donten216
Goto Top

Netzwerkplan für den kleinen Betrieb - 2. Standort

Hallo zusammen,

da ich bei meinem letzten Beitrag hier wirklich gut beraten wurde und ich das sehr gut umsetzen konnte, wollte ich mal ein aktuelles Problem aufzeigen und würde mich freuen, wenn ich hierzu wieder Feedback und Vorschläge für Verbesserungen bekommen könnte.

Folgendes Szenario:

Das Netzwerk aus meinem letzten Beitrag (Netzplan hier) soll ein Geschwisterchen bekommen. In diesem zweiten Netzwerk fehlt jegliche Server-Struktur, dort sind Stand heute nur 5 PCs, ein Drucker und ne Fritzbox mit einem DECT Mobilteil. Dieses zweite Netzwerk soll nun auch in den Genuss von zentraler Benutzerverwaltung und einem ERP System kommen - Hierfür habe ich mir einen Aufbau überlegt, worin im Standort 1 in einem seperaten VLAN die Server-Infrastruktur für Standort 2 gehostet werden soll. Diese beiden Netze sollen via Site-to-Site VPN miteinander verbunden werden. Vereinfachte Darstellung:

netzwerkplan_2_anfang

Meine Gedanken hinter dieser Aufstellung:
- das ist mit vorhandener Hardware umsetzbar
- Man müsste "nur" 5 RDS Lizenzen besorgen, um die ERP-Anwendung zur Verfügung zu stellen
- die grundlegende Funktionalität, also Zugriff auf DC und ERP-System wären gegeben für Standort 2, ohne dass Server Hardware an Standort 2 benötigt wird.

Meine Fragen wären hier bezüglich allgemeiner Machbarkeit bzw. Alternativen und zum "ideal"-szenario:

1. Vorab: Funktioniert das aufgezeigte Szenario grundsätzlich netzwerktechnisch so, wie ich mir das aufgestellt habe und ist das ein sinnvoller Weg zum Einrichten der grundlegenden Funktionalität?
- Windows DC sollte über die Site-to-Site Verbindung ja von den Client PCs erreichbar sein? (zumindest meiner Internet-Recherche zufolge)
- Site-to-Site verbindung OPNSense + FritzBox gibt es ja genügend Anleitungen hier im Forum, da mache ich mir nach erster Durchsicht nicht all zu viele Gedanken. Zurecht?

2. Für die bessere Auslegung des 2. Standorts wird auf kurz oder lang eine Umstrukturierung nötig. Hier hätte ich folgenden Aufbau geplant:

netzwerkplan_2_ziel

- OPNSense für Segmentierung in VLANs für 1. PCs, 2. Maschinen, 3. Drucker, 4. Gäste, 5. Das remote Server VLAN von Standort 1
- Mikrotik Switch für Verteilung
- 1-2 APs mit Produktiv- und Gäste-Netz

Auch hier wieder: Grundsätzlich sinnvolle Aufstellung? Und was mich an diesem Szenario besonders interessiert: Über welche Firewall kann ich die einzelnen Zugriffe der VLANs am 2. Standort dann regeln? Bei der Verbindung von Standort 1 mit der Fritzbox und dem flachen Netz wird sowieso jeder auf alles Zugriff haben, da stellt sich diese Frage nicht. Um das zu optimieren daher die 2. OPNSense kiste. Aber taucht das VLAN 15 vom 1. Standort in der OPNSense wie ein eigenes VLAN auf? Irgendwie bin ich mit der Thematik noch nicht ganz warm geworden im Kopf. Daher würde mich über euren Input zu diesem Vorhaben sehr freuen.

Viele Grüße

Content-Key: 63787586225

Url: https://administrator.de/contentid/63787586225

Printed on: April 21, 2024 at 02:04 o'clock

Member: em-pie
em-pie Feb 25, 2024 at 18:13:58 (UTC)
Goto Top
Moin,

Sieht erstmal gut aus.

Bzgl. Deiner Frage mit den VLANs und den Standorten:
Also grundsätzlich (Ausnahmen gibt es) verbleiben die VLAN-Tags am jeweiligen Standort.

