eschi0941
Goto Top

Verschüsselter Traffic zwischen zwei Gebäuden mit provisorischer Verkabelung

Hallo Leute,

ich bin neu hier, versuche aber trotzdem meine Frage so detailliert wie möglich zu stellen, um euch keinen großen Aufwand zu machen:

Mir ist auch bewusst, dass die aktuelle Lösung, welche ich euch gleich schildern werde, alles andere als schön ist. Diese Lösung ist allerdings, wie im Betreff erwähnt, nur provisorisch und wird in ein bis zwei Monaten wieder abgeschafft!

Aufgrund von Platzmangel im aktuellen Gebäude hat mein Unternehmen eine Wohnung im Wohnhaus nebenan gemietet.
Dort sitzen nun ein paar Leute und brauchen natürlich Netzwerkzugriff.
Als Notlösung haben wir nun über das Fenster vom Netzwerkraum ein langes Netzwerkkabel zum Fenster der angemieteten Wohnung geworfen. Dabei handelt es sich um ca. 20 m Luftlinie (das Kabel ist mit einem Nylongeflecht verstärkt und wurde anständig fixiert).

Die Verkabelung stellt sich wie folgt dar:

FortiGate 80E Firewall (Firmengebäude) |---------------------------------| unmanaged Switch (gemietete Wohnung)

Das Kabel hängt zwar im 3. Stock und ist eigentlich mehr als schwierig zu erreichen, allerdings würde ich hier gerne den über das Kabel laufenden Traffic verschlüsseln, da es sich um sehr geheime Daten handelt. Dies wünscht sich der Geschäftsführer ausdrücklich.

Nun meine (mehr als plumpe) Frage:
Wie mache ich das am Besten?

  • weitere Firewall in der gemieteten Wohnung? (hier hätte ich eine FortiGate 60D auf Lager)
  • * wenn ja, wie? (IPsec? geht das überhaupt über ein Ethernet-Kabel zwischen zwei Firewalls)
  • Sonstige Ideen?

Entschuldigt meine Unwissenheit. Ich habe mich leider nie mit Verschlüsselung, Firewall, IPsec, VPN o.ä. befasst und mein Grundwissen beschränkt sich darauf, zu wissen, was was ist face-big-smile .

Wie gesagt, es handelt sich hier um eine sehr kurzfristige Lösung, die Zeit bis zum Umzug muss leider so überbrückt werden. Leider gibt es keine anderen Optionen wie z. B. ein eigener DSL-Anschluss mit IPsec-fähigen Router o. ä.

Hoffentlich konnte ich die aktuelle Umgebung einigermaßen gut erklären und ihr versteht mein Problem.
Ich wäre sehr dankbar für hilfreiche Ideen und eventuelle Links.

Bitte seht von Kommentaren zu der "Affenschaukel" ab, mir is diese grausame Situation mehr als bewusst face-big-smile .

Vielen Dank und einen wunderschönen Tag.

Grüße, Eschi

Content-Key: 448790

Url: https://administrator.de/contentid/448790

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 08.05.2019 um 13:53:27 Uhr
Goto Top
Zitat von @eschi0941:

Wie mache ich das am Besten?

  • weitere Firewall in der gemieteten Wohnung? (hier hätte ich eine FortiGate 60D auf Lager)

ja.

* * wenn ja, wie? (IPsec? geht das überhaupt über ein Ethernet-Kabel zwischen zwei Firewalls)

Einfach VPN konfigurieren.

Ja.

* Sonstige Ideen?

Glasfaserkabel nehmen. Das ist keine Sendeantenne.

lks
Mitglied: maretz
maretz 08.05.2019 um 13:57:24 Uhr
Goto Top
Nun - eine Feuerversicherung abschliessen wäre das erste -> da du vermutlich keine Potentialausgleich gemacht hast. Alternativ wenigstens Glasfaser nehmen....

Wenn du das verschlüsseln willst nimm halt 2 router und das wan-interface auf static IP -> dann nen VPN aufbauen, fertig...
Mitglied: lcer00
lcer00 08.05.2019 um 14:16:03 Uhr
Goto Top
Hallo,
Zitat von @maretz:

Nun - eine Feuerversicherung abschliessen wäre das erste -

… ist für beide Gebäude erforderlich. face-smile


Grüße


lcer
Mitglied: Pjordorf
Pjordorf 08.05.2019 um 14:28:13 Uhr
Goto Top
Hallo,

Zitat von @eschi0941:
Mir ist auch bewusst, dass die aktuelle Lösung, welche ich euch gleich schildern werde, alles andere als schön ist.
Dann lass drüberstreichen

Diese Lösung ist allerdings, wie im Betreff erwähnt, nur provisorisch und wird in ein bis zwei Monaten wieder abgeschafft!
Und der Blitzeinschlag kümmert sich nicht drum ob es ein provisorium ist oder nicht. Der braucht nur 1/100 Sekunde. Und frag mal euren Elektriker ob getrennte Betriebserden existieren und ob er dann sich hintstellt und die Verantwortung übernimmt? Nimm Glasfaser und Wandler, dann gibt es wohl keine Probleme mit der Feuerversichrung eures Unternehmens. Und der Elektriker ist wieder eurer Freund. Oder zumindest ein Gelb/Rotes Schild dranmachenwo drauf steht was der Blitz darf und was nicht. Wenn du Pech hast ist eue neue Mitarbeiterin dann nicht gegrillt. face-smile

Als Notlösung haben wir nun über das Fenster vom Netzwerkraum ein langes Netzwerkkabel zum Fenster der angemieteten Wohnung geworfen. Dabei handelt es sich um ca. 20 m Luftlinie
Also eine Antenne gebaut.

