29
Kleines Firmen Netzwerk (VLAN,VPN,FIREWALL,Virenschutz)
Erstmal ein Hallo.
Ich stell mich mal eben kurz vor.
Mein Name ist Jan, 32 Jahre, Elektroinstallateur hauptsächlich im Bereich KNX Gebäudeautomatisierung tätig.
Unter anderem Manage ich auch unser kleines Firmennetz. Naja Managen ist wohl eher die Falsche Bezeichnung.
Es läuft soweit, aber ich denke wir haben ein offenes Scheunentor. Und das möchte ich weitestgehend einschränken.
Wir haben zwar keine Geheimnisse aber ein Schaden durch irgendwelche Viren oder Würmer ist auch immer mit Zeit
und ärger verbunden.
Zum Aufbau und meinen Fragen habe ich ein Schema erstellt, damit sollte es vielleicht etwas einfacher sein meine Gedankengänge und Fragen zu verstehen.
Die Grafik zeigt den jetzigen Aufbau unseres Netzwerkes.
PC Büro 1 ist der Hauptrechner auf dem die Daten Rechnungen/Angebote (Excel/Word) verwaltet werden. Datensicherung erfolgt über eine Online Drive bei unserem Webhoster 1x am Tag. Sämtliche Rechner und Laptop´s laufen mit Windows 7pro und haben eine eigenständige Virensoftware von Kaspersky installiert. Sämtliche PC´s und Laptop´s können auf den Firmen Ordner (Rechnungen/Angebote) sowie den Netzwerk Kopierer/Drucker/Scanner zugreifen.
Die Webcam´s speichern per ftp auf dem Cam Server und sind per DynDNS und Port Forwarding von überall(extern) aufrufbar. Ich denke hier ist auch die größte Schwachstelle. Der Haupt Switch ist Web basiert und kann auch VLAN. Macht es Sinn dieses zu nutzen um, die Netzwerke untereinander zu trennen.
Gegeben sein sollte:
1)PC Büro 1,2 und 4 sowie der Laptop an Switch 3 müssen untereinander Kommunizieren können.
2)Alle PC und Laptop´s müssen auf den Netzwerk Drucker/Scanner zugreifen können.
3)Cam´s sollen von extern ansprechbar sein. (Wenn sicherer über VPN)
4)PC Büro EG und Laptop´s an Switch 2 sollen keinen Zugang auf PC Büro 1,2 und 4 haben
5)Eventuell noch ein VPN Zugang auf Cam Server(Dies ist übrigens ein NAS von Netgear)
6)Ein Gastzugang über W-Lan für Internetzugang soll zur Verfügung gestellt werden können.
7)Zugänge auf alle PC und Laptop´s für Updates und Wartung von extern wären schön.
Also hier mal ein paar Ideen.
Frage ist das mit diesem Equipment überhaupt möglich und bekomme ich das als mehr oder weniger Laie hin.
Ich stell mich mal eben kurz vor.
Mein Name ist Jan, 32 Jahre, Elektroinstallateur hauptsächlich im Bereich KNX Gebäudeautomatisierung tätig.
Unter anderem Manage ich auch unser kleines Firmennetz. Naja Managen ist wohl eher die Falsche Bezeichnung.
Es läuft soweit, aber ich denke wir haben ein offenes Scheunentor. Und das möchte ich weitestgehend einschränken.
Wir haben zwar keine Geheimnisse aber ein Schaden durch irgendwelche Viren oder Würmer ist auch immer mit Zeit
und ärger verbunden.
Zum Aufbau und meinen Fragen habe ich ein Schema erstellt, damit sollte es vielleicht etwas einfacher sein meine Gedankengänge und Fragen zu verstehen.
Die Grafik zeigt den jetzigen Aufbau unseres Netzwerkes.
PC Büro 1 ist der Hauptrechner auf dem die Daten Rechnungen/Angebote (Excel/Word) verwaltet werden. Datensicherung erfolgt über eine Online Drive bei unserem Webhoster 1x am Tag. Sämtliche Rechner und Laptop´s laufen mit Windows 7pro und haben eine eigenständige Virensoftware von Kaspersky installiert. Sämtliche PC´s und Laptop´s können auf den Firmen Ordner (Rechnungen/Angebote) sowie den Netzwerk Kopierer/Drucker/Scanner zugreifen.
Die Webcam´s speichern per ftp auf dem Cam Server und sind per DynDNS und Port Forwarding von überall(extern) aufrufbar. Ich denke hier ist auch die größte Schwachstelle. Der Haupt Switch ist Web basiert und kann auch VLAN. Macht es Sinn dieses zu nutzen um, die Netzwerke untereinander zu trennen.
Gegeben sein sollte:
1)PC Büro 1,2 und 4 sowie der Laptop an Switch 3 müssen untereinander Kommunizieren können.
2)Alle PC und Laptop´s müssen auf den Netzwerk Drucker/Scanner zugreifen können.
3)Cam´s sollen von extern ansprechbar sein. (Wenn sicherer über VPN)
4)PC Büro EG und Laptop´s an Switch 2 sollen keinen Zugang auf PC Büro 1,2 und 4 haben
5)Eventuell noch ein VPN Zugang auf Cam Server(Dies ist übrigens ein NAS von Netgear)
6)Ein Gastzugang über W-Lan für Internetzugang soll zur Verfügung gestellt werden können.
7)Zugänge auf alle PC und Laptop´s für Updates und Wartung von extern wären schön.
Also hier mal ein paar Ideen.
