14
Testumgebung bauen (Grundlegend)
Hallo zusammen,
ich würde ganz gerne eine Testumgebung bauen, damit ich mich mit einigen Dingen auseinandersetzen kann.
So grundlegendes im Internet habe ich dazu leider nicht gefunden.
Folgendes würde ich ganz gern mal dort haben:
- Firewall (OpnSense)
- Monitoring (CheckMk)
- Irgendwelche Dienste die ich dann überwachen kann (Webserver z.B)
- DHCP Server
- (Clients)
- Backup Server (Veeam)
und einige Dinge...
ich will mich einfach mal grundlegend damit auseinander setzen. Das Problem ist, ich hab da noch nicht so viel Ahnung.
Wir haben noch eine Sophos SG 210 als Firewall und dort würd ich dann wahrscheinlich die OpnSense Firewall anschließen, um das Produktivnetzwerk mit dem Testnetzwerk zu trennen. Dann bräuchte ich eventuell noch ein "Managment Netzwerk" für CheckMk. Ich weiß aber einfach nicht so wirklich wie ich das so theoretisch aufbauen könnte und was ich dabei zu beachten habe zumindest das Testnetzwerk aufzustellen.
Also es wäre erstmal interessant wie man so ein Testnetzwerk sinnvoll aufbauen könnte. Vielleicht kann mir jemand da auf die Sprünge helfen
ich würde ganz gerne eine Testumgebung bauen, damit ich mich mit einigen Dingen auseinandersetzen kann.
So grundlegendes im Internet habe ich dazu leider nicht gefunden.
Folgendes würde ich ganz gern mal dort haben:
- Firewall (OpnSense)
- Monitoring (CheckMk)
- Irgendwelche Dienste die ich dann überwachen kann (Webserver z.B)
- DHCP Server
- (Clients)
- Backup Server (Veeam)
und einige Dinge...
ich will mich einfach mal grundlegend damit auseinander setzen. Das Problem ist, ich hab da noch nicht so viel Ahnung.
Wir haben noch eine Sophos SG 210 als Firewall und dort würd ich dann wahrscheinlich die OpnSense Firewall anschließen, um das Produktivnetzwerk mit dem Testnetzwerk zu trennen. Dann bräuchte ich eventuell noch ein "Managment Netzwerk" für CheckMk. Ich weiß aber einfach nicht so wirklich wie ich das so theoretisch aufbauen könnte und was ich dabei zu beachten habe zumindest das Testnetzwerk aufzustellen.
Also es wäre erstmal interessant wie man so ein Testnetzwerk sinnvoll aufbauen könnte. Vielleicht kann mir jemand da auf die Sprünge helfen
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669614
Url: https://administrator.de/contentid/669614
Ausgedruckt am: 19.11.2024 um 16:11 Uhr
14 Kommentare
Neuester Kommentar
Zitat von @prplemk2:
Also es wäre erstmal interessant wie man so ein Testnetzwerk sinnvoll aufbauen könnte. Vielleicht kann mir jemand da auf die Sprünge helfen
Also es wäre erstmal interessant wie man so ein Testnetzwerk sinnvoll aufbauen könnte. Vielleicht kann mir jemand da auf die Sprünge helfen
Moin,
kommt darauf an, wie lange du testen willst. M$ hat da was kostenloses.
Da kannst du spielen, ohne was kaputt zu machen.
Gruß
1
Zitat von @Kraemer:
Moin,
kommt darauf an, wie lange du testen willst. M$ hat da was kostenloses.
Zitat von @prplemk2:
Also es wäre erstmal interessant wie man so ein Testnetzwerk sinnvoll aufbauen könnte. Vielleicht kann mir jemand da auf die Sprünge helfen
Also es wäre erstmal interessant wie man so ein Testnetzwerk sinnvoll aufbauen könnte. Vielleicht kann mir jemand da auf die Sprünge helfen
Moin,
kommt darauf an, wie lange du testen willst. M$ hat da was kostenloses.
Ja naja ich glaube schon, dass das über ein längeren Zeitraum gehen wird, da CheckMk z.B echt nicht klein ist :D
Da kannst du spielen, ohne was kaputt zu machen.
Okay, allerdings würde ich es schon gern eher im Haus testen. Das mit dem nicht kaputt machen ist ein Punkt, aber es wär mir schon lieber so eine Testumgebung im Haus zu bauen. Ich will ja sowieso nur ein Plan mir machen und dann einfach mal weiter schauen
Gruß
Moin,
das was du aufgeführt hast sieht schon gut aus, dazu installierst du noch
lg,
Slainte
das was du aufgeführt hast sieht schon gut aus, dazu installierst du noch
Irgendwelche Dienste
[...]und einige Dinge
und dann kannst du loslegen lg,
Slainte
2
Kraemer 19.11.2024 um 15:47:48 Uhr
prplemk2 19.11.2024 um 15:56:13 Uhr
dauer: 8:25 Minuten
darin enthalten:
Antwort posten
gelinkte Seite lesen und verstehen.
Respekt! Dazu passt dann auch die Aussage, das checkmk nicht klein ist und der Umstand, dass du für einen Test mehr als ein Jahr ansetzt...
prplemk2 19.11.2024 um 15:56:13 Uhr
dauer: 8:25 Minuten
darin enthalten:
Antwort posten
gelinkte Seite lesen und verstehen.
Respekt! Dazu passt dann auch die Aussage, das checkmk nicht klein ist und der Umstand, dass du für einen Test mehr als ein Jahr ansetzt...
Ich weiß aber einfach nicht so wirklich wie ich das so theoretisch aufbauen könnte
Einfach mal die Suchfunktion benutzen:VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Da ist alles haarklein und leichtverständlich erklärt, zu mindestens was die einfache Netzwerk Infrastruktur anbetrifft. Mit einem alten PC und 2 NICs aus der Bastelkiste für die OPNsense und einem 20€ VLAN Switch ist das in max. 1 Stunde am Fliegen.
Der WAN Port der OPNsense rennt out of the Box schon als DHCP Client so das der in jedes beliebige bestehende Netz gesteckt werden kann und die Kiste ist sofort online.
Alles wahrlich kein Hexenwerk und riesige Designdiskussionen sind nicht erforderlich! Einfach mal anfangen und machen, der Rest ergibt sich dann ganz von selbst.
1
Ohhh okay, das sieht echt gut aus. Das schau ich mir mal an und schau anschließend wie ich das umsetzen könnte !
Zitat von @Kraemer:
Kraemer 19.11.2024 um 15:47:48 Uhr
prplemk2 19.11.2024 um 15:56:13 Uhr
dauer: 8:25 Minuten
darin enthalten:
Antwort posten
gelinkte Seite lesen und verstehen.
Respekt! Dazu passt dann auch die Aussage, das checkmk nicht klein ist und der Umstand, dass du für einen Test mehr als ein Jahr ansetzt...
Kraemer 19.11.2024 um 15:47:48 Uhr
prplemk2 19.11.2024 um 15:56:13 Uhr
dauer: 8:25 Minuten
darin enthalten:
Antwort posten
gelinkte Seite lesen und verstehen.
Respekt! Dazu passt dann auch die Aussage, das checkmk nicht klein ist und der Umstand, dass du für einen Test mehr als ein Jahr ansetzt...
Okay wo ist jetzt genau das Problem? Ich habe gesagt ich möchte die Umgebung hier im Haus bauen, weil ich den Lerneffekt als sinnvoller sehe. Warum sollte ich mich dann so sehr mit Azure beschäftigen? Ich habe es mir angeschaut, allerdings finde ich einfach, das es hier sinnvoller ist als mit Azure.
2tens setze ich doch jetzt keine feste Zeit, wie lange das dauert (sehe ich kein sinnvollen Grund) -> Und ein Jahr habe ich nicht festgelegt :D
Ich finde dein Vorhaben super, gehört direkt in die Berufsschule.
- OPNsense macht u.a. DHCP
- Zabbix und Observium/LibreNMS sind interessant als Monitoring
- Virtualisierung mit Proxmox, Sicherung mit Proxmox Backup (um Veeam Lizenzkosten zu sparen)
- manageengine bis 25 Client könnte dir auch gefallen https://www.manageengine.de/produkte-loesungen/desktop-mobile-devices/en ...
Moin,
würde das vermutlich einfach direkt alles in einer virtuellen Umgebung hochziehen, Proxmox würde sich anbieten, macht es auch viel schneller / einfacher rum zu probieren dank Snapshots.
würde das vermutlich einfach direkt alles in einer virtuellen Umgebung hochziehen, Proxmox würde sich anbieten, macht es auch viel schneller / einfacher rum zu probieren dank Snapshots.
Meine Empfehlung: Step by Step dazu lernen ...
Ich gehe jetzt mal von Windows als Wunschbasis aus
Basis: Windows 10/11/20x mit reichlich RAM und schnellen SSDs, bestenfalls PCIe/NVMe - gibts auch günstige Adapter karten ...
... mehrere physische Netzwerk-Ports sind von Vorteil, aber bei Nutzung interner/privater VM-Switche nicht nötig ...
Auswahl des Hosts: Ich bevorzuge HyperV, aber auch VMWare und VirtualBox sind möglich.
1. OpnSense als VM mit
1a. NIC an VM-Switch: nur-extern zur Sophos
1b. NIC an privatem VM-Switch der Domain
1c. NIC für DMZ
2a. VM mit Domain-Controller,
2b. VM mit FileServer in der Domain.
2c. VM[s] Win10/11 Clients an die Domain einbinden.
2d. ggf. weitere WinServer mit Diensten ...
3. Wenn das rund läuft, Netzwerke, VMs und Dienste wie CheckMk einrichten und in der Firewall konfigurieren ...
... aber bis die ersten Schritte rund laufen, vergehen schon ein paar Tage, wenn man von Grund auf lernt.
Wichtig: alle HVs unterstützen "Snapshots", also eine Momentaufnahme der VMs ...
... will man was testen, bzw. ist sich unsicher: Snapshot machen und bei Bedarf dorthin zurückkehren ...
Eine schnell überlegte Empfehlung, die sicher Verbesserungspotential hat ...
Viel Erfolg.
Ich gehe jetzt mal von Windows als Wunschbasis aus
Basis: Windows 10/11/20x mit reichlich RAM und schnellen SSDs, bestenfalls PCIe/NVMe - gibts auch günstige Adapter karten ...
... mehrere physische Netzwerk-Ports sind von Vorteil, aber bei Nutzung interner/privater VM-Switche nicht nötig ...
Auswahl des Hosts: Ich bevorzuge HyperV, aber auch VMWare und VirtualBox sind möglich.
1. OpnSense als VM mit
1a. NIC an VM-Switch: nur-extern zur Sophos
1b. NIC an privatem VM-Switch der Domain
1c. NIC für DMZ
2a. VM mit Domain-Controller,
2b. VM mit FileServer in der Domain.
2c. VM[s] Win10/11 Clients an die Domain einbinden.
2d. ggf. weitere WinServer mit Diensten ...
3. Wenn das rund läuft, Netzwerke, VMs und Dienste wie CheckMk einrichten und in der Firewall konfigurieren ...
... aber bis die ersten Schritte rund laufen, vergehen schon ein paar Tage, wenn man von Grund auf lernt.
Wichtig: alle HVs unterstützen "Snapshots", also eine Momentaufnahme der VMs ...
... will man was testen, bzw. ist sich unsicher: Snapshot machen und bei Bedarf dorthin zurückkehren ...
Eine schnell überlegte Empfehlung, die sicher Verbesserungspotential hat ...
Viel Erfolg.
1
Moin,
ICH würde als Testumgebung ein nahezu 1:1 Abbild der Produktivumgebung etablieren.
Wie?
Als erstes an der SG ein weiteres Interface anlegen mit einer IP (als Beispiel) 172.31.255.253/ 30
Daran schließt du deine pfSense an, welche am WAN-Port die 172.31.255.254/ 30 bekommt. Die pfSense macht NAT (ja, DoppelNAT, aber es ist eine Testumgebung). Auf der SG noch eine Firewall-Regel, dass die 172.31.255.254 nur ins WWW darf, nirgends woanders hin.
Angenommen, ihr habt bereits jetzt div. VLANs etabliert, alle z. B. < 100:
1 = Default-VLAN (bleibt als Quarantäne/ einsame Insel)
10 = Infrastruktur
11 = Backup
20 = Clients
21 = WLAN-Clients
30 = sensible Server (DCs, Mail, ...)
31 = "normale" Server
xx = ..
Dann könntest du die VLANs
1010 = Infrastruktur
1011 = Backup
1020 = Clients
1021 = WLAN-Clients
1030 = sensible Server (DCs, Mail, ...)
1031 = "normale" Server
10xx = ...
anlegen und weisst "ahh, VLAN 10xx = Testumgebung"
Danach holst du alle relevanten Server aus dem Backup in die Testumgebung zurück und kannst, dank der anderen VLANs, die IP-Netze beibehalten. Du musst nur vor dem Einschalten der Systeme die VLAN IDs anpassen. Dadurch, dass du in anderen VLANs unterwegs bist, "knallt" es nämlich nicht - sofern die pfSense überall als DefaultGateway hinterlegt ist.
Vorteil: abgekapselte Testumgebung + "Spielwiese" für die Restores, welche du dann zyklisch testen kannst
ICH würde als Testumgebung ein nahezu 1:1 Abbild der Produktivumgebung etablieren.
Wie?
Als erstes an der SG ein weiteres Interface anlegen mit einer IP (als Beispiel) 172.31.255.253/ 30
Daran schließt du deine pfSense an, welche am WAN-Port die 172.31.255.254/ 30 bekommt. Die pfSense macht NAT (ja, DoppelNAT, aber es ist eine Testumgebung). Auf der SG noch eine Firewall-Regel, dass die 172.31.255.254 nur ins WWW darf, nirgends woanders hin.
Angenommen, ihr habt bereits jetzt div. VLANs etabliert, alle z. B. < 100:
1 = Default-VLAN (bleibt als Quarantäne/ einsame Insel)
10 = Infrastruktur
11 = Backup
20 = Clients
21 = WLAN-Clients
30 = sensible Server (DCs, Mail, ...)
31 = "normale" Server
xx = ..
Dann könntest du die VLANs
1010 = Infrastruktur
1011 = Backup
1020 = Clients
1021 = WLAN-Clients
1030 = sensible Server (DCs, Mail, ...)
1031 = "normale" Server
10xx = ...
anlegen und weisst "ahh, VLAN 10xx = Testumgebung"
Danach holst du alle relevanten Server aus dem Backup in die Testumgebung zurück und kannst, dank der anderen VLANs, die IP-Netze beibehalten. Du musst nur vor dem Einschalten der Systeme die VLAN IDs anpassen. Dadurch, dass du in anderen VLANs unterwegs bist, "knallt" es nämlich nicht - sofern die pfSense überall als DefaultGateway hinterlegt ist.
Vorteil: abgekapselte Testumgebung + "Spielwiese" für die Restores, welche du dann zyklisch testen kannst
1das sieht echt gut aus.
Alternativ kann man natürlich auch einen kleinen 25€ Mikrotik Router nehmen falls kein alter Bastel PC für die Firewall im Laborfundus übrig ist:Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Das Konzept für so ein einfaches Testlab, wie es auch Kollege @em-pie oben beschreibt, ist ja immer das gleiche. Es gibt halt viele Wege nach Rom die ein gestandener Admin in der Infrastrukturplanung eigentlich auch kennen sollte.
Hi - Schönes Thema und sehr löblich das du es Lokal betreiben willst um den Lerneffekt zu haben.
Denke Egal ob Proxmox, HyperV oder ESXI - der Grundgedanke ist immer ähnlich.
falls du für dein Vorhaben noch ein wenig "Blech" benötigst kann ich dir (kostenlos bei Abholung) einen der folgenden Server anbieten:
- HP DL380 Gen8, 1Prozessor Intel 2680v2 mit 192GB Ram
oder
- Terra Towser Server mit 1Prozessor Intel 2667v4 und 64GB Ram
kann dir noch 300GB oder 600GB SAS Disk dazugeben - Enterprise SSDs ist leider etwas Mangel gerade - aber so 4 - 6 240GB Consumer wären noch mit drin
Abholung wäre in 89312 (falls du die nächsten Tage mal in die Richtung kommst)
Denke Egal ob Proxmox, HyperV oder ESXI - der Grundgedanke ist immer ähnlich.
falls du für dein Vorhaben noch ein wenig "Blech" benötigst kann ich dir (kostenlos bei Abholung) einen der folgenden Server anbieten:
- HP DL380 Gen8, 1Prozessor Intel 2680v2 mit 192GB Ram
oder
- Terra Towser Server mit 1Prozessor Intel 2667v4 und 64GB Ram
kann dir noch 300GB oder 600GB SAS Disk dazugeben - Enterprise SSDs ist leider etwas Mangel gerade - aber so 4 - 6 240GB Consumer wären noch mit drin
Abholung wäre in 89312 (falls du die nächsten Tage mal in die Richtung kommst)
Hi - Schönes Thema und sehr löblich das du es Lokal betreiben willst um den Lerneffekt zu haben.
Im Prinzip gebe ich dir bei den o.g. Themen vollkommen recht.
Wobei Testumgebungen bei Azure , AWS oder GCP zu betreiben hat auch einen Lerneffekt. Kommt sehr drauf an wo man hin will.
Oder etwas Hybrides aufbauen.
p.s. Betreibe für ein paar Applikationen ein Kubernetes-Cluster auf VMWARE, aus dem Spieltrieb heraus entstanden.
War interessant um den ganzen Stack kennen zu lernen, aber die darauf aufgesetzten Dienste und das Drumherum wie CD/CI usw bleiben da durch den Overhead des Unterbaus auf der Strecke.
Wenn ich es heute nochmal machen würde dann direkt auf Kubernetes als SaaS.
Hauptsache man beschäftigt sich mit neuen Themen, man kann nicht das falsche lernen
