banane31
Goto Top

Netzwerkerstellung und Verwaltung

Hallo alle miteinander face-smile.
Einen schönen Sysadmin Day wünsche ich!

Ich habe mal ein paar Fragen bezüglich dem Aufbau/Ausbau eines Netzwerkes.

Hier mal meine Visio Zeichnung:
bde075d6999982b6533455edc06024a7

1. Frage
IP-Adress bereich.
Würdet ihr ein 192.168.10.0/24 Netz für meinen Anwendungsfall nutzen?
Es werden später noch viele Netzwerkgeräte folgen und ich möchte später nicht alles umstellen.

Hatte mehr an ein 10.176.0.0/12 Netz gedacht o.ä

Aktuell sind es ca. 60 TCP/IP Geräte.
Kühlschrank, Fernseher, Konsolen, WLAN Devices, Server, Switche, Router, usw.

Ich hätte auch gerne ein Gast-WLAN (geht ja mit der Fritte und dem Linksys), dieses sollte am besten in einem VLAN liegen!
Geht aber denke ich mit der FritzBox nicht.

PS.
Anbei:
Ich habe das Problem, wenn ich auf der Konfiguration des Linksys was auf der Startseite anpassen möchte (WAN-IP, Name, etc.) da loggt er mich immer aus und zeigt an: Sitzungsfehler bitte melden Sie sich neu an.
Hardware Version 2. Firmware V. 2.0, Habe das ganze Teil schon platt gemacht und neu eingerichtet aber ohne Erfolg. Alles andere wie SSID, WLAN PW kann ich alles anpassen.

2. Frage
Erreichbarkeit der Dienste von Extern.
Da ich viel Unterwegs bin (u.a auch bei Kunden, bin Webdesigner) möchte ich gerne von überall Zugriff auf meine Systeme daheim.

Was soll erreicht werden?
Die Windows Server (geht das?, haben ja alle 3389 als RDP Port.) Brauch ich da einen Reverse Proxy à la SQUID? Da habe ich ein wenig was drüber gelesen
aber wenig Erfahrung.
Webserver auf der VM-03 sollte erreichbar sein, sowie der auf dem Raspi. via http und https.
Auf das KVM Modul vom Server würde ich auch sehr gerne zugreifen.

Wäre es sinnvoll daher ein VPN einzurichten?
Wenn ja wie? Hardware/Software.

Der Webserver sollte am besten über subdomains meiner hauptdomain ansprechbar sein.
z.B Kunde1.mein-webdesign.de
Ich selber hätte dann gerne dass wenn ich auf privat.meine-private-domain.de gehe auf z.B einer Owncloud lande die auf ner VM läuft mit dyn. IP.

Meine Hauptdomains laufen alle auf einem Dedicated Server in einem RZ.

DDNS ist ja so eine Sache....es kostet mittlerweile fast überall was oder man ist an etwas gebunden oder so.
Da ich einen Server habe, im RZ der 24/7 läuft würde ich mir gerne was eigenes mit DDNS basteln.
Habe da auch schon was gefunden: http://www.axelteichmann.de/DynamicDNS/index-DynDNS-mit-Fritzbox.php#v1
Das sieht ja schonmal ganz nett aus.

Aber wie soll das dann gehen, wenn ich nur ein DDNS Namen habe aber 5 Subdomains oder so da auflaufen? Die Fritte weiß doch garnicht wie ihr geschieht!

3.Frage
Thema Sicherheit / Firewall
Ich überlege eine Sophos UTM Appliance irgendwie zum laufen zu bringen, dass die einiges abdeckt. wie z.B VPN/Firewall.

Hardware kann noch angeschafft werden, jedoch keine Ultimative Lancom Router oder sowas für 900€, das ist leider nicht drinne.
Ich bedanke mich für eure Aufmerksamkeit und sehr auf eure Antworten gespannt.

Grüße face-smile

Content-Key: 244705

Url: https://administrator.de/contentid/244705

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: 108012
108012 26.07.2014 um 10:43:34 Uhr
Goto Top
Hallo,

ich würde mir erst einmal eine genaue Topologie aufzeichnen und dann erst
überlegen was für Hardware ich mir zulege.

Ich würde an Deiner Stelle eine Fritz!Box 7390 oder 7490 kaufen und aufstellen,
dahinter dann eine Firewall und dann drei Switche und einen WLAN AP mit einplanen.

Zwei der Switche können ruhig Layer2 sein und die würde ich je in eine der beiden DMZs
packen wollen und einen Layer3 Switch im LAN aufstellen an dem auch der WLAN AP
hängt und dann muss man eben einmal sehen wie man das ganze sinnvoll mittels VLANs
aufteilt.

1. Frage
IP-Adress bereich.
Würdet ihr ein 192.168.10.0/24 Netz für meinen Anwendungsfall nutzen?
Es werden später noch viele Netzwerkgeräte folgen und ich möchte später nicht alles umstellen.
Durch die Switche (Layer2 & Layer3) kann man sicherlich auch mit VLANs arbeiten und jedem einen
eigenen IP Adressbereich vergeben, dann sollte das mit den IP Adressen auch nicht so wild werden.

2. Frage
Erreichbarkeit der Dienste von Extern.
Da ich viel Unterwegs bin (u.a auch bei Kunden, bin Webdesigner) möchte ich
gerne von überall Zugriff auf meine Systeme daheim.
Via IPSec VPN und das kann auch die AVM Fritz!Box recht gut abhandeln.
Ob dahinter dann ein Squid Proxy muss ist so eine Sache das würde ich erst
noch einmal überdenken wollen.

DDNS ist ja so eine Sache....es kostet mittlerweile fast überall was oder man ist
an etwas gebunden oder so.
Das hat AVM jetzt auch im Portfolio und man kann ja auch zu NoIP.org.

3.Frage
Thema Sicherheit / Firewall
Ich überlege eine Sophos UTM Appliance irgendwie zum laufen zu bringen,
dass die einiges abdeckt. wie z.B VPN/Firewall.
Das kostet dann auch wieder Lizenzen für AV und so weiter, also wenn der Server ja so oder so in
einem RZ steht warum das Ganze?

Gruß
Dobby
Mitglied: falscher-sperrstatus
falscher-sperrstatus 26.07.2014 um 11:33:00 Uhr
Goto Top
Guten Morgen,

Was für ein Budget hast du für das ganze denn? Selbst die Lizenz für die UTM dürfte die 900€ schon (Bei FW, WLAN usw Subs.) sprengen. Damit erschlägst du aber die VPN Sache.

Wie viele Benutzer sollen dahinter hängen?

Grüße,

Christian
Mitglied: banane31
banane31 26.07.2014 um 11:42:52 Uhr
Goto Top
Moin.
Ein Server steht im RZ der andere schon im 19" Schrank im Kg.

Die Hardware ist auch schon gekauft, kann aber erweitert werden.

Es werden ca 12 Nutzer hintergangen, 2 ext. Ma auch noch. Also 14.

Für die aktuelle Ausstattung habe ich bereits ~5000€ ausgegeben. 1000€ könnte ich imho noch aufbringen.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 26.07.2014 um 11:48:17 Uhr
Goto Top
OK, was für eine UTM Subscription hast du bereits? Was für eine HW dazu?
Mitglied: 108012
108012 26.07.2014 um 13:07:48 Uhr
Goto Top
Aktuell sind es ca. 60 TCP/IP Geräte.
Kühlschrank, Fernseher, Konsolen, WLAN Devices, Server, Switche, Router, usw.
Die Multimediageräte würde ich in eine eigene DMZ (DMZ2) packen und die Server,
das NAS und RaspBerry PI in eine andere DMZ (DMZ1).

Zwei oder gar drei Switche sollten wie gesagt auch vorhanden sein denn von denen
habe ich weder in der Zeichnung noch von Dir hier irgend etwas gehört.

Bei 60 IP Geräten wäre es auch nicht schlecht wenn der RaspBerry PI für alle
Beteiligten im Netzwerk den NTP Server übernimmt.

Wie schon angesprochen würde ich mal nach zwei Cisco SG200-16 Port LAN Switchen
für die DMZs und nach einem Cisco SG300-26 Ausschau halten wollen.

Gruß
Dobby
Mitglied: goscho
goscho 26.07.2014 aktualisiert um 15:20:55 Uhr
Goto Top
Mahlzeit
Zitat von @108012:

> Aktuell sind es ca. 60 TCP/IP Geräte.
> Kühlschrank, Fernseher, Konsolen, WLAN Devices, Server, Switche, Router, usw.
Die Multimediageräte würde ich in eine eigene DMZ (DMZ2) packen und die Server,
das NAS und RaspBerry PI in eine andere DMZ (DMZ1).
Warum alles in DMZs packen, wenn man nur per VPN von außen zugreift?

Bei 60 IP Geräten wäre es auch nicht schlecht wenn der RaspBerry PI für alle
Beteiligten im Netzwerk den NTP Server übernimmt.
Ne, sobald ein Windows-DC im Netz aktiv ist, ist dieser automatisch der Zeitserver für alle Domänenmitglieder. Womit der DC seine Zeit abgleicht, bleibt dem Admin überlassen (Hardwareuhr oder Zeitserver im Internet).
Allen anderen Geräten kann man auch einen Windows-Server als Zeitquelle unterjubeln, obwohl mancher Tux dann vielleicht in seine Ehre gekränkt ist. face-wink
Da der Raspi auch keine Hardwareuhr hat, müsste dieser bei jedem Reboot seine Zeit erstmal von einer anderen Quelle beziehen.
Mitglied: banane31
banane31 26.07.2014 um 20:07:59 Uhr
Goto Top
Hallo nochmal @all,

Noch keine Sophos Subscription vorhanden.

so sieht nun meine aktuelle Planung aus:

2x Cisco SG200-24
1x Cisco SG300-26
KAUFEN!

VPN auf der Fritte einrichten.
VLAN 1: Verwaltung 192.168.0.0/24
VLAN 2: WLAN 192.168.1.0/24
VLAN 3: Clients/Fernseher etc. 192.168.2.0/24
VLAN 4: Smart-Home Geräte (Rolländen usw.) 192.168.3.0/24

Zeitserver ist der Windows DC.

No-IP.org Account habe ich angelegt und auch schon meine 19,99$ für ein Jahr gezahlt.
DynDns auf der Fritte eingerichtet.
Portweiterleitung für meine Webservices (IIS, Apache, FTP)
VPN Einwahl klappt nun auch face-smile

Nun noch eine Frage:

Macht es Sinn Servergespeicherte Profile zu nutzen?

Ich selber arbeite ab und an auf verschiedenen Geräten (Notebook, PC,Workstation)
Ich bin es aber leid überall die Outlook Profile anzulegen oder was unter C:Users\XXXX\Downloads was auf Rechner gespeichert zu haben und aufm leppi ist es nicht da.
Nur Problem ist halt wenn ich oder Kollegen außer haus sind und gerade kein Internet haben um sich via VPN ins Netz zu wählen um das Serverseitige Profil zu laden.

Server: 2012R2
Clients: Win7 Pro, Win 8.1 Pro