136423
Nov 14, 2018
2389
10
0
Umzug Serverhardware
Liebe Community,
Ich hätte eine kurze Frage an euch zum Thema Netzwerkaufbau.
Unsere sehr kleine Firma hat eine kleine IT-Zentrale, bestehend aus 3 Servern, einem Switch, einer kleinen DECT-Telefonzentrale und einem Cisco ASA Router.
Bisher waren die Server in unserem Büro aufgebaut. Aufgrund verschiedenster Probleme (Geräuschkulisse, Platzprobleme, etc.) müssen wir die Server nun an einen alternativen Ort bringen (fern unseres Büros).
Meine Frage wäre nun welche Möglichkeiten wir hätten unser Büro mit dem neuen Serverstandort zu verbinden.
Derzeit haben wir folgende Architektur
ISP <=> VDSL-MODEM <=> CISCO-ASA:
CISCO-ASA <=> DECT-Telefonzentrale
CISCO-ASA <=> Layer-3-Switch
Layer-3-Switch <=> Server
Layer-3-Switch <=> Clients
Nach dem Umzug würde ich dann folgende Architektur anstreben:
Main-Office:
ISP <=> DECT-Telefonzentrale (=FritzBox)
FritzBox <=> Layer-3-Switch
FritzBox <=> DECT-Telefone
Layer-3-Switch <=> Clients
Server-Standort:
ISP <=> Cisco-ASA <=> Layer-3-Switch <=> Server
Zwischen dem Cisco-ASA und der FritzBox würde ich ein Site-2-Site VPN einrichten und den kompletten Internetzugang der Clients serverseitig über den Cisco-ASA Router laufen lassen.
Macht so etwas Sinn (ich habe nicht wirklich Erfahrung mit S2S-VPN)? Mir erscheint die Lösung irgendwie unnötig kompliziert.
Die FritzBox ist sicher nicht die beste Wahl, allerdings habe wir nur 4 Clients am Standort und die Telefone laufen komplett darüber. Deshalb würde sich das wohl anbieten.
Viele Grüße,
niLuxx
Ich hätte eine kurze Frage an euch zum Thema Netzwerkaufbau.
Unsere sehr kleine Firma hat eine kleine IT-Zentrale, bestehend aus 3 Servern, einem Switch, einer kleinen DECT-Telefonzentrale und einem Cisco ASA Router.
Bisher waren die Server in unserem Büro aufgebaut. Aufgrund verschiedenster Probleme (Geräuschkulisse, Platzprobleme, etc.) müssen wir die Server nun an einen alternativen Ort bringen (fern unseres Büros).
Meine Frage wäre nun welche Möglichkeiten wir hätten unser Büro mit dem neuen Serverstandort zu verbinden.
Derzeit haben wir folgende Architektur
ISP <=> VDSL-MODEM <=> CISCO-ASA:
CISCO-ASA <=> DECT-Telefonzentrale
CISCO-ASA <=> Layer-3-Switch
Layer-3-Switch <=> Server
Layer-3-Switch <=> Clients
Nach dem Umzug würde ich dann folgende Architektur anstreben:
Main-Office:
ISP <=> DECT-Telefonzentrale (=FritzBox)
FritzBox <=> Layer-3-Switch
FritzBox <=> DECT-Telefone
Layer-3-Switch <=> Clients
Server-Standort:
ISP <=> Cisco-ASA <=> Layer-3-Switch <=> Server
Zwischen dem Cisco-ASA und der FritzBox würde ich ein Site-2-Site VPN einrichten und den kompletten Internetzugang der Clients serverseitig über den Cisco-ASA Router laufen lassen.
Macht so etwas Sinn (ich habe nicht wirklich Erfahrung mit S2S-VPN)? Mir erscheint die Lösung irgendwie unnötig kompliziert.
Die FritzBox ist sicher nicht die beste Wahl, allerdings habe wir nur 4 Clients am Standort und die Telefone laufen komplett darüber. Deshalb würde sich das wohl anbieten.
Viele Grüße,
niLuxx
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 392765
Url: https://administrator.de/contentid/392765
Printed on: April 18, 2024 at 19:04 o'clock
10 Comments
Latest comment
Moin,
die erste Frage die ihr euch stellen müsst: Was habt ihr für eine Internet-Anbindung? Denn wenn du nur nen paar mBit hast (insbesondere Upload) dann wirst du damit nicht glücklich werden. Du möchtest beim Speichern eines Office-Dokuments vermutlich nicht immer 30-60+ Sekunden warten bis du weitermachen kannst (und damit ist auch Quicksave gemeint).
die erste Frage die ihr euch stellen müsst: Was habt ihr für eine Internet-Anbindung? Denn wenn du nur nen paar mBit hast (insbesondere Upload) dann wirst du damit nicht glücklich werden. Du möchtest beim Speichern eines Office-Dokuments vermutlich nicht immer 30-60+ Sekunden warten bis du weitermachen kannst (und damit ist auch Quicksave gemeint).
