15
Best Practice: Netzwerkplanung
Hallo liebe Admins,
es ist mir klar das es zu meiner Frage nicht "die" Lösung bis ins Detail geben wird, von daher bitte ich euch diese Frage als Brainstorming zu sehen um zu sehen wo man Verbesserungen vornehmen kann.
Es geht auch nicht um ein Mega-Unternehmen sondern eher um zwei Klein(st)-Unternehmen aber die abzubildenden Strukturen sind trotzdem umfangreich.
An einem Standort existieren zwei Unternehmen, die sich die gleiche Infrastruktur teilen. Bisher nicht problematisch, das zweite Unternehmen führt die Fr. vom Chef (1 Arbeitsplatz) allerdings im Auftrag einer Eigentümergemeinschaft und es ist möglich das weitere Eigentümer Zugriffe bekommen sollen.
Wie sieht es sonst aus: Ein Arbeitsplatz für den Chef und ein Arbeitsplatz Büropersonal für beide Unternehmen. 4 Arbeitsplätze mit Tätigkeiten im IT-Umfeld. Einer davon meiner als "Mädchen" für alles, beinhaltet auch Bürovertretung. In dem Sinne sehr übersichtlich.
Ich könnte jetzt auch behaupten der Admin zu sein, aber eigentlich bin ich eher das kleinste Licht im Laden. Diese Projekt das mir jetzt übertragen wurde, könnte meine berufliche Laufbahn in dem Betrieb in die eine oder andere Richtung lenken.
Aus diesem Grund würde ich auch gerne das Projekt weitgehend ohne Hilfe im Betrieb planen und umsetzen. Für den einen evtl. eine Lachnummer, für mich leider nicht.
Nach einem Serverausfall (Server 2012 Essentials) wird dieser vorübergehend auf einem QNAP-NAS virtualisiert.
Dieser soll nun aber wieder auf neue Hardware unter Hyper-V gezogen werden, zudem soll eine pfSense Einzug halten.
Eine gute Gelegenheit also, die gesamte Infrastruktur (Netzwerk) zu überdenken und neu zu planen.
Stand bisher:
- Fritzbox 7490 für Internetanbindung (groß T - Keine feste IP) und Telefonie (Für die Telefonie werden über WLAN auch Android Smartphones angebunden), GastWlan aktiviert sonst fast alle Funktionalitäten deaktiviert auch DHCP etc. (Erster Knotenpunkt)
- Zwei über 1 Kabel angebundene Knotenpunkte mit Ciso SG-300, SG-200 Hardware
- Am zweiten Knotenpunkt erweitert ein Cisco RV-220W das WLAN Gast-WLAN, Gast-LAN (Kurz wird hauptsächlich als AP missbraucht)
- Im wesentlichen gibt es auch nur diese zwei Netze Arbeits-LAN/WLAN und Gast-LAN/WLAN es wurden weitere VLANs angelegt die aber selten genutzt werden. (z.B. Testumgebung)
- Ein Server 2012 Essentials - Kernaufgabe: Datensicherung, AD/DC, Fileserver (Nur für die wichtigsten Daten (Unternehmen - Aktuelle Projekte)) - Zusätzlich DNS sowie DHCP und WSUS (DHCP und WSUS kann im Prinzip entfallen)
- 2 x QNAP-NAS (Als Fileserver und zur Datensicherung - etwas Paranoid werden alle Daten zwischen den NAS jeweils gespiegelt. Zusätzliches Backup auf externe Laufwerke. Auf den QNAP sollten im Prinzip Test-VMs installiert werden die dann im Testnetz laufen.
- Die < 10 Arbeitsplätze
- Ein Server (Hyper-V aktuell ohne VMs) (Bisher weitgehend ungenutzt für Test und Entwicklung)
- Diverse angemietete Root-Server (jeweils 2 x feste IP) OS: Ubuntu und zusätzliche Backup-Server (Alles ohne lokale Anbindung - laufen autonom, die Verwaltung läuft hauptsächlich über ssh)
- An Hardware ist hier mehr als das Admin-Herz begehrt, von daher sehr angenehm - aber in der "gewachsenen" Struktur sind die Veränderungen schwierig.
- Thema Ausfallsicherheit ist nicht so gefordert - Die Arbeit ist zwar ggf. nur eingeschränkt möglich wenn Server oder Internet nicht zur Verfügung stehen, es kommt aber nicht zum erliegen weil die Hauptarbeit auf den Arbeitsplatzrechnern anfällt und möglich ist. Die externen Server können schnell geswitcht werden.
Folgende Änderungen möchte ich erreichen:
- Internetanbindung > Modem > pfSense > Fritzbox (nur noch Telefonie und AP) - Testaufbau steht - Praxistest steht aus.
- Es gibt ein Netz 192.168.99. /30 für den Konfigurationszugriff auf das Modem - Erledigt.
- Server umziehen auf neue Hardware unter Hyper-V - Kein Problem, aber es ist offen wie die IP-Netze konfiguriert werden.
- Rein technische Netze möchte ich im IP-Bereich 192.168.x.x halten, fragt mich nicht warum aber zu besseren Übersicht hatte ich vor alles wo Anwender arbeiten in IP-Bereiche 10... /16 zu packen. Eigentlich viel zu große Netze aber zur Verwaltung finde ich das praktisch.
