123456a
Goto Top

Meinung Abschlussprojekt FiSi

Hallo zusammen,
ich habe vor ein paar Tagen bereits eine ähnliche Anfrage gestellt, da sich jetzt aber einiges an meinem Projekt geändert hat, habe ich mich dazu entschlossen, einen neuen Thread zu eröffnen. Also mich würde interessieren, was ihr von folgendem Abschlussprojekt haltet.

Ausgangssituation:
Wir haben momentan zwei Internetanschlüsse
1. DSL (100 Mbit/s im Download)
2. Glasfaser (400 Mbit/s im Download)
an beiden Internetanschlüssen sitzt momentan eine FritzBox. Jede FritzBox hat ihr eigenes Subnetz.
Wir handhaben das leider momentan so, dass wir an jeden Client eine statische IP-Adresse für das Glasfasernetz vergeben und eine Route einrichten, welche das Glasfasernetz priorisiert,
da unser EDV-Anbieter leider nur über IPv4 erreichbar ist und der Glasfaseranschluss DS-Lite nutzt.
(Ja natürlich könnte man auch einfach eine route in den Router festlegen, aber das wäre ja zu einfach…🙄)

Meine praktische Ausbildung war so gut wie für den Arsch, da ich hauptsächlich Notebooks repariert, PCs verkauft und FritzBoxen angeschlossen habe. Daher habe ich leider keine praktische Erfahrung, die ich in meinem Projekt zum Einsatz bringen kann. Daher werde ich mich sowieso in jedes Thema neu einlesen müssen. Leider kann ich auch nicht meine Arbeitskollegen um Rat fragen (Alleine die Story mit der Routingtabelle sagt da meiner Meinung schon alles aus ...). Naja, was wäre das Leben schon ohne Herausforderung😉.

Als Projekt würde ich gerne einen Dual-WAN-Router und eine Firewall einrichten.
Ein Dual-WAN-Router arbeitet soweit ich weiß ja mit Load balancing, nutzt dieser dann überhaupt die 400 Mbit/s der Glasfaser oder habe ich dann maximal die 100 Mbit/s der DSL-Leitung?

Da ich glaube, dass das als Abschlussprojekt etwas wenig ist, würde ich den Router & die Firewall gerne in ein Failover Cluster packen. Wäre das als Abschluss Projekt ausreichend oder doch etwas viel bzw. zu wenig?

Zusätzlich könnte ich auch noch unsere Filialen miteinander via VPN verbinden & dort ebenfalls eine bessere Firewall installieren. (Momentan haben wir in jeder Filiale eine FritzBox sitzen. Diese würde ich dann höchstwahrscheinlich ebenfalls austauschen.)

Danke für euer Feedback und für nützliche Artikel zu den Themen😁.

Beste Grüße,
Lenard

Content-ID: 650793

Url: https://administrator.de/contentid/650793

Ausgedruckt am: 22.11.2024 um 18:11 Uhr

Vans66
Vans66 11.02.2021 um 11:34:15 Uhr
Goto Top
hallo,

ich würde da auf eine Pfsense setzen.

Firtzboxe(n) -> Pfsense -> Netzwerk

Die 400 mbit als normale Internet Leitung nutzen. per Outbound NAT die IP des Dienstleister über die 100 mbit schicken.

Zudem kann du dann den zweiten Standort (auch mit na pfsense ) per VPN über die 100 mbit mit einander verbinden. (openVPN oder IPsec/IKEv2)

Grüße Vans66
Vans66
Vans66 11.02.2021 um 11:36:25 Uhr
Goto Top
Zudem kannst du ja ein Failover mit der PFsense bauen und vielleicht noch ein VPN für Laptops bauen

ob das reicht, kann nur die IHK sagen .

ich würde es versuchen, aber trotzdem ein zweites Projekt überlegen (als Backup)

Aber wenn´s klappt, werden die dich aber viel zu Netzwerken fragen
123456A
123456A 11.02.2021 um 12:17:14 Uhr
Goto Top
Hey Vans66,
ersteinmal danke für deine schnelle Antwort😁😁.
Deiner Antwort entnehme ich, dass das wohl doch etwas wenig ist?
Oder warum gehst du davon aus, dass die IHK den Antrag ablehnt?
Ich gehe davon aus, dass man mich als angehender FiSi so oder so viel über Netzwerke abfragen wird. Sollte mich in den Beruf auch nicht gerade abschrecken😉. Oder wie habe ich das zu verstehen?

