netcoast 10 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 Hallo zusammen, ich hätte mal eine Frage zum Windows Netzwerkaufbau. Für einen Kunden muss ich ein Netzwerk mit 8 XP Pro Clients aufbauen. Als Server möchte ich den Windows 2003 Server SBS Server einsetzen, da er Exchange noch beinhaltet und als Virenscanner die NeatSuite von Trend-Micro. Der Server soll als Fileserver, Exchangeserver und einer kleinen Datenbank dienen. Hinter dem DSL (Flatrate) wollte ich eine VPM/Firewall Appliance hängen, die noch eine andere Scan Engine als der Trend Micro hat. Wie wäre der Netzwerk-Aufbau am sichersten? Sollte man den Server mit 2 Netzwerkkarten laufen lassen, so das die eine NIC in die Appliance geht und die andere in die Switch für die Verteilung der Clients. Und das Ganze dann mit NAT einrichten. Oder ist es sinnvoller den Server nur mit einer NIC laufen zulassen und ihn und die ganzen Clients nur an die Switch anzuschließen, die direkt in die Appliance geht. Mein Problem ist auch noch, dass 3 von den 8 Mitarbeitern im Gebäude über der Strasse arbeiten. Die müssten dann über Wireless eingerichtet werden, da dorthin kein Netzwerkkabel gezogen werden kann. Dazu hätte ich ein paar Fragen. 1. Reicht für die Zwecke ein 3,4GHz Rechner mit 1GB Arbeitsspeicher-Speicher aus, oder sollte man 2GB nehmen. 2. Habt Ihr noch einen Tipp zur Appliance (ich kenne nur Fortigate, die sind allerdings sehr teuer) 3. Wie kann ich das mit Wireless realisieren (die Appliancen sind ja auch nicht gerade billig). Die Reichweite reicht auf jedenfalls für 108MBit, das habe ich schon ausprobiert. Ich wäre Euch sehr dankbar, wenn ich mir da einen Tipp geben könntet. Gruß netcoast Zitieren Link zu diesem Kommentar
dippas 10 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 Hallo netcoast, ich würde in deinem Fall folgendes machen: Beim SBS deaktivierst Du die 2. NIC (am besten gleich im Bios) und hängst den dann einfach mit der anderen NIC ins LAN. Per DHCP gibst Du die Appliance als Gateway an. Der SBS kennst auch dieses Standartgateway an der verbliebenden NIC. Da Du einen Standart-SBS einsetzen wirst, spielt das Thema ISA keine Rolle. Somit verbliebe die Möglichkeit des NAT, was dir bei manchen Applikationen aber in die Suppe spucken kann, wenn 2 x genattet wird. Einmal durch den SBS mit zweiter NIC und einmal durch die Appliance. Stichwort Sicherheit: es ist egal, ob ein Angreifer über die "interne" NIC kommt, oder über eine zweite "externe" NIC. Er kann mit dem Server nur über die von der Appliance reglementierten Ports kommunizieren. Der Port 25 wird von der Firewall-Appliance sowieso 1:1 ann den Server gereicht, weshalb dieser entsprechend darauf lauscht -> mit dem Mailserver ;) Allerdings sollte die Appliance gut sein und Fortinet ist sicherlich nicht schlecht. Auch eine Netscreen 5GT kostet ihr Geld und eine Astaro ASG110 ist auch nicht gerade günstig. Allerdings machen sie ihre Arbeit gut und lassen sich mit Sicherheitsfeatures nachlizensieren (Spam-Filter, Virenschutz, Contentfilter etc.) Das WLAN hängst Du in die DMZ. Achte bei der Wahl des DMZ-"Features" auf eine physikalisch getrennte DMZ, einen eigenen DMZ-Port also. Dann kannst Du die Verkehr aus der DMZ (=WLAN nebenan) passend konfigurieren und nur den Verkehr durchlassen, der notwendig ist, sowohl ins eigene LAN, wie auch ins Internet. Achte bei den WLAN-Komponenten auf die WPA-Verschlüsselung und wähle die Geräte so aus, das diese sich koppeln lassen. Im Nebengebäude wäre der Zugriff auf den Server in etwa so zu konfigurieren, das der PC via LAN (5-Port-Switch) an den AP geht, dieser dann via WLAN zum AP im Hauptgebäude und von da aus wieder via LAN zum Server - und zurück. Sollte einer in die "WLAN-Richtfunkstrecke" jemand einbrechen, sind die Möglichkeiten durch die Appliance beschränkt denn schließlich kann man sich auch über VPN im (W)LAN an einem Server anmelden. Dann wären nur VPN-benötigte Ports von der DMZ ins LAN nötig und ein Angreifer steht da ;) Von der Performance her ist die Leistungswahl sicherlich ausreichend. Spendier ihm aber 2 GB, da Du ja auch noch ne DB laufen hast. Wir bieten Server nur noch mit 2 GB mind. an, egal ob "nur" der SBS drauf läuft. Da kommt schnell mal das eine oder andere dazu (siehe DB;) ) Achte nur darauf, dass Du für ein richtiges Backup sorgst und dass die Festplatten ausfallsicher sind (RAID). Auch ne USV ist ein Muss. Es lohnt sich nicht an diesen Sachen zu sparen! Dass Du zweistufig nach Viren scannen willst, finde ich gut. Aber ein Ausfall der Hardware ist genauso wichtig wie ein guter Virenschutz. Viel Erfolg grüße dippas Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 Sollte man den Server mit 2 Netzwerkkarten laufen lassen, so das die eine NIC in die Appliance geht und die andere in die Switch für die Verteilung der Clients. Und das Ganze dann mit NAT einrichten. Da sehe ich keinen Sinn, weil das ja die Firewall schon macht. Oder ist es sinnvoller den Server nur mit einer NIC laufen zulassen und ihn und die ganzen Clients nur an die Switch anzuschließen, die direkt in die Appliance geht. Das würde ich machen. Mein Problem ist auch noch, dass 3 von den 8 Mitarbeitern im Gebäude über der Strasse arbeiten. Die müssten dann über Wireless eingerichtet werden, da dorthin kein Netzwerkkabel gezogen werden kann. Das wird euch wenig Freude bereiten, ausser iht nehmt sehr hochwertige und teure Komponenten für die Funkverbindung. Zudem musst du auf dei sichere Verschlüsselung der Fubkverbindung achten. 1. Reicht für die Zwecke ein 3,4GHz Rechner mit 1GB Arbeitsspeicher-Speicher aus, oder sollte man 2GB nehmen. Für den Server. Nimm keinen Rechner, sondern kaufe einen Server eines namhaften Herstellers, der den Namen Server auch verdient und kein PC mit Serverbetriebssystem ist. 2. Habt Ihr noch einen Tipp zur Appliance (ich kenne nur Fortigate, die sind allerdings sehr teuer) Schau dir mal die Geräte von Juniper/Netscreen an. die sind sehr gut und günstig. 3. Wie kann ich das mit Wireless realisieren (die Appliancen sind ja auch nicht gerade billig). Die Reichweite reicht auf jedenfalls für 108MBit, das habe ich schon ausprobiert. Ich glaube dass eine WLAN Verbindung zum produktiven Arbeiten nicht zu verwenden ist, ausser du investierst da richtig Kohle in sehr hochwertige Hardware. Zitieren Link zu diesem Kommentar
Das Urmel 10 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 HalliHallo, einiges ist sicherlich OK und richtig 3. Wie kann ich das mit Wireless realisieren (die Appliancen sind ja auch nicht gerade billig). da würde sich dann um Grundstücke zu überbrücken, Richtfunk anbieten den gibt es auch günstig, hat Doc ja schon erwähnt. Ich glaube dass eine WLAN Verbindung zum produktiven Arbeiten nicht zu verwenden ist, Diese pauschale Aussage allerdings halte ich für unrichtig, die Systeme die dahinter stehen machen das Salz in der Suppe. Zitieren Link zu diesem Kommentar
dagman 10 Geschrieben 11. Januar 2007 Melden Teilen Geschrieben 11. Januar 2007 Kann meinen Vorrednern in 2 Punkten nur zustimmen... 1. Bitte NUR namhafte Hersteller zum Server-Aufbau verwenden. Es bringt überhaupt nichts, eine Standard-Desktop-Dose als "Server" aufzubauen... Die Dinger sind dafür nicht gedacht - und richtige Server haben nicht ohne Grund höhere Preise... 2. Wireless über die Strasse ist IMHO keine gute Sache. Wenn dann ganze ordentlich sein soll, denk mal über die Alternativen nach (z.B. Richtfunk, Leitungsanmietung, VPN) nach. Grüße dagman Zitieren Link zu diesem Kommentar
