Archiv verlassen und diese Seite im Standarddesign anzeigen : Netzwerk planen
Thome
2007-05-28, 10:43:45
Hallo,
ich hab mich hier angemeldet, weil mir gesagt wurde, dass hier paar Leute mit Ahnung rumspringen. ;)
Also folgendes:
Wir wollen unser kleines Firmennetzwerk um einen Server erweitern. Dieser soll aber logisch vom restlichen Netzwerk getrennt werden, ebenso die 1 bis 2 Arbeitsplätze, die auschließlich diesen Server nutzen. Physische Trennung ist nicht möglich, da spätestens am Router wieder die Netze zusammengeführt werden.
Soweit so gut und sicher problemlos machbar (z.B. über VLANs).
Jetzt haben wir noch eine Außenstelle, die auch Zugriff auf das Netz braucht. Bisher wählt sich der Router der Außenstelle einfach über VPN am Hauptsitz ein und schon sind beide Netze verbunden. Jetzt sollen aber die Arbeitsplätze der Außenstelle nur auf das alte Netz zugreifen können bis auf eine. Die darf nur in das neue Netz.
Ich hab mal zur Verdeutlichung ne kleine Grafik gemacht:
http://home.arcor.de/thome84/Netzwerkplan_mit_Veranschaulichung_thumb.jpg (http://home.arcor.de/thome84/Netzwerkplan_mit_Veranschaulichung.jpg)
Grüße,
Thomas
Mit welcher Software kann man solche Grafiken machen?
Endorphine
2007-05-28, 13:26:46
2 gut gemeinte Ratschläge:
#1: es macht sich gut, in diesem Forum auch tatsächlich eine Frage zu stellen und nicht nebulös einen Sachverhalt vorzutragen und das Problem geheim zu halten.
#2: ihr solltet jemanden konsultieren, der sich damit auskennt. Es gibt eine Menge Systemhäuser, kleine IT-Beratungen etc., die das Ganze für eure Firma professionell und mit Support durchführen.
Wenn du als Laie das Projekt durchführst und dir von den im Internet schreibenden Laien Hilfe suchst wirst du auch am Ende das entsprechende Resultat erreichen: eine Frickellösung, die vielleicht leidlich funktioniert, nicht den tatsächlichen Anforderungen genügt und in der Zukunft dann viel mehr Geld kostet, als wenn es gleich professionell gemacht worden wäre.
Eine saubere Konzeptierung und Beratung gibt es nunmal nicht "for free". Und schon gar nicht in einem Computerspieler-Forum.
Endorphine
2007-05-28, 13:27:52
Mit welcher Software kann man solche Grafiken machen? Diese Software kostet 300 EUR.
Du würdest diese Frage nicht stellen, wenn du bereit wärst, diese Summe dafür auszugeben.
Thome
2007-05-28, 13:36:12
Software ist MS Visio Professional 2003. Was sie normal kostet, weiß ich nicht. Ich kann sie als Student noch kostenlos nutzen.
@Endorphine:
Danke für deine Ratschläge. Frage ist halt, wie ihr das ganze am besten umsetzen würdet.
Ich bin auch nicht direkt Laie, bin Student der Wirtschaftsinformatik und soll das Konzept im Rahmen meiner Diplomarbeit erarbeiten. Die Umsetzung wird letztendlich zusammen mit unserem IT Partner durchgeführt, keine Frage.
Und schon gar nicht in einem Computerspieler-Forum.
Kannst du mir eventuell ein kompetentes Forum empfehlen, dass sich auf Netzwerke spezialisiert hat?
Black-Scorpion
2007-05-28, 13:44:37
Vielleicht hilft dir diese Seite weiter.
http://www.netzwerktotal.de
hadez16
2007-05-28, 13:56:03
du hast dir die Antwort quasi schon selbst gegeben = VLANs
die wichtigen Geräte hier sind die Switches, die VLANs unterstützen müssen. die beiden Router bilden aufgrund des VPN lediglich eine "Bridge" zwischen den Außenstellen sodass man jedem Rechner einfach über die Switchports die VLAN-IDs zuweist und....it should work
habe sowas zwar noch nie selbst realisiert aber so schwer scheint das in meinen augen nicht zu sein
Xanthomryr
2007-05-28, 15:55:54
Kannst du mir eventuell ein kompetentes Forum empfehlen, dass sich auf Netzwerke spezialisiert hat?
Zum Beispiel hier:
https://www.mcseboard.de/
da.phreak
2007-05-28, 16:22:46
Die Trennung der Netzte müßte ja logischerweise am Router erfolgen. Über selbigen hast Du noch nichts geschrieben. Ist das ein spezielle Gerät oder ein Server-PC ? Wenn letzteres, welches Betriebssystem ?
Misda
2007-05-28, 18:33:48
Na, ich würd mal sagen, alle Bereiche in dafür passende Subnetze stecken und die Zugriffe untereinander über einen Router regeln.
Gast555
2007-05-28, 19:40:28
Na, ich würd mal sagen, alle Bereiche in dafür passende Subnetze stecken und die Zugriffe untereinander über einen Router regeln.
Dito. Da die Teile "physisch" nicht getrennt werden können, kann es ja nur über die Software gehen. -> Ich würde für die beiden Netze einfach mit Windowsbordmitteln verschiedene Arbeitsgruppen zuweisen.
Für Super-DAUs dürfte es reichen. Gegen mutwillige Angreifer ist das natürlich kein Schutz. Aber wenn es keine Firma mit einem Chefarschloch ist <dem jeder mal gerne ein peinliches Porno auf den Rechner schieben würde>, dann sollte es möglich sein. ;)
PS: In den Arbeitsgruppen sind im Normalfall nur die jeweils angemeldeten Rechner sichtbar.
Thome
2007-05-28, 20:01:11
Also verschiedene Arbeitsgruppen geht ja mal gar nicht. Das ist ne Firma und kein Heimnetz ;) Der bisherige Server ist auchn Domaincontroler.
Und es soll eben nicht nur den DAU fernhalten, sondern echte Sicherheit bieten. Zumindest für den neuen Server, da auf diesem wichtige Mandantendaten lagern werden. Ich denke auch einfache Subnetze trennen da nicht stark genug.
Beim Thema VLAN bin ich halt auf folgendes Problem gestoßen:
"Bitte beachten Sie, dass Geräte, die über Funknetz, VPN oder als externe Nutzer angeschlossen sind, alle VLANs erreichen können und von allen VLANs erreicht werden können."
Das steht in der Anleitung eines Draytek 2500We. Jetzt weiß ich nicht, ob das bei allen Routern so ist, oder ob andere Router die eigehende VPN Verbindung gezielt in ein spezielles VLAN routen können ohne Zugriff auf die anderen VLANs zu gewähren.
Ich hatte auch mal so die Idee, dass man doch noch intern im Netz mit direkten VPN Verbindungen zwischen dem Arbeitsplatzrechner und dem Server arbeiten könnte und alle andern Ports am Server dicht macht.
r3ptil3
2007-05-28, 21:26:59
An VPN wirst du wohl kaum vorbei kommen.
Ansonsten empfehle ich eine DMZ und mit z.B. IPCop.
Xanthomryr
2007-05-28, 21:33:48
DMZ?
Für was das denn?
Ich sehe da keine Bastion Hosts.
hadez16
2007-05-28, 23:14:30
Also verschiedene Arbeitsgruppen geht ja mal gar nicht. Das ist ne Firma und kein Heimnetz ;) Der bisherige Server ist auchn Domaincontroler.
Und es soll eben nicht nur den DAU fernhalten, sondern echte Sicherheit bieten. Zumindest für den neuen Server, da auf diesem wichtige Mandantendaten lagern werden. Ich denke auch einfache Subnetze trennen da nicht stark genug.
Beim Thema VLAN bin ich halt auf folgendes Problem gestoßen:
"Bitte beachten Sie, dass Geräte, die über Funknetz, VPN oder als externe Nutzer angeschlossen sind, alle VLANs erreichen können und von allen VLANs erreicht werden können."
Das steht in der Anleitung eines Draytek 2500We. Jetzt weiß ich nicht, ob das bei allen Routern so ist, oder ob andere Router die eigehende VPN Verbindung gezielt in ein spezielles VLAN routen können ohne Zugriff auf die anderen VLANs zu gewähren.
Ich hatte auch mal so die Idee, dass man doch noch intern im Netz mit direkten VPN Verbindungen zwischen dem Arbeitsplatzrechner und dem Server arbeiten könnte und alle andern Ports am Server dicht macht.
dann wird es wohl so sein, dass die router von paketen die von außen kommen, die VLAN-ID aus dem Ethernet-Header rauslöscht und so für alle verfügbar wäre
das ist dann wohl lediglich ein manko der eingesetzten hardware
Thome
2007-05-29, 00:17:17
dann wird es wohl so sein, dass die router von paketen die von außen kommen, die VLAN-ID aus dem Ethernet-Header rauslöscht und so für alle verfügbar wäre
Moment, ein Paket aus einem Fremdnetz hat doch noch gar keine VLAN-ID oder ähnliches. Woher auch?