- Die Verbindungen zwischen den Netzen soll die pfSense regeln.- Offen
- Die externen Server möchte ich gerne über VPN lokal einbinden und dafür jeweils die 2. feste IP nutzen - Offen
Folgende IP-Netze möchte ich bereit stellen: (Cisco RV 220W kann am 2. Knotenpunkt 4 SSID verwalten)
192.168.x.x /24 > DMZ bisher aber kein Bedarf dafür
192.168.x.x /xx > Ein oder mehrere VPN-Netze
192.168.99.0 /30 > Konfiguration Modem
192.168.1.0 /24 > Verwaltungsnetz - Konfiguration der Geräte soweit möglich
192.168.100.0 /24 > Backup Netz - Jeweils das 2. Interface der Server und jeweils 2 gebündelte Interfaces der Qnap's.
10.0.1.0 /16 > Telefonie - Gemeinsames WLAN 1. und 2. Knotenpunkt
10.1.10.0 /16 > 1. Unternehmen LAN
10.1.20.0 /16 > 1. Unternehmen WLAN
10.2.10.0 /16 > 2. Unternehmen LAN
10.2.20.0 /16 > 2. Unternehmen WLAN
10.3.10.0 /16 > Büro beide Unternehmen LAN
10.100.50.0 /16 > Test und Entwicklungsnetz LAN
10.100.100.0 /16 > Netz für sonstigen Kram oder für alles was den Entwicklern noch so einfällt, aber dauerhaft genutzt wird
10.200.10.0 /16 - Gast-LAN ggf. auch 2. Testumgebung
10.200.20.0 /16 - Gast-WLAN ggf. auch 2. Testumgebung
Probleme:
- Am Knotenpunkt 1 entfällt das Gast-LAN/WLAN der FB - Wird im wesentlichen nur an Knotenpunkt 2 benötigt, aber da die FB nur ein Netz - WLAN zur Verfügung stellen kann ist die Frage welches Netz soll es sein? Ein gemeinsames?
- IPv6 hab ich in meine Überlegungen noch gar nicht einbezogen - Notwendig?
- Anbindung der externen Server über VPN - Hintergrund ich möchte die SSH und FTP Verbindungen in der Firewall schließen (Sicherheit) - Hinweis ein alternativer Zugriff auf die externen Server besteht weiterhin!
- Backup der externen Server zusätzlich im lokalen Netz - Offen, siehe VPN
So fast zu viel geschrieben, ich hoffe irgendjemand hatte Lust sich das anzutun.
Macht das irgendwie Sinn was ich mir denke oder soll ich das Projekt gleich abgeben?
Meiner Meinung werde ich die größten Probleme bei der VPN-Anbindung der externen Server habe.
Wo meine restlichen Probleme liegen könnt Ihr mir jetzt gerne verraten
- Über Anregungen würde ich mich freuen.
LG
Ignatia
es ist mir klar das es zu meiner Frage nicht "die" Lösung bis ins Detail geben wird, von daher bitte ich euch diese Frage als Brainstorming zu sehen um zu sehen wo man Verbesserungen vornehmen kann.
Es geht auch nicht um ein Mega-Unternehmen sondern eher um zwei Klein(st)-Unternehmen aber die abzubildenden Strukturen sind trotzdem umfangreich.
An einem Standort existieren zwei Unternehmen, die sich die gleiche Infrastruktur teilen. Bisher nicht problematisch, das zweite Unternehmen führt die Fr. vom Chef (1 Arbeitsplatz) allerdings im Auftrag einer Eigentümergemeinschaft und es ist möglich das weitere Eigentümer Zugriffe bekommen sollen.
Wie sieht es sonst aus: Ein Arbeitsplatz für den Chef und ein Arbeitsplatz Büropersonal für beide Unternehmen. 4 Arbeitsplätze mit Tätigkeiten im IT-Umfeld. Einer davon meiner als "Mädchen" für alles, beinhaltet auch Bürovertretung. In dem Sinne sehr übersichtlich.
Ich könnte jetzt auch behaupten der Admin zu sein, aber eigentlich bin ich eher das kleinste Licht im Laden. Diese Projekt das mir jetzt übertragen wurde, könnte meine berufliche Laufbahn in dem Betrieb in die eine oder andere Richtung lenken.
Aus diesem Grund würde ich auch gerne das Projekt weitgehend ohne Hilfe im Betrieb planen und umsetzen. Für den einen evtl. eine Lachnummer, für mich leider nicht.
Nach einem Serverausfall (Server 2012 Essentials) wird dieser vorübergehend auf einem QNAP-NAS virtualisiert.
Dieser soll nun aber wieder auf neue Hardware unter Hyper-V gezogen werden, zudem soll eine pfSense Einzug halten.
Eine gute Gelegenheit also, die gesamte Infrastruktur (Netzwerk) zu überdenken und neu zu planen.
