Bandbreitenmanagement-Firewall bei 32 festen Ips
Hallo alle zusammen,
Da ich leider nicht weiss, wo ich das reinposten soll, hab ich das mal in nem relativ allgemein gehaltenen Teil dieses Forums reingepackt.
Ok, zum Szenario: Ich habe hier ein Netzwerk mit 29 Client/Server-PCs (client/server deswegen, weil fast jeder PC auch als Server dienen muss, art der Dienste sind hauptsächlich games - wc3, starcraft etc., aber auch 1 PC der als web/ftp-server fungiert). ISP ist bei uns QSC, die uns eine 2,3Mbit SDSL-Leitung über den Speedstream 5851-SDSL-Router der Firma efficient networks (jetzt wohl Siemens angehörig) zur Verfügung stellt. Zugewiesen sind uns 32 feste, statische Ips, wovon 29 von uns nutzbar sind (netzmaske: 255.255.255.224) und auch voll genutzt werden. Am Router (Modem wohl integriert) hab ich keinerlei Zugriff, der wird von QSC ferngewartet wenns sein muss.
Mit anderen Worten: ich habe hier in erster Linie ein komplett ungeschütztes LAN, das so komplett auch im Internet present ist und entsprechend auch einfach von aussen ansprechbar ist. Die Sicherheit ist auch eigentlich nur ein zweitrangiges Problem, da es im LAN keine wirklich schutzbedürftigen Daten gibt und die Clients auch nicht rund um die Uhr erreichbar sind.
Mehr Kopfzerbrechen bereitet mir z.Z., wie ich ein Bandbreitenmanagement erreichen kann. Bestes Beispiel: 1 Client startet 2-3 Downloads und die BB ist schon am limit, so dass hauptsächlich bei den Spielern an anderen Clients die Latenz stark nach oben geht.
Nach längerem Suchen bin ich auf die Software von www.softinengines.com gestossen die so eine Software sogar als Freeware anbietet und sogar eine kleine Firewall beinhaltet (klingt optimal). Nun das Problem: Die Software geht wohl davon aus, dass man sie auf einem Pc mit installiertem Routerprogramm bzw Routingmehtoden (2 NICs in den PC eingebaut etc) betreibt und der komplette Internetverkehr der von und ins LAN geht über diesen PC abgewickelt wird (was ja durchaus nicht unüblich ist).
Nur ist das bei uns nicht der Fall (das macht ja der Router schon). Ich müsste nun ein PC aufsetzen, über den im grundegenommen der Internet-verkehr abgewickelt wird und wo ich dann die Software installieren kann. Die öffentlichen IPs sollten auch beibehalten werden bei den Clients, allerdings wäre eine Firewall-Funktion zwischen dem SpeedStream-Router und den Clients wünschenswert. Nur finde ich fast ausschliesslich Standard-Szenarien, wo man halt nur 1 IP vom ISP zugewiesen bekommt und sich die Clients per IIS oder NAT den Internetzugang teilen.
Hat jemand eine Idee, welche Einstellungen diesbezüglich nötig wären bzgl Betriebssystem (dachte z.b. an W2kprof), interner und externer NIC-Konfiguration (IP, Gateway, DNS) oder kennt vlt sogar jemand die Software und weiss dort weitere Einstellungen. Und wieviel Ips würde ich dann weniger zur Verfügung haben (braucht jede NIC wirklich 1 zugeordnete IP?).
Oder hat jemand noch eine komplett andere Idee, Bandbreitenmanagment (hauptsächlich ip-basierend) in einem mehr oder weniger "öffentlichen" Netz zu realisieren?
mfg Olli
Da ich leider nicht weiss, wo ich das reinposten soll, hab ich das mal in nem relativ allgemein gehaltenen Teil dieses Forums reingepackt.
Ok, zum Szenario: Ich habe hier ein Netzwerk mit 29 Client/Server-PCs (client/server deswegen, weil fast jeder PC auch als Server dienen muss, art der Dienste sind hauptsächlich games - wc3, starcraft etc., aber auch 1 PC der als web/ftp-server fungiert). ISP ist bei uns QSC, die uns eine 2,3Mbit SDSL-Leitung über den Speedstream 5851-SDSL-Router der Firma efficient networks (jetzt wohl Siemens angehörig) zur Verfügung stellt. Zugewiesen sind uns 32 feste, statische Ips, wovon 29 von uns nutzbar sind (netzmaske: 255.255.255.224) und auch voll genutzt werden. Am Router (Modem wohl integriert) hab ich keinerlei Zugriff, der wird von QSC ferngewartet wenns sein muss.
