Netzwerkstruktur und Hardwareempfehlung

Mitglied: wapitifass

wapitifass (Level 1) - Jetzt verbinden

15.09.2020 um 10:21 Uhr, 517 Aufrufe, 7 Kommentare

Hallo liebes Administrator-Forum,

ich habe einen Plan für ein Netzwerk erstellt und ich habe ein paar Rückfragen. Hier erstmal der Plan:

vlan-aufbau - Klicke auf das Bild, um es zu vergrößern

  • Macht die Netzwerkaufteilung für euch auf den ersten Blick so Sinn?
  • Momentan nutzen wir eine BeIP Plus als Router. Ich würde diese jedoch gerne durch ein Moden und eine PFSense-Firewall austauschen. Es sollen sich ca. 20 Mitarbeiter gleichzeitig per VPN einwählen können. Wie leistungsstark sollte der Router daher sein? Reicht dieser hier von Netgate https://www.netgate.com/solutions/pfsense/xg-7100-1u.html ?
  • Nutzer, die sich über VPN einwählen, sollen Zugang zum SAMBA-Server (VLAN3) bekommen. Wenn ich es richtig verstanden habe ist es hier nicht sinnvoll eine DMZ für den VPN und den SAMBA-Server zu nutzen, da der Server sonst vom Intranet aus nicht erreichbar ist. Ist das richtig oder habe ich einen Denkfehler?
  • Ich wäre sehr dankbar, wenn ihr mir einen Tipp geben könnten auf welche Hardware ich bei den Switches setzen soll. Die Anforderungen stehen im Aufbau.
  • Habt ihr eine Empfehlung für WLAN-APs? Am Besten wäre PoE, Multi-SSID, VLAN, (und evtl. noch 802.1x aber kein Muss)
  • Falls euch sonst noch etwas auffällt an der Architektur. Irgendwelche Denkfehler oder ähnliches, dann immer her damit.
  • Achja, die Switches sollen mit LWL OM3 verbunden werden.

VG und vielen Dank im Voraus.
Mitglied: aqui
15.09.2020, aktualisiert um 10:51 Uhr
Macht die Netzwerkaufteilung für euch auf den ersten Blick so Sinn?
Ja, aber ist auch keine besondere Herausforderung bei solch einer banalen Struktur ! Sowas kann auch der FiSi im ersten Lehrjahr auf Anhieb.
Auffällig ist aber das es keinerlei Redundanz in dem Netz gibt. Für ein heimnetz OK, für ein Firmennetz ein NoGo !
Wie leistungsstark sollte der Router daher sein?
Unverständlich und wirr ?? Hattest du oben nicht gerade davon geredet das du eine Firewall mit einem nur Modem einsetzen willst und keinen Router ???
Solltest du damit doch die Firewall meinen reicht für 20 User ein einfaches APU 4 Board (entspricht 3100 bzw. 5100) völlig aus:
https://www.varia-store.com/de/produkt/100959-pc-engines-apu4d2-embedded ...
Alternativ eine IPU445
https://www.ipu-system.de
der Server sonst vom Intranet aus nicht erreichbar ist. Ist das richtig oder habe ich einen Denkfehler?
Das ist völliger Quatsch und ein ziemlicher Denkfehler ! DU selber als Administrator bestimmst doch die Regeln wer durch die Firewall durch darf und wer nicht. Warum sollte dann eine Regel die den Samba Zugang aus dem Intranet erlaubt auf den Server deiner Meinung nach nicht klappen ? Wenn es schon an solch einfachen Verständnisdingen scheitert solltest du dir ggf. besser Hilfe an die Hand nehmen ?!
auf welche Hardware ich bei den Switches setzen soll.
Da du keinerlei Angaben an Anforderungen machst außer: 48 Port, PoE und QoS (Zeichnung) was heute jeder beliebige Switch vom Blödmarkt kann, kannst du auch jeden beliebigen Switch vom Blödmarkt nehmen !
Relevant wäre gewesen ob du ein Layer 3 Design mit einem routenden Core Switch oder das Routing zentral auf der Firewall machen möchtest ?!
Ist es Letzteres bist du, wie immer, mit den üblichen Verdächtigen D-Link, NetGear, Zyxel oder Cisco SG220 bestens bedient !
Habt ihr eine Empfehlung für WLAN-APs?
Wird hier auch gefühlt 5 Mal die Woche gefragt. Auch hier fehlen wieder jegliche Anforderungen von dir so das du wieder alles vom Blödmarkt nehmen kannst. Eine gute Wahl ist in der Regel Mikrotik_cAP_ac sofern du einen Dual Radio AP für beide WLAN Bänder suchst. Wenn dir rein 2,4 Ghz reicht dann tut es auch ein normaler Mikrotik_cAP Ohne Anfordeurngen kannst du auch alles andere von der Stange ala TP-Link und Co nehmen solange es kein UBQT ist.
Ein Beispiel wie sowas dann mit 802.1x aussehen kann findest_du_HIER.
Falls euch sonst noch etwas auffällt an der Architektur.
Wie gesagt, das Design ist so einfach und ohne jegliche Herausforderung das es schon schwer ist dort überhaupt Fehler zu machen wenn man nicht gerade keinerlei Kenntnisse und 2 linke Hände hat. Das Einzige was auffällt ist die fehlende Redundanz !
Wie ein Netzwerk MIT Redundanz aussieht zeigt dir die folgende Skizze:
stackdesign - Klicke auf das Bild, um es zu vergrößern
die Switches sollen mit LWL OM3 verbunden werden.
Simpler Standard heutzutage... 1G oder 10G ? Bei 10G sollten die Längen dann nicht größer als 330 Meter sein !
Bitte warten ..
Mitglied: brammer
15.09.2020 um 11:10 Uhr
Hallo,