Frage ist das mit diesem Equipment überhaupt möglich und bekomme ich das als mehr oder weniger Laie hin.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 215572
Url: https://administrator.de/contentid/215572
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
29 Kommentare
Neuester Kommentar
Hallo Jan,
ich würde die sache etwas anders angehen. die fritzbox würde ich raus nehmen oder evtl noch zum accesspoint degradieren. vom aufbau würde ich es so machen das ich in dem zyxel 3 netzwerke schaffe (ich gehe mal davon aus die box kann das)
1. netz (unten mitte) wäre das firmennetzwerk (zugriff auf netz 2)
2. netz (oben links) für das videosystem
3. netz (oben recht) gäste wlan (nur internet kein zugriff auf netz 1 und 2)
soo würde ich es gedanklich aufbauen. ich hoffe die grafik erklärt es gut :D leider kenn ich den zyxel nicht so gut bzw garnicht und weiß daher auch nicht ob man 3 getrennte netze in dem system erstellen kann. den vpn würde ich mit zugriff auf netz 1 und 2 einrichten.
mfg IT-Arsonist
ich würde die sache etwas anders angehen. die fritzbox würde ich raus nehmen oder evtl noch zum accesspoint degradieren. vom aufbau würde ich es so machen das ich in dem zyxel 3 netzwerke schaffe (ich gehe mal davon aus die box kann das)
1. netz (unten mitte) wäre das firmennetzwerk (zugriff auf netz 2)
2. netz (oben links) für das videosystem
3. netz (oben recht) gäste wlan (nur internet kein zugriff auf netz 1 und 2)
soo würde ich es gedanklich aufbauen. ich hoffe die grafik erklärt es gut :D leider kenn ich den zyxel nicht so gut bzw garnicht und weiß daher auch nicht ob man 3 getrennte netze in dem system erstellen kann. den vpn würde ich mit zugriff auf netz 1 und 2 einrichten.
mfg IT-Arsonist
Danke erst mal für die Vorschläge.
Sprich es sind dann sozusagen 3 Subnetze richtig. Mit der Fritzbox hab ich mir schon fast gedacht.
Kann ich das ganze denn nicht auch per Port Zuordnung(Vlan) in meinem Switch regeln und ist es noch möglich aus dem internen Netz auf das Videosystem zuzugreifen?
Oder geht es dann über VPN erst ins öffentliche und dann zurück.
Sprich es sind dann sozusagen 3 Subnetze richtig. Mit der Fritzbox hab ich mir schon fast gedacht.
Kann ich das ganze denn nicht auch per Port Zuordnung(Vlan) in meinem Switch regeln und ist es noch möglich aus dem internen Netz auf das Videosystem zuzugreifen?
Oder geht es dann über VPN erst ins öffentliche und dann zurück.
3 verschiedene IP bereiche
1. netz z.b. 192.168.110.xxx
2. netz z.b. 192.168.120.xxx
3. netz z.b. 192.168.130.xxx
die zugriffe auf die verschiedenen internen netzt routest du dann im zyxel. (sprich zugriff von netz 1 auf netz 2) vpn auf sich selbst funktioniert nicht.
mit sicherheit kann man das ganze auch über vlan abdecken. nur an dem punkt kann ich leider nicht weiterhelfen, sorry. aber vielleicht schreibt ja noch jemand anderes etwas zum thema vlan.
1. netz z.b. 192.168.110.xxx
2. netz z.b. 192.168.120.xxx
3. netz z.b. 192.168.130.xxx
die zugriffe auf die verschiedenen internen netzt routest du dann im zyxel. (sprich zugriff von netz 1 auf netz 2) vpn auf sich selbst funktioniert nicht.
mit sicherheit kann man das ganze auch über vlan abdecken. nur an dem punkt kann ich leider nicht weiterhelfen, sorry. aber vielleicht schreibt ja noch jemand anderes etwas zum thema vlan.
Hallo,
> 2)Alle PC und Laptop´s müssen auf den Netzwerk Drucker/Scanner zugreifen können.
Auch kein Thema!
von VLANs und kann diese auch routen, denn das kann Dein Switch nicht der Switch unterstützt zwar VLANs und das bis zu 256,
aber man braucht eben auch immer zwingend "etwas" was die VLANs bzw. deren Verkehr routet!
Des weiteren unterstützt die Zyxel USG20 auch IPSec und SSL VPNs!
DMZ, dann kann man aus dem Internet darauf zugreifen und aus dem LAN auch.
wenn die WLAN APs das unterstützen sollten an den WLAN APs mittels MultiSSID zwei WLAN Netze aufsetzen.
und Deinen Netzwerkkenntnissen zu tun, bzw. sollte man sich zumindest von allen im Netzwerk beteiligten Geräten
erst einmal alle Bedienungsanleitungen durchlesen und dann "Step by Step" das ganze umsetzen!
Dann kann das sogar richtig gut laufen.
Gruß
Dobby
Macht es Sinn dieses zu nutzen um, die Netzwerke untereinander zu trennen.
Ja sicherlich und das ist auch eine ganz alltägliche Situation.Gegeben sein sollte:
1)PC Büro 1,2 und 4 sowie der Laptop an Switch 3 müssen untereinander Kommunizieren können.
Das kann man ja so mittels VLANs einrichten, gar kein Thema.1)PC Büro 1,2 und 4 sowie der Laptop an Switch 3 müssen untereinander Kommunizieren können.
> 2)Alle PC und Laptop´s müssen auf den Netzwerk Drucker/Scanner zugreifen können.
Auch kein Thema!
3)Cam´s sollen von extern ansprechbar sein. (Wenn sicherer über VPN)
So oder so nur! Ich würde dann aber auf die Zyxel ZyWall USG 20 zurückgreifen, denn die hat kann unterstützt auch das Bildenvon VLANs und kann diese auch routen, denn das kann Dein Switch nicht der Switch unterstützt zwar VLANs und das bis zu 256,
aber man braucht eben auch immer zwingend "etwas" was die VLANs bzw. deren Verkehr routet!
Des weiteren unterstützt die Zyxel USG20 auch IPSec und SSL VPNs!
4)PC Büro EG und Laptop´s an Switch 2 sollen keinen Zugang auf PC Büro 1,2 und 4 haben
Ist auch kein Thema mittels Siwtch ACLs und Port Security.5)Eventuell noch ein VPN Zugang auf Cam Server(Dies ist übrigens ein NAS von Netgear)
Von wem das ist ist völlig egal, aber ich würde den entweder in ein eigenes VLAN "legen" wollen, wenn nicht sogar in eineDMZ, dann kann man aus dem Internet darauf zugreifen und aus dem LAN auch.
6)Ein Gastzugang über W-Lan für Internetzugang soll zur Verfügung gestellt werden können.
