kompletter Netzwerkumbau - 3 Firmen - VPN - Site2Site VPN und Co

Moin zusammen,

habe „leider“ eine größere Baustelle und wollte Eure Meinungen dazu hören. Vielleicht habt Ihr ja auch ein paar Tipps um Stolpersteine zu vermeiden . Bin zwar IT´ler aber kein Netzer und habe vorher noch keinen Kontakt mit den Ubiquiti Geräten gehabt.

Das Umfeld ist wie folgt:

3 Firmen in einem Gebäude, gehen über 1 Glasfaserleitung ins Internet. Sie teilen sich auch einen Schrank mit Patchfeldern, Switchen, Telefonanalage etc. Aktuell ist es so: Glasfaser --> VPN Router mit 4 Ports --> je 1 LAN Kabel auf je einen Switch für Firma 1,2,3. zukünftig wollte ich diesen VPN Router durch die USG ersetzen.

Firma 1 (mein bester Freund) wird Netzwerkseitig inkl. Domäne Exchange usw. komplett umgebaut. Dafür habe ich unter anderem eine USG-PRO-4, KeyCloud gen2 Plus, Switch 48 - US-48 (ohne POE), 2x UAP-AC-LITE, NAS. gekauft. Alter Exchange Und Windows Server kommen weg. NAS übernimmt Filer, Backup und AD Sync zum Azure AD, Exchange geht zu Microsoft 365 in die Cloud, ca. 20 Clients vor Ort 3 in einer Niederlassung, VPN für 8 Clients notwendig, WLAN intern und für Gäste, Drucken usw natürlich auch

Firma 2 (Dienstleister) braucht nur Internetzugang, um seine Fritzbox dort anzuklemmen. Dahinter sind dann seine Clients und Datenbanken ca. 15 Clients

Firma 3 2 Clients vor Ort + 1 Niederlassung mit 2 Clients. VPN für 4 Clients notwendig.

Im Netz der Firma 2 und 3 kann ich nichts an der IT verändern, das machen eigene Admins, die aber wenig Lust auf Veränderung haben . Alle 3 Netze sollen getrennt voneinander sein, dass wollte ich per USG regeln. Firma 2 und 3 wollte ich je einen Port geben inkl. DHCP für deren Netzwerkbereich. Also quasi --> Glasfaser --> USG --> Switch 1+2+3 (einer pro Firma)

Probleme Firma 3: in einer Niederlassung steht eine Frittzbox, die aktuell eine VPN Verbindung zum VPN Router (Site2Site) des Hauptquartiers der Firmen 1,2,3 aufgebaut hat. Darüber kommen 2 Mitarbeiter der Firma 3 in das Netz von Firma 3. Kann man eine Site2Site VPN Verbindung mit der Fritzbox einrichten, wenn ja wie?

Mein Plan war es, dass über den VPN Client zu regeln. Leider darf aber auf beiden Rechnern der Neiderlassung nichts außerhalb des Core Images installiert werden. Den alten VPN Router wollte ich aber auch nicht stehen lassen (stürzt gern mal ab) oder gar ne neue Fritzbox zwischen Glasfaseranschluss und USG stellen.

Firma 2: wollte ich ebenfalls einen eigenen LAN Anschluss am Switch spendieren inkl. DHCP. Dort kommt deren Fritzbox dran, fertig. Funktioniert jetzt ähnlich via Glasfaser --> VPN Router --> Fritzbox. Hier muss auch nix via VPN rein oder so

Firma 1 wird dann alle Unifi Geräte inkl. des 48er Switch nutzen. Dort werden alle genutzten LAN Dosen drauf gepatched. Zusätzlich 2 UAP-AC-LITE für WLAN intern, also mit Zugriff auf Filer, Drucker und Co und reines Internet für Gäste ohne Zugriff auf interne Ressourcen. O365, NAS, Datensicherung, Rechner in die neue Domäne heben usw kommt dann natürlich auch noch auf mich zu.

Passt das so von den Komponenten? Oder habe ich hier einen Denkfehler und das funktioniert so nicht?

Einer der wichtigsten Fragen aktuell ist auch, kann man zuverlässig eine Fritzbox über das Internet via Site2Site mit der USG verbinden?! Oder muss ich dann doch nen VPN Router ggf. Fritzbox und doppeltes NAT einplanen?

Im Voraus vielen Dank und Sorry für den ganzen Text

Gruß Paulo

Hi BlackSpy,

danke für Deine Antwort!

Aktuell ist es nur eine 300Mbit Glasfaserleitung. Aber gut dass Du das sagst, da hatte ich gar nicht drauf geachtet.

Ich brauche 1x Site2Site zu einer AVM Fritzbox, geht das? Alle anderen sollen einen VPN Client nutzen. Ich hatte gesehen, dass das wohl ein gängiger Weg ist, über die USG einen VPN Tunnel vom z.B. Notebook zu öffnen.

Die IP ist eine feste Business IP vom Anbieter. DynDns ist also nicht notwendig.

PS: könnte ich anstelle Site2Site nicht einfach ne zweite Fritzbox nach der USG+Switch setzen, also für Firma2? Port für das Site2Site Fritz VPN müsste ich dann ja nur auf der USG an den LAN Port weiterleiten, wo die AVM hängt?

OK, danke! Dann kann ich die AVM ja weg lassen und muss mir da weiter keinen Kopf machen.

Was meinst Du zu dem Thema der separaten LAN Port, worüber dann die Site2Site laufen soll?

Moin, Danke! Gut zu wissen, wie sich die USG verhält. Da ich selbst für Firma1 VPN benötige fällt der Workaround mit der Fritzbox dann weg. Dann mache ich mich mal auf die Suche nach Infos für das Site2Site VPN mit ner AVM.

Verschiedene VPNs kann ich aber anlegen oder? Also das Firma3 via Site2Site VPN nur auf LAN Port 10 geroutet wird? VPN für Firma1 soll auf alle anderen Ports zugreifen können.

Danke BlackSpy und Samhain !!!

Dann hatte ich mir das doch leichter vorgestellt und der USG mehr zugetraut. Mir wäre auch am liebsten, wenn Firma 1 und Firma3 einen eigenen Anschluß bekommt, birgt aber politische Stolpersteine .

Die VPN Router mit VLAN Funktion Variante klingt nach einem guten Lösungsansatz.

Aktuell ist auch so, dass der VPN Router je Firma einen "WAN Port" bereitstellt und der jeweils ein Port an einen Switch pro Firma geht. Das Ding ist halt nur Uralt und überfordert.

Samhain

1. Welche Dienste nutzen die drei Firmen (gemeinsam/getrennt)?

gemeinsam:

das Internet und die lokal installierte Telefonanalagfe. Diese ist via einem ISDN Umwandler? angeschlossen.

Firma 1 und 3 VPN jeweils für Ihr eigenes Netz.

Firma 1 und 2 Drucken via Drucker mit 2 separraten Netzwerkkarten

getrennt:

lokale Netzwerk

2. Welchen Anspruch gibt es bzgl. Verfügbarkeit (insbes. Bandbreite, QoS usw.)?

Firma 1: Internet (Surfen, Mails aus O365 via lokal installiertem Client abrufen) + VPN

Firma2: Internet

Firma3: Internet + VPN

3. Du schreibst "Firma 2 möchte nur eine FB anklemmen". Wozu?

Zulieferer, der ein eigenes lokales Netz inkl. Datenbank betreibt. Also Internet -> Fritzbox -> Switch -> Rechner. Die brauchen nur Zugriff auf das Internet um "nach Haus zu telefonieren". Kein VPN etc. nötig

4. Firma 3: Welche UseCase bzgl. VPN Verbindungen gibt es? Geht es hier um einen sicheren BreakIn oder .... ?

ist der Hauptnutzer mit ~20 Usern; Internetzugang und VPN wird benötigt. Firmendaten liegen lokal im Netz . Z.B. sollen/wollen Außendienstmitarbeiter/Chefs von unterwegs via VPN auf Firmendaten zugreifen können bzw. diese im Netz des HQ zur weiteren Bearbeitung ablegen können.

Danke Samhain für Deine ausführliche Antwort. Ich muss das wohl noch ein zweites Mal lesen, um alles zuordnen zu können :). Bin wie gesagt kein Netzer.

Ich hatte heute noch einen Termin mit allen Beteiligten und das Thema angesprochen. Wenn der Provider 3x Glasfaser legen kann, wird es separate I-Net Anschlüsse geben, 1x der bestehende für Firma1 1x für Firma2 und 1x für den in Kürze zu vermietenden Anbau der nun Baulich fertiggestellt wurde.

Dann bräuchte ich doch nur meine USG 4 Pro an das Glasfaser Modem stecken. Lan1 meinen Unifi Switch Firma1 und LAN2 die Fritzbox Firma2 anstecken? Oder besser auf dem Unifi Switch ein VLAN nur mit Zugang zum Internet und da die Fritzboxx rein? Die brauchen nur einen reinen Anschluss ins Internet für Updates der Software, mehr nicht. Die Systeme werden von den Usern der Firma1 mit benutzt.

So, kurzes Update.

Danke Eurer Hinweise habe ich mit allen Parteien gesprochen und es wurde sich für die Version entschieden, dass Firma 1+2 und Firma 3 je einen eigenen I-Net Anschluss nutzen. Somit habe ich aktuell kein VPN Thema mehr und kann das USG 4 Pro als VPN Entpunkt nutzen. Wie sich rausstelle wird das doch über einen Dyndns Anbieter gemacht, aktuell.

Dann werde ich mich jetzt mal an die Konfiguration machen, mal sehen wie das läuft

Danke für Eure Hilfe!