das Admin WLAN ... kann man machen, muss man aber nicht,
Als VLAN ja, als WLAN nicht....

Dafür extra AP's mit 3 SSID'S zu kaufen. oder den Zugriff auf Administrative System mit einem besseren Passwort absichern und und nur auf wenige User beschränken...
brammer
Bitte warten ..
Mitglied: aqui
15.09.2020, aktualisiert um 11:17 Uhr
Richtig ! Zudem ist es auch recht naiv zu glauben das nicht sichtbare SSIDs anscheinend sicher sind, was natürlich Blödsinn ist. Jeder WLAN_Scanner zeigt das WLAN trotzdem an wie jederman weiss.
Kollege @brammer hat hier absolut Recht. Ein AP gehört in der Tat nur per Kupfer ins Management VLAN, niemals drahtlos.
Wenn dann löst man es, wenn immer möglich, mit einem dynamischen VLANs auf Basis der Administratoren Credentials wie es HIER genau beschrieben ist. Und NICHT mit einem wilden Zoo von SSIDs.
Bitte warten ..
Mitglied: coltseavers
15.09.2020 um 11:32 Uhr
Hallo wapitifass,

generell bin ich ein Fan davon, nach Möglichkeit alles von einem Hersteller zu nehmen (natürlich nur, sofern der Hersteller alle Felder vernünftig bedienen kann). Somit umgeht man viele Fehlerquellen und muss sich auch nicht mit den vielen Eigenheiten unterschiedlicher Hersteller auseinandersetzen.

Ich selbst bin ein großer Freund von Mikrotik.
Die Kisten können so ziemlich alles, was man sich nur vorstellen kann und es gibt sie in verschiedenen Ausführungen, wobei sie sich im Wesentlichen durch unterschiedliche Anschlüsse und unterschiedliche CPU-Power unterscheiden. Somit bekommt man eigentlich für jedes Szenario (vom Home-Office bis zum kleinen Rechenzentrum) die passende Hardware.
Schön ist auch, dass die Ports immer einzeln konfigurierbar sind. Habe ich zwei Internetanbindungen nehme ich zwei Netzwerkports als Gateway, kommt irgendwann mal eine dritte Internetanbindung dazu, na dann nehme ich nen dritten Port und konfiguriere ihn als Gateway.
Bei manchen Anbietern geht sowas schonmal nicht, weil da hardwaremäßig festgelegt ist, welche Ports WAN-Interface sind und welche Switch sind.
Solche "kleinen Unterschiede" gibt es wirklich viele.
VLAN, VPN, QoS, PoE, Multi-SSID, Firewalling etc ist alles möglich und habe ich damit schon realisiert.

Einen Nachteil gibts auch: Mikrotik ist etwas speziell und man muss am Anfang schon etwas Zeit investieren, ehe man weiß, wo im System die jeweiligen Stellschrauben zu finden sind. Selbsterklärend wie Fritzbox oder Netgear ist es leider nicht, dafür können die Systeme aber auch 10x so viel und kosten dennoch vergleichsweise wenig.

