jens1982
Goto Top

PfSense Konfiguration - 2 Netze - 2 DC - 2 Exchange

Hallo Leute,

ich hoffe ihr könnt mir hier weiterhelfen.

Ich habe einen Kunden, der mit seinem bisherigen IT-Dienstleister sehr unzufrieden ist und mich jetzt beauftragt hat das Projekt fertigzustellen.

Es handelt sich um ein Gebäude mit zwei Firmen (ein GF). Firma B ist jetzt gewachsen und soll nun ein eigenes Netzwerk erhalten.
Ich habe die aktuelle Situation mal skizziert.

unbenannt

Firma A hat ein funktionierendes Netzwerk.
Firma B hat nur einen halbwegs funktionierenden DC. Exchange ist noch nicht eingerichtet. Das ist auch gar nicht das Problem.

Beide DC sollen in beiden Netzwerken erreichbar sein. Die DC stellen Dateifreigaben und Drucker bereit, die jeweils von beiden Firmen/Netzen genutzt werden sollen.

Wie bewerkstellige ich das am besten mit pfSense in der skizzierten Situation?


Meine Idee wäre jetzt an beiden DC eine zusätzliche NIC einzurichten und mittels VLAN (über ESXi) beide DC unter einer festen IP in das jeweils andere Netzwerk zu integrieren.
DNS und DHCP werden dann jeweils vom eigenen DC weiterhin gemanagt. Klappt das so? Diese Situation hatte ich noch nicht.

Kann ich beide Exchange auf Port 25 lauschen lassen und jeweils nur die für die Domain bestimmten Mails annehmen lassen? Es gibt ja nur einen Internetanschluss.

Danke im Voraus.

Content-Key: 385806

Url: https://administrator.de/contentid/385806

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: dodo30
dodo30 08.09.2018 um 15:25:06 Uhr
Goto Top
Hey,


Zitat von @Jens1982:
Meine Idee wäre jetzt an beiden DC eine zusätzliche NIC einzurichten und mittels VLAN (über ESXi) beide DC unter einer festen IP in das jeweils >andere Netzwerk zu integrieren.
DNS und DHCP werden dann jeweils vom eigenen DC weiterhin gemanagt. Klappt das so? Diese Situation hatte ich noch nicht.

Kann ich beide Exchange auf Port 25 lauschen lassen und jeweils nur die für die Domain bestimmten Mails annehmen lassen? E>s gibt ja nur einen >Internetanschluss.
Danke im Voraus.

Ich kann deinem Vorhaben nicht widersprechen,ich würds genau so handhaben , und JA es sollte genauso funktionieren wie du vorhast.
Das die DC untereinander etwas Freigeben, also 2 Domains in 1 Forest? oder 2 Getrennte Forest? würd das dann mit Vertrauensstellung abbilden


ich lass mich liebend gerne eines Besseren belehren ;)
Mitglied: falscher-sperrstatus
falscher-sperrstatus 08.09.2018 um 16:14:00 Uhr
Goto Top
Junge, wie gestaltest du das bitte dem Kunden deine Dienste anzubieten, wenn du von Tuten und blasen keine Ahnung hast? Ist ja grauenhaft, damit willst du dich wohl in der Ruhmeshalle der gescheiterten IT-ler als nächster Verewigen, oder?

Such dir einen Partner, der wirklich Ahnung hat, oder gib dem Kunden Bescheid, dass du das auch nicht realisieren kannst. Das wäre das ehrlichste.

Das ganze muss sauber analysiert und projektiert gegliedert werden (das ist dann aber kein Job eines Forumsposts mehr), ansonsten floppst du, genau wie dein Vorgänger.

VG
Mitglied: wiesi200
wiesi200 08.09.2018 um 17:06:13 Uhr
Goto Top
Hallo,

die beiden Exchange können schon auf dem Port 25 lauschen und das werden sie auch machen. Nur bringt dir das nichts, die können ja nix abholen.