Müsste es nicht so sein, dass man im Router 2 mögliche VPN Einwahlen konfigurieren kann und dem Paket dann je nach Einwahl das entsprechende VLAN zugeordnet wird?
hadez16
2007-05-29, 06:08:12
Moment, ein Paket aus einem Fremdnetz hat doch noch gar keine VLAN-ID oder ähnliches. Woher auch?
mh? in diesem fall wär es ja garkein "Fremdnetz", da es ein VPN-Netz ist, oder?
Thome
2007-05-29, 12:17:11
Also ich hab jetzt das Netz der Außenstelle einfach mal als "Fremdnetz" bezeichnet. Es weiß ja nichts über die Struktur des Netzes, in das es sich einwählt. Oder hab ich da jetzt nen Denkfehler?
CoconutKing
2007-05-29, 16:02:36
aus dem ehternetframe wird nichts rausgeschnitten wenns über vpn läuft. im ehternetframe ist extra platz für vlan-ids vorgesehen.
wenn ich dein problem richtig verstanden hab, dann pack doch die station die nur auf netz 2 darf und alles im netz 2 in ein eigenes subnetz und eigenes vlan, ebenso mit netz1 und die rechner die nur auf netz 1 dürfen.
dabei würd ich statisches vlan der MAC zuordnung den vorrang geben. wenn keine an deine patchfelder und switches kommt !
Stressfaktor
2007-05-29, 17:09:40
Diese Software kostet 300 EUR.
Du würdest diese Frage nicht stellen, wenn du bereit wärst, diese Summe dafür auszugeben.
Wieder mal der Klugscheißer vom Dienst. Warum sollte er nicht bereit sein das Geld dafür auszugeben? Das kann er sich doch wohl erst überlegen wenn er den Namen der Software kennt und vielleicht noch Alternativen dazu...
Haarmann
2007-05-29, 19:09:44
Thome
Viele Wege führen da nach Rom...
Einfacher Weg ist zB je Server einen VPN Server laufen zu haben. Damit sehen sich Netz 2 und Netz 1 zwar, aber können die jeweils "falschen" Pakete nicht mehr entschlüsseln.
Thome
2007-05-29, 20:43:16
Hallo Haarmann,
wenn ich dich richtig verstanden hab, würdest du es so ähnlich machen, wie ich mir das auch gedacht hab. Nur braucht das Netz 1 keinen extra VPN Server. Das ist nicht soooooooooo schutzbedürftig.
Also ich würde vielleicht das bisherige Netz so lassen, wie es ist und den neuen Server mit aufnehmen, aber soweit dicht machen, dass Zugriff nur über eine VPN Verbindung möglich ist. Wäre es dann hier ratsam einen extra VPN Router vorzuschalten oder geht es auch, wenn VPN Server und die Datenbank auf einem Gerät läuft?
Weitere Frage: Ist der Server dann nicht wieder über die gerade eingewählten Clients angreifbar oder wie schütze ich diese?
Und kann ich einfach eine direkte VPN Verbindung von einem Client an der Außenstelle mit dem Server im Hauptsitz aufbauen? (bestehende VPN Verbindung zwischen den Routern vorausgesetzt). Quasi einen Tunnel durch den Tunnel.
@CoconutKing:
Ich meinte nicht, dass Teile herausgeschnitten werden, sondern gar nicht erst vorhanden sind beim Erstellen des Paketes in der Außenstelle. Der Rechner in der Außenstelle kann doch nicht wissen, dass er mit seiner Anfrage jetzt ins VLAN 2 des Hauptsitzes muss, oder?
Und dass nicht mal jemand ne physische Verbindung zum Netz herstellen kann, möchte ich mal nicht ausschließen.
Haarmann
2007-05-29, 22:04:32
Thome
Da es VPN Server gratis gibt, würd ich nicht drauf verzichten. Die Leistung der Leitung ist nun auch kaum so hoch, dass der Server deswegen in die Knie ginge. Etwas mehr Sicherheit ist keineswegs immer falsch.
Jeder Server ist über die Clients, die sich mit ihm verbinden dürfen angreiffbar.
Das geht natürlich auch mit VPN im VPN.
Thome
2007-05-29, 23:41:16
Also wenn VPN Server als Softwarelösung, dann sicherlich Windows 2003 Server. Wird eh das BS von dem Server, also kann ich den auch gleich nutzen. Oder machen das Freewaretools gar besser?
Ich meinte eher, ob es sich auch lohnt noch ein extra Gerät vor den Server zu hängen, der dann auch die VPN Verbindungen verwaltet.
Jeder Server ist über die Clients, die sich mit ihm verbinden dürfen angreiffbar.
Eben. Und wie dämm ich diese Gefahr am Besten ein? Übliche Sicherheitsmaßnahmen sind selbstverständlich. Die Rechner sind in einer Domain. Nutzer mit entsprechend wenig Rechten ausgestattet. Alles Überflüssige abschalten.
Grüße,
Thomas
Haarmann
2007-05-30, 08:23:22
Thome
Sicherheit und Produkte von M$ sind jetzt nicht gleich etwas, was ich im gleichen Atemzug nennen würde... Von daher gäbe ich einer OpenSource VPN Lösung durchaus den Vorzug vor M$.
Also eine FW, welche die VPN Pakete erkennt un durchlässt tuts eigentlich, aber man könnte natürlich auch noch zusätzlich 2 VPN fähige Router nutzen, die zusätzlich nen sicheren Tunnel von Standort A zu B errichten.
Man nimmt den Usern Outlook und IE weg und gibt ihnen nen anderen Browser und ein anderes Mailtool mit auf den Weg. Aber 100% Sicherheit gibts bekanntlich nicht.
CoconutKing
2007-05-30, 09:02:39
@CoconutKing:
Ich meinte nicht, dass Teile herausgeschnitten werden, sondern gar nicht erst vorhanden sind beim Erstellen des Paketes in der Außenstelle. Der Rechner in der Außenstelle kann doch nicht wissen, dass er mit seiner Anfrage jetzt ins VLAN 2 des Hauptsitzes muss, oder?
Und dass nicht mal jemand ne physische Verbindung zum Netz herstellen kann, möchte ich mal nicht ausschließen.
der Rechner fügt die clan id auch nicht ein, das macht der router oder switch in dem fall. er erkennt je nach einstellung ob die mac ins vlan xy soll oder anhand des ports ob die daten mit vlan xy gekennzeichnet werden sollen.
mit nem router könntest du wiederrum zw. den 2 vlans ne verbindung herstellen und deine routen einstellen wie du es brauchst.
ich würde als vpn so nen kleinen cisco router hinstellen, sind nichtmal so teuer und haben nicht die beschwerden die du mit nem pc als vpn gw hast. sind halt standalone geräte und laufen ....
Thome
2007-05-30, 09:36:31
Oh also ich will jetzt hier keine MS vs. OpenSource Diskussion anfangen. Bin da eben etwas anderer Meinung. Jede Software hat Fehler und letztendlich ist auch immer der User ein gutes Stück mit für die Sicherheit seines Systems verantwortlich.
Also die beiden Standorte sind ja schon über VPN Router verbunden. Mir ging es jetzt nur um einen dritten Router, der den Server vom restlichen Netz abtrennt. Denke auch, dass ich das so machen werde bzw. wenigstens der Geschäftsführung vorschlage. Wird ja leider nicht alles umgesetzt, wie wir uns das so wünschen. :|
Zum Thema Sicherheit der Clients hab ich mir noch überlegt mit dem Windows Terminal Server zu arbeiten. Sprich auf den Clients ist dann NICHTS drauf, sie stellen nur erst ne VPN Verbindung in das Mininetz des Servers (welches ja nur aus dem Server besteht) her und öffnen dann eine Terminalsitzung und führen dort die Software aus. So müsste auch der Server überhaupt nicht weiter nach außen kommunizieren. Nur diese Terminalsitzung durch den VPN Tunnel zum Client.
Gute Idee, schlechte Idee? Genügt der Upload von DSL2000 um auch dem Client in der Außenstelle vernünftiges Arbeiten über den Terminalservice zu ermöglichen?
@CoconutKing: Ich glaube wir haben das selbe gemeint und nur aneinander vorbei geredet ;)
Aber wie du siehst, wird es wohl ne Lösung ohne VLANs werden. Die Auswahl des Routers steht dann natürlich auch noch bevor. Cisco ist schon mal ein gutes Stichwort. Mal schaun, was die so im unteren Preissegment anbieten.
netz 1, 2 und 3 jeweils in ein subnetz,
hinter den router im hauptsitz eine vernünftige firewall, dann kannste das doch ohne probleme regeln!?
der router gibt alles an die firewall, und die entscheidet ob der client durch darf.
edit: an der firewall brauchste dann 3 beinchen, z.b.
