Jump to content
Sign in to follow this  
netcoast

Netzwerkaufbau

Recommended Posts

Hallo zusammen,

 

ich hätte mal eine Frage zum Windows Netzwerkaufbau.

 

Für einen Kunden muss ich ein Netzwerk mit 8 XP Pro Clients aufbauen.

Als Server möchte ich den Windows 2003 Server SBS Server einsetzen, da er Exchange noch beinhaltet und als Virenscanner die NeatSuite von Trend-Micro.

Der Server soll als Fileserver, Exchangeserver und einer kleinen Datenbank dienen.

Hinter dem DSL (Flatrate) wollte ich eine VPM/Firewall Appliance hängen, die noch eine andere Scan Engine als der Trend Micro hat.

 

Wie wäre der Netzwerk-Aufbau am sichersten?

 

Sollte man den Server mit 2 Netzwerkkarten laufen lassen, so das die eine NIC in die Appliance geht und die andere in die Switch für die Verteilung der Clients. Und das Ganze dann mit NAT einrichten.

 

Oder ist es sinnvoller den Server nur mit einer NIC laufen zulassen und ihn und die ganzen Clients nur an die Switch anzuschließen, die direkt in die Appliance geht.

 

Mein Problem ist auch noch, dass 3 von den 8 Mitarbeitern im Gebäude über der Strasse arbeiten. Die müssten dann über Wireless eingerichtet werden, da dorthin kein Netzwerkkabel gezogen werden kann.

 

Dazu hätte ich ein paar Fragen.

 

1. Reicht für die Zwecke ein 3,4GHz Rechner mit 1GB Arbeitsspeicher-Speicher aus, oder sollte man 2GB nehmen.

 

2. Habt Ihr noch einen Tipp zur Appliance (ich kenne nur Fortigate, die sind allerdings sehr teuer)

 

3. Wie kann ich das mit Wireless realisieren (die Appliancen sind ja auch nicht gerade billig).

Die Reichweite reicht auf jedenfalls für 108MBit, das habe ich schon ausprobiert.

 

Ich wäre Euch sehr dankbar, wenn ich mir da einen Tipp geben könntet.

 

Gruß

netcoast

Share this post


Link to post
Share on other sites

Hallo netcoast,

 

ich würde in deinem Fall folgendes machen:

 

Beim SBS deaktivierst Du die 2. NIC (am besten gleich im Bios) und hängst den dann einfach mit der anderen NIC ins LAN. Per DHCP gibst Du die Appliance als Gateway an. Der SBS kennst auch dieses Standartgateway an der verbliebenden NIC.

 

Da Du einen Standart-SBS einsetzen wirst, spielt das Thema ISA keine Rolle. Somit verbliebe die Möglichkeit des NAT, was dir bei manchen Applikationen aber in die Suppe spucken kann, wenn 2 x genattet wird. Einmal durch den SBS mit zweiter NIC und einmal durch die Appliance.

 

Stichwort Sicherheit: es ist egal, ob ein Angreifer über die "interne" NIC kommt, oder über eine zweite "externe" NIC. Er kann mit dem Server nur über die von der Appliance reglementierten Ports kommunizieren. Der Port 25 wird von der Firewall-Appliance sowieso 1:1 ann den Server gereicht, weshalb dieser entsprechend darauf lauscht -> mit dem Mailserver ;)

 

Allerdings sollte die Appliance gut sein und Fortinet ist sicherlich nicht schlecht. Auch eine Netscreen 5GT kostet ihr Geld und eine Astaro ASG110 ist auch nicht gerade günstig. Allerdings machen sie ihre Arbeit gut und lassen sich mit Sicherheitsfeatures nachlizensieren (Spam-Filter, Virenschutz, Contentfilter etc.)

 

Das WLAN hängst Du in die DMZ. Achte bei der Wahl des DMZ-"Features" auf eine physikalisch getrennte DMZ, einen eigenen DMZ-Port also. Dann kannst Du die Verkehr aus der DMZ (=WLAN nebenan) passend konfigurieren und nur den Verkehr durchlassen, der notwendig ist, sowohl ins eigene LAN, wie auch ins Internet.

