Modernisierung kleines Firmennetzwerk in Eigenregie

Es gibt 71 Antworten in diesem Thema, welches 8.177 mal aufgerufen wurde. Der letzte Beitrag () ist von CarMagician.

    Es gibt doch überhaupt keinen Unterschied zwischen 192.168.0.1/16 und 10.0.0.1/16. Bei zweitem kann man das Netz bei Bedarf noch weiter vergrößern, aber da /16 schon 65.000 Hosts entspricht, ist diese Option für ein Netzwerk nicht relevant.


    Zitat von CarMagician

    Damit könnte ich ja auch meine Grüppchen machen

    192.168.10.xxx = Workstations

    192.168.20.xxx = Drucker

    192.168.30.xxx = IP Kameras

    Wenn Du dieses Schema in einem /16-Netz baust, hast Du aber keinerlei Möglichkeit, irgendwelche Firewall-Regeln zwischen Gerätegruppen zu setzen. Es ist ja alles dasselbe Netz.


    So lange Du nicht mehr als ca. 150 Endgeräte des selben Typs (=kategorisiert im selben Subnetz) hast, brauchst Du keine Netzmasken größer als /24.

    Zitat von Networker

    Wenn Du dieses Schema in einem /16-Netz baust, hast Du aber keinerlei Möglichkeit, irgendwelche Firewall-Regeln zwischen Gerätegruppen zu setzen

    oder er macht einfach, wie hier in der Gruppe recht "üblich" entsprechende Vlans mit /24

    Bei den VLANs müssen dann aber die Switche wieder alle mitspielen.....


    Das ist ja hier das Problem, es gibt hier durchaus einen Switch (Netgear Unmanaged) an dem hängt ein Telefon (dazwischen der POE Injector), eine IP-Kamera, ein PC und ein Drucker.
    Es würde ja schon Sinn machen die Telefone und die Telefonanlage in ein VLAN zu stecken um VoIP aus dem normalen Netz raus zu haben!

    Einmal editiert, zuletzt von CarMagician ()

    Zitat von anton

    oder er macht einfach, wie hier in der Gruppe recht "üblich" entsprechende Vlans mit /24

    Genau darauf will ich ja hinaus VLANs sind bei 192.168.0.0/16 eben nicht möglich. Zumindest nicht im Bereich 192.168... .



    Zitat von CarMagician

    Bei den VLANs müssen dann aber die Switche wieder alle mitspielen.....

    Nicht zwingend alle, aber sicherlich alle, hinter denen viele Geräte oder noch ein weiterer Switch sitzt, ja. Ich hatte gedacht, Du würdest Deine IT jetzt einmal komplett modernisieren und auf Unifi umbauen, hatte ich dann wohl falsch verstanden, sorry.

    Nicht zu segmentieren heißt aber natürlich auch, Filtermöglichkeiten (Firewall-regeln) nur pro Gerät, nicht pro Subnetz zur Verfügung zu haben. Außerdem kann man bei Unifi Geräte nur IP-Adressen in Firewall-Regeln adressieren, Du brauchst also für alle zu beschrönkenden Endgeräte feste IP-Adressen.


    Ich würde mir überlegen, einmal den großen Schritt zu gehen und alles zu erneuern. Die Anschaffungskosten sind doch Betriebsausgaben, alles voll steuerlich absetzbar. Für mögliches stundenlanges Rumprobieren mit Switches verschiedener Hersteller oder generell Probleme mit der IT-Infrastruktur zahlt Dir niemand Deine Arbeitszeit oder den Verdienstausfall.

    Was nicht implizieren soll, dass es mit einer rein Unifi-basierten Struktur nicht auch schon genug Probleme geben kann. :grinning_face_with_smiling_eyes:

    Ich bin ja im Bereich von 192.168.0.1 mit 255.255.255.0 nicht mehr sooo elegant ausgekommen da ja Privat und Geschäft alles über eine Infrastruktur läuft.

    Deswegen hab ich die Fritzbox umgestellt auf 255.255.0.0.


