dextha
Goto Top

Wie Netzwerk designen?

Hallo,

ich bin gerade dabei ein kleines Netzwerk (10 Server und ca. 20 Client) neu zu strukturieren. Dieses Netzwerk ist sehr klein entstanden, wobei IP-Adressen mit 192.168.0.x vergeben wurden. Da mittlerweile auch VPN ein Thema ist und es da immer wieder zu Problemen kommt, würde ich gerne wissen, wie Ihr eure Netzwerke designed. Welche IP-Adressen vergebt Ihr?

LG. Dextha

Content-ID: 126504

Url: https://administrator.de/forum/wie-netzwerk-designen-126504.html

Ausgedruckt am: 23.12.2024 um 15:12 Uhr

maretz
maretz 05.10.2009 um 20:20:27 Uhr
Goto Top
Lass mich kurz überlegen: 10 Server, 20 Clients -> 30 Adressen. 192.168.0.x -> 254 Adressen... 254 - 30 = 224 Adressen frei. Ich würde sagen - ganz grob geschätzt wäre das noch mehr als ausreichend...
Dextha
Dextha 05.10.2009 um 20:27:14 Uhr
Goto Top
Darum gehts ja garnicht... jeder Home-User mit seinem Bauhaus-Router hat eine 192.168.0-er IP. Wenn dieser dann über VPN auf das Netzwerk zugreift gibt es meist Probleme, dass die lokalen maschienen erreicht werden - und nicht die im VPN-Netzwerk.....

LG.
maretz
maretz 05.10.2009 um 20:33:05 Uhr
Goto Top
Also bei uns ist das ganz einfach: Wenn jemand die internen IPs des Firmen-Netzes bei sich auch zuhause nutzt dann kann der entweder das VPN vergessen ODER er stellt sein Netz zuhause um... Ich stelle doch nicht nen Firmen-Netz um damit die Leute @home die Füße hochlegen können. Was machst du wenn du jetzt nen 10.x-er Netz nimmst - und @home nutzt jemand dasselbe Netz weil er es cool findet nen 10er Netz zuhause zu verwenden? Oder du nimmst nen 192.168.75.x-er Netz - und stellst fest das dieses Netz grad vom Chef genommen wird weil er / dessen Kind 1975 geboren ist?

Also - ich würde da ganz klar sagen das die ihr Heimnetz (mit idR. 1-5 Rechnern) ändern müssen - und nicht du das Firmen-Netz anpasst...
Dextha
Dextha 05.10.2009 um 20:42:51 Uhr
Goto Top
Ich bin ganz deiner Meinung - nur wirds schwierig, wenn das nicht mir sondern dem Vorgesetzen eingefallen ist eine Lösung zu finden. Und jeden 2. User die IP zuhause umstellen zu lassen ist meistens aufwendiger, als einmal zentral die IP zu ändern.... wobei ich mittlerweile bereits schon überlege, ob ich das echt machen soll, da ja die Server alle statische IPs haben... face-wink
Dani
Dani 05.10.2009 um 21:12:13 Uhr
Goto Top
Hi Dextha,
ähm...wie wäre es wenn du deinem Chef folgenden Vorschlag machst: Du kaufst eine ASA 5505 und dazugehörige Cisco-Client. Kostenpunkt wird ca. 800-900,00€ sein. Somit hast du nie wieder Probleme. Denn die Adressen kannst du frei definieren und somit wird auch sämtlicher Traffic in VPN-Tunnel geschickt und das Hausnetzwerk ist außen vor. Außerdem hast du noch eine gewisse Sicherheit. face-smile Die Kosten werden dann jedem Mitarbeiter vom Gehalt abgezogen. Ich bin mir sicher, heute Abend ändert jeder zu Hause freiwillig den Adressbereich. face-wink

Nun mal wieder zum Ernst des Lebens:
Ganz ehrlich, ich würde Heim-VPN so in deiner Art nie zulassen. Da hätten wir nachts Alpträume....dein Firmennetz ist für alles offen (Viren, Trojaner, etc...). Mal absehen, wenn euch einer die Daten klaut oder löscht. Das wäre dann ein Totalschaden, wenns hart kommt! Seit ihr euch dessen bewusst?!


