kuekensabs
Goto Top

Netzwerkplanung - Hilfe gesucht

Hallo (:

ich habe mittlerweile meine Ausbildung zur Anwendungsentwicklerin hinter mir, und habe bereits ein funktionierendes Projekt für meinen Chef umgesetzt. Sammeln von Sensordaten verschiedener Lagerstandorte.

Im Kleinen, als proof of concept. Nur lokales Netzwerk mit virtuellen Maschinen.

Jetzt ist es leider so das ich kein Systemintegrator bin und mir gewisse Kenntnisse im Detail fehlen.
Ich habe so gut es geht hier Tutorials gelesen und auch schon viel verstanden aber wohl sicherlich noch nicht alles.

Also:
meine Applikation sammelt Sensordaten.
Temperatur, Luftfeuchtigkeit, Bilddaten. Je nach Sensor/Standort. Individuell.
Jeder dieser Sensoren bekommt eine IP im Netzwerk.
Diese werden per REST-API auf einem Server gespeichert.
Funktioniert prima, mit mehreren virtuellen Maschinen getestet, auch schon mit div. Raspis.

Jetzt soll das an alle Standorte gehen, großer Rollout.

Problem: ich habe von Netzwerk leider keine Profi-Ahnung. Ich würde das aber schon sehr gerne selbst machen, da es nicht zeitkritisch ist und ich auch dadurch ggf. meine Applikation besser machen könnte.

Ausgangs-Szenario:

Netzwerk Zentrale
  • VPN-Server site2site mit allen Datenspeichern und ausgewählten Clients direkt (Wartungs-Tablets)
  • Datenempfang der Sites per REST-API (Webserver)
  • Linux-Terminalserver für die Mitarbeiter vor Ort zur grafischen Auswertung oder Abfrage des Fehlerprotokolls
  • wahrscheinlich im VPN Class A (damit kein Adresskonflikt mit den anderen Netzwerken entsteht)?

Datenspeicher einer Site
  • muß an die Zentrale Daten schicken und empfangen können (gesammelte Sensor-Daten)
  • fungiert als VPN-Server und Router um so einzelnen Clients ggf. auch den direkten Datenaustausch mit dem Netzwerk der Zentrale zu ermöglichen (z.B. RDP auf den Ubuntu Server)
  • die Sites dürfen untereinander vorerst NICHT kommunizieren; vielleicht später, aber aktuell sollen bewußt alle Daten in der Zentrale gesammelt und verarbeitet werden

Sensoren
  • alle speichern Daten in ihrem eigenen Datenspeicher (Site A - Site X) klassisches Client-Server-Netzwerk
  • bekommen eigenes Class C oder B (eine Site hätte tatsächlich schon über 300 Sensoren)
  • dürfen/sollen aktuell nicht untereinander in deren Netzwerk kommunizieren können, wäre aber vielleicht für die Zukunft als Option ganz interessant (Wartungszwecke)
  • ein paar Sensoren sind per Mobilfunk angebunden, weil zu weit weg vom WLAN/Kabelnetzwerk -> brauchen also VPN-Einwahl
  • vereinzelt lokale Clients (Wartungsarbeiten; Tablets), die dann über den Datenspeicher der Site im VPN geroutet werden?
  • kein DHCP, gibt ein Installations-Script

So, ist meine Vermutung mit den Netzwerkgrößen so richtig?
Ich will aus Sicherheitsgründen die Sites untereinander auch isolieren, falls die Sensoren irgendwelche komischen Probleme machen.
Nur: wie bekomme ich das Routing im VPN hin (sowohl die Wartungs-Tablets an die Zentrale, als auch die Sites)? Das ist bisher mein größtes Verständnisproblem.

Und wie monitore ich das Ganze? (Datendurchsatz des VPN, der Sites, etc...) Bisher ist im PoC der Datendurchsatz ja minimal, aber bei der Menge an Sensoren habe ich schon die Befürchtung, das es RICHTIG viel werden kann. Das würde ich gerne irgendwie "sehen", damit ich ggf. den Datentransfer einschränken oder zeitlich verschieben kann.


Danke für euer Feedback!

Content-ID: 34251007332

Url: https://administrator.de/contentid/34251007332

Ausgedruckt am: 22.11.2024 um 09:11 Uhr

Vision2015
Vision2015 26.08.2023 um 18:01:03 Uhr
Goto Top
moin...

was ist den für Hardware vor Ort bei dir?
Firewall ist ein WAS ?
besteht den schon zu den Standorten ein VPN?

