Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Tipp für bessere Netzstruktur gesucht - pfSense und WinServer 2003 und 2 (V)LANs

Frage Netzwerke

Mitglied: schafea

schafea (Level 1) - Jetzt verbinden

10.01.2012, aktualisiert 18.10.2012, 5597 Aufrufe, 7 Kommentare

Dies ist meine erste Frage hier im Forum. Ich versuche möglichst präzise zu sein, aber bitte um Nachsicht falls ich etwas vergessen sollte.

Es geht um Folgendes:

Ich hoffe ich kann hier ein paar Tipps bekommen wie ich unsere Installation hier in unserer Mini-Firma verbessern kann. Es geht um folgendes:


1.) Den Zugang zum Internet haben wir über eine feste IP, daran angeschlossen ist ein pfsense (2.0) Installation die den Zugang für die dahinterliegenden Rechner als Internetgateway realisieren soll. (d.h. nur WAN und LAN Schnittstelle, kein DHCP, kein DNS -> Standardinstallation mit fester IP Adresse 10.10.20.1 auf der LAN Seite)

2.) Es gibt einen Windows Server 2003 (Standard) als DC der die Nutzeranmeldung an allen Rechnern im Netz / Nutzerverwaltung, DHCP, DNS, sowie als Fileserver arbeiten soll. Wenn möglich auch als Exchange Server (ja, OK besser nicht auf dem DC...)

3.) Das (interne) Netz soll aus zwei Teilen bestehen, zwischen den Teilen ist KEIN Routing erwünscht / erforderlich.
3a) der eine Teil (10.10.10.x, rund 15 Rechner in unserem Labor) soll keine Zugang zum Internet haben, aber Daten auf dem Server ablegen können
3b) Der andere Teil (10.10.20.x, knapp 10 Rechner in den Büros) soll Zugang zum Internet haben und mit den Daten auf dem Server arbeiten können
3c) Betriebssysteme auf den Rechnern sind Windows NT4, Windows XP, und Windows 7

Meine Frage ist: Wie realisiere ich sowas am elegantesten ? Bislang haben wir für die Vernetzung relativ einfache Level2 Switche wie HP2900, HP proCurve 1810 und nicht konfigurierbare 3COM Desktop Switche) im Einsatz.



Aktuell ist es wie folgt gemacht:
Der Server 2003 läuft als Multihomed DC, was leider auch so seine Probleme hat (ist hier im Forum ja schon oft angesprochen worden). Ich habe schon hin und her überlegt wie ich es besser machen kann, aber meine (relativ geringe) Erfahrung scheint da nicht auszureichen:

die pfSense Installation, der Server mit einer Karte und die 10 Rechner sind alle in dem 10.10.20.x Netz.
in dem zweiten Netz (10.10.10.x) ist der Server mit der zweiten Karte und die anderen 15 Rechner.
Das klappt zwar einigermassen, aber es kommt immer wieder zu hängern und ich glaube einfach das es da doch auch eine elegantere Lösung geben sollte.
Habt ihr dazu Tipps?

Jetzte bereits Danke!

Gruß

Andreas
Mitglied: aqui
10.01.2012, aktualisiert 18.10.2012
Du hast doch schon alles dafür am Laufen:
PfSense mit 3 Interfaces:
http://www.administrator.de/wissen/preiswerte%2c-vpn-f%c3%a4hige-firewa ...
Dafür kannst du dann eines fürs Labor benutzen und wasserdicht abtrennen.
Falls du mehrere Segmente benötigst als die 3 festen Ports arbeitest du mit VLANs !
Deine billigen 3Com und HP Gurken supporten das allemal, da bist du also besten gerüstet:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
So kannst du weitere Segmente sicher abtrennen und/oder den Internet Zugang damit regeln wie z.B. ein Gäste WLAN oder Gäste LAN mit einem CP wie im Tutorial beschrieben.
Wo ist denn nun dein wirkliches Problem ??
Bitte warten ..
Mitglied: schafea
11.01.2012 um 13:08 Uhr
Vermutlich bin ich einfach zu blöd:

erstmal vielen Dank für die konstruktive Kritik an meinen Gurken Bislang haben die ganz gut gearbeitet, aber zugegebenermassen sinds keine echten Profigeräte. Naja, wir sind halt auch sehr klein. Aber zu deiner Frage:

Prinzipiell läuft es ja auch, allerdings habe ich halt momentan im Windows DC zwei Netzwerkkarten (Labor und Büro/Internet) drin und zwei im pfSense rechner (WAN und LAN)

OK du hast natürlich prinzipiell recht: ich kann eine weitere Karte in den pfSense Rechner einbauen und dann das Labornetz an eine Karte hängen und den Server und das Büronetz an die andere. pfSense kann dann dazwischen routen. genau Das die Laborrechner nicht ins Internet kommen müsste dann vermutlich über (interne) Firewall Regeln einstellen !?

Wie erreiche ich aber das die Laborrechner (NUR) auf den Server zugreifen können und nicht auf die Bürorechner und Die Bürorechner auf den Server und nicht auf die Laborrechner? Was ich mir evtl. vorstellen kann ist bestenfalls folgendes (wie gesagt ich habe leider nicht ganz so viel Ahnung):


Drei Netze erstellen:
LAN: 10.10.10.x LABOR
LAN: 10.10.20.x Büros
LAN: 10.10.30.x Server
WAN: fixe Adresse (a.b.c.d)

Und alle it pfSense verbinden (dazu bräuchte ich dann entweder vier Karten in dem rechner oder ich müsste es über VLANs und einen der HP Switche machen).
Was ich allerdings dann nicht m,ehr auf die Reihe bekomme ist, wie ich das Routing so einstelle, dass:

a) Labor Zugriff auf Server hat, aber nicht auf Internet
b) Büro Zugriff auf Server und Internet hat
c) Labor keinen Zugriff auf Büro hat und umgekehrt.


vermutlich ist das für einen mit mehr Erfahrung ganz einfach, für mich leider nicht...

Trotzdem schon einmal vielen Dank das du dich überhaupt gemeldet hast, das ist nicht immer selbstverständlich.


Gruß

Andreas
Bitte warten ..
Mitglied: aqui
11.01.2012, aktualisiert 18.10.2012
Nein, nein zu blöd nicht aber manchmal sieht man halt den Wald vor lauter Bäumen nicht....
Das die Laborrechner nur mit dem Server kommunizieren können erreichst du ganz einfach durch eine Firewall Regel an der pfSense indem du Traffic nur für die IPs der Laborrechner (Source) auf die Server IP (Destination) freigibst. Idealerweise schränkst du auch noch die Ports ein damit die wirklich nur das tun was sie dürfen.

Was die Infrastruktur anbetrifft bist du auf dem richtigen Wege.
Ob du nun 3 oder 4 LAN Segmente oder analog VLANs einrichtest ist eher eine kosmetische Frage. Das hängt davon ab wieviel Bürorechner im Segment sind. Der Break Even liegt so bei 50 Geräten.
Es ist also durchaus denkbar und sinnvoll das du die Server einfach mit ins Büro Segment nimmst und nur das Labor Netz separierst sofern du nur 1 oder 2 Server hast.
Das ist mehr oder weniger eine kosmetische Frage und von dir abhängig was du sinnvoller findest... Sinnvoll ist aber immer die Server NICHT mit 2 NICs zu betreiben und das gesamte Routing und Firewalling der pfSense zu überlassen, denn die kann das besser und erheblich sicherer als der Server.
Was das Netzwerk Design anbetrifft hast du nun genau 2 Optionen:
Option 1.)
Du belässt deine HW wie sie derzeit ist und richtest auf deinen 2 Switches die 3 (oder 4) VLANs ein. Das kannst du im laufenden Betrieb schon nebenbei machen.
Die Switches brauchen einen tagged Uplink womit sie untereinander verbunden werden um alle VLANs über die Switches transparent im Zugriff zu haben.
Eine weiteren tagged Uplink verbindest du mit einem Port, sprich dem LAN Port auf der pfSense.
Dann richtest du auf der pfSense auf dem LAN Port einen tagged Port ein und generierst dort die VLAN Interfaces. Machst also diesen Port auch tagging fähig um so alle VLANs erreichen zu können.
Physisch gesehen hat die pfSense dann in jedem VLAN ein Interface und kann so routen bzw. firewallen zwischen den Segmenten OHNE das du in neue HW investieren musst oder den pfSense Rechner anfassen musst was wenig Aufwand bedeutet.
Den pfSense hängst du über ein Modem (bevorzugt) bzw. Router mit dem WAN Port direkt an das Internet.
Wie man pfSense für VLANs einrichtet findest du hier genau erklärt:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Hast du alles richtig gemacht sieht das dann so aus:

95a3336e55d479b032acf7daebe32eed - Klicke auf das Bild, um es zu vergrößern
(Die VLANs sind hier nur stilisiert dargestellt sie sind natürlich auf beiden Switches transparent verfügbar !)

Option 2):
Da müsstest du Hardware in die Hand nehmen und den pfSense Rechner um 1 oder 2 NIC Karten aufrüsten.
Die ToDos sind dann die gleichen wie beim VLAN Design oben nur der Unterschied ist das jedes Segment seine eigene NIC hat im pFsense.
Das gleicht den leichten Nachteil aus das beim obigen VLAN Design jeglicher Traffic auch der zwischen den VLANs über einen einzelnen Link geht.
Ist das Traffic Volumen zwischen Labornetz und Server gering und benutzt du GiG Interfaces ist das aber vernachlässigbar.

Die Zugriffsregeln wie die oben genanten a.) , b.) und c.) richtest du dann ganz einfach mit ein paar Firewallregeln in den jeweiligen Interfaces an der pfSense per WebGUI und Mausklick ein.
In den Logs kannst du sogar sehen wer der böse Buhmann der Kollegen ist der trotzdem versucht zuzugreifen
Damit kannst du zentral die Kommunikation auf einem Gerät (der pfSense) verwalten und das grafisch mit ein paar Mausklicks. Zudem kannst du die Zugriffsregeln auch überwachen und alle Verstösse dokumentieren !
Auch ein Gäste WLAN oder LAN mit Hotspot und Einmalpasswörtern ist so zusätzlich noch problemlos möglich:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Du kannst auch eine Konfig fahren aus Option 1 und 2 also das du ein Interface dediziert laufen lässt und eins dann mit VLANs.
Das hängt davon ab was du an HW Recourcen hast und wie genau du dein Netzwerk letztlich segmentieren willst.
Im Grunde hast du alles parat, du musst nur ein wenig umkonfigurieren...das ist alles !
Auch mit wenig Erfahrung ist das schnell machbar. Die o.a. Tutorials helfen dir dabei das schnell und problemlos umzusetzen !
Bitte warten ..
Mitglied: schafea
11.01.2012, aktualisiert 18.10.2012
drei kurze Ergänzungsfragen:

1.) DNS und DHCP macht der Windows Server 2003 oder doch besser pfSense ?

2.) Unter der Annahme das ich das Labornetz (10.10.10.x) und das Server+Büronetz habe (10.10.20.x) muss ich
- Die Firewall so einstellen das die 10.10.10.x recner nur auf die Server IP zugreifen können
- pfSense ist für alle Rechner Standard Gateway
- Generell muss ich pfSense so einrichten, dass ein Routing vom 10.10.10.x in das 10.10.20.x Netz und zurück stattfindet. Richtig? Da muss ich nochmal nachlesen wie man das genau machen muss, den Link hattest du ja oben schon angegeben... nochmal ganz herzlichen Dank!

3.) Zugriff vom WAN aus auf den Windows Server (Exchange) müsset man wohl am besten über einen VPN Zugang realisieren können oder? Es geht darum ggf. Mitarbeitern von unterwegs einen Zugang zu ermöglichen. Da müsste doch z.B. http://www.administrator.de/wissen/vpns-mit-dd-wrt%2c-m0n0wall-oder-pfs ... gut passen oder?

Danke!

Gruß

Andreas
Bitte warten ..
Mitglied: aqui
13.01.2012, aktualisiert 18.10.2012
Drei kurze Ergänzungsantworten:

1.) pfSense kann keinen vollen DNS ersetzen, es kann nur Proxy DNS sein, das sollte dir klar sein ! Wenn du eine dynamische DHCP zu DNS Auflösung hast ist es besser den Winblows das machen zu lassen und dem in der DNS Konfig einen Weiterleitung auf die lokale pfSense IP Adresse einzutragen, der dann Proxy ins Internet macht !

2.)
- a.) Ja richtig, denn die Firewall Regeln greifen immer nur inbound d.h. eingehend ! Also immer jede einzelne Labor Rechner IP 10.10.10.x (Source) auf die Server IP (Destination) eintragen und sonst nix. Evtl. noch den Port limitieren.
Achtung die FW Regeln werden immer der Reihe abgearbeitet, Reihenfolge zählt also auch in der Logik !

- pfSense ist für alle Rechner Standard Gateway A.: Ja, richtig ! (was auch sonst ?!!)

- Nein, das ist Blödsinn. Alle Netze sind ja direkt an der pfSense physisch angeschlossen. pfSense "kennt" allso alle IP Netze !
Ein Routing zu konfigurieren wäre hier also Unsinn denn pfSense macht das schon richtig für dich. Wichtig ist nur die gateway IP auf den Clients das die zur pfSense IP zeigt im jeweiligen Segment s.o.!

3.) Ja, VPN wäre aus Sicherheitssicht das Allerbeste und Ja das o.a.Tutorial beschreibt dir die genaue Vorgehensweise.
pfSense supportet auch IPsec als VPN protokoll aber dafür erfordert es immer einen externen Client wie z.B. den freien Shrew Client:
http://www.shrew.net/support/wiki/HowtoPfsense
PPTP hat den Vorteil das alle Geräte am Markt wie Smartphones, Winblows, Apple Linux und Co diese PPTP Clients schon im Betriebssystem an Bord haben und die VPN Einrichtung erheblich vereinfachen !
Denk aber beim VPN IP Design zwingend an das hier:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html ...

Abgsehen davon kannst du auch mit Port Forwarding an der pfSense arbeiten, was dann den direkten Zugriff aus dem Internet erlaubt.
Nachteil dabei ist aber immer das man damit ein Loch in seine pfSense Firewall bohren muss und so den Exchange Server bzw. Windows einem Sicherheitsrisiko aussetzt. Für den OWA Zugriff ist das ggf. noch tolerabel da HTTPS. Das musst du letztlich aber selbst entscheiden.
Bitte warten ..
Mitglied: schafea
23.02.2012 um 09:38 Uhr
Mittlerweile habe ich alles wie oben beschrieben umgesetzt und es läuft prima!

Probleme gab es primär noch beim einrichten von RPC over HTTP mit Exchange 2003 auf Windows Server 2003. Die Ursache war nach langer Fehlersuche das IPv6 Protokol auf dem Server 2003. Einfach komplett deinstallieren und alles läuft. Scheinbar ist bei einem Single Server Scenario trotz aktuellem Patch stand da eine Inkompatibilität. Im Netzt findet man ja einiges zum Exchange 2007 und diesem Problem bei 2003 scheint der Fehler aber nicht so bekannt zu sein. Evtl. hilft es ja irgendwem weiter.


Vielen Dank nochmal insb. @aqui


Andreas
Bitte warten ..
Mitglied: aqui
23.02.2012 um 10:46 Uhr
....immer gerne wieder
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
Welche pfsense Version für Dual-Wan Router mit APU2C4 installieren (5)

Frage von Roland30 zum Thema Router & Routing ...

Netzwerkgrundlagen
PFSense kein Internet Zugang (4)

Frage von Phill93 zum Thema Netzwerkgrundlagen ...

Sonstige Systeme
gelöst Kostenfreies Ticketsystem gesucht (1)

Frage von Stefan007 zum Thema Sonstige Systeme ...

Microsoft Office
gelöst Visio 2003 auf aktuellem System (6)

Frage von ratzla zum Thema Microsoft Office ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...