Grüße,
Dani
education
education 05.10.2009 um 21:14:21 Uhr
Goto Top
jo dann fangen wir mal an:

IP Adresse DC ändern.
IP Adresse IIS ändern.
IP Adresse SQL ändern
IP Adresse NAS ändern
IP Adresse DNS
IP Adresse Portforward am Router
IP Adresse für die 20 Clients
IP Adresse für die Netzwerkdrucker
usw... bis des wieder alles so rund läuft...

IP Adresse Router ändern und wenn die "externen" per vpn Router drauf gehen kannst gleich die policy von den routern mit ändern. somit must eh bei den externen mit dran.

Sorry aber wenn die Vorgesetzen vor Urzeiten so kurzfristig gedacht haben sollen sie die ###e so ausbaden das die "Homies" ihr netz anpassen. den dort is es ned so tragisch wenn mal 1-2 pc ned gehen .

wenn du wirklich umstellen willst dein netzwerk geh ins B netz mit C subnet
Dextha
Dextha 05.10.2009 um 21:57:34 Uhr
Goto Top
Das VPN-Netz ist ein eigenes, welche natülich über eine Firewall vom Internen getrennt ist. Via Terminal-Session kann der User dann auf einen Application-Server zugreifen (Es ist pro User nur der eine Port für RDP auf den einen Terminalserver offen). Ich finde, dass so die Gefahr, dass etwas passiert relativ gering ist (lasse mich aber gerne belehren). Ich werde jetzt aber einfach das VPN-Netz von den IP-Adressen her ändern und dem Terminal-Server eine IP mit .20x geben. Ich denke, die Gefahr, dass jemand diese IP zuhause einsetzt ist relativ gering...

LG. Dextha
CaponCapri
CaponCapri 05.10.2009 um 22:03:26 Uhr
Goto Top
Hallo Dextha,

zunächst möchte ich sagen, dass ich Deine Frage gar nicht so "doof" bzw. abwegig finde, wie es die vorangegangene Antworten vermuten lassen. Unabhängig von Deinen Usern und deren Homenetz hatte wir das gleiche Problem, als ein Kunde mit seinem 192.168.0.x Netz an unser Netz angebunden werden sollten. Kunde war König, so dass wir unser Subnetz umstellen mussten...

Bei der Einrichtung von Subnetzen habe ich sehr oft im Zusammenhang mit VPN-Tunneln die Empfehlung gelesen, nicht die gängigen 192.168.0.x oder 192.168.1.x usw. Subnetze zu benutzen. Bei der Einrichtung eines Windows 2003 SBS wird z.B. 192.168.16.x Netz standardmäßig vorgeschlagen, weshalb ich auch davon die Finger lassen würde.

Neben den Adressen aus 192.168.0.0/16 gibt es ja noch 10.0.0.0/8 (soweit ich weiß Default bei Apple-Airport) und 172.16.0.0/12. Von letzterem Netz liest man zumindest in den Beispielen hier im Forum am wenigsten. Funktionieren tun natürlich alle privaten IP-Adressen und das Risiko eines gleichen Subnetzes hast Du natürlich immer.

Grüße
2hard4you
2hard4you 05.10.2009 um 22:40:31 Uhr
Goto Top
Moin,

naja - bei den kleinen Firmen (ordentliches Design vorausgesetzt) sagste einfach dem Router Bescheid, Du hast jetzt *die* IP, dann dem SBS, Du jetzt auch - der DNS setzt das dann um, DHCP setzt Du die Lease auf 30 min - dann haben alle Clients auch was passendes...

