2 Getrennte Netzwerke erstellen, aber wie?

nosferatu68

nosferatu68

Enthusiast
Thread Starter
Mitglied seit
08.06.2011
Beiträge
901
Ort
Oberkochen
Hallo Netzwerkprofis oder Erfahrene,

da ich noch wenig Erfahrung im Umgang mit Netzwerken habe bin ich auf eure Hilfe angewiesen. Ich möchte mir demnächst einen neuen Server (Ersatz für ein Qnap) bauen und da soll ein Board (Supermicro)
mit 2 identischen Gigabit Lan Anschlüssen rein.

Vorhandene Hardware sind ein Router Netgear RangeMax Wireless-N 600 WNDR3800, 300Mbps (MIMO) Dual Band (simultan) in Netzwerk WLAN/Funk: WLAN-Router | heise online Preisvergleich und 2 Switches Netgear ProSafe GS108, 8-Port in Netzwerk LAN/Modems: Switches | heise online Preisvergleich. Im Netzwerk sind 2 AVR's, ein Blueray Player, TV Receiver, HTPC, Drucker, Arbeitsrechner, NAS (wird ersetzt durch Eigenbau-Server)und über W-Lan ein Laptop.

Zielsetzung:
Netzwerk 1 soll eine Leitung des Servers benutzt werden für Freigaben für externe User (nur Lesend) und eine kleine Cloud für jeden externen User (Lesend und Schreibend)
Netzwerk 2 soll die 2te Leitung des Servers benutzt werden für alle Hausinternen User mit teilweise Lese-und Schreibzugriff
Die Netzwerke sollen gegeneinander abgeschottet sein, ergo vollständig voneinander getrennt

1) ist das mit der vorhandenen Hardware realisierbar oder benötige ich andere Hardware?
2) wie muss ich das ganze einrichten? ( immer dran denken, ich bin fast-Netzwerk-Laie)
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Server ist nicht Server...
Definiere mal bitte genau, was du damit meinst (OS, Hardware, Software).

Gruß

Carsten
 
Okay, Supermicro Board So.1150 + 4 Kern Xeon, 16GB od. 8GB ECC RAM, Viele viele TB geplant.
OS bin ich noch etwas am schwanken zwischen Win7 als Server, WHS2011 oder der neue 2012 R2 Standard (komm ich günstig ran)
 
Würde dir für Freigaben usw. eher den Server 2012 R2 oder 2008 R2 ans Herz legen als Win7 zu empfehlen.
Wenn du schon solch nette Hardware hast, sollte man gleich in die Vollen gehen.
 
Okay,

mit einem Server-OS machst du zunächst nicht viel falsch, vor allem da du nur DORT Routing und RAS einstellen kannst.
Die Berechtigungen setzt du aber eh Gruppen- oder Userspezifisch.
WHS kenne ich nur in der Fassung 2003, da kann ich dir nicht helfen, Win7 KÖNNTE ausreichend sein, hat aber nur eine etwas eingeschränkte Userverwaltung und routet gnadenlos alle Datenpakete von einem ins andere Netz...
Deswegen benötigst du tendenziell den Server 2012..

Gruß
 
Die HW habe ich noch nicht, aber darauf habe ich mich nach eingehender Beratung hier im Forum festgelegt. Den 2012 R2 bekomme ich kostenlos, da ein Familienmitglied gerade den Techniker macht und er an sämtliche OS so rankommt und die Serverbetriebssystem selbst nicht braucht
 
Das mit den Benutzergruppen und der Rechtevergabe kenne ich schon von meiner Qnap. Aber auf die Art und Weise bekomme ich doch keine 2 getrennten Netzwerke
 
nosferatu68 schrieb:
Die HW habe ich noch nicht, aber darauf habe ich mich nach eingehender Beratung hier im Forum festgelegt. Den 2012 R2 bekomme ich kostenlos, da ein Familienmitglied gerade den Techniker macht und er an sämtliche OS so rankommt und die Serverbetriebssystem selbst nicht braucht
Zum Vergrößern anklicken....
Na, dann sollte sich Dein Bekannter mal ganz genau informieren, ob er die ihm zur Verfügung gestellten Lizenzen überhaupt weitergeben darf und nicht auf ihn bzw. seinen Lernstatus personalisiert wurden.

