17
2 Firmen auf gleicher Hardware über VLANs und Virtualisierung ?
Hallo zusammen,
ich bin neu in diesem Forum und manage die EDV in einer kleinen Firma nebenbei. Dieses Forum hat mich schon einige Male weiter gebracht und andere Male habe ich auch schon weiter bringen können. Daher habe ich mich dazu entschlossen der Community beizutreten. Ist zudem auch das erste Forum in dem ich aktiv werden möchte.
In unserem Bürogebäude befinden sich 2 unabhängige, kleine Firmen (A und B). Da Firma A und B nun in neue Hardware im Bereich TK-Anlage und Server investieren muss, entstand nun folgende Idee:
Ein neuer Server mit Virtualisierungsumgebung (VMware ESX) soll gemeinsam angeschafft werden. Beide Firmen bekommen dann jeweils eine eigene VM mit eigenem DC, DHCP ect. Beide Firmen haben einen eigenen DSL Anschluss und nutzen diesen dann im jeweiligen VLAN als Gateway ins WAN.
Die VMs kann ich dann über die vorhandene Netzwerkkarte (4 Ports) trennen und auf zwei VLANs splitten. Port 2 = VLAN 10 = Firma A | Port 3 = VLAN 20 = Firma B. Port 1 der Netzwerkkarte bleibt dann auf dem default VLAN (VLAN1) um den ESX zu administrieren.
Soweit ohne probleme umsetzbar.
Nun zum eigentlichen "Problem"?:
Als TK-Anlage soll zur gemeinsamen Nutzung eine neue Agfeo ES 628 angeschafft werden, damit die vorhandenen Systemtelefone jeweils weiter verwendet werden können. Die TK-Anlage lässt sich dann auch so konfigurieren, dass die Firmen über Ihre eigenen SIP-Konten telefonieren. Also getrennte Rechnungen usw. Dies funktioniert aber nur so einfach, solange ich die vorhandenen Systemtelefone über die alte up0 Technik anbinde.
Wie verhält sich das aber nun, wenn ich in beiden Firmen in Zukunft IP Telefone aufstelle. Die TK-Anlage hängt später in VLAN1. Die Telefone von Firma A aber dann in VLAN10 und von Firma B in VLAN 20. Mir ist soweit klar, dass hierfür dann ein Layer3 Switch benötigt wird, um beide VLANS zum VLAN1 Routen zu können. Ist es aber dann auch möglich nur ein Routing auf die TK-Anlage zuzulassen? Damit praktisch die anderen Geräte in VLAN1 nicht durch VLAN10 und VLAN20 erreicht werden können?
Habe ich bei solch einer Konfiguration später auch die Möglichkeit für jede Firma einen eigenen CTI Server zu installieren?
Hat den jemand solch eine Lösung oder etwas ähnliches schon einmal realisiert?
Für Anregungen und Hilfestellung bin ich euch sehr dankbar.
Viele Grüße
Matt
ich bin neu in diesem Forum und manage die EDV in einer kleinen Firma nebenbei. Dieses Forum hat mich schon einige Male weiter gebracht und andere Male habe ich auch schon weiter bringen können. Daher habe ich mich dazu entschlossen der Community beizutreten. Ist zudem auch das erste Forum in dem ich aktiv werden möchte.
In unserem Bürogebäude befinden sich 2 unabhängige, kleine Firmen (A und B). Da Firma A und B nun in neue Hardware im Bereich TK-Anlage und Server investieren muss, entstand nun folgende Idee:
Ein neuer Server mit Virtualisierungsumgebung (VMware ESX) soll gemeinsam angeschafft werden. Beide Firmen bekommen dann jeweils eine eigene VM mit eigenem DC, DHCP ect. Beide Firmen haben einen eigenen DSL Anschluss und nutzen diesen dann im jeweiligen VLAN als Gateway ins WAN.
Die VMs kann ich dann über die vorhandene Netzwerkkarte (4 Ports) trennen und auf zwei VLANs splitten. Port 2 = VLAN 10 = Firma A | Port 3 = VLAN 20 = Firma B. Port 1 der Netzwerkkarte bleibt dann auf dem default VLAN (VLAN1) um den ESX zu administrieren.
Soweit ohne probleme umsetzbar.
Nun zum eigentlichen "Problem"?:
Als TK-Anlage soll zur gemeinsamen Nutzung eine neue Agfeo ES 628 angeschafft werden, damit die vorhandenen Systemtelefone jeweils weiter verwendet werden können. Die TK-Anlage lässt sich dann auch so konfigurieren, dass die Firmen über Ihre eigenen SIP-Konten telefonieren. Also getrennte Rechnungen usw. Dies funktioniert aber nur so einfach, solange ich die vorhandenen Systemtelefone über die alte up0 Technik anbinde.
Wie verhält sich das aber nun, wenn ich in beiden Firmen in Zukunft IP Telefone aufstelle. Die TK-Anlage hängt später in VLAN1. Die Telefone von Firma A aber dann in VLAN10 und von Firma B in VLAN 20. Mir ist soweit klar, dass hierfür dann ein Layer3 Switch benötigt wird, um beide VLANS zum VLAN1 Routen zu können. Ist es aber dann auch möglich nur ein Routing auf die TK-Anlage zuzulassen? Damit praktisch die anderen Geräte in VLAN1 nicht durch VLAN10 und VLAN20 erreicht werden können?
Habe ich bei solch einer Konfiguration später auch die Möglichkeit für jede Firma einen eigenen CTI Server zu installieren?
Hat den jemand solch eine Lösung oder etwas ähnliches schon einmal realisiert?
Für Anregungen und Hilfestellung bin ich euch sehr dankbar.
Viele Grüße
Matt
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 292963
Url: https://administrator.de/contentid/292963
Printed on: April 16, 2024 at 04:04 o'clock
17 Comments
Latest comment
Hallo Matt,
unabhängig von den technischen Möglichkeiten würde ich separate Hardware und Software anschaffen für die beiden Firmen, die unabhängig voneinander funktionieren, gewartet werden und auch unabhängig voneinander kaputtgehen können. Das Risiko, dass mal etwas ausfällt, nicht funktioniert, gehackt wird oder auch nur gewartet werden muss wenn eine der Firmen drauf angewiesen ist, sollte man nicht unterschätzen. Von den Schuldzuweisungen später reden wir noch gar nicht.