Gruß

24
maretz
maretz 06.10.2009 um 07:03:50 Uhr
Goto Top
Was erstmal vorraussetzt das du die Router zum Internet selbst managen darfst - würde hier z.B. flach fallen da die alle vom Provider gemacht werden. Damit ist es schonmal mind. 1 Anruf damit die die IP ändern. OK, das ist noch zu machen.

Jetzt gehe ich mal von einer VPN-Verbindung aus die wirklich mit beiden Netzen arbeitet (wobei ich mich hier fragen würde warum? Normal wählt sich nur nen Client ein - und der bekommt bei uns dann z.B. vom VPN-Server eine Adresse ausserhalb unseres Netzes. Der VPN-Server macht dann praktisch nen NAT von seiner Adresse auf unser Netz...). Aber gut - wir verbinden also die Heim-Netze der Angestellten mit den ganzen runtergeladenen Spielen usw. mit dem Firmennetz. Das Firmennetz wurde jetzt fröhlicherweise auf die 192.168.99.x eingestellt - alle Server laufen wieder rund (was schon etwas Zeit in Anspruch nehmen kann...). Jetzt kommt der Vorgesetzte und hat aber festgestellt das SEIN Netz auch auf der 99 läuft - weil dort die Tochter geboren ist. Also ändert ihr das ganze eben auf 199 - und dürft alle Client-Netze nochmal anpassen?

Himmel - ich möchte gern bei euch arbeiten... Denn scheinbar hat man bei euch richtig langeweile - hier würde ich gar nich auf die Idee kommen das ich unsere internen Netze abändere. Wer meint er hat aufgrund seiner Heim-Konfig ein Problem mit der VPN-Verbindung -> der kann sich ja zuhause das so einstellen wie er will... Wobei ich auch immer der Meinung bin das ich gar nicht WILL das nen ganzes Heim-Netzwerk an unser Firmen-Netz geht - wenn dann sollen sich die Angestellten bitte per Win-VPN-Verbindung anmelden und das ganze Thema ist eh gegessen...
aqui
aqui 06.10.2009, aktualisiert am 18.10.2012 um 18:39:33 Uhr
Goto Top
Generelle Tips zum VPN IP Design findest du auch hier:

VPNs einrichten mit PPTP
Urlicht
Urlicht 12.10.2009 um 10:06:18 Uhr
Goto Top
Grundsätzlich gibt es VPN-Router, die 1:1NAT via VPN beherrschen. Ich setze hier beispielsweise Lancom-Router ein. Ein einfaches Modell wie der 1721 koset ca. 500€ und lässt sich optional auf bis zu 25 aktive Tunnel aufbohren (standardmäßig 5). Konfiguratioon ist sehr übersichtlich und flexibel. VLAN, virtuelle Routen etc. sind integriert. Damit únd natürlich mit den nachgeschalteten managbaren Switches trenne logisch mehrere Netze und kan per Eintrag in die Routingtabelle festlegen, wer wohin darf. Das strukturiert das Unternehmensnetz sehr transparent und trägt auch zur Sicherheit bei.
onebit
onebit 12.10.2009 um 10:40:05 Uhr
Goto Top
Hi Dextha,
ich würde auch sagen:
Ändere Deine IP Range in das 172.16.*.* Netz.
Nehm Dir, bei kleinem Budget, ein RV082 von Linksys für die Hauptstelle und RV 042 von Linksys für die Außenstellen.
Hauptstelle 172.16.0.*
Außenstellen 172.16.1.*
Außenstellen 172.16.2.*
Außenstellen 172.16.3.*
usw.

Somit ist ein VPN untereinander kein Problem.

Und für die Laptop/HomeOffice-Leute generierst Du Zertifikate auf dem jeweiligen Router/Gateway/Firewall und bindest die Laptop/HomeOffice-Leute so ein.

1 Hauptstelle
3 Aussenstellen
gesamt 30 PCs, 6 Srv
Hat meine Firma komplett keine 350 Euro gekostet und funktioniert anstandslos.

Gruß aus dem Odenwald