8
Benötige Hilfe beim Aufbau eines kleinen Firmennetzwerks
Hallo,
ich bitte um Unterstützung bei der Einrichtung eines kleinen Firmennetzwerks. Sehr Brisante Daten sind nicht vorhanden aber eine gewisse Grundsicherheit sollte gegeben sein.
Benötigt wird u.a. ein Restaurant-Netzwerk. Dieses hat einige Lan Geräte (z.B. Kassendrucker) und einige Wlan Geräte. Eine Kommunikation untereinander muss möglich sein. Weiterhin sollen einige Gäste Wlan Passwörter bekommen können und trotzdem keinen Zugriff auf die anderen Netzwerke wie z.B. die ungeschützten Kassendrucker oder die Firmencomputer haben.(aus Sicherheitsgründen wäre eine gewisse Protokolliert sinnvoll falls Rechtsverletzungen geschehen)
Neben dem Restaurant ist ein Raum wo Wlan benötigt wird und ein Paar Lan Anschlüsse (Firma 2). Diese sind für eine Firma mit dem selben besitzer, trotzdem wäre eine Gewisse Abtrennung vom Restaurant wünschenswert (das Restaurant soll eigentlich nur auf die Restaurantgeräte Zugriff haben - die Firma könnte ruhig auf alles). Diese Firma hat 2 Etagen weiter oben ebenfalls einige Räume.
Als Admin wäre es aber schön auf alle Geräte des Gesamten Netzwerks zugreifen zu können. Da der Netzwerkbetreiber im Prinzip der Hauptchef ist.
Was benötige ich alles und welche Struktur sollte ich aufbauen?
Die Anzahl der Klienten ist nicht extrem hoch es wäre aber schön wenn man mehr als die 255 IPs hat (ich vergebe viele Feste und ansonsten hat der DHCP so wenig Adressen über) Also muss wohl ein anderes Subnet oder so sein. 192.168.1.x und 192.168.2.x z.B.
VDSL 50.000 mit der großen 1und1 Fritz box ist bestellt.
Bisher haben wir 2 Synology NAS mit jeweils 2 Lan Anschlüssen wo man auch mehrere Servertypen installieren kann.
Ist es einfach realisierbar, dass man mit einem Wlan Gerät durch das Gebäude gehen kann und die Verbindung nicht beendet wird? Also das die Accesspoints die Verbindung automatisch übernehmen.
Schön wäre wenn man Wlan Benutzer erstellen könnte und dann festlegt auf welche Ip Adressen(Berichte bzw. oder Subnetze) diese Benutzer zugreifen können. Das ist aber so kein muss. Es soll schon einfach realisierbar sein und Kompromissbereitschaft besteht definitiv.
Meine Recherche hat ergebe das auf dem Synology wohl ein Radius Server installiert werden sollte. Ich bin leider nicht gerade Fachmann auf dem Gebiet lerne aber schnell und kann auch nachlesen wenn ich die richtigen Stichworte bekomme.
Grüße
Christian
ich bitte um Unterstützung bei der Einrichtung eines kleinen Firmennetzwerks. Sehr Brisante Daten sind nicht vorhanden aber eine gewisse Grundsicherheit sollte gegeben sein.
Benötigt wird u.a. ein Restaurant-Netzwerk. Dieses hat einige Lan Geräte (z.B. Kassendrucker) und einige Wlan Geräte. Eine Kommunikation untereinander muss möglich sein. Weiterhin sollen einige Gäste Wlan Passwörter bekommen können und trotzdem keinen Zugriff auf die anderen Netzwerke wie z.B. die ungeschützten Kassendrucker oder die Firmencomputer haben.(aus Sicherheitsgründen wäre eine gewisse Protokolliert sinnvoll falls Rechtsverletzungen geschehen)
Neben dem Restaurant ist ein Raum wo Wlan benötigt wird und ein Paar Lan Anschlüsse (Firma 2). Diese sind für eine Firma mit dem selben besitzer, trotzdem wäre eine Gewisse Abtrennung vom Restaurant wünschenswert (das Restaurant soll eigentlich nur auf die Restaurantgeräte Zugriff haben - die Firma könnte ruhig auf alles). Diese Firma hat 2 Etagen weiter oben ebenfalls einige Räume.
Als Admin wäre es aber schön auf alle Geräte des Gesamten Netzwerks zugreifen zu können. Da der Netzwerkbetreiber im Prinzip der Hauptchef ist.
Was benötige ich alles und welche Struktur sollte ich aufbauen?
Die Anzahl der Klienten ist nicht extrem hoch es wäre aber schön wenn man mehr als die 255 IPs hat (ich vergebe viele Feste und ansonsten hat der DHCP so wenig Adressen über) Also muss wohl ein anderes Subnet oder so sein. 192.168.1.x und 192.168.2.x z.B.
VDSL 50.000 mit der großen 1und1 Fritz box ist bestellt.
Bisher haben wir 2 Synology NAS mit jeweils 2 Lan Anschlüssen wo man auch mehrere Servertypen installieren kann.
Ist es einfach realisierbar, dass man mit einem Wlan Gerät durch das Gebäude gehen kann und die Verbindung nicht beendet wird? Also das die Accesspoints die Verbindung automatisch übernehmen.
Schön wäre wenn man Wlan Benutzer erstellen könnte und dann festlegt auf welche Ip Adressen(Berichte bzw. oder Subnetze) diese Benutzer zugreifen können. Das ist aber so kein muss. Es soll schon einfach realisierbar sein und Kompromissbereitschaft besteht definitiv.
Meine Recherche hat ergebe das auf dem Synology wohl ein Radius Server installiert werden sollte. Ich bin leider nicht gerade Fachmann auf dem Gebiet lerne aber schnell und kann auch nachlesen wenn ich die richtigen Stichworte bekomme.
Grüße
Christian
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 252986
Url: https://administrator.de/contentid/252986
Ausgedruckt am: 23.11.2024 um 14:11 Uhr
8 Kommentare
Neuester Kommentar
Moin,
LG, Thomas
Was benötige ich alles
einen halbwegs Fachkundigen vor Ort.LG, Thomas
Halbwegs fachkundig bin ich. Ich habe nur vieles schon wieder vergessen ich bin aber gut lernfähig und wenn ihr mir ein Paar Tips zum grundsätzlichen Aufbau gebt werde ich diese umsetzen können.
Ich schreibe ja hier damit ich das ganze verstehen kann und mir den Rest selber beibringe weil mich das Thema auch interessiert
Ich schreibe ja hier damit ich das ganze verstehen kann und mir den Rest selber beibringe weil mich das Thema auch interessiert
Als erstes kannst du die Fritzbox wieder zurückschicken, mit der wirst du keinen Blumentopf gewinnen. Was du brauchst, ist ein ordentlicher Router.
Meine Empfehlung ist ein LANCOM 1781VA, damit kannst du problemlos die Netzwerktrennung aufbauen, dazu die Public Spot-Option für dein Gäste-WLAN und ein paar Access Points, z.B. die LANCOM L-321agn für dein WLAN. Der Router kann dann auch zeitgleich die Funktion des RADIUS-Servers übernehmen. Dann wirst du noch einen Switch benötigen, dieser muss zumindest VLAN-fähig sein, für die Access Points wäre etwas PoE-fähiges nicht verkehrt, muss aber nicht unbedingt sein. Ich arbeite da sehr gerne mit den Cisco SF/SG200.
Mit dem Router baust du drei getrennte IP-Netze auf. Eins fürs Restaurant, eins für das Büro und ein Gästenetz. Via VLAN werden diese drei Netze bis zum Switch/den Switches (ich weiß nicht, wieviel du brauchst) und eventuell zu den Access Points geführt (die Access Points können bis zu 8 verschiedene Netzwerke gleichzeitig aufbauen). Über die Firewall regelst du dann, wer mit dem sprechen darf, also Gästenetz nur mit dem Internet, Restaurantnetz nur untereinander (ich weiß nicht, ob hier Internetzugang benötigt wird, wenn ja, kann man das bis auf einzelne IPs regeln) und das Büronetz darf auf sich selbst, das Restaurantnetz und das Internet zugreifen.
Aber Achtung: LANCOM-Router sind nicht mal ansatzweise mit einer Fritzbox zu vergleichen. Es gibt zwar Assistenten, aber die stellen nur grundlegende Konfigurationsaufgaben zur Verfügung. Bei der Ersteinrichung wirst du wohl Hilfe oder sehr viel Zeit benötigen.
LANCOM ist nur eine Möglichkeit, es gibt auch viele andere Hersteller, die Vergleichbares anbieten.