    Die Kabel für Geschäftlich und Privat sind aber "leicht" zu trennen, da räumlich unterschiedlich.

    Würde es da nicht leichter sein, 2 VLAN mit */24 zu machen in dem erstmal Geschäft und Privat getrennt sind?


    In den U6+ muss ich dann wahrscheinlich den SSIDs VLANs zuordnen um da auch trennen zu können.

    Und dann muss ich eine Regel erstellen, damit ich vom Privaten Netz in das Geschäftsnetz komme für Updates und Kameras.

    Dass private IT und geschäftliche IT getrennt sind, würde ich als absolutes Muss voraussetzen. Wenn eine physische Trennung nicht möglich ist, weil man sich zum Beispiel einen Internetzugang teilt, macht man es über VLANs, richtig. Im aller simpelsten Fall über eine Routerkaskade, aber das ist nicht so empfehlenswert.


    Zitat von CarMagician

    Deswegen hab ich die Fritzbox umgestellt auf 255.255.0.0.

    Man muss nicht direkt von 256 auf 65500 Hosts erweitern. Eine Netzmaske 255.255.254.0 (/23) bietet über 500 Adressen an.

    So groß wie nötig, so klein wie möglich, diesem Prinzip solltest Du folgen. Ein /16-Netz zu durchsuchen ist nämlich kein Spaß. :grinning_face_with_smiling_eyes:

    Zitat von Networker

    Man muss nicht direkt von 256 auf 65500 Hosts erweitern. Eine Netzmaske 255.255.254.0 (/23) bietet über 500 Adressen an.

    So groß wie nötig, so klein wie möglich, diesem Prinzip solltest Du folgen. Ein /16-Netz zu durchsuchen ist nämlich kein Spaß. :grinning_face_with_smiling_eyes:

    Advanced IP Scanner starten und dann erstmal Kaffee und Mittagessen kochen gehen :grinning_squinting_face:

    Also,

    ich trenne Privat und Geschäftlich in unterschiedliche VLANs, dann das geht über die Ports an denen die Kabel hängen.

    In dem Thema bin ich ehrlich gesagt bis jetzt so 0 drin.

    Da ich zwei VLAN á /24 habe, habe ich ja effektiv auch Platz für ~508 Geräte, reicht auf jeden Fall.


    Dann könnte ich in der Firma ja vorerst sogar noch den bisherigen Rahmen 192.168.0.xxx nehmen, korrekt?

    (VLAN1)


    Privat könnte ich dann schon umstellen auf eine 10.0.1.xxx/24

    (VLAN2)

    Dann wäre nämlich der Bereich 10.0.0.xxx/24 noch für die Firma frei.


    Wie ist das mit dem WLAN bei den U6+?

    Bekommt jedes Netz / jede SSID seinen eigenen Adressbereich?

    SSID 1 = VLAN 3

    SSID 2 = VLAN 4

    usw.


    Und die Dream Machine "verbindet" mir dann VLAN 1 und VLAN 3 und VLAN2 und VLAN 4


    Oder bin ich da jetzt irgendwo wieder falsch abgebogen?


    Oder der "Einfachheit" halber:
    VLAN 10 = 192.168.0.xxx (vorerst, später dann 10.0.10.xxx) Firma
    VLAN 20 = 10.0.20.xxx Privat

    usw

    Einmal editiert, zuletzt von CarMagician ()

    Zitat von KJL

    Advanced IP Scanner starten und dann erstmal Kaffee und Mittagessen kochen gehen :grinning_squinting_face:

    Aber bitte ohne Scan der Ports, ansonsten kann man vermutlich auch direkt noch Abendessen zubereiten. :winking_face:



    Zitat von CarMagician

    Dann könnte ich in der Firma ja vorerst sogar noch den bisherigen Rahmen 192.168.0.xxx nehmen, korrekt?

