Frage an die Netzwerkprofis unter euch

[Saruman]

Hallo liebe IT-ler und Computerversteher,

ich muss wegen der Verlegung meines Büros meine EDV-Landschaft neu zusammenstellen und verkabeln. Und da ich nur über ein ungesundes Halbwissen in Sachen Netzwerk verfüge, würde ich gerne etwas von eurem KnowHow absaugen. Vielleicht könnt ihr mir helfen?

Folgenden Netzwerk-Aufbau stelle ich mir vor:

• 3 x Win7-PCs --> Ethernet --> Switch 1 --> Fritzbox
• 1 x MFC (Drucker+Fax) --> Ethernet --> Fritzbox
• 2 x Laserdrucker (kein USB vorhanden) + 1 x NAS --> Ethernet --> Switch 2 --> Fritzbox

Geplant ist ein DSL-Anschluss über Kabel-BW mit 25 MBit und fester IP.
Die dazugehörige Fritzbox (6360) verfügt über 4 GigaBit-LAN-Anschlüsse.
Das geplante NAS habe ich noch nicht ausgewählt, bin also hier noch entscheidungsfrei.

Jetzt meine Fragen an euch:

1. Taugt mein Aufbau was oder gibts was zu verbessern?
2. Ich muss einen externen, 10 km entfernten Arbeitsplatz mit Vollzugriff aufs Netzwerk (hauptsächlich NAS) einbinden. Wie mache ich das am besten?
3. Meine Kunden müssen per FTP Daten abholen können, d.h., ich brauche einen FTP-Server (evtl. FileZillaServer auf PC im Netz?). Wie würdet ihr das lösen?

Würde mich freuen, wenn ihr mir weiterhelfen könntet.

Beste Grüße
Achim

 

[Haschman]

1.
- Ich würde das NAS direkt an die Fritzbox hängen.
- MFC auch direkt anschließen.
- Drucker und PC über den gleichen Switch

2. Dazu brauchst du ein VPN. Es gibt hierfür viele Tools. Einfach mal googeln.

3. Ich würde die Daten und den FTP auf dem NAS ablegen. Die meisten NAS (QNap z.B.) liefern direkt einen FTP Server mit.

Wenn du noch fragen hast, melde ich einfach. Am besten via PN.

Gruß, Stephan

 

[fmantek]

Ansich ist das in Ordnung.

Ich würde nix direkt an die Fritzbox hängen. Die ist im generellen zu lahm. Dafür hast du einen 2x Switch. Gib der Fritzbox ne feste IP im Netz und häng die als Gateway an einen Switch.

Wenn du noch einen Switch brauchst, kauf dir einen managed switch der VPN eingebaut hat, ala NETGEAR ProSafe™ Gigabit 8 Port VPN Firewall FVS318G. Da gibt's auch neueres, aber der kann VPN und Firewall ganz ordentlich. Alternativ gibt es auch NAS systeme die dir VPN zugriff anbieten, wenn es nur um das NAS geht.

Ich stimme hasch zu. Kauf dir ein ordnentliches NAS mit FTP und DHCP server etc (z.b. synology oder qnap, welches hängt vom Platzbedarf ab. Ich bin ein dicker Fan der synology DS2411 und neuer Reihe).

Frank

 

[Saruman]

Hallo Stephan,

danke für deine schnelle Antwort!

Zu 1.
Welchen Vorteil habe ich durch den direkten Anschluss des NAS an die Fritzbox? Ist das nicht egal, ob da ein (GigaBit-)Switch dazwischen hängt?
Die Drucker und die PCs kann ich leider aus räumlichen Gründen nicht an den gleich Switch anschließen, da muss ich wohl mit zwei getrennten Strängen arbeiten.

Zu 2.
Ich meine, dass die Fritzbox auch VPN anbietet. Muss mich da mal tiefer einlesen.

Zu 3.
Hört sich gut an und wäre mir auch am liebsten, wenn der FTP direkt auf dem NAS liefe.

Gruß
Achim

 

[libertine]

also mal ganz grundsätzlich...ich an deiner stelle würde die fritzbox(die du wohl vom betreiber bekommst) nur als "durchlauferhitzer" verwenden und dahinter einfach einen ordentlich router und davor eine hardware firewall verwenden(gerade wenn sich ein firmennetz dahinter befindet).
und wenn ich so lese was du da alles machen willst(VPN z.B) glaub ich nicht das die Fritzbox da eine passende Lösung ist.

ist halt die frage wieviel geld du investieren möchtest. es gibt all incusive lösungen mit firewall und 8 Gbit Anschlüssen die kosten aber 1000€ aufwärts ... oder du kannst dir was ähnliches aus billigeren komponenten basteln ... dann kostets wahrscheinlich nur 600€ oder so in Summe(für ein ordentliches NAS legts du nochmal 400€+ aus).
Gbit ist zwar schön und gut in deinem Fall aber relativ unnötig würd ich meinen ... 100Mbit ist schnell genug dafür.

