prplemk2
Goto Top

Testumgebung bauen (Grundlegend)

Hallo zusammen,

ich würde ganz gerne eine Testumgebung bauen, damit ich mich mit einigen Dingen auseinandersetzen kann.
So grundlegendes im Internet habe ich dazu leider nicht gefunden.
Folgendes würde ich ganz gern mal dort haben:

- Firewall (OpnSense)
- Monitoring (CheckMk)
- Irgendwelche Dienste die ich dann überwachen kann (Webserver z.B)
- DHCP Server
- (Clients)
- Backup Server (Veeam)


und einige Dinge...

ich will mich einfach mal grundlegend damit auseinander setzen. Das Problem ist, ich hab da noch nicht so viel Ahnung.
Wir haben noch eine Sophos SG 210 als Firewall und dort würd ich dann wahrscheinlich die OpnSense Firewall anschließen, um das Produktivnetzwerk mit dem Testnetzwerk zu trennen. Dann bräuchte ich eventuell noch ein "Managment Netzwerk" für CheckMk. Ich weiß aber einfach nicht so wirklich wie ich das so theoretisch aufbauen könnte und was ich dabei zu beachten habe zumindest das Testnetzwerk aufzustellen.

Also es wäre erstmal interessant wie man so ein Testnetzwerk sinnvoll aufbauen könnte. Vielleicht kann mir jemand da auf die Sprünge helfen face-smile

Content-ID: 669614

Url: https://administrator.de/forum/testumgebung-bauen-grundlegend-669614.html

Ausgedruckt am: 21.12.2024 um 17:12 Uhr

Kraemer
Kraemer 19.11.2024 um 15:47:48 Uhr
Goto Top
Zitat von @prplemk2:

Also es wäre erstmal interessant wie man so ein Testnetzwerk sinnvoll aufbauen könnte. Vielleicht kann mir jemand da auf die Sprünge helfen face-smile

Moin,

kommt darauf an, wie lange du testen willst. M$ hat da was kostenloses.

Da kannst du spielen, ohne was kaputt zu machen.

Gruß
prplemk2
prplemk2 19.11.2024 um 15:56:13 Uhr
Goto Top
Zitat von @Kraemer:

Zitat von @prplemk2:

Also es wäre erstmal interessant wie man so ein Testnetzwerk sinnvoll aufbauen könnte. Vielleicht kann mir jemand da auf die Sprünge helfen face-smile

Moin,

kommt darauf an, wie lange du testen willst. M$ hat da was kostenloses.


Ja naja ich glaube schon, dass das über ein längeren Zeitraum gehen wird, da CheckMk z.B echt nicht klein ist :D

Da kannst du spielen, ohne was kaputt zu machen.


Okay, allerdings würde ich es schon gern eher im Haus testen. Das mit dem nicht kaputt machen ist ein Punkt, aber es wär mir schon lieber so eine Testumgebung im Haus zu bauen. Ich will ja sowieso nur ein Plan mir machen und dann einfach mal weiter schauen

Gruß
SlainteMhath
SlainteMhath 19.11.2024 um 16:05:00 Uhr
Goto Top
Moin,

das was du aufgeführt hast sieht schon gut aus, dazu installierst du noch
Irgendwelche Dienste
[...]
und einige Dinge
und dann kannst du loslegen face-smile

lg,
Slainte
Kraemer
Kraemer 19.11.2024 um 16:07:45 Uhr
Goto Top
Kraemer 19.11.2024 um 15:47:48 Uhr
prplemk2 19.11.2024 um 15:56:13 Uhr
dauer: 8:25 Minuten

darin enthalten:
Antwort posten
gelinkte Seite lesen und verstehen.

Respekt! Dazu passt dann auch die Aussage, das checkmk nicht klein ist und der Umstand, dass du für einen Test mehr als ein Jahr ansetzt...
aqui
Lösung aqui 19.11.2024 aktualisiert um 16:14:14 Uhr
Goto Top
Ich weiß aber einfach nicht so wirklich wie ich das so theoretisch aufbauen könnte
Einfach mal die Suchfunktion benutzen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Da ist alles haarklein und leichtverständlich erklärt, zu mindestens was die einfache Netzwerk Infrastruktur anbetrifft. Mit einem alten PC und 2 NICs aus der Bastelkiste für die OPNsense und einem 20€ VLAN Switch ist das in max. 1 Stunde am Fliegen.
Der WAN Port der OPNsense rennt out of the Box schon als DHCP Client so das der in jedes beliebige bestehende Netz gesteckt werden kann und die Kiste ist sofort online.
Alles wahrlich kein Hexenwerk und riesige Designdiskussionen sind nicht erforderlich! Einfach mal anfangen und machen, der Rest ergibt sich dann ganz von selbst. face-wink
prplemk2
prplemk2 19.11.2024 um 16:15:54 Uhr
Goto Top
Ohhh okay, das sieht echt gut aus. Das schau ich mir mal an und schau anschließend wie ich das umsetzen könnte !
prplemk2
prplemk2 19.11.2024 um 16:20:36 Uhr
Goto Top
Zitat von @Kraemer:

Kraemer 19.11.2024 um 15:47:48 Uhr
prplemk2 19.11.2024 um 15:56:13 Uhr
dauer: 8:25 Minuten

darin enthalten:
Antwort posten
gelinkte Seite lesen und verstehen.

