schlueterit
Goto Top

Ein Glasfaseranschluss mit vielen Firmen

Hallo,

wir haben bei uns in der Firma einen Glasfaseranschluss von LWLCom und wollen diesen gemeinsam mit mehreren Firmen nutzen. Hierzu sollen die einzelnen Netzwerke getrennt werden. Hier setze ich auf einen Router mit VLANs. Meine Idee war der DrayTek Vigor2860ac. Das Modem von LWLCom schließe ich also an den WAN des Routers an und konfiguriere die einzelnen Ports des Routers pro VLAN.

Meine Frage nun: Ist dadurch gewährleistet, dass Firma "a" in VLAN01 an Port 1 nicht auf das Netzwerk der Firma "b" in VLAN02 an Port 2 zugreifen kann. Das ist dringend erforderlich, da wir hier sehr sensible Daten verarbeiten.

Ist diese Hardware geeignet oder empfehlen Sie eine andere? Wichtig ist, dass wir mind. 6 Ports haben da wir mit 6 Firmen den Anschluss teilen werden!

Danke im Voraus.

Content-Key: 351853

Url: https://administrator.de/contentid/351853

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: Deepsys
Deepsys 16.10.2017 um 15:50:23 Uhr
Goto Top
Hi,

im Grunde klappt das so. Ich gehe mal davon aus das hier ein Internetanschluss mit gemeint ist, oder?
Damit sind doch keine "sensiblen" Daten, die müsste man verschlüsseln.
Bekommen alle 6 Firmen dann eine eigene IP?
Wäre gut wenn ihr VPN machen würdet.

Vom DrayTek würde ich mal die Finger lassen, da wären die üblichen Verdächtigen wie Cisco, Juniper, Lancom, .... wohl besser, immerhin hängen da 6 Firmen dran.

Problematisch könnte das NAT werden, wenn keine 6 IPs, dann wärt ihr vom Internet aus gesehen eine Firma.
Wird lustig falls eine Firma eine Abmahnung bekommt, das dürfte dann die sein die den Anschluss bezahlt .....
Hmm, ich würde das lassen ...

Ich würde das Ganze auch mit LWLCom klären, ob das Ganze überhaupt erlaubt ist.

VG,
Deepsys
Mitglied: aqui
aqui 16.10.2017 aktualisiert um 15:57:15 Uhr
Goto Top
Hier setze ich auf einen Router mit VLANs
Oder eine Firewall mit VLANs Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Das Modem von LWLCom
Das ist KEIN Modem sondern nur ein simpler Medienwandler LWL auf Kupfer !
dass Firma "a" in VLAN01 an Port 1 nicht auf das Netzwerk der Firma "b" in VLAN02 an Port 2 zugreifen kann
Eine Firewall wäre da etwas sicherer, da die stateful arbeitet was ein Router in der regel nicht macht.
Es sei denn du setzt einen richtigen Router ein der eine Firewall Option hat. Beispiel:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Wichtig ist, dass wir mind. 6 Ports haben da wir mit 6 Firmen den Anschluss teilen werden!
Wie immer ist das Quatsch und muss nicht zwingend sein, denn das könnte man auch mit einem Tagged Interface (oder 2) und 802.1q VLAN Tagging auf einem Port machen. Zum Prinzip guckst du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Zum Rechtlichen wenn es ein simples zentrales NAT ohne Subnetz mit 6 Adressen ist hat der Kollege Deepsys ja schon alles gesagt. Haftbar für alle ist dann immer der Anschlußinhaber.
Mitglied: 134464
134464 16.10.2017 aktualisiert um 16:03:03 Uhr
Goto Top
Ich würde das Ganze auch mit LWLCom klären, ob das Ganze überhaupt erlaubt ist.
Würde ich auch dringend abklären.
Und wenn, dann würde ich mir da ein kleines Subnetz an öffentlichen IP-Adressen routen lassen.