Wenn es 2x die selbe Anschrift gibt weiß der Briefträger auch nicht wo er die Post hin bringen soll.

Hier müsstest du entweder ein Gateway zur Verteilung einbauen oder einen Exchange alles liefern und dann aussortieren und weiterleiten lassen.

Grundsätzlich kann man die Firmen schon separieren aber die Konfiguration ist nicht ganz trivial.
Mitglied: Jens1982
Jens1982 08.09.2018 um 18:10:15 Uhr
Goto Top
@dodo30

Danke. Sind 2 getrennte.

@certifiedit.net
Ich wollte nur evtl. einen anderen Anhaltspunkt. Oder ob ihr es genau so machen würdet.
Ich soll mit der bestehenden Infrastruktur das machen was ursprünglich geplant war. Es ist nicht auf meinem Mist gewachsen.

Ich hab auch noch nie 2 Exchange Instanzen mit verschiedenen Domains an einem Internetanschluss betrieben.
Er will beide Exchange Instanzen nutzen, da er beide bezahlt hat.

@wiesi200
Werde das mit einem reverse proxy lösen. Das scheint mir die eleganteste Lösung und pfSense scheint das auch zu können.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 08.09.2018 um 18:25:18 Uhr
Goto Top
Jens, dann schreib mir eine PN, dann können wir dies gerne komplett gemeinsam auf und umsetzen.

Aber nach der Planung ist das Murks, egal von wessen Mist ;)

Viele Grüße
Mitglied: StefanKittel
StefanKittel 08.09.2018 um 22:29:29 Uhr
Goto Top
Hallo,

ja, kann man so machen.
Ich würde es nicht so machen.

Nur ganz kurz. Es gibt noch sehr viele Fragen die man vorher klären sollte.
Auch wenn es kein großes Projekt ist, es ist doch ein Projekt und jedes Projekt verlangt nach ordentlicher Planung.
Sonst wird das einfach nichts.

Ist auf die Frage warum der aktuelle Dienstleister das nicht umsetzen konnte?
Planungsfehler, Budget, Unfähig?

Ich würde:
- 10G Switch oben kommt ersatzlos weg
- FB kommt ersatzlos weg (Consumer-Technik)
- Eine Firewall für beide Firma (19" Server mit Xeon, RAM und SSD, mind 5x (besser 8x) LAN, Software pfsense)
Je nach Performance gerne mit 10G für die LAN Anschlüsse

1x WAN zum DSL Modem (z.B. Vigor 130)
1x LAN zur Firma A
1x DMZ zur Firma A
1x LAN zur Firma B
1x DMZ zur Firma B

Man kann auch einen großen Switch mit VLAN für beide Firmen nehmen.
Z.B. Cisco 500er. Dann ist man flexibler.

Wenn Mitarbeiter von Firma A und B jeweils auf den Server der anderen Firma zugrifen wollen gibt es 2 Sicherheitskonzepte:
1. Keine Sicherheit, reines IP-Routing und fertig, einfach und wenig sicher
2. Vollständige Sicherheit, die pfsense routet und "firewallt" zwischen den Firma
Damit das performant ist, muss die ordentlich bums haben. eine APU 2C4 reicht hier nicht.

Stefan
Mitglied: aqui
aqui 08.09.2018 aktualisiert um 22:48:19 Uhr
Goto Top
wenn du von Tuten und blasen keine Ahnung hast?
Wie geht den Tuten ??? face-monkey