Mal ein Beispiel

Als Firewall etwas in dieser Richtung:
ZyXEL ZyWALL USG 20w (91-009-071001B) Preisvergleich | Geizhals Deutschland
hängt nach vorne hin am DSL modem und dahinter kannst du den Router anhängen.

Als Router würde sowas hier eigentlich reichen:

Netgear RangeMax Wireless-N 600 WNDR3800, 300Mbps (MIMO) Dual Band (simultan) Preisvergleich | Geizhals EU

und dann brauchst du noch einen allerweltsswitch.

oder die all inclusive variante:

Cisco 891W Integrated Services Router Preisvergleich | Geizhals EU

Ich muss einen externen, 10 km entfernten Arbeitsplatz mit Vollzugriff aufs Netzwerk (hauptsächlich NAS) einbinden. Wie mache ich das am besten?

VPN ist hier die einzige Lösung. Können die meisten Router von haus aus.

Meine Kunden müssen per FTP Daten abholen können, d.h., ich brauche einen FTP-Server (evtl. FileZillaServer auf PC im Netz?). Wie würdet ihr das lösen?

Brauchbare NAS Systeme liefern FTP/Web und sogar Cloud Funktionalitäten mit ... da brauchst auf dem PC nix mehr einrichten.

Was NAS angeht würd ich dir zu einem QNAP raten. TS419 aufwärts kannst du alles bedenkenlos kaufen.

im zweifelsfall würd ich dir raten in ein fachgeschäft(nicht im media markt ) zu gehen und zu sagen du willst eine lösung wie oben skizziert

 

[fmantek]

im zweifelsfall würd ich dir raten in ein fachgeschäft(nicht im media markt ) zu gehen und zu sagen du willst eine lösung wie oben skizziert

+1 zu dem. Media Markt, Saturn und ähnliches haben normalerweise kein Fachpersonal.

Frank

 

[Haschman]

Wenn du eh ne Räumliche Trennung hast, brauchst du das nicht. So hättest du halt einen Switch sparen können.

Am besten wird es aber sein, du lässt dir mal nen Profi kommen / fährst zu einem (nicht Mediamarkt oder Saturn), der dir das alles erklärt. Geschrieben treten doch zu oft Missverständnisse auf.

Du solltest auch auf jeden Fall an die Sicherheit denken. Wie sensibel sind deine Daten? Wenn die Daten sensibel sind, solltest du evtl über ne vernünftige Lösung nachdenken.
Als Beispiel:
Internet --> Fritz Box --> Firewall --> NAS (für Zugriff der Kunden evtl. nur FTP-Server) --> Firewall --> Internes Netz.

Das Schlagwort hierbei lautet DMZ (Demilitarisierte Zone) Damit solltest du (korrekt konfiguriert) auf der sicheren Seite sein. Hierbei entsteht aber ein Mehraufwand an Hardware.

 

[Saruman]

Hallo an alle,

danke für eure zahlreichen Antworten und Tipps.

Meine Fragen 2 und 3 sind nun geklärt. Ich werde mich mit dem Thema VPN mal auseinandersetzen. Und den FTP-Server werde ich ich über die NAS (QNAP oder synology) abwickeln.

Meine Frage 1 lässt natürlich viel Raum zum Spielen.

Mir liegt (zunächst) an einer "kleinen", überschaubaren und durch mich administrierbare Lösung.

Mein geplantes "Netzwerk" verdient diesen Namen wohl nicht ganz. Von den drei PCs wird zu 95% nur einer dauerhaft genutzt. Dieser muss ins Internet und soll unsensible Daten auf einem zentralen Speicher ablegen können. Auf den gesamten zentralen Speicherbereich muss von außen (per VPN?) auch ein Externer zugreifen und dort Daten holen und ablegen können. Nicht mehr, das ist alles.

Einen anderen Speicherbereich auf der NAS muss ich für den FTP-Zugang bereitstellen, damit meine Kunden mir Daten schicken und holen können.

Alle Daten sind unsensibel und gearbeitet wird lokal auf den Arbeitsplätzen, nicht zentral.
Also alles ganz harmlos.

Eine separate Firewall ist momentan wohl mit Kanonen auf Spatzen geschossen. Vielleicht im zweiten Schritt.

Die Fritzbox (die wird mir von meinem Netzbetreiber gestellt) müsste mir eigentlich genügen.
Sie bietet mir Internet-Zugang, WLAN, DECT und die Möglichkeit, alles miteinander zu vernetzen. Die Geschwindigkeit wird mir wohl ausreichen.

Ich suche momentan für den Anfang eigentlich nur die einfachste Lösung, sozusagen die Grundstufe - das ist alles. Wenn sich im Praxisbetrieb dann Schwachstellen zeigen, muss ich entsprechend reagieren.

Gruß
Achim

 

[Cloudhopper]

Das meiste was gesagt wurde, wuerde ich als Fachmensch so unterschreiben.

Die Loestung mit einem Router/Firewall/Switch hinter der Fritzbox ist sicher ueberdimensioniert, persoenlich mache ich das aber genauso zu Hause. Aufgrund von Aenderungen auf der Provider Seite haben die mir 3 verschiedene Modems/Router in den letzten 5 Jahren verpasst. Deren Wechsel gestaltete sich jedesmal sehr einfach dadurch, das sie nicht Teil der eigentlichen Infrastruktur sind.

Als Grundstufe ist Stephans Vorschlag ausgezeichnet und einfach umzusetzen.

Viel Erfolg.

 

[Schlonz]

Mir liegt (zunächst) an einer "kleinen", überschaubaren und durch mich administrierbare Lösung.

Mein geplantes "Netzwerk" verdient diesen Namen wohl nicht ganz. Von den drei PCs wird zu 95% nur einer dauerhaft genutzt. Dieser muss ins Internet und soll unsensible Daten auf einem zentralen Speicher ablegen können. Auf den gesamten zentralen Speicherbereich muss von außen (per VPN?) auch ein Externer zugreifen und dort Daten holen und ablegen können. Nicht mehr, das ist alles.

Einen anderen Speicherbereich auf der NAS muss ich für den FTP-Zugang bereitstellen, damit meine Kunden mir Daten schicken und holen können.

Alle Daten sind unsensibel und gearbeitet wird lokal auf den Arbeitsplätzen, nicht zentral.
Also alles ganz harmlos.

Eine separate Firewall ist momentan wohl mit Kanonen auf Spatzen geschossen. Vielleicht im zweiten Schritt.

Die Fritzbox (die wird mir von meinem Netzbetreiber gestellt) müsste mir eigentlich genügen.
Sie bietet mir Internet-Zugang, WLAN, DECT und die Möglichkeit, alles miteinander zu vernetzen. Die Geschwindigkeit wird mir wohl ausreichen.

Ich suche momentan für den Anfang eigentlich nur die einfachste Lösung, sozusagen die Grundstufe - das ist alles. Wenn sich im Praxisbetrieb dann Schwachstellen zeigen, muss ich entsprechend reagieren.

Gruß
Achim

das ist in etwa auch die Lösung, die wir hier fahren und das klappt wunderbar, wobei unser FTP-Server ausserhalb steht, nämlich dort, wo auch unsere websites gehostet werden, denn das hat keinen Sinn, lokal gemacht zu werden, denn der Aufwand wäre zu hoch. Klappt bestens

 

[fmantek]

Wenn das NAS geraet hauptsaechlich zum Datenaustausch gedacht ist...

Schon mal ueberlegt vielleicht Google Drive oder eine aehnliche Cloudloesung einzusetzen?

Wenn ein externer von aussen auf Daten zugreifen soll, reicht dem nicht auch ein FTP zugang?

Frank

 

[libertine]

ich komm halt aus der enterprise ecke :-)

Eine separate Firewall ist momentan wohl mit Kanonen auf Spatzen geschossen. Vielleicht im zweiten Schritt.

das denkt man sich vielleicht aber nachdem ich auf meinem router(mit integrierter firewall) daheim mal das logging aufgedreht hab hab ich nicht schlecht gestaunt was da alles geblockt wurde an eindringversuchen...von den ganzen portscans und DOS attacken red ich garnet.

aber gut, rudimentären schutz hast du bei den etwas besseren routern onehin auch integriert, wenn dann noch eine windows firewall ist das eigentlich auch ausreichend.

 

[Saruman]

Hallo Frank,

Wenn das NAS geraet hauptsaechlich zum Datenaustausch gedacht ist...

Schon mal ueberlegt vielleicht Google Drive oder eine aehnliche Cloudloesung einzusetzen?

Wenn ein externer von aussen auf Daten zugreifen soll, reicht dem nicht auch ein FTP zugang?

Frank

Ich bin persönlich kein Freund von Cloudlösungen und Google im Besonderen im geschäftlichen Bereich.
Vielleicht etwas altmodisch, aber meine und die Daten meiner Kunden möchte ich gerne bei mir auf meiner eigenen Platte haben.

Der FTP-Zugang für den Externen scheidet aus, da er die Laufwerke des NAS bei sich im System mounten und wie lokale Laufwerke ansprechen will.


Hallo Libertine

ich komm halt aus der enterprise ecke :-)

Das dachte ich mir irgendwie schon, als ich deinen Beitrag gelesen habe

Gruß
Achim

 

[lr130lipi]

Hallo,

wir in der IT verwenden für die Anbindung unserer Geschäftsstellen oder Baustellen so etwas:

"Check Point UTM-1 Edge N ADSL" nicht billig aber genial -> alles in einer Box ;-)

Die Edge-Appliances von Check Point sind komplett ausgestattete,
zentral verwaltete Sicherheits-Appliances für Zweigstellen und externe
Standorte.

Best-in-class Integrated Firewall and IPS
Secure Connectivity -> VPN
Anti-malware and Messaging Security
Web Filtering
Network Access Control (NAC)
Integrated ADSL Modem
Secure Hot Spot Support
Quality–of–Service (QoS)
Centralized Management
Quick and Easy Setup
Centralized, Automatic Updates

Fehlt nur noch die NAS mit ftp

Gruß

- - - Aktualisiert - - -

achso ...

für den Zugang "Externer" könnte ich eine kleine f5-FirePass
(SSL-VPN-Zugang auf Daten -> Portale) anbieten.

 

[Cloudhopper]

das denkt man sich vielleicht aber nachdem ich auf meinem router(mit integrierter firewall) daheim mal das logging aufgedreht hab hab ich nicht schlecht gestaunt was da alles geblockt wurde an eindringversuchen...von den ganzen portscans und DOS attacken red ich garnet.

Die Frage ist wieviel davon ist Noise, was automatisierte Scans und was wirklich bedrohlich?
Fuer die ersteren beiden reicht jede Router-Firewall, bei echten Bedrohungen wirds interessant. Aber welcher Privatanschluss ist dem wirklich ausgesetzt? (Es sei denn man hat Hackerfreunde die "mal gucken wollen" wie sicher die Heimnetze im Bekanntenkreis sind. Dont ask me how I know....)

- - - Aktualisiert - - -

Ich bin persönlich kein Freund von Cloudlösungen und Google im Besonderen im geschäftlichen Bereich.
Vielleicht etwas altmodisch, aber meine und die Daten meiner Kunden möchte ich gerne bei mir auf meiner eigenen Platte haben.
[...]
Gruß
Achim

Achim auch ich komme aus der Enterprise Ecke, arbeite fuer einen der fuehrenden Enterprise IT- und Cloud-Anbieter und gebe dir folgenden Rat mit auf den Weg: Firmendaten, insbesondere Kundendaten, gehoeren auf gar keinen Fall in die Cloud. Selbst verschluesselt wuerde ich die ausschliesslich auf einer privaten Cloud (also etwa Deine NAS box) hinterlegen, nie aber in einer Public Cloud eines Anbieters irgendwo.
Du als Deutsche Firma solltest sowieso NIEMALS Daten in einer Cloud hinterlegen bei der nicht sichergestellt ist das die Daten ausschliesslich auf Servern innerhalb der EU hinterlegt werden. Stichwort EU-Datenschutzrecht.

Darueberhinaus ist die Cloud der gaenzlich falsche Platz fuer sensible Daten.
Dies ist meine persoenliche Meinung.

Solltest Du dennoch eine Public Cloud wollen, schreib mir eine PN. Ich kann dir Loesungen vom einzelen Server bis zu Rechenzentren im Peta- und Exabyte Bereich anbieten. Und die sind total toll, hab ich im Training gelernt.

 

[Running Frame]

Wenn es sich um ein kleines Firmennetzwerk handelt, dann könnte es sich auch lohnen auf eine ausbaubare Lösung zu setzen. Wenn ich lese Qnap bzw Synology Nas, externer Zugang und private Cloud, dann bietet sich so etwas wie von den Hamburger Jungs von Protonet - Der einfachste Server der Welt an. Das ist zwar keine unbedingt preiswerte Lösung aber mittelfristig kann das - je nach dem um was für Firmendaten es sich handelt - durchaus als sinnvoll erweisen und eine dezentrale Arbeitsweise ist dadurch gleich noch auf diversen Endgeräten gewährleistet

Gruß

Benedikt