Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Fragen zum Aufbau eines Netzwerks

Frage Netzwerke Netzwerkgrundlagen

Mitglied: andi303

andi303 (Level 1) - Jetzt verbinden

22.11.2008, aktualisiert 25.11.2008, 3635 Aufrufe, 5 Kommentare

Hallo zusammen,

ich überlege mir gerade eine Umstrukturierung des Netzwerks und bräuchte mal ein bisschen "Best-Practice"-Hilfe. Vielleicht könnt Ihr mir da ein paar Tipps geben?

Hier die Ausgangssituation: Ich habe ca. 20 Rechner in einem AD. Die Verbindung zum Internet funktioniert im Moment so:
PCs (im AD) -> Switch -> ISA 2004 -> DSL-Router (Draytek Vigor 2820) -> Internet
An diesem Setup gefällt mir, dass sich der Internetzugang über den ISA-Server recht komfortabel regeln lässt. So dürfen also nur Benutzer auf das Internet zugreifen, die vorher von einem (eigenen) AD-Server verifiziert wurden.
Der ISA-Server ist allerdings zeitgleich der Flaschenhals, da alle 20 PCs über diesen ins Internet müssen (Server mit zwei Netzwerkkarten). Ich frage mich nun, ob ich das irgendwie effizienter gestalten kann.
Seit neuestem haben wir auch noch ein WLAN aufgebaut. Die Clients melden sich mit einem festen WPA-Schlüssel an und bekommen vorerst ein eigenes Subnetz zugewiesen. Danach müssen sich die Clients noch per VPN beim ISA-Server anmelden, um ins Internet (und LAN) zu gelangen.

Ich frage mich nun, ob nicht ein anderes Setup besser wäre:
ich überlege, den Draytek-Router als einzige Firewall zu nehmen und die Authentifizierung über einen RADIUS (auf dem AD-Server?) laufen zu lassen. Das hätte auch den Vorteil, dass sich die WLAN-Clients direkt anmelden können.
Aber wie mache ich das dann mit dem Logging (Speicherung IP zu Benutzer)?

Macht das Sinn? Oder gibt es noch andere Möglichkeiten, den ISA zu entlasten, bzw. den WLAN-Zugang zu vereinfachen?
Gibt es da eine Best Practice?

Vielen Dank im Voraus,
Andi
Mitglied: spacyfreak
22.11.2008 um 11:54 Uhr
"Gängig" ist die Absicherung des WLAN mit IAS Radius und Authentisierung via PEAP (EAP-MSCHAPv2).
Das klingt wahnsinnig komplex, ist aber doch recht einfach. Wenn du es dir selber nicht zutraust machen wir es zusammen online, gegen ein gewisses Taschengeld...

Die WLAN Clients schlagen dann im Intranet auf wie jeder LAN Client auch.

Auf der FW könntest Du logging aktivieren und die mitloggen wer welche Aktivitäten im Internet vollbringt (IP-Adresse & URL etc) je nachdem ob die FW das kann.

Ansonsten bietet sich ein Contentfilter System an, oder eine All-in-one Lösung wie Astaro ASG110, die sind relatiav billig und machen dir nen Web-Proxy mit Content Filter, die blockt dann schon bestimmte Inhalte (Sex, Drugs, RocknRoll usw), Logging, Firewall, DSL-Router, NAT-Device, SMTP Relay ohne Probleme für kleinere Firmen. Und auch noch sehr einfach zu bedienen... Für kleinere Läden sehr zu empfehlen da sie ihre Aufgabe recht brauchbar und stabil erledigen ohne viele komplexe und teure Einzelgeräte zu brauchen. Es geht ja nicht nur um Zugriffssteuerung, sondern vor allem um Abwehr von Schädlingen, z. B. über infizierte Web-Seiten, was ein echtes Sicherheitsrisiko darstellt heutzutage...
Da kannst auch ne AD-Authentisierung machen dass nur AD-User ins Internet kommen mit der Astaro.
Bitte warten ..
Mitglied: education
22.11.2008 um 11:59 Uhr
warum willst du einen Porsche gegen einen Opel austauschen?

Dein 1. Modell ist doch OK. und warum sollte der ISA der Flaschenhals sein? ist der Server so langsam? ich glaube eher das dein DSL der Flaschenhals ist und wenn du den ISA weg nimmst wird der proxy auch weg fallen.
Bitte warten ..
Mitglied: spacyfreak
22.11.2008 um 19:41 Uhr
Unter bestimmten Umständen kann ein Opel effektiver sein als ein Porsche - bei grade mal 20 Userlein allemal.
Bei einer recht überschaubaren Userzahl kann man das WLAN auch locker mit WPA (besser noch WPA2) absichern und sich das zusätzliche VPN sparen. 802.1X wäre halt noch eleganter da man sich das Eintragen des (statischen...) WPA Keys erspart und die User sich noch VOR Anmeldung am PC am Domain Controller anmelden, so dass auch GPOs ziehen und Netzlaufwerke gemappt werden etc. Quasi die gleiche Userexpirience wie im LAN.
Bei PEAP wird bei jeder Session ein neuer WPA Key ausgehandelt, was die Sache recht einbruchsicher macht, wobei auch WPA/WPA2 mit komplexem PSK derzeit als sicher eingestuft werden kann.
Bitte warten ..
Mitglied: andi303
25.11.2008 um 14:36 Uhr
Vielen Dank für Eure Hilfe!

Hm. Ich habe nun die Zeit genutzt und mal ein paar Tests ohne den ISA gemacht. Es ist tatsächlich nicht der Flaschenhals, ich bleibe daher wohl beim Porsche...

Ich werde dann wohl für die WLAN-Clients einen separaten RADIUS auf dem ISA-Server anlegen, das dürfte ja keine Probleme machen. (?)

@spacyfreak: Sorry, Taschengeld ist leider nicht drin, ich bekomme selber keins (ist ein g.e.V.). Ich werde mich mal selber durchkämpfen.
Bitte warten ..
Mitglied: spacyfreak
25.11.2008 um 21:56 Uhr
Neee, das macht garkeine Probleme. Alles easy, quasi "selbsterklärend".
Viel Spass bein Einrichten!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Notebook & Zubehör
gelöst HP 8770W - LAN Netzwerkproblem (Aufbau, Geschwindigkeit) (7)

Frage von RiceManu zum Thema Notebook & Zubehör ...

Windows Netzwerk
Direct Access mit VPN aufbau (6)

Frage von geocast zum Thema Windows Netzwerk ...

Netzwerkgrundlagen
gelöst Aufbau mittlerer bis großer Netzwerke (5)

Frage von MasterPhil zum Thema Netzwerkgrundlagen ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...