Mit anderen Worten: ich habe hier in erster Linie ein komplett ungeschütztes LAN, das so komplett auch im Internet present ist und entsprechend auch einfach von aussen ansprechbar ist. Die Sicherheit ist auch eigentlich nur ein zweitrangiges Problem, da es im LAN keine wirklich schutzbedürftigen Daten gibt und die Clients auch nicht rund um die Uhr erreichbar sind.
Mehr Kopfzerbrechen bereitet mir z.Z., wie ich ein Bandbreitenmanagement erreichen kann. Bestes Beispiel: 1 Client startet 2-3 Downloads und die BB ist schon am limit, so dass hauptsächlich bei den Spielern an anderen Clients die Latenz stark nach oben geht.
Nach längerem Suchen bin ich auf die Software von www.softinengines.com gestossen die so eine Software sogar als Freeware anbietet und sogar eine kleine Firewall beinhaltet (klingt optimal). Nun das Problem: Die Software geht wohl davon aus, dass man sie auf einem Pc mit installiertem Routerprogramm bzw Routingmehtoden (2 NICs in den PC eingebaut etc) betreibt und der komplette Internetverkehr der von und ins LAN geht über diesen PC abgewickelt wird (was ja durchaus nicht unüblich ist).
Nur ist das bei uns nicht der Fall (das macht ja der Router schon). Ich müsste nun ein PC aufsetzen, über den im grundegenommen der Internet-verkehr abgewickelt wird und wo ich dann die Software installieren kann. Die öffentlichen IPs sollten auch beibehalten werden bei den Clients, allerdings wäre eine Firewall-Funktion zwischen dem SpeedStream-Router und den Clients wünschenswert. Nur finde ich fast ausschliesslich Standard-Szenarien, wo man halt nur 1 IP vom ISP zugewiesen bekommt und sich die Clients per IIS oder NAT den Internetzugang teilen.
Hat jemand eine Idee, welche Einstellungen diesbezüglich nötig wären bzgl Betriebssystem (dachte z.b. an W2kprof), interner und externer NIC-Konfiguration (IP, Gateway, DNS) oder kennt vlt sogar jemand die Software und weiss dort weitere Einstellungen. Und wieviel Ips würde ich dann weniger zur Verfügung haben (braucht jede NIC wirklich 1 zugeordnete IP?).
Oder hat jemand noch eine komplett andere Idee, Bandbreitenmanagment (hauptsächlich ip-basierend) in einem mehr oder weniger "öffentlichen" Netz zu realisieren?
mfg Olli
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 36543
Url: https://administrator.de/forum/bandbreitenmanagement-firewall-bei-32-festen-ips-36543.html
Ausgedruckt am: 25.12.2024 um 00:12 Uhr
12 Kommentare
Neuester Kommentar
@apohl
Der Opener hat geschrieben das er NUR öffentliche IPs hat. Nix mit NAT und Portmapping! Erst lesen und dann schreiben. Aber ansonsten ist IPCop schon recht gut.
@all
Für diesen Anwendungsfall müssen aber öffentliche IPs geroutet werden. Ich denke mal eine kleine Firewall sollte für 2,3MBit Bandbreite völlig reichen und dann in Verbindung mit einem Managebaren Switch. Im Switch stellt man dann pro Port die maximale Bandbreite ein.
Apropro Bandbreite... Ich glaube deine Unternehmung wird immer zu wenig Bandbreite haben wenn alle Services genutzt werden. Gameserver generieren schon einiges an Traffic (*>30Rechner!)! Und ne SDSL-Leitung hat auch bei 80% Auslastung keine Pings mehr von 18ms!
Viel Erfolg wünscht Dir
luckylemontree
Der Opener hat geschrieben das er NUR öffentliche IPs hat. Nix mit NAT und Portmapping! Erst lesen und dann schreiben. Aber ansonsten ist IPCop schon recht gut.
@all
Für diesen Anwendungsfall müssen aber öffentliche IPs geroutet werden. Ich denke mal eine kleine Firewall sollte für 2,3MBit Bandbreite völlig reichen und dann in Verbindung mit einem Managebaren Switch. Im Switch stellt man dann pro Port die maximale Bandbreite ein.
Apropro Bandbreite... Ich glaube deine Unternehmung wird immer zu wenig Bandbreite haben wenn alle Services genutzt werden. Gameserver generieren schon einiges an Traffic (*>30Rechner!)! Und ne SDSL-Leitung hat auch bei 80% Auslastung keine Pings mehr von 18ms!
Viel Erfolg wünscht Dir
luckylemontree
Der Opener hat geschrieben das er NUR öffentliche IPs hat. Nix mit NAT und Portmapping!
Erst lesen und dann schreiben.
Erst lesen und dann schreiben.
Oh tschuldigung, wenn es eine Lösung sein soll, bei der man eigentlich nur auf Install klickt und das Netz macht dann alles alleine, dann taugt mein Vorschlag natürlich nicht .... allerdings wüßte ich dann gerne, welches Produkt das macht....
Wo bitte ist das Problem, wenn man hingeht, eine Firewall zwischen Router und eigenem Netz hängt, der Firewall alle öffentlichen IP´s zuweist und dann im internen Netz private IP´s verwendet..... solange mn der Firewall sagt, nimm allen Traffic für öffentliche IP abc und leite ihn an die interne IP xyz (und umgekehrt), sollte es doch wohl kein Problem geben, oder (Stichwort DNAT und SNAT).
Wie war das mit der korrekten Reihenfolge von lesen, denken und schreiben ?*Kopfschüttel*
Hi,
das schöne beim Cop ist, daß Du auf der Kommandozeile ne ganze Menge machen kannst.
Schau mal in http://www.ipcop-forum.de , da hilft man Dir gerne weiter
Es geht aber auch im GUI vom IPCOP, dort kannst Du unter Netzwerk Alias-Adressen eingeben (sofern Du im Setup ROT mit Statischer Adresse definiert hast) und dann fleißig DNAT und SNAT Regeln erstellen (das sind die Suchwörter für´s Forum)
Hier mal ein Beitrag, der Dir helfen könnte: http://www.ipcop-forum.de/forum/viewtopic.php?p=49612#49612
Es soll da aber auch mittlerweile ein Addon für geben (http://www.ipcop-forum.de/forum/viewtopic.php?t=11854&highlight=) )
So, das sollte Dir erst mal zu denken geben
das schöne beim Cop ist, daß Du auf der Kommandozeile ne ganze Menge machen kannst.
Schau mal in http://www.ipcop-forum.de , da hilft man Dir gerne weiter
Es geht aber auch im GUI vom IPCOP, dort kannst Du unter Netzwerk Alias-Adressen eingeben (sofern Du im Setup ROT mit Statischer Adresse definiert hast) und dann fleißig DNAT und SNAT Regeln erstellen (das sind die Suchwörter für´s Forum)
Hier mal ein Beitrag, der Dir helfen könnte: http://www.ipcop-forum.de/forum/viewtopic.php?p=49612#49612
Es soll da aber auch mittlerweile ein Addon für geben (http://www.ipcop-forum.de/forum/viewtopic.php?t=11854&highlight=) )
So, das sollte Dir erst mal zu denken geben
Hiho und Guten Morgen,
SNAT und DNAT sind Abkürzungen für Source-Nat (also interne Adresse wird durch externe Adresse als Absenderadresse ersetzt) und Destination-Nat (hast Du Dir selbst schono erklärt).
Ich persönlich kenne eigentlich keinen Einsatzzweck, bei dem nur die Verwendung von einem von beidem möglich wäre, da TCP/IP ja ein Zweiwege-Protokoll ist (sprich jede Anfrage wird auch beantwortet).
Ich kenne das AddOn von Markus nicht, da ich hier in der Firma keine Anwendung dafür habe, aber wenn ich das im Forum richtig verstanden habe, verknüpfst Du mit dem Addon eigentlich nur externe IP mit interner IP, den Rest macht das Addon (sprich es setzt die entsprechenden DNAT und SNAT Regeln).
Ich hol jetzt mal etwas weiter aus (ein bischen Firewall-Theorie):
Zuerst mal die Farbdefinitionen beim Cop (und einigen anderen Firewalls):
- Rot =Extern
- Grün = internes sicheres Netz
- Orange = DMZ (dazu gleich)
- Blau = WLAN-Netz (falls man z.B. noch einen Accesspoint betreibt).
Zuerst mal die DMZ (demilitarisierte Zone). Hier werden im allgemeinen die Server/Rechner eingebunden, die von extern erreichbar sein sollen (also im Normalfall Webserver, etc.).
Sinn ist es, diese Rechner klar vom grünen Netzt zu trennen, da extern erreichbare Hosts eigentlich immer zum Hacken einladen.
Gleiches gilt übrigens auch für Blau. An diese Schnittstelle würde man einen Hotspot anschließen, der dann zwar freien Zugriff auf Rot hat (also in Internet kann), aber nicht auf Grün (es sei denn, man konfiguriert das handisch bzw. richtet nen VPN ein).