Desweiteren empfiehlt es sich für Dich, wenn Du, wie Du selbst schreibst "Netzwerklaie" bist, in dem Thema erst einmal theoretische Grundlagen anzulesen. Auch ist die Vergabe von Benutzerrechten unter Serverbetriebssytemen eine andere als bei NAS-Systemen.

Ohne das stehen die Chancen ganz gut, daß Dein Server dann eher anderen zur Verfügung steht, die Du mit Sicherheit nicht als User eingeplant hast.
 
Ich habe ja noch die Ausweichsmöglichkeit auf WHS 2011. Den habe ich zuhause rumliegen und der gehört auch mir. Was für theoretische Grundlagen meinst du und wo finde ich die?
 
Die getrennten Netze bekommst du durch unterschiedliche IP´s...
Aber:
Win7 leitet alle Pakete gnadenlos von IP A zu IP B durch.
Ob der WHS das macht kann ich dir nicht sagen, der Server 2012 (ich lehne mich an den 2008er an) KANN die Pakete schon unterscheiden, Stichwort Routing und RAS !!!!!
Das alles ist aber nicht trivial, stell dir nicht vor, du klickst hier und dort und alles funktioniert wunderbar.
Entweder du bist bereit Geld und Zeit zu investieren, dann holst du dir ein paar Fachbücher zu diesem Thema und arbeitest die durch ODER du lässt das ganze bleiben (zumindest wenn dir die Daten wichtig sind...
 
Wenn es notwendig ist werde ich mir Fachbücher holen. Der WHS 2011 basiert auf dem Server 2008 R2. Natürlich möchte ich keine "ungebetenen Gäste" auf meinem Server, sondern nur die, denen ich den Zugang auch erlaube.

Was für fachbücher empfiehlst du?
 
Die Fachbücher sind recht preisintensiv. Ich denke da an die Mircrosoft Press Releases... Ich würde mal ein wenig How-To's googlen.
Musste mir vor paar Jahren auch ein wenig was anlesen.
 
Okay, dann werde ich mal googeln. Tja, Problem ist, das ich mal überhaupt nicht weiß, in was ich mich da einlesen soll geschweige denn was für mich wichtig ist zu wissen. Dazu kommen meine leider nur mittelmäßigen Englischkenntnisse. Verdammt schwierig, wenn man da so gar keine Ahnung hatt. Hiiiiillllfffeeee!!!!!
 
Zuletzt bearbeitet:
Was auch noch offiziell unterstützt wird von dem MB ist FreeBSD 9.1
 
Es ist in erster Linie kein Problem des OS, sondern des IP-Setup.
Sobald Du das hast, musst Du Dich drum kümmern wie Du den Zugriff auf dem Server-OS von der jeweiligen Seite sicherst/unterbindest...i.d.R. das Routing auf dem Server ausschalten, wie schon gesagt.

Im Prinzip sollte es so als Basis gehen:
- die öffentliche Seite des Servers (ethernet-0) gehört in eine DMZ auf Deinem Router/Firewall
- die interne Seite Deines Servers (ethernet-1) an die Heimnetz-Seite Deines Routers.
- das IP-Routing auf dem Server-OS deaktivieren...dann muss jeder Traffic zwischen den Netzen durch die Firewall des Routers (und da eben auch *nicht* durch, als default).

...richtig sicher ist das aber nicht.
Zumindest die Daten, die Usern im internen Netz gehören sind da drauf und können über die öffentliche Seite kompromiziert werden (auch wenn der Rest des internen Netzes noch sicher ist).
Wenn Du es schon auf einem Hobel machst, denke mal darüber nach einzelne Teile zu virtualsieren und nicht nur Netze sondern auch Maschinen zu trennen.
 
Da hatte ich schon drüber nachgedacht. Meine Vorstellung wäre in dem Fall Hostsystem Win7 Pro und eine virtuelle Maschine mit WHS2011. Hab hier beides "rumliegen". Über den Host sollen dann interne User bedient werden und über die VM externe. Aber vielleicht gehe ich ja auch zu "blauäugig" an die Sache ran

- - - Updated - - -

Wobei, oben wurde ja schon erwähnt, das Win 7 die Netzwerkanschlüsse nicht trennt. Holy Shit, wenn ich das mal so sagen darf. Also bietet sich ja nur eine "echte" Serverversion als Hostsystem an. Die sind aber reichlich teuer, zumindest McDoof Produkte. Und mit Linux kenn ich mich net wirklich aus, da bin ich absoluter Laie

- - - Updated - - -

Das Mainboard unterstützt folgende Betriebssysteme:

http://www.supermicro.com/support/resources/OS/C222.cfm

Lässt sich das ganze nicht mit Manged Switches und Vlan realisieren ? Die Netzwerktrennung meine ich?

- - - Updated - - -

Oder meintest du 2 Server aufbauen?
 
Zuletzt bearbeitet:
...also die Liste der "unterstützten" OS schieb erstmal beiseite....das ist in erster Linie eine Support-Frage, keine auschliessliche Frage der technischen Kompatibilität.

Der Ansatz mit den VMs ist IMHO schon OK.
Du musst halt dafür sorgen, dass Du keine ungewollte Netzkopplung direkt zwischen den VMs herstellst...alles sollte duch eine FW durch, damit Du es überwachen und dort auch
Port/Service basiert an-/abschalten kannst.
Wenn Win7 das Routing nicht abschalten kann, dan nimm zwei weitere Transfer-Netze zwischen den VMs und pack dazwischen noch eine Firewall in einer VM.
Dann ist es auf Win7 Seite egal, ob das Routing an oder aus ist.

Mit managed Switches kannst Du auf einem Kabel die Netze voneinander trennen, ja.
Aber die sind auch nicht günstig. virtuelle Switche kosten Dich nix.

Also, mal gucken:

- Auf Deinem Internet Router ne DMZ einrichten (das ist die erste Netztrennung die Du brauchst) BTW: kann Dein Router das?
- Win7 als VM, an einem VM-Switch an dem die erste Ethernet-Karte mit dran ist...die dann an den DMZ-Port anschliessen.
- interner Server (VM oder Dein echter Host, auf dem die VMs drauf sind)
VM Switch mit der zweiten ethernet Karte des Boards an den Router als Heimnetz...weitere interne VMs kannst Du hier dranhängen
- eine Firewall VM (pfsense o.ä.) mit *zwei* VM-Switches, jeweils in einem anderen Netz (auch anders als Heimnetz oder DMZ, also vier Netze insgesamt)
an einen Switch die Win7 VM, an den anderen den internen Server -> traffic zwischen Win7 und internem Sever geht nur durch diese FW (wenn die DMZ hält ;) )
-> voila.

...was Du noch lösen musst ist, wo das Storage für Owncloud liegt.
Du könntest ein iSCSI Target auf dem internen Host installieren und dieses dann in die Win7-VM als Platte einbinden
Ob eine Freigabe mit Schreibrechten da sonst der Bringer ist, weiss ich nicht.
 
Richte dir doch eine DMZ ein :)
 
Der Tipp kam schon, aber er benötigt dann dennoch ein Windows-Server OS...
 
EDIT: zu langsam.

Mit den ganzen technischen Vorschlägen hier sehe ich den Thread aber genauso ausufern wie bereits den Hardware-Thread vor einigen Wochen und ich sehe ehrlich gesagt nicht das der TE sich zwischen den Vorschlägen hier entscheiden kann.

Ich bin nach wie vor der Meinung dass ein Fertig-NAS die Ansprüche des TE am ehesten erfüllt (Linux / Firewall / Nutzer und Netze halbwegs sauber getrennt verwalten)
 
Zuletzt bearbeitet:
ja, die DMZ braucht er doch sowieso um Heimnetz und das Netz für Externe zu trennen. Aber der TE will ja auch auf Daten zugreifen können, die nicht in der DMZ liegen.
Da sollte man IMHO nicht das Netz für Externe wieder durchtunneln sondern einen weiteren Layer dazwischen packen, also ein weiteres Netz um aus DMZ zum Heimnetz zuzugreifen.
Entscheidend ist dabei, dass das OS die Netze trennt, also nicht routet....das dafür diskutierte Win7 kann das aber nicht

Edit: ...oder man macht es klassisch und nimmt ein wenig mehr Plattenplatz und kopiert die Daten von intern immer in die DMZ.
 
Zuletzt bearbeitet:
Also in meinem Router kann ich einen DMZ Standardserver definieren. Also habe ich das jetzt so richtig verstanden?

1) VM mit Windows 7 + VM Switch + Ethernet 0 an DMZ Port
2) interner Server (Host) >> welches OS auch immer
3) VM Switch + Ethernet 1 an Heimnetz
4) VM Firewall + 2 VM Switches + 2 eigenständige Netze >>> 1er Switch VM Win 7 >>> 2er Switch Hostsystem
5) iSCSI Target in VM Win7 einbinden

Wenn ich das richtig verstanden habe:

1) Wieviel RAM benötige ich denn da?
2) Was für ein Hostsystem?
3) Was für OS für die VM Switches?
4) Was für OS für die VM Firewall

Also das haut mich jetzt erstmal aus den Socken. Was für ein Aufwand für so eine Sache doch betrieben werden muss.

@RSM72 das mit dem Fertignas ist doch schon längst passe. Da brauchen wir nicht mehr anfangen zu diskutieren. Erstens habe ich schon Teile wie Gehäuse und NT hier und zweitens möchte ich ja selber bauen und die ganze Geschichte wirklich lernen und mich damit ernsthaft befassen.

@hominidae die multimediadateien sollen extern und intern freigegeben werden >> extern nur Lesezugriff und intern Schreib und Lesezugriff
 
Zuletzt bearbeitet:
Warum nicht einfach über die Subnetzmaske die 2 Netzwerke realisieren?
 
Sind diese Subnetze dann auch gegeneinander abgeschottet?
 
nosferatu68 schrieb:
Also in meinem Router kann ich einen DMZ Standardserver definieren. Also habe ich das jetzt so richtig verstanden?

1) VM mit Windows 7 + VM Switch + Ethernet 0 an DMZ Port
2) interner Server (Host) >> welches OS auch immer
3) VM Switch + Ethernet 1 an Heimnetz
4) VM Firewall + 2 VM Switches + 2 eigenständige Netze >>> 1er Switch VM Win 7 >>> 2er Switch Hostsystem
5) iSCSI Target in VM Win7 einbinden

[...]

@hominidae die multimediadateien sollen extern und intern freigegeben werden >> extern nur Lesezugriff und intern Schreib und Lesezugriff
Zum Vergrößern anklicken....

...im Prinzip ja, einfacher wäre es - und das ist der Sinn der DMZ - dass man von da eben *nicht* mehr ins Heimnetz kommt...nur vom Heimnetz in die DMZ.
Die "klassische" Variante, sozussagen. dabei werden entweder a) die Daten vom Heimnetz in die DMZ gespiegelt oder b) die Daten im Heimnetz in der DMZ über ein nicht-IP Protokoll (zb. Async messages) zugänglich gemacht.
Das ist durch die vorgebenete Transfer-Richtung bzw. den Protokoll-Wechsel einfacher aber eben auch sehr sicher.

Variante (a) kostet Dich etwas mehr Plattenplatz in der Win7-VM....dahin kannst Du vom internen NAS via FTP die Daten hinpuschen/syncen..
Aber die Firewall VM brauchst Du dann eben nicht mehr.
Annahme wäre, dass extern weniger Daten verfügbar sind als intern, sonst msst Du halt den doppelten Plattenplatz haben.
...und die Daten in der DMZ brauchen sicher kein RAID, wenn Du sie eh auf dem NAS nochmal hast....ReservePlatte im Schrank sollte reichen.

Was die Rechte angeht, solltest Du in der Win7-VM für extern andere Accounts als intern verwenden...Schreib-/Lesezugriff hin oder her ;)

Wenn ich das richtig verstanden habe:

1) Wieviel RAM benötige ich denn da?
2) Was für ein Hostsystem?
3) Was für OS für die VM Switches?
4) Was für OS für die VM Firewall

Also das haut mich jetzt erstmal aus den Socken. Was für ein Aufwand für so eine Sache doch betrieben werden muss.
Zum Vergrößern anklicken....

OK, Du solltest Dir das Ganze mal aufmalen. ;) Für den Bereich Netzwerk und für "Maschine" (ob virtuell oder nicht).
Als Host-OS sollte Dir ein Windoof Server reichen...am besten eines bei dem Hyper-V dabei ist...wird am wenigsten kompliziert sein.
Ich würde erstmal wirklich die DMZ im Router und "Datenpumpe" nach Variante (a) empfehlen...das Thema Firewall-Kopplung lassen wir mal als Zel für die Zukunft, wenn der Spieltrieb wieder einsetzt ;)
 
DMZs basieren auf Subnetzmasken, das hat 0 mit dem OS zu tun.
 
Okay verstanden! Hier ist mal eine Schemata, wie ich es mir vorstelle

Netzwerk Schemata.jpg
 
Netzwerk Schemata.jpg

Die gleichfarbig markierten Adapter müssen das selbe Subnetz Teilen (Farblich markiert). Zusätzlich muss der Server in 2 Systeme geteilt werden, die ihre eigenen Netzwerkadapter verwenden.
 
...na das sieht doch mal ganz brauchbar aus für den Anfang.
Also für die original Frage der Netztrennung solltest Du rausfinden, wie Du die DMZ und die Subnetze in Deinem Router konfigurierst.

In Deiner Zeichnung braucht der Host noch den Hypervisor (zB Hyper-V) wenn Du Windoofs-Server einsetzt.
Dann musst Du den Host bzw. die VMs mit den externen Netzwerkkarten "verbinden" und das machst Du mit je einem virtuellen Switch (sozusagen in Software, ist beim Hypervisor dabei).
Du brauchst zwei, je einen externen, mit der jeweiligen Netzwerkkarte verbunden.
Dann solltest Du an den zweiten V-Switch den Host *nicht* anschliessen, sondern den *nur* an den ersten V-Switch...für Zugang zum Router und Internet.
An den zweiten Swoitch kommt nur die VM für den externen Zugriff aus der DMZ.
Trafffic vom internen Host zur DMz-VM geht über Switch-1 zum Router in die DMZ zum VSwitch-2 an die VM.
Into zum Konzept:Hyper-V Virtual Switch Explained, Part 2 ...part-1 lesen schadet auch nix.

Anmerkung: genaugenommen brauchst Du eine Netzwerkkarte mehr, für das Management des Host-OS allein
und dann müsstest Du alle Heimnetz Dienste in eine (oder mehrere) VM legen, die an V-Switch-1 hängt.
Mit den zwei Netzwerkkarten macht Du das Management auf dem Heimnetz Interface über V-Switch-1.

- - - Updated - - -

...wie rossi94 schreibt, musst Du eigentlich zwei Server haben. Da Du dies virtualisieren willst, musst Du den DMZ V-Switch vom Management des Hosts abtrennen, wie oben schon gesagt.
Hier nochmal was zum lesen dazu: I.T. Proctology: DMZ isolation of VMs with Hyper-V
Es steht aber auch etwas versteckt in den anderen Link
 
Zuletzt bearbeitet:
Was ich noch vergessen habe zu erwähnen, das ich noch einen alten Gigabit Router rumliegen habe. Dann würde das ganze so aussehen:

Netzwerk Schemata 2.jpg
 
Anmelden, um zu antworten.

Ähnliche Themen

I
Netzwerk absichern mit VLANs
Antworten
11
Aufrufe
1K
Supaman
Supaman
Huntley
[Kaufberatung] Ausbau Netzwerk
2
Antworten
42
Aufrufe
2K
Huntley
Huntley
1
Netzwerk Setup für Neubau
Antworten
27
Aufrufe
2K
12die4
1
M
2 Router mit jeweils eigenem Internetzugang über LAN verbinden
Antworten
8
Aufrufe
489
Hexcode
H
N
Glasfaser Router gesucht mit guter VPN Performance
Antworten
6
Aufrufe
569
Nieter
N
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh