17
Netzwerk Neuaufbau - DHCP - VLANs
Hallo zusammen!
Wir ziehen gerade unser Netzwerk neu auf, und ich wollte mir bei euch Rat einholen.
Wir wollen verschiedene VLANs anlegen:
Printer (172.16.20.0/24)
Windowsumgebung (Clients und Server) 172.16.0.0/24)
IoT (smarte Leuchten etc.) 172.16.30/24)
jedoch soll, wenn möglich, ein Windows Server den DHCP-Dienst übernehmen, in allen Netzen.
Ist das sicherheitstechnisch unkritisch? Bzw. ist es überhaupt machbar?
Wenn da schon grobe Schnitzer drin sind, dann hören wir gerne auch konstruktive Kritik.
Grüße!
Wir ziehen gerade unser Netzwerk neu auf, und ich wollte mir bei euch Rat einholen.
Wir wollen verschiedene VLANs anlegen:
Printer (172.16.20.0/24)
Windowsumgebung (Clients und Server) 172.16.0.0/24)
IoT (smarte Leuchten etc.) 172.16.30/24)
jedoch soll, wenn möglich, ein Windows Server den DHCP-Dienst übernehmen, in allen Netzen.
Ist das sicherheitstechnisch unkritisch? Bzw. ist es überhaupt machbar?
Wenn da schon grobe Schnitzer drin sind, dann hören wir gerne auch konstruktive Kritik.
Grüße!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1414793934
Url: https://administrator.de/contentid/1414793934
Printed on: April 24, 2024 at 11:04 o'clock
17 Comments
Latest comment
Moin,
DHCP-Relay am jeweiligen Gateway (Vermutlich das gleiche L3-Gerät in allen drei Netzen) ist das Stichwort.
Ist möglich, ja.
VG
DHCP-Relay am jeweiligen Gateway (Vermutlich das gleiche L3-Gerät in allen drei Netzen) ist das Stichwort.
Ist möglich, ja.
VG
1
Moin,
Wo ist das Problem?
Stichwort: DHCP-Relay
Gruß
C.C.
Wo ist das Problem?
Stichwort: DHCP-Relay
Gruß
C.C.
2
Wenn da schon grobe Schnitzer drin sind...
Nein, sind es nicht. Alles problemlos machbar.
Muss hier unter Windows noch etwas konfiguriert werden?
Der Server benötigt dann eine Verbindung in jedes VLAN nehme ich mal an? Sprich 4 Netzwerkadapter, bzw Virtuelle Adapter?
Der Server benötigt dann eine Verbindung in jedes VLAN nehme ich mal an? Sprich 4 Netzwerkadapter, bzw Virtuelle Adapter?
Ja, natürlich muss noch was konfiguriert werden. - DHCP-Scoop und DHCP-Optionen.
Nicht übel nehmen, aber seid ihr euch sicher, dass ihr für den Neuaufbau wissenstechnisch gut gestaffelt seid ?
Ich persönliche schaue der Netzeinteilung schon mit einem Stirnrunzeln entgegnen. - Mag aber auch eine persönliche Einstellung sein.
Nicht übel nehmen, aber seid ihr euch sicher, dass ihr für den Neuaufbau wissenstechnisch gut gestaffelt seid ?
Ich persönliche schaue der Netzeinteilung schon mit einem Stirnrunzeln entgegnen. - Mag aber auch eine persönliche Einstellung sein.
1Muss hier unter Windows noch etwas konfiguriert werden?
Nein. Bzw. im Windows DHCP Server musst du natürlich die entsprechenden Scopes für deine 3 IP Netze anlegen, das ist klar.Der Server benötigt dann eine Verbindung in jedes VLAN nehme ich mal an?
Nein, das wäre Blödsinn und würde ja einer VLAN Segmentierung widersprechen. Bei kleinen und Kleinstnetzen liegt er mit im Client Segment wie bei dir.Ist das Client Segment größer und hat man mehrere Server trennt man auch Server und Clients immer in separate VLANs.