Da bei Euch aber jeder Rechner von aussen erreichbar sein soll, kannst Du Dir die Einrichtung einer DMZ sparen und solltest alles an Grün hängen (im Idealfall reichen also zwei NICs).
Das rote Interface braucht auf jeden Fall eine öffentliche IP, da es ja auf irgendwas lauschen muss.... allerdings solltest Du Dir den Begriff Alias noch mal anschauen.... das heißt nichts weiter, als das Du RED verschiedene Adressen zuweist, auf die es hört.
Ich bin mir allerdings gerade nicht sicher, ob sich in dem Addon auch diese eine Adresse einem Host zuweisen läßt....
Grün kriegt einfach eine freie Adresse aus der privaten Netzklasse (die es ja gar nicht mehr gibt, wenn ich das unter Wikipedia gerade richtig verstanden hab http://de.wikipedia.org/wiki/Netzklasse ), die Du dann bei den Clients als Standardgateway einträgst.
Dann würd ich doch den web-, ftp- und Teamspeakserver via Portforwarding ansprechen, da hier ja spezielle Ports angesprochen werden (von außen also z.B. http://rote.Adresse:80 auf http://interner.Webserver:80 usw.)
Och nö .... Subentzlehre spare ich mir jetzt mal und verweis Dich mal auf die jeweiligen Artikel bei der Wikipedia für Netzklasse (siehe oben), Subnetze ( http://de.wikipedia.org/wiki/Subnetz ) und Broadcastadresse ( http://de.wikipedia.org/wiki/Broadcast ), das der Router als Teil des Netzes nun mal eine IP gebraucht, sollte klar sein.
Gestatte mir übrigens noch ein paar Hinweise (Achtung, der Onkel gibt Weisheiten für´s Leben ):
So einfach das ja auch alle klingen mag (und es dank des gelungenen Guis vom COP auch teilweise ist), so birgt das Thema doch einige Stolperfallen (vor allem, wenn man den Cop mittels Addons für Spezialanforderungen anpasst... in der Standardconfig ist das eigentlich recht easy ).
Tu Dir selbst einen gefallen und nutz die Backup-Funktion des Cops für die Config-Dateien, wann immer Du einen Zwischenstand erreicht hast, der Deinen Wünschen entspricht.
Es reicht teilweise schon ein Mausklick, um die Kiste unerreichbar zu machen und das Netz von der Aussenwelt zu trennen (man kann dann zwar meist über die Kommandozeile alles wiederh hinbiegen....aber das ist ja nicht so Deine Welt
So musst Du zwar immer noch den Cop neuinstallieren, das Addon installieren und dann die Configs zurückspielen (in dieser Reihenfolge), sparst Dir aber die Zeit für diese elende Konfiguration bis zu diesem Punkt .... und das zerschießen passiert auch den sog. "profis" gelegentlich
So, ich hoffe mal, daß ich Dir ein bischen helfen konnte ....
Gruß, André
SNAT und DNAT sind Abkürzungen für Source-Nat (also interne Adresse wird durch externe Adresse als Absenderadresse ersetzt) und Destination-Nat (hast Du Dir selbst schono erklärt).
Ich persönlich kenne eigentlich keinen Einsatzzweck, bei dem nur die Verwendung von einem von beidem möglich wäre, da TCP/IP ja ein Zweiwege-Protokoll ist (sprich jede Anfrage wird auch beantwortet).
Ich kenne das AddOn von Markus nicht, da ich hier in der Firma keine Anwendung dafür habe, aber wenn ich das im Forum richtig verstanden habe, verknüpfst Du mit dem Addon eigentlich nur externe IP mit interner IP, den Rest macht das Addon (sprich es setzt die entsprechenden DNAT und SNAT Regeln).
Benötigt das green/orange Interface dann ebenfalls IP-Aliases (wohl dann die des
privaten Netzes)? (oder wieder Denkfehler bei mir?
Das bringt mich wieder zu der anfangs gestellte Frage: Braucht das Red-interface dann
auch eine feste, öffentliche IP (also nicht als alias definiert)
privaten Netzes)? (oder wieder Denkfehler bei mir?
Das bringt mich wieder zu der anfangs gestellte Frage: Braucht das Red-interface dann
auch eine feste, öffentliche IP (also nicht als alias definiert)
Ich hol jetzt mal etwas weiter aus (ein bischen Firewall-Theorie):
Zuerst mal die Farbdefinitionen beim Cop (und einigen anderen Firewalls):
- Rot =Extern
- Grün = internes sicheres Netz
- Orange = DMZ (dazu gleich)
- Blau = WLAN-Netz (falls man z.B. noch einen Accesspoint betreibt).