Womit ich bisher immer gut gefahren bin:
Einen dicken Router mit ordentlich Power, der dann das gesamte Routing, VPN und Firewalling, Hotspotting und WLAN-Controlling, beliebig viele DHCP-Server und Adressbereiche macht usw. (Mikrotik kann das!). Bei Mikrotik ist das RouterOS schon dabei, somit habe ich nur einmalige Anschaffungskosten (keine regelmäßigen Lizenzkosten).
Als Router käme z.B. der CCR1009-7G-1C-1S+ in Frage. Davor könnte man noch nen Switch setzen, der den Router entlastet, damit nicht sämtlicher Traffic durch die CPU des Routers gehen muss, der gar nicht geroutet werden braucht - z.B. Backup vom Server aufs NAS etc.
Die restlichen Komponenten sind dann einfach nur normale Switches.
48 Ports plus 4x 10GBit/s: CRS354-48G-4S+2Q+RM
oder gleiche Kiste mit POE: CRS354-48P-4S+2Q+RM

24 Ports mit PoE: CRS328-24P-4S+RM

Mikrotik hat auch ne Schwachstelle: das WLAN.
Möchte man 20 oder 50 Clients an einigen Accesspoints mit unterschiedlichen SSIDs betreiben, so ist Mikrotik vollkommen ausreichend.
(Man kann damit auch leicht ein Hotspot-System betreiben, wo sich Besucher nach Abnicken der Nutzungsbedingungen ins Gäste-WLAN einklinken können - auch das ist ohne Zusatzkosten realisierbar).
Der "hAP ac" wäre dafür ein guter Accesspoint - dieser ist WLAN-technisch noch etwas besser als der vom Vorredner empfohlene "cAP ac".

Man kann auch mehrere APs installieren und der Hauptrouter übernimmt dann das WLAN-Controlling, das Aufteilen der Clients auf die zur Verfügung stehenden APs und den Wechsel eines Clients von einem AP zum nächsten, wenn der Client sich bewegt usw.
Wenn ich jedoch in den Bereich von mehreren Hundert WLAN-Usern komme, dann sollte man besser zu Ubiquiti oder Ruckus o.ä. greifen, aber vermutlich brauchst Du das derzeit nicht, wenn ich Dein Setup richtig deute.

Bei weiteren Fragen zu Mikrotik schreib mich gerne an.

Gruß,
Colt
Bitte warten ..
Mitglied: NetzwerkDude
15.09.2020 um 12:01 Uhr
Schonmal löblich das Netz zu segmentieren mit VLANs - die Frage ist: Wer übernimmt das Routing? Und gibts eine Firewall zwischen den VLANs? Weil ohne Firewall ist auch der segmentierungsvorteil gering.

Die Wahl der Netze könnte auch Problematisch für VPN werden, denn 192.168.[0-10].X haben die leute auch gerne auf dem Heimrouter.

Ansonsten Samba Server in eine DMZ - warum nicht, wobei wie oben gesagt, man müsste das sonstige Firewallkonzept anschauen.
Bitte warten ..
Mitglied: SeaStorm
15.09.2020 um 12:54 Uhr
Hi

neben dem was die Kollegen schon gesagt haben sei der Hinweis erlaubt das du von 192.168. Netzen besser die Finger lassen solltest, weil diese Netze daheim schon von den meisten Routern vergeben werden. Wenn sich jemand von seinem Homeoffice per VPN einwählt, dann hat er z.B die 192.168.2.10 in seinem Heimnetz und will dann auf seinen Client im Office verbinden, der die 192.168.2.55 hat. Happy routing! Lässt sich zwar lösen, ist aber Mist. Lieber gleich die Office Netze in 10.xx oder 172.16.xx Bereich ansiedeln.
Bitte warten ..
Mitglied: aqui
15.09.2020, aktualisiert um 14:17 Uhr
Weil ohne Firewall ist auch der segmentierungsvorteil gering.
Jein und kann man so pauschal nicht sagen. Es geht bei der Segmentierung primär erstmal um die Reduzierung der Broad- und Multicast Last in den L2 Segmenten und erst im zweiten Schritt um die mögliche Security.
OK, je nach Sicherheits Policy mag das auch genau andersrum sein, keine Frage. Ganz besonders bei Gäste Netzen usw. die eine höhere Absicherung zwingend erfordern.
Jeder gute Layer 3 Switch supportet heutzutage IP Access Listen. Die vom Kollegen @coltseavers oben geannten Mikrotiks sogar mit einer kompletten Firewall gleich an Bord. Das Security Argument kommt also bei einem L3 Switch auch nicht zu kurz wenn man den richtigen verwendet.
Gleiches gilt natürlich auch für den richtigen Einwand des Kollegen @SeaStorm zu einer vernünftigen und intelligenten IP Adressierung. Auch hier ganz besonders wenn es um remoten VPN Zugang geht. Siehe dazu auch hier.
Bitte warten ..
Heiß diskutierte Inhalte
Switche und Hubs
Kaufberatung (10G) Switche für Unternehmensnetzwerk
ipzipzapFrageSwitche und Hubs27 Kommentare