Du musst dich lediglich entscheiden ob die ein Layer 2 VLAN Konzept umsetzen willst mit externem VLAN Router oder Firewall welches HIER beschrieben ist.
Oder ob du ein Layer 3 Switching Konzept umsetzen willst wie es HIER beschrieben ist wo der Switch zw. den VLANs routet.
Das ist die einzige Entscheidung die du VOR der VLAN Segmentierung fällen musst. Sie hat dann auch entsprechende Auswirkungen auf deine Switch Hardware, denn für ein L3 Konzept benötigst du einen L3 fähigen VLAN Switch. Bei L2 reicht ein simpler L2 only Switch.
1Nicht übel nehmen, aber seid ihr euch sicher, dass ihr für den Neuaufbau wissenstechnisch gut gestaffelt seid ?
nun, die Frage ist durchaus berechtigt, da ich (wie in vorherigen Beiträgen auch schon erwähnt) Quereinsteiger bin.Da du die Einteilung für fragwürdig hältst, was würdest du anders machen? Wir wollen uns die VLANs nicht zu dicht beieinander aufbauen, um genügend Reserve zu haben.
Ist das Client Segment größer und hat man mehrere Server trennt man auch Server und Clients immer in separate VLANs.
Nun, wir haben lediglich 5 Server, einen Hyper-V host und 4 virtuelle.
Die Einteilung ist schon OK. Allerdings würde man in jedem Falle auch ein separates Segment für Gäste oder zumindestens ein Gast WLAN erwarten und ggf. auch Voice (Telefonie). Das will man ja sicher NICHT zusammen mit eigenem lokalen Traffic in einem Segment haben. Es sei denn du betreibst sowas nicht bzw. es handelt sich um ein einfaches Heimnetzwerk. Dann ist die Voice Trennung sicher nicht nötig. Gast WLAN indes schon sofern gewünscht.
Der Rest ist aber OK sofern es sich um ein kleines- oder Heimnetz handelt. Leider machst du dazu ja keinerlei Aussagen und zwingst zum raten und ggf. auch leichtem Stirnrunzeln...
Der Rest ist aber OK sofern es sich um ein kleines- oder Heimnetz handelt. Leider machst du dazu ja keinerlei Aussagen und zwingst zum raten und ggf. auch leichtem Stirnrunzeln...
1
Trennst du die Drucker von den Clients ... funktioniert die Drucksuchfunktion in Windows nicht.
Sowas wird Dich bei der iOT ggfs. auch treffen. Je nachdem was da geplant ist.
Normalerweise würde man dagegen die Server von den Clients trennen und dann nur mehr bestimmte Ports durchlassen. So, dass die Clients keinen Schindluder auf den Servern treiben können.
VG
Sowas wird Dich bei der iOT ggfs. auch treffen. Je nachdem was da geplant ist.
Normalerweise würde man dagegen die Server von den Clients trennen und dann nur mehr bestimmte Ports durchlassen. So, dass die Clients keinen Schindluder auf den Servern treiben können.
VG
Allerdings würde man in jedem Falle auch ein separates Segment für Gäste oder zumindestens ein Gast WLAN erwarten
das habe ich vergessen, oben zu erwähnen. Wir haben ein System mit Voucher-Codes, für Mitarbeiter aber auch für Gäste.Leider machst du dazu ja keinerlei Aussagen
nun, es handelt sich um ein kleines Firmennetz. meine Kenntnisse habe ich tatsächlich alle selbst erlernt bzw teste immer alles, sofern möglich, zuhause im home-lab. Natürlich ist da alles etwas kleiner, versteht sich.Zitat von @Visucius:
Trennst du die Drucker von den Clients ... funktioniert die Drucksuchfunktion in Windows nicht.
Trennst du die Drucker von den Clients ... funktioniert die Drucksuchfunktion in Windows nicht.
die braucht auch nicht zu funktionieren, da die Drucker über eine GPO zur Verfügung gestellt werden und eh alles über einen Printserver läuft.
Wir haben ein System mit Voucher-Codes, für Mitarbeiter aber auch für Gäste.