Stand bisher:
- Fritzbox 7490 für Internetanbindung (groß T - Keine feste IP) und Telefonie (Für die Telefonie werden über WLAN auch Android Smartphones angebunden), GastWlan aktiviert sonst fast alle Funktionalitäten deaktiviert auch DHCP etc. (Erster Knotenpunkt)
- Zwei über 1 Kabel angebundene Knotenpunkte mit Ciso SG-300, SG-200 Hardware
- Am zweiten Knotenpunkt erweitert ein Cisco RV-220W das WLAN Gast-WLAN, Gast-LAN (Kurz wird hauptsächlich als AP missbraucht)
- Im wesentlichen gibt es auch nur diese zwei Netze Arbeits-LAN/WLAN und Gast-LAN/WLAN es wurden weitere VLANs angelegt die aber selten genutzt werden. (z.B. Testumgebung)
- Ein Server 2012 Essentials - Kernaufgabe: Datensicherung, AD/DC, Fileserver (Nur für die wichtigsten Daten (Unternehmen - Aktuelle Projekte)) - Zusätzlich DNS sowie DHCP und WSUS (DHCP und WSUS kann im Prinzip entfallen)
- 2 x QNAP-NAS (Als Fileserver und zur Datensicherung - etwas Paranoid werden alle Daten zwischen den NAS jeweils gespiegelt. Zusätzliches Backup auf externe Laufwerke. Auf den QNAP sollten im Prinzip Test-VMs installiert werden die dann im Testnetz laufen.
- Die < 10 Arbeitsplätze
- Ein Server (Hyper-V aktuell ohne VMs) (Bisher weitgehend ungenutzt für Test und Entwicklung)
- Diverse angemietete Root-Server (jeweils 2 x feste IP) OS: Ubuntu und zusätzliche Backup-Server (Alles ohne lokale Anbindung - laufen autonom, die Verwaltung läuft hauptsächlich über ssh)
- An Hardware ist hier mehr als das Admin-Herz begehrt, von daher sehr angenehm - aber in der "gewachsenen" Struktur sind die Veränderungen schwierig.
- Thema Ausfallsicherheit ist nicht so gefordert - Die Arbeit ist zwar ggf. nur eingeschränkt möglich wenn Server oder Internet nicht zur Verfügung stehen, es kommt aber nicht zum erliegen weil die Hauptarbeit auf den Arbeitsplatzrechnern anfällt und möglich ist. Die externen Server können schnell geswitcht werden.
Folgende Änderungen möchte ich erreichen:
- Internetanbindung > Modem > pfSense > Fritzbox (nur noch Telefonie und AP) - Testaufbau steht - Praxistest steht aus.
- Es gibt ein Netz 192.168.99. /30 für den Konfigurationszugriff auf das Modem - Erledigt.
- Server umziehen auf neue Hardware unter Hyper-V - Kein Problem, aber es ist offen wie die IP-Netze konfiguriert werden.
- Rein technische Netze möchte ich im IP-Bereich 192.168.x.x halten, fragt mich nicht warum aber zu besseren Übersicht hatte ich vor alles wo Anwender arbeiten in IP-Bereiche 10... /16 zu packen. Eigentlich viel zu große Netze aber zur Verwaltung finde ich das praktisch.
- Die Verbindungen zwischen den Netzen soll die pfSense regeln.- Offen
- Die externen Server möchte ich gerne über VPN lokal einbinden und dafür jeweils die 2. feste IP nutzen - Offen
Folgende IP-Netze möchte ich bereit stellen: (Cisco RV 220W kann am 2. Knotenpunkt 4 SSID verwalten)
192.168.x.x /24 > DMZ bisher aber kein Bedarf dafür
192.168.x.x /xx > Ein oder mehrere VPN-Netze
192.168.99.0 /30 > Konfiguration Modem
192.168.1.0 /24 > Verwaltungsnetz - Konfiguration der Geräte soweit möglich
192.168.100.0 /24 > Backup Netz - Jeweils das 2. Interface der Server und jeweils 2 gebündelte Interfaces der Qnap's.
10.0.1.0 /16 > Telefonie - Gemeinsames WLAN 1. und 2. Knotenpunkt
10.1.10.0 /16 > 1. Unternehmen LAN
10.1.20.0 /16 > 1. Unternehmen WLAN
10.2.10.0 /16 > 2. Unternehmen LAN
10.2.20.0 /16 > 2. Unternehmen WLAN
10.3.10.0 /16 > Büro beide Unternehmen LAN
10.100.50.0 /16 > Test und Entwicklungsnetz LAN
10.100.100.0 /16 > Netz für sonstigen Kram oder für alles was den Entwicklern noch so einfällt, aber dauerhaft genutzt wird
10.200.10.0 /16 - Gast-LAN ggf. auch 2. Testumgebung
10.200.20.0 /16 - Gast-WLAN ggf. auch 2. Testumgebung
Probleme:
- Am Knotenpunkt 1 entfällt das Gast-LAN/WLAN der FB - Wird im wesentlichen nur an Knotenpunkt 2 benötigt, aber da die FB nur ein Netz - WLAN zur Verfügung stellen kann ist die Frage welches Netz soll es sein? Ein gemeinsames?
- IPv6 hab ich in meine Überlegungen noch gar nicht einbezogen - Notwendig?
- Anbindung der externen Server über VPN - Hintergrund ich möchte die SSH und FTP Verbindungen in der Firewall schließen (Sicherheit) - Hinweis ein alternativer Zugriff auf die externen Server besteht weiterhin!
- Backup der externen Server zusätzlich im lokalen Netz - Offen, siehe VPN
So fast zu viel geschrieben, ich hoffe irgendjemand hatte Lust sich das anzutun.
Macht das irgendwie Sinn was ich mir denke oder soll ich das Projekt gleich abgeben?
Meiner Meinung werde ich die größten Probleme bei der VPN-Anbindung der externen Server habe.
