Wie Netzwerk designen?
Hallo,
ich bin gerade dabei ein kleines Netzwerk (10 Server und ca. 20 Client) neu zu strukturieren. Dieses Netzwerk ist sehr klein entstanden, wobei IP-Adressen mit 192.168.0.x vergeben wurden. Da mittlerweile auch VPN ein Thema ist und es da immer wieder zu Problemen kommt, würde ich gerne wissen, wie Ihr eure Netzwerke designed. Welche IP-Adressen vergebt Ihr?
LG. Dextha
ich bin gerade dabei ein kleines Netzwerk (10 Server und ca. 20 Client) neu zu strukturieren. Dieses Netzwerk ist sehr klein entstanden, wobei IP-Adressen mit 192.168.0.x vergeben wurden. Da mittlerweile auch VPN ein Thema ist und es da immer wieder zu Problemen kommt, würde ich gerne wissen, wie Ihr eure Netzwerke designed. Welche IP-Adressen vergebt Ihr?
LG. Dextha
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 126504
Url: https://administrator.de/forum/wie-netzwerk-designen-126504.html
Ausgedruckt am: 23.12.2024 um 15:12 Uhr
13 Kommentare
Neuester Kommentar
Also bei uns ist das ganz einfach: Wenn jemand die internen IPs des Firmen-Netzes bei sich auch zuhause nutzt dann kann der entweder das VPN vergessen ODER er stellt sein Netz zuhause um... Ich stelle doch nicht nen Firmen-Netz um damit die Leute @home die Füße hochlegen können. Was machst du wenn du jetzt nen 10.x-er Netz nimmst - und @home nutzt jemand dasselbe Netz weil er es cool findet nen 10er Netz zuhause zu verwenden? Oder du nimmst nen 192.168.75.x-er Netz - und stellst fest das dieses Netz grad vom Chef genommen wird weil er / dessen Kind 1975 geboren ist?
Also - ich würde da ganz klar sagen das die ihr Heimnetz (mit idR. 1-5 Rechnern) ändern müssen - und nicht du das Firmen-Netz anpasst...
Also - ich würde da ganz klar sagen das die ihr Heimnetz (mit idR. 1-5 Rechnern) ändern müssen - und nicht du das Firmen-Netz anpasst...
Hi Dextha,
ähm...wie wäre es wenn du deinem Chef folgenden Vorschlag machst: Du kaufst eine ASA 5505 und dazugehörige Cisco-Client. Kostenpunkt wird ca. 800-900,00€ sein. Somit hast du nie wieder Probleme. Denn die Adressen kannst du frei definieren und somit wird auch sämtlicher Traffic in VPN-Tunnel geschickt und das Hausnetzwerk ist außen vor. Außerdem hast du noch eine gewisse Sicherheit. Die Kosten werden dann jedem Mitarbeiter vom Gehalt abgezogen. Ich bin mir sicher, heute Abend ändert jeder zu Hause freiwillig den Adressbereich.
Nun mal wieder zum Ernst des Lebens:
Ganz ehrlich, ich würde Heim-VPN so in deiner Art nie zulassen. Da hätten wir nachts Alpträume....dein Firmennetz ist für alles offen (Viren, Trojaner, etc...). Mal absehen, wenn euch einer die Daten klaut oder löscht. Das wäre dann ein Totalschaden, wenns hart kommt! Seit ihr euch dessen bewusst?!
Grüße,
Dani
ähm...wie wäre es wenn du deinem Chef folgenden Vorschlag machst: Du kaufst eine ASA 5505 und dazugehörige Cisco-Client. Kostenpunkt wird ca. 800-900,00€ sein. Somit hast du nie wieder Probleme. Denn die Adressen kannst du frei definieren und somit wird auch sämtlicher Traffic in VPN-Tunnel geschickt und das Hausnetzwerk ist außen vor. Außerdem hast du noch eine gewisse Sicherheit. Die Kosten werden dann jedem Mitarbeiter vom Gehalt abgezogen. Ich bin mir sicher, heute Abend ändert jeder zu Hause freiwillig den Adressbereich.
Nun mal wieder zum Ernst des Lebens:
Ganz ehrlich, ich würde Heim-VPN so in deiner Art nie zulassen. Da hätten wir nachts Alpträume....dein Firmennetz ist für alles offen (Viren, Trojaner, etc...). Mal absehen, wenn euch einer die Daten klaut oder löscht. Das wäre dann ein Totalschaden, wenns hart kommt! Seit ihr euch dessen bewusst?!
Grüße,
Dani
jo dann fangen wir mal an:
IP Adresse DC ändern.
IP Adresse IIS ändern.
IP Adresse SQL ändern
IP Adresse NAS ändern
IP Adresse DNS
IP Adresse Portforward am Router
IP Adresse für die 20 Clients
IP Adresse für die Netzwerkdrucker
usw... bis des wieder alles so rund läuft...