Ich stimme dem Kollegen Kittel zu und würde es auch genau so machen wie er beschrieben hat.
Es sei denn auch die strikte Trennung der Hardware wäre zwingend vorgeschrieben.
Der 10G Switch ist da in der Tat völlig sinfreier Overkill. Was hat dich da denn bloß geritten bei niedriger Internet Geschw. einen 10G Switch dort sinnlos zu verbraten ? Der wäre im LAN besser aufgehoben.
Vor allem da dann eine Spielzeug FritzBox anzuschliessen krönt das ganze...aber egal.
Mit dem Design des Kollegen Kittel ist der gegenseitige Server Zugriff erheblich einfacher zu gestalten und vor allem sicherer.
Außerdem vermeidet eine zentrale Firewall das Doppelte NAT bei gegenseitigem Zugriff über den WAN Port und das damit verbundene "Aufbohren" der Firewall. (Sicherheit)
Ist Redundanz gefordert kann man die pfSense FW auch clustern.
Nimm dir den Kollegen certifiedit an die Hand dann wird das auch was...
Mitglied: StefanKittel
StefanKittel 08.09.2018 aktualisiert um 23:32:18 Uhr
Goto Top
Hallo,

Zitat von @aqui:
wenn du von Tuten und blasen keine Ahnung hast?
Wie geht den Tuten ??? face-monkey
http://muppet.wikia.com/wiki/Honkers
https://www.youtube.com/watch?v=-CwSMc4aKj0

Stichwort Projektplanung.
Die ist wichtig. Alles was man hier verbockt kann man später nicht mehr umsetzen oder es dauert viel länger und wird viel teurer.
Deshalb nimm Dir Jemand an die Hand der über das Fachwissen und vor allem praktische Erfahrung verfügt.
Der muss das Projekt ja nicht umsetzen. Die Planung und Umsetzung sind völlig getrennt. Du kannst es dann auch selber umsetzen.
Wenn ich mir nicht sicher bin, hole ich mir immer Rat von einem Experten. Das kostet nur wenig Geld im Verhältnis und man lernt immer was.

Viele Grüße

Stefan
Mitglied: the-buccaneer
the-buccaneer 09.09.2018 aktualisiert um 02:05:42 Uhr
Goto Top
Ist ja schon von gestern und fast alles gesagt... aber was mir noch einfällt ist:

Schau mal bei der Planung, ob nicht beide Exchange besser über einen Smarthost arbeiten und die eingehenden Mails aktiv z.B. mit pullution.net abholen. Je nach Domain / Webspaceprovider macht das für kleine Firmen aus vielerlei Gründen bedeutend mehr Sinn.
Meiner Erfahrung nach kannst du die FB stabil und performant als Internetzugangsbüchse einsetzen und die pfSense dahinter eben als "Exposed Host" definieren. Hast du halt doppeltes NAT, funktioniert in meinen fällen aber mehrfach stabil. (Da ja das vorhandene Equipment verwendet werden soll)

Dass du den Auftrag angenommen hast, ohne einen Plan zur Lösung der Aufgabe zu haben, war mutig. face-wink

OT: Tuten ging so, lieber aqui, schon vergessen? https://www.youtube.com/watch?v=KJJW7EF5aVk
@StefanKittel: Die Jungs hatte ich völlig vergessen.

Meep meep!
Buc
Mitglied: Jens1982
Jens1982 09.09.2018 aktualisiert um 10:41:51 Uhr
Goto Top
@certifiedit.net
Danke, darauf komme ich heute Abend zurück.

@StefanKittel (Level 4)
Ich würde:
- 10 G Switch oben kommt ersatzlos weg --- Über den Switch laufen jeweils Backups der Server. Jede Nacht und von einer Firma zur anderen. Die 2 Synologys hängen mit jeweils 2x 1 G im Netzwerk. Server ebenfalls mit 10 G angebunden.
- FB kommt ersatzlos weg (Consumer-Technik) --- Meine Rede. FirtzBox war sehr teuer, Kunde möchte keine neue Hardware kaufen. Die FitzBox im Domänennetzwerk zu betreiben ist der blanke Horror.
- Eine Firewall für beide Firma (19" Server mit Xeon, RAM und SSD, mind 5x (besser 8x) LAN, Software pfSense)
Je nach Performance gerne mit 10 G für die LAN Anschlüsse --- So viel Bums hätte ich da jetzt nicht rein gepackt. ^^ Lasse mich gerne eine besseren belehren.

