Herr-IT 0 Geschrieben 24. November 2021 Melden Teilen Geschrieben 24. November 2021 Hallo in die Runde, wir würden hier gern um ein paar Anregungen sowie Tipps bitten, da wir unser Netz gern etwas umstrukturieren wollen. Derzeit kommt unser Clientnetz durch eine stetig wachsende Anzahl an Mitarbeitern so langsam, aber sicher an seine Grenzen, was die zur Verfügung stehenden IP-Adressen anbelangt. Grob schaut das Ganze so aus Geplant ist nun, das Ganze durch ein weiteres VLAN zu entlasten. Beginne würden wir gern damit, dass wir unsere Drucker in ein eigenes VLAN stellen, welche dann Ihre IP’s automatisch von einem DHCP erhalten. Die Fragen, die sich uns dazu stellen, sind folgende 1. Welche Vor- und Nachteile seht Ihr, wenn wir die Firewall bzw. den DC als DHCP fungieren lassen? 2. Wie würdet Ihr den Printserver einbinden, bspw. einfach mit beiden VLAN’s verbinden oder die Pakete über die Firewall routen? Falls Ihr noch mehr Input benötigt, können wir diesen natürlich gern nachtragen. Vielen Dank vorab! Grüße Herr IT Zitieren Link zu diesem Kommentar
cj_berlin 1.315 Geschrieben 24. November 2021 Melden Teilen Geschrieben 24. November 2021 Moin, DHCP auf DC bringt akute Sicherheitsgefahren mit sich und sollte heutzutage möglichst nicht mehr gemacht werden. DHCP auf der Firewall kann in der Regel nicht dafür sorgen, dass im Windows-DNS A- und PTR-Records von Geräten erstellt, aktualisiert und gelöscht werden, die sich selbst nicht registrieren können (Stichwort dynamische Updates). Meine Empfehlung wäre, Windows-DHCP zu verwenden, aber auf einem anderen Server als dem DC. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 24. November 2021 Melden Teilen Geschrieben 24. November 2021 vor 5 Minuten schrieb Herr-IT: 2. Wie würdet Ihr den Printserver einbinden, bspw. einfach mit beiden VLAN’s verbinden oder die Pakete über die Firewall routen? Einen Server den Router überbrücken zu lassen, kann sich schnell auch als Security-Loch darstellen. Also ich würde routen lassen. Wenn Security egal ist, ist auch die Antwort auf die Frage egal. :) Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 24. November 2021 Melden Teilen Geschrieben 24. November 2021 Drucker Ich würde die Drucker in ein eigenes VLAN stecken und das über die Firewall zum Server routen. Clients Je nach Performance der Firewall würde ich die Clients in ein eigenes VLAN stecken, und auf der Firewall einen DHCP-Helper aktivieren der die DHCP-Anfragen zum Server sendet. Alternativ lasse die FW DHCP machen und gib als DNS den aktuellen DNS-Server mit. Telefonie läuft bei meinen Kunden immer in einem separaten VLAN. Entweder die IP's sind statisch oder oder Telefonanlage macht den DHCP. Alternative: vergrößere das Subnetz, damit machst du deine Netze aber nicht sicherer. Zitieren Link zu diesem Kommentar
MurdocX 949 Geschrieben 25. November 2021 Melden Teilen Geschrieben 25. November 2021 (bearbeitet) vor 23 Stunden schrieb djmaker: Alternative: vergrößere das Subnetz, damit machst du deine Netze aber nicht sicherer. Es geht hier in dem kleinen Netz nicht um die Sicherheit, wenn ich das richtig verstanden habe. Erweitere einfach die Subnetmaske auf 23 (255.255.254.0), statt 24 (255.255.255.0). Fertig. Dein Netz geht dann von: Netzadresse:192.168.200.0 Broadcast:192.168.201.255 Host-IPs von:192.168.200.1 bis:192.168.201.254 bearbeitet 25. November 2021 von MurdocX Zitieren Link zu diesem Kommentar
coshi 11 Geschrieben 30. November 2021 Melden Teilen Geschrieben 30. November 2021 Hallo Herr-IT, wenn du Layer 3 Switche hast, die ACL (Access Controll Lists) unterstützen, könntest du das "intervlan" Routing über die Switche laufen lassen und die unterschiedlichen Subnetze untereinander mit ACLs sichern. Das hat den Vorteil, dass du nicht die Ressourcen der Firewalls für internen Traffic ausschöpfst. Für Drucker könntest du das z.B. portbasiert (z.B. 9100) machen und für Telefonie (SIP / sRTP) protokollbasiert. Ist nicht die höchste Sicherheitsstufe, aber auch nicht die niedrigste. Grüße coshi Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 30. November 2021 Melden Teilen Geschrieben 30. November 2021 vor 25 Minuten schrieb coshi: Hallo Herr-IT, wenn du Layer 3 Switche hast, die ACL (Access Controll Lists) unterstützen, könntest du das "intervlan" Routing über die Switche laufen lassen und die unterschiedlichen Subnetze untereinander mit ACLs sichern. Das hat den Vorteil, dass du nicht die Ressourcen der Firewalls für internen Traffic ausschöpfst. Für Drucker könntest du das z.B. portbasiert (z.B. 9100) machen und für Telefonie (SIP / sRTP) protokollbasiert. Ist nicht die höchste Sicherheitsstufe, aber auch nicht die niedrigste. Grüße coshi Die Idee ist gut, leider ist die Komplexität nicht ganz "ohne". Dazu benötigt man schon ein tieferes Wissen und das ggf. notwendige Troubleshooting ist auch nicht unbedingt einfach. 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.