xcode-tobi 10 Geschrieben 11. Januar 2007 Melden Teilen Geschrieben 11. Januar 2007 Zum Thema WLAN über die Strasse noch eine Anmerkung: Da die Strasse wahrscheinlich ein Öffentlicher Bereich ist, überschreitet man also mit einer WLAN-Strecke von Grundstück A nach B eben das eigene Grundstück, also muss diese Verbindung bei der Regulierungsbehörde (in diesem Fall in Chemnitz) gemeldet werden. Allerdings bin ich mir jetzt nicht sicher, ob das mit den Grundstücksgrenzen auch für "geschlossene" Verbindungen gilt.... da würde ich auf jeden Fall auch mal nachfragen... Zitieren Link zu diesem Kommentar
Cybquest 36 Geschrieben 11. Januar 2007 Melden Teilen Geschrieben 11. Januar 2007 Wie wärs, die WLAN-APs nur als ThinClient mit nem Terminalserver auszuführen? Zitieren Link zu diesem Kommentar
xcode-tobi 10 Geschrieben 11. Januar 2007 Melden Teilen Geschrieben 11. Januar 2007 Wie wärs, die WLAN-APs nur als ThinClient mit nem Terminalserver auszuführen? Wie meinst du das denn jetzt? WLAN-AccessPoints im Terminalserver? Zitieren Link zu diesem Kommentar
Cybquest 36 Geschrieben 11. Januar 2007 Melden Teilen Geschrieben 11. Januar 2007 Ne. Accesspoint am Hauptstandort (in der DMZ oder wo auch immer). Terminalserver ebenfalls am Hauptstandort. Am Nebenstandort dann die Thinclients. Je nach örtlichen Gegebenheiten entweder - Jeder TC einfach jeweils mit WLAN-Stick oder - TCs an nem Switch - Accesspoint am Switch. Die zwei Accesspinots dann als Bridge konfigurieren Vorteil wäre, dass man dann WLAN auf den Terminalserver-Verkehr beschränken kann (Firewall), die Bandbreite keine große Rolle mehr spielt und bei Funkabbrüchen die Sitzung nicht abschmiert. Zitieren Link zu diesem Kommentar
xcode-tobi 10 Geschrieben 11. Januar 2007 Melden Teilen Geschrieben 11. Januar 2007 @cybquest: achso, sorry, hatte ich dann wohl falsch verstanden... Zitieren Link zu diesem Kommentar
Weihnachtsmann 10 Geschrieben 11. Januar 2007 Melden Teilen Geschrieben 11. Januar 2007 Also wenn am 2. Standort mehrere Clients diese bitte nicht per WLAN anbinden sondern an einen Switch und dann per WLAN bridgen. Für die WLAN Bridge solltest du auch umbedingt professionelle WLAN APs einsetzen und Abstand von SOHO Komponenten nehmen. Gruß Weihnachtsmann Zitieren Link zu diesem Kommentar
netcoast 10 Geschrieben 11. Januar 2007 Autor Melden Teilen Geschrieben 11. Januar 2007 Erstmal besten Dank für Eure Antwort. Als Server setze ich den PRIMERGY Econel 100 mit Raid 1 ein und als USV die Smart UPS 1000 von APC. Die Sicherung wollte ich über eine ext. Festplatte machen. Mit den Komponenten bin ich bis jetzt immer gut gefahren. Ich hätte da allerdings noch eine Frage zu WLAN-Verbindung. . Der USB-WLAN Stick bei den 3 Clients nimmt die Verbindung doch erst im Windows auf, wenn er den Treiber geladen laden. Kann er sich den so direkt bei der Domänenanmeldung mit dem Server verbinden. Und wie sehe das Verbindungstechnisch aus? Der Server und die 5 Clients in dem einen Gebäude sind ja soweit klar. Wie mache ich das allerdings mit den 3 WLAN-Cients, soll ich dann einen Accesspoint an die Switch hängen, die in die Appliance geht, oder direkt ein Appliance mit WLAN holen und die Clients daran einrichten. Irgendwie ist mir das noch nicht ganz schlüssig. Gruß netcoast Zitieren Link zu diesem Kommentar
Weihnachtsmann 10 Geschrieben 11. Januar 2007 Melden Teilen Geschrieben 11. Januar 2007 Wie von mir bereits geschrieben solltest du die Clients nicht direkt per WLAN anbinden sondern ehr an einen Switch und dann eine WLAN Bridge. Das würde dann ungefähr so aus schauen. appliance - ap --- ap - switch - clients Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.