Überall oder reicht ein WLAN AP dazu? Wenn einer reicht auch ab in die DMZ damit in ein eigenes VLANund wenn nicht dann ebenwenn die WLAN APs das unterstützen sollten an den WLAN APs mittels MultiSSID zwei WLAN Netze aufsetzen.
7)Zugänge auf alle PC und Laptop´s für Updates
Über das Internet dann wohl eher oder habt Ihr auch einen Server.und Wartung von extern wären schön.
Bitte dann auch nur via VPN mittels IPSec!!!!Frage ist das mit diesem Equipment überhaupt möglich
Ja, nur zu den WLAN APs die Ihr habt könntest Du noch mehr sagen bzw. erzählen.und bekomme ich das als mehr oder weniger Laie hin.
Das kommt auf Dich selber an und hat sicherlich zum Schluss mit Deinem "Können"und Deinen Netzwerkkenntnissen zu tun, bzw. sollte man sich zumindest von allen im Netzwerk beteiligten Geräten
erst einmal alle Bedienungsanleitungen durchlesen und dann "Step by Step" das ganze umsetzen!
Dann kann das sogar richtig gut laufen.
Gruß
Dobby
> 3)Cam´s sollen von extern ansprechbar sein. (Wenn sicherer über VPN)
So oder so nur! Ich würde dann aber auf die Zyxel ZyWall USG 20 zurückgreifen, denn die hat kann unterstützt auch
das Bilden
von VLANs und kann diese auch routen, denn das kann Dein Switch nicht der Switch unterstützt zwar VLANs und das bis zu
256,
aber man braucht eben auch immer zwingend "etwas" was die VLANs bzw. deren Verkehr routet!
Kann man denn dem Computer bzw. der Netzwerkkarte nicht mitteilen in welche VLANs sie zugreifen kann/darf.So oder so nur! Ich würde dann aber auf die Zyxel ZyWall USG 20 zurückgreifen, denn die hat kann unterstützt auch
das Bilden
von VLANs und kann diese auch routen, denn das kann Dein Switch nicht der Switch unterstützt zwar VLANs und das bis zu
256,
aber man braucht eben auch immer zwingend "etwas" was die VLANs bzw. deren Verkehr routet!
> 4)PC Büro EG und Laptop´s an Switch 2 sollen keinen Zugang auf PC Büro 1,2 und 4 haben
Ist auch kein Thema mittels Siwtch ACLs und Port Security.
Das müsste mein Switch können.Ist auch kein Thema mittels Siwtch ACLs und Port Security.
> 5)Eventuell noch ein VPN Zugang auf Cam Server(Dies ist übrigens ein NAS von Netgear)
Von wem das ist ist völlig egal, aber ich würde den entweder in ein eigenes VLAN "legen" wollen, wenn nicht
sogar in eine
DMZ, dann kann man aus dem Internet darauf zugreifen und aus dem LAN auch.
Sprich sowas wie ProSafe von Netgear. Also mit richtigem DMZ Port.Von wem das ist ist völlig egal, aber ich würde den entweder in ein eigenes VLAN "legen" wollen, wenn nicht
sogar in eine
DMZ, dann kann man aus dem Internet darauf zugreifen und aus dem LAN auch.
> 6)Ein Gastzugang über W-Lan für Internetzugang soll zur Verfügung gestellt werden können.
Überall oder reicht ein WLAN AP dazu? Wenn einer reicht auch ab in die DMZ damit in ein eigenes VLAN
1 AP reicht. Könnte doch mit in die Video / Cam Server DMZ.Überall oder reicht ein WLAN AP dazu? Wenn einer reicht auch ab in die DMZ damit in ein eigenes VLAN
Oder man nimmt die Zyxel USG 20W Kiste mit WLAN die wird das wohl intern schon so verwalten können.
> 7)Zugänge auf alle PC und Laptop´s für Updates
Über das Internet dann wohl eher oder habt Ihr auch einen Server.
Nein kein Server.Über das Internet dann wohl eher oder habt Ihr auch einen Server.
> Frage ist das mit diesem Equipment überhaupt möglich
Ja, nur zu den WLAN APs die Ihr habt könntest Du noch mehr sagen bzw. erzählen.
Hab da noch eine LevelOne Kiste rumliegen. Was Sollte son AP denn mit sich bringen?Ja, nur zu den WLAN APs die Ihr habt könntest Du noch mehr sagen bzw. erzählen.
Kann man denn dem Computer bzw. der Netzwerkkarte nicht mitteilen in welche VLANs sie zugreifen kann/darf.
Doch das muss man sogar denn auch die Computer müssen VLAN fähig sein bzw. die Netzwerkkarten dieser PCs,sonst wird es eben nichts mit VLANs.
Das müsste mein Switch können.
Das steht immer in der Bedienungsanleitung des Switches.Sprich sowas wie ProSafe von Netgear. Also mit richtigem DMZ Port.
Ich denke Ihr habt auch einen Zyxel USG20? Die sollte wenn sie vorhandenist schon besser sein zumindest meiner Meinung nach!
- Kontentfilter
- Bessere VPN Eigenschaften.
1 AP reicht. Könnte doch mit in die Video / Cam Server DMZ.
- Also wenn man einen AP hat der "nur" eine SSID oder besser nur ein WLAN aufspannen kann,dann würde ich diesen einmal für den externen Gebrauch (Gäste WLAN nur Internet) und zum anderen würde ich
einen zweiten kaufen oder organisieren und im LAN positionieren und diesen dann für den internen Gebrauch konfigurieren.
- Wenn der WLAN AP zwei SSIDs unterstützt oder besser mehrere WLANs aufspannen kann, dann würde ich zwei SSIDs
anlegen und zwar jede in ein eigenes VLAN und eines ist dann für die Gäste und eines für die Mitarbeiter, dieser WLAN AP
sollte dann aber logisch weise in dem internen Netzwerk (LAN) und nicht in der DMZ aufgestellt werden.
ab da noch eine LevelOne Kiste rumliegen. Was Sollte son AP denn mit sich bringen?
Wenn Du nur einen WLAN AP hättest sollte dieser auch MultiSSID fähig sein und wenn Du zwei WLAN APshast ist das auch nicht schlecht, denn dann kann einer in die DMZ in ein eigenes VLAN und einer in das LAN.