Meine Empfehlung ist ein LANCOM 1781VA, damit kannst du problemlos die Netzwerktrennung aufbauen, dazu die Public Spot-Option für dein Gäste-WLAN und ein paar Access Points, z.B. die LANCOM L-321agn für dein WLAN. Der Router kann dann auch zeitgleich die Funktion des RADIUS-Servers übernehmen. Dann wirst du noch einen Switch benötigen, dieser muss zumindest VLAN-fähig sein, für die Access Points wäre etwas PoE-fähiges nicht verkehrt, muss aber nicht unbedingt sein. Ich arbeite da sehr gerne mit den Cisco SF/SG200.
Mit dem Router baust du drei getrennte IP-Netze auf. Eins fürs Restaurant, eins für das Büro und ein Gästenetz. Via VLAN werden diese drei Netze bis zum Switch/den Switches (ich weiß nicht, wieviel du brauchst) und eventuell zu den Access Points geführt (die Access Points können bis zu 8 verschiedene Netzwerke gleichzeitig aufbauen). Über die Firewall regelst du dann, wer mit dem sprechen darf, also Gästenetz nur mit dem Internet, Restaurantnetz nur untereinander (ich weiß nicht, ob hier Internetzugang benötigt wird, wenn ja, kann man das bis auf einzelne IPs regeln) und das Büronetz darf auf sich selbst, das Restaurantnetz und das Internet zugreifen.
Aber Achtung: LANCOM-Router sind nicht mal ansatzweise mit einer Fritzbox zu vergleichen. Es gibt zwar Assistenten, aber die stellen nur grundlegende Konfigurationsaufgaben zur Verfügung. Bei der Ersteinrichung wirst du wohl Hilfe oder sehr viel Zeit benötigen.
LANCOM ist nur eine Möglichkeit, es gibt auch viele andere Hersteller, die Vergleichbares anbieten.
1
Danke für die ausführliche Antwort.
Ich habe noch einen Lancom Business LAN R800A kann ich damit etwas anfangen? Da dieser nur Adsl kann und kein Vdsl muss die Fritzbox aber definitiv davor.
Wie läuft die Verkabelung ab? Ich gehe mal davon aus, dass der Lancom Router an 3 LAN Ports 3 unterschiedliche Vlans ausgibt. Richtig? Muss ich diese 3 Kabel dann in einen Switch stecken oder brauche ich für jedes Netzwerk einen eigenen Switch?
Die Accesspoints kommen ebenfalls den Switch? Kann ich diese in deren Einstellungen entsprechend konfigurieren? Damit die wissen welches Wlan Netzwerk das sie aufbauen zu welcher ip gehört?
Falls das so richtig ist sollte das zu schaffen sein
Muss der Switch nur Vlan können oder noch mehr?
Nochmal eine dumme Frage hinterher: Wenn ich einen Rechner einen IP zuweise die dem Restaurant zugeordnet ist (per Lan) was schützt mich davor, dass der Rechner einfach seine IP in eine ändert die in den Bürobereich gehört? Dazu muss sicher der switch so konfiguriert werden das z.B. an Port 8 das Restaurantnetz hängt oder?
Ich habe noch einen Lancom Business LAN R800A kann ich damit etwas anfangen? Da dieser nur Adsl kann und kein Vdsl muss die Fritzbox aber definitiv davor.
Wie läuft die Verkabelung ab? Ich gehe mal davon aus, dass der Lancom Router an 3 LAN Ports 3 unterschiedliche Vlans ausgibt. Richtig? Muss ich diese 3 Kabel dann in einen Switch stecken oder brauche ich für jedes Netzwerk einen eigenen Switch?
Die Accesspoints kommen ebenfalls den Switch? Kann ich diese in deren Einstellungen entsprechend konfigurieren? Damit die wissen welches Wlan Netzwerk das sie aufbauen zu welcher ip gehört?
Falls das so richtig ist sollte das zu schaffen sein
Muss der Switch nur Vlan können oder noch mehr?
Nochmal eine dumme Frage hinterher: Wenn ich einen Rechner einen IP zuweise die dem Restaurant zugeordnet ist (per Lan) was schützt mich davor, dass der Rechner einfach seine IP in eine ändert die in den Bürobereich gehört? Dazu muss sicher der switch so konfiguriert werden das z.B. an Port 8 das Restaurantnetz hängt oder?
Hallo Zurück
Also empfehlenswert währe für die die Einarbeitung in das Thema V-LAN somit kannst du die Netzte relativ schön separieren.
Zudem für W-LAN Radius Anmeldung und ein Captive Portal. Hier gibt es schöne Anleitungen von @aqui die dir helfen werden.