Dann solltest du das Gastsegment zumindest zwingend in ein abgetrenntes VLAN legen. Du willst ja ganz sicher nicht die Gäste in deinen privaten Netzen haben, oder ??Das Vouchersystem ist ja per se vollkommen irrelevant fürs Netz bzw. dort wo die Gäste landen !
Ohne Gäste Segmentierung hast du die im internen Netz mit vollem Zugriff auf alle deine Endgeräte, was ja fatal wäre und deine Segmentierung aus Sicherheitssicht dann völlig ad absurdum führt !
Wie man das entsprechend mit MSSIDs auf dem AP segmentiert erklärt dir dieses Praxisbeispiel:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Tu dir selbst einen Gefallen und mache verschiedene Subnetze.
Eines für clients, eines für Windows Kerndienste (AD), eines für Anwendungsserver, usw.
Das dann mittels Firewall getrennt voneinander.
Sodass wirklich nur freigegeben wird, was auch benötigt wird.
Man könnte zB auch überlegen die AD Server komplett zu trennen, und nur einen (oder mehrere) RODCs ins Client Netz zu stellen, sodass nur der RODC auf die "echten" AD Server zugreifen darf.
Ein großes Netz, in dem Server und Clients stehen ist imo ein gewaltiges Risiko.
Wir haben hier ein riesengroßes /8 Netz, jeder kann auf alles zugreifen. Der Praktikant von 10 Standortzen weiter kommt zB netzwerktechnisch problemlos an unsere USV ran. Oder die ganzen Netzwerkkomponenten.
Du bekommst da nachher echt Probleme
Eines für clients, eines für Windows Kerndienste (AD), eines für Anwendungsserver, usw.
Das dann mittels Firewall getrennt voneinander.
Sodass wirklich nur freigegeben wird, was auch benötigt wird.
Man könnte zB auch überlegen die AD Server komplett zu trennen, und nur einen (oder mehrere) RODCs ins Client Netz zu stellen, sodass nur der RODC auf die "echten" AD Server zugreifen darf.
Ein großes Netz, in dem Server und Clients stehen ist imo ein gewaltiges Risiko.
Wir haben hier ein riesengroßes /8 Netz, jeder kann auf alles zugreifen. Der Praktikant von 10 Standortzen weiter kommt zB netzwerktechnisch problemlos an unsere USV ran. Oder die ganzen Netzwerkkomponenten.
Du bekommst da nachher echt Probleme
Wir haben hier ein riesengroßes /8 Netz, jeder kann auf alles zugreifen.
Oha...wie gruselig. Das muss ein echter Profi gewesen sein mit einem /8er Prefix !
Moin!
Selbstverständlich befinden sich die Gäste in einem separaten Netz!
Ich wollte lediglich sagen, dass die Mitarbeiter mit ihren privaten Handys/Laptops sich eben auch in diesem "Gastenetzwerk" aufhalten. Mitarbeiter bekommen livetime-token und Gäste wochen- / tageweise.
Deine Tutorials sind übrigens wirklich sehr ausführlich und gut verständlich geschrieben. Super Arbeit aqui!
Dann solltest du das Gastsegment zumindest zwingend in ein abgetrenntes VLAN legen.
da kam wohl was flasch rüber.Selbstverständlich befinden sich die Gäste in einem separaten Netz!
Ich wollte lediglich sagen, dass die Mitarbeiter mit ihren privaten Handys/Laptops sich eben auch in diesem "Gastenetzwerk" aufhalten. Mitarbeiter bekommen livetime-token und Gäste wochen- / tageweise.
Deine Tutorials sind übrigens wirklich sehr ausführlich und gut verständlich geschrieben. Super Arbeit aqui!
da kam wohl was flasch rüber.
Stimmt...hicks...da kam Flaschbier rüber... 🤣Alles gut...
Super Arbeit aqui!
Danke für die 💐 Wenns das denn war bitte den Thread als gelöst markieren.
How can I mark a post as solved?
1
