Netzwerkplanung

Hallo !

Ich habe mal eine Frage zu generellen Netzwerkplanung.
Also wie habt Ihr Euren Router, Switch, Server und die Client (über Kabel und WLAN) "verbunden".

Habt Ihr alles an einem Switch angeschlossen, oder laufen alle Anfragen erst über den Linux-Server und von dem dann aus auf den Router... usw.

In der letzten c´t habe ich gelesen, dass es sinvoll ist, unterschiedliche "IP-Kreise" (VLAN) zu verwenden, also z.b. 192.168.1.xxx
für die Client die über Kabel angeschlossen sind und dann z.b. 192.168.2.xxx für WLAN Client... usw. Was ist sinvoll und wie bekommt man das mit Linux hin, welcher "IP-Kreis" nun womit kommunizieren darf...



Schonmal ein dickes DANKE für alle Hilfen und Tipps !



Grüße
Jens

So,
also dann fangen wir mal an:
Wenn du einen Router hast, der auch eine Firewall integriert hast, dann kannst du eigentlich die Clients und den Server direkt an den Router, bzw. an den Switch hängen.

Der Server bekommt dann allerdings normalerweise eine "hohe" IP, z.B. 192.168.-X-.230

Wenn du allerdings nur über ein Modem ins Internet gehst, was am Netzwerk hängt, dann solltest du das Modem direkt mit dem Server verbinden und auf diesem eine GUTE Firewall einrichten!

Der Server muss dann zwei Netzwerkkarten haben, und auf zwei unterschiedlichen Netzen zu erreichen sein:
192.168. 1 .230 und 192.168. 2 .230

Dann kannst du ziehmlich sicher sein, dass dir nix passiert.

Mit Linux lässt sich sowas relativ leicht realisieren, da das System bereits über Pakete verfügt, was das Internetsharing ermöglicht.


bis denn!

Ich habe alle meine 4 PC's direkt am Router angeschlossen. Einer der PC's arbeitet als Proxy- und HTTP Server und alle I-Net Zugriffe laufen normaleerweise darüber. Das ist für mich am einfachsten.
Wenn Du allerdings den Client PC's aus irgendeinem Grund nicht trauen kannst, ist diese Konfiguration nicht sinnvoll, da durch eine simple Änderung in der Client Konfiguration der Proxyserver umgangen werden kann. Jeder User kann im Browser diese Einstellung ändern. Oft nutze ich selbst diese Möglichkeit, wenn ich zu faul bin aufzustehen um den Proxy im Schlafzimmer zu starten
Dakuan

Hy,

prinzipiell wie der Doc schrieb:

Das DSL-Modem immer erst über ne Firewall führen. Also entweder ein Router mit FW oder halt einen Server mit 2 Netzwerkkarten. An die interne Karte können dann Switches, WLANs etc.

Die VLAN-Lösung aus der c't habe ich gesehen. Dafür brauchste bessere Switches, die das können, und man muß sich überlegen, ob das Sinn macht für ein privates Netz, wo eh jeder alles darf.
In Firmen kann man so aber verschiedene Sicherheitsbereiche einrichten.

Bei mir im Home-Netz hängt alles über 1 Switch und ein WLAN-AP am Server, der dann zentral ins I-Net (ISDN) routet, ne FW hat und noch sonstige Dienste fürs interne Netz anbietet.
Es ist einfach wartbar und man kann die Sicherheit so hochschrauben, wie man mag (Proxy einfügen, was ich nicht gemacht hab; Mailrelay mit Spam- und Virencheck, was schon läuft; Fileservice, Printerservice, DNS- und DHCP-Server etcpp).
Nen Web-Server und ggfs. ein öffendlichen Mailserver würde ich aber an ne zusätzliche Netzwerkkarte am Server als DMZ hängen.

Grüße

PS: Ich finds gut, daß du dir vorher Gedanken machst

Hi !

Also erstmal DANKE für die Antworten...

Nun, da ich ganz gute Erfahrungen mit meinem fli4l-Router gemacht habe, soll dieser auch weiterhin im Einsatz bleiben. Der hat ja zwei Netzwerkkarten, eine zum DSL-Modem und eine zum Switch.

An dem Switsch "hängen" momentan nur 1-3 "Windows-PC" und 1-2 "Linux-PC"... der Linux-Server würde ich dann nun auch an den Switch hängen. In erster Linie soll der Linux-Server als Datei und Drucker-, sowie als Mail-Server eingesetzt werden... und da der noch eine Orinoco WLAN-Karte besitzt, als Access-Point dienen.

Was mich daher interessiert ist, soll der Kommunikation zum Internet nur über den Router erfolgen, oder erst über den Server und dann über den Router.... sprich als DNS-Server und Gateway gibt man bei den Clients den Linux-Server an, der dann wiederum mit dem Router "kommuniziert"... als wenn man quasi ein Patch-Kabel zwischen Router und Server klemmen würde und vom Server erst wieder auf den Switch.

...und ist es möglich bzw. was ist zu beachten den Server als Access-Point zu betreiben. Denn irgendwie sehe ich es nicht ein, nochmals Geld auszugeben für einen "externen" Access-Point oder WLAN-Router, wenn man quasi schon alles hat, was man braucht, jedenfalls, was wie Hardware angeht...


Grüße
Jens

Also,
wenn du nen Router hast, dann nimmt der eigentlich schon die Trennnung von Internet uind Internem Netzwerk vor. Deshalb solltest du entweder den Router direkt an das Switch oder an den Server, der dann das Internet frei gibt.

Zu W-LAN kann ich leider nix sagen, weil ich selber noch keins habe. Es könnte aber evtl. sicherer sein, für W-LAN wieder ein eigenes SUB-Net zu verwenden!

Gateway ist der Router, DNS-Server wäre auf dem Server (wenn dort eingerichtet). Sinnigerweise gleich mit beigestelltem DHCP-Server.
Gateway und Server brauchen dann feste IPs.
Samba noch drauf und das sollte laufen.
Ach ja, Mailrelay/server auch noch.
Solang der interne Server auch nur intern arbeitet und nach außen keine Dienste anbietet (Webserver, echter erreichbarer Mailserver etc.) ist das dann auch sicher und einfach zu administrieren.

Viel Spaß

Hallo !

Also erstmal nochmals DANKE für die ganzen Beiträge.
Ich habe in der Zwischenzeit auch schon ein bissen rumexperimentiert

Also mein fli4l-Router soll auf jeden Fall in Betrieb bleiben. An diesen möchte dann meinen Server anschließen, über den dann alles Zugriffe auf das Internet laufen sollen.

Was mich noch interessiert...
...ich möchte die Firewall vom Server nutzen. Muß ich dazu alles vom Router zum Server "Forwarden" und möglichst wenig vom Router "blocken" lassen. Was sollte man am Router einstellen ?

Wenn ich z.B. den IP-Kreis 192.168.1.xxx für die Clients habe, die per Kabel am Switch hängen und den IP-Kreis 192.168.2.xxx für
Clients die per WLAN sich Netz "hängen"... was genau muß oder sollte ich beim Server einstellen und wo (der an zB. die IP-Adresse 192.168.252.1 hat) damit sich alle untereinander verstehen oder nur auf gewisse Bereich zugriff haben?


Danke !