(das Kabel ist mit einem Nylongeflecht verstärkt und wurde anständig fixiert).
Das ändert nichts am Sachverhalt

Das Kabel hängt zwar im 3. Stock und ist eigentlich mehr als schwierig zu erreichen, allerdings würde ich hier gerne den über das Kabel laufenden Traffic verschlüsseln, da es sich um sehr geheime Daten handelt. Dies wünscht sich der Geschäftsführer ausdrücklich.
Aber die Sicherheit der Firma und Personen ist unwichtig, oder?

Wie mache ich das am Besten?
Gar Nicht. Glasfaser oder Funk

Bitte seht von Kommentaren zu der "Affenschaukel" ab, mir is diese grausame Situation mehr als bewusst face-big-smile .
Warum baust du dann eine?

Gruß,
Peter
Mitglied: itisnapanto
itisnapanto 08.05.2019 um 14:39:53 Uhr
Goto Top
Moin,

Würde ein Kunststoff Trageseil zwischen den Gebäuden spannen und dann wie andere schon beschrieben ein Glasfaserkabel verwenden.
Sofern Verschlüsselung dann wirklich nötig >>> VPN.

Gruss
Mitglied: aqui
aqui 08.05.2019 aktualisiert um 17:37:25 Uhr
Goto Top
Wie mache ich das am Besten?
Da gibt es 2 sehr einfache Optionen mit denen sich das im Handumdrehen lösen lässt:
  • 1.) Du beschaffst dir auf beiden Seiten einen LAN Switch der das MacSec Feature supportet. Aktivierst MacSec auf dem "Nylon Link" ins andere Haus und fertig ist der Lack.
  • 2.) Du nimmst die 2te Firewall aus dem Fundus und baust einen IPsec Tunnel zwischen den beiden Netzen.
Sicher sind beide.
Lösung 1 hat den Nachteil das du neue HW beschaffen musst, denn mit einem ungemanagten Dummswitch geht das natürlich nicht. Sowas tut natürlich immer weh wenns ans Portemonaie geht.

Deshalb ist Lösung 2 für dich die ökonomisch bessere natürlich. Gerade wenn du noch eine 2te Firewall zur Hand hast ist das ja im Handumdrehen umgesetzt. Den Weg solltest du also gehen.
Nur hier musst du natürlich beachten das du dann routen musst zwischen den beiden Netzen. Das "Wohnungsnetz" darf also nicht die gleiche Netzwerk Adresse haben wie das im Firmengebäude. Guckst du auch hier !
Aber das ist ja mehr oder minder nur ein lächerliches kosmetisches Problem. Zumal dort ja auch nur eine Handvoll User sitzen.
IPsec? geht das überhaupt über ein Ethernet-Kabel zwischen zwei Firewalls
Natürlich ! Warum sollte es nicht gehen deiner Meinung nach ? Das ist ja stinknormales TCP/IP. Das ginge sogar über einen feuchten Bindfaden wenn der IP sprechen kann !
Diese Frage zeigt allerdings das du vermutlich nicht der Richtige bist um das umzusetzen wenn es schon an solchen simplen Basics scheitert. Die Lösung mit der Fortigate ist ja mit ein paar Mausklicks im GUI schnell umgesetzt !

Grundlagen zu dem Thema findest du auch hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Gilt analog alles auch für Fortinet Hardware.
Und.... simple 20m kann man auch mit einem Gigabit Wireless Wire Set von Mikrotik überbrücken:
https://varia-store.com/de/produkt/31760-mikrotik-wireless-wire-ein-paar ...
Potential- und Blitzschlag frei face-wink
Verschlüsseln musst du aber trotzdem immer wenn es sicher sein soll !!! Jetzt als Kupfer "Antenne" kann jeder im Umkreis von 100m frei mithören...
Mitglied: carg
carg 17.05.2019 aktualisiert um 20:38:33 Uhr
Goto Top
Alles bisherige ist vollkommen richtig!
Bitte wirklich beachten: Glasfaser nehmen - das kann wirklich blöd laufen und neben Schäden am Gerät könnten auch Person zu Schaden kommen. Du brauchst da nur 2 Kupfer -> Glasfaser Medienkonverter. Das kostet für Gbit nicht viel. Glasfaserkabel vor konfektioniert mit den passenden Steckern. Lieber ein paar Meter mehr nehmen.

Anmerken will ich noch:
https://help.fortinet.com/fos50hlp/56/Content/FortiOS/fortigate-transpar ...
(geht auch mit 5.4 oder 6.0)
Damit kann man das auch umsetzen und es ist quasi ein "verlängertes" LAN.
Besorge Dir Unterstützung beim Umsetzen - egal welcher Variante. Das ist wirklich zügig erledigt.

Grüße carg
Mitglied: aqui
aqui 17.05.2019 aktualisiert um 20:52:19 Uhr
Goto Top
Das mangelnde bzw. gar nicht vorhandene Feedback des TO zeigt leider auch das er an einer zielführenden Hilfe hier keinerlei Interesse mehr hat. Schade aber eben nicht unüblich bei Forenthreads.

Kann man dann nur hoffen das es bei ihm dann noch für ein:
Wie kann ich einen Beitrag als gelöst markieren?
reicht, aber vermutlich wohl auch nicht... face-sad