IP Adresse Router ändern und wenn die "externen" per vpn Router drauf gehen kannst gleich die policy von den routern mit ändern. somit must eh bei den externen mit dran.
Sorry aber wenn die Vorgesetzen vor Urzeiten so kurzfristig gedacht haben sollen sie die ###e so ausbaden das die "Homies" ihr netz anpassen. den dort is es ned so tragisch wenn mal 1-2 pc ned gehen .
wenn du wirklich umstellen willst dein netzwerk geh ins B netz mit C subnet
IP Adresse DC ändern.
IP Adresse IIS ändern.
IP Adresse SQL ändern
IP Adresse NAS ändern
IP Adresse DNS
IP Adresse Portforward am Router
IP Adresse für die 20 Clients
IP Adresse für die Netzwerkdrucker
usw... bis des wieder alles so rund läuft...
IP Adresse Router ändern und wenn die "externen" per vpn Router drauf gehen kannst gleich die policy von den routern mit ändern. somit must eh bei den externen mit dran.
Sorry aber wenn die Vorgesetzen vor Urzeiten so kurzfristig gedacht haben sollen sie die ###e so ausbaden das die "Homies" ihr netz anpassen. den dort is es ned so tragisch wenn mal 1-2 pc ned gehen .
wenn du wirklich umstellen willst dein netzwerk geh ins B netz mit C subnet
Hallo Dextha,
zunächst möchte ich sagen, dass ich Deine Frage gar nicht so "doof" bzw. abwegig finde, wie es die vorangegangene Antworten vermuten lassen. Unabhängig von Deinen Usern und deren Homenetz hatte wir das gleiche Problem, als ein Kunde mit seinem 192.168.0.x Netz an unser Netz angebunden werden sollten. Kunde war König, so dass wir unser Subnetz umstellen mussten...
Bei der Einrichtung von Subnetzen habe ich sehr oft im Zusammenhang mit VPN-Tunneln die Empfehlung gelesen, nicht die gängigen 192.168.0.x oder 192.168.1.x usw. Subnetze zu benutzen. Bei der Einrichtung eines Windows 2003 SBS wird z.B. 192.168.16.x Netz standardmäßig vorgeschlagen, weshalb ich auch davon die Finger lassen würde.
Neben den Adressen aus 192.168.0.0/16 gibt es ja noch 10.0.0.0/8 (soweit ich weiß Default bei Apple-Airport) und 172.16.0.0/12. Von letzterem Netz liest man zumindest in den Beispielen hier im Forum am wenigsten. Funktionieren tun natürlich alle privaten IP-Adressen und das Risiko eines gleichen Subnetzes hast Du natürlich immer.
Grüße
zunächst möchte ich sagen, dass ich Deine Frage gar nicht so "doof" bzw. abwegig finde, wie es die vorangegangene Antworten vermuten lassen. Unabhängig von Deinen Usern und deren Homenetz hatte wir das gleiche Problem, als ein Kunde mit seinem 192.168.0.x Netz an unser Netz angebunden werden sollten. Kunde war König, so dass wir unser Subnetz umstellen mussten...
Bei der Einrichtung von Subnetzen habe ich sehr oft im Zusammenhang mit VPN-Tunneln die Empfehlung gelesen, nicht die gängigen 192.168.0.x oder 192.168.1.x usw. Subnetze zu benutzen. Bei der Einrichtung eines Windows 2003 SBS wird z.B. 192.168.16.x Netz standardmäßig vorgeschlagen, weshalb ich auch davon die Finger lassen würde.
Neben den Adressen aus 192.168.0.0/16 gibt es ja noch 10.0.0.0/8 (soweit ich weiß Default bei Apple-Airport) und 172.16.0.0/12. Von letzterem Netz liest man zumindest in den Beispielen hier im Forum am wenigsten. Funktionieren tun natürlich alle privaten IP-Adressen und das Risiko eines gleichen Subnetzes hast Du natürlich immer.
Grüße
Was erstmal vorraussetzt das du die Router zum Internet selbst managen darfst - würde hier z.B. flach fallen da die alle vom Provider gemacht werden. Damit ist es schonmal mind. 1 Anruf damit die die IP ändern. OK, das ist noch zu machen.
Jetzt gehe ich mal von einer VPN-Verbindung aus die wirklich mit beiden Netzen arbeitet (wobei ich mich hier fragen würde warum? Normal wählt sich nur nen Client ein - und der bekommt bei uns dann z.B. vom VPN-Server eine Adresse ausserhalb unseres Netzes. Der VPN-Server macht dann praktisch nen NAT von seiner Adresse auf unser Netz...). Aber gut - wir verbinden also die Heim-Netze der Angestellten mit den ganzen runtergeladenen Spielen usw. mit dem Firmennetz. Das Firmennetz wurde jetzt fröhlicherweise auf die 192.168.99.x eingestellt - alle Server laufen wieder rund (was schon etwas Zeit in Anspruch nehmen kann...). Jetzt kommt der Vorgesetzte und hat aber festgestellt das SEIN Netz auch auf der 99 läuft - weil dort die Tochter geboren ist. Also ändert ihr das ganze eben auf 199 - und dürft alle Client-Netze nochmal anpassen?
