|
petron
aus Kölner Peripherie
offline
OC God
17 Jahre dabei !
AMD Ryzen 7
|
     
moin moin,
Ich möchte ein privates Netzwerk einrichten. Da ich in der Materie nicht sooo bewandert bin, habe ich mir vorab ein paar Grundgedanken gemacht und hoffe auf ein feedback von euch 
Was ist sinnvoll, was ist unnötig, was ist machbar?
Brauch' man sowas überhaupt 
---------------------------------------------------------------------------------------
Hardware:
a. Netzwerk über Kabelverbindungen (auf Wlan soll möglichst verzichtet werden)
b. Vernetzung: Hausanschluss -> Modem -> Router (oder Hardwarefirewall) (opt. -> Switch) -> Server (und/oder Clients/Rechner) (od. opt. -> Switch) -> Clients/Rechner
c. Anschlüsse ca 7Stk fest über Netzwerksteckdosen. (zusätzliche Anschlüsse bis zu 8Stk sollen optional möglich sein am Hauptswitch oder einen weiteren Switch)
d. Die max Kabellänge wird voraussichtlich ~15m sein -> gibt es irgendwelche Beschränkungen bezügl. Kabellängen!? (Wenn ich mich nicht irre liegt diese bei 50m!?) Welche Kabel erforderlich (CAT5/6?)
e. Server-Hardware soll vorerst sein:
939 amd x2 3800, mit
2GB dual oder 3,5GB single auf
asrock asrock 939sli32 eSATAII mit
2-4TB Festplattenspeicher
---------------------------------------------------------------------------------------
Software:
1. Software nach Möglichkeit freeware (linux, linuxbasierende -> nach Möglichkeit mit grafischer Oberfläche?). (was genau ist samba? Gibt es andere/weitere Software/proggies/Sys)
2. Server als Datenbunker (natürlich auch für das Streamen gedacht), zentraler email-abruf, -zugriff und -speicherung (ist es möglich beispielsweise thunderbird so zu konfigurieren? oder gibt es dafür andere Software...)
3. Hardwarefirewall direkt auf Server sinnvoll/machbar? Hardwarefirewall überhaupt sinnvoll? (ip-control o.ä.?)
4. Der Server soll ggfs. nicht ständig laufen -> Server optional "aufweckbar" aus dem Netzwerk (wake on lan), optional auch "aufweckbar" aus dem i-net!? (-> wie? vpn oder "direkter Zugriff"?)
5. Zugriffe auf Daten von außen sollen natürlich verhindert werden. (kann man die Daten für das Netzwerk "isolieren" und ggfs trotzdem von außen einen sicheren Zugriff gewährleisten.)
6. Ein Zugang soll zeitlich und ip-Adressen beschränkt sein.
7. Zugriffsrechte der Clients kann man natürlich nach goodwill einschränken oder freigeben (is' klar ). Bestimmte Daten sollen/sollten beispielsweise verschlüsselt vorliegen (bspw. über TrueCrypt -> wie aufwendig ist das?).
8. Automatische Backuplösung machbar (wenn, wie?) oder eher manuell 1-2/Monat. Backup sollte ggfs. in Form von nicht angeschlossenen Platten vorliegen)
9. Sind/wären virtuelle Maschinen auf dem Server in irgendeiner Form von Vorteil (wenn es sinnvoll ist, kann man die Hardware (später) ja auch entsprechend aufstocken)
10. Ist es möglich beispielsweise auf zwei Rechnern das gleiche Game zu installieren (zB Battelfield BC2) und jeweils von jedem Rechner einzeln (also nicht gleichzeitig) online zu gehen ohne die CD/DVD einlegen zu müssen bzw. die Authentifizierung der CD/DVD zentral (bspw CD/DVD auf dem Serverlaufwerk eingelegt) abzufragen.
---------------------------------------------------------------------------------------
So, ich hoffe, dass ich alles soweit verständlich aufgeführt.
Seht es mir nach, sollte ich Dinge verwechselt haben oder nicht kennen... deshalb frag ich ja
Eine Bitte: Wenn bei den Antworten Abkürzungen verwendet werden, die für einen Laien nicht direkt erkennbar/ersichtlich sind, nach Möglichkeit evtl. ausschreiben/kurze Erklärung/Definition oder nen link einfügen.
Habe immer mal wieder ein bischen gelesen, aber die Materie ist ja recht umfangreich in Angebot und Ausführungsvarianten, als dass man es mal eben mache könnte...
Erstmal Danke fürs Durchlesen und hoffe, trotz der unterschiedlichen Themenbereiche auf ein paar (verständliche) konstruktive Antworten/Anregungen. Wahrscheinlich gibt es zu einigen Themen auch ein paar nette tutorials, die ich noch nicht gefunden habe ...
Die Geschichte lehrt die Menschen, dass die Geschichte die Menschen nichts lehrt. (Mahatma Ghandi)
|
Beiträge gesamt: 1202 | Durchschnitt: 0 Postings pro Tag
Registrierung: Aug. 2006 | Dabei seit: 6448 Tagen | Erstellt: 15:30 am 9. April 2011
|
|
razzzzia
aus Sektion 31
offline
OC God
20 Jahre dabei !
AMD Ryzen 9
|
HW
a). Kauf dir dafür erstmal ein ordentliches LSA+-Werkzeug, wenn nicht schon vorhanden. Und ein Stück altes Verlegekabel und ne Buchse zum auflegen üben (das macht man am besten 2-3x auf dem Tisch bevor man sich in die Ecke hockt, wo die Buchse hinsoll). Kabeltester macht fehlersuche nachher einfacher.
b). Router -> 16er Switch -> Server, Clients, etc.
(ich nehme ja an, das du komplett GbitLan haben willst, die Switche in den meisten Routern taugen nicht viel und können nur 100mbit)
c) Wenn Platz ist, sowas unauffällig aufzuhängen, setz dort, wo die Kabel zusammen laufen ein kleines Patchpanel. Das spart Knete gegenüber der selben Menge Dosen und ist einfacher zu belegen.
d) ab 100m wirds kritisch.
Für Gbit reicht Cat5e, da sich da preislich aber nichts macht, kauf CAT7, S/FTP. Wichtig: Verlegekabel. Nicht das Zeug zum selber konfektionieren und Stecker dranmachen.
e) wenn die Büchse nur fileservern soll, kauf dir ein Atomboard oder irgendwas ganze kleines amd-mäßiges.
der 939-Kram frisst ne ganze Menge Strom. (*1)
SW
1 Wenns nur fileservern soll, FreeNAS. Das ist bsdbasiert, wird über ein Webfrontend konfiguriert und du kannst das easy von einer compatflash o.ä. booten, d.h. eine Festplatte weniger im System.
Samba oder SMB ist der Dienst, der Dateifreigaben für Windows bereitstellt.
2 Geht, dann würde ich aber zu einem vollständigen debian raten,
Mailserver ist relativ schnell eingerichtet, allerdings ist zu beachten, das du die Kiste nicht als SMTP nutzen kannst, da Mails aus Provider-IP-Poolranges überlicherweise sofort als Spam betrachtet werden.
Da müsstest Du den Server wieder über einen Relayserver mailen lassen, wo dann zu diskutieren wäre, ob das noch sinnvoll ist.
(wenns nur um ein paar pop3-konten geht, die kannst du auch mit googlemail einsammeln und auf darauf mit imap zugreifen)
3 ist machbar, hatte ich hier bis vor kurzem so laufen.
allerdings ist dann nichts mit stromsparmodus beim server, der ist dann halt an.
sinnvoll ist eine ordentliche firewall dann, wenn man ein paar dienste nach außen offen hat. ansonsten tuts das teil was im router verbastelt wurde.
ansonsten läuft eine ordentliche fw auf einer eigenen maschine mit sonst nichts drauf. Das ließe sich in deinem Fall über eine Virtualisierung lösen, allerdings nur sinnvoll, wenn die Hardware das unterstützt. (*2)
4 Wake-On-LAN ist das richtige Stichwort, Einige Router können entsprechende Magic-Packets versenden (Fritzboxen z.B.), damit bekämest Du die Kiste auch von außen wach.
Allerdings macht das wenig Sinn, dann mehr als nur fileserver auf der Kiste laufen zu lassen.
5 Mehrere Möglichkeiten. Wie willst Du von außen zugreifen?
Erstmal geht durch das NAT des Routers nichts durch, außer du forwardest Ports.
Das einfachste danach, wenns nur um Upload/Download von Daten auf den Server geht, ist SSH nach außen freizugeben, da kannst du dann mit SCP auf Daten zugreifen.
6 Das würde ich über Nutzer abfackeln und nicht über IPs
7 Du kannst verschiedene Freigaben für verschiedene Nutzer erstellen, kein Problem. (Bsp User "Kiddies" darf nur auf den Ordner Pupsburger Augenkiste zugreifen, der Nutzer "Papa" auf ebendiesen UND den Ordner Schwedische Western)
Wie soll die das Nutzerprofil für die Verschlüsselung aussehen?
Ein Nutzer greift auf eine verschlüsselte Datei zu? Dann reicht ein Truecryptcontainer den du auf den Dateiserver schiebst und über den Client öffnest.
Wenn du ganze Verzeichnisse verschlüsseln willst, wäre dm-crypt dein Freund, allerdings erfordert ein öffnen/schließen des Cryptcontainers immer eine Nutzereingabe über die Konsole. Dafür ist das ganze dann aber für alle User vollkommen transparent. (*3)
8 Geht über Programme oder am schnellsten über einen Cronjob (wie man die schreibt, ist in ner halben Stunde gelernt). Man kann auch einrichten, eine Mail zubekommen, wenn man mal wieder die externe Platte anklemmen soll 
9 (*2)
10 Kommt auf den Kopierschutz an. Wenn da securom oder ähnliche sch****e drauf ist, nein. Wenn das Zock nur das vorhandensein der DVD prüft, würde das gehen. Da reicht dann aber auch ein Image auf dem Server und MagicISO.
-----------------------------------------------------------------------------------------
*1
Hardware:
Die 939-HW die du da hast, reicht natürlich für deine Pläne, allerdings wirst Du die Kiste nicht weit unter 100Watt bekommen.
Ein Dualcore-Atomboard und 3x 2TB 5400RPM bekommst Du mit einem guten Netzteil auf ca. 30 Watt
Das reicht aus, um ein kleines Linux draf zu betreiben, das über die drei Platten ein Software-Raid5 macht und darin eine verschlüsselte Partition liegen hat.
*2
Virtualisierung ist je nach dem was Du vorhast sinnvoll.
Wenn die Kiste Router und Firewall spielen soll, ist es sinnvoll dieses mittels virtueller Maschine zu machen, wenn kein Extrarechner dafür vorhanden ist.
Eine mögliche Lösung wäre z.b. m0n0wall.
Um sinnvoll virtualisieren zu können, muss die Hardware dies aber unterstützen, was deine 939-Büchse aber nicht kann, und der Atom auch nicht.
Da würde ich dann eher nach einer ganz kleinen AM3-CPU samt Mainboard gucken.
Eine brauchbare Virtualisierungslösung unter Linux wär z.B. KVM.
*3
Wenn du eine Containerdatei auf dem Dateiserver ablegst, reicht das vollkommen aus um da z.B. Dokumente, Passwörter, ect. reinzustecken, solange du nicht mir mehreren Rechnern simultand arauf zugreifen willst.
Dafür ist die Datei dann auch nur offen, wenn Du dran musst.
Das wär die Truecryptlösung.
Wenn Du z.B. eine Partition verschlüsseln willst um sicherzugehen, das niemand dran kommt, wenn die Kiste mal geklaut wird, ist die Partition solang geöffnet und gemounted für alle benutzbar die darauf Zugriff haben, wie jede andere Netzfreigabe auch.
Allerdings musst du z.B. nach einem Serverneustart hingehen, und die den Key eingeben und die Partition in die Freigabe mounten.
So, ich hoffe das war informativ.
(Geändert von razzzzia um 18:12 am April 9, 2011)
(Geändert von razzzzia um 19:46 am April 9, 2011)
NON EX TRANSVERSO SED DEORSUM
|
Beiträge gesamt: 8062 | Durchschnitt: 1 Postings pro Tag
Registrierung: Juli 2003 | Dabei seit: 7598 Tagen | Erstellt: 17:45 am 9. April 2011
|
|
|
|
|
|
|
|
|
|
thx 