Zuerst mal die DMZ (demilitarisierte Zone). Hier werden im allgemeinen die Server/Rechner eingebunden, die von extern erreichbar sein sollen (also im Normalfall Webserver, etc.).
Sinn ist es, diese Rechner klar vom grünen Netzt zu trennen, da extern erreichbare Hosts eigentlich immer zum Hacken einladen.
Gleiches gilt übrigens auch für Blau. An diese Schnittstelle würde man einen Hotspot anschließen, der dann zwar freien Zugriff auf Rot hat (also in Internet kann), aber nicht auf Grün (es sei denn, man konfiguriert das handisch bzw. richtet nen VPN ein).
Da bei Euch aber jeder Rechner von aussen erreichbar sein soll, kannst Du Dir die Einrichtung einer DMZ sparen und solltest alles an Grün hängen (im Idealfall reichen also zwei NICs).
Das rote Interface braucht auf jeden Fall eine öffentliche IP, da es ja auf irgendwas lauschen muss.... allerdings solltest Du Dir den Begriff Alias noch mal anschauen.... das heißt nichts weiter, als das Du RED verschiedene Adressen zuweist, auf die es hört.
Ich bin mir allerdings gerade nicht sicher, ob sich in dem Addon auch diese eine Adresse einem Host zuweisen läßt....
Grün kriegt einfach eine freie Adresse aus der privaten Netzklasse (die es ja gar nicht mehr gibt, wenn ich das unter Wikipedia gerade richtig verstanden hab http://de.wikipedia.org/wiki/Netzklasse ), die Du dann bei den Clients als Standardgateway einträgst.
wobei bei 2-3 Clients es nicht so schlimm wär, wenn ich dort nach aussen keine feste IP
hab und die sich eine öffentliche IP teilen müssten
hab und die sich eine öffentliche IP teilen müssten
Dann würd ich doch den web-, ftp- und Teamspeakserver via Portforwarding ansprechen, da hier ja spezielle Ports angesprochen werden (von außen also z.B. http://rote.Adresse:80 auf http://interner.Webserver:80 usw.)
Kurze Erklärung: Nutzbar sind für uns nur 29 Ips. Wenn ich das richtig von QSC
verstanden hab, ist die 1.IP die Netz-Ip (212.202.220.96), die 2. IP die Router-IP
(212.202.220.97) und die letzte IP eine Broadcast-IP (212.202.225.127 - wozu brauch ich
eine Broadcast-Ip?) - diese 3 IPs sind also "gesetzt".
verstanden hab, ist die 1.IP die Netz-Ip (212.202.220.96), die 2. IP die Router-IP
(212.202.220.97) und die letzte IP eine Broadcast-IP (212.202.225.127 - wozu brauch ich
eine Broadcast-Ip?) - diese 3 IPs sind also "gesetzt".
Och nö .... Subentzlehre spare ich mir jetzt mal und verweis Dich mal auf die jeweiligen Artikel bei der Wikipedia für Netzklasse (siehe oben), Subnetze ( http://de.wikipedia.org/wiki/Subnetz ) und Broadcastadresse ( http://de.wikipedia.org/wiki/Broadcast ), das der Router als Teil des Netzes nun mal eine IP gebraucht, sollte klar sein.
Gestatte mir übrigens noch ein paar Hinweise (Achtung, der Onkel gibt Weisheiten für´s Leben ):
So einfach das ja auch alle klingen mag (und es dank des gelungenen Guis vom COP auch teilweise ist), so birgt das Thema doch einige Stolperfallen (vor allem, wenn man den Cop mittels Addons für Spezialanforderungen anpasst... in der Standardconfig ist das eigentlich recht easy ).
Tu Dir selbst einen gefallen und nutz die Backup-Funktion des Cops für die Config-Dateien, wann immer Du einen Zwischenstand erreicht hast, der Deinen Wünschen entspricht.
Es reicht teilweise schon ein Mausklick, um die Kiste unerreichbar zu machen und das Netz von der Aussenwelt zu trennen (man kann dann zwar meist über die Kommandozeile alles wiederh hinbiegen....aber das ist ja nicht so Deine Welt
So musst Du zwar immer noch den Cop neuinstallieren, das Addon installieren und dann die Configs zurückspielen (in dieser Reihenfolge), sparst Dir aber die Zeit für diese elende Konfiguration bis zu diesem Punkt .... und das zerschießen passiert auch den sog. "profis" gelegentlich
So, ich hoffe mal, daß ich Dir ein bischen helfen konnte ....
Gruß, André