aiohcan
Goto Top

Unternehmen vernetzen (WLAN, VoIP, VPN, VLAN, Server)

Hallo liebe Administrator.de-Gemeinde,

ich bin neu hier, habe im Forum aber schon viel gestöbert und denke ihr könnt mir wunderbar weiterhelfen. ;)

Zur Sache.. ich habe die Aufgabe ein Unternehmen zu vernetzen und würde gerne eure Meinung und Kaufberatung wissen.
Zu meiner Person.. Praxistechnisch in dieser Größenordnung mache ich das zum ersten Mal, (theoretisches) Wissen in der Netzwerktechnik ist aber vorhanden.

Zunächst einmal besteht das betreffende Unternehmen aus min. 10 Arbeitsplätzen bzw. Workstations, die sich noch mehr Mitarbeiter teilen. Nun soll WLAN im ganzen Unternehmen flächendeckend umgesetzt werden, um mobiles Arbeiten und Funktelefonie (WLAN) über VoIP zu ermöglichen. Später soll den Gästen noch Zugang zum Internet gewährt werden (VLAN). Ein Server mit Windows Server wird zudem benötigt auf dem eine proprietäre Verwaltungssoftware neben der Aufgabe als DC, VPN-Server und Datenbankserver laufen soll.
Also netzseitig komplett neue Ausrüstung.

Die Gebäudeverkabelung zu den jeweiligen Workstations besteht bereits und soll noch durchgemessen werden.
Die vorhandenen ISDN-Telefone sind mit einer ISDN-Telefonanlage verbunden, die jetzt aber langsam mitsamt den alten Telefonen ausgedient hat und durch IP-Telefonie und einen neuen DSL-Anschluss für Internettelefonie ersetzt werden soll.

Nun habe ich mir ein paar Gedanken zum Netzaufbau gemacht und eine Skizze angefertigt:

1bd52d01d7fe636d643ee49bcf587c05

Zu ein paar Punkten bin ich mir noch nicht sicher:

1. Gibt es bessere Wege das umzusetzen?
Bitte um Tipps/Hinweise.

2. Es sollen voraussichtlich 6 APs im Unternehmen verteilt werden. Ich dachte da an WDS im Dual Radio-Betrieb. Ich habe dazu schon einiges im Internet gesucht,
jedoch immer nur in kleiner Aufmachung, also Beispiele mit 2 Access Points, vorgefunden.
Ist es denn möglich diese Idee umzusetzten und 3-4 APs im Dual Radio-Betrieb hintereinander zu schalten?
AP1 <> AP2 <> AP3 <> AP4 .. natürlich mit genügend Frequenzabstand.
.. oder wäre es in dieser Hinsicht performanter und günstiger (in der Anschaffung) die jeweiligen APs mit PowerLAN zu versorgen?
(Da habe ich noch keine Info, ob die Stromnetze auf der gleichen Phase sitzen, oder ob das untypisch ist ;))

3. Ist es möglich mit gewöhnlichen Routern ein DHCP-Relay einzurichten oder bedarf es da speziellen Geräten? (Ich habe auf der Suche nach Routern nicht einmal diese Angabe gesehen)
3a. .. einrichten von Access Lists möglich (bzgl. Sicherheit)?
.. oder wird darunter statische Routen verstanden?

4. Braucht das Unternehmen einen DSL-Anschluss mit fester IP-Adresse, um von außen eine VPN-Verbindung herzustellen oder gibt es da andere Möglichkeiten um über VPN zu connecten?

5. Wie verschlüsselt man am besten den VoIP-Verkehr im WLAN? Auch über VPN? Wäre in diesem Fall die Telefonanlage der VPN-Server?

6. Lohnt sich bei dieser Anzahl von IP-Telefonen überhaupt eine externe Telefonanlage, oder kann diese integriert werden?

7. Da jeweils nur eine Leitung zu den jeweiligen Büros verläuft, aber daran neben den Workstations noch die stationären IP-Telefone angeschlossen werden sollen,
wäre es da nicht weitaus günstiger (auch in der Administration) diese über WLAN mit VLAN 2 zu verbinden, anstatt für jedes Büro eigene kleine VLAN-Switches mit QoS zu verteilen?
(An den Anschlussdosen wollte ich jetzt nicht herumfummeln)

8. Wo integriert man am besten die Firewall? Ist eine externe Proxy-Firewall overpowered oder sollte man diese in Router 2 (ohne NAT) integrieren?
Ich denke am wichtigsten wäre für diese Firewall: Stateful Inspection, Contentfilter (Quelle: wikipedia.de)
8a. Seht ihr das auch so?
8b. IDS/IPS ist da denke ich die Investition nicht wert und da man als Hacker nicht unbedingt ein Altersheim als Ziel hat nicht nötig, oder habe ich da einen falschen Eindruck?
8c. Anti-Spoofing könnte doch bei DDOS-Angriffen auch nach hinten losgehen, wenn die IP-Adressen, die zur Kommunikation und damit für den Betrieb wichtig sind, temporär geblockt werden.
Ist es trotzdem empfehlenswert?

9. Was würdet ihr als lokale Backup-Lösung empfehlen?

Nun kenne ich den Markt zurzeit nicht und bin mir unsicher welche Netzwerkgeräte und Server der Größenordnung am besten entsprechen würden.
Daher bitte ich euch ganz herzlich mir dabei etwas zu helfen. face-smile

1. DSL-Router/Gateway?
2. Router?
3. Switch?
4. Access Points?
5. IP-Telefonanlage (oder integriert)?
6. Firewall (oder integriert)?
7. Server?

Ein Server-Rack ist nicht vorhanden.
Die empfohlenen Systemanforderungen für die Verwaltungssoftware mit Datenbankanbindung:
CPU: 2x 2,8 GHz Intel Xeon
RAM: 16 GB
Network Interface: 1 Gbit/s
Free Space (HDD): 200 GB

Vorhandene Hardware: FritzBox 7490

Ich hoffe ich habe alles wichtige ausgespuckt um einen Ansatz zu liefern, wenn nicht wisst ihr ja wo ihr mich findet ;)
Vielen Dank im Voraus!!

