gelöst Server im RZ als DC, Dateiserver, Mailserver - Wie absichern?
Hallo,
ich spiele mit dem Gedanken mir Privat einen Server ins RZ zu stellen.
Auf dem Server soll folgendes laufen:
Hostsystem: Windows Server 2012 Std.
-Hyper-V
-VPN
-Webserver
-FTP/Webdav
virtuell 1: Windows Server 2008R2 Std.
-Exchange 2010 SP3 (OWA, Active Sync)
virtuell 2: Windows Server 2008R2 Std.
-DC
Wofür soll der Server genutzt werden?
Familie & Freunde
Bilder zu sharen, eigenen Mailserver wegen eigerner Domain.
Vorhanden:
Kenntnisse im Bereich Windows Server, Linux Server (auszubildender Fachinformatiker)
Konzept zur Durchführung
Microsoft Lizenzen Lizenzen
Was wird bestellt?
1x Server
- Intel Xenon E5645
- 16-32 GB RAM
- 2x2 TB HDD
- 4x 100 MBIT Anbindung
- 3Ware HW 9650SE-2LP HW RAID Controller
- 4 öffentliche IPv4 Adressen
Wie könnte ich z.B meine Clients zu Hause in die Domäne im RZ aufnehmen?
- VPN Verbindung aufbauen oder wie?
Sollte ich ein interes Netzwerk anlegen mit 192.168.178.xxx für die v-Server und
der Host bekommt die öffentlichen Adressen?
Was habt ihr für Kritik/Vorschläge für mich?
Gruß!
ich spiele mit dem Gedanken mir Privat einen Server ins RZ zu stellen.
Auf dem Server soll folgendes laufen:
Hostsystem: Windows Server 2012 Std.
-Hyper-V
-VPN
-Webserver
-FTP/Webdav
virtuell 1: Windows Server 2008R2 Std.
-Exchange 2010 SP3 (OWA, Active Sync)
virtuell 2: Windows Server 2008R2 Std.
-DC
Wofür soll der Server genutzt werden?
Familie & Freunde
Bilder zu sharen, eigenen Mailserver wegen eigerner Domain.
Vorhanden:
Kenntnisse im Bereich Windows Server, Linux Server (auszubildender Fachinformatiker)
Konzept zur Durchführung
Microsoft Lizenzen Lizenzen
Was wird bestellt?
1x Server
- Intel Xenon E5645
- 16-32 GB RAM
- 2x2 TB HDD
- 4x 100 MBIT Anbindung
- 3Ware HW 9650SE-2LP HW RAID Controller
- 4 öffentliche IPv4 Adressen
Wie könnte ich z.B meine Clients zu Hause in die Domäne im RZ aufnehmen?
- VPN Verbindung aufbauen oder wie?
Sollte ich ein interes Netzwerk anlegen mit 192.168.178.xxx für die v-Server und
der Host bekommt die öffentlichen Adressen?
Was habt ihr für Kritik/Vorschläge für mich?
Gruß!
