9
KMU Netzwerk mit Standorten und VPN
Hallo zusammen,
ich stehe vor der Herausforderung eine Infrastruktur zu erdenken. Leider verfüge ich trotz einschlägigem Studium vor vielen Jahren aufgrund mangelnder praktischer Erfahrungen nicht vollständig über das benötigte Verständnis der Materie. Jetzt habe ich diese Aufgabe allerdings firmenintern geerbt und los geht's.......
Bevor ich lange darauf eingehen, was ich für möglich halten, würde ich gerne eure Meinung zum Aufbau hören und schildere kurz die Ausgangslage:
Folgende Situation:
1 Hauptsitz, 12 Standorte und diverse Homeoffices insgesamt ca. 70 Benutzer
2 - 10 Benutzer pro Standort
Hauptsitz SDSL 50M, Standorte SDSL 6M oder 15M, Homeoffices individuelle private Anschlüsse
Alle Anwendungen sind Cloudlösungen anderer Anbieter direkt über Browser oder Remote Desktop
Erster Schritt: Infrastruktur zur Verwaltung und Schutz der Clients schaffen.
Später: Fileserver und Exchangeserver am Hauptsitz
Ich hoffe ich habe es ausreichend umrissen und freue mich auf kreativen Input. Gerne gehe ich, wenn nötig auch noch weiter ins Detail.
Danke und viele Grüße.
ich stehe vor der Herausforderung eine Infrastruktur zu erdenken. Leider verfüge ich trotz einschlägigem Studium vor vielen Jahren aufgrund mangelnder praktischer Erfahrungen nicht vollständig über das benötigte Verständnis der Materie. Jetzt habe ich diese Aufgabe allerdings firmenintern geerbt und los geht's.......
Bevor ich lange darauf eingehen, was ich für möglich halten, würde ich gerne eure Meinung zum Aufbau hören und schildere kurz die Ausgangslage:
Folgende Situation:
1 Hauptsitz, 12 Standorte und diverse Homeoffices insgesamt ca. 70 Benutzer
2 - 10 Benutzer pro Standort
Hauptsitz SDSL 50M, Standorte SDSL 6M oder 15M, Homeoffices individuelle private Anschlüsse
Alle Anwendungen sind Cloudlösungen anderer Anbieter direkt über Browser oder Remote Desktop
Erster Schritt: Infrastruktur zur Verwaltung und Schutz der Clients schaffen.
Später: Fileserver und Exchangeserver am Hauptsitz
Ich hoffe ich habe es ausreichend umrissen und freue mich auf kreativen Input. Gerne gehe ich, wenn nötig auch noch weiter ins Detail.
Danke und viele Grüße.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 391950
Url: https://administrator.de/contentid/391950
Printed on: April 26, 2024 at 01:04 o'clock
9 Comments
Latest comment
Hallo XOexp93,
du suchst vermutlich/optimalerweise einen Dienstleister, mit dem du das Projekt stemmen kannst. Im Grunde ist das alles machbar, wobei ich die Hauptanbindung etwas schwach finde. Aber schreib mir gerne einfach mal eine PN/Mail, dann können wir eine Zusammenarbeit erörtern.
Viele Grüße und einen schönen Abend,
Christian
certifiedit.net
du suchst vermutlich/optimalerweise einen Dienstleister, mit dem du das Projekt stemmen kannst. Im Grunde ist das alles machbar, wobei ich die Hauptanbindung etwas schwach finde. Aber schreib mir gerne einfach mal eine PN/Mail, dann können wir eine Zusammenarbeit erörtern.
Viele Grüße und einen schönen Abend,
Christian
certifiedit.net
Hallo,
ein solches Projekt ist nichts was man mal eben "erdenkt" oder in einem Forum vernünftig diskutiert.