Als Hardware wenn es gut und günstig sein soll würde ich hier Mikrotik vorschlagen. Dann für die Firmen einen PPPoE Server darauf einrichten und den Firmen jeweils PPP Zugangsdaten zuteilen. Dann noch jeder Firma auf Basis des PPPoE Credentials eine öffentliche IP aus dem Pool zuweisen, fertig. So sind alle vernünftig getrennt haben eine echte öffentliche IP und können an Ihrem Anschluss ihre normalen Router anklemmen, so als würden sie es bei Ihrem Provider tun.
Mitglied: aqui
aqui 16.10.2017 aktualisiert um 16:04:19 Uhr
Goto Top
Das wäre natürlich die Deluxe Lösung mit dem Mikrotik...und vor allem rechtlich gesehen wasserdicht ! face-big-smile
Mitglied: 108012
108012 16.10.2017 um 17:41:20 Uhr
Goto Top
Hallo,

wir haben bei uns in der Firma einen Glasfaseranschluss von LWLCom und wollen diesen gemeinsam mit
mehreren Firmen nutzen.
- Ist das seitens LWLCom erlaubt?
- Sieht das die Versicherung aller Firmen auch so?
- Ich würde auch eine Firewall benutzen wollen!!!

Hierzu sollen die einzelnen Netzwerke getrennt werden.
Mann kann auch jedem LAN Port ein eigenes Transfernetz geben und dann auf den Switchen dahinter erst die
VLANs einrichten und via MacSec und ACLs absichern, dann kann keiner an die Daten ran und jede Firma ist
für sich in Ihrem eigenen Netzwerk drinnen und kein anderer.

Hier setze ich auf einen Router mit VLANs. Meine Idee war der DrayTek Vigor2860ac.
Wie groß sind denn die Firmen? Hat der Draytek denn auch genügend Ports zur Verfügung!?
Im November kommen höchstwahrscheinlich von pfSense (Netgate) neue Geräte (Intel C3000)
Denverton auf den Markt mit allem was das Herz begehrt;
- AES-NI
- DPDK
- Intel QAT
- OpenVPN 2.4.x

Das Modem von LWLCom schließe ich also an den WAN des Routers an und konfiguriere die
einzelnen Ports des Routers pro VLAN.
Oder je Switch dahinter ein eigenes Netz wie zum Beispiel 192.168.1.0/24, 192.168.2.0/24 und 192.168.3.0/24

Meine Frage nun: Ist dadurch gewährleistet, dass Firma "a" in VLAN01 an Port 1 nicht auf das Netzwerk der
Firma "b" in VLAN02 an Port 2 zugreifen kann. Das ist dringend erforderlich, da wir hier sehr sensible Daten verarbeiten.
Firewallregeln, Switch ACLs, MacSec, IDS, Squid mit Benutzeranmeldung, AD/DC, LDAP und Radius Rolle sollten dem ein
Ende bereiten!

Ist diese Hardware geeignet oder empfehlen Sie eine andere? Wichtig ist, dass wir mind. 6 Ports haben da wir
mit 6 Firmen den Anschluss teilen werden!
Supermicro SYS-E300-9A oder Supermicro SYS-E200-9A sollten auch reichen oder aber eine MikroTik RB1100AHx4
kann das auch gut abarbeiten.

Gruß
Dobby
Mitglied: schlueterit
schlueterit 30.09.2018 um 05:41:20 Uhr
Goto Top
Lange ist der Beitrag nun her und ich möchte dieses nicht ohne Rückmeldung belassen:

Wir haben vor etwa einem Monat nun endlich das Glasfaser-Kabel verlegt bekommen und den Anschluss aktiv. Nun habe ich eine SOPHOS SG115 gekauft und diese eingerichtet. Es beteiligen sich nur noch drei Firmen am Glasfaseranschluss. Diese drei Firmen bekamen einen eigenen Anschluss an der SOPHOS (eigener Port) und diese habe ich in der SOPHOS voneinander getrennt.

Vielen Dank für Eure Ratschläge.

Eike