Die Anzahl der Klienten ist nicht extrem hoch es wäre aber schön wenn man mehr als die 255 IPs hat (ich vergebe viele
Feste und ansonsten hat der DHCP so wenig Adressen über) Also muss wohl ein anderes Subnet oder so sein. 192.168.1.x und
192.168.2.x z.B.
Ist eine Sache von der Subnetzmaske. Würd ich dir aber so nicht empfehlen und die Frage ob das notwendig ist wenn man per V-Lan die Netze trennt.
Das mit den vielen Festen IP's halte ich aber für keine so tolle Idee da es den Verwaltungsaufwand massiv erhöht für keinen wirklichen Vorteil.
Ist es einfach realisierbar, dass man mit einem Wlan Gerät durch das Gebäude gehen kann und die Verbindung nicht beendet
wird? Also das die Accesspoints die Verbindung automatisch übernehmen.
Ja geht. Simpft sich W-Lan Roaming. Hier wirst du auch viele Infos finden.
Meine Recherche hat ergebe das auf dem Synology wohl ein Radius Server installiert werden sollte. Ich bin leider nicht gerade
Fachmann auf dem Gebiet lerne aber schnell und kann auch nachlesen wenn ich die richtigen Stichworte bekomme.
Von der Seite her für ich mich an @keine-ahnung anschließen besorg dir einen Fachmann und lass dir bei der Installation alles erklären.
Wenn du bereit bist zu lernen wirst du den nur am Anfang brauchen.
Hier tummelt sich der eine oder Andere wirklich fähige herum.
Leider gibt's aber auch wirklich viele die nicht's können und dann sich hier für ihre Kunden kostenlos beraten wollen.
Der R800A ist ein Anfang, dann müsstest du aber auf da GästeWLAN verzichten und selbst beim Restaurantnetz müsstest du schon pfuschen. Beim R800A handelt es sich um eine verkrüppelte Sonderkonstruktion für die Telekom. Der 1781VA wäre besser und hätte direkt das VDSL-Modem integriert.
Scheinbar hattest du noch nie mit VLANs Kontakt. Mit VLANs trennst du einen Switch so auf, als hättest du (wie in deinem Fall drei) eigene Switches. Also läuft die Trennung nicht auf IP-Ebene sondern noch dadrunter. Ein Wechsel der IP bewirkt keinen Zugriff ins andere Netzwerk. Der Vorteil gegenüber eigener Switches ist aber, dass es sogenannte VLAN-Trunks gibt, über die mehr als ein VLAN gleichzeitig laufen können.
VLAN-Trunks würdest du zwischen dem Switch und dem Router sowie zwischen dem Switch und den Access Points aufbauen. Trotzdem sind die Netzwerke getrennt und werden erst durch die Routingfunktion des Routers miteinander verbunden, über die Firewall selbst wird aber ein Zugang reglementiert.
Der Switch muss VLANs können, Router und Access Points auch, aber bei den LANCOMs weiß ich, dass die es können.
Scheinbar hattest du noch nie mit VLANs Kontakt. Mit VLANs trennst du einen Switch so auf, als hättest du (wie in deinem Fall drei) eigene Switches. Also läuft die Trennung nicht auf IP-Ebene sondern noch dadrunter. Ein Wechsel der IP bewirkt keinen Zugriff ins andere Netzwerk. Der Vorteil gegenüber eigener Switches ist aber, dass es sogenannte VLAN-Trunks gibt, über die mehr als ein VLAN gleichzeitig laufen können.
VLAN-Trunks würdest du zwischen dem Switch und dem Router sowie zwischen dem Switch und den Access Points aufbauen. Trotzdem sind die Netzwerke getrennt und werden erst durch die Routingfunktion des Routers miteinander verbunden, über die Firewall selbst wird aber ein Zugang reglementiert.
Der Switch muss VLANs können, Router und Access Points auch, aber bei den LANCOMs weiß ich, dass die es können.
Was das Gäste Netzwerk im Restaurant anbetrifft findest du hier eine umfassende Lösung mit einem Ticketsystem inkl. SMS Versand der Tickets:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Zum Rest ist ja oben schon alles gesagt worden. Grundlagen für so ein VLAN Setup beschreibt dieses Forumstutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Zum Rest ist ja oben schon alles gesagt worden. Grundlagen für so ein VLAN Setup beschreibt dieses Forumstutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Im LANCOM ist mit der Public Spot-Option bereits eine Ticketverwaltung vorhanden, es gibt entsprechende Assistenten für den Ticketdruck (Auch direkt über einen Bondrucker) und sogar ein SMS-Versand der Tickets.