Wo meine restlichen Probleme liegen könnt Ihr mir jetzt gerne verraten
- Über Anregungen würde ich mich freuen.LG
Ignatia
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 302126
Url: https://administrator.de/forum/best-practice-netzwerkplanung-302126.html
Ausgedruckt am: 02.02.2025 um 05:02 Uhr
15 Kommentare
Neuester Kommentar
Moin,
das Lesen diese Post's gefährdet Ihre Gesundheit und verursacht langanhaltende Kopfschmerzen ...!
Geht nach der CEBIT der Trend zur dritten IP-range pro Benutzer?? Think simple ... und cool down!
LG, Thomas
das Lesen diese Post's gefährdet Ihre Gesundheit und verursacht langanhaltende Kopfschmerzen ...
!Geht nach der CEBIT der Trend zur dritten IP-range pro Benutzer?? Think simple ... und cool down!
LG, Thomas
Moin,
Nette Liste, aber ein bisschen mit Kanonen auf Spatzen geschossen.
Ich würde vermutlich die meisten Netze einfach eindampfen. Zunächst mal würde ich im 192.168.0.0/16 Bereich bleiben oder in den 172.16.0.0/12-Bereich wechseln. Die Client-Netze WLAN und LAN zu trennen ist in größeren Umgebungen durchaus Sinnvoll, in einem Aufbau mit <20 Mitarbeitern aber mehr als überdimensioniert und erschwert nur das Debuggen. Diese Zeit solltest du lieber in Dinge wie WPA2-Enterprise stecken, was die Fritz!box iirc nicht kann(? Man möge mich korrigieren).
Gleiches für die Unternehmensnetze. Im geteilten Büro ebenso wie denen der Unternehmen alleine, kannst du "Übergriffe durch Umstöpseln" durch 802.1x unterbinden. Auch hier ist die Zeit vermutlich besser aufgehoben.
Wenn die Telefone 802.1x können, packe sie einfach mit in die Unternehmensnetze, wenn nicht, packe sie separat. Im Zweifel kannst du sie Switchseitig einfach isolieren.
Entwicklungs-/Test-/Dauertestnetz solltest du auch kombinieren. Sind wir ehrlich, wenn es einmal Läuft zieht es eh niemand mehr um ;)
Über die VPN-Netze solltest du dir Gedanken machen, wenn sie Mal wirklich da sind, in deiner Netzwerkübersicht sollte noch genug Luft sein. Den einzig möglich Bedarf für VPN sehe ich für Mitarbeiter, die Home-Office machen wollen. Diese Netze solltest du aber auch möglichst klein halten.
Das Netz was du skizziert hast, würde gewiss auch funktionieren, aber du legst dir damit mehr Fallen als dir Lieb sind und erhöhst dabei die Sicherheit nur sporadisch. Denn allein das Routing wird durch die hohe Netzanzahl unnötig komplex und erschwert sowohl die Fehlersuche als auch die Überprüfung der Sicherheit.
Wie @keine-ahnung schon sagte: Keep it simple.
Meist ist weniger mehr ;) "Optimal ist ein System dann, wenn es zuverlässig tut was soll und man keine Komponente mehr herausnehmen kann, ohne dass es nicht mehr funktioniert." - In diesem Sinne: Rotstift nehmen und Finanzbeamter spielen :D
Gruß
Chris
Nette Liste, aber ein bisschen mit Kanonen auf Spatzen geschossen.
- Am Knotenpunkt 1 entfällt das Gast-LAN/WLAN der FB - Wird im wesentlichen nur an Knotenpunkt 2 benötigt, aber da die FB nur ein Netz - WLAN zur Verfügung stellen kann ist die Frage welches Netz soll es sein? Ein gemeinsames?
Nun ja, du kannst den ganzen Gast-LAN/WLAN-Kram einfach in ein einzelnes V-LAN packen und komplett durchreichen. Was WLANs angeht: Würde ich schon bei der Trennung bleiben. Einfach einen Access Point dabei stellen oder die Fritz!Box in Sachen WLAN ganz ersetzen?- IPv6 hab ich in meine Überlegungen noch gar nicht einbezogen - Notwendig?
Notwendig: JA! Genutzt? Leider zu selten. Wenn ihr kein externes IPv6-Subnetz auf dem Anschluss habt, kannst du es aber erstmal ausklammern und freundlich beim dem Support des Anschluss-Providers jammern, dass die Welt sich seit 1998 weitergedreht hat und man langsam mal IPv6 verteilen sollten.- Anbindung der externen Server über VPN - Hintergrund ich möchte die SSH und FTP Verbindungen in der Firewall schließen (Sicherheit) - Hinweis ein alternativer Zugriff auf die externen Server besteht weiterhin!
FTP? Mhm, auch letztes Jahrhundert/Jahrzehnt. Solltest du sofort zumachen und einfach durch SFTP ersetzen, welches SSH nutzt. SSH ist auf Zertifikatsbasis sicher, also kein Grund es abzuschalten. VPN kann Spaß machen, ist aber kein muss.- Backup der externen Server zusätzlich im lokalen Netz - Offen, siehe VPN
Ja, sollte man regelmäßig machen, allerdings sollte man schauen, dass man eine Möglichkeit hat die Server sauber zu deployen (Ansible, Puppet, SaltStack, je nach Geschmack und Farbe) und nur Nutzdaten sichern. Diese kann man dann per SFTP sicher einlagern, am besten auf Band oder Platte speichern, die man dann irgendwo im Keller einschließt und bis zum nächsten Brandfall vergisst.Wo meine restlichen Probleme liegen könnt Ihr mir jetzt gerne verraten - Über Anregungen würde ich mich freuen.
Nun ja, Du hast die offensichtlich viel Mühe und Gedanken gemacht, das Problem ist, es ist irgendwie etwas oversized.Ich würde vermutlich die meisten Netze einfach eindampfen. Zunächst mal würde ich im 192.168.0.0/16 Bereich bleiben oder in den 172.16.0.0/12-Bereich wechseln. Die Client-Netze WLAN und LAN zu trennen ist in größeren Umgebungen durchaus Sinnvoll, in einem Aufbau mit <20 Mitarbeitern aber mehr als überdimensioniert und erschwert nur das Debuggen. Diese Zeit solltest du lieber in Dinge wie WPA2-Enterprise stecken, was die Fritz!box iirc nicht kann(? Man möge mich korrigieren).
Gleiches für die Unternehmensnetze. Im geteilten Büro ebenso wie denen der Unternehmen alleine, kannst du "Übergriffe durch Umstöpseln" durch 802.1x unterbinden. Auch hier ist die Zeit vermutlich besser aufgehoben.
Wenn die Telefone 802.1x können, packe sie einfach mit in die Unternehmensnetze, wenn nicht, packe sie separat. Im Zweifel kannst du sie Switchseitig einfach isolieren.
Entwicklungs-/Test-/Dauertestnetz solltest du auch kombinieren. Sind wir ehrlich, wenn es einmal Läuft zieht es eh niemand mehr um ;)
Über die VPN-Netze solltest du dir Gedanken machen, wenn sie Mal wirklich da sind, in deiner Netzwerkübersicht sollte noch genug Luft sein. Den einzig möglich Bedarf für VPN sehe ich für Mitarbeiter, die Home-Office machen wollen. Diese Netze solltest du aber auch möglichst klein halten.
Das Netz was du skizziert hast, würde gewiss auch funktionieren, aber du legst dir damit mehr Fallen als dir Lieb sind und erhöhst dabei die Sicherheit nur sporadisch. Denn allein das Routing wird durch die hohe Netzanzahl unnötig komplex und erschwert sowohl die Fehlersuche als auch die Überprüfung der Sicherheit.
Wie @keine-ahnung schon sagte: Keep it simple.
Meist ist weniger mehr ;) "Optimal ist ein System dann, wenn es zuverlässig tut was soll und man keine Komponente mehr herausnehmen kann, ohne dass es nicht mehr funktioniert." - In diesem Sinne: Rotstift nehmen und Finanzbeamter spielen :D
Gruß
Chris
Guten Morgen
Vielen Dank für die sehr ausführliche Antwort.
Den Gedanken das es oversized ist den teile ich mit euch beiden durchaus, mein Ansatz war allerdings eher zu sagen die überdimensionierten Netze kosten weder Geld noch fressen sie Brot.
Mit IP6 wird das ohnehin inflationär behandelt, warum also mit IP4 nicht den gleichen Ansatz verfolgen?
Beim lesen deiner Antwort ist mir aber schon mal ein eigener Gedankenfehler aufgefallen und ich werde deinem Ansatz mit dem Rotstift berücksichtigen.
Ich werde einige Änderungen vornehmen und später noch genauer auf deine Antwort eingehen.
LG
Ignatia
Vielen Dank für die sehr ausführliche Antwort.
Den Gedanken das es oversized ist den teile ich mit euch beiden durchaus, mein Ansatz war allerdings eher zu sagen die überdimensionierten Netze kosten weder Geld noch fressen sie Brot.
Mit IP6 wird das ohnehin inflationär behandelt, warum also mit IP4 nicht den gleichen Ansatz verfolgen?
Beim lesen deiner Antwort ist mir aber schon mal ein eigener Gedankenfehler aufgefallen und ich werde deinem Ansatz mit dem Rotstift berücksichtigen.
Ich werde einige Änderungen vornehmen und später noch genauer auf deine Antwort eingehen.
LG
Ignatia
Richtige Gedanken die zu einem Netz passen was 10mal so graß ist. Aber technisch und sachlich richtig.
Was die Probleme angeht:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Was die Probleme angeht:
- Gast WLAN mit MSSID APs lösen. VLAN Struktur dafür hast du ja. Die Gast WLANs solltest du über die pfSense abfackeln mit einem Captive Portal. Niemals über die FB das wäre Unsinn.
- IPv6 ist eher bei dem Mininetz kein Thema. Wichtig sollte dir nur sein das deine L3 Komponenten aber in jedem Falle IPv6 fähig sind wenn es in Zukunft mal ein Thema werden sollte.
- VPN. Das ist ja kein Thema ! Die pfSense supportet alles was im VPN Bereich wichtig ist. 3 Mausklicks und du hast alles so eingerichtet wie du es dir vorstellst:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
- Zum Thema Backup gibts NAS, Tapes oder andere Sicherungssysteme.
Kannst du mal ganz kurz zusammenfassen, wieviel Arbeitsplätze es pro Unternehmen gibt.
Sollen die beiden Unternehmen gegenseitig Zugriff haben?
Gibts da jetzt auch noch Filialen? Ich hab da was von externen Servern gelesen. Oder sind das nur die, auf denen die Sicherungen gespeichert werden?
Hört sich alles extremst aufgepumpt an.
Sollen die beiden Unternehmen gegenseitig Zugriff haben?