Wenn man keine eigenen Ressourcen hat, die die notwendigen Kenntnisse und Erfahrungen mitbringen, dann kauft man sich die notwendigen Ressourcen ein.
ein solches Projekt ist nichts was man mal eben "erdenkt" oder in einem Forum vernünftig diskutiert.
Wenn man keine eigenen Ressourcen hat, die die notwendigen Kenntnisse und Erfahrungen mitbringen, dann kauft man sich die notwendigen Ressourcen ein.
Hallo, es geht einfach darum herauszufinden wie die vorhandenen Ressourcen einfließen können. Daher die Frage wie jemand ganz unvoreingenommen an die Sache herangehen würde.
Dir vorhandenen Ressourcen sind erstmal zweitrangig. Wichtiger sind die Rahmenbedingungen wie zB Anforderungsprofil der Firma, gesetzliche Vorgaben, weitere zu beachtende Vorgaben Dritter.
Zitat von @XOexp93:
Hallo, es geht einfach darum herauszufinden wie die vorhandenen Ressourcen einfließen können. Daher die Frage wie jemand ganz unvoreingenommen an die Sache herangehen würde.
Hallo, es geht einfach darum herauszufinden wie die vorhandenen Ressourcen einfließen können. Daher die Frage wie jemand ganz unvoreingenommen an die Sache herangehen würde.
Unvoreingenommen heisst ohne Kenntnisse - dann am besten gar nicht, denn das ist ein Schlag ins Wasser.
Wie gesagt, sprich mich (oder einen anderen Partner) hier im Board an, dann kann man das Projektieren.
VG
Moin,
wie jemand rangehen würde: Sich angucken was in der Firma benötigt wird, was an Wissen vorhanden ist und dann entscheiden. Denn es gibt verschiedene Optionen:
- MPLS (oder vgl.) -> provider-managed VPN bei dem dein Provider dir das VPN bereitstellt. Klappt idR. nur wenn du alle Standorte bei dem Provider hast, du hast dann aber eben (wenns einmal läuft, über den Weg dahin rede ich mal nicht ;) ) keine Sorgen. Etwas geht nicht - du rufst an und lässt es lösen
- Applikation-Level VPN per Hardware: Hier gibt es diverse Hersteller. Von-Bis halt... Von der kleinen Fritte ausm Hausgebrauch bis hin zum Cisco-Enterprise-System. Je nach Hardware gibt es dann diverse Optionen - vom einfachen Standard-IPSEC bis hin zu recht propitären Lösungen. Von "Site-to-Site-VPN" bis hin dazu das du Mischbetrieb fährst (D.h. Site-2-Site was du willst + Dialin).
- Software-VPN (OpenVPN, Windows-VPN,....): Die läuft dann IRGENDWO (auf ner VM, auf nem normalen Rechner, als Dienst aufm Server,...). Benötigt halt keine Hardware, dafür aber eben entsprechende Erfahrungen wo man das platziert, wie man das absichert, wie man ggf. durchtunnelt,...
Jede der Lösungen hat Vor- und Nachteile, jede hat ihre Berechtigung. UND: Zum Teil ist sogar nen Mischbetrieb möglich - du kannst z.B. natürlich sagen du hast Standort 1+2 per MPLS verbunden, in beiden steht aber auch noch nen Gateway was Standort 3,4,5 und 6 reinholt... 7-n kommen dann fröhlich munter per OpenVPN dazu... Möglich, bei der Wartung springst du nach 3 Tagen ausm Fenster...