@aqui
Der 10 G Switch ist das einzige Sinnvolle in diesem Netzwerk. Dort läuft halt nachts der meiste Traffic durch.
Wobei das Back-up-Konzept auch eher fragwürdig ist.

@the-buccaneer
Das wäre mal noch ein Anhaltspunkt. Vielen Dank.

Naja mutig jetzt nicht. Wir sind ja noch bei: Ich schau mir das mal an.
Schwierig macht das Projekt, dass KEINE neue Hardware angeschafft werden soll / darf. Der alte IT-ler verweigert konsequent die Zusammenarbeit. Es gibt null Dokumentation dazu.
Alles soll mit den eingesetzten Komponenten funktionieren.
Einsehen dass das alles Murks ist wollen sie es nicht. Firma A läuft schon seit fast 3 Jahren stabil.
Mitglied: aqui
aqui 09.09.2018 um 10:52:30 Uhr
Goto Top
Dort läuft halt nachts der meiste Traffic durch.
Na ja...durch die Firewall mit doppeltem NAT und Port Forwarding. Die werden sicher keinen guten 10G Durchsatz haben !
Wenn dann sollte man das ohne NAT machen oder mit einem NAS als Backup was jeweils ein Bein ins eine oder andere Netz hat bzw. im DMZ Segment wenns sicher sein soll.
Kollege Kittel hat ja die richtige Marschrichtung schon vorgegeben....
Und....endlich weiss ich was tuten ist face-big-smile !!!
Mitglied: Vision2015
Vision2015 09.09.2018 um 15:52:59 Uhr
Goto Top
Moin...
Zitat von @Jens1982:

Hallo Leute,

ich hoffe ihr könnt mir hier weiterhelfen.
Klar doch....wir haben im Forum mindestens 1000 Jahre erfahrung... face-smile

Ich habe einen Kunden, der mit seinem bisherigen IT-Dienstleister sehr unzufrieden ist und mich jetzt beauftragt hat das Projekt fertigzustellen.
oh... was für ein glück für dich face-smile

Es handelt sich um ein Gebäude mit zwei Firmen (ein GF). Firma B ist jetzt gewachsen und soll nun ein eigenes Netzwerk erhalten.
Ich habe die aktuelle Situation mal skizziert.

unbenannt

Firma A hat ein funktionierendes Netzwerk.
noch... face-smile
Firma B hat nur einen halbwegs funktionierenden DC. Exchange ist noch nicht eingerichtet. Das ist auch gar nicht das Problem.
äh...sach mal, ist die an deiner skizze noch nix aufgefallen?

Beide DC sollen in beiden Netzwerken erreichbar sein. Die DC stellen Dateifreigaben und Drucker bereit, die jeweils von beiden Firmen/Netzen genutzt werden sollen.
Bitte was? ein DC mit Dateifreigaben?!? wer mach sowas, und du hast nicht gleich STOPP gesagt?

Wie bewerkstellige ich das am besten mit pfSense in der skizzierten Situation?
wie jetzt... face-smile


Meine Idee wäre jetzt an beiden DC eine zusätzliche NIC einzurichten und mittels VLAN (über ESXi) beide DC unter einer festen IP in das jeweils andere Netzwerk zu integrieren.
DNS und DHCP werden dann jeweils vom eigenen DC weiterhin gemanagt. Klappt das so? Diese Situation hatte ich noch nicht.

Kann ich beide Exchange auf Port 25 lauschen lassen und jeweils nur die für die Domain bestimmten Mails annehmen lassen? Es gibt ja nur einen Internetanschluss.
...die frage ist jetzt nicht dein ernst, oder ?
nun Kollege Kittel hat das einzigste vernünftige dazu als lösung geschrieben!
was ich mich aber frage ist, wie kannst du einen auftrag annehmen- den du nicht selber ausführen kannst? wenn ein Kunde zu mir sagt "alter IT-Dienstleister sehr unzufrieden" gehen bei mir jedenfalls die Alarmnglocken an... wenn ich deine skitzze vom netz so sehe, hättest du sofort sagen müssen- sorry, Nein das geht so nicht... und ich kann das nicht!