 

Achte bei den WLAN-Komponenten auf die WPA-Verschlüsselung und wähle die Geräte so aus, das diese sich koppeln lassen.

 

Im Nebengebäude wäre der Zugriff auf den Server in etwa so zu konfigurieren, das der PC via LAN (5-Port-Switch) an den AP geht, dieser dann via WLAN zum AP im Hauptgebäude und von da aus wieder via LAN zum Server - und zurück.

 

Sollte einer in die "WLAN-Richtfunkstrecke" jemand einbrechen, sind die Möglichkeiten durch die Appliance beschränkt denn schließlich kann man sich auch über VPN im (W)LAN an einem Server anmelden. Dann wären nur VPN-benötigte Ports von der DMZ ins LAN nötig und ein Angreifer steht da ;)

 

Von der Performance her ist die Leistungswahl sicherlich ausreichend. Spendier ihm aber 2 GB, da Du ja auch noch ne DB laufen hast. Wir bieten Server nur noch mit 2 GB mind. an, egal ob "nur" der SBS drauf läuft. Da kommt schnell mal das eine oder andere dazu (siehe DB;) )

 

Achte nur darauf, dass Du für ein richtiges Backup sorgst und dass die Festplatten ausfallsicher sind (RAID). Auch ne USV ist ein Muss. Es lohnt sich nicht an diesen Sachen zu sparen!

 

Dass Du zweistufig nach Viren scannen willst, finde ich gut. Aber ein Ausfall der Hardware ist genauso wichtig wie ein guter Virenschutz.

 

Viel Erfolg

 

grüße

 

dippas

Share this post


Link to post
Share on other sites

Sollte man den Server mit 2 Netzwerkkarten laufen lassen, so das die eine NIC in die Appliance geht und die andere in die Switch für die Verteilung der Clients. Und das Ganze dann mit NAT einrichten.

 

Da sehe ich keinen Sinn, weil das ja die Firewall schon macht.

 

Oder ist es sinnvoller den Server nur mit einer NIC laufen zulassen und ihn und die ganzen Clients nur an die Switch anzuschließen, die direkt in die Appliance geht.

 

Das würde ich machen.

 

Mein Problem ist auch noch, dass 3 von den 8 Mitarbeitern im Gebäude über der Strasse arbeiten. Die müssten dann über Wireless eingerichtet werden, da dorthin kein Netzwerkkabel gezogen werden kann.

 

Das wird euch wenig Freude bereiten, ausser iht nehmt sehr hochwertige und teure Komponenten für die Funkverbindung. Zudem musst du auf dei sichere Verschlüsselung der Fubkverbindung achten.

 

1. Reicht für die Zwecke ein 3,4GHz Rechner mit 1GB Arbeitsspeicher-Speicher aus, oder sollte man 2GB nehmen.

 

Für den Server. Nimm keinen Rechner, sondern kaufe einen Server eines namhaften Herstellers, der den Namen Server auch verdient und kein PC mit Serverbetriebssystem ist.

 

2. Habt Ihr noch einen Tipp zur Appliance (ich kenne nur Fortigate, die sind allerdings sehr teuer)

 

Schau dir mal die Geräte von Juniper/Netscreen an. die sind sehr gut und günstig.

 

3. Wie kann ich das mit Wireless realisieren (die Appliancen sind ja auch nicht gerade billig).

Die Reichweite reicht auf jedenfalls für 108MBit, das habe ich schon ausprobiert.

 

Ich glaube dass eine WLAN Verbindung zum produktiven Arbeiten nicht zu verwenden ist, ausser du investierst da richtig Kohle in sehr hochwertige Hardware.

Share this post


Link to post
Share on other sites

HalliHallo,

einiges ist sicherlich OK und richtig

3. Wie kann ich das mit Wireless realisieren (die Appliancen sind ja auch nicht gerade billig).

da würde sich dann um Grundstücke zu überbrücken, Richtfunk anbieten den gibt es auch günstig, hat Doc ja schon erwähnt.