Anschaffungskosten und Installationskosten kann man gut teilen. Wie sieht es aus bei Reparaturen, Teiletausch, Erweiterungen Updates, Upgrades?
Was, wenn eine Firma ein neues Feature oder teilweise neue Hardware benötigt (mehr Speicher, mehr Performance... whatever) ?
Was, wenn durch Fehlbedienung ein Ausfall zu verkraften ist?
Was, wenn der Ausfall z.B. durch ein schlechtes Update entstanden ist? Wer ist in der Beweislast? Wer hätte das Update vor der Installation prüfen müssen?
Wie eng sind die Firmen miteinander verbandelt? Identische Geschäftsführer? Geschäftsführer aus selber oder gleicher Familie?
Ich würde auf getrennte Geräte setzen, ggf. mit der Möglichkeit, im Notfall die Hardware der Partnerfirma mitnutzen zu können.
Teile doch mal die Mehrkosten für 2 getrennte Systeme durch 5 Jahre und durch 12 Monate. Da bleiben bei gewürfelten 5.000 EUR im Monat Mehrkosten von ca. 80 EUR über. + Mehrverbrauch an Strom; Minus evtl Minderkosten für "kleinere" Geräte
Wer bekommt eigentlich die Rechnung für das gemeinsame Gerät? Wer nutzt die steuerliche Abschreibung? Zahlt der andere dann Miete? Wer ist - rechtlich gesehen - der Anschlussinhaber ?
Wo stehen die Geräte? Wer hat Zugang? Wer ist für die Sicherheit / den Verlust der Geräte verantwortlich?
Wie erreicht Fa. A die Geräte (Neustart, Reset, Service, Reparatur...) wenn der Zuständige der Fa. B nicht verfügbar ist.
Wer bekommt Zugangsrechte zu den Geräten? Wer protokolliert die Zugänge und Zugriffe?
DATENSCHUTZ ??
Also, ich würde es nicht machen.
Wir mussten uns mal einen Internetanschluss mit unserer Nachbarfirma teilen. Anschluss und Abrechnung über den Vermieter (Gewerbekomplex), aber ein Router zur Trennung unserer beiden Netze stand im Nachbarraum bei der anderen Firma. Manchmal musste der Router neu gestartet werden. Urlaub, Mittagspause, Außer-Haus-Termine bei einem 2-Mann-Büro waren da oft ein großes Hindernis.
Gruß
Holger
unabhängig von den technischen Möglichkeiten würde ich separate Hardware und Software anschaffen für die beiden Firmen, die unabhängig voneinander funktionieren, gewartet werden und auch unabhängig voneinander kaputtgehen können. Das Risiko, dass mal etwas ausfällt, nicht funktioniert, gehackt wird oder auch nur gewartet werden muss wenn eine der Firmen drauf angewiesen ist, sollte man nicht unterschätzen. Von den Schuldzuweisungen später reden wir noch gar nicht.
Anschaffungskosten und Installationskosten kann man gut teilen. Wie sieht es aus bei Reparaturen, Teiletausch, Erweiterungen Updates, Upgrades?
Was, wenn eine Firma ein neues Feature oder teilweise neue Hardware benötigt (mehr Speicher, mehr Performance... whatever) ?
Was, wenn durch Fehlbedienung ein Ausfall zu verkraften ist?
Was, wenn der Ausfall z.B. durch ein schlechtes Update entstanden ist? Wer ist in der Beweislast? Wer hätte das Update vor der Installation prüfen müssen?
Wie eng sind die Firmen miteinander verbandelt? Identische Geschäftsführer? Geschäftsführer aus selber oder gleicher Familie?
Ich würde auf getrennte Geräte setzen, ggf. mit der Möglichkeit, im Notfall die Hardware der Partnerfirma mitnutzen zu können.
Teile doch mal die Mehrkosten für 2 getrennte Systeme durch 5 Jahre und durch 12 Monate. Da bleiben bei gewürfelten 5.000 EUR im Monat Mehrkosten von ca. 80 EUR über. + Mehrverbrauch an Strom; Minus evtl Minderkosten für "kleinere" Geräte
Wer bekommt eigentlich die Rechnung für das gemeinsame Gerät? Wer nutzt die steuerliche Abschreibung? Zahlt der andere dann Miete? Wer ist - rechtlich gesehen - der Anschlussinhaber ?
Wo stehen die Geräte? Wer hat Zugang? Wer ist für die Sicherheit / den Verlust der Geräte verantwortlich?
Wie erreicht Fa. A die Geräte (Neustart, Reset, Service, Reparatur...) wenn der Zuständige der Fa. B nicht verfügbar ist.
Wer bekommt Zugangsrechte zu den Geräten? Wer protokolliert die Zugänge und Zugriffe?
DATENSCHUTZ ??
Also, ich würde es nicht machen.
Wir mussten uns mal einen Internetanschluss mit unserer Nachbarfirma teilen. Anschluss und Abrechnung über den Vermieter (Gewerbekomplex), aber ein Router zur Trennung unserer beiden Netze stand im Nachbarraum bei der anderen Firma. Manchmal musste der Router neu gestartet werden. Urlaub, Mittagspause, Außer-Haus-Termine bei einem 2-Mann-Büro waren da oft ein großes Hindernis.
Gruß
Holger
Du brauchst keinen Layer 3 Switch. Du musst nur deinen Router entweder per Port Based VLANs oder per Tagging in alle VLANs schauen lassen.
Stell dir deine VLANs als mehrere Switche vor die an den verschiedenen Ports des Routers hängen.
Wenn du nicht grade einen 0815er Consumer Router benutzt sollte er eine Möglichkeit haben die Ports in verschiedene IP-Netze zu splitten. Bessere Geräte haben auch eine Firewall bei der du mit Regeln konfigurieren kannst welche Netze miteinander kommunizieren dürfen und welche nicht.
Stell dir deine VLANs als mehrere Switche vor die an den verschiedenen Ports des Routers hängen.
Wenn du nicht grade einen 0815er Consumer Router benutzt sollte er eine Möglichkeit haben die Ports in verschiedene IP-Netze zu splitten. Bessere Geräte haben auch eine Firewall bei der du mit Regeln konfigurieren kannst welche Netze miteinander kommunizieren dürfen und welche nicht.
Hallo,
warum "hängst" Du die IP-Telefone nicht jeweils in ein anderes VLAN (also je Firma ein Daten- und ein Telefon-VLAN) mit jeweils eigenem IP-Bereich? Damit sind die Routing-Regeln doch recht einfach umzusetzen.
Wenn Du die Telefon-VLANs noch über ein PoE-Switch führst ist auch die Stromversorgung der Telefone gelöst.
Jürgen
warum "hängst" Du die IP-Telefone nicht jeweils in ein anderes VLAN (also je Firma ein Daten- und ein Telefon-VLAN) mit jeweils eigenem IP-Bereich? Damit sind die Routing-Regeln doch recht einfach umzusetzen.
Wenn Du die Telefon-VLANs noch über ein PoE-Switch führst ist auch die Stromversorgung der Telefone gelöst.
Jürgen
Auch ich möchte einmal drauf hinweisen: Macht das ganze überhaupt sinn, was passiert bei einer Pleite, Defekt, Viren, etc?
Wir haben es oft bei uns dass sich Firmen aufspalten und bei uns im RZ gerne weiter den gleichen Server weiternutzen möchte
und jede GmbH dann jeweils 50% zahlt. Auf sowas lassen wir uns allerdings nicht ein, birgt viel zu viele Risiken.
Wir haben es oft bei uns dass sich Firmen aufspalten und bei uns im RZ gerne weiter den gleichen Server weiternutzen möchte
und jede GmbH dann jeweils 50% zahlt. Auf sowas lassen wir uns allerdings nicht ein, birgt viel zu viele Risiken.
Danke für eure schnelle Hilfe! In unserem Fall ist es tatsächlich so, dass beide Geschäftsführer aus der gleichen Familie stammen. Daher stehen die Firmen praktisch enger zusammen.
Firma A soll die Hardware anschaffen und administrieren (Ich bin in Firma A tätig).
Firma B zahlt eine gewisse miete für administration und Hardware.
Momentan verwalte ich praktisch beide Netze als Administrator neben meiner normalen Tätigkeit.
Die Idee der verschiedenen VLANs beruht darauf, dass die Firmen praktisch Systemseitig trotzdem voneinander getrennt sind, ansonsten hätte ich auch zwei DCs im gleichen LAN genutzt. Gesamt geht es hier auch "nur" um 10 User. Jeder Firma erhält eine eigene VM. Beide Firmen nutzen aber auch weiterhin Ihren eigenen DSL Anschluss. Tatsächlich soll nur Serverhardware (VMware ESX) und TK-Anlage geteilt werden.
Ich weiß nur nicht, ob es möglich ist die Telefone dann VLAN übergreifend an die TK Anlage anzubinden bzw. die PCs sollen vielleicht mal die TK-Anlage über CTI ansteuern können.
Habe erst kürzlich angefangen mich in die VLAN Thematik einzulesen. Kann ich den übergriff der VLANs auch konfigurieren? Dies wäre ja chiefteddy's Lösungsansatz:
vlan1 = TK-Anlage, ESX...
vlan10 = PC1, PC2, Server...
vlan11 = IP Telefon1, IP Telefon2...
vlan20 = PC3, PC4, Server...
vlan21 = IP Telefon3, IP Telefon4...
Nun möchte ich erreichen, dass die IP Telefone aus vlan11 und vlan21 auf das vlan1 = TK-Anlage zugreifen können: sollte kein Problem sein, da ich hier ja keine Einschränkungen habe.
Wenn ich aber jetzt in vlan10 und vlan20 noch jeweils einen CTI nutze, um aus der jeweiligen WaWi wählen zu können, muss jeweils vlan10 und vlan20 auf vlan1 zugreifen können um den Wahlbefehl an die TK-Anlage zu geben. Ich möchte aber hier vermeiden, dass z.B. PC1 aus vlan10 den ESX Server erreichen kann. Heißt also ich möchte eine Einschränkung einbauen, dass nur die TK-Anlage erreicht werden kann. Geht das?
Weil durch die vlan's erreiche ich zumindest, dass sich PC1 und PC3 nicht sehen bzw. Server aus vlan10 und vlan20 nicht sehen.
Ist das richtig oder mache ich bei dem ganzen einen Denkfehler?
Vielen Dank schon Mal vorab für eure Hilfe!
Firma A soll die Hardware anschaffen und administrieren (Ich bin in Firma A tätig).
Firma B zahlt eine gewisse miete für administration und Hardware.
Momentan verwalte ich praktisch beide Netze als Administrator neben meiner normalen Tätigkeit.
Die Idee der verschiedenen VLANs beruht darauf, dass die Firmen praktisch Systemseitig trotzdem voneinander getrennt sind, ansonsten hätte ich auch zwei DCs im gleichen LAN genutzt. Gesamt geht es hier auch "nur" um 10 User. Jeder Firma erhält eine eigene VM. Beide Firmen nutzen aber auch weiterhin Ihren eigenen DSL Anschluss. Tatsächlich soll nur Serverhardware (VMware ESX) und TK-Anlage geteilt werden.
Ich weiß nur nicht, ob es möglich ist die Telefone dann VLAN übergreifend an die TK Anlage anzubinden bzw. die PCs sollen vielleicht mal die TK-Anlage über CTI ansteuern können.