Mache dir aber über das IP-Design Gedanken.
Was habt ihr derzeit für Netze an Stabdort 1? Wenn z.B. 10.10.0.0/16 (aber mit vielen Subnetzen), könntet ihr für Standort 2 10.20.0.0/16 nehmen (auch wieder mit 24er Subnetzen.
Dann wären die Drucker z.B. immer im VLAN 10.
Am Standort 1 aber in 10.10.10.0 und am Standort 2 im Netz 10.20.10.0/24

Macht es einfacher/ standardisierter, weil man nicht nennenswert umdenken muss.
Also die Standorte halt immer im 2. Oktett differenzieren…
Member: aqui
aqui Feb 25, 2024 updated at 18:36:33 (UTC)
Goto Top
da mache ich mir nach erster Durchsicht nicht all zu viele Gedanken. Zurecht?
Zurecht, denn das funktioniert problemlos "out of the Box". Guckst du u.a. HIER und auch HIER für etwas mehr Details.
Zum Rest hat Kollege @em-pie ja alles gesagt.
Member: Pjordorf
Pjordorf Feb 25, 2024 at 19:28:47 (UTC)
Goto Top
Hallo,

Zitat von @donten216:
- Man müsste "nur" 5 RDS Lizenzen besorgen, um die ERP-Anwendung zur Verfügung zu stellen
Meinst du wirklich das nur die RDS LIzenzen reichen, du hast ja noch nicht mal einen TS/RDS, oder?

Gruß,
Peter
Member: donten216
donten216 Feb 26, 2024 at 06:36:29 (UTC)
Goto Top
Zitat von @em-pie:

Mache dir aber über das IP-Design Gedanken.
Was habt ihr derzeit für Netze an Stabdort 1?

Guter Punkt. Beide Netze sind aktuell im 192.168.0.0/16 Bereich. Ich gebe dir recht, dass da die 10.0.0.0/8 Bereiche schöner für die Übersicht wären. Leider wäre die Umstellung aufwändig, da viele Geräte/Maschinen feste IP-Adressen besitzen. Um etwas Struktur zu behalten, aber mit dem Gegebenen zu arbeiten, würde ich für den 2. Standort die VLANs in den gleichen 10er-Bereichen zu lassen, aber um jeweils 1 zu erhöhen im Vergleich zum 1. Standort:
Standort 1 - VLAN 20 Office PCs (192.168.20.0/24) und Standort 2 - VLAN 21 Office PCs (192.168.21.0/24)
usw.

Nicht ganz so schön, aber ich denke, dass man damit arbeiten kann. Was meinst du?

Zitat von @aqui:

Zurecht, denn das funktioniert problemlos "out of the Box". Guckst du u.a. HIER und auch HIER für etwas mehr Details.

Top, vielen Dank!

Zitat von @Pjordorf:

Meinst du wirklich das nur die RDS LIzenzen reichen, du hast ja noch nicht mal einen TS/RDS, oder?

Ebenfalls guter Punkt, das hatte ich nicht im Text erwähnt. Einen separaten RDS Server habe ich mal testweise aufgesetzt, die Windows Server Lizenz+User Cals wären hierfür vorhanden, nur die RDS User Cals müsste ich noch besorgen. Da ich nur die ERP Anwendung via RDS verteilen möchte und keinen vollständigen Desktop mit Office sollte das hinsichtlich Lizenzen auch alles gewesen sein, außer ich übersehe etwas.

Ich mache mich am kommenden Wochenende mal an die Umsetzung der Site-to-site Verbindung und teste dann die Umgebung. Den RDS kann ich ja auch ohne Lizenzen erst mal testen. Vielen Dank auf jeden Fall schon einmal für die Rückmeldungen und Anregungen!

Viele Grüße
Member: Pjordorf
Pjordorf Feb 26, 2024 at 06:57:14 (UTC)
Goto Top
Hallo,

Zitat von @donten216:
außer ich übersehe etwas.
Bedenke das nicht jede Office Version/Plan auf RDS/TS funktioniert bzw. läuft.

Gruss,
Peter
Member: Ausserwoeger
Ausserwoeger Feb 26, 2024 at 07:33:53 (UTC)
Goto Top
Hi

Was mir hier fehlt ist ein Backup Netz. Hast du das nur nicht gezeichnet oder ist hier keines vorhanden ?
Wie sicherst du den die Geschichte ? Stehen deine Backup Server im gleichen Netzwerk ?
Oder gibt es keine ?

LG Andy
Member: em-pie
em-pie Feb 26, 2024 updated at 08:30:18 (UTC)
Goto Top
Zitat von @donten216:

Zitat von @em-pie:

Mache dir aber über das IP-Design Gedanken.
Was habt ihr derzeit für Netze an Stabdort 1?

Guter Punkt. Beide Netze sind aktuell im 192.168.0.0/16 Bereich. Ich gebe dir recht, dass da die 10.0.0.0/8 Bereiche schöner für die Übersicht wären. Leider wäre die Umstellung aufwändig, da viele Geräte/Maschinen feste IP-Adressen besitzen. Um etwas Struktur zu behalten, aber mit dem Gegebenen zu arbeiten, würde ich für den 2. Standort die VLANs in den gleichen 10er-Bereichen zu lassen, aber um jeweils 1 zu erhöhen im Vergleich zum 1. Standort:
Standort 1 - VLAN 20 Office PCs (192.168.20.0/24) und Standort 2 - VLAN 21 Office PCs (192.168.21.0/24)
usw.

Nicht ganz so schön, aber ich denke, dass man damit arbeiten kann. Was meinst du?
Also wenn du den Standort 2 eh nahezu neu gestalten willst/ musst (da du VLANs implementieren willst), würde ich zumindest dort ein 10er-Netz etablieren.
Das dritte Oktet kann ja dann analog zu den Subnetzen des Standort 1 definiert werden.
Du hast es halt leichter, was Routing-Einträge in den Firewalls/ Routern betrifft.
Es ist leichter, eine Route für 10.20.0.0/16 anzulegen, als wenn du jeweils eine Route für
192.168.21.0/24, 192.168.31.0/24, 192.168.41.0./24, usw. anlegen musst.
Und wenn du irgendwo ein weiteren VLAN/ Subnetz anlegst, musst du auch immer direkt ans Routing denken. Bei einer Route 10.20.0.0/ 16 ist die schon gesetzt...

Edit: Typo
Member: kpunkt
kpunkt Feb 26, 2024 at 07:59:22 (UTC)
Goto Top
Klappt alles, so wie du es vor hast.
Am zweiten Standort sind im Grunde nur Clients und die VLANs. Da kannst du dir die zweite Synology sparen, da du ja alles auf den Servern am ersten Standort vorhältst. Da halt noch ein Sicherungskonzept. Veeam oder so auf einem Server außerhalb des ADs.
Problematisch (kompatibilitätsmäßig aber auch finanziell) kann das wirklich mit Office-Anwendungen werden. Hier ist es überlegenswert auf Microsoft 365 zu setzen. Kommt drauf an, was eben benötigt wird.
Auf Thick Clients würde ich am zweiten Standort so weit es geht verzichten.

Bei der TK-Anlage kann man ja auch überlegen, ob man da am Hauptstandort nicht auch den zweiten Standort managed. Ist ja jetzt auch kein Hexenwerk und es fällt evtl. wieder ein zusätzliches Teil weg.
Member: aqui
aqui Feb 26, 2024 updated at 08:09:28 (UTC)
Goto Top
Beide Netze sind aktuell im 192.168.0.0/16 Bereich.
Aber dann wohl hoffentlich mit einem Subnetting mit einem 24 Bit Präfix ohne Überschneidung?! Andernfalls wäre eine VPN Kopplung IP technisch nicht oder nur mit erheblichem Aufwand (NAT) möglich. Was du ja auch sicher selber weisst.
Member: donten216
donten216 Feb 26, 2024 updated at 14:40:54 (UTC)
Goto Top
Zitat von @Pjordorf:

Bedenke das nicht jede Office Version/Plan auf RDS/TS funktioniert bzw. läuft.
Über RDS soll wirklich nur die ERP-Anwendung bereitgestellt werden, keine Desktopumgebung, kein Office im RDS. Wenn ich den Usern einen komplette VDI bereitstellen wollen würde, dann bräuchte ich ja meines Wissens nach VL Lizenzen, SA auch für Win10/11 usw. Das ist denke ich für den Anwendungsfall übertrieben und nicht notwendig. Die 2 PCs dort, die eine Office-Installation benötigen, haben lokal Office 2021 home and business installiert. Ich würde da keine Komplikationen hinsichtlich Funktionalität dieser Anwendungen erwarten. Inwiefern hier dann auf Microsoft 365 umgestellt wird bleibt noch offen, dann kann man das nochmal umdenken, aber so müsste ich jetzt erst mal nichts neu lizenzieren.

Zitat von @em-pie:

Also wenn du den Standort 2 eh nahezu neu gestalten willst/ musst (da du VLANs implementieren willst), würde ich zumindest dort ein 10er-Netz etablieren.
Nehme ich so mit in den Plan auf für die OPNSense Installation, kann ich nachvollziehen und ist denke ich sinnvoll. Danke für die Anregung!

Zitat von @kpunkt:

Klappt alles, so wie du es vor hast.
Am zweiten Standort sind im Grunde nur Clients und die VLANs. Da kannst du dir die zweite Synology sparen, da du ja alles auf den Servern am ersten Standort vorhältst. Da halt noch ein Sicherungskonzept. Veeam oder so auf einem Server außerhalb des ADs.
Problematisch (kompatibilitätsmäßig aber auch finanziell) kann das wirklich mit Office-Anwendungen werden. Hier ist es überlegenswert auf Microsoft 365 zu setzen. Kommt drauf an, was eben benötigt wird.
Auf Thick Clients würde ich am zweiten Standort so weit es geht verzichten.

Bei der TK-Anlage kann man ja auch überlegen, ob man da am Hauptstandort nicht auch den zweiten Standort managed. Ist ja jetzt auch kein Hexenwerk und es fällt evtl. wieder ein zusätzliches Teil weg.
Das sind alles gute Punkte. Ich versuche mal, mehr darauf einzugehen.
Die Synology soll an Standort 2 eigentlich nur ein vom Rest isoliertes Offsite-Backup-Target der Synology von Standort 1 sein. Daher sollte die auch eigentlich in ein eigenes VLAN, was jetzt in der Darstellung falsch ist. Die Synology vom Standort 1 ist auch nur ein reines Backup-copy-target vom lokalen Veeam server - und der würde sich um die Backups von den Diensten im VLAN 15 kümmern.
Auf Thick Clients würde ich am zweiten Standort so weit es geht verzichten.
Kann ich an sich nachvollziehen, ich würde auch nur ungern für hardware-support jedes mal da rüber fahren müssen. Die haben etwas "Ausfallsicherheit" vor Ort, da es mehr PCs als Leute gibt, und die PCs vor Ort gibt es bereits. Aber eventuell kann man das nach deren Lebensende mal umstrukturieren.
Bei der TK-Anlage kann man ja auch überlegen, ob man da am Hauptstandort nicht auch den zweiten Standort managed. Ist ja jetzt auch kein Hexenwerk und es fällt evtl. wieder ein zusätzliches Teil weg.
Auch ein guter Punkt. Wir setzen am Standort 1 auf 3CX, da muss ich mich mal schlau machen wie das geht, aber sollte ja machbar sein. Kommt auf die Liste, danke für die Anregung!


Zitat von @aqui:

Aber dann wohl hoffentlich mit einem Subnetting mit einem 24 Bit Präfix ohne Überschneidung?! Andernfalls wäre eine VPN Kopplung IP technisch nicht oder nur mit erheblichem Aufwand (NAT) möglich. Was du ja auch sicher selber weisst.
Ich denke, dass ich das richtig gemacht habe, aber eventuell fehlt mir hier auch noch etwas das Verständnis. Das möchte ich nicht ausschließen. Die VLANs Standort 1 sind alle eigene 192.168.xx.0/24 Netze, das VLAN 15 (192.168.15.0/24) ist eben ein bisher "ungenutztes" /24 Netz, dass ich extra hierfür angelegt habe. Der Standort 2 lebt aktuell in einer 192.168.2.0/24 Welt, welches an Standort 1 ungenutzt ist, und damit sollte es ja an sich funktionieren. Da das allerdings eventuell Probleme mit Heimnetzen macht, die via VPN rein wollen, würde ich in Voraussicht auf die Umstellung auf ein 10er Netz auch direkt den Vorschlag von @em-pie umsetzen, dann sollte es ja sicher funktionieren, da das quasi 1:1 das Beispiel aus deinen Beiträgen ist.

Nachtrag:
Zitat von @Ausserwoeger:

Hi

Was mir hier fehlt ist ein Backup Netz. Hast du das nur nicht gezeichnet oder ist hier keines vorhanden ?
Wie sicherst du den die Geschichte ? Stehen deine Backup Server im gleichen Netzwerk ?
Oder gibt es keine ?

LG Andy
Glatt übersehen. Ich hoffe, dass die Ausführung weiter oben aber die Anfrage ungefähr beantwortet. Veeam Server ist in einem eigenen VLAN am Standort 1 und würde auch die Dienste aus VLAN 15 sichern. Einen neuen Backup-Server hätte ich jetzt nicht aufgesetzt hierfür, außer es spricht etwas gegen meine Lösung.
Member: aqui
aqui Feb 26, 2024 updated at 16:46:44 (UTC)
Goto Top
und damit sollte es ja an sich funktionieren.
Das ist richtig. Du sprachst oben nur von einem /16er Netz am Standort was dann aus Adressierungssicht doch etwas verwirrend war.
Solange sich alle /24er Netz aber nicht überschneiden und im Gesamtnetz beider Standorte einzigartig sind ist alles wasserdicht.
Member: aqui
aqui Mar 05, 2024 at 16:55:08 (UTC)
Goto Top
Wenn es das denn nun war bitte den Thread dann auch als erledigt markieren!
How can I mark a post as solved?