15 Antworten
- LÖSUNG manbar schreibt am 04.07.2013 um 16:08:55 Uhr
- LÖSUNG ChrisIO schreibt am 04.07.2013 um 16:12:27 Uhr
- LÖSUNG banane31 schreibt am 04.07.2013 um 18:40:26 Uhr
- LÖSUNG certifiedit.net schreibt am 04.07.2013 um 21:40:00 Uhr
- LÖSUNG tikayevent schreibt am 04.07.2013 um 22:38:58 Uhr
- LÖSUNG banane31 schreibt am 09.07.2013 um 17:35:22 Uhr
- LÖSUNG ChrisIO schreibt am 09.07.2013 um 18:11:06 Uhr
- LÖSUNG banane31 schreibt am 09.07.2013 um 18:13:16 Uhr
- LÖSUNG certifiedit.net schreibt am 09.07.2013 um 18:48:59 Uhr
- LÖSUNG banane31 schreibt am 09.07.2013 um 18:53:36 Uhr
- LÖSUNG ChrisIO schreibt am 09.07.2013 um 19:25:35 Uhr
- LÖSUNG banane31 schreibt am 10.07.2013 um 08:03:22 Uhr
- LÖSUNG certifiedit.net schreibt am 10.07.2013 um 10:55:09 Uhr
- LÖSUNG ChrisIO schreibt am 10.07.2013 um 11:33:09 Uhr
- LÖSUNG banane31 schreibt am 10.07.2013 um 16:00:31 Uhr
- LÖSUNG banane31 schreibt am 10.07.2013 um 08:03:22 Uhr
- LÖSUNG ChrisIO schreibt am 09.07.2013 um 19:25:35 Uhr
- LÖSUNG banane31 schreibt am 09.07.2013 um 18:53:36 Uhr
- LÖSUNG certifiedit.net schreibt am 09.07.2013 um 18:48:59 Uhr
- LÖSUNG banane31 schreibt am 09.07.2013 um 18:13:16 Uhr
- LÖSUNG ChrisIO schreibt am 09.07.2013 um 18:11:06 Uhr
- LÖSUNG banane31 schreibt am 09.07.2013 um 17:35:22 Uhr
- LÖSUNG tikayevent schreibt am 04.07.2013 um 22:38:58 Uhr
- LÖSUNG certifiedit.net schreibt am 04.07.2013 um 21:40:00 Uhr
- LÖSUNG banane31 schreibt am 04.07.2013 um 18:40:26 Uhr
LÖSUNG 04.07.2013 um 16:08 Uhr
VPN geht, wird aber Clientseitig eher haarig. Mal als Denkhilfe:
Das VPN-Clientprogramm startest du erst nach der Anmeldung. Die VPN-Verbindung muss aber schon verfügbar sein, sonst findet der Rechner den Anmeldeserver nicht ;)
Du kannst das umgehen wenn du einen VPN-fähigen Router einsetzt, der übernimmt die Verbindung ins Firmennetz bevor der Rechner hochgefahren ist.
Und JA du solltest ganz dringend deinen Server in komplett anderen Netzbereichen betreiben wie den Rest des RZ.
Aber mal aus Neugier: wer finanziert eigentlich das Schmuckstück zur privaten Vergnüglichkeit?
Das VPN-Clientprogramm startest du erst nach der Anmeldung. Die VPN-Verbindung muss aber schon verfügbar sein, sonst findet der Rechner den Anmeldeserver nicht ;)
Du kannst das umgehen wenn du einen VPN-fähigen Router einsetzt, der übernimmt die Verbindung ins Firmennetz bevor der Rechner hochgefahren ist.
Und JA du solltest ganz dringend deinen Server in komplett anderen Netzbereichen betreiben wie den Rest des RZ.
Aber mal aus Neugier: wer finanziert eigentlich das Schmuckstück zur privaten Vergnüglichkeit?
LÖSUNG 04.07.2013, aktualisiert um 16:14 Uhr
Hey,
also ich frage mich immer ob es so eine gute Idee ist, einen Windows Server direkt ins Netz zu stellen, ohne Diesen zumindest über eine Firewall abzusichern und bin selber gespannt, auf Antworten.
Ich würde das Konzept so als unsicher einstufen, aber wer bin ich schon? ;)
Als Hypervisor hätte ich vermutlich einen ESXi oder einen Xen gewählt und mindestens eine virtuelle Firewall würde in meinem Konzept vorkommen.
Wie steht es mittlerweile eigentlich mit Schutz für den Hypervisor an sich?
Kann da mal jemand berichten?
Gruß,
Chris
also ich frage mich immer ob es so eine gute Idee ist, einen Windows Server direkt ins Netz zu stellen, ohne Diesen zumindest über eine Firewall abzusichern und bin selber gespannt, auf Antworten.
Ich würde das Konzept so als unsicher einstufen, aber wer bin ich schon? ;)
Als Hypervisor hätte ich vermutlich einen ESXi oder einen Xen gewählt und mindestens eine virtuelle Firewall würde in meinem Konzept vorkommen.
Wie steht es mittlerweile eigentlich mit Schutz für den Hypervisor an sich?
Kann da mal jemand berichten?
Gruß,
Chris
LÖSUNG 04.07.2013 um 18:40 Uhr
Hallo,
besten Dank für die Vorschläge.
Der Server ist schon in meinem Eigentum, die Lizenz kommen aus nem Action Pack, da es für mich auch Weiterbildung ist und Erfahrungen sammeln.
