IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 24.11.2017, 01:15

Alle Zeiten sind UTC+01:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 3 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 23.10.2017, 14:47 
Offline
Rookie
Themenstarter
Rookie

Registriert: 23.10.2017
Beiträge: 1
Hi zusammen,

ich hatte IP-Cop vor sehr vielen Jahren (10+) mal privat im Einsatz und war damit höchst zufrieden. Spontan kam er mir nun in den Sinn, als wir uns zum Thema Absicherung unserer WLAN-Anbindungen zu verschiedenen Standorten Gedanken gemacht haben. Ich beschreibe einfach mal was wir vor haben; versuche das nun schon seit einigen Tagen zu durchdenken, bin aber scheinbar zu blöd dafür.

Wir haben einige Standorte (städtische Gebäude - also kommunaler Arbeitgeber), die per Richtfunk angebunden sind. Es handelt sich dabei um Technik für den Einsatz mit über die BNetzA lizenzierten Frequenzen. Da wir allerdings aus Kostengründen und aus technischen Gründen (Richtfunk kommt nicht mal eben durch Bäume durch - WLAN schon) nun an einigen Standorten mit geringem Mitarbeiteraufkommen (10-15 PC-Arbeitsplätze) auf WLAN-Technik setzen wollen und die Access-Points leider an mehreren Stellen zumindest per Leiter zugänglich sind und direkt per LAN-Kabel angeschlossen werden, möchten wir das Ganze mittels VPN absichern. Mein Problem mit dieser bis dahin einfachen Aufgabe beginnt aber dann, wenn ich an allen Standorten unsere ganzen VLANs brauche; ab da steigt mein Schädel bei der Planung irgendwie aus; ich bekomme es nicht rund.
Alle zentralen Komponenten (Switche/Router/Firewalls) befinden sich in unserem Management-Netz und müssten daher auch in den Außenstellen per VLAN 1 (untagged) mit gleichem IP-Bereich (zum Beispiel 192.168.0.0/24) eingebunden sein.
Da bei uns jeder Fachbereich sein eigenes Subnetz hat (Routing/Firewall subnetzabhängig) und an verschiedenen Standorten Mitarbeiter aus mehreren Fachbereichen tätig sind, müssen wir alle VLANs dorthin bringen (auch da wir VoIP mit einer Innovaphone-Anlage nutzen). Ein Kollege hatte das vor einiger Zeit mal mit zwei Linux-Kisten gemacht - war allerdings Frickel-Tech - und wir würden das dann jetzt gerne auf solide Füße stellen, sodass auch Kolleginnen und Kollegen ohne Linux-Kenntnisse im Fehlerfall Support leisten können (sprich sie sollen in der Lage sein am Webinterface zu prüfen ob alles ok ist und notfalls eine neue Kiste mit IP-Cop hinstellen und konfigurieren können).
Ich bin mir der Nachteile dieser Architektur bewusst - sämtliche Broadcasts für alle VLANs werden über die (nennen wir es) Funkstrecken gejagt. Da wir aber nur über einige Arbeitsplätze hauptsächlich mit Office-Anwendungen und teilweise RDP-Sitzungen zu Fachanwendungen sprechen, mache ich mir deswegen keine Sorgen; zumal der Traffic wirklich sehr überschaubar ist. Auch könnte es zu Laufzeitfehlern kommen - aber auch das kann ich mir nicht vorstellen, da wir wie oben geschrieben mal ein Frickel-Konstrukt dieser Art im Einsatz hatten und damals sogar nur über eine ADSL-Leitung 6/1MBit/s Down/Up - nun reden wir von über 200/200 MBit/s.

Meine Frage lautet daher an euch, wie wir das konfigurieren müssen. Ich müsste im Grunde ein VPN auf Basis von L2TP over IPsec einrichten oder kann ich das auch über OpenVPN?
Wie würde die IP-technische Konfiguration aussehen wenn wir mal folgende Netze als gegeben ansehen:
Management-Netz 192.168.0.0/24 (untagged - VLAN 1)
Client-Netze 192.168.50.0/24 bis 192.168.100.0/24 (tagged - VLAN 50 bis VLAN 100)
Beide IP-Cops brauchen eine Adresse im 192.168.0.0/24er Netz, damit sie für die Fernverwaltung zugänglich sind. Die Access Points sollen entweder ebenfalls in diesem Netz sein (was glaube ich nicht funktioniert) oder sie können in beliebigen Transfer-Netzen (als Beispiel 10.10.10.0/24 und weitere) sein und müssen aus der Ferne verwaltet werden können.

Den IPCop würden wir tatsächlich nur für das Routing zu den AccessPoints und das VLAN benötigen. Auf einem Raspberry PI läuft er ja meines Wissens nach nicht; welche Vorschläge hättet ihr denn dann hinsichtlich Hardware? Es sollte/müsste etwas kleineres sein (ich sag mal pauschal so bis zur Größe B/H/T 15x15x15cm).

Ich hoffe hier kann mir jemand weiterhelfen bzw. ich bin hier auch im richtigen Forenbereich (sofern man mal den letzten Absatz ausklammert :wink: ).

Grüße

Boni


Nach oben
   
BeitragVerfasst: 23.10.2017, 22:08 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 23.09.2007
Beiträge: 1036
Wohnort: an der Oder
Ich vermute mal, der IPCop wird deine VLAN-Tags wegwerfen.
Warum nehmt ihr nicht Standard-HW von Cisco zum Beispiel?

_________________
Immer mit der Ruhe, alles wird gut...

BildBildBild
Mein erster Post im Forum.


Nach oben
   
BeitragVerfasst: 24.10.2017, 09:19 
Offline
Chief Superintendent
Chief Superintendent

Registriert: 09.06.2006
Beiträge: 795
Hallo Boni,
wie jetzt ? Linux mit Frickel-Tech ? :) [alles was mehr als 2 Klicki-Bunti-Buttons hat ?]

Vergiss den IPCop (und andere ähnliche) wenn du ahnungslose Admins (??) an ein Webinterface setzen willst!
DAS wirst du selber schreiben müssen!
Alternativ: Kommandozeile -> da ist aber weider Hintergrundwissen gefragt.
Oder kaufen : dann geht nur das, was der Hersteller geplant hat!

AFIK geht entweder Broadcast ODER Routing, du kannst aber 100und mehr RW-Connections auf einem (zentralen) VPN-Server auflaufen lassen. Optimalerweise mit QoS, so daß für jeden eine Minimalrate an Bandbreite übrig bleibt.
Ob du das "fertig im Stück" irgendwo bekommst bleibt fraglich - wenn es keine "Standardlösung" ist.
Deswegen habe ich meinen Kram auch selbst konfiguriert - Schulung + Dokumentation der Kollegen, bzw. Lösunserarbeitung muß schon sein. Wird der Begriffs-/Verständnishorizont überschritten wird es als Frickeltech/Frickellösung bezeichnet ->
wie z.B. auch ein Win12 (win16) Server OHNE GUI auch ;-) von vielen .

Mit getaggten VLANs hab ichnes weniger, dafür mit Netzsegmenten [192.168.4.0/24 und 192.168.5.0/24 kann man zu 192.168.4.0/23 zusammenführen und tunneln] spart auch (Broadcast)Traffic :)
IPCop kann mit Vlans ... siehe auch Beiträge zu Telekom-Entertain hier im Forum.

Fred


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 3 Beiträge ] 

Alle Zeiten sind UTC+01:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
cron
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de