Die Idee mit dem Dual-WAN-Router ist so nicht sinnvoll?
Oder warum soll ich das so (ohne Load Balancing) machen?
Doskias
Doskias 11.02.2021 um 12:37:07 Uhr
Goto Top
Moin

wenn du es machst, dann mach es richtig, dann reicht es bestimmt auch für die IHK. Ich meine damit:

1. Ja Failover-Cluster. Kein Großer Aufwand aber ein großer Nutzen

2. Für dein Projekt ist nicht nur der Downstream wichtig, sondern auch der Upstream. Denkbar wäre (kenne PFSense nicht) bei dem Einsatz von Sophos oder Watchguard (die kenne ich), dass du Beispielsweise eine Leitung für den "normalen" Traffic nutzt und die zweite Leitung als Ausfallleitung konfigurierst. Allgemein, dann die kleine Leitung permanent für VPN nutzt um die Filialen zu verbinden. Vielleicht auch anders rum, je nachdem wie eure Größe oder euer Traffic ist.

3. Binde die Filialen auf jeden Fall in deinem Projekt mit ein. Damit erzeugst du einen Mehrwert. Je nachdem wie viele Filialen es sind reicht auch exemplarisch eine. Wichtig hier wäre das Backup der Konfig und ein Ersatzgerätbereitstehen zu haben, so dass du im Ausfall einer Filial-Firewall schnell Ersatz bereitliegen hast. zeigt den Prüfern, dass du in die Zukunft denkst face-smile

4. Löse in dem Zuge die festen IP-Adressen gegen DHCP-Adressen ab. Das ist nicht schwer und wenn bei euch jemand Angst davor hat, dann weist du via DHCP im MAC-Adressenfilter die gleiche zu. Auch hier DHCP im Failover einrichten. Kein großer Aufwand, aber weiterer Aspekt in der Ausfallsicherheit. Überlege dir an der Stelle ob du nicht vielleicht den Filialen ebenfalls DHCP-Adressen vom Server der Zentrale zukommen lassen willst. Sprich:
192.168.0.x Zentral
192.168.1.x Filiale 1
192.168.2.x Filiale 2
Bietet dann eine Zentrale Übersicht über alle IP-Adressen im Unternehmen.

Dein Projekt sollte eine gewisse Komplexität besitzen und einen Mehrwert darstellen. Mit der Vernetzung der Filialen und der Umstellung auf DHCP, sollte das meiner Meinung nach gegeben sein. Ob das dann reicht hängt auch davon ab wie du es formulierst. Du hast 35 Stunden Zeit für alles, sprich Anforderungsanalyse, Lösungsfindung, Planung, Einrichtung, Test und Dokumentation. Hier ist übrigens die Dokumentation des Projektes gemeint, nicht die Dokumentation deiner Abschlussprüfung für die IHK. Letztendlich ist es aber auch immer eine Entscheidung des Prüfungsausschusses. Dem einen reicht es, dem anderen nicht. Das wirst du erst sehen wenn du den Antrag eingereicht hast. Ganz abwegig ist dein Projekt allerdings nicht, daher sollte es meiner Einschätzung nach keine Ablehnung erfahren. Wenn der Prüfungsausschuss mit einem Projekt Probleme hat, da die Komplexität und Leistung nicht hoch genug ist, dann wird er es dir sagen und den Antrag entweder mit Auflagen genehmigen oder aber dich zur Wiedervorlage auffordern und dir mitteilen was fehlt. Zum Beispiel, dass die Beschreibung deiner geplanten Testverfahren nicht ausreicht. Es gibt mehr als annehmen und ablehne face-smile

Gruß
Doskias
aqui
aqui 11.02.2021 aktualisiert um 12:55:13 Uhr
Goto Top
nutzt dieser dann überhaupt die 400 Mbit/s der Glasfaser oder habe ich dann maximal die 100 Mbit/s der DSL-Leitung?
Ja, natürlich. Wie der Name allen schon sagt hast du ja einen Load Balancing Router oder Firewall. Da du unterschiedliche Bandbreiten hast wichtest du die beiden Anschlüsse auch unterschiedlich in so einem Router. Dieser verteilt (Balancing) die Internet Last dann Session basierend auf beide Leitungen. Dein Verhältnis ist wie du oben schreibst ja 4:1.
D.h. der Router/Firewall wird nach 4 Sessions die er aufs Galsfaser legt dann die nächste aufs DSL legen dann wieder 4 aufs Galsfaser usw. Simples Balancing Prinzip. Die Art und Weise der Lastverteilung ist aber frei konfigurierbar.
Du kannst das auch Applikations basierend machen. Alle HTTP/ HTTPS TCP Ports aufs Glas, Email auf Kupfer usw. bzw. einen Kombination mit 4:1. Ein sehr weites Feld also eine Optimierung unter bestimmten Gesichtspunkten zu betrachten für deine FiSi Arbeit !
2 FritzBoxen als Firmennetzwerk und den gruseligen Rest von oben. In der Firma möchte man niemals Netzwerk Admin sein bzw. wenn man sowas hört gilt nur eins: Ganz schnell weit weglaufen davon....
Sowas passiert in Firmen wenn da fachfremde Bastler am Werk sind. Ein Wunder das da alles funktioniert. Mit deinem Thema wirst du die dann hoffentlich mal auf ein sauber designets Firmennetz heben. Viel Erfolg !
Ein bisschen Grundlagen zu der Thematik findest du in diesen Threads:
Cisco Router 2 Gateways für verschiedene Clients
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Vans66
Vans66 11.02.2021 um 13:30:29 Uhr
Goto Top
hey,

ne ich finde das nicht wenig, nur man weiß nie wie die auf der IHK ticken.
viele damals in meiner Klasse sind abgelehnt worden, weil (das denke ich ) die da selbst keinen Plan hatten.
Notfalls wirst du zur Fragerunde gebeten. halb so schlimm.

ich denke es ist immer gut eine zweites Projekt im Kopf zuhaben.

ich will dir keine Angst machen. ich hatte auch Bammel, aber im nachhinein war das easy. du musst dich nur gut verkaufen können und die 3-4 Fragen gut beantworten können.


zum Thema, warum Loadbalancing. Ich finde das echt unnötig. wenn du die 400 mbit fürs Internet nutzt . (ist ne menge Holz, sofern du nicht in einer 800 mann Firma sitzt) und die andere fürs VPN und den Dienstleister. Reicht doch locker.

Wenn mal die 400 mbit ausfällt, kannst du das routing auf der Firewall/Router ändern und weiter geht´s
Wenn mal die 100 mbit ausfällt kannst du deine VPN umziehen. (oder du machst einen Backup Tunnel)

wenn da mal mehr Speed gebraucht wird kannst du ja den Provider anrufen (ich denke die 400 mbit leitung ist ein Kabel oder LWL Anschluss ?!)
ich würde das nicht so kompliziert machen.

bei mir auf der Arbeit machen wir das auch so, wenn mal eine Leitung nicht geht, schaltet das die Firewall um. Wir betreuen 100 PC Arbeitsplätze und die meisten Arbeiten über Web auf unserem Produktion System an einem anderen Standort. wir haben hier für eine 200mbit Kabel Leitung und haben die nie vollbekommen.

Grüße
Vans66
Doskias
Doskias 11.02.2021 um 13:46:04 Uhr
Goto Top
Moin,
ich muss hier mal was klarstellen:

Zitat von @Vans66:
ne ich finde das nicht wenig, nur man weiß nie wie die auf der IHK ticken.
Was hat das mit der Prüfung zu tun? Die IHK führt die Prüfung zwar durch, aber die Prüfer sind diejenige die das genehmigen. Die Prüfer sind alle ehrenamtlich und haben alle einen Job (zu 99% außerhalb der IHK). Der Prüfungsausschuss setz sich aus einem Lehrer, einem Arbeitnehmer und einem Arbeitgeber zusammen, die alle im IT-Beruf sein müssen und eine Ausbildereignungsprüfung (oder Lehrer) haben. Die IHK regelt nur die Termine, Räume und den Schriftverkehr. Es tickt da also niemand bei der IHK und die IHK lehnt auch keine Anträge ab. Das macht der Prüfungsausschuss.

viele damals in meiner Klasse sind abgelehnt worden, weil (das denke ich ) die da selbst keinen Plan hatten.
eher weil die Anträge wohl nicht verständlich formuliert waren. Wenn die Prüfer nicht verstehen was du vor hast, kann der Antrag nicht genehmigt werden. Es spielt auch keine Rolle was du denkst, sondern nur was auf der Begründung der Ablehnung des Prüfungsausschuss steht face-smile

Notfalls wirst du zur Fragerunde gebeten. halb so schlimm.
Die gibt es nicht bei jeder IHK und in Coronazeiten vermutlich eh nicht

ich denke es ist immer gut eine zweites Projekt im Kopf zuhaben.
Auf jeden Fall

ich will dir keine Angst machen. ich hatte auch Bammel, aber im nachhinein war das easy. du musst dich nur gut verkaufen können und die 3-4 Fragen gut beantworten können.
Das muss aber schon länger her sein bei dir, oder? Die Prüfungsordnung geht derzeit von 15 Minuten Fachgespräch aus. Mit 3 bis 4 Fragen kommst du da nicht weit. Die meiste Ausschüsse nehmen meiner Erfahrung nach immer 9 bis 11 Fragen, da sich dies leicht auf 100% rechnen lässt und das zu einer recht einfachen Notenfindung führt.

ich würde das nicht so kompliziert machen.
Nein nicht zu kompliziert, aber eine gewisse Komplexität sollte das Abschlussprojekt schon darstellen.

Gruß
Doskias
aqui
aqui 11.02.2021 aktualisiert um 13:56:22 Uhr
Goto Top
Wenn mal die 400 mbit ausfällt, kannst du das routing auf der Firewall/Router ändern und weiter geht´s
In einem Firmennetzwerk nicht dein Ernst, oder ?? Das ist ja Steinzeit IT auf Neandertaler Niveau. Wenn man schon 2 redundnate Internet Zugänge hat dann sollte sowas logicherweise automatisch funktionieren und ohne das da einer wie Anno dunnemals Hand anlegen muss !
Wenn mal die 100 mbit ausfällt kannst du deine VPN umziehen.
Auch das ist natürlich Unsinn aus der Steinzeit denn das löst man mit einem primary und secondary Peering und automatischer Umschaltung per DPD. Sorry, aber heutzutage muss doch niemand mehr händisch irgendwas umschalten bei vorhandener Redundanz !
ich würde das nicht so kompliziert machen.
Was bitte ist daran kompliziert. Ein millionenfaches Standard Verfahren bei Unternehmen denen Redundanz und Verfügbarkeit von Internet Verbindungen wichtig und zwingend erforderlich ist. 3 Mauklicks im GUI entsprechender Hardware.
Stell dir Discounter oder Tankstellen o.a. vor wenn die die VPN Connectivity in ihre Niederlassungen verlieren. Ein NoGo und man kann doch hier nicht einfach Anforderungen die Klempnermeister Röhricht, Werner und Ekkehard in ihrer Klempnerbude haben mit solchen vergleichen die auf externe Verbindungen und deren Verfügbarkeit zwingend angewiesen sind. Da fehlt dir vermutlich wohl der entsprechende Horizont ?!
P4TR1C3
P4TR1C3 12.02.2021 um 09:20:00 Uhr
Goto Top
Halo Lenard,

ich habe selbst letztes Jahr meine Ausbildung zum FiSi beendet.
Ich hatte ein Projekt mit digitalen Türschildern und Outlook Formularen.
Die Prüfer wollen gerne ab und zu neue Projekte sehen, die nicht immer von der Stange kommen. D.h. dein Projektansatz hört sich in bisschen schwammig für mich an auch eher nach einem Teilprojekt. Die Installation eines Routers ist für mich eigentlich eine nebentätigkeit, da ich in meiner Ausbildung bei einem ISP gearbeitet habe, die nur Firmenkunden betreiben. Dort sind Cisco, Accedian und Nokia vertrehten gewesen.
Du müsstet dein Projekt größer anpacken. Die Idee alle Standorte miteinander per VPN fest zu installieren mit neuen Router (Dual Wan) hört sich im gesamten wieder besser an.
Hast du schon dein Antrag abgesendet?
Die Prüfer werden wahrscheinlich den Schwerpunkt auf die Sicherheit setzen. Welche Verschlüsselungsart benutzt du. Baust du selber ein OpenVPN auf (z.B. mit der AWS Cloud für sehr kleines Geld - By the way ... ein sehr schönes Azubiprojekt für Einsteiger. Die Azubis haben was davon und können sich mit Cloudcomputing, VPN und WAN sich auseinander setzen). Wird das VPN abgesichert. Firewall? Monitoring?
All das kann abgefragt werden. Die Prüfer freuen sich wirklich, wenn Sie was neues sehen, da Sie meist schon bei den Anträgen 80% das gleiche Lesen. (Aufbau Netzwerk, IEEE802.X, Firewall, neuer Server, ...) da würde ich dir empfehlen, irgendwas noch zu finden, was das "i-Tüpfelchen" bei deinem Projekt ist.

Für dein Projekt würde ich dir Cisco Hardware empfehlen. Z.B. die Small-Business Switche oder z.B. ein 1921 Router / ISR 4331 Router.

Gruß
Patrice