übrigens wir haben viele neue kunden mit "wir sind mit dem alten IT-Dienstleister sehr unzufrieden"
zu 40 % kann ich sagen, der alte IT-Dienstleister hat keine Fehler gemacht, sondern der Kunde, wenn man aus Geldmangel/ Geiz / Besserwisserei anfangen muss zu groben unfug zu bauen, hat das keinen wert... dann trennt man sich besser von dem kunden!
und der geht dann zu einem 28,00 euro in der stunde kistenschieber- der sowiso alles besser kann, als jedes systemhaus!
und der kreislauf geht von vorn los...... face-smile

ich dir nur einen guten rat geben, werft das ganze konzept in den gulli, und plant neu, so wie es sein soll!
früher oder später wird das ein bumerang.

Frank


Danke im Voraus.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 09.09.2018 aktualisiert um 16:23:51 Uhr
Goto Top
nun Kollege Kittel hat das einzigste vernünftige dazu als lösung geschrieben!
was ich mich aber frage ist, wie kannst du einen auftrag annehmen- den du nicht selber ausführen kannst? wenn ein Kunde zu mir sagt "alter IT-
Dienstleister sehr unzufrieden" gehen bei mir jedenfalls die Alarmnglocken an... wenn ich deine skitzze vom netz so sehe, hättest du sofort sagen > müssen- sorry, Nein das geht so nicht... und ich kann das nicht!

übrigens wir haben viele neue kunden mit "wir sind mit dem alten IT-Dienstleister sehr unzufrieden"
zu 40 % kann ich sagen, der alte IT-Dienstleister hat keine Fehler gemacht, sondern der Kunde, wenn man aus Geldmangel/ Geiz / Besserwisserei > anfangen muss zu groben unfug zu bauen, hat das keinen wert... dann trennt man sich besser von dem kunden!
und der geht dann zu einem 28,00 euro in der stunde kistenschieber- der sowiso alles besser kann, als jedes systemhaus!
und der kreislauf geht von vorn los......

1. Superlativ von einzige? Das einzigste, supereinzige oder das allereinzigste? (Ist dann wohl numerisch ~0,999, ~0,998, ~0,997...? ) face-big-smile
2. Kollege kittel hat nur mehr oder weniger ausformuliert, was sich alle anderen dachten - ich sprach den Rest von dir pointierter an: Was soll der Mist + das Ding, mit welchem mit Hilfe der Kollegen @aqui dann auch erklärt wurde, was Tuten ist face-wink

In Summe aber das gleiche Résumé.

Nach aktueller Skizzierung + Planung wird das nichts.
Mitglied: Vision2015
Vision2015 09.09.2018 um 18:38:19 Uhr
Goto Top
Moin...

1. Superlativ von einzige? = Mega face-smile
du, komm mal bei mich bei, bzw. zu mich in den Pott...
als kölner lernst du da echt noch umgangsprache und kultur... face-smile
ich sprach den Rest von dir pointierter an:
alter....jetzt komm mir nicht so....

face-smile

Frank
Mitglied: falscher-sperrstatus
falscher-sperrstatus 09.09.2018 aktualisiert um 18:52:00 Uhr
Goto Top
Alter face-wink wenn ich mal in der Ecke sein sollte, warum nicht.

Schönen Abend
Mitglied: Vision2015
Vision2015 09.09.2018 um 19:00:00 Uhr
Goto Top
Zitat von @falscher-sperrstatus:

Alter face-wink wenn ich mal in der Ecke sein sollte, warum nicht.

Schönen Abend
ok... die einladung steht

Frank