netbyte
Goto Top

Aufbau eines Segmentierten Netzwerkes

Hallo,

auf meiner Recherche, nach einem auf segmentiertem Netzwerk entstanden mir einige Fragen. Welche mir Google nicht nicht beantworten konnte oder ich habe Google falsch gefragt.
Ich habe auch bereits vieles auch hier an Informationen nach gelesen.

Dazu habe ich eine MindMap erstellt welche das ganze erläutert.
netzwerk aufbau.

Meine Verständnis Probleme sind unter anderem:
1. Wohin mit Domain Controller, LAN oder DMZ oder gar beides Read Only DC im Client LAN und Main DC in der DMZ.
2. Wohin mit den Drucker, LAN oder DMZ.
3. Routing für WLAN, um z.B. auf den den Drucker zu kommen der eventuell im LAN Segment ist.

Was ich leider noch nicht verstanden habe, ist unter anderem z.B. wenn ich den Drucker in die DMZ stelle, müsste ich Routing technisch Löcher in die Firewall bohren damit User aus dem LAN auf den Drucker zugreifen können.

Was wäre in dieser Konstellation eine saubere Lösung die Hand und Fuß hat.

Ich hoffe das Ihr mir da auf die Sprünge Helfen könnt.

Mit freundlichen Grüßen

Andreas

Content-Key: 330816

Url: https://administrator.de/contentid/330816

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: em-pie
em-pie 01.03.2017 aktualisiert um 14:22:22 Uhr
Goto Top
Moin,

der Ansatz, das Netzerk sinnvoll zu segmentieren, ist schon gut.

Allerdings gibt es hier noch technische/ kosmetische Veränderungen vorzunehmen (was ja auch einer deiner Fragen beantworten wird):

  • eine DMZ ist eine DMZ. Hier kommen alle Geräte rein, auf die von außerhalb zugegriffen werden soll: WebServer (für Kundenportale), FTP-Server, WebFrontend für Groupware-Zugriffe (von außen). In der Firewall werden dann nur die Dienste ins LAN erlaubt, die auch wirklich nur erforderlich sind. Dabei sollte man so granular wie möglich und sinnvoll vorgehen. Sprich, wenn das Groupware-Frontend auf den internen Server zugreifen muss, dann schaue, welche Ports benötigt werden und lasse in der FW auch nur die Ports zu dem Server zu.

  • Server sollten in ein eigenes (V)LAN verfrachtet werden. Will/ muss man es sehr streng machen, formt man u.U. mehrere VLANs dafür, damit z.B. die FiBu/ Personalserver nicht im Netzwerk der TerminalServer zu finden sind.

  • Drucker würde ich ebenfalls ein eigenes VLAN für vorsehen. Ist sicherheitstechn. besser, wenn aus vielen VLANs gedruckt werden soll

  • Clients habe ich ebenfalls in einem eigenen VLAN. Auch hier: bei Bedarf/ Erfordernis mehrere VLANs bilden (wenn z.B. eine F&E im Unternehmen existiert und nicht jeder daran soll).

  • WLAN auch je einmal für intern und extern formen, aber das hast du ja bereits.

  • VOIP hast du ja schon face-smile

Des Weiteren: lasse nicht alles über die Firewall routen. Wenn du einen (oder mehrere) Core-Switche einsetzt, können die sehr viel schneller routen, als die pfSense. Die Zugriffe untereinander kann man wiederum mit ACLs auf den Switchen reglementieren.
Schaue dir am besten hierzu mal @aqui s hervorragendes Tutorial an:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Gruß
em-pie
Mitglied: falscher-sperrstatus
falscher-sperrstatus 01.03.2017 um 14:08:56 Uhr
Goto Top
Hallo Andreas,

sehr techniklastiges Layout, gibt es bei euch keine Abteilungen?
Mitglied: aqui
aqui 01.03.2017 aktualisiert um 14:18:37 Uhr
Goto Top
3. Routing für WLAN, um z.B. auf den den Drucker zu kommen der eventuell im LAN Segment ist.
Wo ist da das Problem ? Mit einem Layer 3 Switch oder entsprechenden Router wie besagter pfSense Firewall in deiner MM (Siehe Tutorial oben) simpler Allerwelts Standard und im Handumdrehen erledigt.
Mitglied: brammer
brammer 01.03.2017 um 15:02:01 Uhr
Goto Top
Hallo,

