magheinz

Die Variante setzt voraus das man die FB als reinen accesspoint einsetzen kann.

In welchem VLAN die dann ist ist nur eine Frage deines Sicherheitsbedürfnisses. Bei WLAN geht man halt davon aus das "unerwünschte Geräte" leichter reinkommen als ins LAN.

Die kann physisch da bleiben wo sie ist, auf dem Switch. Der muss nur die richtigen VLANs auf diesem Interface durchlassen.

Kann deine Firewall auch mehr Interface oder nur die drei weil, ist doch eh alles virtuell?

Dann könnte man pro VLAN ein interface bauen und die VLAN-Interface am Switch weg lassen. Dann würde die Firewall das inter-VLAN-routing übernehmen was eine ganz schicke Sache wäre.

Ich würde folgende VLANs einrichten:

1. WLAN

2. Server

3. Clients

4. DMZ

5. Gäste

Für daheim könnte man natürlich Server+Clients+Gäste in "intern" zusammenschmeissen.

1. WLAN

2. intern

3. DMZ

Ob man Gäste separieren möchte muss man sich halt überlegen.

ich würde ja eine Sache umbauen:

Das Management des hosts mit auf die VM-Nic legen und die zweite NIC nur für WAN nehmen und da das Modem direkt dran hängen.

Dann die FB als reinen Accesspoint nutzen und DHCP und alles ausschalten.

Im switch baust du dann die entsprechenden VLANs als Interface à la

interface VLAN 11
ip address 192.168.11.1
ip helper-address DHCP-SERVER-IP

interface VLAN 12
ip address 192.168.12.1
ip helper-address DHCP-SERVER-IP

Der DHCP muss dann die einzelnen Scopes haben und dort die jeweilige VLAN-inetrface-IP als router verteilen.

Ob und wenn ja welche Filter jetzt noch zwischen die VLANs müssen musst du wissen.

Der Uplink zum VM-host ist dann ein

interface gigabitethernet10
 switchport trunk allowed vlan add 11,12,VLAN-ID-DIE-NOCH-BENÖTIGT-WIRD
!

Das mal so als ganz grobe skizze...

na fann fang mal mit den fakten an.

Geräte, Verkabelung, gewünschte Separierung(VLANs) und was sonst so wichtig ist.

Danach skizieren wir ein grobes Konzept und schauen ob du das umgesetzt bekommst. Gibts dann konkrete Probleme mpssen wir halt mal schauen was wir machen können.

Wir haben mehrere Loadbalancer. Für mysql, exchange und diverse webserverices.

Die LBs sind jeweils ein ha-pärchen. Ich will das alles auf einem HA-Pärchen/-Drilling zusammenführen.

Nutzen tun wir haproxy mit keepalived auf debian.

Am haproxy terminiert auch SSL für die webserver. Bisher alles gut, in richtig grossen Umgebungen muss man noch über eine Entropiequelle nachdenken damit für SSL immer genügend Zufall zur Verfügung steht.

das heisst es funktioniert und keiner weiss warum?

was wird als Storage eingesetzt? eventuell hat der Hersteller auch was zum Thema Backup. Was muss denn noch gesichert werden?

Könnte das eine clientregel im outlook sein?

Die letzte Aussage unseres Lizebdealers war zum Thema usercals: alles was Sauerstoff in Kohlendioxyd umwandelt benötigt eine usercal.

Eine sharedmailbox tut das nicht, nur der zugreifende User.

Ein anderer Lizenzberater sprach immer von "natürluchen Personen". Auch das ist eine mailbox nicht.

Wenn du da also was offizielle hast was etwas anderes aussagt, dann qäre es toll das mal lesen zu dürfen.

samba4 auf einem raspberry. Das dürfte der günstigste Domaincontroller sein.

Was soll den getestet werden?

Die Datenbank, die Connection, der client?

Mal grundsätzlich: ich würde den DHCP alle IPs vergeben lassen, auch die aus dem WLAN. Dazu einfach die entsprechenden Scopes einrichten und auf dem Switch im jeweiligen "interface VLAN" den IP helper auf den DHCP-Server zeigen lassen.

Bei einer Range von gerade mal 9 IPs, sind da überhaupt noch welche frei?

Was bedeutet "In Red ist die Firewall selbst...."? Ich hoffe das Management ist in GREEN.

Wieso ist VLAN11 auf beiden Firewallbeinen?

Kann der router auch einfach accesspoint spielen?

Das aktuelle Thema "IPhone-Sperre-wurde-geknackt" zeigt,

wenn jemand ein sehr ernstes Interesse hat, an Informationen zu gelangen,

dann ist es immer nur eine Zeitfrage und KnowHow-Frage ...

 

Sich bewußt manchen, was sind wirklich meine "Kronjuwelen", die,

wenn sie "in falsche Hände" kommen mir (meiner Firma) so schaden, dass

die Firma "größten Schaden" erfährt, ist wohl der 1. Schritt.