Habe erst kürzlich angefangen mich in die VLAN Thematik einzulesen. Kann ich den übergriff der VLANs auch konfigurieren? Dies wäre ja chiefteddy's Lösungsansatz:
vlan1 = TK-Anlage, ESX...
vlan10 = PC1, PC2, Server...
vlan11 = IP Telefon1, IP Telefon2...
vlan20 = PC3, PC4, Server...
vlan21 = IP Telefon3, IP Telefon4...
Nun möchte ich erreichen, dass die IP Telefone aus vlan11 und vlan21 auf das vlan1 = TK-Anlage zugreifen können: sollte kein Problem sein, da ich hier ja keine Einschränkungen habe.
Wenn ich aber jetzt in vlan10 und vlan20 noch jeweils einen CTI nutze, um aus der jeweiligen WaWi wählen zu können, muss jeweils vlan10 und vlan20 auf vlan1 zugreifen können um den Wahlbefehl an die TK-Anlage zu geben. Ich möchte aber hier vermeiden, dass z.B. PC1 aus vlan10 den ESX Server erreichen kann. Heißt also ich möchte eine Einschränkung einbauen, dass nur die TK-Anlage erreicht werden kann. Geht das?
Weil durch die vlan's erreiche ich zumindest, dass sich PC1 und PC3 nicht sehen bzw. Server aus vlan10 und vlan20 nicht sehen.
Ist das richtig oder mache ich bei dem ganzen einen Denkfehler?
Vielen Dank schon Mal vorab für eure Hilfe!
Zitat von @mattsig:
Heißt also ich möchte eine Einschränkung einbauen, dass nur die TK-Anlage erreicht werden kann. Geht das?
Heißt also ich möchte eine Einschränkung einbauen, dass nur die TK-Anlage erreicht werden kann. Geht das?
Das schrieb ich oben bereits. Wenn dein Router eine anständige Firewall hat kannst du natürlich mit Regeln beliebig festlegen wer auf was zugreifen darf. Hier im Forum hat aqui eine recht gute Anleitung zu pfSense wenn dein Router sowas nicht beherrscht.
Weil durch die vlan's erreiche ich zumindest, dass sich PC1 und PC3 nicht sehen bzw. Server aus vlan10 und vlan20 nicht sehen.
Per se erreichst du erstmal das sich ALLE VLANs untereinander NICHT sehen ! Das ist ja genau der tiefere Sinn von VLANs und der von dir geplanten sinnvollen Segmentierung.Mir ist soweit klar, dass hierfür dann ein Layer3 Switch benötigt wird,
Muss nicht unbedingt sein. Ein externer Router oder Firewall geht auch wenn L2 VLAN Switches schon vorhanden sind. Technisch besser ist natürlich ein zentraler L3 Switch. Details siehe hier:VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und auch hier auf den Server bezogen.
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Ist es aber dann auch möglich nur ein Routing auf die TK-Anlage zuzulassen?
Ja, natürlich. Das löst man mit Access Listen oder wenn einen FW zum Einsatz kommt mit Filter Regeln.Ich weiß nur nicht, ob es möglich ist die Telefone dann VLAN übergreifend an die TK Anlage anzubinden bzw. die PCs sollen vielleicht mal die TK-Anlage über CTI ansteuern können.
Warum sollte sowas deiner Meinung nach nicht möglich sein ?? VoIP ist aus Sicht einer Switchinfrastruktur auch nix anderes als IP Daten...Heißt also ich möchte eine Einschränkung einbauen, dass nur die TK-Anlage erreicht werden kann. Geht das?
Ist ein lächerlicher Einzeiler im CLI Setup oder GUI des L3 Switches und in 30 Sek. konfiguriert...entsprechende Switch HW vorausgesetzt natürlich.Habe ich bei solch einer Konfiguration später auch die Möglichkeit für jede Firma einen eigenen CTI Server zu installieren?
Ja natürlich !Dazu ein paar generelle Anmerkungen. Du bist, wenn du arbeitsrechtlich wasserdicht bleiben willst, verpflichtet das Voice VLAN zu trennen. Dein Vorhaben also Firmentraffic und Voice Traffic in einem gemeinsamen VLAN pro Firma zu mischen ist nicht nur schlechtes Design sondern auch rechtlich bedenklich (Fernmeldegeheimnis).
Du solltest also dringenst den Voice Traffic in ein separates VLAN isolieren. Im Hinblick auf die o.a. Frage dann gleich vorausschauend in ein separates Voice VLAN für Firma A und B.
Das erleichtert dir das Leben für die zu empfehlende QoS Priorisierung (801.1p oder DSCP je nachdem was verwendet wird von der Agfeo) der Voice Daten im Netz und auch für die ggf. dynamische Übermittlung der Voice VLAN ID mit LLDP von den Telefonen.
Hat den jemand solch eine Lösung oder etwas ähnliches schon einmal realisiert?
Diese recht naive Frage in einem Administrator zeigt eigentlich wie meilenweit du von einer VoIP oder auch Netzwerk Praxiserfahrung entfernt bist. Sorry, aber das ist mittlerweile millionenfacher Standard den jeder IT Azubi im ersten Lehrjahr weiss...Für jemanden der (Zitat) die EDV managed...ist das schon recht verwunderlich ?!
Vielen Dank aqui für deinen tollen Beitrag! Alles wunderbar erklärt und nachvollziehbar. Du hast mich in jedem Fall weiter gebracht! Deine verlinkten Tutorials schau ich mir morgen an.
Switche sind aktuell mehr oder weniger in beiden Firmen nicht vorhanden. Alles noch alte Netgear Switche - nicht managebar und uralt.
Das heißt ich habe hier die Möglichkeit auch neue zu beschaffen.
Was haltet ihr von der HP 1910 Switch-Serie als Einstieg?
lt. Herstellerseite bringt der Switch so ziemlich alles mit was ich für mein Vorhaben benötige.
Wird also über die Zugriffssteuerungslisten (ACLs) gelöst?
Gut das du es angesprochen hast, habe ich nämlich nicht gewusst und auch unser Systemhaus hat davon nichts erwähnt.
Wie gesagt betreue ich die EDV nur nebenbei. Meine Haupttätigkeit ist Buchhaltung, Einkauf & Logistik. Wir arbeiten in vielen Fällen auch mit einem kleinen Systemhaus zusammen, die zum Teil auch die Hardware liefern muss.
Switche sind aktuell mehr oder weniger in beiden Firmen nicht vorhanden. Alles noch alte Netgear Switche - nicht managebar und uralt.
Das heißt ich habe hier die Möglichkeit auch neue zu beschaffen.
Was haltet ihr von der HP 1910 Switch-Serie als Einstieg?
lt. Herstellerseite bringt der Switch so ziemlich alles mit was ich für mein Vorhaben benötige.
> Heißt also ich möchte eine Einschränkung einbauen, dass nur die TK-Anlage erreicht werden kann. Geht das?
Ist ein lächerlicher Einzeiler im CLI Setup oder GUI des L3 Switches und in 30 Sek. konfiguriert...entsprechende Switch HW vorausgesetzt natürlich.
Ist ein lächerlicher Einzeiler im CLI Setup oder GUI des L3 Switches und in 30 Sek. konfiguriert...entsprechende Switch HW vorausgesetzt natürlich.
Wird also über die Zugriffssteuerungslisten (ACLs) gelöst?
Dazu ein paar generelle Anmerkungen. Du bist, wenn du arbeitsrechtlich wasserdicht bleiben willst, verpflichtet das Voice VLAN zu trennen. Dein Vorhaben also Firmentraffic und Voice Traffic in einem gemeinsamen VLAN pro Firma zu mischen ist nicht nur schlechtes Design sondern auch rechtlich bedenklich (Fernmeldegeheimnis).
Du solltest also dringenst den Voice Traffic in ein separates VLAN isolieren. Im Hinblick auf die o.a. Frage dann gleich vorausschauend in ein separates Voice VLAN für Firma A und B.
Du solltest also dringenst den Voice Traffic in ein separates VLAN isolieren. Im Hinblick auf die o.a. Frage dann gleich vorausschauend in ein separates Voice VLAN für Firma A und B.
Gut das du es angesprochen hast, habe ich nämlich nicht gewusst und auch unser Systemhaus hat davon nichts erwähnt.
Für jemanden der (Zitat) die EDV managed...ist das schon recht verwunderlich ?!
Wie gesagt betreue ich die EDV nur nebenbei. Meine Haupttätigkeit ist Buchhaltung, Einkauf & Logistik. Wir arbeiten in vielen Fällen auch mit einem kleinen Systemhaus zusammen, die zum Teil auch die Hardware liefern muss.
Alles noch alte Netgear Switche - nicht managebar und uralt.
Igitt... !Was haltet ihr von der HP 1910 Switch-Serie als Einstieg?
Igitt...noch gruseliger als Netgear. Billigteil mit wenig Features...und kann nur sehr bedingt L3.Schon mal Cisco SF-200 ider SG-200 angesehen ?? Bzw. das L3 Pendant SF oder SG-300 ?
Zyxel wär auch eine bessere Alternative... Wenn du etwas mehr Budget hast ohne Billigheimer dann die üblichen Verdächtigen Extreme, Brocade, Cisco....usw.
Wird also über die Zugriffssteuerungslisten (ACLs) gelöst?
Jau, ganz genau !und auch unser Systemhaus hat davon nichts erwähnt.
Wirft kein gutes Licht auf die 
Kennen sich vermutlich mit der Materie wenig bis gar nicht aus. Stell denen mal ein paar VoIP Fangfragen wie 802.1p im Switch funktioniert oder DSCP. Wenn die rumeiern weisst du sofort was los ist... 
Wir arbeiten in vielen Fällen auch mit einem kleinen Systemhaus zusammen
Vermutlich zu klein für VoIP oder fundierte Netzwerk Kenntnisse ??! Da solltest du aber schon auf der Hut sein !!Bedenke das du von analoager Voice Technik nun auch VoIP gehst. Sprich Anwender haben eine ganz bestimmte Erwartungshaltung an Sprachqualität und Verfügbarkeit.
Geht man nun auf sowas unsicheres wie ein Ethernet sind da schon ein paar Sachen zu beachten:
- Voice VLAN Trennug
- Saubere QoS Konfig auf den Switches mit entweder .1p oder DSCP je nachdem was die Anlage erfordert.
- LLDP med für ggf. dynamische Übergabe des Voice VLANs
- PoE Support bei den Switches, sollten die Ethernet Telefone versorgen
- Doppelte oder redundante Netzteil Auslegung bei den Switches um PoE Ausfall und damit Telefonie Ausfall vorzubeugen.
Igitt...noch gruseliger als Netgear. Billigteil mit wenig Features...und kann nur sehr bedingt L3.
Schon mal Cisco SF-200 ider SG-200 angesehen ?? Bzw. das L3 Pendant SF oder SG-300 ?
Schon mal Cisco SF-200 ider SG-200 angesehen ?? Bzw. das L3 Pendant SF oder SG-300 ?
Danke für den Tipp. Wenn ich mir die Preise so anschaue, sind die Cisco Teile sogar günstiger..
Dann werden wir den Cisco Small Business SG300-20 einplanen. Wenn die IP Telefonie dann noch hinzu kommt, nehmen wir einen zusätzlichen PoE von Cisco mit rein.
Bin auf HP gekommen, da diese uns vom Systemhaus immer angeboten werden.
Ich melde mich in jedem Fall noch einmal, wenn die ganze Lösung zum Einsatz kommen soll.
Vielen Dank für alle Antworten und Beiträge. Hat mir sehr weiter geholfen!
Viele Grüße
Matt
Wenn die IP Telefonie dann noch hinzu kommt, nehmen wir einen zusätzlichen PoE von Cisco mit rein.
Eine weise Entscheidung Bin auf HP gekommen, da diese uns vom Systemhaus immer angeboten werden.