Gibts da jetzt auch noch Filialen? Ich hab da was von externen Servern gelesen. Oder sind das nur die, auf denen die Sicherungen gespeichert werden?
Hört sich alles extremst aufgepumpt an.
Zitat von @127132:
Kannst du mal ganz kurz zusammenfassen, wieviel Arbeitsplätze es pro Unternehmen gibt.
Gerne, 1. Unternehmen: Chef + 4 1/2,Kannst du mal ganz kurz zusammenfassen, wieviel Arbeitsplätze es pro Unternehmen gibt.
2 Unternehmen: Chefin + 1/2
Sollen die beiden Unternehmen gegenseitig Zugriff haben?
Bisher unproblematisch weil Frau von Chef und 1 Mitarbeiterin die je zur Hälfte für beide arbeitet. (Büropersonal)Hinter Unternehmen 2 steht allerdings eine größere Eigentümergemeinschaft und offensichtlich bestehen Ambitionen zur Erweiterung.
Es steht so gut wie fest, das weiteres Personal dafür eingestellt wird (auch kleiner Rahmen - bis zu ~3) Mehr geben die Räumlichkeiten auch nicht her.
Zudem möchten die geschäftsführenden Eigentümer wohl Zugriffe haben. Da man diese hier nicht unterbringen kann wird es wohl auf einen VPN-Zugang hinaus laufen. Genaue Informationen dazu habe ich aber nicht.
Spätestens mit dem Einzug der Mitarbeiter ist aus meiner Sicht eine strikte Trennung erforderlich, eine Anforderung dafür wurde aber nicht gestellt.
Gibts da jetzt auch noch Filialen? Ich hab da was von externen Servern gelesen. Oder sind das nur die, auf denen die Sicherungen gespeichert werden?
Auf den externen Servern laufen die Anwendungen von und für unsere Kunden und diese werden auf externen Backupservern gesichert.Die Frage ist ob man diese Backups zusätzlich ins Haus holt.
Hört sich alles extremst aufgepumpt an.
Eigentlich nein, bisher eher minimalistisch. Erst meine Änderungen würden versuchen dem ganzen eine Struktur zu geben.
Obwohl oder grade weil, das kannst du dir aussuchen, IT-Personal tätig ist wird halt viel ohne Plan gewurschtelt. Ein hoher Wert wird auf Datensicherung gelegt und wenn was in die Hose geht werden die Daten halt wiederhergestellt.
LG
Zitat von @aqui:
- Gast WLAN mit MSSID APs lösen. VLAN Struktur dafür hast du ja. Die Gast WLANs solltest du über die pfSense abfackeln mit einem Captive Portal. Niemals über die FB das wäre Unsinn.
Vielen Dank für deine Meinung und die Links.
Mit dem zitierten Absatz bringst du leider meinen Gedankenfehler und die Änderungen dazu leider schon wieder zu einem schlechten Ergebnis
Das Netz (WLAN) der FB brauche ich leider für die Anmeldung der Android-Smartphones an die Festnetztelefonie an beiden "Knoten", die sonst aber keine weiteren Zugriffe haben sollen. Von daher sah meine Änderung vor, dort alles was mit Gastzugang oder sonstigem Kram zu tun hat der nicht in die Unternehmensnetze soll reinzupacken.
Dein Gedanke mit dem Captive Portal ist zwar mit einem zusätzlichem Aufwand verbunden, aber natürlich gut weil wir uns dann nicht mehr um Passwörter kümmern müssten und die Zugriffe würden sich dokumentieren lassen.
Von daher werde ich das gerne berücksichtigen.
LG
Das Netz (WLAN) der FB brauche ich leider für die Anmeldung der Android-Smartphones an die Festnetztelefonie
Eigentlich Unsinn, denn das kann man auch über ein an der FW angeflanschtes WLAN machen !Von daher sah meine Änderung vor, dort alles was mit Gastzugang oder sonstigem Kram zu tun hat der nicht in die Unternehmensnetze soll reinzupacken.
Ein folgenschwerer Designfehler. Du solltest wenn möglich alles auf Segmente an der FW laufen lassen. Zentrales Management, zentrale Sicherheit !Zitat von @Sheogorath:
Einfach einen Access Point dabei stellen oder die Fritz!Box in Sachen WLAN ganz ersetzen?
Einfach einen Access Point dabei stellen oder die Fritz!Box in Sachen WLAN ganz ersetzen?
Hier schau ich mal, wenn sich eine Notwendigkeit dafür ergibt, werde ich einen AP ergänzen für die Telefonie muss die FB bleiben.
Notwendig: JA! Genutzt? Leider zu selten. Wenn ihr kein externes IPv6-Subnetz auf dem Anschluss habt, kannst du es aber erstmal ausklammern und freundlich beim dem Support des Anschluss-Providers jammern
Es wird ja zusätzlich geliefert aber leider auch nicht statisch, auf den externen Servern haben wir eine große Auswahl an IPv6 Subnetzen dann würde ich eher daran gehen und sehen ob man diese besser einbeziehen kann.
Ja, sollte man regelmäßig machen, allerdings sollte man schauen, dass man eine Möglichkeit hat die Server sauber zu deployen (Ansible, Puppet, SaltStack, je nach Geschmack und Farbe) und nur Nutzdaten sichern.