2 Fehler im Konzept......

172.168 .x.x = Gehört zu America Online besser bekannt unter AOL.
Nimm bitte auf jeden Fall Private IP Adressen

Die Begriffe Class C und so weiter wurden 1993 im Rahmen der Einführung von CIDR
obsolet.

brammer
Mitglied: 108012
108012 01.03.2017 um 19:04:22 Uhr
Goto Top
Hallo,

in die DMZ kommt alles was einen Internetkontakt hat und/oder nach dort etwas anbietet wie zum Beispiel Services,
wie S/FTP, Web, eMail und Fax Server und alles andere kommt in das LAN, wie zum Beispiel, Drucker, Scanner, PCs,
Workstations, alle LAN Server und auch weiteres Equipment was man lokal und/oder über das Netzwerk verfügbar
machen möchte.

Des weiteren ist es auch so dass man die vor Ort gegebenen Örtlichkeiten in eine Segmentierung mit einbezieht und
von daher sollt man eventuell zuerst darüber nach denken welche Layer man denn benötigt. (Core und/oder Edge, Distributed und Access)

Dann sollte man zusehen dass man am WAN Interface Anfängt und nach hinten alles "durchreicht", oder sprich welche Routingprotokolle
benutzt werden sollen und wie weit diese in das Netzwerk hineinreichen sollen, wie zum Beispiel BGPi & BGPe, VRRP/HRSP, RIP, OSFP
oder gar anderen Protokollen, und ob die Switche diese auch unterstützen müssen oder sollen oder eben nicht wäre ja auch schon nett
zu wissen bevor man ein Netzwerk aufbaut, ebenso wichtig zu wissen wäre es ob man die Switche vor Ort in einem 19" Rack stapelt
und ob die Core Switche redundant ausgelegt werden sollen oder müssen, und welcher Durchsatz im Netzwerk benötigt wird und ob das
Netzwerk später noch wächst und vor allem wie stark es wächst. Sollen VLANs benutzt werden und wer routet diese dann, ist ebenso gut
zu wissen ob und wie man die Switche im Netzwerk positioniert also ob Abteilungsswitche von Nöten sind oder genug Netzwerkdosen
verlegt/verbaut wurden.

Hat man eine AD/DC Umgebung kann man noch zusätzlich darüber entscheiden welche Sicherheitsstufe oder Maßnahmen man denn
bevorzugt oder gar benötigt. Also ob die LDAP (Kabel gebundenen Geräte) und Radius (Kabel losen internen WLAN Geräte) Rolle mit
installiert wird und ob ein Captive Portal für die Gäste her muss. Soll oder muss das WLAN mit einem Controller gestützt sein oder
nicht. (Roaming oder Fast Roaming auf Layer2 & Layer3 Basis)

Wenn eine Firewall den gesamten Netzwerkverkehr und die VLANs routet dann sollte diese auch so potent sein dass sie nicht gleich in die
Knie geht wenn man ein Backup macht oder gar große Dateien von der DMZ in das LAN geroutet werden müssen.

Gruß
Dobby
Mitglied: netbyte
netbyte 02.03.2017 um 11:47:35 Uhr
Goto Top
Hallo alle zusammen,

Danke für den vielen Feedback.
Aber nun zum Thema. face-smile
Angedacht ist diese Konstellation für eine Office Umgebung mit ca. 20 Usern Max. gleichzeitig Vorort, hinzukommen etwa die gleiche Anzahl an Road warrior mit BYOD.


Zitat von @em-pie:

Moin,

der Ansatz, das Netzerk sinnvoll zu segmentieren, ist schon gut.
Danke.

Allerdings gibt es hier noch technische/ kosmetische Veränderungen vorzunehmen (was ja auch einer deiner Fragen beantworten wird):
Und genau da, steckt der Teufel im Detail. Daher möchte ich es Sauber umsetzen.