Systemhaus wechseln !..die verstehen vermutlich wenig von Netzwerken und mehr von PCs. HP kann besser Drucker und PCs bauen.Die Billigschiene von denen sind OEMte Switches von Accton Taiwan. Fast alles im LAN Und Storage Bereich ist nichts eigenes sondern dazugekauft.
Ich melde mich in jedem Fall noch einmal, wenn die ganze Lösung zum Einsatz kommen soll.
Immer gerne...dafür ist ein Forum da
Hallo zusammen,
hatte versprochen mich in diesem Beitrag wieder zu melden, sobald das Thema soweit ist. Nun bin ich soweit und habe eine kleine Schwierigkeit - weiß vermutlich einfach nicht wie - bezüglich des VLAN Routings.
Beide Firmen hängen mittlerweile auf einem ESXI Server und die Netze werden aktuell physikalisch getrennt. Server hat zwei Netzwerkschlüsse die auf dem jeweiligen Switch hängen (Billige Netgear Teile). Jede Firma hat somit eine eigene Serverinstanz mit jeweils Domain, DHCP, DNS. Die Telefonanlage konnte bisher getrennt werden, da eine Firma nur UP0 Geräte verwendet und die andere nur IP Geräte. Somit hängt die Telefonanlage bislang einfach im IP Netz der Firma A.
Nun möchte ich das Netzwerk aber sauber Konfigurieren und habe nun endlich einen Cisco SG300-20 auf den Tisch bekommen. VLANs habe ich direkt wie geplant Konfiguriert. Ich schaffe wohl nur das Routing untereinander nicht.
Konfiguration sieht so aus:
VLAN1: 192.168.5.0 | 255.255.255.0 (Management VLAN auf Port 1 Konfiguriert)
VLAN10: 192.168.90.0 | 255.255.255.0 (Firma A allgemein)
VLAN11: 192.168.91.0 | 255.255.255.0 (Firma A TK)
VLAN20: 192.168.110.0 | 255.255.255.0 (Firma B allgemein)
VLAN21: 192.168.111.0 | 255.255.255.0 (Firma B TK)
Habe dem Switch auch schon in jedem VLAN eine IP Adresse mit jeweils .254 gegeben.
In VLAN10 steht meine TK-Anlage und ein FTP Server der von allen anderen VLANs mit genutzt werden soll. Die TK-Anlage soll von einem CTI Client aus VLAN10 und VLAN20 erreicht werden.
VLAN10 und VLAN20 haben jeweils eine eigene Fritzbox die im jeweiligen Netz dann das Gateway ins Internet darstellen soll.
Wie muss ich meine IPv4 Routes nun anlegen damit ich z.B. von VLAN20 in VLAN10 komme? Mit den ACLs kann ich anschließend das Routing so einschränken, dass aus VLAN20 nur auf bestimmte Adressen in VLAN10 zugegriffen werden kann?
Vielen Dank im Voraus für eure Hilfe
hatte versprochen mich in diesem Beitrag wieder zu melden, sobald das Thema soweit ist. Nun bin ich soweit und habe eine kleine Schwierigkeit - weiß vermutlich einfach nicht wie - bezüglich des VLAN Routings.
Beide Firmen hängen mittlerweile auf einem ESXI Server und die Netze werden aktuell physikalisch getrennt. Server hat zwei Netzwerkschlüsse die auf dem jeweiligen Switch hängen (Billige Netgear Teile). Jede Firma hat somit eine eigene Serverinstanz mit jeweils Domain, DHCP, DNS. Die Telefonanlage konnte bisher getrennt werden, da eine Firma nur UP0 Geräte verwendet und die andere nur IP Geräte. Somit hängt die Telefonanlage bislang einfach im IP Netz der Firma A.
Nun möchte ich das Netzwerk aber sauber Konfigurieren und habe nun endlich einen Cisco SG300-20 auf den Tisch bekommen. VLANs habe ich direkt wie geplant Konfiguriert. Ich schaffe wohl nur das Routing untereinander nicht.
Konfiguration sieht so aus:
VLAN1: 192.168.5.0 | 255.255.255.0 (Management VLAN auf Port 1 Konfiguriert)
VLAN10: 192.168.90.0 | 255.255.255.0 (Firma A allgemein)
VLAN11: 192.168.91.0 | 255.255.255.0 (Firma A TK)
VLAN20: 192.168.110.0 | 255.255.255.0 (Firma B allgemein)
VLAN21: 192.168.111.0 | 255.255.255.0 (Firma B TK)
Habe dem Switch auch schon in jedem VLAN eine IP Adresse mit jeweils .254 gegeben.
In VLAN10 steht meine TK-Anlage und ein FTP Server der von allen anderen VLANs mit genutzt werden soll. Die TK-Anlage soll von einem CTI Client aus VLAN10 und VLAN20 erreicht werden.
VLAN10 und VLAN20 haben jeweils eine eigene Fritzbox die im jeweiligen Netz dann das Gateway ins Internet darstellen soll.
Wie muss ich meine IPv4 Routes nun anlegen damit ich z.B. von VLAN20 in VLAN10 komme? Mit den ACLs kann ich anschließend das Routing so einschränken, dass aus VLAN20 nur auf bestimmte Adressen in VLAN10 zugegriffen werden kann?
Vielen Dank im Voraus für eure Hilfe
Das ist eigentlich ganz einfach....
Leider hast du uns nicht mitgeteilt auf welches Default Gateway die Clients in den VLANs 10 und 20 eingestellt sind.
Da müssen wir jetzt dummerweise raten...
Nehmen wir aber mal an das es so konfiguriert ist das die FBs in den VLANs 10 und 20 jeweils DHCP Server sind und Endgeräte immer die jeweiligen FBs als Default Gateway haben.
Dann musst du auf jeder der FritzBoxen jeweils eine feste statische Route definieren:
FritzBox in VLAN 10:
Zielnetz: 192.168.0.0, Maske: 255.255.128.0, Gateway: 192.168.90..254
FritzBox in VLAN 20:
Zielnetz: 192.168.0.0, Maske: 255.255.128.0, Gateway: 192.168.110..254
Das routet dann alle deine lokalen VLANs (IP Netze 192.168.0.0 bis 192.168.127.0) auf den Cisco SG-300, der sie dann lokal routet.
Du könntest auch alle nicht FB Netze einzeln eintragen aber so ist es etwas ökonimischer mit einer Summary Route
Die Endgeräte in den anderen VLANs haben dann jeweils immer die Cisco SG-300 VLAN IP als Default Gateway eingestellt.
Fertisch...
Wie gesagt...eigentlich kinderleicht
Leider hast du uns nicht mitgeteilt auf welches Default Gateway die Clients in den VLANs 10 und 20 eingestellt sind.
Da müssen wir jetzt dummerweise raten...
Nehmen wir aber mal an das es so konfiguriert ist das die FBs in den VLANs 10 und 20 jeweils DHCP Server sind und Endgeräte immer die jeweiligen FBs als Default Gateway haben.
Dann musst du auf jeder der FritzBoxen jeweils eine feste statische Route definieren:
FritzBox in VLAN 10:
Zielnetz: 192.168.0.0, Maske: 255.255.128.0, Gateway: 192.168.90..254
FritzBox in VLAN 20:
Zielnetz: 192.168.0.0, Maske: 255.255.128.0, Gateway: 192.168.110..254
Das routet dann alle deine lokalen VLANs (IP Netze 192.168.0.0 bis 192.168.127.0) auf den Cisco SG-300, der sie dann lokal routet.
Du könntest auch alle nicht FB Netze einzeln eintragen aber so ist es etwas ökonimischer mit einer Summary Route
Die Endgeräte in den anderen VLANs haben dann jeweils immer die Cisco SG-300 VLAN IP als Default Gateway eingestellt.
Fertisch...
Wie gesagt...eigentlich kinderleicht
Hallo aqui,
zunächst mal vielen Dank für deinen Beitrag. Hat mir sehr weitergeholfen. Das Routen unter den Netzen funktioniert jetzt
Testweise steckt ein Notebook in VLAN20 mit statischem Gateway auf 192.168.110.254 - damit komme ich ins 192.168.90.0 Netz. Umgekehrt habe ich bereits die statische Route in der Fritzbox konfiguriert und komme nun ins 192.168.100.0 Netz
Die Fritzboxen haben jeweils in VLAN10 192.168.90.1 und in VLAN20 192.168.110.1
Der DHCP Server ist in jedem Netz der Domain Server und vergibt als Standardgateway die IP-Adresse der Fritzboxen.
Nun habe ich lediglich noch Schwierigkeiten mit den ACLs die ich womöglich nicht ganz verstehe?
Ich habe für VLAN20 eine ACL wie folgt erstellt:
Priority: 10
Action: Verweigern
Protocol: Any (IP)
Source IP Address: 192.168.110.0 Wildcard Mask: 0.0.0.255
Destination IP Address: 192.168.90.6 Wildcard Mask: 0.0.0.255
Type of Service: Any
(192.168.90.6 entspricht dem Domainserver aus VLAN10, dessen Zugriff ich aus VLAN20 verbieten will)
Sobald ich diese dann an das VLAN20 binde, funktioniert mein Routing sowohl von VLAN10 in VLAN20 - als auch von VLAN20 in VLAN10 nicht mehr. Egal welche IP Adresse ich versuche anzupingen.
In VLAN10 existiert aber ein Exchange Server (192.168.90.7) welcher aus dem VLAN20 erreichbar sein soll.
Wie muss ich die ACLs dann richtig anlegen?
Vielen Dank vorab!
Grüße, Matt
zunächst mal vielen Dank für deinen Beitrag. Hat mir sehr weitergeholfen. Das Routen unter den Netzen funktioniert jetzt
Testweise steckt ein Notebook in VLAN20 mit statischem Gateway auf 192.168.110.254 - damit komme ich ins 192.168.90.0 Netz. Umgekehrt habe ich bereits die statische Route in der Fritzbox konfiguriert und komme nun ins 192.168.100.0 Netz
Die Fritzboxen haben jeweils in VLAN10 192.168.90.1 und in VLAN20 192.168.110.1
Der DHCP Server ist in jedem Netz der Domain Server und vergibt als Standardgateway die IP-Adresse der Fritzboxen.
Nun habe ich lediglich noch Schwierigkeiten mit den ACLs die ich womöglich nicht ganz verstehe?
Ich habe für VLAN20 eine ACL wie folgt erstellt:
Priority: 10
Action: Verweigern
Protocol: Any (IP)
Source IP Address: 192.168.110.0 Wildcard Mask: 0.0.0.255
Destination IP Address: 192.168.90.6 Wildcard Mask: 0.0.0.255
Type of Service: Any
(192.168.90.6 entspricht dem Domainserver aus VLAN10, dessen Zugriff ich aus VLAN20 verbieten will)
Sobald ich diese dann an das VLAN20 binde, funktioniert mein Routing sowohl von VLAN10 in VLAN20 - als auch von VLAN20 in VLAN10 nicht mehr. Egal welche IP Adresse ich versuche anzupingen.
In VLAN10 existiert aber ein Exchange Server (192.168.90.7) welcher aus dem VLAN20 erreichbar sein soll.
Wie muss ich die ACLs dann richtig anlegen?
Vielen Dank vorab!
Grüße, Matt
Ich habe für VLAN20 eine ACL wie folgt erstellt:
Syntaktisch ist diese Liste falsch !Sie verbietet alles (oder soll es) was eine Absender IP Adresse 192.168.110.x hat und eine Ziel Host IP Adresse von 192.168.90.6
Allerdings mit einem gravierenden Kardinalsfehler bei den Zieladressen, die diese ACL dann sinnfrei macht !!!
Du schreibst: Destination IP Address: 192.168.90.6 Wildcard Mask: 0.0.0.255 !!
Das ist ein Widerspruch in sich !
Entweder..
1.)
Ist das ein Filter auf eine einzelne Hostadresse 192.168.90.6 wie du angibst dann ist aber die Subnetzmaske Schwachsinn, denn die impliziert ein 24 Bit Prefix. Eine inverse Hostmaske müsste dann 0.0.0.0 lauten !