192.168.1.0 (1. Netz)
192.168.2.0 (2. Netz)
192.168.3.0 (Außenstelle)
das da nen vpn hinter hängt sieht die firewall ja ned. das muss natürlich laufen, das ist klar ,)
dann in der firewall nen eintrag
src "host 192.168.3.1 (1.PC)" dst "192.168.1.0" allow (und vice versa)
src "host 192.168.3.2 (2.PC)" dst "192.168.2.0" allow (und vice versa)
* deny
ist ohne größeren aufwand möglich, vorausgesetzt ihr habt ne anständige FW
CoconutKing
2007-05-30, 10:56:46
Gute Idee, schlechte Idee? Genügt der Upload von DSL2000 um auch dem Client in der Außenstelle vernünftiges Arbeiten über den Terminalservice zu ermöglichen?
ja reicht, ich hab an einer 2mbit sdsl leitung ca. 15 Kassen die nur am TS arbeiten und die druckaufträge auch noch über die leitung jagen. nebebei arbeiten auch noch 50 verkaufsrechner über die leitung und reicht dicke.
allerdings haben wir citrix PS 4.0, evtl ist das eff. als windows terminalserver pur, kostet aber auch mehr :)
Thome
2007-05-30, 11:28:31
@nn23:
Danke für deine Antwort. Klingt natürlich sehr einfach, nur was verstehst du unter einer vernünftigen FW? In welchem Preisrahmen bewegen wir uns da?
Außerdem gefällt mir bei VPN noch die Verschlüsselung der Datenpakete. Bei deiner Lösung wären die ja erstmal abfang und lesbar, richtig?
Und was heißt dieses "vice versa" in Klammern. Den Rest des Ausdrucks habe ich soweit verstanden. (Ohne mich bisher je mit "besseren" FWs beschäftigt zu haben ;) )
@CoconutKing:
Danke, SDSL is zwar noch was andres als ADSL, aber für eine Station wird der Upload dann wirklich reichen. Trotz nur Windows. Für maximal 3 TS Clients ist Citrix wohl bissl ovesized ;)
Noch ne Frage: Könnte ich von dem geschützten Server dennoch jeden Netzwerkdrucker ansprechen, der auch auf der anderen Seite des Routers liegt? Einfach IP eingeben und gut?
hiho.
das vpn bleibt ja. das regeln ja die 2 router unter sich. nur für die firewall ist es ja egal, die denkt da hängt einfach ein netz hinter(d.h. die firewall sieht nicht das da nen vpn ist). das vpn muss aber her, das siehst du richtig. sonst kann jeder die daten mitlesen ;)
das vice versa heisst einfach das das in beide richtungen frei sein muss. wenn du nur in die eine richtung erlaubst kann das ziel ja keine antwort senden, d.h. die kommunikation is kaputt. vice versa heisst einfach die gleiche regel nur einmal umgedreht.
src "host 192.168.1.0 " dst "192.168.3.1" allow
src "host 192.168.2.0 " dst "192.168.3.2" allow
nunja, die interessante frage, wie teuer muss eine firewall sein....
also mit "besser" meine ich, nicht den kleinen router der ne integrierte firewall eingebaut hat. die sind definitiv nicht dafür geeignet.
produkte empfehlen kann ich jetzt soweit nich, da ich ned weiss welche anbieter es auf dem markt atm gibt. wir setzen hier ne astaro im HA modus ein. lag aber inkl. hardware und support bei ~60T€ iirc.
das wird zu oversized sein für euch denke ich ;)
aber vom prinzip jede firewall die mehrere netze erlaubt, und grundlegendes routing beherrscht würd ich mal sospontan in den raum werfen.
guck einfach mal auf die astaro seite was die an lösungen anbieten, hab jetzt das produktportfolio nicht im kopf. nicht alle sind so teuer, hängt hauptsächlich von concurrent user ab iirc ;)
hoffe das konnte etwas weiter helfen
edit:
wäre für die zwecke ausreichend denke ich, aber nicht zukunftssicher, solltet ihr mehrere netze bekommen, oder mehr user:
Astaro Security Gateway 110
- Netzwerkschutz für kleine Niederlassungen
- Drei Interfaces, bis zu zehn User
http://www.astaro.de/products/astaro_security_gateway
das wäre eher richtung zukunft gedacht. leider stehen da keine preise bei :(
Astaro Security Gateway 220
- SMB-Appliance
- Acht Interfaces, unbegrenzte Userzahl
Xanthomryr
2007-05-30, 14:15:47
@nn23:
Danke für deine Antwort. Klingt natürlich sehr einfach, nur was verstehst du unter einer vernünftigen FW? In welchem Preisrahmen bewegen wir uns da?
Entweder sowas wie nn23 vorschlägt oder wenigstens eine Linuxkiste mit IP-Tables.
Was ich empfehlen kann und was ausser der Hardware nichts kostet wäre eine m0n0wall (http://m0n0.ch/wall/).
CoconutKing
2007-05-30, 16:28:54
ich kenn nur die cisco pix 515 und kann mich nicht beklagen
Haarmann
2007-05-30, 19:10:11
Thome
Wie in der Landwirtschaft, so ists auch in der EDV - Monokulturen sind anfälliger. Von daher gilt eben Hände weg von den Programmen, die grosse Marktanteile haben, wenn man Sicherheit wünscht und die Software vermeiden kann. Das gilt nicht nur für M$.
Du kannst eben im Prinzip dann billigste "Firewalls" zwischen Router und Server 1 resp. Server 2. Von Aussen her muss bekanntlich nur der VPN Server auf dem Server zu sehen sein.
Die Idee mit dem Terminal Server ist einerseits gut, aber andererseits nicht billig. Weiterhin kommt hier die Datenproblematik und Druckproblematik zum Tragen, die man vorher überlegen sollt.
Bei DSL2000 möchte ich nicht gross arbeiten, wenn zT die Dateien grösser sind und Lokal rumliegen... wie die Dateistruktur ist und Druckerstruktur weiss ich ja nicht.
Thome
2007-05-30, 22:01:12
Also ich versuch mal die beiden Lösungsansätze grafisch zusammen zu fassen
Variante 1 über die Firewall:
http://home.arcor.de/thome84/Netzwerkplan_mit_Veranschaulichung_Variante_FW_thumb.jpg (http://home.arcor.de/thome84/Netzwerkplan_mit_Veranschaulichung_Variante_FW.jpg)
Firewallregeln wie von nn23 beschrieben:
src "host 192.168.1.0 " dst "192.168.3.1" allow
src "host 192.168.1.0 " dst "192.168.3.2" allow
src "host 192.168.2.0 " dst "192.168.3.3" allow
*deny
Meine Bedenken:
- Pakete laufen innerhalb des Netzes unverschlüsselt, könnten also mit physischer Verbindung zum Netzwerk abgefangen und gelesen werden
- Sicherheit der Clients
- Datenaufkommen über die DSL Leitung (Daten auf Server, Verarbeitung auf Client)
Das Datenaufkommen kann man verringern, in dem man nur den Client der Außenstelle als TS Client auslegt. Hier werden ja nur die Bilddaten komprimiert übertragen. Da habe ich keine Bedenken. Und die Druckproblematik soll seit Win 2003 soweit gelöst sein, dass der lokale Standarddrucker des Clients genutzt werden kann. Ich hoffe ein Netzwerkdrucker, direkt auf dem Client eingerichtet, zählt auch als "lokal".
Variante 2 alles getunnelt:
http://home.arcor.de/thome84/Netzwerkplan_mit_Veranschaulichung_Variante_VPN_thumb.jpg (http://home.arcor.de/thome84/Netzwerkplan_mit_Veranschaulichung_Variante_VPN.jpg)
AP 2.1, AP 2.2 und der Client der Außenstelle AP_A 2.1 stellen eine VPN Verbindung zu 192.168.1.10. Die Clients nutzen dann wahlweise die Dienste direkt oder als TS Clients.
Meine Bedenken:
- Das restliche Netz ist nicht so gut nach außen geschützt wie bei Variante 1
- Clients, die mit dem Server verbunden sind, sind relativ ungeschützt (sollte aber durch die Nutzung des Terminal Dienstes auch wieder deutlich sicherer sein)
Kurze Frage noch dazu: Bekommt der VPN Router eine IP aus Subnetz 1 oder 2? Hab ihm beim Zeichnen Netz 1 zugeordnet, aber bin mir da jetzt beim Schreiben nicht mehr so sicher.
@Haarmann: Warum meinst du, dass ein Terminal Server teuer ist? Bei Windows 2003 Standard sind 2 Lizenzen dabei. Es wird maximal noch eine Weitere benötigt. Welche Kosten habe ich übersehen?
Evil E-Lex
2007-05-30, 23:34:47
@Haarmann: Warum meinst du, dass ein Terminal Server teuer ist? Bei Windows 2003 Standard sind 2 Lizenzen dabei. Es wird maximal noch eine Weitere benötigt. Welche Kosten habe ich übersehen?
Vorsicht! Was du meinst ist ein Terminalserver im Remoteverwaltungsmodus. Darauf dürfen maximal 2 Admins gleichzeitig zugreifen Ein einfacher User kann so nicht auf den Server zugreifen. Was du brauchst ist ein Terminalserver im Anwendermodus und soweit ich weiß gibt es die TS-CALs nur im Fünferpack.
Haarmann
2007-05-31, 08:32:28
Thome
Die Firewall Variante trennt letzten Endes Server 2 nicht von Server 1... wer also rein kommt, der ist eben drin. Sei der Gast nun gebeten oder ungebeten. Analog auch sehen sich eigentlich Netz 1 und Netz 2.
Du kannst bei TS 2 mal verbinden - für administrative Zwecke. Die Rechte sind dann auch entsprechend. Für User brauchst separate Lizenzen etc. Du willst bestimmt den Aussenstellen keine Adminrechte auf den Servern geben.
Den Drucker theoretisch nutzen können ist Eines - die Praxis bei grossen Druckvolumen und komplexen Aufgaben ist was ganz Anderes. Da geht Dir die Leitung recht bald mal in die Knie. Probiers sonst als Admin mal von Zuhause aus aus experimental oder von der Aussenstelle.
CoconutKing
2007-05-31, 10:13:02
beim drucken kanns eng werden wenn du grosse bilder drucken willst.
ansonsten mit programmen usw und dateien aufm server dürfte es keine probs geben du arbeitest ja dann wie lokal auf der maschine.
wie gesagt unter citrix ist alles butterweich obwohl massig clients dranhängen und mit nur 2 mbit upload. da dürfte dsl 2000 und 1 client kein hindernis darstellen.
Wolfram
2007-05-31, 11:34:47
Mit welcher Software kann man solche Grafiken machen?
Als Freeware gibt es den Visio-Clone Dia (http://dia-installer.de/documentation.html)
Diese Software kostet 300 EUR.
Du würdest diese Frage nicht stellen, wenn du bereit wärst, diese Summe dafür auszugeben.
Das ist nicht schlüssig.
GBWolf
2007-05-31, 11:37:07
Mit welcher Software kann man solche Grafiken machen?
Visio kann das auch.
Thome
2007-05-31, 14:13:37
Vorsicht! Was du meinst ist ein Terminalserver im Remoteverwaltungsmodus. Darauf dürfen maximal 2 Admins gleichzeitig zugreifen Ein einfacher User kann so nicht auf den Server zugreifen. Was du brauchst ist ein Terminalserver im Anwendermodus und soweit ich weiß gibt es die TS-CALs nur im Fünferpack.
Danke, da hast du recht. Hab ich mich vertan. Ich hab mal geschaut und ne einzelne UCAL Lizenz kostet ca. 30-40€, im 5er Pack ca. 150€. Also schon im vertretbarem Rahmen, wie ich finde.
Die Firewall Variante trennt letzten Endes Server 2 nicht von Server 1
Jetzt verwirrst du mich. Ich hatte das bei nn23 so verstanden, dass eine "bessere" Firewall auch den Verkehr zwischen den Subnetzen blockiert!?
Tja das Drucken kann wohl in der Außenstelle etwas länger dauern. Im Ethernet sollte das schnell genug gehen. Aber ich hab ja dann in der Außenstelle die Wahl, ob ich die Verarbeitung auf dem Client mache und damit ständig die Daten hin und herschiebe oder über Terminal Service auch die Verarbeitung auf dem Server laufen hab und dafür dann mal ab und zu einen Druckauftrag durch die DSL Leitung schieben muss. Ich denke drucken ist dann wohl das kleinere Übel oder was meint ihr?
Thome
Die Firewall Variante trennt letzten Endes Server 2 nicht von Server 1... wer also rein kommt, der ist eben drin. Sei der Gast nun gebeten oder ungebeten. Analog auch sehen sich eigentlich Netz 1 und Netz 2.
wieso? natürlich tut sie das, dafür ist die firewall doch da!
Haarmann
2007-05-31, 18:31:16
Thome
Ich weiss nicht, was Du drucken willst...
Ich kenne die Dateien ebensowenig...
Ich kann nicht beurteilen, was Schlimmer ist.
So wie die Firewall eingezeichnet ist, ist ein Switch oder Änhlich hinter der FW, an welchem beide Server/Netze hängen.
nn23
Nicht so, wie er die eingezeichnet hat...
2 gut gemeinte Ratschläge:
#1: es macht sich gut, in diesem Forum auch tatsächlich eine Frage zu stellen und nicht nebulös einen Sachverhalt vorzutragen und das Problem geheim zu halten.
#2: ihr solltet jemanden konsultieren, der sich damit auskennt. Es gibt eine Menge Systemhäuser, kleine IT-Beratungen etc., die das Ganze für eure Firma professionell und mit Support durchführen.
Wenn du als Laie das Projekt durchführst und dir von den im Internet schreibenden Laien Hilfe suchst wirst du auch am Ende das entsprechende Resultat erreichen: eine Frickellösung, die vielleicht leidlich funktioniert, nicht den tatsächlichen Anforderungen genügt und in der Zukunft dann viel mehr Geld kostet, als wenn es gleich professionell gemacht worden wäre.
Eine saubere Konzeptierung und Beratung gibt es nunmal nicht "for free". Und schon gar nicht in einem Computerspieler-Forum.
/sign
Thome
Ich weiss nicht, was Du drucken willst...
Ich kenne die Dateien ebensowenig...
Ich kann nicht beurteilen, was Schlimmer ist.
So wie die Firewall eingezeichnet ist, ist ein Switch oder Änhlich hinter der FW, an welchem beide Server/Netze hängen.
nn23
Nicht so, wie er die eingezeichnet hat...
nunja, ok ;)
wenn alle am gleichen switch hängen dann ja, ip ändern und gut ist ;) das stimmt.
das wird ja abgefangen durch die vlans, welche auf der 1./2. seite empfohlen werden.
Haarmann
2007-05-31, 19:27:27
nn23
Wenn mans so verhängte, dann zeichnete man von FW zu N1 und N2 je eine Verbindung und schon isses klar... dann wären wiederum auch die Subnetze scheissegal - sehen sich ja eh nicht.
jo, stimmt schon, falsch gemalt ;)
Thome
2007-05-31, 20:30:33
Okay okay, ich hab die Zeichnung mal verbessert :rolleyes:
Aber mir war es natürlich klar, dass die einzige Verbindung der Subnetze an der FW sein darf.
Nur verwirrt ihr mich jetzt schon wieder mit den VLANs. Dachte es geht jetzt auch ohne, nur über Subnetze und Regeln in der FW?
Und was sagt ihr eigentlich zur VPN Variante?
PS: Ich hab auch mal das Routermodell ergänzt: Netgear FVS318. Also auch nur eine recht einfache FW und kann man daher wohl auch nicht nutzen, um diese Variante ohne die Anschaffung weiterer Geräte umzusetzen.
gehen tut es mit unterschiedlichen subnetzen, klar. aber das problem ist:
du hast 4 rechner an einem switch hängen 2xA in netz 192.168.1.0 und 2xB in 192.168.2.0
so. die rechner sehen sich nicht. und a kann nicht auf b zugreifen und andersrum auch nicht. jetzt haste aber nen schlauen mitarbeiter dabei, der mal ebend die ip-adresse ändert. schon ist pc b in netz a. das ist das problem bei nicht physikalisch getrennten netzen.
genau da kommt das vlan ins spiel.
der switch hat 4 ports. der switch macht (ich weiss, ned korrekt, aber zum erklären) intern sowas wie iene physikalische trennung der netze. d.h. er kappt einfach die verbindung zwischen den ersten 2 ports und den letzten beiden ports.so kann pc aus netz a und netz b sich nicht sehen, auch wenn der mitarbeiter die ip adresse ändert.
mal son tip am rande:
les dir ein paar wiki artikel bezüglich vlan, firewall, netzwerk und co durch.
bitte nicht angegriffen fühlen plz :) - aber da fehlt ein bisschen grundwissen. ist nicht schwer, muss man sich nur mit beschäftigen ;)
edit: jo, zeichnung is soweit korrekt. nur hast du ja das problem das du die netze a und b nicht physikalisch getrennt hast. auf der zeichnung sind sie physikalisch getrennt, aber im eingangspost meinteste ja dass das nicht geht. daher muss das am besten mit vlans realisiert werden.
edit2: die Variante 2 alles getunnelt: empfinde ich eher als frickelwerk. vernünftig wäre imo auf jeden fall der weg über die firwall.
Haarmann
2007-06-01, 08:34:23
nn23
Wenn Du total vertunnelst, löst sich das Problem mit einer Leitung vom Router zu den beiden Netzen ebenfalls, auch wenn die sich sähen über den Router. Viele Router haben nämlich so nen paar dumme Eigenheiten, mit denen ich Dein Setup von Netz1 nicht ins Netz2 zu kommen trotz Allem aushebeln kann.
Viele Router haben nämlich so nen paar dumme Eigenheiten, mit denen ich Dein Setup von Netz1 nicht ins Netz2 zu kommen trotz Allem aushebeln kann.
was für welche denn? weil die router spielen ja nur das vpn, regeln wer wohin darf macht ja die firewall...
bin jetzt etwas verwirrt was du meinst? bei "meinem" setup ist zwischen netz 1 und 2 ja garkein router... ?
edit: oder meinste mit "router zeischen netz 1 und 2" die firewall?
wenn die ausgehebelt werden kann dann sollte man sie nicht kaufen^^
Thome
2007-06-01, 10:03:26
du hast 4 rechner an einem switch hängen 2xA in netz 192.168.1.0 und 2xB in 192.168.2.0
Nee nee, die einzige physikalische Verbindung der Netze ist an der FW. Ich bau mir ja keine FW dazwischen um parallel dazu noch ne direkte Verbindung zu schaffen ;)
Also das ganze würde schon so aussehen, dass an den Anschlüssen der FW der VPN Router und 2 Switche (je einer für jedes Subnetz) hängen.
jetzt haste aber nen schlauen mitarbeiter dabei, der mal ebend die ip-adresse ändert.