Freundlicher Gruß

Content-Key: 261028

Url: https://administrator.de/contentid/261028

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: aqui
aqui 24.01.2015 aktualisiert um 16:51:56 Uhr
Goto Top
Zu meiner Person.. Praxistechnisch in dieser Größenordnung mache ich das zum ersten Mal,
Keine guten Voraussetzungen für das Projekt und für den der dich beauftragt hat face-sad
Zu deinen Fragen:
Gibt es bessere Wege das umzusetzen?
Nein, dein Grobplan sieht schon recht gut aus. Bitte vergesse aber nicht das das ein simples Popelnetz ist mit gerade 10 Usern, folglich ist das also keine wirkliche Herausforderung. Sowas macht ein guter FiSi Azubi in 30 Minuten...
Ist es denn möglich diese Idee umzusetzten und 3-4 APs im Dual Radio-Betrieb hintereinander zu schalten?
Ja, vollkommen problemlos. Ideal sind APs die Controller Funktion übernehmen können oder ein kleiner Controller auf VM Basis.
Ubiquity Unify und Konsorten wär sowas, Meru, Cisco, Aruba sind weitere Kandidaten dafür. Hier musst du bedenken das wenn wie bei dir Voice over WLAN dazukommt du keine billigen China Accesspoints vom Blödmarkt verwenden kannst. Hier also besser einen Euro mehr investieren wenn du nicht jahrelang troubleshooten willst und dir Beschwerden zur WLAN Qualität anhören willst !
Du musst hier IP Voicetraffic im Funknetz zwingend priorisieren und das können nicht alle !
performanter und günstiger (in der Anschaffung) die jeweiligen APs mit PowerLAN zu versorgen?
Nur ums klar zu machen: Bei deinen Anforderungen ist eine Repeater basierte WLAN Vernetzung unbedingtes Tabu ! Die AP Anbindung an das LAN muss zwingend Kabel basierend sein, das erfordert deine Anforderungen an das WLAN.
D-LAN ist auch schon Tabu, da du auch hier keinerlei gesichtere Bandbreite hast. Das wäre ein Kompromiss im dringenden Ausnahmefall. für einzelne APs. Besser aber gleich vergessen und es richtig machen. Du musst zwingend eine Cat Kabelinfrastruktur für die anzuschliessenden APs vorsehen sonst wird das nix und scheitert schon im Ansatz !
Ist es möglich mit gewöhnlichen Routern ein DHCP-Relay einzurichten
Ja, aber auch hier kommt es auf die HW an. Bei Herstellern wie Lancom, Bintec oder Cisco:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
ist das kein Thema !
Beim 30 Euro Plaste Baumarkt Router schon.
Braucht das Unternehmen einen DSL-Anschluss mit fester IP-Adresse, um von außen eine VPN-Verbindung herzustellen
Nein, nicht unbedingt.
Man kann auch mit einem verlässlichen DynDNS Provider leben. Damit lässt sich das auch sicher bei so einem Kleinstnetz wie deinem realisieren !
Wie verschlüsselt man am besten den VoIP-Verkehr im WLAN?
Das hängt vom Anbieter deiner Voice Hardware ab...ist doch klar. Das kann dir so keiner beantworten ohe zu raten. VPNs ist Unsinn, das müsste der Client supporten was keiner kann und ausserdem welches VPN Protokoll ??
Lies dazu bitte die Details:
https://www.heise.de/artikel-archiv/ct/2014/23/118_Besser-verbunden
https://www.heise.de/artikel-archiv/ct/2014/23/122_Geheimniskraemerei-un ...
Lohnt sich bei dieser Anzahl von IP-Telefonen überhaupt eine externe Telefonanlage, oder kann diese integriert werden?
WAS bitte meinst du mit "integriert" ??? Integriert in einen Winblows Server mit Lync z.B. oder einer VM mit einer Asterisk Anlage ?? Oder dediziert wie z.B. hier ?
In jedem Fall solltest du das machen. Es sei denn dir bzw. der Firma sind deine Telefoniedaten bzw. die Vertraulichkeit vollkommen egal, dann kannst du auch einen externen Dienstleister verpflichten.
Bedenke dann aber das du mit der Telefonie dann vollständig von dessen Verfügbarkeit abhängst. Von Datensicherheit wollen wir besser nicht reden.
Besser also immer selber betreiben !
Wo integriert man am besten die Firewall? Ist eine externe Proxy-Firewall overpowered oder sollte man diese in Router 2 (ohne NAT) integrieren?
Das kann man pauschal nicht beantworten, denn das hängt von deiner aufgestellten Sicherheits Policy bzw. den Anforderungen der Firma ab. Folglich kann dir das keiner sagen.
Entweder also einen diese hier.
Ist einen Frage des Budgets. Ein Trennung der Komponenten ist sicherer, erfordert aber mehr Aufwand.
Niemals gehört einen Firewall als VM oder sowas virtualisiert auf einen Server der auch unternehmenskritische Daten hält ! Ist ne Binsenweisheit die du ja sicher auch kennst ?!
Nach konkreter HW für die Infrastruktur solltest du besser nicht fragen hier. Das ist so sinnfrei wie nach dem besten Auto, Laptop oder Betriebssystem zu fragen. Da bekommst du 20 Antworten und bist nachher so schlau wie vorher !
Weisst du auch selber....
Mitglied: keine-ahnung
keine-ahnung 24.01.2015 um 19:12:26 Uhr
Goto Top
Moin,

interessante Idee mit den Faxgeräten ... was sollen denn das für Teile sein face-wink?

LG, Thomas
Mitglied: aioHcan
aioHcan 28.01.2015 um 14:58:55 Uhr
Goto Top
Entschuldigt bitte, dass ich mich erst jetzt melde.