Lediglich die Stelltplatzgebühren (39,99€/mntl) fallen an.
Ich hatte vor noch nen virtuellen Linux aufzusetzen und dort ne Soft-Firewall raufzuhauen...MS Server 2012 Std. bietet aber nur 2 virtuellen instanzen...
Windows bringt an sich ja auch schon ne Softwarewall mit...
Danke für den Tipp mit dem VPN, dass mit der Verfügbarkeit vom Server war mir schon klar, wenn Server nicht erreichbar, dann keine Anmeldung möglich. Aber mit dem VPN direkt im Router...TOP IDEE!
Desweiteren soll auf dem Hostsystem Kaspersky installiert werden.
besten Dank für die Vorschläge.
Der Server ist schon in meinem Eigentum, die Lizenz kommen aus nem Action Pack, da es für mich auch Weiterbildung ist und Erfahrungen sammeln.
Lediglich die Stelltplatzgebühren (39,99€/mntl) fallen an.
Ich hatte vor noch nen virtuellen Linux aufzusetzen und dort ne Soft-Firewall raufzuhauen...MS Server 2012 Std. bietet aber nur 2 virtuellen instanzen...
Windows bringt an sich ja auch schon ne Softwarewall mit...
Danke für den Tipp mit dem VPN, dass mit der Verfügbarkeit vom Server war mir schon klar, wenn Server nicht erreichbar, dann keine Anmeldung möglich. Aber mit dem VPN direkt im Router...TOP IDEE!
Desweiteren soll auf dem Hostsystem Kaspersky installiert werden.
LÖSUNG 04.07.2013 um 21:40 Uhr
Ein Serverstellplatz (nicht nur Miete?) mit 4 IPs für 39,99? Wie geht das?
Ansonsten ist alles gesagt:Firewall davor (bestenfalls Hardware), da wenn die Firewall korrumpiert (solls geben) immernoch ein Schritt weiter gegangen werden muss. Bei der Windowsfirewall bist du dann direkt auf dem System und dein Szenario sollte dich ja lehren, wie es geht und nicht, wie man sich einen Honeypot aufsetzt, und es eben nicht geht.
Grüße
Ansonsten ist alles gesagt:Firewall davor (bestenfalls Hardware), da wenn die Firewall korrumpiert (solls geben) immernoch ein Schritt weiter gegangen werden muss. Bei der Windowsfirewall bist du dann direkt auf dem System und dein Szenario sollte dich ja lehren, wie es geht und nicht, wie man sich einen Honeypot aufsetzt, und es eben nicht geht.
Grüße
LÖSUNG 04.07.2013 um 22:38 Uhr
Ich habe auch einen DC im Rechenzentrum stehen, aber nicht privat. Der dient da als RADIUS-Server für eine große WLAN-Installation.
Ich hab einfach einen VPN-Router davorgeschaltet, sprich der DC steht nicht direkt im Internet. In den jeweiligen Filialen ist so oder so schon ein VPN-Router vorhanden.
Einfach ein Router ins RZ, einer zuhause, IPSec-Tunnel zwischen und los gehts. Kost etwas mehr, aber die paar Euros sollte man sich gönnen.
Ich hab einfach einen VPN-Router davorgeschaltet, sprich der DC steht nicht direkt im Internet. In den jeweiligen Filialen ist so oder so schon ein VPN-Router vorhanden.
Einfach ein Router ins RZ, einer zuhause, IPSec-Tunnel zwischen und los gehts. Kost etwas mehr, aber die paar Euros sollte man sich gönnen.
LÖSUNG 09.07.2013 um 17:35 Uhr
Ich habe zu Hause eine FritzBox 2170, dort hängt das DSL dran (192.168.178.xxs Bereich)
von dort geht ein Cat 7 Netzwerkkabel zu mir in den Raum.
Hier steht ein TP-Link TL-WR720N.und ein DLINK 8 Port Switch
Dieser dient als WLAN Router und versorgt den Switch über LAN (10.0.1.xxx)
Wie richte ich da jetzt am geschicktesten VPN zum RZ ein?
Geräte im 192.168.178.xxx Netz:
4 PC's
NAS
PlayStation 3
Fernseher
Die Geräte gehören meinen Eltern!
Geräte im 10.0.1.xxx Netz:
2 PC's
Notebook
Tablet
Smartphone
PlayStation 3
XBOX 360
Fernseher
NAS
Netzwerkkamera
Meine Geräte!
Ich habe hier auch noch einen alten Edimax BR-6228nS stehen....vielleicht hilft der ja?!
Wäre sehr nett wenn mir jemand hilft
von dort geht ein Cat 7 Netzwerkkabel zu mir in den Raum.
Hier steht ein TP-Link TL-WR720N.und ein DLINK 8 Port Switch
Dieser dient als WLAN Router und versorgt den Switch über LAN (10.0.1.xxx)
Wie richte ich da jetzt am geschicktesten VPN zum RZ ein?
Geräte im 192.168.178.xxx Netz:
4 PC's
NAS
PlayStation 3
Fernseher
Die Geräte gehören meinen Eltern!
Geräte im 10.0.1.xxx Netz:
2 PC's
Notebook
Tablet
Smartphone
PlayStation 3
XBOX 360
Fernseher
NAS
Netzwerkkamera
Meine Geräte!
Ich habe hier auch noch einen alten Edimax BR-6228nS stehen....vielleicht hilft der ja?!
Wäre sehr nett wenn mir jemand hilft
LÖSUNG 09.07.2013 um 18:11 Uhr
Hey,
so z.B.:
http://www.tecchannel.de/netzwerk/wan/435560/fritz_box_vpn_anleitung_si ...
Gruß,
Chris
so z.B.:
http://www.tecchannel.de/netzwerk/wan/435560/fritz_box_vpn_anleitung_si ...
Gruß,
Chris
LÖSUNG 09.07.2013 um 18:13 Uhr
ich wollte es gerne so haben, dass nur ich über VPN erstmal verbunden bin, damit ich erstmal testen kann etc.
also am besten mit dem Edimax Router oder dem TP-Link.
Hatte ich vergessen zu schreiben sorry.
also am besten mit dem Edimax Router oder dem TP-Link.
Hatte ich vergessen zu schreiben sorry.
LÖSUNG 09.07.2013 um 18:48 Uhr
Unterstützen die VPN?
Nebenbei: Was bringt dir ein "erstmal nur du", wenn die Geräte unterschiedlicher nicht sein könnten?
Oder willst du den potenzierten Arbeitsaufwand?
Nebenbei: Was bringt dir ein "erstmal nur du", wenn die Geräte unterschiedlicher nicht sein könnten?
Oder willst du den potenzierten Arbeitsaufwand?
LÖSUNG 09.07.2013 um 18:53 Uhr
Der Arbeitsaufwand ist relativ...ich will erstmal testen, ob das alles läuft und vorallem auch wie flüssig.
Habe nun den Edixmax Router dafür "missbraucht" er hat bei mir nun intern die IP: 10.0.1.2
Ja ich darf VPN auf meinem Server einrichten.
Der VPN Dienst läuft jetzt auf nem Server 2008R2 Std.
Direkt über Windows 8 kann ich mich via VPN einwählen, aber der Router machts nicht mit.
Anbei mal ein Screen von der L2TP Konfig...haut leider nicht hin!
Habe nun den Edixmax Router dafür "missbraucht" er hat bei mir nun intern die IP: 10.0.1.2
Ja ich darf VPN auf meinem Server einrichten.
Der VPN Dienst läuft jetzt auf nem Server 2008R2 Std.
Direkt über Windows 8 kann ich mich via VPN einwählen, aber der Router machts nicht mit.
Anbei mal ein Screen von der L2TP Konfig...haut leider nicht hin!
LÖSUNG 09.07.2013, aktualisiert um 19:28 Uhr
Hey,
was machst Du denn da?
In dem Fenster sieht es eher so aus, als solltest Du dort die Wan-Verbindung konfigurieren.
In deinem Fall würde ich auf Static-IP wechseln und dann auf eine IP aus dem Adressbereich des TP-Links wählen.
Als DNS und Gateway den TP-Link angeben und dann sollte die Kiste online sein.