Da frage ich mich schon seit Jahren wie große, international agierende europäische Unternehmen auf US-Dienste setzen können. Das die NSA da überall Zugriff hat und eine ihrer Hauptaufgaben die Wirtschaftsspionage ist weiss man doch nicht erst seit Snowden. Dann wundert sich Airbus das Boeing es schafft ein paar Dollar billiger anzubieten... Doof halt wenn man als Manager das Angebot unbedingt auf seinem Balckberry(ok, britisch, aber am Ende das selbe) lesen muss als. Das ist übrigens nur ein Beispiel!

Mir ist einfach gerade nicht klar was da wie zusammenspielt.

- Wo hängt der ipfire?

- Trennt die Firewall VLANs oder sind das physisch unterschiedliche Netze?

- Wer ist Wo DHCP?

- Sind DHCP-helper/"ip helper-address" konfiguriert und wenn ja welche?

Das einfachste ist da tatsächlich die running-config zu pseudonymisieren und dann diese zu posten. Dazu eine kleine Beschreibung/Bild welcher Port mit welchem Gerät/Port verbunden ist.

Von mir aus auch ein PDF-Export aus visio. Ich sitze hauptsächlich an Linuxrechnern und wüsste da nicht wie ich visio-Dateien öffnen soll.

also ich fände die Layer1-3 interessant um zu verstehen was hier wie und wo zusammenspielt. aber bitte nicht als visio, da wüsste ich nicht womit ich das öffnen soll...

dazu dann die config vom switch.

Was für ein Switch ist das und wie ist er konfiguriert?

Welche FIlterregeln sind gesetzt?

Wie ist die konkrete Netzwerkstrutur?

yep.

Zum Glück hatte Doc Brown damit unrecht...

"1984 wird man in jeder Apotheke Plutonium kaufen können"

königin Metapha in Traumschiff Surprise?

Das ist eine Prinzipfrage. Wer weiss schom pb das hier nur ein Beispiel ist dss für 1000 einzelne Accounts steht?

zumimdest ist es nicht ganz unwichtig um zu entscheiden an welcher Stelle in der Kette solch eine Filterung zu plazieren ist. Wer zu viel bouncet landet schnell auf einer blacklist...

neinnein, alles gut.

Ich frage mich nur gerade wo die Grenze ist zwischen einem freundliachen Hinweis unter Freunden, Bekannten etc und einer formalen Rechtsberatung.

Und müsste die Beantwortung dieser Frage nicht schon wieder eine Rechtsberatung sein?

Ich finde dieses Verbot höchst seltsam...

BTW: mir sind Leute lieber die sich bei Gefahr VOR mich stellen. Hinter mir verstecken ist keine Stärke.

Ein Verweis aud Regeln und Gesetze ist hoffentlich keine Rechtsberatung. Ich darf doch auch einem Kumpel erklären warum er nicht bei rot über eine Ampel fahren darf. Oder muss ich dafür Anwalt sein?

Ach, ihr habt die switche nicht direkt im Raum sondern nutzt die als Unterverteilung, Etagenswitch o.ä.?

Sorry, ich bin von unserer Infrastruktur ausgegangen. Wir haben in jedem Büro so einen SG300-Switch...

Sind das POE-Switche?

Kannst du nicht einfach das default VLAN vom Switch auf 4 setzen?

Eventuell würde eine komplette switchconfig weiter helfen. Die Port die gleich konfiguriert sind kannst du ja zu einem zusammenfassen.

Wie ist denn der uplinkport konfiguriert?

Kurz erst mal: nein, das ist kein IOS, nur die CLI ist sehr ähnlich. Das sind, soweit ich weiss, die Geräte und Gerätenachfolger die früher unter linksys verkauft wurden.

Dann nimm doch in so einem Raum einen größeren Switch. Die gibts bis 52 Ports. Oder häng zwei hintereinander.

Wenn du aber zu einer stabilen Lösung kommst bin ich sehr interessiert daran. Hier wurde schon angekündigt das wir in naher Zukunft IP-Telefone ins Haus bekommen werden.

Wir haben sogar zwei Brandabschnitte und trotzdem ist das DR-Konzepz aus Kostengründen nicht durchgeführt worden. Der Speicher ist aber so ausgelegt das wir das jederzeit umsetzen könnten, es fehlen nur die redundanten Server. Wir haben primär eine Netapp(HA-Cluster) und als Backup auch eine. Im Dümmsten Fall könnten wir die Backupnetapp produktiv schalten und müssten eine Reihe Server für VMWare besorgen. Wenn mal wieder Geld übrig ist kommt ein zweites Bladecenter an die Backupnetapp und DR ist "fertig". Die Lizenzfragen wären dann noch mal spannend zu klären...