* eine DMZ ist eine DMZ. Hier kommen alle Geräte rein, auf die von außerhalb zugegriffen werden soll: WebServer (für Kundenportale), FTP-Server, WebFrontend für Groupware-Zugriffe (von außen). In der Firewall werden dann nur die Dienste ins LAN erlaubt, die auch wirklich nur erforderlich sind. Dabei sollte man so granular wie möglich und sinnvoll vorgehen. Sprich, wenn das Groupware-Frontend auf den internen Server zugreifen muss, dann schaue, welche Ports benötigt werden und lasse in der FW auch nur die Ports zu dem Server zu.

* Server sollten in ein eigenes (V)LAN verfrachtet werden. Will/ muss man es sehr streng machen, formt man u.U. mehrere VLANs dafür, damit z.B. die FiBu/ Personalserver nicht im Netzwerk der TerminalServer zu finden sind.
Erledigt.
* Drucker würde ich ebenfalls ein eigenes VLAN für vorsehen. Ist sicherheitstechn. besser, wenn aus vielen VLANs gedruckt werden soll
Das war unter anderem ein Punkt, welcher mir etwas zum nachdenken gab. Da ich aus unterschiedlichen Netzteilen Drucken will.
Da muss ich nochmal nachlesen wie man es Richtig umsetzt.

* Clients habe ich ebenfalls in einem eigenen VLAN. Auch hier: bei Bedarf/ Erfordernis mehrere VLANs bilden (wenn z.B. eine F&E im Unternehmen existiert und nicht jeder daran soll).
Bei der Grösse im moment eher unwahrscheinlich, aber Luft nach oben will ich mir nicht versperren.

* WLAN auch je einmal für intern und extern formen, aber das hast du ja bereits.
  • VOIP hast du ja schon face-smile

Des Weiteren: lasse nicht alles über die Firewall routen. Wenn du einen (oder mehrere) Core-Switche einsetzt, können die sehr viel schneller routen, als die pfSense. Die Zugriffe untereinander kann man wiederum mit ACLs auf den Switchen reglementieren.
Schaue dir am besten hierzu mal @aqui s hervorragendes Tutorial an:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Wird gemacht. face-smile

Zitat von @brammer:
2 Fehler im Konzept......

172.168 .x.x = Gehört zu America Online besser bekannt unter AOL.
Nimm bitte auf jeden Fall Private IP Adressen

Die Begriffe Class C und so weiter wurden 1993 im Rahmen der Einführung von CIDR obsolet.
Danke für den Hinweis. Werde auf die 10er ip's umschwenken. Anscheind war mar meine Recherche nicht gründlich genug, hatte mich für diesen IP Bereich entschieden um Konflikte mit VPN zu vermeiden.

Zitat von @108012:

Hallo,

in die DMZ kommt alles was einen Internetkontakt hat und/oder nach dort etwas anbietet wie zum Beispiel Services,
wie S/FTP, Web, eMail und Fax Server und alles andere kommt in das LAN, wie zum Beispiel, Drucker, Scanner, PCs,
Workstations, alle LAN Server und auch weiteres Equipment was man lokal und/oder über das Netzwerk verfügbar
machen möchte.
Schliesst dieses auch AD/DC ein, den da gab es laut meiner Recherche unterschiedliche Meinungen.

Des weiteren ist es auch so dass man die vor Ort gegebenen Örtlichkeiten in eine Segmentierung mit einbezieht und
von daher sollt man eventuell zuerst darüber nach denken welche Layer man denn benötigt. (Core und/oder Edge, Distributed und Access)

Dann sollte man zusehen dass man am WAN Interface Anfängt und nach hinten alles "durchreicht", oder sprich welche Routingprotokolle
benutzt werden sollen und wie weit diese in das Netzwerk hineinreichen sollen, wie zum Beispiel BGPi & BGPe, VRRP/HRSP, RIP, OSFP
oder gar anderen Protokollen, und ob die Switche diese auch unterstützen müssen oder sollen oder eben nicht wäre ja auch schon nett
zu wissen bevor man ein Netzwerk aufbaut, ebenso wichtig zu wissen wäre es ob man die Switche vor Ort in einem 19" Rack stapelt
und ob die Core Switche redundant ausgelegt werden sollen oder müssen, und welcher Durchsatz im Netzwerk benötigt wird und ob das
Netzwerk später noch wächst und vor allem wie stark es wächst. Sollen VLANs benutzt werden und wer routet diese dann, ist ebenso gut
zu wissen ob und wie man die Switche im Netzwerk positioniert also ob Abteilungsswitche von Nöten sind oder genug Netzwerkdosen
verlegt/verbaut wurden.

Hat man eine AD/DC Umgebung kann man noch zusätzlich darüber entscheiden welche Sicherheitsstufe oder Maßnahmen man denn
bevorzugt oder gar benötigt. Also ob die LDAP (Kabel gebundenen Geräte) und Radius (Kabel losen internen WLAN Geräte) Rolle mit
installiert wird und ob ein Captive Portal für die Gäste her muss. Soll oder muss das WLAN mit einem Controller gestützt sein oder
nicht. (Roaming oder Fast Roaming auf Layer2 & Layer3 Basis)
AD/DC, LDAP und Radius werden definitiv von Nöten sein um eine Zentrale Verwaltung sicher zustellen.

Wenn eine Firewall den gesamten Netzwerkverkehr und die VLANs routet dann sollte diese auch so potent sein dass sie nicht gleich in die
Knie geht wenn man ein Backup macht oder gar große Dateien von der DMZ in das LAN geroutet werden müssen.
Angedacht ist folgendes als Firewall ( https://netgate.com/products/sg-8860-1u.html ), diese sollte potent genug sein um das Komplette Routing zu übernehmen und ich spare mir VLAN in den Switches einzurichten da fast alles Physikalisch getrennt ist.
Oder habe ich hier ein Denkfehler.

Gruß
Dobby


Grus
Andreas
Mitglied: 108012
108012 02.03.2017 um 15:05:46 Uhr
Goto Top
Angedacht ist folgendes als Firewall ( https://netgate.com/products/sg-8860-1u.html ), diese sollte potent genug sein um das Komplette
Routing zu übernehmen und ich spare mir VLAN in den Switches einzurichten da fast alles Physikalisch getrennt ist.
Würde ich zur zeit nicht kaufen wollen da, dort in der Hardware ein Fehler aufgetreten ist und sich die Geräte von anderen Herstellern
mit der selben Hardware nach 18 Monaten nicht mehr booten lassen! Wie der pfSense-Shop mit diesem Thema umgeht ist mir nicht
bekannt, aber ich würde von jeglicher Hardware die ein Intel Atom C2000 SoC verbaut hat erst einmal auf jeden Fall die Finger lassen
wollen!!! Und für das Geld würde ich mir lieber einen Supermicro Xeon D-15x8 Barebone kaufen plus 8 GB RAM und eine 120 GB SSD
die dann auch den Job machen und nicht sehr viel mehr, wenn überhaupt kosten. Hier mal zwei Beispiele:
  • Supermicro SYS-E300-8D
4C/8T SoC und DDR4 Speicher plus 10 GBit/s SFP+ Ports
  • Supermicro SYS-E200-8D
6C/12T SoC und DDR4 Speicher plus 10 GBit/s SFP+ Ports

Als Switche würde ich folgende mit einplanen wollen:
Empfehlung: (Hoher Durchsatz)
Netgear M4300 als LAN Switche
Netgear M4200 als Switche für die WLAN APs
Netgear WLAN Controller oder alternativ ein Netgear Gerät zur WLAN AP Verwaltung
Alles aus einer Hand und mit echtem Controller oder nur einem Gerät zur einfacheren Verwaltung, aber die Switche sind
alle Layer3 Switche und routen die VLANs selber mit "Wire Speed" und die WLAN APs sind mit 2,5 GBit/s oder 5 GBit/s und
die Switche untereinander mit 10 GBit/s angebunden.


Budget: (Mittlerer Durchsatz)
Cisco SG350-20 als LAN Switch
Cisco SG220-20 als DMZ Switch
Reine Layer2 und Layer3 Siwtche die mit einem üppigen Menü aufwarten können.

Alternativ: (Günstige Layer3 Switche und mit SFP+ Port)
D-Link DGS1510-20/48 als DMZ Switch und Layer2 Menü
D-Link DGS1510-24/48 als LAN Switch mit Layer3 Menü
Diese Switche kommen mit 10 GBit/s SFP+ Ports zur Anbindung an die pfSense optimal

Oder habe ich hier ein Denkfehler.
Ja, denn die VLANs müssen immer auf zwei Seiten konfiguriert werden und zwar auf den Switche und auf der pfSense
und nicht nur auf der pfSense. Und wenn dann größere Dateien durch die pfSense müssen sinkt der Durchsatz schnell
auf ein Minimum ab! Und das Intel Atom C2758 SoC hat nicht genug power um die VLANs mit "Wire Speed" zu routen!

Dann lieber den DGS1510-xx nehmen und den an die pfSense mittels eines DAC Kabels anbinden wo die Optiken schon
gleich mit dran sind und nicht so viel kosten, aber dann passt das auch alles richtig zusammen und man muss nachher
nicht wieder alles mittels LAG (LACP) gerade richten und das wird dann auch wieder nur etwas halb gares!

Gruß
Dobby



Hier mal was man alles für sein Geld bekommt:

Voleatech:
SG-8860 ~1200 Euro
SG350-28 ~450 Euro
SG220-26 ~279 Euro
Kein 10 GBit/s und eventuell nach 18 Monaten funktioniert die SG-8860 nicht mehr.
~1930 Euro

Mittlere Appliance:
Supermicro SYS-300-8D ~780 Euro
plus 16 GB RAM ~50 Euro
plus 120 GB SSD ~60 Euro
2 x DGS1510-20 ~ 460 Euro
Mit 10 GBit/s Anbindung und richtig wumms unter der Haube.
~1400 Euro

Große Appliance:
Supermicro SYS-200-8D ~950 Euro
plus 16 GB RAM ~ 50 Euro
plus 120 GB SSD ~60 Euro
2 x DGS1510-20 ~460 Euro
~ 1520 Euro
Auch mit 10 GBit/s und noch stärkere Appilance
Mitglied: netbyte
netbyte 03.03.2017 um 11:41:39 Uhr
Goto Top
Zitat von @108012:

Angedacht ist folgendes als Firewall ( https://netgate.com/products/sg-8860-1u.html ), diese sollte potent genug sein um das Komplette
Routing zu übernehmen und ich spare mir VLAN in den Switches einzurichten da fast alles Physikalisch getrennt ist.
Würde ich zur zeit nicht kaufen wollen da, dort in der Hardware ein Fehler aufgetreten ist und sich die Geräte von anderen Herstellern
mit der selben Hardware nach 18 Monaten nicht mehr booten lassen! Wie der pfSense-Shop mit diesem Thema umgeht ist mir nicht
bekannt, aber ich würde von jeglicher Hardware die ein Intel Atom C2000 SoC verbaut hat erst einmal auf jeden Fall die Finger lassen
wollen!!! Und für das Geld würde ich mir lieber einen Supermicro Xeon D-15x8 Barebone kaufen plus 8 GB RAM und eine 120 GB SSD
die dann auch den Job machen und nicht sehr viel mehr, wenn überhaupt kosten. Hier mal zwei Beispiele:
Stimmt, iirc habe ich etwas in den News gelesen mit dem Hardware Fehler. Muss nochmal recherchieren.


Als Switche würde ich folgende mit einplanen wollen:
Empfehlung: (Hoher Durchsatz)
Netgear M4300 als LAN Switche
Netgear M4200 als Switche für die WLAN APs
Netgear WLAN Controller oder alternativ ein Netgear Gerät zur WLAN AP Verwaltung
Alles aus einer Hand und mit echtem Controller oder nur einem Gerät zur einfacheren Verwaltung, aber die Switche sind
alle Layer3 Switche und routen die VLANs selber mit "Wire Speed" und die WLAN APs sind mit 2,5 GBit/s oder 5 GBit/s und
die Switche untereinander mit 10 GBit/s angebunden.

Netgear war mir bis jetzt hauptsächlich im Consumer Bereich bekannt wie das ganze im Enterprise Segment aus schaut weiss ich nicht, muss mich mal in der Richtung nochmal schlau machen.
Angedacht waren HP 1920 mit POE aber diese sind anscheint eher unbeliebt.
Als AP's sollten die Ubiquiti UniFi werden.
Das mit der PFSense als Flaschenhals war mir von Anfang an bewusst, da Dort alles durch muss.

Könntest du mir eventuell nochmal auf die Sprünge helfen min AD/DC im LAN und DMZ, den in dem Bereich habe ich leider immer noch Verständnis Probleme.
Wo hin mit AD/DC ?

Gruß
Dobby

Vielen Dank

Grus
Andreas
Mitglied: 108012
108012 03.03.2017 um 12:52:35 Uhr
Goto Top
Stimmt, iirc habe ich etwas in den News gelesen mit dem Hardware Fehler. Muss nochmal recherchieren.
Und hinsichtlich der Leistung und der Preise ist die Supermicro Lösung aber alle male besser, sie ist stärker
und kostet weniger und ist auch in der Lage mittels 10 GBit/s den Flaschenhals zu eliminieren.

Netgear war mir bis jetzt hauptsächlich im Consumer Bereich bekannt wie das ganze im Enterprise Segment
aus schaut weiss ich nicht, muss mich mal in der Richtung nochmal schlau machen.
Die vorgeschlagenen Switche liegen im Bereich von ~1500 Euro bis hin zu ~7.500 Euro, also den Konsumerbereich
sehe ich da eher nicht so vertreten. Und die HP Switche sind in der Regel zwar günstiger, aber das war es dann auch
meist schon. Kommt eben auch darauf an was man benötigt und sich leisten kann.

Geringe Leistung:
Netgear M3300 Serie
Kleine Serie mit mittelmäßiger Leistung und Funktionsvielfalt

Mittlere Leistung:
Nretgear M4300 Serie
Damit kann ein Spine-Leaf Konzept umgesetzt werden.

Große Leistung:
Netgear M7300 (Core) & M5300 (Access) Serie
Können voll gestapelt werden.

All-in-one-Lösung:
Netgear M6100
Hat alles und mehr und man spart sich die Stackingmodule- und Kabel

Budgetempfehlung:
D-Link DGS1510-20
Mit 2 SFP+ Ports und somit passgenau zu der Supermicro-Lösung

Alternative:
Cisco SG220-26
Layer2 Switch mit gutem Menü
Cisco SG350-28
Layer3 Switch mit guten Menü
Cisco SG500-28
Stapelbarer Switch mit hoher Leistung und hoher Funktionsvielfalt.
Cisco SG500x-28
Wie SG500 aber mit mehr Leistung und 10 GBit/s Ports.

Angedacht waren HP 1920 mit POE aber diese sind anscheint eher unbeliebt.
Naja das nicht gerade aber wenn man woander für ein wenig mehr Geld auch noch mehr Leistung und Funktionen bekommt....

Als AP's sollten die Ubiquiti UniFi werden.
Ist auch ok, liefern aber kein Fast-Roaming auf Layer2 & Layer3 Basis!

Das mit der PFSense als Flaschenhals war mir von Anfang an bewusst, da Dort alles durch muss.
Muss ja nicht sein!

Könntest du mir eventuell nochmal auf die Sprünge helfen min AD/DC im LAN und DMZ,
den in dem Bereich habe ich leider immer noch Verständnis Probleme.
Eigentlich in das LAN und zwar komplett! In die DMZ kommen nur Server die Internetkontakt haben!
FTP, eMail, Web, VOIP, Faxserver,......

Wo hin mit AD/DC ?
In das LAN!

Gruß
Dobby