Beiträge von Networker

Zitat von KJL

Zugriff vom privaten ins geschäftliche Netz realisierst du entweder über VPN/Teamviewer(oder ähnliche Anwendungen)/Freigaben in der Firewall.

VPN/Teamviewer (o.Ä.) sind die sauberste Lösung. Freigaben in der Firewall würde ich nur als absolute Notlösung sehen.

Ich hatte es bisher so verstanden, dass private und geschäftliche IT in einem Gebäude sind und sich einen Internetzugang teilen, in dem Fall braucht es dann ja kein VPN.

Für externen Zugriff bin ich ganz bei Dir. Zugriff von außen immer über VPN, Portfreigabenn für RDP oder ähnliches würde ich selbst als Notlösung nicht einrichten wollen, wenn ich nicht zusätzliche Sicherheitsebenen für das betroffene Endgerät einziehen kann.

Zitat von KJL

je nachdem wie die drauf sind spricht auch nichts dagegen den Mitarbeitern dabei über die Schulter zu schauen und die sollten dir dann auch ne saubere Dokumentation über das Netzwerk, Firewalleinstellungen etc. mitgeben.

Sollte eigentlich Standard sein, dass ein Dienstleister alles in Ruhe erklärt (und die Zeit dafür ja auch berechnen kann), aber ja, die Realität sieht leider oft anders aus. Viele ITler haben noch immer nicht verstanden, dass es, wenn man gut ist, immer genug Arbeit geben wird. Auch wenn mann nicht so tut, als sei alles komplizierteste Rakentechnik oder Geheimwissen.

Auf eine vollständige Dokumentation zum Netzwerk sollte man immer bestehen. Auch da gibt es leider immer wieder "Kollegen", die versuchen, sich über das Nicht-Aushändigen unentbehrlich zu machen.

Ich denke, es würde den Rahmen dieses Forums sprengen, Dir jetzt eine vollständige Schritt-für-Schritt-Anleitung zum Umbau Deiner gesamte Struktur zu posten.

Du solltest Dir m.M.n. die Hardware anschaffen und grundlegend einrichten. Bei Problemen hier im Forum recherchieren und bei "unlösbaren" Problemen hier konkret nachfragen.

Es kennt ja auch niemand Deine Infrastruktur und Deine Geräte etwas näher und Deinen konkreten Bedarf können wir bislang auch maximal ahnen.

Für den Weg, wie man Netze gegen einander abschirmt, aber gewisse Zugriffe dann doch wieder erlaubt, gibt es hier sehr viele Anleitungen und Threads, dasselbe für die Zuordnung von VLAN-Tags zu Switchports.

Das Ganze hat keine ganz flache Lernkurve, aber dieser Thread heißt ja sicherlich nicht umsonst "Modernisierung kleines Firmennetzwerk in Eigenregie".

Zitat von KJL

Advanced IP Scanner starten und dann erstmal Kaffee und Mittagessen kochen gehen

Aber bitte ohne Scan der Ports, ansonsten kann man vermutlich auch direkt noch Abendessen zubereiten.

Zitat von CarMagician

Dann könnte ich in der Firma ja vorerst sogar noch den bisherigen Rahmen 192.168.0.xxx nehmen, korrekt?

Ja, spricht nichts dagegen. Ganz grundsätzlich solltest Du aber in Zukunft beim Erstellen von Netzen die Bereiche 192.168.0.0, 192.168.1.0, 192.168.2.0 und 192.168.178.0 vermeiden. Dies sind Standard-Bereiche von quasi allen in Deutschland genutzen Heimroutern und sobald VPN in Spiel kommt (durchaus ja auch für Mitarbeiter interessant), gibt es Probleme, die dann von Deiner Seite kaum lösbar sind.

Zitat von CarMagician

Privat könnte ich dann schon umstellen auf eine 10.0.1.xxx/24

(VLAN2)

Dann wäre nämlich der Bereich 10.0.0.xxx/24 noch für die Firma frei.