Gruß
Dobby
Ich denke Ihr habt auch einen Zyxel USG20?
Nein, den Zyxel hatte ich mir angeschaut. Würde mir diesen dann zulegen.MFG Jan
Nein, den Zyxel hatte ich mir angeschaut. Würde mir diesen dann zulegen.
Ach so das hatte ich dann der Zeichnung von Dir falsch entnommen, weil dort "Option Zyxel USG20" noch zusätzlichaufgeführt war!
Gruß
Dobby
Der Trendnet Switch ist als Web Smart Switch VLAN fähig, damit klappt dann die vorgeschlagene und sinnvolle Segmentierung in 3 Netze in jedem Falle. Da bei den anderen Switches kein Modell genannt wurde müssen wir da jetzt mal raten ... 
Sinnvoll wäre eine VLAN Fähigkeit hier natürlich auch.
Mit dem Einsatz einer VLAN fähigen zentralen Firewall oder Firewall Router wie z.B, dieser_hier die auch den Internet Zugang realisieren, kannst du die Kommunikation zwischen den IP Segmenten (VLANs) intern ja sicherstellen. Ein klassisches Standard Design !
Optimal wäre ein Layer 3 Routing Switch, was aber eine Neuinvestition bedeuten würde. Jedenfalls für den "Core".
Wie man das mit einer Firewall löst beschreibt dir dieses Forumstutorial im Detail:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern (Kapitel -> "Praxisbeispiel")
Damit könntest du auch zentral gleich dein VPN und das Gästenetz abfackeln.
Sinnvoll wäre eine VLAN Fähigkeit hier natürlich auch.
Mit dem Einsatz einer VLAN fähigen zentralen Firewall oder Firewall Router wie z.B, dieser_hier die auch den Internet Zugang realisieren, kannst du die Kommunikation zwischen den IP Segmenten (VLANs) intern ja sicherstellen. Ein klassisches Standard Design !
Optimal wäre ein Layer 3 Routing Switch, was aber eine Neuinvestition bedeuten würde. Jedenfalls für den "Core".
Wie man das mit einer Firewall löst beschreibt dir dieses Forumstutorial im Detail:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern (Kapitel -> "Praxisbeispiel")
Damit könntest du auch zentral gleich dein VPN und das Gästenetz abfackeln.
Zitat von @aqui:
Der Trendnet Switch ist als Web Smart Switch VLAN fähig, damit klappt dann die vorgeschlagene und sinnvolle Segmentierung in
3 Netze in jedem Falle.
Das hört sich schonmal gut an! Ist das ding ja nicht ganz nutzlos.(-:Der Trendnet Switch ist als Web Smart Switch VLAN fähig, damit klappt dann die vorgeschlagene und sinnvolle Segmentierung in
3 Netze in jedem Falle.
Da bei den anderen Switches kein Modell genannt wurde müssen wir da jetzt mal raten ...
Sinnvoll wäre eine VLAN Fähigkeit hier natürlich auch.
Das sind ganz einfache Switche nicht konfigurierbar.Sinnvoll wäre eine VLAN Fähigkeit hier natürlich auch.
Mit dem Einsatz einer VLAN fähigen zentralen Firewall oder Firewall Router wie z.B,
dieser_hier
die auch den Internet Zugang realisieren, kannst du die Kommunikation zwischen den IP Segmenten (VLANs) intern ja sicherstellen.
Ein klassisches Standard Design !
Hab ich mir mal angeschaut, sieht sinnvoll aus das mit Firewall. Ist das mit Lizenzen aufgebaut wie eine UTM Lösung?dieser_hier
die auch den Internet Zugang realisieren, kannst du die Kommunikation zwischen den IP Segmenten (VLANs) intern ja sicherstellen.
Ein klassisches Standard Design !
Firewall Funktionen hat ja eigentlich schon jeder Router mit an Board was macht den unterschied?
Optimal wäre ein Layer 3 Routing Switch, was aber eine Neuinvestition bedeuten würde. Jedenfalls für den
"Core".
Wenn nicht nötig, dann Lieber Geld Sparen oder etwas mehr in die Router Geschichte stecken."Core".
MFG Jan
Hab mir nochmal ein paar Gedanken gemacht und würde gerne wissen ob die Richtung stimmt.
Hier ein Bild über die jetzige Netzwerk Struktur.
Und so sollte es dann vielleicht aussehen.
So was habe ich mir gedacht bzw, was konnte ich aus euren Antworten bis jetzt basteln.
Erstmal der Aufbau in die Segmente. Ich schmeiße den Trendnet TEG S50 Switch aus dem Personalraum und ersetze diesen durch einen
zB. Netgear GS105E 5-Poorts VLAN Gigabit Switch diesen müsste ich ja mit meinem TEG 160WS "Core" Switch via Tagged verbinden können(Rote Linie).
Das selbe mache ich mit dem LevelONE teil im Büro 2.
Des weiteren Schafe ich eine Tagged Verbindung zum Router entweder (Cisco oder Zyxel)
Von dem Router Abgehend wollte ich dann noch einen AP von zB. Cisco WAP2000 einbinden dieser sollte so wie ich das gelesen habe 4SSID verwalten können(Gast/Intern).
Jetzt ist für mich nur Fraglich wie die genaue Zuordnung geschieht und ob es mit dieser Struktur überhaupt möglich ist.
Also ich möchte gerne das alle (auch der WLAN Gastzugang) Zugriff auf den Drucker im Flur bekommen.
Laptop 1 und Laptop 2 sollen mit dem PC 1 EG Kommunizieren können und natürlich auch zugriff aufs Internet haben.
PC 1 EG(Eingeschränkt), PC 2 OG, PC 3 OG, Laptop 3(Büro2) OG, PC 4 OG(Admin), PC 5 OG sollen untereinander Kommunizieren können. (Sprich alle sollen auf PC 5 OG Hauptrechner zugreifen können)
PC 4 OG Admin(Büro 2) sowie PC 2 OG (Büro1) sollen auf die Cam´s sowie das NAS dem Camserver zugreifen können.
PC 4 OG Admin(Büro 2) sowie PC 2 OG (Büro1) und PC 5 OG brauchen Zugang auf die Telefonanlage.
Wie sehen die Segmente jetzt genau aus? Geht das überhaupt so wie ich mir das vorstelle. Kann ich die Cam´s sowie den Camserver nach diesen Aufbau eigentlich in eine DMZ stecken.
Ach ja VPN soll ja auch noch dabei sein. Einmal ein Admin VPN also zugriff auf alle Komponenten.
Dann ein VPN für die Cam Geschichte.
Bin gespannt auf eure Antworten.
MFG Jan
Hier ein Bild über die jetzige Netzwerk Struktur.
Und so sollte es dann vielleicht aussehen.
So was habe ich mir gedacht bzw, was konnte ich aus euren Antworten bis jetzt basteln.
Erstmal der Aufbau in die Segmente. Ich schmeiße den Trendnet TEG S50 Switch aus dem Personalraum und ersetze diesen durch einen
zB. Netgear GS105E 5-Poorts VLAN Gigabit Switch diesen müsste ich ja mit meinem TEG 160WS "Core" Switch via Tagged verbinden können(Rote Linie).
Das selbe mache ich mit dem LevelONE teil im Büro 2.
Des weiteren Schafe ich eine Tagged Verbindung zum Router entweder (Cisco oder Zyxel)
Von dem Router Abgehend wollte ich dann noch einen AP von zB. Cisco WAP2000 einbinden dieser sollte so wie ich das gelesen habe 4SSID verwalten können(Gast/Intern).
Jetzt ist für mich nur Fraglich wie die genaue Zuordnung geschieht und ob es mit dieser Struktur überhaupt möglich ist.
Also ich möchte gerne das alle (auch der WLAN Gastzugang) Zugriff auf den Drucker im Flur bekommen.
Laptop 1 und Laptop 2 sollen mit dem PC 1 EG Kommunizieren können und natürlich auch zugriff aufs Internet haben.
PC 1 EG(Eingeschränkt), PC 2 OG, PC 3 OG, Laptop 3(Büro2) OG, PC 4 OG(Admin), PC 5 OG sollen untereinander Kommunizieren können. (Sprich alle sollen auf PC 5 OG Hauptrechner zugreifen können)
PC 4 OG Admin(Büro 2) sowie PC 2 OG (Büro1) sollen auf die Cam´s sowie das NAS dem Camserver zugreifen können.
PC 4 OG Admin(Büro 2) sowie PC 2 OG (Büro1) und PC 5 OG brauchen Zugang auf die Telefonanlage.
Wie sehen die Segmente jetzt genau aus? Geht das überhaupt so wie ich mir das vorstelle. Kann ich die Cam´s sowie den Camserver nach diesen Aufbau eigentlich in eine DMZ stecken.
Ach ja VPN soll ja auch noch dabei sein. Einmal ein Admin VPN also zugriff auf alle Komponenten.
Dann ein VPN für die Cam Geschichte.
Bin gespannt auf eure Antworten.
MFG Jan
Ja passt wunderbar und ist so machbar !
Deine Frage zur Firewall oben und Lizenzen... Nein Lizenzen gibt es bei der pfSense nicht, dort ist generell ALLES freigeschaltet bzw. gar nicht eingeschränkt so das Lizenzen nötig sind.
Passende Literatur dazu findest du auch hier:
http://www.amazon.de/Pfsense-Definitive-Christopher-M-Buechler/dp/09790 ...
oder eben auf der Projektseite:
http://www.pfsense.org
Auf alle Fälle ist deine Struktur so OK und auch machbar. Auf dem Trendnet legst du deine VLANs um so die Segmente zu trennen.
Mit einem Trunk auf den Router oder die erbindenede Firewall, die die Kommunikation zw. den VLANs regelt
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern --> "Praxisbeispiel"
richtest du dann mit entsprechenden Filterlisten z.B. den Zugang zum Drucker usw. wasserdicht ein.
Das Gast VLAN wird dann mit einem Captive Portal:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
wasserdicht abgetrennt und mit einem Einmalpasswort Login versehen:
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
mit dem du bequem den Zugang regeln kannst und auch rechtssicher dokumentieren kannst. Mit den Multi SSIDs des WLAN APs kannst du dann noch weitere sichere interne WLANs realisieren.
Fazit: Es geht alles so wie du dir das vorstellst und auch oben so beschrieben hast.
Nur du musst festlegen welche VLANs du wofür einrichten willst...das ist eigentlich schon alles.
Was du sicher brauchst ist ein VLAN für
So kann z.B. ein Design aussehen. Der Rest ist ja schon bestens in deiner Zeichnung oben dargestellt
Deine Frage zur Firewall oben und Lizenzen... Nein Lizenzen gibt es bei der pfSense nicht, dort ist generell ALLES freigeschaltet bzw. gar nicht eingeschränkt so das Lizenzen nötig sind.
Passende Literatur dazu findest du auch hier:
http://www.amazon.de/Pfsense-Definitive-Christopher-M-Buechler/dp/09790 ...
oder eben auf der Projektseite:
http://www.pfsense.org
Auf alle Fälle ist deine Struktur so OK und auch machbar. Auf dem Trendnet legst du deine VLANs um so die Segmente zu trennen.
Mit einem Trunk auf den Router oder die erbindenede Firewall, die die Kommunikation zw. den VLANs regelt
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern --> "Praxisbeispiel"
richtest du dann mit entsprechenden Filterlisten z.B. den Zugang zum Drucker usw. wasserdicht ein.
Das Gast VLAN wird dann mit einem Captive Portal:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
wasserdicht abgetrennt und mit einem Einmalpasswort Login versehen:
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
mit dem du bequem den Zugang regeln kannst und auch rechtssicher dokumentieren kannst. Mit den Multi SSIDs des WLAN APs kannst du dann noch weitere sichere interne WLANs realisieren.
Fazit: Es geht alles so wie du dir das vorstellst und auch oben so beschrieben hast.
Nur du musst festlegen welche VLANs du wofür einrichten willst...das ist eigentlich schon alles.