Frank
aqui
aqui 26.08.2023 aktualisiert um 19:11:39 Uhr
Goto Top
Class A
Netzwerk Klassen sind tiefstes Neandertal.
Die gibt es schon seit über 25 Jahren nicht mehr und sind längst abgeschafft. Solche Allerwelts Binsen sollte eigentlich auch eine moderne Anwendungsentwicklerin kennen... face-wink
https://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing
Vergiss diesen Klassen Unsinn also ganz schnell wieder!

Du meinst aber hoffentlich nicht das du hier mit einem /8er Präfix arbeitest, oder? Das wäre schlechtes IP Adressdesign. 🤔
Die goldene Netzwerker Regel lautet nicht mehr als 150-200 Geräte in einer Layer 2 Broadcast Domain. Gut, nun werden deine 300 Sensoren sicher nur sehr, sehr geringes Traffic Volumen erzeugen und (hoffentlich) nicht per Broad- oder Multicast kommunizieren (leider fehlt da auch die Information!) Damit kann man auch sehr wahrscheinlich 300 Endgeräte in der Konstellation in ein gemeinsames L2 Netzwerk bringen ohne segmentieren zu müssen. Ein /23er Präfix (max. 512 Endgeräte) wäre dann völlig ausreichend.
Die Kommunikation untereinander regeln die Router über ihre Firewall oder das VPN Setup.

Kollege @Vision2015 hat es schon gesagt: Leider schreibst du nicht ob dieses Netz schon besteht oder ob du grüne Wiese hast?
Wenn es Ersteres ist, dann musst du dir über IP Adressen oder Adressdesign ja keinerlei Gedanken machen und stöpselst deine Anwendung einfach an und gut iss...

Bei einer grünen Wiese solltest du dir zuallererst über die Topologie klar sein und zwingend ein IP Adresskonzept erstellen.
Das nächste wäre festzulegen welches VPN Protokoll du auf dem oder den Geräten oder Router verwendest.
Hier ist zudem die Frage zu klären ob das überhaupt sein muss, denn Zentrale und Nebenstellen besitzen vermutlich Router oder Firewalls und sollen übers Internet kommunizieren?!
Wenn ja und wenn diese die VPN Funktionen plus Firewall gleich an Bord haben wäre das sicherheitstechnisch ein deutlicher Vorteil. Oder betreibst du deine Server/Datenspeicher mit einem Bein direkt im Internet?? Sie auch Fragen des Kollegen @Vision2015 oben.
An all diesen Fragen erkennst du schon das dein Design des Gesamtnetzes nicht wirklich klar ist. Eine kleine Skizze was du planst wäre für das Verständnis sehr hilfreich.

wie bekomme ich das Routing im VPN hin
Entweder über entsprechende Router mit VPN Funktionen oder wie du selber schreibst über deine Server. Bei letzterem hast du die freie Auswahl bei den Protokollen (IPsec, OpenVPN, Wireguard etc.) Bei den Routern musst du aufs Featureset achten.
VPNs gehören bekanntlich immer auf die Peripherie. Folglich hat ein VPN Router da dann deutliche (Sicherheits)vorteile.
Und wie monitore ich das Ganze?
Dafür gibt es eine Menge freier und auch kommerzieller Tools.
  • LibreNMS
  • Observium
  • PRTG
  • Nagios
  • Zabbix
  • CheckMK
usw. usw. Die üblichen Verdächtigen.
Du hast also noch etwas detailiertere Planung vor dir. Eine gute Planung ist bekanntlich das halbe Netzwerk!😉
themuck
themuck 27.08.2023 um 13:37:48 Uhr
Goto Top
Was macht ihr denn da? Temperatur, Feuchte, Drücke, Füllstand... schicken wir in Massen über LoRa an Gateways und sammeln die Daten mit verschiedenen Servern ein. Bilder brauchen wir nicht, aber Datenschutz technisch will ich mir da den Schuh auch nicht anziehen.

An einigen Orten geht auch was über WLan + MQTT mit Eigenentwicklungen auf ESP32 basis. Wir haben dafür kein eigenes Netz aufgebaut... Bis auf das Lokale IIoT VLan.

Wir haben wegen dem "Netzwerk Problem" keine IP Sensorik verwendet. LoRa Gateway und du kannst Sensoren ohne Ende verbauen + Redundanzen wenn andere Gateways in der Ecke sind. Dazu können wir neue Sensoren verschicken und montieren lassen, ohne das dritte wieder das Netz konfigurieren müssen.
aqui
aqui 27.08.2023 um 13:41:25 Uhr
Goto Top
Wir haben wegen dem "Netzwerk Problem"
Autsch! Der Dativ ist dem Genitiv sein Tod! face-wink
ChriBo
ChriBo 27.08.2023 um 15:38:23 Uhr
Goto Top
Hallo,
das was du vorhast ist kein Zauberwerk.
Du hast ein bißchen an Info geliefert, meiner Meinung nach fehlen aber die wichtigen Infos um dir bei der Netzwerkplanung behilflich sein zu können.
-
ein paar Fragen/Hinweise von mir:
Es geht um einen Hauptstandort und um wie viele Nebenstandorte ?
Maximal wieviele Sensoren sollen pro Standort installiert werden ?
Bitte Planung/Erwartung für die nächsten 10 bis 15 Jahre machen.

Wird das Firewalling/Routing/VPN der Sensornetzwerke an der Zentrale und an den Nebenstellen mit in eine bestehende Lösung integriert oder wird es ein ganz eigenständiges System werden ?
Wer soll das Firewalling/Routing/VPN der Sensornetzwerke einrichten und betreuen ?
Meine Empfehlung an dich: Du nicht, laß es eure(n) reguläre(n) Netzwerker machen, du gibst nur die Anforderungen vor.

Nimm den oder die Netzwerker mit in die Planung.
Prüfe welche Netzwerk IP Adressen und VLANs bis jetzt an allen Standorten verwendet werden und suche dir dann einen freien Bereich den du dir für deine Sensornetzwerke verwenden kannst.

Ein Beispiel bzw. eine Möglichkeit einer IP und VLAN Vergabe ist:
VLAN 99 ist noch nicht vergeben -> Das Sensornetzwerk wird VLAN 99 (an jedem Standort !)
Der IP Adressbereich 10.99.0.0/16 (10.99.0.1 bis 10.99.254.254) bzw. Teilbereiche daraus sind noch nicht vergeben.
-> die einzelnen Sensornetzwerke kommen aus dem Bereich 10.99.0.0/16.
damit kannst du 64 Netzwerke je ca. 1000 Sensoren 10.99.0.0/22, 10.99.4.0/22 etc.)
oder 128 Netzwerke je ca 500 Sensoren (10.99.0.0/23, 10.99.2.0/23 etc.)
oder 254 Netzwerke je ca 250 Sensoren (10.99.0.0/24, 10.99.1.0/24 etc.)
oder eine Mischung daraus aufbauen.

Das sollte erstmal als Hilfestellung ausreichen.
Wie dann die VPN Verbindungen und der Datenaustausch stattfinden soll wird dann danach betrachtet und gelöst.
-
Noch ein paar Fragen zur Datensammlung und Auswertung die dann für die Client,Server,VPN Einrichtung etc. relevant werden:
Wie zeitnah müssen die Daten auf dem zentralen Server vorliegen ?
Hat jede Nebenstelle einen lokalen Server ?
Was passiert wenn die Verbindung zur Zentrale bzw. das VPN ausfällt ?
Was passiert wenn der Server in der Zentrale, bzw. ein Server in den Außenstellen ausfällt ?
Welche Zeitvorgaben bzw. Backupmöglichleiten sind vorhanden, bzw. geplant ?
etc.

Wer ist für die Netzwerkinfrastruktur für die Sensoren verantwortlich bzw. wie ist sie mit eingeplant ?
Bei ca. 300 Sensoren werden schon 6 bis 7 48-port Switche benötigt, auch diese sollten mit eingeplant werden.

Gruß
CH
CH
kuekensabs
kuekensabs 27.08.2023 aktualisiert um 18:10:31 Uhr
Goto Top
Whoa whoa whoa! DANKE für das zahlreiche Feedback.

Also, gleich vorweg: doch, ich will da schon selbst mitbestimmen. Am besten noch Hands-on.
Nur so kann man als Software-Entwickler auch die Probleme der Anderen verstehen und/oder die Anwendung besser gestalten.

Aber jetzt mal ein wenig zu den Details:
- die Software ist für einen Kunden, der mehrere Lagerstandorte hat, nach oben hin offen (Stand jetz: 5)
- die Sensoren sind überwiegend per WLAN angebunden. Ja, LoRa habe ich mir auch angesehen, ist aber für den Anwendungszweck null geeignet
- warum ich Bilder sammeln muß, wozu hat das was mit Datenschutz zu tun? Warum muß ich als Entwickler mir Gedanken machen, wenn der Kunde das in seinem Scope braucht? Seltsame Fragen hier von manchen...
- die Peripherie kann ich komplett selbst gestalten, d.h. Firewall und Co. ist ALLES noch grüne Wiese
- da ich die Vorteile von quelltextoffener Software kenne, wird es wohl openVPN oder Wireguard werden. Letzteres erscheint mir wesentlich einfacher, ich verstehe aber aufgrund mangelnden Wissens nicht die Vor- und Nachteile
- die Fragen zur Datensammlung ignoriere ich, denn das ist die Aufgabe eines Anwendungsentwicklers

Ich brauche NUR Input zum Netzwerk.

@aqui ich habe alle deine Tutorials hier gelesen und das hat mich schon um einiges schlauer gemacht (:
Das mit CIDR habe ich verstanden, mir ging es von der Beschreibung aber eher um die Einordnung der geplanten Netzwerkgrößen.
Die Sensoren senden typischerweise nur reinen Text und gelegentlich ein wenig JPEG.
Kein Broadcast, nur direkt an den Datensammel-Server des jeweiligen Netzwerkes.
Der kümmert sich dann um die Datenweitergabe an die Zentrale.

Was mir wirklich Kopfschmerzen bereitet:
- ich hätte gerne für alle Clients eine eigene IP
- da ich das Limit nicht kenne, und mich im Vorfeld auch nicht gleich einschränken will/kann... schwierig da etwas über die Netzwerkgröße zu sagen. Daher habe ich das auch gleich segmentiert mit 192.168.x.x/24 und 10.0.0.x/24.
- und wie bekomme ich das Routing im Wireguard hin? Normalerweise habe ich bei Ubuntu ja netplan, da kann ich dann die Route definieren. Muß ich das für Wireguard bei site2site auch machen? Kann ich das in Verbindung mit wireguard ui verwenden? Denn damit wäre dann einerseits die Verwaltung als auch Übersichtlichkeit gegeben.


Danke!
themuck
themuck 27.08.2023 um 19:04:33 Uhr
Goto Top
Zitat von @kuekensabs:
- warum ich Bilder sammeln muß, wozu hat das was mit Datenschutz zu tun? Warum muß ich als Entwickler mir Gedanken machen, wenn der Kunde das in seinem Scope braucht? Seltsame Fragen hier von manchen...

Wenn du als Entwicklerin Bilder, also eventuell Personenbezogene Daten machts und Transportierst, Speicherst (Bilder Lagerfläche vielleicht), und dies unverschlüsselt in deinem Stück Software von A nach B, für "jeden" zugänglich, darf sich der Kunde fragen ob das Stand der Technik ist oder nicht ;). Beziehungsweise wer für die Sicherheit der Bilder Verantwortung trägt. Und dann kommst du IHMO als Entwicklerin in frage, dein Chef, eure Datenschutzabteilung, das Vertragliche Regelwerk, der Kunde... Das wirst du aber ja alles abgeklärt haben sonst gäbe es keine Fragezeichen ;).

Wenn du das Seltsam findest OK, ist doch nur ein Freundlicher hinweise. Wenn dein Setup mit 5 Clients lüpt wirds auch mit 300 fluppen
kuekensabs
kuekensabs 27.08.2023 um 19:13:50 Uhr
Goto Top
Zitat von @themuck:

Wenn du als Entwicklerin Bilder, also eventuell Personenbezogene Daten machts und Transportierst, Speicherst (Bilder Lagerfläche vielleicht), und dies unverschlüsselt in deinem Stück Software von A nach B, für "jeden" zugänglich, darf sich der Kunde fragen ob das Stand der Technik ist oder nicht ;). Beziehungsweise wer für die Sicherheit der Bilder Verantwortung trägt. Und dann kommst du IHMO als Entwicklerin in frage, dein Chef, eure Datenschutzabteilung, das Vertragliche Regelwerk, der Kunde... Das wirst du aber ja alles abgeklärt haben sonst gäbe es keine Fragezeichen ;).

Ich verstehe noch immer nicht, warum man hier über Datenschutz diskutiert, wir sind in einem IT-Forum.
Für das andere Thema gibt es Voll-Juristen, die das studiert haben und im Notfall auch dafür haften.
Daher bitte keine weiteren sinnfreien gutgemeinten Tips zu diesem Thema, danke (:
aqui
aqui 27.08.2023 aktualisiert um 19:29:15 Uhr
Goto Top
Zumal Bilder usw. ja mit reinen Sensoren Daten soviel zu tun haben wie ein Fisch mit einem Fahrrad! Wer lesen kann...! 😉
mir ging es von der Beschreibung aber eher um die Einordnung der geplanten Netzwerkgrößen.
Dann redet man heutzutage aber niemals mehr von den Klassen aus dem neandertal sondern von Präfixes. face-wink
ich hätte gerne für alle Clients eine eigene IP
Wo ist dein Problem?!? Da hast du immer 2 Optionen:
  • Statisch zuweisen nach deinem IP Adressplan
  • Über die Mac Adresse der Clients eine Bindung auf eine feste IP im DHCP Server setzen.
Such dir das Schönste für dich aus! face-wink
und wie bekomme ich das Routing im Wireguard hin?
Wireguard läuft ja immer auf einem Router! face-wink
Merkzettel: VPN Installation mit Wireguard
Lesen und verstehen! 😉
Wireguard macht das mit seinem Cryptokey Routing alles ganz automatisch. Steht alles im obigen Tutorial!
Wenn du mit IPsec VPNs arbeiten willst machst du das mit Strongswan auf Ubuntu. Siehe zu der Thematik auch hier.
reinsle
reinsle 27.08.2023 um 19:33:38 Uhr
Goto Top
Hallo kuekensabs,

Etwas Offtopic, mich würde Interessieren, welche Sensoren du einsetzen willst.

LG

Robert
Vision2015
Vision2015 27.08.2023 um 19:35:30 Uhr
Goto Top
Moin...
Zitat von @kuekensabs:

Zitat von @themuck:

Wenn du als Entwicklerin Bilder, also eventuell Personenbezogene Daten machts und Transportierst, Speicherst (Bilder Lagerfläche vielleicht), und dies unverschlüsselt in deinem Stück Software von A nach B, für "jeden" zugänglich, darf sich der Kunde fragen ob das Stand der Technik ist oder nicht ;). Beziehungsweise wer für die Sicherheit der Bilder Verantwortung trägt. Und dann kommst du IHMO als Entwicklerin in frage, dein Chef, eure Datenschutzabteilung, das Vertragliche Regelwerk, der Kunde... Das wirst du aber ja alles abgeklärt haben sonst gäbe es keine Fragezeichen ;).

Ich verstehe noch immer nicht, warum man hier über Datenschutz diskutiert, wir sind in einem IT-Forum.
du hast ja so Recht!
mir geht das auch auf den zeiger, Datenschutz ist ja gut und schon, aber Fachlich hat das nix mit deiner Frage zu tun! das schweift gerne hier mal ab- einige meinen, nur weil sie DSGVO Lesen können, sind sie auch gleich Juristen! viel schlimmer ist allerdings, das sie immer versuchen anderen ihre meinung aufzudrängen!
mach dir nix draus, einfach ignorieren - fachlich kommt da meistens eh nix!
Für das andere Thema gibt es Voll-Juristen, die das studiert haben und im Notfall auch dafür haften.
+1
Daher bitte keine weiteren sinnfreien gutgemeinten Tips zu diesem Thema, danke (:
face-smile

Frank
kuekensabs
kuekensabs 27.08.2023 um 20:26:22 Uhr
Goto Top
Zitat von @reinsle:

Etwas Offtopic, mich würde Interessieren, welche Sensoren du einsetzen willst.

Selbstgebaut. Je nachdem wo dieser eingesetzt wird (indoor/outdoor/hohe Luftfeuchte/sehr niedrige Temperaturen/...).
Meine Hardware-Kollegen haben festgestellt das es günstiger ist, da keine Allgemeinlösung zu haben. Ist wohl kostentechnisch bei der Menge durchaus ein Faktor.