Grundsätzlich ja. Empfehlenswert ist es aber aus planerischer Sicht nicht. Sobald Du in der Firma ein VLAN anlegst, welches dann viellecht 10.0.3.xxx ist, liegt Dein Heimnetz "dazwischen".

Technisch ist das kein Problem und wird funktionieren, aber ich denke, Du verstehst meinen Schmerz damit.

Tipp: Trenne die Netze privat und geschäftlich auch optisch deutlich. Also z.B. 10.0.0.0 und 10.77.77.0 . Dies hilft, um "Lesefehler" und daraus resultierende Verwirrtheit zu reduzieren.

Eine "schöne" Struktur für die Firma könnte z.B. so aussehen:

- Management 10.11.11.0

- Server 10.22.22.0

- Clients 10.33.33.0

- Telefone 10.44.44.0

- VPN 10.99.99.0

Sehr sinnvoll in diesem Zusammenhang auch, VLAN-Tags entsprechend passend zu vergeben, also 11, 22, 33 usw. .

Zitat von CarMagician

Wie ist das mit dem WLAN bei den U6+?

Bekommt jedes Netz / jede SSID seinen eigenen Adressbereich?

SSID 1 = VLAN 3

SSID 2 = VLAN 4

Man kann auch mehrere SSIDs einem einzigen Netz (Adressbereich) zuweisen, aber das schränkt bei der Konfiguration des Netzes ziemlich ein.

Ein WLAN ist im Prinzip immer nur die Verlängerung eines Kabelnetzes in die Luftschnittstelle, selbst wenn es kein einziges kabelgebundenes Gerät gibt.

Du legst fest, welches Deiner VLANs auch drahtlos erreichbar sein soll, legst ein neues WLAN dafür an und gibst diesem einen passenden Namen. Das ist alles - zumindest was das grundlegende Netzwerkdesign betrifft.

Dass private IT und geschäftliche IT getrennt sind, würde ich als absolutes Muss voraussetzen. Wenn eine physische Trennung nicht möglich ist, weil man sich zum Beispiel einen Internetzugang teilt, macht man es über VLANs, richtig. Im aller simpelsten Fall über eine Routerkaskade, aber das ist nicht so empfehlenswert.

Zitat von CarMagician

Deswegen hab ich die Fritzbox umgestellt auf 255.255.0.0.

Man muss nicht direkt von 256 auf 65500 Hosts erweitern. Eine Netzmaske 255.255.254.0 (/23) bietet über 500 Adressen an.

So groß wie nötig, so klein wie möglich, diesem Prinzip solltest Du folgen. Ein /16-Netz zu durchsuchen ist nämlich kein Spaß.

Zitat von anton

oder er macht einfach, wie hier in der Gruppe recht "üblich" entsprechende Vlans mit /24

Genau darauf will ich ja hinaus VLANs sind bei 192.168.0.0/16 eben nicht möglich. Zumindest nicht im Bereich 192.168... .

Zitat von CarMagician

Bei den VLANs müssen dann aber die Switche wieder alle mitspielen.....

Nicht zwingend alle, aber sicherlich alle, hinter denen viele Geräte oder noch ein weiterer Switch sitzt, ja. Ich hatte gedacht, Du würdest Deine IT jetzt einmal komplett modernisieren und auf Unifi umbauen, hatte ich dann wohl falsch verstanden, sorry.

Nicht zu segmentieren heißt aber natürlich auch, Filtermöglichkeiten (Firewall-regeln) nur pro Gerät, nicht pro Subnetz zur Verfügung zu haben. Außerdem kann man bei Unifi Geräte nur IP-Adressen in Firewall-Regeln adressieren, Du brauchst also für alle zu beschrönkenden Endgeräte feste IP-Adressen.

Ich würde mir überlegen, einmal den großen Schritt zu gehen und alles zu erneuern. Die Anschaffungskosten sind doch Betriebsausgaben, alles voll steuerlich absetzbar. Für mögliches stundenlanges Rumprobieren mit Switches verschiedener Hersteller oder generell Probleme mit der IT-Infrastruktur zahlt Dir niemand Deine Arbeitszeit oder den Verdienstausfall.

Was nicht implizieren soll, dass es mit einer rein Unifi-basierten Struktur nicht auch schon genug Probleme geben kann.

Es gibt doch überhaupt keinen Unterschied zwischen 192.168.0.1/16 und 10.0.0.1/16. Bei zweitem kann man das Netz bei Bedarf noch weiter vergrößern, aber da /16 schon 65.000 Hosts entspricht, ist diese Option für ein Netzwerk nicht relevant.

Zitat von CarMagician

Damit könnte ich ja auch meine Grüppchen machen

192.168.10.xxx = Workstations

192.168.20.xxx = Drucker

192.168.30.xxx = IP Kameras

Wenn Du dieses Schema in einem /16-Netz baust, hast Du aber keinerlei Möglichkeit, irgendwelche Firewall-Regeln zwischen Gerätegruppen zu setzen. Es ist ja alles dasselbe Netz.

So lange Du nicht mehr als ca. 150 Endgeräte des selben Typs (=kategorisiert im selben Subnetz) hast, brauchst Du keine Netzmasken größer als /24.

Ich sehe auch ehrlich gesagt keinen praktischen Anwendungsfall, in dem statische IP-Adressen auf einem iPhone oder iPad sinnvoll wären.

Endgeräte werden doch in aller Regel Adressen über DHCP beziehen, da braucht es keine Umstellung. Alle Geräte mit fest vergebenen Adressen einfach auf DHCP umstellen.

Das, was in Zukunft feste Adressen haben soll, würde ich bevorzugt auch über DHCP regeln, also über Reservierungen.

Jedes Gerät, welches DHCP (oder auch SLAAC) nutzt, ist ein Schmerz weniger bei einer Änderung im Netzwerk.

Bei LWL haben Farben eine Bedeutung, hier entspricht es der oben schon diskutierten Klassifizierung.

Bei Kupferkabeln kann man sich die Mantelfarben so zusammensuchen, wie es einem gefällt oder wie es für die Struktur sinnvoll ist. Es ist bei Kupfer wirklich ausschließlich die Optik.

Zitat von CarMagician

Schade das Ubiquiti selbst da nix hat.

Hat wohl damit zu tun, dass meines Wissens nach so etwas wie die Routerfreiheit in den USA nicht existiert. Die Leute bekommen also immer einen Zwangsrouter, hinter den sie dann anschließen können, was sie wollen. Es ergibt also keinen Sinn für Hersteller wie Ubiquiti, Router mit integrierten DSL-Modems zu bauen. Davon abgesehen wird die Mehrheit der Anschlüsse in den USA glaube ich über Koaxkabel realisiert.

Zitat von CarMagician

Die Stecker müssen dann ja an beiden Seiten LC/PC - LC/PC sein, richtig?

LC-LC, so wie das von Dir verlinkte Kabel.

Zitat von CarMagician

Kann man damit etwas kaputt machen, wenn man einfach immer die OM5 nimmt?

Nein, besser/höher geht immer. Ich würde mindestens OM4 einsetzen, die Preisersparnis für die geringeren Qualitäten lohnt sich i.d.R. nicht.

Zitat von CarMagician

Kann ich denn für den Anfang der Umstellung die Dream Machine SE hinter der Fritzbox betreiben, ja oder? Ich müsste halt DHCP usw. abschalten.

Ja, das ist grundsätzlich kein Problem, Du hast dann lediglich ein doppeltes NAT (auf IPv4). DHCP in der Fritzbox brauchst Du nicht abschalten, Du schließt ja keine weiteren Geräte als die UDM SE an ihr an.

Falls Du in irgendeiner Form vom Internet aus erreichbar sein willst (VPN z.B.) musst Du die benötigten Ports in der Fritzbox auf die SE weiterleiten. Oder die SE direkt als exposed host einstellen, das ist eine pauschale Weiterleitung von jeglichem Traffic.

Den Kommentar verstehe ich nicht. IPsec ist das VPN-Protokoll, was alle Unifi-Geräte schon immer konnten. Wireguard wurde kürzlich bei aktuellen Modellen ergänzt.

Außerdem hat mimika einen Dream Router und keine Dream Machine Pro.

Moin mtbz,

was mich bei dem Ganzen stutzig macht: Hast Du keine TAE gesetzt bekommen? Dann wäre die Installation durch die Telekom gar nicht vollständig, denn sowohl APL als auch TAE sind deren "Hoheitsgebiet" - und an den APL kannst Du ja kein Gerät anschließen.

Aggregation wirkt im Prinzip schon wie Bonding, allerdings nicht auf eine einzelne Verbindung.

Ein Download wird also trotzdem nur mit 1 Mbit/s laufen, dafür kann ein zweiter Rechner gleichzeitig nun auch mit 1 Mbit/s laden.

Grundsätzlich "ja" zu Wireguard, ist das modernere Protokoll und wenn es bei Dir läuft, solltest Du es auch bevorzugt nutzen.

Dass L2TP mit Windows oft Probleme bereitet, stimmt aber nicht. Ich nutze das seit vielen Jahren zu verschiedensten Destinationen völlig schmerzfrei; Wireguard gibt es ja noch nicht so lange.

Am Client unter Windows (ab 10) musst Du aber definitiv einen Registry-Eintrag setzen. Dann klappt es auch.

Deine Fritzbox kann lediglich L2TP, wenn sie nicht auf FritzOS 7.5 oder höher ist, daher nimmst Du natürlich auch im UDR den L2TP-Server. Dann ist es ganz wichtig, dass Du nicht versuchst, beide Boxen über dasselbe VPN-Konto zu verbinden, das kann nämlich nicht funktionieren. Ergo: Für jede FritzBox einen eigenen VPN-User.

Dann testest Du mal ganz systematisch und versuchst, von einem PC hinter einer Fritzbox den UDR über seine Dyndns-Adresse zu pingen. Wenn das klappt, versuchst Du, den VPN-Tunnel vom PC aus aufzubauen. Klappt auch dies, übernimmst Du die VPN-Daten in die FritzBox gemäß der AVM-Anleitung. Dann sollte eigentlich eine Verbindung möglich sein.

Eine öffentlich IPv4-Adresse (also kein CG-NAT) hast Du aber am Anschluss des UDR, oder?

Klar, man kann soetwas sogar auch von Ubiquiti bekommen ("Talk Telephone Adapter"). Meine Aussage war ja aber, dass es kein VoIP-Telefon gibt, welches zusätzlich Signaltrafo und Stecker-Adapter ist. So etwas hatte der OP ja gesucht, zumindest, wenn ich sein Posting richtig verstehe.

Zitat von PauloPinto

Ich nutze seit vielen Jahren das AVM Telefon. SIP Telefon hatte ich auch schon überlegt, habe aber noch nichts passendes mit z.B. einer Basis samt TAE Anschluß gefunden,

So etwas gibt es auch nicht. Telefone sind immer nur in einer Welt zu Hause, VoIP oder leitungsvermittelte Telefonie. So lange Du Geräte wie Deine Alarmanlage hast, wirst Du leider immer eine Mini-Telefonanlage à la Fritzbox brauchen, um leitungsvermittelte Geräte an Deinem VoIP-Anschluss betreiben zu können.

Ja, das sollte normalerweise schon funktionieren. Richte es doch einfach mal gemäß der Anleitung ein, die ich Dir verlinkt habe. Wenn dann Fehler auftreten, können wir ja nochmal konkret darüber sprechen.

Hallo mimika,

zunächst mal: Benötigst Du eine direkte Verbindung zwischen A->B, B->C und A->C? Ansonsten würde ich Dir eine Stern-Topologie mit dem UDR als "Zentrale" empfehlen. Richte hier den IPsec-VPN-Server ein und lass die beiden FritzBoxen sich als Client damit verbinden.

Eine Software für Konfigurationsdateien sollte es dazu nicht brauchen.