Hi Leute, meine nächste Frage zum VPN. Da es eine ganz andere ist, spendiere ich ihr ein neues Thema. Aktuell hat der Hauptstandort der Firma eine Störung (T-Kom-Bagger hat Vodafone-Koax zerstört). Es ist noch ein alter ADSL-Anschluss vorhanden, den wir jetzt zwischenzeitlich benutzen. Natürlich ist dann die ganze VPN-Geschichte hinfällig und nicht alle Drucker gehen (weil das T-Kom Modem ja jetzt erst mal andere IPs verteilt, scheinbar gehen manche Drucker über WINS, andere über IP-Adressen). Um da in Zukunft etwas Betriebssicherer zu sein (immerhin ein Bürostandort mit mehreren Mitarbeitern, die Ihre Arbeit zu 90% per RDP auf einem Server erledigen), haben wir uns gedacht, wir bauen einen RJ45-Umschalter ein. Dann können wir im Störungsfall sagen "Umschalten, alles neu booten, Drucker kurz vom Netz, dann gehts wieder!". Jetzt kam uns dazu folgende Idee: An den T-Kom-Anschluss ebenfalls eine moderne Fritzbox, diese ebenfalls mit Standort B verknüpfen und im LAN alle Adressen gleich zu der Kabel-Fritzbox vergeben. Nun ist die Frage: Geht das dann nur im wechselbetrieb (Sprich, es müsste immer eine der Fritzboxen an Standort A ausgeschaltet/offline sein)? Da beide Fritzboxen an Standort a ja dann das gleiche Subnetz hätten, würde die Fritzbox an Standort B ja alles zwei mal mit gleichen Einstellungen sehen. Das funktioniert so vermutlich nicht, aber weiss da vl jemand etwas definitives dazu? Andernfalls müssten wir eben komplett alternierend fahren (vl beide Fritzboxen zusammen mit den LAN-Leitungen über Wechselschalter schalten). Dank und Gruß Jens
Jens P. schrieb: > aber weiss da vl jemand etwas definitives dazu? Vergiss noch mal die einfachen FritzBoxen - die sind für zu hause gedacht nicht für Firmen. Es gibt Router die mehre WAN Schnittstellen haben, da läuft dann auch das VPN weiter. Einfach sind z.b. die LANCOM Router. Da muss auch nichts umgeschaltet werden.
bzw direkt hier... https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/3229_FRITZ-Box-als-kaskadierten-Router-einrichten/
Hallo Jens, dein Setup scheint irgendwie wenig durchdacht zu sein. Drucker über DHCP das kann man machen, dann aber mit Reservierung. DHCP über den Router geht, wo die Grenzen sind hast Du ja gerade selbst erfahren. Diese ganzen SoHo Router sind das was der Name sagt SoHo Router, für daheim toll, wenn man damit ein richtiges Netzwerk betreiben will eher ungeeignet. Was oft nicht Verstanden wird ist, das ein Heimnetzwerk und ein Unternehmensnetzwerk zwei verschiedene Dinge sind, was daheim Plug and Play ist ist in Firmen oft aufwendiger, da man andere Anforderungen erfüllen muss. Wenn man einen Server hat, dann dieser DNS und DHCP machen, das spart Verwaltungsaufwand, Ihr scheint aber keinen "richigen" Server zu haben? Man kann VPN machen, wenn man lokal und Remote das geleiche Subnetz hat, in dem man nattet. Haben beide Subnetze 192.168.1.0/24, dann kann man dem einem VPN-Router sagen, das ein Ziel im Netz 192.168.2.0/24 liegt. Auf dem zweiten Router wird alles was an 192.168.2.x an kommt auf 192.168.1.x umgechrieben. Standort A erreicht also Standort B der eigentlich auch das 192.168.1.0 Subnetz hat nun über 192.168.2.0. Diese natterei müssen die Router können, es ist wenn man es selten oder nie macht recht aufwendig zum Einrichten, beim Debugging auch nicht unbedingt einfacher. Besser ist es man macht sich einmal richtig Gedanken und setzt dann das Netz auf.
Warum hält sich eingentlich jeder an den alten Class-C Netzten fest? Packt doch alles einfach ins private Class A-Netz 10.0.0.0 - 10.255.255.255, dann braucht man auch nciht immer überall ein NAT dazwischen. https://de.wikipedia.org/wiki/Private_IP-Adresse Oder halt mal einen Schritt vorrausplanen und alles auf IPv6 machen..
Jens P. schrieb: > Um da in Zukunft etwas Betriebssicherer zu sein ...solltet ihr euch professionelle Hilfe ins Haus holen. Nimms nicht persönlich, aber man kann ein Firmennetzwerk nicht administrieren wie den heimischen Bastelrechner, das geht nach hinten los. Und nein, auch ein paar praktische Tips aus einem Forumsthread verhelfen euch nicht zu einem durchdachten und betriebssicheren Netz, dafür braucht es solides Grundlagenwissen und eine Menge praktische Erfahrung. Ich habe es schon oft genug erlebt, daß die Folgeschäden von Computer-BILD-Admins das "gesparte" Geld für externe Dienstleister um Größenordnungen übersteigen. In der Regel hängt es nämlich an allen Ecken und Enden, einschließlich der Datensicherung. Und wenn dann ein Trojaner zuschlägt, gibt es weder ein brauchbares Backup noch irgendwelche Strategien zur schnellen Wiederherstellung der Arbeitsfähigkeit. Und, wie schon erwähnt wurde, die Worte "Fritzbox" und "professionell" passen nicht zusammen.
blubb schrieb: > Warum hält sich eingentlich jeder an den alten Class-C Netzten fest? > Packt doch alles einfach ins private Class A-Netz Die privaten Class-C-Netze (ja, es gibt mehrere!) sind nicht älter als das private Class-A-Netz. Außerdem ist es im Unternehmensbereich meist nicht sinnvoll, alles in ein Subnetz zu packen. Und wenn wir schon bei "warum hält eigentlich jeder an [...] fest" sind: die Unterteilung in Klassen ist auch schon veraltetes Wissen. Heutzutage segmentiert man die Netze mit Subnetzmasken viel flexibler.
Hi, wollte nochmal kurz ein paar Worte dazu sagen. Wir haben das ganze vor wenigen Wochen übernommen und müssen uns nun auch mal orientieren, wie wir zurecht kommen. Einen Server gibt es nicht, es wird komplett bei einem Dienstleister per RDP gearbeitet. Ja, ich komme aus dem Bereich "daheim" und "Firma bis 4 Leute" und kenne mich da noch nicht so besonders aus. Wobei hier pro Standort ja auch "nur" 6 PCs sind. Dass ein Modem mit Multi-WAN hier die erste Wahl wäre ist schon klar, allerdings wurde eben letztes Jahr auf Kabel deutschland business umgestellt und jetzt ist das halt fürs erste mal so. Eine Umstellung auf fixe IP-Adressen unabhängig von DHCP wäre wohl wirklich nicht die schlechteste Idee. Das mit den 2 VPNs ist auch ein sekundäres Problem, im Havariebetrieb ist Drucken über Kreuz jetzt nicht die wichtigste Funktion und eher verzichtbar, war nur rein interessenhalber eine Idee.
Jens P. schrieb: > Eine Umstellung auf fixe IP-Adressen unabhängig von DHCP wäre wohl > wirklich nicht die schlechteste Idee. doch ist es. Es löst dein Problem nicht. Feste IPs macht man einfach nicht mehr. Wenn man feste IPs braucht, weist man den DHCP Server an, immer die gleiche zu vergeben. Das Problem ist, das man bei den einfachen Router die DHCP Parameter nicht frei setzen kann. (Gateway usw.)
Das Problem ist es, dass es sich mMn nicht lohnt, für 6 Pcs und 3 Drucker einen vom Router unabhängigen DHCP-Server laufen zu lassen. Ich kann also feste IPS vergeben, oder hänge abwechselnd das ganze Netz auf die Boxen und vergebe von dort aus die gleichen Adressen. So können wenigstens auch im Notfallbetrieb alle Drucker verwendet werden. Versteht mich nicht falsch, ich verstehe euch schon, wo es professioneller geht, die Frage ist, ob das bei dieser Größenordnung wirtschaftlich ist, oder ob wir es auch einfach so umgestalten, dass wir bei einem Ausfall im Jahr schnell manuell umschalten.
Wir haben jetzt als Vorübergehende Lösung folgendes herausgearbeitet: Ein WLAN-AP hat eh den Geist aufgegeben. Da gibt es dann einen, der auch DHCP kann. Die Fritzboxen bekommen feste IPS, DHCP macht dann der AP, mit fest hinterlegten Zuweisungen für die verkabelten Geräte und Drucker. Das VPN ist in diesen "Notsituationen" dann eher unwichtig, fällt also weg (zumindest die gleichzeitige Verknüpfung). Was ich dann für mich vorhabe, ist trotzdem auch in der DSL-Fritzbox ein VPN einzurichten, mit dem ich selbst dann von aussen auf den Access Point komme, um das Gateway im DHCP zu ändern, wenn Koax ausfällt. Dann müssen die nur noch die Clients und Drucker neu starten, und schon haben wir 3 Stunden Stress für uns /Warten für die Mitarbeiter auf 5 Minuten und einen Neustart reduziert. Da sich das Ganze auch mit vorhandener Hardware lösen lässt, ist das auch eine sehr günstige Variante.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.