Auweia, - Ich denke mal das erkläre ich zu einem eigenständigen Projekt für später
Ich würde vermutlich die meisten Netze einfach eindampfen. Zunächst mal würde ich im 192.168.0.0/16 Bereich bleiben oder in den 172.16.0.0/12-Bereich wechseln. Die Client-Netze WLAN und LAN zu trennen ist in größeren Umgebungen durchaus Sinnvoll, in einem Aufbau mit <20 Mitarbeitern aber mehr als überdimensioniert und erschwert nur das Debuggen. Diese Zeit solltest du lieber in Dinge wie WPA2-Enterprise stecken, was die Fritz!box iirc nicht kann(? Man möge mich korrigieren).
Diese Option werde ich auch nochmal genauer betrachten.Gleiches für die Unternehmensnetze. Im geteilten Büro ebenso wie denen der Unternehmen alleine, kannst du "Übergriffe durch Umstöpseln" durch 802.1x unterbinden. Auch hier ist die Zeit vermutlich besser aufgehoben.
Oki, da komme ich wieder besser mit, hier ist allerdings für mich nicht klar ob das nicht gar mehr Aufwand bedeutet
Meist ist weniger mehr ;) "Optimal ist ein System dann, wenn es zuverlässig tut was soll und man keine Komponente mehr herausnehmen kann, ohne dass es nicht mehr funktioniert." - In diesem Sinne: Rotstift nehmen und Finanzbeamter spielen :D
Da der Server möglichst kurzfristig wieder auf die neue Hardware wandern soll und das Netz entsprechend stehen soll, habe ich mich entschlossen vorerst nur das notwendigste umzusetzen und später zu erweitern.
Dann fasse ich mal meine jetzigen Erkenntnisse aus euren Beiträgen zusammen:
Rotstift:
192.168.99.0 /30 > Konfiguration Modem
192.168.100.0 /24 > Administratives und Backup Netz - Jeweils das 2. Interface der Server und jeweils 2 gebündelte Interfaces der Qnap's.
192.168.200.0 /24 Telefonie WLAN/LAN - Jetzt ein technisches Netz
10.1.10.0 /24 > 1. Unternehmen LAN evtl. WLAN schau ich mir noch genauer an
10.1.20.0 /24 > 1. Unternehmen WLAN Entfällt evtl.
10.2.10.0 /24 > 2. Unternehmen LAN evtl. WLAN schau ich mir noch genauer an
10.2.20.0 /24 > 2. Unternehmen WLAN Entfällt evtl.
10.100.50.0 /24 > Test und Entwicklungsnetz
172.16.1.0 /24 - Gast Gemeinsames WLAN/LAN - Dazu habe ich mich entschlossen weil es noch besser auffällt.
Somit wäre 192.x Technische Netze. 10.x Anwender, 172.x Betriebsfremde
Zeitnah dazu überlege ich mir ob und wie ich Captive Portal und WPA2 Enterprise einsetze.
2. Schritt (Nach Umstellung)
VPN - Externe Server anbinden.
VPN - Externe Anwender anbinden.
3. Schritt - Viel Später
- Ansible, Puppet, SaltStack
- IPv6
Wenn jetzt keiner größere Bedenken hat das ich mit diesem Vorschlag mit wehenden Fahnen untergehe, dann würde ich diesen Vorschlag meinem Chef unterbreiten und euch mit einem GELÖST von dem Thema befreien
LG
Ignatia
Zitat von @aqui:
Das Netz (WLAN) der FB brauche ich leider für die Anmeldung der Android-Smartphones an die Festnetztelefonie
Eigentlich Unsinn, denn das kann man auch über ein an der FW angeflanschtes WLAN machen !Von daher sah meine Änderung vor, dort alles was mit Gastzugang oder sonstigem Kram zu tun hat der nicht in die Unternehmensnetze soll reinzupacken.
Ein folgenschwerer Designfehler. Du solltest wenn möglich alles auf Segmente an der FW laufen lassen. Zentrales Management, zentrale Sicherheit !Hmmm, hier würde ich dir widersprechen wollen, weil die pfSense das Netz zur Verfügung stellt in dem die FB als Client die Telefonie bereit stellt und zusätlich in diesem Netz als AP dient an dem sich die Android-Smartphones anmelden können. Die Fritzbox ist aller weiteren funktionalität beraubt (z.B. kein DHCP). Das Netz wird an den 2 Knoten weitergereicht an dem sich nun auch der weitere AP (MSSID) einklinken kann.
Ist meine Annahme falsch?
LG
Ignatia
Ja, die ist grundfalsch !
Mit entsprechenden FW Regeln kannst du doch immer den Zugriff auf die FB zulassen. Die FB fungiert ja nur noch als Telefonserver muss dafür aber ja logischerweise eine erreichbare IP Adresse haben.
Mit einer entsprechenden FW Regel ist also der Zugriff für Smartphones die in einem externen WLAN sind kein Problem mehr.
Vermutlich machst du hier einen VoIP Denkfehler...
Mit entsprechenden FW Regeln kannst du doch immer den Zugriff auf die FB zulassen. Die FB fungiert ja nur noch als Telefonserver muss dafür aber ja logischerweise eine erreichbare IP Adresse haben.
Mit einer entsprechenden FW Regel ist also der Zugriff für Smartphones die in einem externen WLAN sind kein Problem mehr.
Vermutlich machst du hier einen VoIP Denkfehler...
Ahoi,
ich würde diesen Aufwand auch nicht betreiben aber das wurde bereits oft genug gesagt.