    Ja, spricht nichts dagegen. Ganz grundsätzlich solltest Du aber in Zukunft beim Erstellen von Netzen die Bereiche 192.168.0.0, 192.168.1.0, 192.168.2.0 und 192.168.178.0 vermeiden. Dies sind Standard-Bereiche von quasi allen in Deutschland genutzen Heimroutern und sobald VPN in Spiel kommt (durchaus ja auch für Mitarbeiter interessant), gibt es Probleme, die dann von Deiner Seite kaum lösbar sind.



    Zitat von CarMagician

    Privat könnte ich dann schon umstellen auf eine 10.0.1.xxx/24

    (VLAN2)

    Dann wäre nämlich der Bereich 10.0.0.xxx/24 noch für die Firma frei.

    Grundsätzlich ja. Empfehlenswert ist es aber aus planerischer Sicht nicht. Sobald Du in der Firma ein VLAN anlegst, welches dann viellecht 10.0.3.xxx ist, liegt Dein Heimnetz "dazwischen".

    Technisch ist das kein Problem und wird funktionieren, aber ich denke, Du verstehst meinen Schmerz damit.

    Tipp: Trenne die Netze privat und geschäftlich auch optisch deutlich. Also z.B. 10.0.0.0 und 10.77.77.0 . Dies hilft, um "Lesefehler" und daraus resultierende Verwirrtheit zu reduzieren.


    Eine "schöne" Struktur für die Firma könnte z.B. so aussehen:

    - Management 10.11.11.0

    - Server 10.22.22.0

    - Clients 10.33.33.0

    - Telefone 10.44.44.0

    - VPN 10.99.99.0


    Sehr sinnvoll in diesem Zusammenhang auch, VLAN-Tags entsprechend passend zu vergeben, also 11, 22, 33 usw. .


    Zitat von CarMagician

    Wie ist das mit dem WLAN bei den U6+?

    Bekommt jedes Netz / jede SSID seinen eigenen Adressbereich?

    SSID 1 = VLAN 3

    SSID 2 = VLAN 4

    Man kann auch mehrere SSIDs einem einzigen Netz (Adressbereich) zuweisen, aber das schränkt bei der Konfiguration des Netzes ziemlich ein.

    Ein WLAN ist im Prinzip immer nur die Verlängerung eines Kabelnetzes in die Luftschnittstelle, selbst wenn es kein einziges kabelgebundenes Gerät gibt.


    Du legst fest, welches Deiner VLANs auch drahtlos erreichbar sein soll, legst ein neues WLAN dafür an und gibst diesem einen passenden Namen. Das ist alles - zumindest was das grundlegende Netzwerkdesign betrifft.

    Ja, okay, das heißt ich gebe den WLANs keine eigenen VLANs sondern ordne die einfach den festen Netzwerken zu.


    Jetzt ordne ich einem Port die private VLAN zu, denn an dem Port hängen nur private Geräte UND ein AP U6+.

    Dieser könnte ja durchaus 3 VLANs haben. Privat / Firma / Gäste.

    Die ordne ich dann diesen Port zu? Ich darf dem ja wahrscheinlich nicht nur das private VLAN zuordnen.


    Genau so die Frage wie ich denn dann auf die geschäftliche Seite zugreifen kann, zwecks Kameras und Updaten machen usw.

    Ich denke, es würde den Rahmen dieses Forums sprengen, Dir jetzt eine vollständige Schritt-für-Schritt-Anleitung zum Umbau Deiner gesamte Struktur zu posten.

    Du solltest Dir m.M.n. die Hardware anschaffen und grundlegend einrichten. Bei Problemen hier im Forum recherchieren und bei "unlösbaren" Problemen hier konkret nachfragen.

    Es kennt ja auch niemand Deine Infrastruktur und Deine Geräte etwas näher und Deinen konkreten Bedarf können wir bislang auch maximal ahnen.


    Für den Weg, wie man Netze gegen einander abschirmt, aber gewisse Zugriffe dann doch wieder erlaubt, gibt es hier sehr viele Anleitungen und Threads, dasselbe für die Zuordnung von VLAN-Tags zu Switchports.

    Das Ganze hat keine ganz flache Lernkurve, aber dieser Thread heißt ja sicherlich nicht umsonst "Modernisierung kleines Firmennetzwerk in Eigenregie". :winking_face:

    Die AP´s brauchen natürlich das Managmentnetz (dort wo dein Unificontroller werkelt) und die notwendigen VLAN´s für die SSID´s die du bereitstellen willst.


    Zugriff vom privaten ins geschäftliche Netz realisierst du entweder über VPN/Teamviewer(oder ähnliche Anwendungen)/Freigaben in der Firewall.

    VPN/Teamviewer (o.Ä.) sind die sauberste Lösung. Freigaben in der Firewall würde ich nur als absolute Notlösung sehen.


    Grundsätzlich muss ich aber sagen , ohne das jetzt böse zu meinen, du bürdest dir da momentan nen riesen Berg an Arbeit auf für die dir teilweise das Grundlagenwissen fehlt. Wenns im privaten Netz kracht, okay ist unschön aber hier kann man es evt. noch eher verkraften.

    Für den Betrieb schauts aber grundsätzlich schlecht aus wenns da kracht.

    Vielleicht lässt du dir einfach mal Angebote von verschiedenen Systemhäusern in deiner Umgebung machen die dir mal einfach das Grundkonstrukt sauber aufziehen, je nachdem wie die drauf sind spricht auch nichts dagegen den Mitarbeitern dabei über die Schulter zu schauen und die sollten dir dann auch ne saubere Dokumentation über das Netzwerk, Firewalleinstellungen etc. mitgeben.


    Auf Basis dessen kannst du dann in deinem privaten Netzwerk erstmal rumprobieren und nachher die Administration des Firmennetzes in Eigenregie betreiben.

    Zitat von KJL

    Zugriff vom privaten ins geschäftliche Netz realisierst du entweder über VPN/Teamviewer(oder ähnliche Anwendungen)/Freigaben in der Firewall.

    VPN/Teamviewer (o.Ä.) sind die sauberste Lösung. Freigaben in der Firewall würde ich nur als absolute Notlösung sehen.

    Ich hatte es bisher so verstanden, dass private und geschäftliche IT in einem Gebäude sind und sich einen Internetzugang teilen, in dem Fall braucht es dann ja kein VPN.

    Für externen Zugriff bin ich ganz bei Dir. Zugriff von außen immer über VPN, Portfreigabenn für RDP oder ähnliches würde ich selbst als Notlösung nicht einrichten wollen, wenn ich nicht zusätzliche Sicherheitsebenen für das betroffene Endgerät einziehen kann.



    Zitat von KJL

    je nachdem wie die drauf sind spricht auch nichts dagegen den Mitarbeitern dabei über die Schulter zu schauen und die sollten dir dann auch ne saubere Dokumentation über das Netzwerk, Firewalleinstellungen etc. mitgeben.

    Sollte eigentlich Standard sein, dass ein Dienstleister alles in Ruhe erklärt (und die Zeit dafür ja auch berechnen kann), aber ja, die Realität sieht leider oft anders aus. Viele ITler haben noch immer nicht verstanden, dass es, wenn man gut ist, immer genug Arbeit geben wird. Auch wenn mann nicht so tut, als sei alles komplizierteste Rakentechnik oder Geheimwissen.



    Auf eine vollständige Dokumentation zum Netzwerk sollte man immer bestehen. Auch da gibt es leider immer wieder "Kollegen", die versuchen, sich über das Nicht-Aushändigen unentbehrlich zu machen.

    Zitat von Networker

    Ich hatte es bisher so verstanden, dass private und geschäftliche IT in einem Gebäude sind und sich einen Internetzugang teilen, in dem Fall braucht es dann ja kein VPN.

    Ja habe ich auch so verstanden aber ich würde mich trotzdem nicht wohlfühlen ne dauerhafte Freigabe in der Firewall zwischen privatem und geschäftlichen Bereich zu haben.

    So bald eine Seite geknackt ist wird die andere direkt mit runter gezogen.

    Zitat von Networker

    Sollte eigentlich Standard sein, dass ein Dienstleister alles in Ruhe erklärt (und die Zeit dafür ja auch berechnen kann), aber ja, die Realität sieht leider oft anders aus. Viele ITler haben noch immer nicht verstanden, dass es, wenn man gut ist, immer genug Arbeit geben wird. Auch wenn mann nicht so tut, als sei alles komplizierteste Rakentechnik oder Geheimwissen.

    Naja ist halt immer so nen Ding wie der Chef drauf ist. Während meiner Praktikumsphase im Systemhaus ging es nur darum so viele Aufträge wie möglich abzuarbeiten da war wenig Zeit für Erklärungen.

    Bin mittlerweile in einem mittelständischen Unternehmen in der internen IT und wir geben einige Projekte natürlich auch für die Ersteinrichtung raus und haben da einen festen Mitarbeiter der nimmt sich die Zeit zum erklären, absprechen, zeigen etc. und wenns mal kracht kann ich Ihn auch am Wochenende erreichen aber das funktioniert halt nur weil sein Chef das auch zulässt.

    Zitat von Networker

    Auf eine vollständige Dokumentation zum Netzwerk sollte man immer bestehen. Auch da gibt es leider immer wieder "Kollegen", die versuchen, sich über das Nicht-Aushändigen unentbehrlich zu machen.

    Ja den Schmarn hab ich auch schon zur genüge erlebt. In meiner Systemhauszeit hat der Chef ne Arztpraxis als Kunden übernommen und weder wir als neuer Dienstleister noch die Arztpraxis selbst hat die Dokumentation bekommen mit der Begründung gehe aus DSVGO-Gründen nicht.

    War nen halbes Jahr im Praktikum da und als ich ging war der Chef immer noch mit denen am korrespondieren :grinning_squinting_face:

    Ich kann Deine Bedenken gut nachvollziehen, aber würde ein VPN-Zugriff überhaupt funktionieren, wenn alle Netze hinter demselben Router und demselben Internet-Anschluss hängen? Die theoretischen Überlegungen dazu machen mir gerade einen Knoten ins Hirn. :grinning_face_with_smiling_eyes:


    Zitat von KJL

    Während meiner Praktikumsphase im Systemhaus ging es nur darum so viele Aufträge wie möglich abzuarbeiten da war wenig Zeit für Erklärungen.

    Interessant, dabei sollte man doch meinen, dass der Gewinn bei 2 Projekten á 2 Stunden höher als bei 4 Projekten á 1 Stunde ist, aufgrund des geringeren Overheads.

    Zufriedenere und damit tendenziell langfristige Kunden erzeugt man obendrein.

    Aber mir fehlt ehrlicherweise der Einblick in Systemhaus-Strukturen und deren Kalkulation. Vielleicht ergibt das alles total Sinn und ich verstehe ihn nur nicht.


    Zitat von KJL

    mit der Begründung gehe aus DSVGO-Gründen nicht.

    Die dümmste der Standard-Ausreden also. :grinning_face_with_smiling_eyes:

    Aber klar, am Ende wird man von seinem eigenen TI-Konnektor auf einen DSGVO-Verstoß verklagt, weil man dessen IP-Adresse und Passwort dokumentiert und weitergereicht hat.


    Es ist schlicht eine Frechheit, Kunden Informationen und Zugangsdaten zu derem eigenen Netzwerk vorzuenthalten.

    So, die Geräte sind da, da habe ich mir gedacht mache ich doch mal einen schnellen Test.

    Alle Geräte aufgebaut, erstmal nur ein Standardnetz 192.168.0.0/22


    Wenn ich alle Geräte im 48er habe geht die CPU Auslastung von 60% auf 80% auf 100% und dann ist Ende.

    Kein Pingen der Dream Machine mehr möglich nichts geht mehr.

    Ich konnte das ganze auf zwei RJ45 Kabel eingrenzen, leider kann ich so nicht ausmachen wo hin die Kabel gehen.


    Der Großteil des Firmennetzwerks ist wegen dem Wochenende natürlich runtergefahren, aber mich würde interessieren, was da sein könnte?

    Warum geht die CPU Auslastung dermaßen in die Höhe bis der Port aussteigt?

    Wohlgemerkt der 48er ist nicht einmal zur Hälfte belegt, vorher mit den alten Switchen lief es ja auch.


    Im Internet haben ich gelesen das 60% wohl der normale Zustand wären, das ist ja auch okay,

    Oder hab ich da was vergessen einzustellen?!


    Welches der beiden Geräte betrifft es denn überhaupt?


    Klingt nach einem Loop oder einem Gerät, welches floodet. RSTP ist aktiv?


    Dass "60% der normale Zustand" sind, halte ich für ein Gerücht. Wenn kein Gerät im Netzwerk Traffic erzeugt, warum sollte dann ein Switch oder ein Router derart beschäftigt sein?

    Zitat von CarMagician

    Im Internet haben ich gelesen das 60% wohl der normale Zustand wären, das ist ja auch okay

    Bei mir läuft neben Network noch Protect, Access und UID, paar Clients online und streamen, Und bin deutlich unter 50% Average Load

    Moin, habe das ganze ja wie gesagt probehalber aufgebaut, damit ich schnell wieder zurück kann.

    Man will ja doch ein bisschen spielen und mal schauen.


    Hab das ganze erstmal ohne VLANs aufgezogen und bin von der 255.255.0.0 weg, ihr habt ja Recht! Viel zu viele Möglichkeiten.

    Hab mir erstmal gedacht zum testen ist 255.255.248.0 im Rahmen.


    Es geht genauer um den "USW-Pro-48".

    Diesen habe ich ber Lichtleiter über SFP+ an meiner Dream Machine, nur die Telefonanlage um mein PC gehen direkt an die Dream Machine, der Rest geht auf den Switch.

    Ein paar Geräte laufen ja immer, Drucker, die IP-Telefone die zur TK-Anlage wollen. Damit habe ich jetzt einen guten Load auf dem Switch.


    Habe auch mal alle PCs hochgefahren, auf dem Server Daten verschoben, telefoniert und gedruckt.

    Der CPU Load geht nicht über 61%.


    Möchte nochmal anmerken, weil es vielleicht falsch angekommen ist.

    Ich rede von der CPU Load vom Switch, der CPU Load der Dream Machine geht kaum mal über 20%, auch nicht wenn der Switch abschmiert.


    Schließe ich nun dieses eine Kabel an, das zu einem unmanaged Switch (Netgear Gigabit) geht schießt der Load erst auf 70% dann auf 100% und der Switch stellt den Dienst ein.

    Am besagten Switch habe ich alle Kabel abgezogen, nur den Uplink vom USW48 dran gelassen und Kabel für Kabel wieder angeschlossen bis es wieder passiert ist.

    Dieses Kabel muss ich jetzt mal verfolgen, irgendwas macht da wohl mächtig Ärger.


    RSTP ist aktiv.


    Ich glaube an dem Kabel hängen nur zwei IP-Kameras und 2 Netgear Orbis, aber da muss ich gleich mal auf die Leiter.


    Ps: Schon verrückt was neue Technik ausmacht, wir hatten vorher eine Leitung von der Fritzbox über einen älteren Switch, der aber nach Aufschrift Gigabit haben sollte direkt zu einem PC in der Werkstatt.

    Die Leistung war nie schlecht. Wir haben eine 150er Leitung von der Telekom, 140 kommen an. Ich kam an dem PC aber nie über 80 Mbit im Downloadtest. Vorhin beim versuch hatte ich tatsächlich 140 Mbit.


    Schönen Sonntag!

    Zitat von CarMagician

    255.255.248.0

    Hast du so viele Geräte in einem VLAN, dass du unbedingt die großen Subnetze brauchst ? Sonst hast du eher nach als vorteile dadurch