Respekt! Dazu passt dann auch die Aussage, das checkmk nicht klein ist und der Umstand, dass du für einen Test mehr als ein Jahr ansetzt...

Okay wo ist jetzt genau das Problem? Ich habe gesagt ich möchte die Umgebung hier im Haus bauen, weil ich den Lerneffekt als sinnvoller sehe. Warum sollte ich mich dann so sehr mit Azure beschäftigen? Ich habe es mir angeschaut, allerdings finde ich einfach, das es hier sinnvoller ist als mit Azure.

2tens setze ich doch jetzt keine feste Zeit, wie lange das dauert (sehe ich kein sinnvollen Grund) -> Und ein Jahr habe ich nicht festgelegt :D
nachgefragt
nachgefragt 19.11.2024 aktualisiert um 16:25:08 Uhr
Goto Top
Zitat von @prplemk2:
Vielleicht kann mir jemand da auf die Sprünge helfen face-smile
Ich finde dein Vorhaben super, gehört direkt in die Berufsschule.
pebcak7123
pebcak7123 19.11.2024 um 16:28:51 Uhr
Goto Top
Moin,
würde das vermutlich einfach direkt alles in einer virtuellen Umgebung hochziehen, Proxmox würde sich anbieten, macht es auch viel schneller / einfacher rum zu probieren dank Snapshots.
MirkoKR
Lösung MirkoKR 19.11.2024 um 16:30:31 Uhr
Goto Top
Meine Empfehlung: Step by Step dazu lernen ...

Ich gehe jetzt mal von Windows als Wunschbasis aus

Basis: Windows 10/11/20x mit reichlich RAM und schnellen SSDs, bestenfalls PCIe/NVMe - gibts auch günstige Adapter karten ...
... mehrere physische Netzwerk-Ports sind von Vorteil, aber bei Nutzung interner/privater VM-Switche nicht nötig ...

Auswahl des Hosts: Ich bevorzuge HyperV, aber auch VMWare und VirtualBox sind möglich.

1. OpnSense als VM mit
1a. NIC an VM-Switch: nur-extern zur Sophos
1b. NIC an privatem VM-Switch der Domain
1c. NIC für DMZ


2a. VM mit Domain-Controller,
2b. VM mit FileServer in der Domain.
2c. VM[s] Win10/11 Clients an die Domain einbinden.
2d. ggf. weitere WinServer mit Diensten ...

3. Wenn das rund läuft, Netzwerke, VMs und Dienste wie CheckMk einrichten und in der Firewall konfigurieren ...
... aber bis die ersten Schritte rund laufen, vergehen schon ein paar Tage, wenn man von Grund auf lernt.

Wichtig: alle HVs unterstützen "Snapshots", also eine Momentaufnahme der VMs ...
... will man was testen, bzw. ist sich unsicher: Snapshot machen und bei Bedarf dorthin zurückkehren ...

Eine schnell überlegte Empfehlung, die sicher Verbesserungspotential hat ...

Viel Erfolg.
em-pie
Lösung em-pie 19.11.2024 aktualisiert um 16:32:55 Uhr
Goto Top
Moin,

ICH würde als Testumgebung ein nahezu 1:1 Abbild der Produktivumgebung etablieren.
Wie?
Als erstes an der SG ein weiteres Interface anlegen mit einer IP (als Beispiel) 172.31.255.253/ 30
Daran schließt du deine pfSense an, welche am WAN-Port die 172.31.255.254/ 30 bekommt. Die pfSense macht NAT (ja, DoppelNAT, aber es ist eine Testumgebung). Auf der SG noch eine Firewall-Regel, dass die 172.31.255.254 nur ins WWW darf, nirgends woanders hin.

Angenommen, ihr habt bereits jetzt div. VLANs etabliert, alle z. B. < 100:
1 = Default-VLAN (bleibt als Quarantäne/ einsame Insel)
10 = Infrastruktur
11 = Backup
20 = Clients
21 = WLAN-Clients
30 = sensible Server (DCs, Mail, ...)
31 = "normale" Server
xx = ..

Dann könntest du die VLANs
1010 = Infrastruktur
1011 = Backup
1020 = Clients
1021 = WLAN-Clients
1030 = sensible Server (DCs, Mail, ...)
1031 = "normale" Server
10xx = ...
anlegen und weisst "ahh, VLAN 10xx = Testumgebung"

Danach holst du alle relevanten Server aus dem Backup in die Testumgebung zurück und kannst, dank der anderen VLANs, die IP-Netze beibehalten. Du musst nur vor dem Einschalten der Systeme die VLAN IDs anpassen. Dadurch, dass du in anderen VLANs unterwegs bist, "knallt" es nämlich nicht - sofern die pfSense überall als DefaultGateway hinterlegt ist.