Von daher ist deine Fragestellung schon falsch: Wenn jemand völlig unvoreingenommen rangeht dann hat der keine Ahnung was er baut. Er/Sie muss bereits wissen was ihr genau für Randbedingungen habt, was genutzt werden soll und ggf. auch die diversen Lösungen bereits kennen... Ich kann hier z.B. nur nen Mischbetrieb fahren da einige von den Systemen nur extrem langsam angebunden sind (ich habe Ping-Zeiten bis hin zu 180 Sekunden....) und div. Randbedingungen es auch nicht erlauben das ich einfach den Router "übernehme". Daher ist da nen OpenVPN am laufen... Gleichzeitig gibts aber noch nen IPSec-Tunnel zu anderen Punkten da die Anzahl der richtigen Router mit ner (vernünftigen) OpenVPN-Option dann doch sehr überschaubar ist. Zumindest solange wie man nicht auf der Konsole des Routers div. Sachen anpassen möchte die dann beim nächsten Update des Systems wieder fröhlich munter weggeschossen werden...
wie jemand rangehen würde: Sich angucken was in der Firma benötigt wird, was an Wissen vorhanden ist und dann entscheiden. Denn es gibt verschiedene Optionen:
- MPLS (oder vgl.) -> provider-managed VPN bei dem dein Provider dir das VPN bereitstellt. Klappt idR. nur wenn du alle Standorte bei dem Provider hast, du hast dann aber eben (wenns einmal läuft, über den Weg dahin rede ich mal nicht ;) ) keine Sorgen. Etwas geht nicht - du rufst an und lässt es lösen
- Applikation-Level VPN per Hardware: Hier gibt es diverse Hersteller. Von-Bis halt... Von der kleinen Fritte ausm Hausgebrauch bis hin zum Cisco-Enterprise-System. Je nach Hardware gibt es dann diverse Optionen - vom einfachen Standard-IPSEC bis hin zu recht propitären Lösungen. Von "Site-to-Site-VPN" bis hin dazu das du Mischbetrieb fährst (D.h. Site-2-Site was du willst + Dialin).
- Software-VPN (OpenVPN, Windows-VPN,....): Die läuft dann IRGENDWO (auf ner VM, auf nem normalen Rechner, als Dienst aufm Server,...). Benötigt halt keine Hardware, dafür aber eben entsprechende Erfahrungen wo man das platziert, wie man das absichert, wie man ggf. durchtunnelt,...
Jede der Lösungen hat Vor- und Nachteile, jede hat ihre Berechtigung. UND: Zum Teil ist sogar nen Mischbetrieb möglich - du kannst z.B. natürlich sagen du hast Standort 1+2 per MPLS verbunden, in beiden steht aber auch noch nen Gateway was Standort 3,4,5 und 6 reinholt... 7-n kommen dann fröhlich munter per OpenVPN dazu... Möglich, bei der Wartung springst du nach 3 Tagen ausm Fenster...
Von daher ist deine Fragestellung schon falsch: Wenn jemand völlig unvoreingenommen rangeht dann hat der keine Ahnung was er baut. Er/Sie muss bereits wissen was ihr genau für Randbedingungen habt, was genutzt werden soll und ggf. auch die diversen Lösungen bereits kennen... Ich kann hier z.B. nur nen Mischbetrieb fahren da einige von den Systemen nur extrem langsam angebunden sind (ich habe Ping-Zeiten bis hin zu 180 Sekunden....) und div. Randbedingungen es auch nicht erlauben das ich einfach den Router "übernehme". Daher ist da nen OpenVPN am laufen... Gleichzeitig gibts aber noch nen IPSec-Tunnel zu anderen Punkten da die Anzahl der richtigen Router mit ner (vernünftigen) OpenVPN-Option dann doch sehr überschaubar ist. Zumindest solange wie man nicht auf der Konsole des Routers div. Sachen anpassen möchte die dann beim nächsten Update des Systems wieder fröhlich munter weggeschossen werden...
Moin
So ganz pragmatisch, ohne groß auf die tatsächlichen Anforderungen im Detail einzugehen, denn die muss jemand mit Kenntnis der tatsächlichen Situation einplanen.....
Ein paar Terminalserver (plus DC, Fileserver, Exchange, Printserver...) am Hauptstandort. Die Standorte werden tunneln per Router an den Hauptstandort. Zum Einsatz kommen ThinClients oder RDP.
Homeoffice wählt sich per ShrewSoft am Hauptstandort ein.
Ist in meinen Augen der einfachste Ansatz, bei dem man die verwendeten Clients zentral managen kann.
Ob die Ressourcen ausreichen muss man schauen. Homeoffice halte ich persönlich immer für etwas arbeitsintensiver, wenn man gesetzliche Vorgaben einhalten muss.
So ganz pragmatisch, ohne groß auf die tatsächlichen Anforderungen im Detail einzugehen, denn die muss jemand mit Kenntnis der tatsächlichen Situation einplanen.....
Ein paar Terminalserver (plus DC, Fileserver, Exchange, Printserver...) am Hauptstandort. Die Standorte werden tunneln per Router an den Hauptstandort. Zum Einsatz kommen ThinClients oder RDP.
Homeoffice wählt sich per ShrewSoft am Hauptstandort ein.
Ist in meinen Augen der einfachste Ansatz, bei dem man die verwendeten Clients zentral managen kann.
Ob die Ressourcen ausreichen muss man schauen. Homeoffice halte ich persönlich immer für etwas arbeitsintensiver, wenn man gesetzliche Vorgaben einhalten muss.
Eigentlich ist das kinderleicht für einen Netzwerker.
Der Rest steht oben ja schon und grundlegende Anregungen zum Thema VPN findet man hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
OpenVPN Option sprich SSL statt IPsec
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
und für die Clients
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Hier sollte man immer darauf achten die VPN Bordmittel der Clients zu verwenden !! 3rd Party Software wie das oben genannte Shrew sollte man, wenn irgend möglich, immer vermeiden weil das die Komplexität der Clients erhöht und das Management.
- Leistungsfähige Firewall die das VPN abdeckt davon...
- Standorte per festem VPN Tunnel als LAN to LAN VPN abdecken
- Home Offices und mobile User per Dialin VPN abfackeln
- Fertisch
Der Rest steht oben ja schon und grundlegende Anregungen zum Thema VPN findet man hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
OpenVPN Option sprich SSL statt IPsec
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
und für die Clients
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Hier sollte man immer darauf achten die VPN Bordmittel der Clients zu verwenden !! 3rd Party Software wie das oben genannte Shrew sollte man, wenn irgend möglich, immer vermeiden weil das die Komplexität der Clients erhöht und das Management.
Moin,
Auch Homeoffice in Verbindung mit RD-Gateway/RD-Webaccesss in Verbindung mit dem HTML5 Client in Windows Server 2016 wird zu einem Erlebnis. Vorallem kein Ärger mit VPN-Clients o.ä. Browser öffnen, anmelden und loslegen.
Gruß,
Dani
Ich hoffe ich habe es ausreichend umrissen und freue mich auf kreativen Input. Gerne gehe ich, wenn nötig auch noch weiter ins Detail.
Alle Anwendungen sind Cloudlösungen anderer Anbieter direkt über Browser oder Remote Desktop
ich würde inital prüfen, ob du flächendeckend RDS-Hosts, die in der Zentrale stehen, einsetzen kannst. Somit erschlägst du das Theme Datensicherung/Datensicherheit/Wartung vor Ort. Evtl. müssen 2-3-4 Anwendungen, aus technischen/lizenzrechtlichen Gründen, auf separate RDS-Hosts installiert werden müssen. Meiner Ansicht nach immer noch effizienter und einfacher zu warten.Alle Anwendungen sind Cloudlösungen anderer Anbieter direkt über Browser oder Remote Desktop
Auch Homeoffice in Verbindung mit RD-Gateway/RD-Webaccesss in Verbindung mit dem HTML5 Client in Windows Server 2016 wird zu einem Erlebnis. Vorallem kein Ärger mit VPN-Clients o.ä. Browser öffnen, anmelden und loslegen.
Gruß,
Dani