Ersteinmal vielen Dank für eure Antworten!
Keine guten Voraussetzungen für das Projekt und für den der dich beauftragt hat face-sad
Das gute ist ich habe viel Zeit zum recherchieren und das eine oder andere Fachbuch habe ich auch schon dazu gelesen. Ich bin mit der Technik aufgewachsen, immer voll interessiert, und auch schon im früh angefangen zu Scripten und Programmieren. Das derzeitige Projekt verfolge ich mit größtem Ehrgeiz!
Ja, vollkommen problemlos. Ideal sind APs die Controller Funktion übernehmen können oder ein kleiner Controller auf VM Basis.
Die AP Anbindung an das LAN muss zwingend Kabel basierend sein, das erfordert deine Anforderungen an das WLAN.
Also was jetzt?! ..die APs kabelgebunden (Strippe ziehen) installieren oder geht da nun auch der WDS Betrieb?! face-wink
Das hängt vom Anbieter deiner Voice Hardware ab...ist doch klar.
Leider bin ich noch nicht so bewandert mit Telefonhardware, deswegen entschuldigt bitte solche Fragen face-wink
Wenn man da als FiSi mal ein Projekt drüber macht wird man erfahrungsgemäß gleich schief angeguckt, ich zitiere: "Dafür gibt es ja die ItSe Kabelaffen"
Erst dachte ich auch, es kommt ein externer Fachmann hinzu.. Nur neue ISDN-Hardware zu kaufen ist sinnfrei und drückt nur die (derzeit noch einstellige) Bandbreite ab.
WAS bitte meinst du mit "integriert" ??? Integriert in einen Winblows Server mit Lync z.B. oder einer VM mit einer Asterisk Anlage ??
Nein bloß nicht.. Ich dachte da eher an das Konzept der Fritz Box mit "integrierter" Telefonanlage und ob es das auch in Routern neben der eigentlichen Funktion des Routens gibt. (Ähnlich einer Router-Firewall)
Damit hat sich die Frage aber erledigt.
Niemals gehört einen Firewall als VM oder sowas virtualisiert auf einen Server der auch unternehmenskritische Daten hält ! Ist ne Binsenweisheit die du ja sicher auch kennst ?!
Ja..
Aber nach Marken oder Modelltypen darf ich doch fragen, dann kann ich gleich zielgerichtet auswählen.
Mir ging es auch eigentlich um Erfahrungen mit bestimmter Hardware/Marken (Details) und wo man die Finger von lassen sollte.

Ansonsten hilft mir das schon gut weiter face-smile

Kann ich für das Server-Backup das Windows-Server-eigene Tool "Windows Server Sicherung" verwenden oder besser auf ein Image-Tool zurückgreifen? Empfiehlt sich dazu eine NAS-Box auf der täglich ein Backup aufgespielt wird?