Oder...
2.) Du willst das gesamte Netzwerk filtern, dann ist aber die Hostadresse Unsinn und es müsste richtig lauten:
Destination IP Address: 192.168.90.0 Wildcard Mask: 0.0.0.255
Tja...was willst du nun ?? Beide Optionen haben eine falsche ACL Syntax bei dir. Bitte hier auch mal ins Handbuch sehen !
(192.168.90.6 entspricht dem Domainserver aus VLAN10, dessen Zugriff ich aus VLAN20 verbieten will)
Dann wäre Destination IP Address: 192.168.90.6 Wildcard Mask: 0.0.0.0 richtig !mein Routing sowohl von VLAN10 in VLAN20 - als auch von VLAN20 in VLAN10 nicht mehr.
Kein Wunder bei einer falschen ACL !In VLAN10 existiert aber ein Exchange Server (192.168.90.7) welcher aus dem VLAN20 erreichbar sein soll.
Sonst darf 20 aber überall hin ?? Du solltest nochmal genau definieren welches VLAN auf welches darf oder welcher Host...ist verwirrend jetzt.Für VLAN 20 und den Exchange und Domain wäre es so:
access-list 10 permit ip 192.168.110.0 0.0.0.255 host 192.168.90.7
access-list 10 deny ip 192.168.110.0 0.0.0.255 192.168.90.0 0.0.0.255
access-list 10 permit ip 192.168.110.0 0.0.0.255 any
Diese ACL muss auf das L3 Switchinterface inbound an VLAN 20 gebunden werden.
Damit kommen dann alle VLAN 20 Clients an den Exchange aber sonst nirgendwo hin im VLAN 10 (2te Regel blockt den Rest in VLAN 10)
Letzte Regel erlaubt VLAN 20 ins Internet.
Soll VLAN 20 auf Exchange und Domain Server dürfen sieht die ACL entsprechend so aus:
access-list 10 permit ip 192.168.110.0 0.0.0.255 host 192.168.90.6
access-list 10 permit ip 192.168.110.0 0.0.0.255 host 192.168.90.7
access-list 10 deny ip 192.168.110.0 0.0.0.255 192.168.90.0 0.0.0.255
access-list 10 permit ip 192.168.110.0 0.0.0.255 any
Eigentlich doch ganz einfach und logisch, oder ?
Eigentlich doch ganz einfach und logisch, oder ?
Wenn ich mir das so genau anschaue sind die ACLs wirklich logisch. Heißt ich kann dann auch für die TK-Anlage (192.168.90.20) eine Regel anlegen wie:
access-list 10 permit ip 192.168.110.0 0.0.0.255 host 192.168.90.20
Somit kann ich einzelne Adressen Freigeben. Wichtig eben, dass diese vor
access-list 10 deny ip 192.168.110.0 0.0.0.255 192.168.90.0 0.0.0.255
ausgelöst werden.
access-list 10 permit ip 192.168.110.0 0.0.0.255 host 192.168.90.7
Stellt die 10 die Priorität dar? oder muss ich diese dann einfach selbst anlegen? 1,2,3,4,5... (10,20,30,40,50...)
Nun ist mir aber noch ein weiteres Problem aufgefallen, welches ich von Anfang an vergessen hatte
Wir haben einen Home-Office Arbeitsplatz welcher über VPN (zwei Fritzboxen) an die Firma A angebunden ist. (Adressbereich 192.168.1.0 - aber theoretisch VLAN10)
Der Arbeitsplatz hat ein IP-Telefon welches auch über die Anlage funktioniert und greift ebenso auf Ressourcen vom Server (VLAN10) zu.
Sobald ich die statische Route auf den Switch angelegt habe, erreicht dieser Arbeitsplatz natürlich unser Netzwerk nicht mehr - da der Switch den Adressbereich ja nicht kennt.
Habe unter IPv4 Interface bereits versucht den Switch auf 192.168.1.254 (VLAN10) bekannt zu machen, allerdings hilft das alleine nicht. Muss ich auf dieser Fritzbox ebenfalls die statische Route auf den Cisco hinterlegen? Habe ich das richtig verstanden?
Viele Grüße & schönen Abend,
Matt
Heißt ich kann dann auch für die TK-Anlage (192.168.90.20) eine Regel anlegen wie:
Yepp, ganz genau ! Besagt das alle Endgeräte aus .110.0 auf den Host .90.20 zugreifen dürfen.Somit kann ich einzelne Adressen Freigeben. Wichtig eben, dass diese vor ...
Absolut richtig !Stellt die 10 die Priorität dar?
Ja, diese Ziffern bestimmen die Reihenfolge in der Liste. So kannst du je nach Ziffer bestimmen an welche Position in der Liste diese Filterstatement kommt Sobald ich die statische Route auf den Switch angelegt habe,
Ja das ist klar ! Du musst dann halt das .1.0er Netz nochmal separat routen auf dem Switch auf die VPN FritzBox also zusätzlich zur Default Route dann nochmal:ip route 192.168.1.0 255.255.255.0 <LAN_IP_FritzBox>
Das fixt dann das Problem sofort...aber das ist ja nun nicht wirklich ein "Problem"
Damit gehen dann Pakete mit Zieladresse 192.168.1.x and die FB die den VPN Tunnel hält und nicht ans default Gateway...logisch !
Habe unter IPv4 Interface bereits versucht den Switch auf 192.168.1.254 (VLAN10) bekannt zu machen
Häää ?? Was soll das für ein Blödsinn sein ??Das 192.168.1.0er Netz liegt doch gar nicht auf dem Switch sondern hinter der VPN Verbindung ??
VLAN 10 hat die IP 192.168.90.0 /24 wenn deine Beschreibungen oben stimmen. Wieso ist denn nun dein VLAN 10 mit einal ganz anders ??
Ggf. ist es besser du machst nochmal einen Topo Zeichnung hier ?!
Was frickelst du da also sinnfrei rum ???