Was du sicher brauchst ist ein VLAN für
- das Gastnetz
- eins für das Voice Netz
- eins für deinen Zugriff von außen (DMZ)
- PCs 4.OG
- PCs 5.OG
- Cams und NAS
So kann z.B. ein Design aussehen. Der Rest ist ja schon bestens in deiner Zeichnung oben dargestellt
1
Mensch das ist aber viel Informazie auf einmal. Werde mich mal Langsam ran testen.
Was gibt es zum Thema Performance zusagen?
Da die Switches ja über Tagged (Also eine Verbindung nutzen) miteinander verbunden sind und die Cam´s Permanent per ftp auf den Camserver Schreiben. Hab ich da mit Einbußen zu rechnen oder werde ich das genauso wenig merken wie jetzt auch. Eigentlich ändert sich ja nix.
Was gibt es zum Thema Performance zusagen?
Da die Switches ja über Tagged (Also eine Verbindung nutzen) miteinander verbunden sind und die Cam´s Permanent per ftp auf den Camserver Schreiben. Hab ich da mit Einbußen zu rechnen oder werde ich das genauso wenig merken wie jetzt auch. Eigentlich ändert sich ja nix.
Na ja...du hast ein Gig Backbone, da erübrigt sich eigentlich solche Diskussion wenn du nicht gerade 100 Cams hast ?!
Gibt es noch eine Preisgünstigere Lösung zum Cisco 886 zB. Mikrotik RB750 oder wird es dann zu Kompliziert für einen Laien? Hab gelesen das solche Geschichten wie dyndns nur über scripte möglich sind. Wenn der Cisco für mich als Laien besser und verständlicher zu Konfigurieren geht, würde ich auch die knap 200 Euronen mehr investieren. Beschreibt doch mal kurz was kann der Cisco besser oder mehr als der Mikrotik RB750.
MfG Jan
MfG Jan
Das ist sehr schwer zu sagen, da wir hier über einen Forumsthread niemals deine technische Kompetenz beurteilen und einschätzen können !
Fakt ist: Preiswerter als mit dem Mikrotik 750 mit 35 Euronen bekommst du es nicht hin !
Der Mikrotik kommt vom Funktionsumfang fast an den Cisco ran bzw. übertrumpft ihn in manchen Funktionen sogar. Das neue Router OS hat ein WebGUI zum Konfigurieren oder das legendäre grafische WinBox Tool.
Wenn du nur einigermaßen netzwerktechnische Grundlagen von IP beherrschst wirst du problemlos damit umgehen können.
Das gleiche gilt eigentlich für den Cisco, der mit den iOS Kommandos einen sehr übersichtliche und komfortable Syntax zum Konfigurieren und Troubleshooten hat.
Beide haben Dutzend Beispielkonfigs im Netz. Und beide haben für Klicki Bunti Windows Knechte auch ein GUI oder grafische Setup Software.
Fakt ist auch das diese beiden Systeme durch den sehr sehr umfangreichen Featureset eine Riesenvielfalt von Konfig Optionen haben die mit Billigroutern ala Speedport, FritzBox, D-Link, NetGear und Co niemals zu vergleichen sind...keine Frage.
Wenn du also grundlegend weisst was du Netzwerk technisch tust kommst du wunderbar damit klar.
Außerdem 35 Euro ist ja nun auch eher Taschengeld Niveau und tut nicht weh wenn man dann doch bemerkt das das eigene Know How nicht reicht um solche Maschinen zu beherrschen. Der Cisco tut da etwas mehr weh wenn man das als "Lehrgeld" verbuchen müsste.
"Its your own choice..." !
Fakt ist: Preiswerter als mit dem Mikrotik 750 mit 35 Euronen bekommst du es nicht hin !
Der Mikrotik kommt vom Funktionsumfang fast an den Cisco ran bzw. übertrumpft ihn in manchen Funktionen sogar. Das neue Router OS hat ein WebGUI zum Konfigurieren oder das legendäre grafische WinBox Tool.
Wenn du nur einigermaßen netzwerktechnische Grundlagen von IP beherrschst wirst du problemlos damit umgehen können.
Das gleiche gilt eigentlich für den Cisco, der mit den iOS Kommandos einen sehr übersichtliche und komfortable Syntax zum Konfigurieren und Troubleshooten hat.
Beide haben Dutzend Beispielkonfigs im Netz. Und beide haben für Klicki Bunti Windows Knechte auch ein GUI oder grafische Setup Software.
Fakt ist auch das diese beiden Systeme durch den sehr sehr umfangreichen Featureset eine Riesenvielfalt von Konfig Optionen haben die mit Billigroutern ala Speedport, FritzBox, D-Link, NetGear und Co niemals zu vergleichen sind...keine Frage.
Wenn du also grundlegend weisst was du Netzwerk technisch tust kommst du wunderbar damit klar.
Außerdem 35 Euro ist ja nun auch eher Taschengeld Niveau und tut nicht weh wenn man dann doch bemerkt das das eigene Know How nicht reicht um solche Maschinen zu beherrschen. Der Cisco tut da etwas mehr weh wenn man das als "Lehrgeld" verbuchen müsste.
"Its your own choice..." !
Es geht weiter. So habe mich jetzt für das Alixboard entschieden sowie den AP von Edimax (EW-7416APn V2).
Installation von monowall war kein Problem. Jetzt geht es an die IP Struktur. Hab natürlich gleich einen Fehler gemacht und die Adresse auf 127.X.X.X gesetzt und mir damit gleich den Zugang auf das Board blockiert, da es sich um eine Loopbackadresse handelt. Also erst lesen dann handeln.
Gibt es Adressbereiche die man nicht nutzen sollte?
Macht es sinn die Standart bereiche beizubehalten,
Sprich 192.168.X.X oder nimmt man was anderes?
Wäre dann doch folgendermaßen:
VLAN1 192.168.1.X
VLAN2 192.168.2.X
VLAN3 192.168.3.X
usw.
was ist mit dem Subnetz dies bleibt immer 255.255.255.0 die /24 hinter einer IP Adresse wäre dann dieses?
Installation von monowall war kein Problem. Jetzt geht es an die IP Struktur. Hab natürlich gleich einen Fehler gemacht und die Adresse auf 127.X.X.X gesetzt und mir damit gleich den Zugang auf das Board blockiert, da es sich um eine Loopbackadresse handelt. Also erst lesen dann handeln.
Gibt es Adressbereiche die man nicht nutzen sollte?
Macht es sinn die Standart bereiche beizubehalten,
Sprich 192.168.X.X oder nimmt man was anderes?
Wäre dann doch folgendermaßen:
VLAN1 192.168.1.X
VLAN2 192.168.2.X
VLAN3 192.168.3.X
usw.
was ist mit dem Subnetz dies bleibt immer 255.255.255.0 die /24 hinter einer IP Adresse wäre dann dieses?
was ist mit dem Subnetz dies bleibt immer 255.255.255.0 die /24 hinter einer IP Adresse wäre dann dieses?
255.255.255.0 = /24Gruß
Dobby
heist also ich kann 254 IP Adressen in diesem Subnetz vergeben. Ist das so richtig?
Bei /29 wäre es dann das Subnetz 255.255.255.248 heist also ich könnte also noch 6 IP´s vergeben.
Macht es denn sinn ein Subnetz (255.255.255.248) in einem VLAN so anzulegen, wenn ich sicher weiß das zB. nur 6 Rechner in diesem was zusuchen haben.
Aus sicherheitsgründen oder warum macht man das?
Bei /29 wäre es dann das Subnetz 255.255.255.248 heist also ich könnte also noch 6 IP´s vergeben.
Macht es denn sinn ein Subnetz (255.255.255.248) in einem VLAN so anzulegen, wenn ich sicher weiß das zB. nur 6 Rechner in diesem was zusuchen haben.
Aus sicherheitsgründen oder warum macht man das?
Vorsicht !!
...heist also ich kann 254 IP Adressen in diesem Subnetz vergeben. Ist das so richtig?
Nein, das ist nicht richtig !Die korrekte Antwort lautet 253 !
<edit> Sorry, Kollege Lochkarte.. hat Recht unten...es sind in der Tat 254 !!! </edit>
Die Adresse wo alle Hostbits auf 0 gesetzt sind ist in der Regel die Netzwerkadresse selber die nicht vergeben werden kann.
Da wo alle Hostbits 1 sind ist die Broadcast Adresse die definitiv nicht vergeben werden darf !
Was erstere Adresse anbetrifft gibt es einige Endgeräte die damit umgehen können aber nur ein Bruchteil. Zur Sicherheit sollte man diese also nicht vergeben.
Diese Regel gilt natürlich auch für alle anderen Subnetzmasken.
...heist also ich kann 254 IP Adressen in diesem Subnetz vergeben. Ist das so richtig?
Nein, das ist nicht richtig !
<edit> Sorry, Kollege Lochkarte.. hat Recht unten...es sind in der Tat 254 !!! </edit>
Die Adresse wo alle Hostbits auf 0 gesetzt sind ist in der Regel die Netzwerkadresse selber die nicht vergeben werden kann.
Da wo alle Hostbits 1 sind ist die Broadcast Adresse die definitiv nicht vergeben werden darf !
Was erstere Adresse anbetrifft gibt es einige Endgeräte die damit umgehen können aber nur ein Bruchteil. Zur Sicherheit sollte man diese also nicht vergeben.
Diese Regel gilt natürlich auch für alle anderen Subnetzmasken.
Hallo an Alle,
hab da ein Problem.
Bekomme keine Freigabe auf Ordner bzw finde PC´s in anderen VLAN Gruppen nicht.
Vlan´s auf TEG Switch eingerichtet.
VLAN 20 192.168.20.1 / 1x PC 192.168.20.2 zugang Internet sowie Drucken auf Netzwerkkopierer VLAN 40 geht.
VLAN 30 192.168.30.1 / 1x PC 192.168.30.2 zugang Internet sowie Drucken usw. geht
VLAN 40 192.168.40.1 / 1x Drucker 192.168.40.2 zugang Internet versenden von Mails zugriff der anderen VLAN´s geht
VLAN 50 und 60 wie 20 und 30 selben funktionen gehen.
Jetzt brauche ich aber zugang von PC´s aus VLAN 30,50,60 auf einen ordner vom PC aus dem VLAN 20.
Habe die "Scheunentor" Regelung in der Monowall für jedes VLAN eingetragen.
Kann aber nur den Kopierer unter VLAN 40 anpingen wieso?
Wo ist der Denk fehler?
hab da ein Problem.
Bekomme keine Freigabe auf Ordner bzw finde PC´s in anderen VLAN Gruppen nicht.
Vlan´s auf TEG Switch eingerichtet.
VLAN 20 192.168.20.1 / 1x PC 192.168.20.2 zugang Internet sowie Drucken auf Netzwerkkopierer VLAN 40 geht.
VLAN 30 192.168.30.1 / 1x PC 192.168.30.2 zugang Internet sowie Drucken usw. geht
VLAN 40 192.168.40.1 / 1x Drucker 192.168.40.2 zugang Internet versenden von Mails zugriff der anderen VLAN´s geht
VLAN 50 und 60 wie 20 und 30 selben funktionen gehen.
Jetzt brauche ich aber zugang von PC´s aus VLAN 30,50,60 auf einen ordner vom PC aus dem VLAN 20.
Habe die "Scheunentor" Regelung in der Monowall für jedes VLAN eingetragen.
Kann aber nur den Kopierer unter VLAN 40 anpingen wieso?
Wo ist der Denk fehler?
So da ich ja ein engagierter Netzwerker(Laie) bin. Hab ich mir jetzt nochmal die mühe gemacht alles ins Bild zu bringen.
Hilft mir einen überblick zu behalten.
Dazu habe ich natürlich auch noch Fragen. Schaut euch das ganze doch bitte nochmal an.
Machen die vergebenen Netzwerk Adressen allgemein die Struktor so sinn oder was würdet ihr anders machen?
der obere Teil also alles was am TEG Switch dran ist läuft soweit. Aber die ganzen Regeln fehlen mir momentan noch und da brauche ich eure Hilfe.
Momentan sind alle VLAN auf "scheunentor" Regel gesetzt. Auch die Windows Firewall PC (VLAN 20) musste ich auf machen. Also "Sodom und Gomorra"
Auf den Workstations läuft Windows 7/pro. Wie setzte ich hier zB. am PC (VLAN 20) eine Regel das die anderen VLAN drauf kommen der Rest aber drußen bleibt.