Interessant finde ich den Ansatz und würde mich freuen wenn du berichtest wie die Umsetzung gelungen ist.
In den Tiefen diese Forums gab es mehr als einmal den Hinweis auf die Problematik wenn Clients sowohl mit Kabel als auch mit WLAN verbunden werden. Ich vermute das du diese Trennung aus diesem Grund vorgenommen hast?
Ich selbst hatte damit bisher keine Probleme weil auf den genutzten Laptops immer die Kabelverbindung bevorzugt genutzt wird.
Dann wäre diese Trennung WLAN/LAN nicht nötig.
Es gab allerdings weitere Gründe für die Trennung an die ich mich nicht mehr erinnern kann die aber dafür sprechen.
Mit etwas Glück hat ja ein anderer mehr Infos zu dieser Problematik
Viel Erfolg für dein Projekt.
VG.
ich würde diesen Aufwand auch nicht betreiben aber das wurde bereits oft genug gesagt.
Interessant finde ich den Ansatz und würde mich freuen wenn du berichtest wie die Umsetzung gelungen ist.
In den Tiefen diese Forums gab es mehr als einmal den Hinweis auf die Problematik wenn Clients sowohl mit Kabel als auch mit WLAN verbunden werden. Ich vermute das du diese Trennung aus diesem Grund vorgenommen hast?
Ich selbst hatte damit bisher keine Probleme weil auf den genutzten Laptops immer die Kabelverbindung bevorzugt genutzt wird.
Dann wäre diese Trennung WLAN/LAN nicht nötig.
Es gab allerdings weitere Gründe für die Trennung an die ich mich nicht mehr erinnern kann die aber dafür sprechen.
Mit etwas Glück hat ja ein anderer mehr Infos zu dieser Problematik
Viel Erfolg für dein Projekt.
VG.
Ahoi,
sorry, wenn ich hier Einsteige, aber so grundfalsch finde ich das jetzt auch nicht!
Die Smartis sollen sich nicht aus anderen Netzen anmelden können, sondern es soll ein geschlossenes Netz nur für Festnetztelefonie sein, wenn ich das richtig verstanden habe.
Sonst braucht man für die Fritte auch kein eigenes Netz.
Ob die Smartis auch noch Internet haben sollen, habe ich nicht rausgelesen, wäre aber trotzdem kein Problem.
Wenn der Faxempfang in der Fritte aktiviert ist, bleibt die Frage wie man an diese Faxe kommt wenn der Zugang aus anderen Netzen gesperrt ist.
Weiterleitung mit eMail geht, aber gespeicherte Faxe sollten auch mal gelöscht werden können.
VG
sorry, wenn ich hier Einsteige, aber so grundfalsch finde ich das jetzt auch nicht!
Die Smartis sollen sich nicht aus anderen Netzen anmelden können, sondern es soll ein geschlossenes Netz nur für Festnetztelefonie sein, wenn ich das richtig verstanden habe.
Sonst braucht man für die Fritte auch kein eigenes Netz.
Ob die Smartis auch noch Internet haben sollen, habe ich nicht rausgelesen, wäre aber trotzdem kein Problem.
Wenn der Faxempfang in der Fritte aktiviert ist, bleibt die Frage wie man an diese Faxe kommt wenn der Zugang aus anderen Netzen gesperrt ist.
Weiterleitung mit eMail geht, aber gespeicherte Faxe sollten auch mal gelöscht werden können.
VG
gab es mehr als einmal den Hinweis auf die Problematik wenn Clients sowohl mit Kabel als auch mit WLAN verbunden werden
Solange sie dann in 2 unterschiedlichen IP Segmenten sind ist das dann kein Problem.Zum Problem wird es erst wenn LAN und WLAN im gleichen IP Segment liegen...das geht logischerweise nicht.
Dann wäre diese Trennung WLAN/LAN nicht nötig.
Eine gefährliche und sehr laienhafte Einstellung !Allein aus Sicherheitsgründen sollte man das zwingend machen. Ganz besonders bei Firmennetzen.
WLANs haben ein ganz anderes Gefährdungspotential als kabelbasierte LANs. Das ist eine Binsenweisheit die mittlerweile jeder Grundschüler kennt.
Es gab allerdings weitere Gründe für die Trennung an die ich mich nicht mehr erinnern kann die aber dafür sprechen.
Und genau deswegen solltest du es auch lassen darüber zu spekulieren wenn dir die technischen Hintergründe dafür scheinbar gänzlich unklar sind. Erst denken...dann reden.Mit etwas Glück hat ja ein anderer mehr Infos zu dieser Problematik
Problematik ??? Haben wir hier was überlesen ???Alle relevanten Infos stehen doch schon oben !
sorry, wenn ich hier Einsteige,
Wieso..?? Vor 12 Minuten bist du doch schon mal eingestiegen hier....Alle diese eigentlich überflüssigen Anmerkungen steuern intelligente Firewall Regeln !
Zitat von @aqui:
Eine gefährliche und sehr laienhafte Einstellung !
Das ist eine Binsenweisheit die mittlerweile jeder Grundschüler kennt.
Erst denken...dann reden.
Eine gefährliche und sehr laienhafte Einstellung !
Das ist eine Binsenweisheit die mittlerweile jeder Grundschüler kennt.
Erst denken...dann reden.
Ich habe dich auch Lieb!
Sanfte Grüße!