Sollte durch Einschränkung der Rechte (Domaincontroller) eigentlich gar nicht möglich sein. SOLLTE EIGENTLICH ;) Und dann besteht ja immernoch die Möglichkeit, dass jemand seinen privaten Laptop unbemerkt anstöpselt.
btw.: Ich muss mir ja dann bei dieser FW Variante auch noch Gedanken um die Zugangskontrolle machen. Denn wenn jemand physisch an den Switch von Subnetz 2 rankommt, ist die ganze FW auch wieder für die Katz. :|
bitte nicht angegriffen fühlen plz
Keine Angst, ich weiß selbst, dass mir noch reichlich Praxiserfahrung mit professionellen Netzwerken fehlt. Ich versuch auch schon immer nebenbei alles in Wiki etc. nachzulesen. Man will ja auch dazulernen :)
auf der zeichnung sind sie physikalisch getrennt
Wieso sind die Netze auf der Zeichnung physikalisch getrennt? Sie hängen doch an beide an einer Netzwerkkomponente, der FW. Oder seht ihr Netzwerkspezies den Begriff "physikalische Trennung" nicht so eng wie ich? ;)
Wenn Du total vertunnelst, löst sich das Problem mit einer Leitung vom Router zu den beiden Netzen ebenfalls, auch wenn die sich sähen über den Router.
Du stimmst mir also zu, dass das Tunneln gar keine schlechte Variante wäre? Sind halt nur 3 Client, die Zugriff auf den Server brauchen.
Hab ich dann jetzt 2 Meinungen dazu und bin wieder unschlüssig. :|
Tunneln ist auf jeden Fall günstiger. 100-150€ TS-UCALs + nen VPN Router (ca. 100€) und die Sache ist gegessen. Dafür bekomm ich wohl nur schwer ne vernünftige Firewall. Linuxkiste schließ ich mal aus. Dafür fehlts hier an nem erfahrenen Netzwerkadmin.
Wie ist das eigentlich, wenn ich die VPN Variante ohne Terminal Server nehme? Wenn sich dann jemand Zugriff auf den relativ ungeschützten Client während einer VPN Sitzung verschafft, ist er automatisch auch auf dem Server, richtig?
ok :)
die frage ansich ist imo einfach, kommen in absehbarer zukunft netze hinzu? mehr clients? evtl. noch nen server? na andere sonderregelung?
wenn definitiv nein dann nimm die günstige variante. Weil es funktioniert dann.
Aber wenn absehbar ist, dass das netz weiter wächst würde ich von anfang an für die zukunft planen, sonst stehste in einem jahr wieder da und weisst nicht wie du das realisieren sollst.
das ganze ist natürlich auch ne kostenfrage:
- einmal nen router holen und das hält die nächsten 10 jahre => Super
- aber nach 1 jahr wieder nen router, dann noch einen, und noch was anderes => nicht gut ;)
Haarmann
2007-06-01, 15:44:46
nn23
Wenn ich intern zB nen Mailserver habe mit IP A, der extern als IP B sichtbar ist, dann ist das beschissen, wenn man intern ne andere IP für den Mailserver kriegen muss, denn extern. Viele Router lassen daher Zugriffe von intern über diese externe IP B zu. Das lässt sich gezielt ausnutzen.
Dazu noch das Problem mit der Aussenstelle, wo man auch problemlos kurz mal die IP wechseln könnte...
ok, aber den mailserver würde ich sowieso auf die firewall legen. die dient dann als connector für den internen, sowie dem externen maiserver.
die wird nicht so schnell gehackt.
die astaro kann das z.b.
Haarmann
2007-06-02, 09:05:26
nn23
Ich bin kein Hellseher, wie der das lösen will... mindestens die Terminal Services werden bei seiner Lösung, alternativ auch andere Services, ja durch die FW durchgehen. Ebenfalls wird auf der anderen Seite selbiges Problem existieren und dort bestimmt ohne FW, denn dort ist schlicht keine ;).
Es ist daher schlicht ein Feature von neueren Routern, welches recht gerne vergessen wird bei der Planung, aber hervorragend ausgenutzt werden kann.
Da ich mit so nem seltsamen Mailserver leben muss, weiss ich schon im Schlaf, was ich in die hosts alles tippsen muss ;).
Thome
2007-06-04, 11:53:09
die frage ansich ist imo einfach, kommen in absehbarer zukunft netze hinzu? mehr clients? evtl. noch nen server? na andere sonderregelung?
Tja wenn die Frage mal wirklich immer so einfach wäre. Nach dem bisherigen Stand gibt es ein klares NEIN. Nur wie schnell sich Situationen ändern können, wissen wir ja alle. Werde aber wohl die VPN Variante bevorzugen.
Eine Frage ist noch nicht beantwortet: VPN Verbindung herstellen und dann direkt von den Clients auf die Daten zugreifen anstatt mit einem Terminal Service zu arbeiten ist ganz schlecht, richtig?
Ebenfalls wird auf der anderen Seite selbiges Problem existieren und dort bestimmt ohne FW, denn dort ist schlicht keine
Zählt eine einfache FW, wie sie der Router hat, bei euch schon als "keine Firewall" oder meinst du für die Trennung unter den Clients?
Haarmann
2007-06-04, 21:34:10
Thome
Ist eben ne Frage der Daten... gibt ne Menge Anwendungen, wo Du mit offline Ordnern und VPN gut leben kannst.
Thome
2007-06-04, 21:43:57
Die Frage war mehr mit Blick auf die Sicherheit bezogen.....
Ein Virtual Private Network (VPN) (dt.: Virtuelles Privates Netz) ist ein Computernetz, das zum Transport privater Daten ein öffentliches Netz (zum Beispiel das Internet) nutzt. Es ermöglicht somit eine sichere Übertragung über ein unsicheres Netzwerk. Teilnehmer eines VPN können Daten wie in einem internen LAN austauschen. Die einzelnen Teilnehmer selbst müssen hierzu nicht direkt verbunden sein. Die Verbindung über das öffentliche Netz wird üblicherweise verschlüsselt. Der Begriff „Private“ impliziert jedoch nicht, wie vielfach angenommen, dass es sich um eine verschlüsselte Übertragung handelt. Eine Verbindung der Netze wird über einen Tunnel zwischen VPN-Client und VPN-Server (Concentrator) ermöglicht. Meist wird der Tunnel dabei gesichert, aber auch ein ungesicherter Klartexttunnel ist ein VPN.
http://de.wikipedia.org/wiki/Virtual_Private_Network
Haarmann
2007-06-04, 23:05:56
Thome
Da ist wohl beides gleich sicher - so sicher wie der Client.
Thome
2007-06-05, 09:21:27
@Haarmann: Ja danke, das dachte ich mir. Macht es also von der Sicherheit keinen Unterschied, ob die Clients dann direkt auf die Daten zugreifen oder per TS mit dem Server kommunizieren? Werd dann wahrscheinlich erstmal die direkte Anbindung wählen und falls hier im Betrieb massive Performanceprobleme eintreten auf Terminal Service aufrüsten.
@nn23: Danke, ich kenn den Wikiartikel zu VPN fast schon auswendig. ;) Die Übertragung selber ist sicher, aber ein Tunnel besteht eben nicht nur aus der Röhre, sondern auch mit aus den Ein- und Ausfahrten.
Wobei mir grad einfällt, das TS Clients doch deutlich sicherer sein müssten, als normale. Ich kann ja ALLE unnötige Software und Dienste weglassen. Kein Word, keine Emailclients, keine Browser, nix.
Thome
2007-06-05, 14:13:23
mal kurz OT:
Könnt ihr mir paar gute Argumente für die GF nennen, warum ein Server auch aus Serverhardware bestehen sollte und nicht einfach ein PC mit Server OS ist? Was rechtfertigt alles den Mehrpreis?
mal kurz OT:
Könnt ihr mir paar gute Argumente für die GF nennen, warum ein Server auch aus Serverhardware bestehen sollte und nicht einfach ein PC mit Server OS ist? Was rechtfertigt alles den Mehrpreis?vernünftige und auf dauerbetrieb ausgelegte hardware kostet mehr....
die kühlung, hier wird nicht auf ergonomie oder geräuschemission geachtet sondern es wird darauf geschaut das ordentlich gekühlt wird punkt und fertig (was wieder ein stabileres laufverhalten und längere lebenszeit bedeutet)
desktop pc konzepte/komponenten sind nicht für dauerbetrieb ausgelegt (ja es gibt einzelne desktop teile die dafür ausgelegt sind aber es snid wenige)
der io durchsatz, gerade bei file/datenbank etc servern ist grottenschlecht gegenüber "serverhardware"
ecc ram etc sind für mich am server ein muss...es soll problemlos und sicher arbeiten können!
die möglichen service und supportzeiten...idR gehört zur hardware auch eine entsprechende garantie usw usf
sicher kann man auch einen server selbst zusammenschustern aber auch hier wirst du preislich nicht weit von fertigen servern weg sein...
Thome
2007-06-05, 14:46:03
Danke so Sachen wie Dauerbetrieb, Kühlung und Stabilität hab ich mir auch gedacht. Mal schaun, obs reicht :)
Haarmann
2007-06-05, 14:58:06
Thome
Offline Ordner mildern die Probleme gewaltig...
Wie gesagt ist immer die Aufgabe, die es zu lösen gibt, der Lösung Kern.
User sollten nicht auf nem Server surfen ;).
Ich verbaue seit Dekaden sehr oft "normale" HW für Server. Es gibt keinen Grund ausserhalb eines Racks für sowas - dort bestimmt schon die Form, was möglich ist. Letzten Endes muss man das Gerät auf die Anwendung und den Standort abstimmen. Nen supergekühlten Tower mit Gebläsen wie nur was für eine CPU und eine HD ist sinnlos.
Wenn man auf normale HW setzt, sollte man aber eben gewisse Ersatzteile immer zuhand haben. Ein Ersatznetzteil zB... Redundante NTs haben ja auch nicht alle Server der grossen Hersteller.
Thome
2007-06-05, 15:28:42
Hallo Haarmann,
aber Offlineordner bei einer Datenbank? Wie soll das funktionieren?
User sollten nicht auf nem Server surfen.
Na nicht direkt auf dem Server, aber auf der Terminalsitzung oder ist das auch schon wieder ein zu hohes Sicherheitsrisiko? Dann hätte sich die TS Sache schon wieder gegessen. Ich kann hier keinem das Inet wegnehmen.
Ich hatte mir als günstigen Server etwas wie die Fujitsu-Siemens PRIMERGY TX150 S5 Serie (http://www.fujitsu-siemens.de/products/standard_servers/tower/primergy_tx150s5.html) vorgestellt. Server CPU und Board, ECC Ram, Raid Controller, entsprechend gekühlt. Mit redundanten Netzteilen und solchen Späßen wirds zu teuer. Dieses Risiko wird halt in Kauf genommen. Hauptsache die Hardware ist auf Langlebigkeit ausgelegt und die Platten sind gespiegelt.
Haarmann
2007-06-05, 16:56:20
Thome
Eben je nach Anwendung - wenns nur ne DB ist, dann wird der TS auch oft auch wenig Sinn ergeben. Aber auch hier kenne ich DBs, wos Sinn machte.
Der Moment, wo das Lückending IE und Outlook aufm Server läuft, auch im Terminal, kriegte ein Schädling Zugriff auf die Daten, die der User nutzen kann. Ein heisses Eisen ist das immer...
Wenn das RAM läuft, dann ist ECC nur eines - langsamer und teurer... RAM-Fehler sind definitiv ein geringeres Risiko, wenns mal intensiv getestet wurde, denn ein Ausfall des NTs mit Datensalat danach. Wichtiger ist wohl eine USV.
Natürlich ist mit diesem RAM mehr bestückbar... nur wirst Du das wohl nicht nutzen, womit es auch kein Vorteil ist.
Diese "Serverboards" haben nen miesen Grafikchip und exotische Slots an Bord. Sicher sinnvoll, wenn man sie je brauchte... Da Du aber wohl keine 64 Bit PCI Karten irgendwoher übernehmen willst, brauchst auch keine Slots für.
PCIE Slots bietet das Board wiederum weniger, denn ein Normalboard - für die Zukunft also untauglich.
SAS Platte sind sicher schnell, aber so teuer, dass sie wohl nicht genutzt werden bei euch....
Mit nem RAID1 wird wohl gedient sein und schon das Hotplug Feature ist nur sinnvoll, wenn ne Ersatzplatte rumliegt und beim Wiederaufbau die Performance noch zum Arbeiten reicht oder wenn schlicht mehr denn ein RAID vorhanden ist.
Wies damit steht musst also Du wissen...
Apropos DB... kein RAID5 für DBs...
Thome
2007-06-06, 14:02:15
Als DB wird eine OracleXE installiert werden, wenn dir das bei der Einschätzung irgendwie weiter hilft.
Tja dann lass ich die Sache wohl erstma mit dem TS und schick die Daten so durch die Leitung.
Ich hab übrigens mal meiner Chefin die Konzepte vorgestellt und sie fand die Variante mit der Firewall auch besser. Preis schien sie auch nicht abzuschrecken. Sie hat sogar in Aussicht gestellt, dass in Zukunft auch eine Erweiterung um einen 2. Server und damit Trennung in Anwendungs- und Datenbankserver denkbar ist. Hoffentlich denkt unser GF genauso. :)
Hmm jetzt bringst du mich schon wieder durcheinander. Was ist mit Argumenten wie Datendurchsatz und Stabilität? Klar SAS und Hotplug wird wahrscheinlich. Tja wieder mal 2 Meinungen, die deutlich auseinander gehen. Aber ich denke, ich werde echte Serverhardware einsetzen.
Ist übrigens nur Raid1 geplant. Raid5 war mit Paritätsprüfung, richtig?
Noch was: Ich möchte jetzt auch noch Angebote für die Firewall einholen. Welche Spezifitationen müsste diese haben? Ich kenn mich da null aus. Steht die kleine Astaro immernoch als Empfehlung? Die kostet ja glaube so um die 400€.
Haarmann
2007-06-06, 14:18:52
Thome
Wird meisst einfacher sein, denn der TS. Gibt Ausnahmen, wo der TS besser läuft, aber meisst wirds ohne einfacher laufen.
Wenn man etwas gut begründen kann, kriegt mans meisst auch ...
RAM heisst das Zauberwort für kleinere DBs... solange die DB im RAM rennt, sind die Platten sowieso Banane. Wie gross die DB wird? Weiss ich nicht...
Hotplug ohne Ersatzplatte ist nur Geldverschwendung. Was willst denn da einstecken im laufenden Betrieb? Erst wenn die ersatzplatte rumliegt, machte es Sinn, aber genau dann kannst die schon eingebaut haben und einfach abgeschaltet lassen - das können die Platten ja bei Nichtgebrauch bestens. SATA Ports wird ja genug haben.
SAS klingt sicher toll und weiss ned was, aber RAM ist eh um Dimensionen schneller und für die paar Geräte ist SAS ne fette Kanone auf nen ganz kleinen Spatzen.
RAID5 ist der Scherz, der beim Schreiben kleiner Teile, wie bei DBs Usus, erst einmal lesen darf ;). Damit ist der "Trumpf" Geschwindigkeit sowieso halbiert...
Hast Du statische IPs zur Verfügung?
Thome
2007-06-06, 15:56:59
Ab wieviel GB RAM sollte man denn da anfangen? Aufrüsten geht ja immernoch und die Datenbank ist zumindest anfangs recht klein (genaue Größe muss ich dann wohl beim Systemhaus erfragen) und wächst dann mit steigender Zahl an Mandanten.
Mir ist klar, dass ich Hotplug und den ganzen Spaß nicht brauche. Brauche einfach nur stabil und schnell laufende Hardware. Dachte dass hier gerade die Serverhardware ihre Vorteile ausspielt. Wo fließt sonst der Mehrpreis hin, wenn nicht in die Haltbarkeit der Geräte?
Statische IPs im Netz? Jupp. Bei den paar Rechnern kann DHCP ruhig ausbleiben!
Haarmann
2007-06-06, 17:56:11
Thome
Bei den jetzigen RAM-Preisen würde ich 2 mal 2GB DDR2 533 nehmen. Die Module sind bezahlbar und reichen für nen Intel Core2 Serie aus. So bleiben 2 Slots frei. Zuviel RAM wirst nie haben...
SATA ist eh Hotplug fähig... da gibts der Systeme genug. Ich verbaue immer die 5 Wechselrahmen in 3 5.25" Slots. Lüfter und alles ist da dabei. Hotplug geht auch und mit 100€ sind so Teile nun auch nicht soo teuer.
Stückzahlen... SAS Platten erreichen natürlich nicht die Stückzahlen von SATA/ATA Laufwerken -> sie sind teuer. Die WD RAID Edition soll ja auch für Dauerbetrieb sein.
Statische IPs im Internet meinte ich eher.
Thome
2007-06-06, 20:21:49
Nach Außen dynamisch. Aber was hat das mit der Auswahl der FW zu tun? Darum kümmern sich doch die bereits vorhandenen Router :confused:
Haarmann
2007-06-06, 21:11:50
Thome
Statisch erübrigt viel Arbeit einer Firewall... Du weisst ja bereits, woher etwas kommen muss, damit es sinnvoll sein könnte.
Thome
2007-06-06, 21:28:28
Weiß ich doch auch so. Wenn die VPN Verbindung zwischen den Routern steht, hab ich 3 bekannte Subnetze (2 am Haupsitz, 1 in der Außenstelle) um die sich der FW kümmern muss. Alles andere wird einfach ignoriert, sprich geblockt oder seh ich das falsch?
Haarmann
2007-06-06, 22:15:28
Thome
Der Gag ist, dass wenn die Aussenstelle immer IP A hat, man auch nur Pakete von IP A zulassen muss. Gleichzeitig kann man sogar nur die FW anweisen Pakete bestimmter Art nach IP A zu senden.
Thome
2007-06-07, 08:57:13
Rechner an Außenstelle (192.168.3.10) sendet Paket an Server Hauptsitz (192.168.1.100). VPN Router der Außenstelle erkennt die Anfrage, umschließt das Paket nochmal mit allen notwendigen Teilen für die Übertragen durch den Tunnel und schickt es zum Router am Hauptsitz. Der entpackt das ganze wieder und das Paket sieht aus, als wäre es von einem lokal angeschlossenen Rechner abgesendet worden. So hab ich VPN verstanden.
Und an welcher Stelle interessiert es jetzt die nachgeschaltete Firewall, über welche öffentliche IP der Spaß gelaufen ist?
Sagt mir doch einfach mal paar Anforderungen an die Firewall....
Haarmann
2007-06-08, 08:59:53
Thome
Viele Wege führten ja schon immer nach Rom...
Die Aussenstelle wird per VPN im gleichen Subnetz, wie der entsprechende Server zu liegen kommen - wenn der Tunnel steht. Sonst klappte das ja nicht so wirklich mit der Verbindung zum Server resp. nur mit einem Mehraufwand.
So wie ich Dich verstanden hatte, machst Du von den Geräten der Aussenstellle jeweils zur Firewall nen VPN Tunnel. Ich wäre gleich zum entsprechenden Server damit gefahren. Die beiden Router werden ja kaum nen VPN mit starker Verschlüsselung hinkriegen.
Nun kannst dem VPN Server angeben, woher eine Verbindung kommen darf und wohin bestimmte Dinger gehen dürfen. Der FW kannste angeben, wohin es gehen darf je nach Client.
Ich würde nach wie vor ne billige "Pseudofirewall" nehmen und dafür nen Käfig aufstellen, wenns sicher sein soll. Also alle Verbindungen raus sind entweder das VPN oder laufen über einen Proxy. ET der Trojaner hat dann Mühe Nachhause zu telefonieren...
Thome
2007-06-08, 10:06:51
Guten Morgen,
nein nein nicht die Geräte der Außenstelle bauen die VPN Verbindung auf, sondern die beiden gleichen Router (Netgear FVS318).
Acht VPN Tunnels, Manual Key und IKE Security Association (SA) Assignment, 56-Bit (DES) oder 168-Bit (3DES) IPSec Encryption Algorithm, 256-Bit Advanced Encryption Standard (AES) Support, MD5 oder SHA-1 Authentication Algorithm, Pre-Shared Key, Perfect Forward Secrecy (Diffie-Helman und Oakley Client Support), Key life und IKE Lifetime Time Settings, Prevent Replay Attack, Remote Access VPN (Client-to-Site), SitetoSite VPN, IPSec NAT Traversal (VPN Passthrough).
Ich weiß zwar nicht genau, was Topmodelle an Verschlüsselung beherrschen, aber ich hab schon im Hinterkopf, dass 256bit nahezu unknackbar sind.
Und direkten Tunnel auf den Server wollte ich vermeiden. Das soll schon alles ein vorgeschaltetes Gerät abfangen.
Also der VPN Router lässt nur Verbindungen von der Außenstelle und demnach nur die Anfragen der Rechner dieses Subnetzes durch. Die FW trennt dann nochma die Anfragen je nach Absender auf Netz 1 oder 2 auf.
Wenn VPN, dann so wie auf Seite 2 glaube aufgezeichnet mit vorgeschaltetem VPN Router. Allerdings war dann ja wieder die Sicherheit der Clients der Knackpunkt.
Also wollte ich jetzt gleich ne FW ins Netz bringen, die den gesamten Verkehr zwischen den Netzen überwacht.
Und meine Frage ist immernoch unbeantwortet :(
Was hat es denn beim Astaro Security Gateway mit der maximalen Userzahl von 10 auf sich? Das ist der einzige Unterschied zwischen der 110 und 120 (bei 120 unbegrenzt). Was ist damit genau gemeint?
Edit: Günstigere Alternativen zu Astaro werden auch gern angenommen. 700 bzw 1000€ sind doch kein Pappenstiel und ich brauch z.B. nicht nochmal VPN in der Firewall.
sorry, ich will dem threadstartet nicht angreifen aber mir scheint es so als wäre dieses projekt für dich zwei nummern zu gross. du fragst die grundlegendsten dinge nach die einem Admin klar sein sollten. gebt die realisierung an ein systemhaus, damit tust du dir und deiner firma einen grossen gefallen.
wie es mir scheint fehlen dir grundlagen und alles mögliche.
Thome
2007-06-08, 10:41:54
Wie schon weiter oben geschrieben bin ich kein Admin und die Realisierung wird mit unserem IT Partner durchgeführt. Ich werde auf keinen Fall selbst Hardware bestellen und konfigurieren.
Natürlich ist eine Diplomarbeit erstmal 3 Nummern zu groß. Wenn mans schon zich mal gemacht hätte, wärs ja keine Diplomarbeit mehr. Ich lerne mit jedem Post und sämtliche Theorie kann ich mir erlesen. Sag mit genau, was noch an Grundlagen fehlt und ich lese dazu nach.
Alles, was ich brauche, ist eure Erfahrung, um mich auf den richtigen Weg zu führen.
Haarmann
2007-06-08, 17:13:14
Gast
Wenn man weiss, wer in Systemhäusern so arbeitet, dann will man oft nicht, dass diese alles alleine machen ;).
Ich erlebte schon Rechnungen, da stand n Clients von Hand aufgesetzt mit etwa 700€ Aufsetzkosten pro Client und unter SoftwareLizenzen fand sich dann ein Symantec Ghost...
Thome
Ich sehe bei dem Setup ehrlicherweise den Sinn einer Firewall hinter dem VPN nicht wirklich... das klingt so nach Firewall hinter der Firewall.
Auch bin ich nicht sicher, dass 2 dieser Dinger nen VPN hinbekommen. Offenbar will man das per SW hinkriegen von den Clients her.
http://www.testberichte.de/preisvergleich/level4_internet_professionell_15185.html
Der Kommentar zu diesem Netgear Teil spricht imho Bände...
Willst Du nicht doch ne bessere FW, welche die VPNs auch verwaltet?
CoconutKing
2007-06-09, 21:24:46
da gibts doch schon kleiner cisco router die das besser können und auch nicht viel mehr kosten. ich schau am montag mal im geschäft wie die genau heissen in den filialen.
netgear und co sind ok für daheim aber nicht im firmenumfeld.
Thome
2007-06-10, 21:43:09
Hallo,
also den Testkommentar hatte ich auch schon gefunden und mich bissl erschrocken. Aber das kommt halt dabei raus, wenn man sowas das Systemhaus planen lässt. Soviel zu dem Thema ;)
Und ich denke mal nicht, dass ich den ausgetauscht kriege. Würde ja auch nur Sinn machen, wenn man beide auswechselt. Das hat nicht wirklich was mit meiner Aufgabe zu tun und kann ich so der GF sicher nicht verklickern.
Warum nicht Firewall hinter der Firewall? Eine Hürde mehr für potentielle Angreifer kann doch nicht schaden.
Übrigens hatten bisher alle besseren Firewalls, die ich mir so angeschaut habe (Astaro, Cisco PIX) VPN Funktion mit drin. Die kann ich dann aber trotzdem nicht als Router einsetzen, oder? Wenn der Netgear fliegen soll (aber sicher nur an einem Standorf!), dann brauche ich ja auch einen neuen guten VPN Router mit ordentlicher Firewall drin. Ob das preislich noch im Rahmen bleibt, mag ich gerade zu bezweifeln. Könnt mich aber gern eines besseren belehren.
Ansonsten halt die VPN Verbindung zwischen den Standorten so lassen. Dann bin ich weiterhin auf der Suche nach einer Empfehlung für ne Firewall, die das alles gut gemanaged bekommt.
Haarmann
2007-06-10, 22:24:20
Thome
Systemhäuser haben die Tendenz immer wieder "bewährte" Hersteller zu nehmen... oder auch sonst kommt oft "Bewährtes" zum Einsatz... manchmal ist das dann schlicht veraltet.
Es ist einfach die Frage, ob die 2 Dinger A zusammen nen VPN per AES hinkriegen mit Leitungsgeschwindigkeit oder eben nicht. Wenn nicht und es dann Probleme gibt mit der Geschwindigkeit, wirst dann wohl oder übel was tun müssen.
Diese hintere Firewall bringt wenig, denn diese komischen Netgears kriegen eigentlich einiges hin - nur VPN scheint nicht grad deren Domäne zu sein. Sind ja von der Leistung her auch nem Linksys WRT unterlegen.
Ich würd eher auf nen Proxy setzen, denn auf ne FW hinter dem Netgear.
Viel mehr, denn die Netgear, wird eine "normale" Firewall nicht bieten.
Thome
2007-06-11, 11:40:14
Also die beiden Dinger bekommen ne VPN hin. Und laut Datenblatt auch recht hoch verschlüsselt (256bit AES). Und um die Verbindung wollte ich mir auch keine großartigen Gedanken machen. Wenn das ganze dann nur an der Außenstelle zu langsam ist, kann man sich darum immernoch kümmern.
Jetzt steh ich irgendwie wieder am Anfang.
Dass die FW im Netgear was taugt, freut mich ja (hab selbst privat ein Netgearrouter), aber sie beherrscht nunmal nicht das Routing zwischen den Subnetzen. Sind Firewalls, die das können jetzt wirklich fast unbezahlbar?
Wie genau willst du das dann mit dem Proxy machen? Hab jetzt bei Wiki nicht wirklich ne Anwendung für meinen Fall gefunden. Den Proxy dann direkt vor den Server und Clients, die was vom Server wollen, müssen sich am Proxy authentifizieren?
Hauptproblem beim Proxy ist auch sicher wieder die Administration. Mir wäre ein dediziertes Gerät schon lieber. Gerät hinstellen, konfigurieren und es läuft. Wie schon erwähnt, gibts keinen Admin in der Firma, der da mal regelmäßig draufschaut und sich auch damit auskennt.
Haarmann
2007-06-11, 13:09:29
Thome
Daher kam ja mein Vorschlag mit den VPNs direkt zu den jeweiligen Servern. Das geht ja auch zusätzlich zu dem VPN zwischen den Routern. Dann steht mehr denn ein Loginname und ein Passwort einem Versuch entgegen.
Wenn die ServerCPUs eh nur idle laufen, dann ist das kein Beinbruch.
Du setzt die NG Firewall einfach so auf, dass keine Verbindung ins Internet darf, die nicht vom Proxy kommt -> die Clients müssen per Proxy ins Internet. Das wär für ne Menge mögliche Trojaner schon das Bittere Aus. Auch kann man bestens steuern, was ins Internet geht und vor allem was nicht. Viele grössere Firewalls, wobei das dann schon eher ein Zugangskontrollsystem ist, haben auch so ne Proxyfunktion mit drin. Das ist sicherlich teuer, aber blockt weit mehr, denn eine Firewall, denn viel mehr wie Dienste/Ports/Hosts sperren und SPI ist da nicht drin.
Thome
2007-06-11, 13:41:02
Damit wären wir ja wieder bei meiner ersten Variante mit den VPNs. Ob nun der Server selbst als VPN Server fungiert oder ein VPN Router vor den Server geschalten wird, spielt wohl vom Prinzip her keine Rolle. Nur scheint mir der kleine Router noch nen Tick sicherer.
Nur was mach ich dann wieder mit den Clients? Die könnten eventuell mit hinter den VPN Router ins geschützte Netz und kommunizieren dann direkt mit dem Server. Bekomm ich den VPN Router dann aber so konfiguriert, dass er Internetanfragen der Clients an den 2. Router im Netz durchleitet? Wenn ich das z.B. in der Anleitung vom Netgear richtig sehe, kann ich ein Internetkonto mit fester IP einrichten und hier dann einfach als Gateway und DNS den 1. Router eintragen. Wäre dann komplett ein LAN im LAN. Die Idee gefällt mir grad :)
Bei deinem Proxy seh ich grad irgendwie keine Trennung der beiden Subnetze. Klar wäre es nicht schlecht, auch noch einen Proxy zwischen Internet und den ganzen Clients zu schalten, aber das ist hier nicht Teil meiner Aufgabe. An dem Netz gibt es so viel zu verbessern, aber dann wird die Firma arm.
Haarmann
2007-06-11, 18:23:13
Thome
Die Idee ist einfach... Jeder Server kriegt ne LAN und ne WAN Karte. Die LAN Karte erklärt sich von selbst. Die WAN Karte geht zum Router. Auf dem Server läuft zusätzlich zum VPN der beiden Router ein VPN Server. Die Clients machen nun nen VPN zum jeweiligen Server (VPN im VPN). Auf der WAN Karte der Server wird alles ausser dem VPN Server geblockt.
Da nun Netz 1 und Netz 2 perfekt getrennt sind, denn die hängen nur an der LAN Seite des jeweiligen Servers, und die WAN Karten der Server nur nen VPN zeigen gegen das andere Netz und gegen die Aussenstelle, wird wohl nichts Ungewolltes mehr rein kommen. Auch können sich die Mitglieder der Aussenstelle nicht mehr so einfach gegenseitig "Belauschen".
Der Proxy wiederum sorgte für was ganz Anderes - der sorgt dafür, dass die Clients nicht direkt raus kommen. Ein Trojaner, der also direkt zB Spam versenden will, würde dann kläglich scheitern.
Thome
2007-06-11, 21:41:19
Hab mal versucht, deine Idee zu skizzieren:
http://home.arcor.de/thome84/Netzwerkplan_mit_Veranschaulichung_Variante_3_thumb.jpg (http://home.arcor.de/thome84/Netzwerkplan_mit_Veranschaulichung_Variante_3.jpg)
Klingt auch erstmal sehr interessant. Wie bringe ich denn der 2. Netzwerkkarte bei, alles bis auf VPN Anfragen zu blocken? Geht das dann bei der Einrichtung des VPN Servers?
Auf den alten Server kann ich dann auch nur noch per VPN zugreifen. Ob der den zusätzlichen Dienst mitmacht? Ist ja auch schon etwas altersschwach. Außerdem müssten sämtliche Clients der Außenstelle umkonfiguriert werden. Machbar, aber irgendwie, hmm....unnötig.
Meine letzte Idee sah so aus:
http://home.arcor.de/thome84/Netzwerkplan_mit_Veranschaulichung_Variante_VPN2_thumb.jpg (http://home.arcor.de/thome84/Netzwerkplan_mit_Veranschaulichung_Variante_VPN2.jpg)
So wär das neue Netz auch komplett abgeschottet und das bisherige Netz behält seine jetzige Schutzstufe.
Man merkt, ich bin immernoch sehr unschlüssig......
Haarmann
2007-06-11, 22:11:35
Thome
W2k3 kann ne FW hochfahren... mag SW sein, aber die und das abschalten aller Dinger auf der "WAN" genannten LAN Karte sollten locken.
Ich bin kein Hellseher... woher weiss ich die CPU Auslastung?
Thome
2007-06-12, 09:08:51
Gute, dass das 2k3 kann. Aber der alte Server hat sowas neumodisches nicht ;)
Wie siehts dann bei Win 2000 Server aus?
Und ich wollte damit auch nur zum Ausdruck bringen, dass ich den alten Server nicht unbedingt zusätzlich belasten wollte. Egal, ob da jetzt vielleicht noch ein paar Prozent CPU Last und ein par MB im RAM frei wären.
Wo ist der Kritikpunkt bei meiner Variante?
Haarmann
2007-06-12, 11:50:53
Thome
Du kannst bei W2K auch alles ausser einem Port dicht machen. Es ist nur nicht so trivial, wie mit der "FW" des W2k3.
Die Firewall kostet Geld und bringt eigentlich nichts ausser einer Verteilung von Paketen, welche aber letzten Endes auch unsicher ist, weil an der Aussenstelle nicht ständig alle Geräte laufen. Ein einfaches anstecken eines NB mit der richtigen IP und schon sieht Netz 1 Netz 2 oder umgekehrt. In der Theorie kannst zur Not auch der WAN Karte des W2K Servers noch nen VPN fähiges Ding davorhängen. Dann störts den Server bestimmt nicht.
Thome
2007-06-12, 12:20:27
Ich meinte eigentlich die letzte Variante mit dem VPN Router als Trennung zwischen dem Subnetz 2 und dem Rest der Welt.
Deine Variante werde ich auch mal genauer betrachten, wenn das mit Win 2k auch so geht. Nur hab ich irgendwie ein komisches Gefühl im Bauch, den Server mit den Daten gleichzeitig als Barriere zu nutzen.
Gibt es für die Firewallvariante keine Möglichkeit zumindest die eine IP an eine Mac Adresse zu binden oder sogar die Regeln komplett anhand von Mac Adressen vorzunehmen?
Haarmann
2007-06-12, 16:30:03
Thome
Im Zeitalter der flexibel einstellbaren MAC Adressen ist ein MAC Filter nicht wirklich effektiv. Das würde Dir eine Lektüre betreffend WLANs deutlich zeigen.
Du kannst ja auch vom Client zu einem der Netgears, resp. zu einem weiteren Netgear ein VPN mithilfe der entsprechenden Clientsoftware aufbauen. Damit kannst Du die Last weg vom Server ziehen.
Dadurch, dass das VPN schon steht zwischen den Netgears und dem Einsatz einer WAN Karte, ist das nicht mehr so gefährlich. Wenn die Grundfunktionen des Servers versagen, weil sie eine Lücke haben, dann hilft sowieso nicht viel.
Thome
2007-06-13, 15:31:20
Das habe ich natürlich nicht gewusst. Verzeih bitte, dass ich mir noch nicht sämtliche Lektüre rund um Netzwerke in allen Ausprägungen zu Gemüte gezogen habe.
Ich werde jetzt mal ein paar Gespräche mit unserem IT Dienstleister führen und dann entscheiden, wie es letztendlich genau umgesetzt wird.
Danke für eure Hilfe und Anregungen!
Haarmann
2007-06-14, 22:47:52
Wird schon klappen - keine Panik.
vBulletin®, Copyright ©2000-2024, Jelsoft Enterprises Ltd.