interessante Idee mit den Faxgeräten ... was sollen denn das für Teile sein ?
Haha.. ^^ Ich bin von Multifunktionsgeräten ausgegangen, aber es sind vor Ort analoge Geräte face-wink
Die Faxgeräte kommen natürlich direkt an die Telefonanlage, pardon für das falsche Bild.
Mitglied: aqui
aqui 28.01.2015 um 17:50:56 Uhr
Goto Top
oder geht da nun auch der WDS Betrieb?!
Nein ! Das Staement von oben sollte eigentlich klar sein. Jede Art von WDS oder irgendwie geartetem Repeating hat in einem Unternehmen nichts zu suchen !
Damit würde ein WLAN Projekt mit deinen Anforderungen sicher scheitern. Mach dir das bewusst ! APs gehören immer mit eine dedizierten Cat Verkabelung angebunden.
Maximal vielleicht als Ausnahmen wenns wirklich nicht anders geht über D-LAN / Power LAN. Besser aber auch nicht !
Leider bin ich noch nicht so bewandert mit Telefonhardware, deswegen entschuldigt bitte solche Fragen
Dann ruf den geplanten VoIP Lieferanten an und frage nach den Spezifikationen. Diese logische Vorgehensweise sollte man doch auch als FiSi draufhaben, oder ?
an das Konzept der Fritz Box mit "integrierter" Telefonanlage
Vergiss doch so einen Schrott. So ein Plastik Konsumer Equipment hat doch auch in deinem Projekt nichts zu suchen ! Solltest du als FiSi auch wissen ?! Nicht "denken" sondern nachdenken ! face-wink
Aber nach Marken oder Modelltypen darf ich doch fragen,
Klar, natürlich. Nur du weisst selber wie sinnfrei das in einem Forum ist. Ist so als wenn man nach dem besten Laptop, NAS, Auto oder was auch immer fragt. Es antworten dir vom völligen Laien ohne Ahnung zum Experten alle und du musst selektieren obwohl du selber auch keine Ahnung hast. Was meinst du kommt dabei raus ?? Jeder nennt dir hier seine Marke und du bist dann genau so schlau wie zuvor.
Vergiss solche Art Fragen also besser hier....bringt dich nicht wirklich weiter.
Finger sollte man von NetGear lassen aber das sehen andere wieder anders... Kommt immer aufs gleiche raus.
Empfiehlt sich dazu eine NAS-Box auf der täglich ein Backup aufgespielt wird?
NAS ist kein Ersatz für ein Backup. Brennt die der Servraum ab wo auch das NAS steht nutzt dir diese Art Backup nix. Kommt man als pfiffiger und kundiger FiSi aber auch von selbst drauf mit etwas Nachdenken, oder ?
Mitglied: aioHcan
aioHcan 28.01.2015 um 20:16:33 Uhr
Goto Top
Nein ! Das Staement von oben sollte eigentlich klar sein
Ach ok, jetzt weiß ich warum das falsch rüber kam.. Ich meinte mit APs im Dual Radio Verbund wie auf dem oben verlinkten Schaubild, dass die APs sich per Funk die Daten "durchreichen" und auf anderen Frequenzen an die Clients funken. face-wink
Damit ist die Frage geklärt und ich hab's verstanden. Dann schau ich mal was diese Controller Funktion bei APs für Vorteile hat, außer wahrscheinlich der einfacheren Konfiguration und Deployment.

Solltest du als FiSi auch wissen ?! Nicht "denken" sondern nachdenken ! face-wink
Ich bin kein ausgelernter Azubi, falls du das annimmst.. Du musst also noch nicht die Hände vor den Kopf schlagen und denken "Was wird aus unseren Nachwuchs-Administratoren?!". face-wink
Um ehrlich zu sein, hatte ich das Pech krankheitsbedingt die Ausbildung nach 3 Monaten abzubrechen.. In der Zeit habe ich nur gelernt wie man richtig präsentiert.
Aber ja da gebe ich dir Recht, nachdenken kann jeder.

Es geht mir nur darum, dass ihr mir hier und dort ein paar Tipps gebt.. (was ihr ja auch tut)
Um die Sache klarer zu machen, ein Bekannter hat sich selbstständig gemacht und mich gefragt ob ich bei ihm einen Server aufsetzen und darauf eine Verwaltungssoftware mit Datenbank-Backend installieren kann, sodass jeder an seinem Arbeitsplatz Daten eintragen und abrufen kann. Nur dann kamen langsam die "Extrawünsche" hinzu.. WLAN im ganzen Unternehmen, mobile VoIP-Telefone, Gästenetzwerk, Umstellung auf IP-Telefonie.. Ich habe mir Bücher gekauft, Wochen recherchiert und bin hier und da an die Grenzen meiner Kompetenzen gestoßen.. Ihr macht das jeden Tag, ich höchstens virtuell!
Software-seitig bin ich sicher, nur an der Marktübersicht mangelts.

Ich weiß es ist noch zu früh für mich, aber manch einer braucht nach der Ausbildung auch Jahre Weiterbildung um sich in dieser Richtung selbstständig zu machen..
Also, ich habe die Zeit, den Ehrgeiz und will das angehen!
In der Gegend scheint es keine guten Administratoren zu geben, der letzte hat sich hinten herum die Taschen voll gemacht..

Nun wieder zum Thema!

Ein BackUp in der Cloud, und eines lokal im Unternehmen.. Ist die NAS-Box aus dem Rennen?

Mfg
Mitglied: aqui
aqui 28.01.2015 um 23:14:26 Uhr
Goto Top
Ein BackUp in der Cloud, und eines lokal im Unternehmen
Wenn du das Risiko auf dich nehmen willst vertrauliche Daten an Fremde zu geben ja. Eigentlich ein NoGo in Firmen !