Hallo Maretz,
Internetanbindung liegt bei 50 Mbit. Für unsere Zwecke bisher völlig ausreichend. Man müsste was die Datenhaltung betrifft dann wahrscheinlich etwas umplanen (lokale Datenhaltung und Synchronisation in die Zentrale außerhalb der Nutzungszeiten). Wobei ich das nicht so tolle finde
Internetanbindung liegt bei 50 Mbit. Für unsere Zwecke bisher völlig ausreichend. Man müsste was die Datenhaltung betrifft dann wahrscheinlich etwas umplanen (lokale Datenhaltung und Synchronisation in die Zentrale außerhalb der Nutzungszeiten). Wobei ich das nicht so tolle finde
Hallo,
relevant ist hier nicht nur der Download, sondern vor allem der Upload. Bisher habt ihr ja, wahrscheinlich, eine Gigabit-Verbindung zwischen Server und Clients.
Was ihr hier unbedingt beachten müsst, sind Eure Einsatzszenarien. Welche Software greift auf welche Services auf den Servern zu, gibt es da Probleme mit der Bandbreite und/oder mit der Latenz?
Wenn Ihr nur 4 Clients habt, aber 3 Server, dann werdet Ihr wohl kaum "nur" mit einer Dateiablage arbeiten, richtig?
Also daher die Frage: Welche Dienste laufen auf den Servern und werden von den Clients genutzt.
relevant ist hier nicht nur der Download, sondern vor allem der Upload. Bisher habt ihr ja, wahrscheinlich, eine Gigabit-Verbindung zwischen Server und Clients.
Was ihr hier unbedingt beachten müsst, sind Eure Einsatzszenarien. Welche Software greift auf welche Services auf den Servern zu, gibt es da Probleme mit der Bandbreite und/oder mit der Latenz?
Wenn Ihr nur 4 Clients habt, aber 3 Server, dann werdet Ihr wohl kaum "nur" mit einer Dateiablage arbeiten, richtig?
Also daher die Frage: Welche Dienste laufen auf den Servern und werden von den Clients genutzt.
Moin,
das ist ein guter Ansatzpunkt, eventuell reicht eure 50er (VDSL) dann nicht mehr aus und ihr braucht irgendwas synchrones.
Kann die FB S2S? Sonst eine zweite ASA oder irgendwas von Fortinet?
Welche Systeme setzt ihr ein?
Habt Ihr eine RDS oder setzt Ihr Virtualisierung ein?
Gruss
das ist ein guter Ansatzpunkt, eventuell reicht eure 50er (VDSL) dann nicht mehr aus und ihr braucht irgendwas synchrones.
Kann die FB S2S? Sonst eine zweite ASA oder irgendwas von Fortinet?
Welche Systeme setzt ihr ein?
Habt Ihr eine RDS oder setzt Ihr Virtualisierung ein?
Gruss
Naja - ich denke mal ihr solltet euch mal in ruhe hinsetzen und überlegen WAS ihr jetzt wollt...
Zum einen ist das mit der Bandbreite eben schon ein Spass... Du lädst dir mal eben Win-Updates runter (schnell nen paar GB) und der Laden kann nich mehr arbeiten weil die Leitung einfach zu ist...
Dann hast du jetzt die ASA / Firewall nur auf einer Seite. Das lässt 2 Möglichkeiten zu:
a) Aktuell lasst ihr eh allen Traffic von innen nach aussen zu -> dann kannst du die Firewall auch gleich ganz wegpacken, die frisst nur Strom und macht die Luft warm, einen Nutzen hat die dann nicht
b) Ihr müsstet überlegen eine ASA auch bei euch auf der Seite zu haben... Denn EURE Seite ist gefährlicher als die Server-Seite. Ein Server klickt eher selten im Internet rum oder ruft irgendwelche Seiten auf -> und die eingehenden Verbindungen würde die Fritzbox durch das NAT ja bereits weghauen...
Zum einen ist das mit der Bandbreite eben schon ein Spass... Du lädst dir mal eben Win-Updates runter (schnell nen paar GB) und der Laden kann nich mehr arbeiten weil die Leitung einfach zu ist...
Dann hast du jetzt die ASA / Firewall nur auf einer Seite. Das lässt 2 Möglichkeiten zu:
a) Aktuell lasst ihr eh allen Traffic von innen nach aussen zu -> dann kannst du die Firewall auch gleich ganz wegpacken, die frisst nur Strom und macht die Luft warm, einen Nutzen hat die dann nicht
b) Ihr müsstet überlegen eine ASA auch bei euch auf der Seite zu haben... Denn EURE Seite ist gefährlicher als die Server-Seite. Ein Server klickt eher selten im Internet rum oder ruft irgendwelche Seiten auf -> und die eingehenden Verbindungen würde die Fritzbox durch das NAT ja bereits weghauen...
SYMMETRISCH nicht synchron!
Lernt das doch endlich mal!
Heutzutage gibt es keine asynchronen Internetzugäbge mehr!
lks
Danke für eure Antworten. FritzBox sollte Site-2-Site VPN meines Wissens nach können (7490).
Die Server werden hauptsächlich benötigt für :
=> Externer Zugriff Ticketsystem => eher selten (schätzungsweise 10 Zugriffe / Stunde) und überwiegend lesend (kein Transfer von großen Files)
=> File-Uploads => sehr selten, kann für außerhalb der Nutzungszeit geplant werden
=> Interne Nutzung:
=> Domain-Controller (Verwaltung interner und externer Nutzer)
=> File-Server, für besagte Daten
=> Arbeiten an einer Datenbank => Die Last bleibt aber überwiegend System-intern; hauptsächlich über eine einzelne VPN-Verbindung und
Netzwerk-interne VNC Verbindungen
Also schätzungsweise wäre dieser Aufbau eurer Ansicht nach OK, wenn auch nicht sicher ist, ob die Verbindungsgeschwindigkeit das wirklich so mit machen würde.
Bezüglich unserer System. Wir virtualisieren und verwenden ausschließlich Linux-Systeme (Ausnahme sind die 4 Windows Clients).
Wegen der ASA. Wir bräuchten dann wahrscheinlich eine zweite. Wir haben das Ticketsystem und Fileupload in einer DMZ, die mittels ASA mit dem internen Netz verbunden sind
Liebe Grüße,
niLuxx
Die Server werden hauptsächlich benötigt für :
=> Externer Zugriff Ticketsystem => eher selten (schätzungsweise 10 Zugriffe / Stunde) und überwiegend lesend (kein Transfer von großen Files)
=> File-Uploads => sehr selten, kann für außerhalb der Nutzungszeit geplant werden
=> Interne Nutzung:
=> Domain-Controller (Verwaltung interner und externer Nutzer)
=> File-Server, für besagte Daten
=> Arbeiten an einer Datenbank => Die Last bleibt aber überwiegend System-intern; hauptsächlich über eine einzelne VPN-Verbindung und
Netzwerk-interne VNC Verbindungen
Also schätzungsweise wäre dieser Aufbau eurer Ansicht nach OK, wenn auch nicht sicher ist, ob die Verbindungsgeschwindigkeit das wirklich so mit machen würde.
Bezüglich unserer System. Wir virtualisieren und verwenden ausschließlich Linux-Systeme (Ausnahme sind die 4 Windows Clients).
Wegen der ASA. Wir bräuchten dann wahrscheinlich eine zweite. Wir haben das Ticketsystem und Fileupload in einer DMZ, die mittels ASA mit dem internen Netz verbunden sind
Liebe Grüße,
niLuxx
Moin,
Bis auf den Fileserver sollte das Ganze unkritisch sein.
Ihr solltet ggf. Tests machen, z.B. mit einem auf 10BaseT "festgetackerten" switch, ob die 10 Mbps Upload ausreichen. ggf. auf symmetrische Anbindung gehen, die aber i.d.R. mit einem deutlichen Preisaufschlag einhergeht.
Das Sie-2-Site-VPN ist unproblematisch, solange man ordentliche Hardware verwendet.
lks
PS: Ihr könntet natürlich auch einfach leisere und kleinere Server nehmen. Die müssten dann nicht umziehen.
Edit: Typos
Bis auf den Fileserver sollte das Ganze unkritisch sein.
Ihr solltet ggf. Tests machen, z.B. mit einem auf 10BaseT "festgetackerten" switch, ob die 10 Mbps Upload ausreichen. ggf. auf symmetrische Anbindung gehen, die aber i.d.R. mit einem deutlichen Preisaufschlag einhergeht.
Das Sie-2-Site-VPN ist unproblematisch, solange man ordentliche Hardware verwendet.
lks
PS: Ihr könntet natürlich auch einfach leisere und kleinere Server nehmen. Die müssten dann nicht umziehen.
Edit: Typos
PS: Ihr könntet natürluch auch einfach leisere und kleinere Server nehmen. Due müssten dann nicht umzuehen.
Das wäre auch eine Möglichkeit, aber ich glaube dann bringt mein Chef mich um 
Danke für eure Antworten. Ich hoffe mal sehr wir finden noch eine Raum-Alternative im Gebäude, aber so weiß ich zumindest was auf uns zukäme.
Beste Grüße,
niLuxx
Servus, ich würde das mit der Fritte lassen. Als Gateway ok, aber nicht zum VPN.
Ich habe den Test hinter mir. Server hinter 200MBit/s symmetrisch. Client mit Fritte hinter VDSL 100/40.
Selbst auf 3DES runtergebrochen bekam ich nicht mehr als 2-3 MB/s in den Upload zum Server. Down war maximum 7 MB/s.
Ich hab auf beiden Seiten nun auf einer VM ein OpenVPN-Server, damit bekomme ich die Leitung voll ausgelastet.
Die Fritte kann alles, aber auch nix.
Grüße, Henere
Ich habe den Test hinter mir. Server hinter 200MBit/s symmetrisch. Client mit Fritte hinter VDSL 100/40.
Selbst auf 3DES runtergebrochen bekam ich nicht mehr als 2-3 MB/s in den Upload zum Server. Down war maximum 7 MB/s.
Ich hab auf beiden Seiten nun auf einer VM ein OpenVPN-Server, damit bekomme ich die Leitung voll ausgelastet.
Die Fritte kann alles, aber auch nix.
Grüße, Henere