 

Ich glaube dass eine WLAN Verbindung zum produktiven Arbeiten nicht zu verwenden ist,

Diese pauschale Aussage allerdings halte ich für unrichtig, die Systeme die dahinter stehen machen das Salz in der Suppe.

Share this post


Link to post
Share on other sites

Kann meinen Vorrednern in 2 Punkten nur zustimmen...

 

 

1. Bitte NUR namhafte Hersteller zum Server-Aufbau verwenden. Es bringt überhaupt nichts, eine Standard-Desktop-Dose als "Server" aufzubauen... Die Dinger sind dafür nicht gedacht - und richtige Server haben nicht ohne Grund höhere Preise...

 

 

2. Wireless über die Strasse ist IMHO keine gute Sache. Wenn dann ganze ordentlich sein soll, denk mal über die Alternativen nach (z.B. Richtfunk, Leitungsanmietung, VPN) nach.

 

 

Grüße

 

 

 

dagman

Share this post


Link to post
Share on other sites

Zum Thema WLAN über die Strasse noch eine Anmerkung: Da die Strasse wahrscheinlich ein Öffentlicher Bereich ist, überschreitet man also mit einer WLAN-Strecke von Grundstück A nach B eben das eigene Grundstück, also muss diese Verbindung bei der Regulierungsbehörde (in diesem Fall in Chemnitz) gemeldet werden. Allerdings bin ich mir jetzt nicht sicher, ob das mit den Grundstücksgrenzen auch für "geschlossene" Verbindungen gilt.... da würde ich auf jeden Fall auch mal nachfragen...

Share this post


Link to post
Share on other sites

Ne.

Accesspoint am Hauptstandort (in der DMZ oder wo auch immer). Terminalserver ebenfalls am Hauptstandort.

Am Nebenstandort dann die Thinclients.

Je nach örtlichen Gegebenheiten entweder

- Jeder TC einfach jeweils mit WLAN-Stick

oder

- TCs an nem Switch

- Accesspoint am Switch. Die zwei Accesspinots dann als Bridge konfigurieren

 

Vorteil wäre, dass man dann WLAN auf den Terminalserver-Verkehr beschränken kann (Firewall), die Bandbreite keine große Rolle mehr spielt und bei Funkabbrüchen die Sitzung nicht abschmiert.

Share this post


Link to post
Share on other sites

Also wenn am 2. Standort mehrere Clients diese bitte nicht per WLAN anbinden sondern an einen Switch und dann per WLAN bridgen.

 

Für die WLAN Bridge solltest du auch umbedingt professionelle WLAN APs einsetzen und Abstand von SOHO Komponenten nehmen.

 

Gruß

Weihnachtsmann

Share this post


Link to post
Share on other sites

Erstmal besten Dank für Eure Antwort.

 

Als Server setze ich den PRIMERGY Econel 100 mit Raid 1 ein und als USV die

Smart UPS 1000 von APC. Die Sicherung wollte ich über eine ext. Festplatte machen.

Mit den Komponenten bin ich bis jetzt immer gut gefahren.

 

Ich hätte da allerdings noch eine Frage zu WLAN-Verbindung.

.

Der USB-WLAN Stick bei den 3 Clients nimmt die Verbindung doch erst im Windows auf, wenn er den Treiber geladen laden.

Kann er sich den so direkt bei der Domänenanmeldung mit dem Server verbinden.

 

Und wie sehe das Verbindungstechnisch aus?

Der Server und die 5 Clients in dem einen Gebäude sind ja soweit klar.

Wie mache ich das allerdings mit den 3 WLAN-Cients, soll ich dann einen Accesspoint an die Switch hängen, die in die Appliance geht, oder direkt ein Appliance mit WLAN holen und die Clients daran einrichten.

 

Irgendwie ist mir das noch nicht ganz schlüssig.

 

Gruß

netcoast

Share this post


Link to post
Share on other sites

Wie von mir bereits geschrieben solltest du die Clients nicht direkt per WLAN anbinden sondern ehr an einen Switch und dann eine WLAN Bridge. Das würde dann ungefähr so aus schauen.

 

appliance - ap --- ap - switch - clients

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...