Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Bestehende Infrastruktur in VLANs aufteilen, VPN Server und Firewall einrichten

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Androxin

Androxin (Level 2) - Jetzt verbinden

17.09.2014, aktualisiert 22.09.2014, 1712 Aufrufe, 8 Kommentare

Moin, moin.

Ich habe eine kleine Netzwerkinstallation geerbt und würde die nun gerne ein wenig auf Vordermann bringen.

Aktuell hängen in einem LAN (keine Segmentierung/VLANs) folgende Geräte:
- 15 PCs
- 2 XenServer (HA-Cluster)
- WLAN (Mitarbeiter, Gäste, Barcodescanner)
- IP Telefone
- Backup NAS
- ...

VPN (PPTP), DNS, DHCP, Exchange etc. laufen auf einem SBS.


Diesen "Zustand" würde ich gerne beenden, bekomme aber kein hinreichend großes Budget dafür. ("Läuft doch! Warum etwas ändern?")

Aufgrund des akuten Geldmangels würde ich gerne auf pfSense in Verbindung mit einem ALIX.2D13 Board setzen.
Es gibt ja schon für ca. 120€ entsprechende Komplettpakete zu kaufen.
Grundsätzlich wäre es ja mit pfSense möglich zwischen VLANs zu routen (VLAN fähige Switche sind vorhanden), die Zugriffe mit einer Firewall einzuschränken, VPN (IPSec) bereitzustellen und via DHCP IPs zu verteilen.

Ich habe allerdings das ungute Gefühl, dass ein ALIX 2D13 für diese Aufgabenfülle ein wenig unterdimensioniert ist. Sehe ich das richtig?

Leider ist man bei größeren pfSense Konfigurationen (2GB, 4 GB...) ganz schnell bei 200-300€, was mein Budget deutlich sprengen würde.

Wäre es eine Alternative zu einer größeren pfSense Firewall, Funktionen, wie z.B. das Bereitstellen von VPN, auf einen kleinen MikroTik 750 auszulagern?

Wäre es unter dem Strich vielleicht sinnvoller den DHCP für alle VLANs auf dem SBS zu belassen?


Auf Friggeleien mit OpenWRT oder Ähnlichem habe ich eigentlich keine große Lust. Darum die Suche nach günstigen Appliances. Sollte es keine brauchbare Komplettlösung geben, sticke ich natürlich auch gerne selbst etwas zusammen. Hauptsache ETWAS passiert.


Vielen Dank schon einmal für eure Unterstützung.
Mitglied: Dobby
LÖSUNG 17.09.2014, aktualisiert 22.09.2014
Hallo,

Ich habe allerdings das ungute Gefühl, dass ein ALIX 2D13 für diese Aufgabenfülle ein
wenig unterdimensioniert ist. Sehe ich das richtig?
Naja das ALIX.APU1C gibt es für 140 € ein Gehäuse dazu für ~50 € und eine mSATA oder
SSD kann man ja je nach dem dazu kaufen, aber sicherlich sollte es dann auch richtig flott
zur Sache gehen. Und wenn keine 200 € bis 300 € mehr vorhanden sind kann man sicherlich
auch etwas zusammen sparen und dann kommt es eben etwas später dazu, aber dann auch
richtig passend.

Wäre es eine Alternative zu einer größeren pfSense Firewall, Funktionen, wie z.B. das
Bereitstellen von VPN, auf einen kleinen MikroTik 750 auszulagern?
Das sind dann ~120 € & ~35 € für beides zusammen und auch irgend wie wieder
Gefrickel und auch wieder recht nah an 200 € dran! Also dann lieber für ~209 € ein
Komplettpaket mit allem drum und dran!

Wäre es unter dem Strich vielleicht sinnvoller den DHCP für alle VLANs auf dem SBS zu belassen?
Ich würde an dem SBS nichts ändern wollen.

Auf Friggeleien mit OpenWRT oder Ähnlichem habe ich eigentlich keine große Lust.
Naja ein MikroTik RB450G mit OpenWRT ist auch recht flott am werkeln, nur das mit dem
Geld sollte man eben noch einmal überlegen, denn wenn es an ~90 € scheitern sollte
weiß ich auch nicht richtig was da bei Euch los ist.

Darum die Suche nach günstigen Appliances. Sollte es keine brauchbare Komplettlösung
geben, sticke ich natürlich auch gerne selbst etwas zusammen.
Dann warte mal lieber bis ende diesen Monats und schau Dir mal das neue MikroTik RB850Gx2 an.

face-wink Hauptsache ETWAS
passiert.
Und das nennt man dann blinden Aktionismus!

Dann lieber warten und schon einmal vorab das Netzwerk planen und sich über die eine
oder andere Sache gut informieren, dann funktioniert es nachher etwas schneller mit
der Umsetzung und man kann auch mit dem Material richtig was wuppen.

Gruß
Dobby
Bitte warten ..
Mitglied: Androxin
17.09.2014 um 17:50 Uhr
Das heißt:
Entweder jetzt ein pfSense auf einem ALIX.APU1C Board kaufen
oder ein wenig warten und den MikroTik RB850Gx2 erstehen?

Würden beide Systeme den entsprechenden Durchsatz bringen?
Bitte warten ..
Mitglied: Dobby
LÖSUNG 17.09.2014, aktualisiert 22.09.2014
Hallo nochmal,

Entweder jetzt ein pfSense auf einem ALIX.APU1C Board kaufen
Würde ich dieses mal auf jeden Fall vorziehen wollen!

oder ein wenig warten und den MikroTik RB850Gx2 erstehen?
Sicher ist das die Budgetempfehlung, aber PPC mit Dual Core CPU
sollte auf jeden Fall abgehen wie die Post, nur leider würde ich persönlich
auch immer erst das Feedback der "Community" abwarten denn manchmal
hat MikroTik auch etwas "verschlimmbessert" oder aber die Kunden sind für die
neuen Router die "Betatester" und bei pfSense kann man sich sicher sein das es
stabil läuft!

Würden beide Systeme den entsprechenden Durchsatz bringen?
Welche VPN Methode benutzt Du denn?
Und mit welcher Verschlüsselung denn? (AES128 oder AES256)
Welchen Durchsatz brauchst Du denn?

Und die ganze teile einzeln kaufen ist auch genau so teuer!
Einzig und alleine ein Buch zu pfSense sollte man auch kaufen um damit besser
klar zu kommen, und für ca. 30 € ist das auch etwas was man bei der Lohnsteuer
absetzen kann.

Gruß
Dobby
Bitte warten ..
Mitglied: Androxin
17.09.2014 um 20:38 Uhr
Zitat von Dobby:

> Entweder jetzt ein pfSense auf einem ALIX.APU1C Board kaufen
Würde ich dieses mal auf jeden Fall vorziehen wollen!
Genau auf so einen konkreten Hinweis von jemandem mit dem entsprechenden Background habe ich gehofft. Vielen dank!

> Würden beide Systeme den entsprechenden Durchsatz bringen?
Welche VPN Methode benutzt Du denn?
Und mit welcher Verschlüsselung denn? (AES128 oder AES256)
Es wird wohl IPSec mit AES128 werden.

Welchen Durchsatz brauchst Du denn?
Im schlimmsten Fall sind es 10 Personen die parallel den Exchange Server quälen und eine Software nutzen die SQL Statements über das Netz feuert.

Ich dachte da eher an das lokal zwischen den VLANs stattfindende Routing bzw. die Firewall-Tätigkeiten.
Man liest ja häufig etwas von "Wirespeed" oder Ähnlichem.
Bitte warten ..
Mitglied: aqui
LÖSUNG 18.09.2014, aktualisiert 22.09.2014
Ich habe allerdings das ungute Gefühl, dass ein ALIX 2D13 für diese Aufgabenfülle ein wenig unterdimensioniert ist. Sehe ich das richtig?
Jein ! Die Frage kann man so nicht beantworten, denn es hängt in entscheidendem Masse davon ab WIEVIEL Traffic du hast zwischen deinen VLANs bzw. was dort geroutet werden muss.
Dein Voice VLAN bist du allein schon aus rechlichen Gründen gezwungen zu segmentieren will man hier juristsich auf Numemr sicher gehen. Bei 64 kBit/s pro aktiver Voice Session ist der Traffic dann aber eher lächerlich für ein ALIX Board 2D13
Segmentierst du GiG angeschlossene Server von den Clients sieht die Welt schon anders aus.
Du erkennst vermutlich selber an welchen Faktoren es hängt. Vom Durchsatz her schaffen die Bords Wirespeed aber das 2D13 eben nur 100 Mbit pro Port.
Sicherer ist es du setzt auf die neue ALIX Hardware apu1c die hat 1 GiG Ports und ist bei nahzu gleichem Preis erheblich leistungsfähiger, was hier ja auch schon mehrfach genannt wurde.
Alternativ kannst du ach für kleines Geld bei eBay einen 1 HE Server erstehen setzt noch eine gig oder 2 Port GiG Karte da ein und hast so auch ein leistungsfähiges System. Es gibt viele Wege nach Rom aber 1 GiG im LAN Umfeld sollte es in einem Firmennetzwerk schon sein !
Was das VPN anbetrifft hat die CPU einen Hardware Crypto Beschleuniger an Bord den du im pfSense Setup aktivieren musst. Auch dann rennen die VPN Tunnel mit nahezu Wirespeed.
Bitte warten ..
Mitglied: Androxin
19.09.2014 um 14:42 Uhr
Zitat von aqui:
Vom Durchsatz her schaffen die Bords Wirespeed aber das 2D13 eben nur 100 Mbit pro Port.

Manchmal sieht man den Wald vor lauter Bäumen nicht.
Mir ist das mit den 100 Mbit Ports tatsächlich noch nicht aufgefallen.
Da dort ausschließlich Gbit verbaut ist, wäre es in der Tat nicht sinnvoll ein 2D13 zu verbauen.

Wie dämlich von mir, dass ich an diese nicht unwesentliche Restriktion nicht vorher gedacht habe. Bin davon ausgegangen, dass heutzutage eh alles Gbit Ports hat.
Bitte warten ..
Mitglied: Dobby
LÖSUNG 19.09.2014, aktualisiert 22.09.2014
Da dort ausschließlich Gbit verbaut ist, wäre es in der Tat nicht sinnvoll ein 2D13 zu verbauen.
Naja wenn der Schuh drückt und Geld knapp ist soll das mal so durchgehen, aber zukunftssicherer
wäre in meinen Augen die APU Serie von PC Engines und man kann ja auch 3 Monate etwas Geld
an die Seite legen wenn man "mang" ist!

Gruß
Dobby
Bitte warten ..
Mitglied: aqui
LÖSUNG 19.09.2014, aktualisiert 22.09.2014
Da dort ausschließlich Gbit verbaut ist, wäre es in der Tat nicht sinnvoll ein 2D13 zu verbauen.
So platt kann man es aber auch nicht sagen. Wenn dein VLAN übergreifender Traffic in Summe z.B. nur 10 Mbit ist, dann kommst du mit 100 Mbit Ports wunderbar aus.
Fazit: Nimm das neue Board:
http://varia-store.com/Hardware/PC-Engines-Boards/PC-Engines-AMD-APU1C- ...
Das ist preislich identisch und du bist auf der sicheren Seite mit 1 Gig.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerke
Open VPN Server am LINKSYS LRT214 korrekt einrichten (1)

Frage von Thomas866 zum Thema Netzwerke ...

Linux Netzwerk
VPN Server mit Drosselung Linux Debian basiert (4)

Frage von Niklas434 zum Thema Linux Netzwerk ...

Router & Routing
gelöst VPN-Server (Fritzbox) hinter Zyxel 5501 betreiben (7)

Frage von basti76nie zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...