Himmel - ich möchte gern bei euch arbeiten... Denn scheinbar hat man bei euch richtig langeweile - hier würde ich gar nich auf die Idee kommen das ich unsere internen Netze abändere. Wer meint er hat aufgrund seiner Heim-Konfig ein Problem mit der VPN-Verbindung -> der kann sich ja zuhause das so einstellen wie er will... Wobei ich auch immer der Meinung bin das ich gar nicht WILL das nen ganzes Heim-Netzwerk an unser Firmen-Netz geht - wenn dann sollen sich die Angestellten bitte per Win-VPN-Verbindung anmelden und das ganze Thema ist eh gegessen...
Jetzt gehe ich mal von einer VPN-Verbindung aus die wirklich mit beiden Netzen arbeitet (wobei ich mich hier fragen würde warum? Normal wählt sich nur nen Client ein - und der bekommt bei uns dann z.B. vom VPN-Server eine Adresse ausserhalb unseres Netzes. Der VPN-Server macht dann praktisch nen NAT von seiner Adresse auf unser Netz...). Aber gut - wir verbinden also die Heim-Netze der Angestellten mit den ganzen runtergeladenen Spielen usw. mit dem Firmennetz. Das Firmennetz wurde jetzt fröhlicherweise auf die 192.168.99.x eingestellt - alle Server laufen wieder rund (was schon etwas Zeit in Anspruch nehmen kann...). Jetzt kommt der Vorgesetzte und hat aber festgestellt das SEIN Netz auch auf der 99 läuft - weil dort die Tochter geboren ist. Also ändert ihr das ganze eben auf 199 - und dürft alle Client-Netze nochmal anpassen?
Himmel - ich möchte gern bei euch arbeiten... Denn scheinbar hat man bei euch richtig langeweile - hier würde ich gar nich auf die Idee kommen das ich unsere internen Netze abändere. Wer meint er hat aufgrund seiner Heim-Konfig ein Problem mit der VPN-Verbindung -> der kann sich ja zuhause das so einstellen wie er will... Wobei ich auch immer der Meinung bin das ich gar nicht WILL das nen ganzes Heim-Netzwerk an unser Firmen-Netz geht - wenn dann sollen sich die Angestellten bitte per Win-VPN-Verbindung anmelden und das ganze Thema ist eh gegessen...
Grundsätzlich gibt es VPN-Router, die 1:1NAT via VPN beherrschen. Ich setze hier beispielsweise Lancom-Router ein. Ein einfaches Modell wie der 1721 koset ca. 500€ und lässt sich optional auf bis zu 25 aktive Tunnel aufbohren (standardmäßig 5). Konfiguratioon ist sehr übersichtlich und flexibel. VLAN, virtuelle Routen etc. sind integriert. Damit únd natürlich mit den nachgeschalteten managbaren Switches trenne logisch mehrere Netze und kan per Eintrag in die Routingtabelle festlegen, wer wohin darf. Das strukturiert das Unternehmensnetz sehr transparent und trägt auch zur Sicherheit bei.
Hi Dextha,
ich würde auch sagen:
Ändere Deine IP Range in das 172.16.*.* Netz.
Nehm Dir, bei kleinem Budget, ein RV082 von Linksys für die Hauptstelle und RV 042 von Linksys für die Außenstellen.
Hauptstelle 172.16.0.*
Außenstellen 172.16.1.*
Außenstellen 172.16.2.*
Außenstellen 172.16.3.*
usw.
Somit ist ein VPN untereinander kein Problem.
Und für die Laptop/HomeOffice-Leute generierst Du Zertifikate auf dem jeweiligen Router/Gateway/Firewall und bindest die Laptop/HomeOffice-Leute so ein.
1 Hauptstelle
3 Aussenstellen
gesamt 30 PCs, 6 Srv
Hat meine Firma komplett keine 350 Euro gekostet und funktioniert anstandslos.
Gruß aus dem Odenwald
ich würde auch sagen:
Ändere Deine IP Range in das 172.16.*.* Netz.
Nehm Dir, bei kleinem Budget, ein RV082 von Linksys für die Hauptstelle und RV 042 von Linksys für die Außenstellen.
Hauptstelle 172.16.0.*
Außenstellen 172.16.1.*
Außenstellen 172.16.2.*
Außenstellen 172.16.3.*
usw.
Somit ist ein VPN untereinander kein Problem.
Und für die Laptop/HomeOffice-Leute generierst Du Zertifikate auf dem jeweiligen Router/Gateway/Firewall und bindest die Laptop/HomeOffice-Leute so ein.
1 Hauptstelle
3 Aussenstellen
gesamt 30 PCs, 6 Srv
Hat meine Firma komplett keine 350 Euro gekostet und funktioniert anstandslos.
Gruß aus dem Odenwald