Muss ich momentan eigentlich bauchschmerzen haben wegen den Firewall Regeln?
Hab ich mir jetzt nochmal die mühe gemacht alles ins Bild zu bringen.Hilft mir einen überblick zu behalten.
Dazu habe ich natürlich auch noch Fragen. Schaut euch das ganze doch bitte nochmal an.
Machen die vergebenen Netzwerk Adressen allgemein die Struktor so sinn oder was würdet ihr anders machen?
der obere Teil also alles was am TEG Switch dran ist läuft soweit. Aber die ganzen Regeln fehlen mir momentan noch und da brauche ich eure Hilfe.
Momentan sind alle VLAN auf "scheunentor" Regel gesetzt. Auch die Windows Firewall PC (VLAN 20) musste ich auf machen. Also "Sodom und Gomorra"
Auf den Workstations läuft Windows 7/pro. Wie setzte ich hier zB. am PC (VLAN 20) eine Regel das die anderen VLAN drauf kommen der Rest aber drußen bleibt.
Muss ich momentan eigentlich bauchschmerzen haben wegen den Firewall Regeln?
Zitat von @aqui:
Vorsicht !!
...heist also ich kann 254 IP Adressen in diesem Subnetz vergeben. Ist das so richtig?
Nein, das ist nicht richtig ! Die korrekte Antwort lautet 253 !
Vorsicht !!
...heist also ich kann 254 IP Adressen in diesem Subnetz vergeben. Ist das so richtig?
Nein, das ist nicht richtig ! Die korrekte Antwort lautet 253 !
Erwischt großer Meister:
Man hat 2^8 = 256 Kombinationen der Bits,von denen "All-Zero" udn "All-One" nicht benutzt werden können. Damnit beliben 254 als benutzbare IP-Adressen übrig.
253 wären es allerdings dann, wenn Du die IP-Adresse für den ggf. notwendigen Router auch gleich mit abziehst.
Trotzdem schönen Sonntag noch.
lks
Hallo,
- Man kann das via Switch ACLs auf den Switchen regeln.
- Man kann auch einfach den PC von VLAN20 zu einem "Mitglied" von VLAN30,50 & 60 machen
nur eigentlich bezweckt man mit den VLANs ein Trennung bzw. Aufteilung des Netzwerkes
damit eben nicht "jeder" an die anderen Netzwerksegmente bzw. VLANs heran kann.
Ich würde daher dringend empfehlen ein NAS anzuschaffen und/oder einen zentralen Server
einzusetzen um das mit dem Ordner und den Dokumenten zu regeln.
Dann kann jeder in seinem VLAN bleiben und dennoch auf die Dokumente zugreifen.
wieder rückgängig und jeder kann auch alles zugreifen.
Gruß
Dobby
Jetzt brauche ich aber zugang von PC´s aus VLAN 30,50,60 auf einen ordner vom PC aus dem VLAN 20.
- Man kann das durch Firewallregeln bzw. ACLs auf der mOnOwall realisieren- Man kann das via Switch ACLs auf den Switchen regeln.
- Man kann auch einfach den PC von VLAN20 zu einem "Mitglied" von VLAN30,50 & 60 machen
nur eigentlich bezweckt man mit den VLANs ein Trennung bzw. Aufteilung des Netzwerkes
damit eben nicht "jeder" an die anderen Netzwerksegmente bzw. VLANs heran kann.
Ich würde daher dringend empfehlen ein NAS anzuschaffen und/oder einen zentralen Server
einzusetzen um das mit dem Ordner und den Dokumenten zu regeln.
Dann kann jeder in seinem VLAN bleiben und dennoch auf die Dokumente zugreifen.
Wo ist der Denkfehler?
Man teilt und segmentiert das Netzwerk nicht erst auf und dann macht man quasi alleswieder rückgängig und jeder kann auch alles zugreifen.
Gruß
Dobby
Darum habe ich doch segmentiert damit eben nicht jeder auf alles zugreifen kann.
Ich kann das ganze doch so viel besser reglementieren.
Der Rechner in VLAN 20 ist ja sozusagen der Zentrale Punkt.
Gruß Jan
Ich kann das ganze doch so viel besser reglementieren.
Der Rechner in VLAN 20 ist ja sozusagen der Zentrale Punkt.
Gruß Jan
1
.@Lochkarte
...du hast natürlich Recht mit den 254 !!
...du hast natürlich Recht mit den 254 !!
Hallo,
Finde es auch ganz angenehm das man diese in der Netwerkumgebung dann nicht sieht.
MFG Jan
- Man kann auch einfach den PC von VLAN20 zu einem "Mitglied" von VLAN30,50 & 60 machen
Dann kann ich diese ja eigentlich auch alle in ein VLAN packen.Ich würde daher dringend empfehlen ein NAS anzuschaffen und/oder einen zentralen Server
einzusetzen um das mit dem Ordner und den Dokumenten zu regeln.
Dann kann jeder in seinem VLAN bleiben und dennoch auf die Dokumente zugreifen.
Soll ja auch im VLAN 100(NAS) so passieren jedoch sollte der (Firmenordner) auf dem einen PC bleibeneinzusetzen um das mit dem Ordner und den Dokumenten zu regeln.
Dann kann jeder in seinem VLAN bleiben und dennoch auf die Dokumente zugreifen.
> Wo ist der Denkfehler?
Man teilt und segmentiert das Netzwerk nicht erst auf und dann macht man quasi alles
wieder rückgängig und jeder kann auch alles zugreifen.
bin davon ausgegangen, dass ich die Netze/Zugriffe auf Rechner so besser reglementieren kann.Man teilt und segmentiert das Netzwerk nicht erst auf und dann macht man quasi alles
wieder rückgängig und jeder kann auch alles zugreifen.
Finde es auch ganz angenehm das man diese in der Netwerkumgebung dann nicht sieht.
MFG Jan
Gibts denn jetzt noch ein Problem was zu lösen ist ?? Die Segmentierung ist doch soweit OK ?!