Moin, unsere Firma zieht um und am neu renovierten Standort muss/soll alles neu. Auf drei Etagen stehen Racks, in ...

Drucker und Scanner
Vorlage Endlospapier Nadeldrucker
Hanspeter82FrageDrucker und Scanner17 Kommentare

Hallo, hab die Aufagbe bekommen, eine Vorlage zuerstellen bzgl. Druck auf Endlos Papier über einen Nadeldrucker. Habe allerdings kein ...

Exchange Server
Primäre Mailadresse auf Kleinbuchstaben anpassen
JoergDdorfFrageExchange Server16 Kommentare

Hallo Alle, wir betreiben ein Exchange Hybrid (2016/365). Ich stehe vor dem Problem, dass ich die bestehenden primären Mailadresse ...

LAN, WAN, Wireless
2 Lan Dosen (Unterputz) miteinander Verbinden
gelöst RickHHFrageLAN, WAN, Wireless12 Kommentare

Moin zusammen, ich würde mir gerne auf dem Dachboden 2 Landosen in einen Raum Bauen. Ein Netzwerkkabel geht hoch, ...

Windows Userverwaltung
Active Directory Gruppen auslesen
gelöst MMaiwaldFrageWindows Userverwaltung12 Kommentare

Guten Abend, ich habe mir das Codeschnipsel geschnappt und möchte dieses noch erweitern. Dazu möchte ich noch die Beschreibung ...

Windows Netzwerk
Tool zum prüfen ob Gerät noch online ist
Ringi1970FrageWindows Netzwerk10 Kommentare

Hallo zusammen, ich suche nach einer Freeware, die mir bestimmte Geräte / Workstations (Windows Geräte, feste IP Adressen) prüft ...

Ähnliche Inhalte
Server-Hardware

Bitte Hardwareempfehlung für Workstation

MaBa01FrageServer-Hardware15 Kommentare

Hallo, ich würde mir gerne eine Workstation zulegen und bräuchte eine Hardwareempfehlung von Euch. Auf der Workstation möchte ich ...

Netzwerke

Hardwareempfehlung TKom VDSL 50

TheSvenFrageNetzwerke10 Kommentare

Hallo Leute Dies ist mein erster Beitrag bei euch und ich bräuchte leider gleich ein paar Empfehlungen für hardware. ...

Server-Hardware

Server Hardwareempfehlung für Projekt

gelöst heax22FrageServer-Hardware12 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer geeigneten Server Plattform um unter Hyper-V einen virtuellen Server 2016 ...

Server-Hardware

Hardwareempfehlung für KVM+Div. Anwendungen

gelöst CaptainDuskyFrageServer-Hardware2 Kommentare

Guten Tag, ich möchte mir hier einen Server hinstellen und bin über dessen Hardwareanforderungen etwas unsicher. Aufsetzen möchte ich ...

Netzwerkmanagement

Netzwerkstruktur Studentenwohnheim 100 Personen

gelöst KanieeFrageNetzwerkmanagement13 Kommentare

Hallo liebe Community, ich wohne mit ca. 100 weiteren Studenten in einem Studentenwohnheim, das von einem Verein getragen wird. ...

Netzwerke

Netzwerkstruktur für Zuhause 1Anschluss 2 Netze

142271FrageNetzwerke27 Kommentare

Hallo liebes Forum, Ich hätte da mal eine Frage an die Profis. Bei uns liegt ein DSL Anschluss im ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT