Brauche Hilfe bei der Realisierung eines Netzwerks mit sehr spezifischen Anforderungen.

pauleckstein

pauleckstein

Aktives Mitglied
Thread Starter
Dabei seit
14.11.2011
Beiträge
925
Reaktionspunkte
139
Hallo Zusammen,
ich besitze ein kleines Homenetzwerk - mit einem NUC als Server auf dem Windows Server 2016 läuft.
Anbei das aktuelle Schema meines Netzwerks:

Netzwerk Plan aktuell-500.jpg


Was wohl dabei als erstes auffällt ist, dass meine PC Workstation noch nicht mit dem Netzwerk angeschlossen ist, und zwar aus sicherheitsrelevanten Gründen: Sensible Daten, berufliche Arbeitsumgebung etc. Doch gibt es dabei ein Problem.
Bestimmte Software (etwa Office 365) brauchen den Internetzugriff um weiterhin lauffähig zu bleiben. Ebenso will ich auf neue Update Features von Windows nicht verzichten. Weiterhin ist es mir sehr wichtig, dass ich sämtliche Daten im Netzwerk einfach hin und her schieben kann. Da sich die Workstation zur Zeit aber nicht im Netzwerk befindet, kann ich von genannten Vorteilen nicht profitieren.

Daher meine Überlegung:
(1) Die Workstation ans Netzwerk anschließen, (2) Netzwerkzugriff sowie Updates erhalten, (3) ansonsten alles andere blockieren.

Wie kann ich dies realisieren? Geht es so einfach mit den Windows Bordmitteln? Für die Updatefähigkeit ist klar, dass dafür nur bestimmte IP Adressen zugelassen werden, gleiches gilt zum Erhalt der Netzwerkfähigkeit, alle andere soll rigoros blockiert werden.

So stehe ich nun vor der Wahl zwischen zwei Schaltvarianten:

Netzwerk Plan 1 + 2-500.jpg


Die erste Variante ist einfach an den Switch geschaltet, die Zweite wird durch einen USB Ethernet Adapter am Server realisiert (Der NUC hat eben nur einen Lan Anschluss). Im Falle der zweiten Variante kann ich den vollen Netzwerkzugriff nutzen und über die Internetfreigabe am Server einzig bestimmte IPs erlauben. Bei Variante 1 weiß ich nicht, wie ich den vollen Netzwerkzugriff bekomme, ohne dass ich aus versehen wichtige interne Nerzwerk IPs blockiere. Weiterhin sehe ich in Variante 2 sicherheitstechnische Vorteile, da der ganze Verkehr erst über den NUC weitergeleitet werden muss, bei Variante 1 hingegen gibt es praktisch keine vorgeschaltete Firewall, die Daten fließen praktisch ungefiltert hin und her.

Was ist eure Meinung dazu, für jegliche Anmerkungen und Hinweise bin ich sehr dankbar. So bin ich alles andere als ein Netzwerk Nerd, dennoch bin ich bereit dazuzulernen.

Merci!
 
Einfach ne Firewall vor den Router klemmen. Entweder selbst gebaut (noch n Nuc mit pfsense) oder was fertiges (ubiquity)
 
Für gelegentlich Updates und die laufende Aktivierung von Office reichen jeden Monat 5 Minuten. Dafür würde ich eine LAN Kabel nehmen und es eben nur gelegentlich reinstecken. Simpel aber sehr sicher.
Zum freizügigen Datenverkehr fehlen Details um zu verstehen wie schnell der LAN Stecker abgenutzt sein wie :)
 
  • Gefällt mir
Reaktionen: freshmac
Hausbesetzer schrieb:
Einfach ne Firewall vor den Router klemmen. Entweder selbst gebaut (noch n Nuc mit pfsense) oder was fertiges (ubiquity)
Zum Vergrößern anklicken....

Mh, ich möchte gerne das verfügbare nutzen, und daraus das beste machen. Da einzig die Workstation ein höheres Sicherheitsniveau benötigt, wäre ich dann wohl mit Variante 2, sprich mit dem Anschluss an den Server via USB Ethernet Adapter gut bedient?
 
Faraway schrieb:
Für gelegentlich Updates und die laufende Aktivierung von Office reichen jeden Monat 5 Minuten. Dafür würde ich eine LAN Kabel nehmen und es eben nur gelegentlich reinstecken. Simpel aber sehr sicher.
Zum freizügigen Datenverkehr fehlen Details um zu verstehen wie schnell der LAN Stecker abgenutzt sein wie :)
Zum Vergrößern anklicken....

Das will ich definitiv vermeiden, ich will mich einfach auf meine Arbeit konzentrieren, und nicht darauf ob das Kabel noch dran hängt.
 
So etwas erledigt man relativ einfach via VLANs. Schau mal, ob dein Switch das unterstützt.
Ansonsten halt Variante 2.
 
Und über Variante 2 hat der PC Zugriff zum Internet wie genau?
 
@pauleckstein
Ich weis jetzt nicht was du für einen Router hast, aber bei meinem kann ich mit einem Mausklick das internet bei einem Client blocken und genau so schnell wieder zulassen. Dies nutze ich bei meinem Xpnology Nas das nicht ausversehen updates gezogen werden. Im lan ist das NAS immer verfügbar.
 
Tobich schrieb:
@pauleckstein
Ich weis jetzt nicht was du für einen Router hast, aber bei meinem kann ich mit einem Mausklick das internet bei einem Client blocken und genau so schnell wieder zulassen. Dies nutze ich bei meinem Xpnology Nas das nicht ausversehen updates gezogen werden. Im lan ist das NAS immer verfügbar.
Zum Vergrößern anklicken....

Mh, da komme ich schon an meine Grenzen. Muss mir das mit dem Client wohl genauer recherchieren, genauso wie das von @Olivetti mit dem VLAN
 
pauleckstein schrieb:
ansonsten an alle.
Bei dem Switch handelt es sich um den "Netgear Prosafe Plus GS105Ev2", siehe https://www.netgear.de/support/product/gs105ev2.aspx#docs
EDIT: Laut Datenblatt verfügt der Switch über VLAN, Zitat:
"VLAN support for traffic segmentation" @Olivetti
Zum Vergrößern anklicken....
VLAN löst aber Dein Problem hier nicht, VLAN ist dazu da, parallele Netze auf einer Leitung zu machen

pauleckstein schrieb:
Über Internet-Freigabe am NUC Server.
Zum Vergrößern anklicken....
Ist mir schon klar, aber wie funktioniertn das genau? Über Windows Server? Wie heißt denn die Funktion und was genau kann man da einstellen?
 
Olivetti schrieb:
sehr schön.

und jetzt noch obiges genau spezifizieren, wie im threadtitel angekündigt und um welches gerät es sich beim lte-router handelt.
Zum Vergrößern anklicken....


Bei dem LTE Router handelt es sich um den Vodafone GigaCube bzw. den Huawei B528s- 23a.

Mein Ziel ist es, die Workstation als vollwertigen Netzwerk Teilnehmer zu haben zwecks Datenaustausch, Druckernutzung etc, GLEICHZEITIG soll die Workstation einen eingeschränkten Zugang ins Internet haben, es sollen nur die IPs durchgelassen werden, welche für sämtliche Updates der genutzten Software auf der Workstation dienen, etwa Office 365, Windows, Eset Anti-Virus...

Ich habe mir gestern das Thema mit VLAN angeschaut und es so verstanden, dass damit mehrere separate, virtuelle Netzwerkschaltungen erstellt werden können. Doch würde es ja gleichzeitg bedeuten, dass ich damit die Netzwerk Kommunikation zwischen den teilnehmenden Rechnern im Netzwerk verliere, was natürlich nicht gewünscht ist.
 
Hausbesetzer schrieb:
VLAN löst aber Dein Problem hier nicht, VLAN ist dazu da, parallele Netze auf einer Leitung zu machen


Ist mir schon klar, aber wie funktioniertn das genau? Über Windows Server? Wie heißt denn die Funktion und was genau kann man da einstellen?
Zum Vergrößern anklicken....

Im Netzwerk- und Freigabecenter von Windows kann man doch einstellen, welche Ressourcen der NUC Server bereitstellen soll, sei es Daten- oder Druckerfreigabe, Zugriff zum lokalen Netzwerk und Internet. Ich gehe davon aus, dass es bei Windows Server nicht anders ist.
 
Frage evtl. offtopic:

Wäre eine zweite Netzwerkkarte mit getrenntem IP-Breich eine Option?
 
pauleckstein schrieb:
Im Netzwerk- und Freigabecenter von Windows kann man doch einstellen, welche Ressourcen der NUC Server bereitstellen soll, sei es Daten- oder Druckerfreigabe, Zugriff zum lokalen Netzwerk und Internet. Ich gehe davon aus, dass es bei Windows Server nicht anders ist.
Zum Vergrößern anklicken....
Dann hat der PC doch wieder Vollzugriff auf das Internet, was ja nicht erwünscht ist, oder?
Ich weiß nicht, aber irgendwie verstehe ich es nicht.

Der PC soll NUR auf Softwareupdates im Internet UND das interne Netz zugreifen, oder?
 
Hausbesetzer schrieb:
Dann hat der PC doch wieder Vollzugriff auf das Internet, was ja nicht erwünscht ist, oder?
Ich weiß nicht, aber irgendwie verstehe ich es nicht.

Der PC soll NUR auf Softwareupdates im Internet UND das interne Netz zugreifen, oder?
Zum Vergrößern anklicken....

Es geht aber darum, dass man der Workstation zwar das Internet über den NUC Server bereitstellt, aber nur in einem klar definiertem IP Bereich bzw. anhand einer Whitelist. Das sollte doch über Einstellungen an der Internetfreigabe möglich sein (hoffe ich)
 
rpoussin schrieb:
Frage evtl. offtopic:

Wäre eine zweite Netzwerkkarte mit getrenntem IP-Breich eine Option?
Zum Vergrößern anklicken....

Einen USB Netzwerkadapter habe ich ja bereits. Wo soll dieser dann hängen? An der Workstation? Sprich, das Onboard Lan der Workstation verbunden mit dem NUC Server zwecks lokalen Netzwerkzugriff + USB Netzwerkadapter direkt an den Switch, welcher sich in einen bestimmten IP Bereich bzw über eine Whitelist mit dem Internet verbindet?

Siehe das angepasste Schema:
Netzwerk Plan 2 PDF.jpg
 
Zuletzt bearbeitet:
pauleckstein schrieb:
Mein Ziel ist es, die Workstation als vollwertigen Netzwerk Teilnehmer zu haben zwecks Datenaustausch
Zum Vergrößern anklicken....
pauleckstein schrieb:
Doch würde es ja gleichzeitg bedeuten, dass ich damit die Netzwerk Kommunikation zwischen den teilnehmenden Rechnern im Netzwerk verliere, was natürlich nicht gewünscht ist.
Zum Vergrößern anklicken....
das hörte sich für mich gestern bzgl. spezifische anforderungen anders an. :p

schau im router nach, was es an möglichkeiten gibt IPs und ports zu sperren. evtl. gibt es ja sowas wie whitelisting.
mit Windows ICS kannst du AFAIR keine einzelnen ports sperren. das ist eine simple bridge, noch dazu mit herrischem DHCP.
 
  • Gefällt mir
Reaktionen: pauleckstein
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten