Top
Keine Sorge, ich halte sowas grundsätzlich nicht für Besserwisserei, bin schließlich für jeden Tip dankbar.

Eure Vorschläge hören sich auch sehr vernünftig an, daher werde ich das mal bei einer Testumgebung ausprobieren. Vielen Dank schon mal.
aqui
aqui 20.02.2006 um 23:24:58 Uhr
Goto Top
ok, sorry hatte ich auch falsch verstanden.

Version 1 hat den Nachteil, das du a.) 2 Netzwerkkarten in den Server einbauen musst (wenn sie nicht schon drin sind..) und b.) die Workstations nicht direkt ins Internet können, da du sie durch den Server durchrouten musst. Ein Server soll Datei und Druckdienste zur Verfügung stellen und nicht auch noch routen oder bridgen nebenbei wenns nicht unbedingt sein muss, dafür ist er nicht Server....
Auch gilt wieder: Ist der Server weg oder aus oder kaputt können die Workstations nicht ins Internet face-sad
Dieses Szenario macht nur evtl. dann einen Sinn wenn du aus Sicherheitsgründen auf dem Server einen Proxy laufen lässt für die WSen, also sowas wie Squid o.ä. und auch den Server als lokalen Mailverteiler laufen lässt.
Zwingend ist so ein Szenario wie 2. dafür aber auch nicht, da sich das auch mit Variante 2 und ein paar ACLs auf dem Router erledigen lässt.
So oder so ein erhöhter Aufwand für dich in der Konfiguration und Pflege und hat keinen wirklichen Vorteil.
Fazit: "Keep it simple stupid" und nehme Version 2. Einfach zu installieren, performant und auch deine Workstations können problemlos ins Internet auch wenn der Server mal "unpässlich" ist face-wink