Vorteil: abgekapselte Testumgebung + "Spielwiese" für die Restores, welche du dann zyklisch testen kannst
aqui
aqui 19.11.2024 aktualisiert um 16:39:17 Uhr
Goto Top
das sieht echt gut aus.
Alternativ kann man natürlich auch einen kleinen 25€ Mikrotik Router nehmen falls kein alter Bastel PC für die Firewall im Laborfundus übrig ist:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Das Konzept für so ein einfaches Testlab, wie es auch Kollege @em-pie oben beschreibt, ist ja immer das gleiche. Es gibt halt viele Wege nach Rom die ein gestandener Admin in der Infrastrukturplanung eigentlich auch kennen sollte. face-wink
potsbits
potsbits 19.11.2024 um 17:02:27 Uhr
Goto Top
Hi - Schönes Thema und sehr löblich das du es Lokal betreiben willst um den Lerneffekt zu haben.

Denke Egal ob Proxmox, HyperV oder ESXI - der Grundgedanke ist immer ähnlich.

falls du für dein Vorhaben noch ein wenig "Blech" benötigst kann ich dir (kostenlos bei Abholung) einen der folgenden Server anbieten:

- HP DL380 Gen8, 1Prozessor Intel 2680v2 mit 192GB Ram
oder
- Terra Towser Server mit 1Prozessor Intel 2667v4 und 64GB Ram

kann dir noch 300GB oder 600GB SAS Disk dazugeben - Enterprise SSDs ist leider etwas Mangel gerade - aber so 4 - 6 240GB Consumer wären noch mit drin face-wink

Abholung wäre in 89312 (falls du die nächsten Tage mal in die Richtung kommst) face-smile
Delta9
Delta9 19.11.2024 um 17:36:03 Uhr
Goto Top
Hi - Schönes Thema und sehr löblich das du es Lokal betreiben willst um den Lerneffekt zu haben.

Im Prinzip gebe ich dir bei den o.g. Themen vollkommen recht.
Wobei Testumgebungen bei Azure , AWS oder GCP zu betreiben hat auch einen Lerneffekt. Kommt sehr drauf an wo man hin will.

Oder etwas Hybrides aufbauen.

p.s. Betreibe für ein paar Applikationen ein Kubernetes-Cluster auf VMWARE, aus dem Spieltrieb heraus entstanden.
War interessant um den ganzen Stack kennen zu lernen, aber die darauf aufgesetzten Dienste und das Drumherum wie CD/CI usw bleiben da durch den Overhead des Unterbaus auf der Strecke.

Wenn ich es heute nochmal machen würde dann direkt auf Kubernetes als SaaS.

Hauptsache man beschäftigt sich mit neuen Themen, man kann nicht das falsche lernen
WoenK0
WoenK0 19.11.2024 um 19:08:50 Uhr
Goto Top
Ich glaube ich würde für die Testumgebung einfach ein Backup der Produktivumgebung nehmen und tunlichst beides voneinender physikalisch getrennt halten.
Mag etwas umständlich sein, aber mehr als Internet braucht die Testumgebung nicht und mehr als einen Konsolenzugriff braucht man nicht auf die Testumgebung.
Kommt auf die Priorisierung an...wenn erstmal darum geht das man in CheckMK fit wird und das dann später produktiv einsetzen will hätte man mit einer Kopie genug zum testen und wenn man die Tests dokumentiert auch genug Anhaltspunkte wie man schnell einen Produktivserver hochfährt.
Wenn eher um die Firewall geht würde ich wohl eher was frisches machen, damit keine Kopien von was produktiven kompromitiert werden können.

Viel Spass beim "kaputt" machen :D
prplemk2
prplemk2 20.11.2024 um 07:21:11 Uhr
Goto Top
Danke für die vielen Antworten. Da hätte ich auf alle Fälle was und was mir auch hilft face-smile
dertowa
dertowa 20.11.2024 um 12:36:06 Uhr
Goto Top
Zitat von @em-pie:

ICH würde als Testumgebung ein nahezu 1:1 Abbild der Produktivumgebung etablieren.
Wie?

Salut,
das wäre ein Traum, wie verfahrt ihr mit Lizenzsoftware?
Bei Microsoft - Servern kein Thema wenn man Datacenter nutzt, aber wie sieht es denn bei ERP-System etc. aus?

Also unsere Software macht das lizenztechnisch nicht mit. face-sad

Grüße
ToWa
Delta9
Delta9 20.11.2024 um 12:44:15 Uhr
Goto Top
Bei Microsoft - Servern kein Thema wenn man Datacenter nutzt

Aber auch nur wenn die Test-Hardware korrekt lizenziert ist oder die Testumgebung auf der gleichen Hardware wie die Produktivumgebung läuft
MirkoKR
MirkoKR 20.11.2024 um 13:18:57 Uhr
Goto Top
Naja, mit den 3x 90 Tagen Evaluation fûr Windows sollte man was erreichen können 😉
prplemk2
prplemk2 26.11.2024 um 08:25:34 Uhr
Goto Top
Ja das wäre mein Plan später dann face-smile
aqui
aqui 26.11.2024 um 09:17:07 Uhr
Goto Top