Anschließen hast Du wohl die Möglichkeit mit dem Edimax eine IPSec-Verbindung zum OPENVPN-Server im Rechenzentrum aufzubauen.
Das müsste aber wohl in einem anderen Menüpunkt passieren.
Ich hoffe deine Server Kenntnisse sind besser, als deine Router Kenntnisse.
Denn wenn dein Rechner im Rechenzentrum von Dritten missbraucht wird, kannst Du rechtlich dafür belangt werden.
Gruß,
Chris
was machst Du denn da?
In dem Fenster sieht es eher so aus, als solltest Du dort die Wan-Verbindung konfigurieren.
In deinem Fall würde ich auf Static-IP wechseln und dann auf eine IP aus dem Adressbereich des TP-Links wählen.
Als DNS und Gateway den TP-Link angeben und dann sollte die Kiste online sein.
Anschließen hast Du wohl die Möglichkeit mit dem Edimax eine IPSec-Verbindung zum OPENVPN-Server im Rechenzentrum aufzubauen.
Das müsste aber wohl in einem anderen Menüpunkt passieren.
Ich hoffe deine Server Kenntnisse sind besser, als deine Router Kenntnisse.
Denn wenn dein Rechner im Rechenzentrum von Dritten missbraucht wird, kannst Du rechtlich dafür belangt werden.
Gruß,
Chris
LÖSUNG 10.07.2013 um 08:03 Uhr
Das hatte ich auch schon probiert, doch leider bieten beide Router keine andere Einstellungsmöglicheit mit VPN.
Die FritzBox bietet diese Funktion leider auch nicht...
Welchen Router könntet ihr denn für mich empfehlen?
Am liebsten wäre mir einer für ~20€ mit WLAN und mindestens 2x LAN
Die FritzBox bietet diese Funktion leider auch nicht...
Welchen Router könntet ihr denn für mich empfehlen?
Am liebsten wäre mir einer für ~20€ mit WLAN und mindestens 2x LAN
LÖSUNG 10.07.2013 um 10:55 Uhr
Bei der FritzBox geht das über einen externen Manager.
Eierlegende Wollmilchsau für kein Geld? Nimm den Mikrotik, der sollte, laut Aquis Schilderungen VPN können. Für WLAN und LAN musst du dir aber noch einen AP+ Switch besorgen. Oder du nimmst die FritzBox.
Eierlegende Wollmilchsau für kein Geld? Nimm den Mikrotik, der sollte, laut Aquis Schilderungen VPN können. Für WLAN und LAN musst du dir aber noch einen AP+ Switch besorgen. Oder du nimmst die FritzBox.
LÖSUNG 10.07.2013 um 11:33 Uhr
Zitat von banane31:
Das hatte ich auch schon probiert, doch leider bieten beide Router keine andere Einstellungsmöglicheit mit VPN.
Die FritzBox bietet diese Funktion leider auch nicht...
Das hatte ich auch schon probiert, doch leider bieten beide Router keine andere Einstellungsmöglicheit mit VPN.
Die FritzBox bietet diese Funktion leider auch nicht...
Laut Datenblättern, können Die Das beide!
Welchen Router könntet ihr denn für mich empfehlen?
Am liebsten wäre mir einer für ~20€ mit WLAN und mindestens 2x LAN
Halte zwar nicht so viel von TP-Link, aber in deiner Preisklasse vielleicht ne Überlegung wert.
http://www.tp-link.com.de/products/details/?categoryid=&model=TL-WR ...
Darauf dann:
http://www.dd-wrt.com/
Abschließend so konfigurieren:
http://www.dd-wrt.com/wiki/index.php/OpenVPN-Tunnel_Server_/_Client%2C_ ...
Gruß,
Chris
LÖSUNG 10.07.2013 um 16:00 Uhr
ok vielen Dank für die Ratschläge!
Ich habe hier auch noch nen Raspberry Pi B rumliegen, könnte sich das auch via VPN und mein Netzwerk zu Hause mit VPN versorgen?
Ich habe hier auch noch nen Raspberry Pi B rumliegen, könnte sich das auch via VPN und mein Netzwerk zu Hause mit VPN versorgen?
Ähnliche Inhalte
Neue Wissensbeiträge
Heiß diskutierte Inhalte
