Best-Practice Einrichtung: WLAN, VPN etc.

Dieses Thema im Forum "Bintec" wurde erstellt von Iduiga, 1. April 2020.

Schlagworte:
  1. Iduiga

    Iduiga Aufsteiger

    Registriert seit:
    2. April 2013
    Beiträge:
    41
    Punkte für Erfolge:
    6
    Hallo Bintec-Nutzer,

    ich richte gerade mal wieder einen Bintec-Router ein und dabei kam mir die Idee, sich mal über die unterschiedlichen Arten der Einrichtung auszutauschen.

    Wie realisiert Ihr WLAN, VPN & Co - vermutlich über separate Netze oder aber alles im gleichen Netz mit Nutzung des vorhandenen DHCP etc.?
    Quasi eine Art "Best practice" Sammlung.

    Welche Vor- und Nachteile habt ihr dabei erfahren?

    Mir gehts hierbei weniger um den Austausch der Konfigurationsdetails sondern mehr um Erfahrungsaustausch im Allgemeinen.

    Ich lege einmal vor aus dem aktuellen:
    - Im aktuellen Gerät (relativ alte Konfiguration) wurde alles innerhalb des vorhandenen Netzes abgebildet weil es nur eine recht kleine Umgebung war. Da diese wächst soll dies nun zunehmen getrennt werden.
    Aktuell befindet sich quasi LAN, WLAN und VPN alles im gleichen Netz - die vergebenen IPs bei LAN und WLAN stammen von einem vorhandenen Windows-Server, genau wie die Namensauflösung ebenfalls. Das VPN greift auf ein kleines DHCP-Segment im gleichen Netz aber gesteuert vom Bintec-Router zurück. Klappt soweit auch problemlos, Zugriff lässt sich natürlich nur bedingt einschränken. Es gibt bspw. ein LAN2LAN-VPN und 2 Einwahl-VPN. Hier lässt sich aufgrund der nicht vorhandenen Trennung nicht so einfach sagen, dass über eines der Einwahl-VPNs die Nutzer nicht in das LAN2LAN-VPN kommen sollen usw.

    Freu mich auf eure kurzen Beschreibungen, Ideen, Anmerkungen, Hinweise oder was auch immer konstruktives.


    Vielen Dank &
    VIele Grüße
     
  2. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.372
    Punkte für Erfolge:
    160
    Hi,

    für eine ordentliche Netzwerkseparierung spricht auch, dass der Netzwerkverkehr besser priorisiert werden kann. Zusammen mit einer Trennung auf Layer 2 (VLANs) in kleinere Broadcast-Domänen fliessen die Netzwerkpakete dann sehr viel effizienter.

    Übertreiben darf man es mit der Segmentierung aber auch nicht: Der Netzwerkverkehr zwischen IP-Netzen muss geroutet werden. Wenn also ein Client auf ein NAS-System in einem anderen IP-Subnetz mit Wirespeed zugreifen will, dann muss der Router 100MB/s routen, was mit Traffic-Shaping und einem Sack voller Firewall-Regeln gar nicht so selbstverständlich ist.

    Noch viel aufwändiger ist aber NATten: Wenn der Router kein Hardware-NAT besitzt (oder es abgeschaltet wird, da der Netzwerkverkehr gefiltert wird), dann muss schon ein ziemlich großes Router-Kaliber zum Einsatz kommen, damit z.B. Gigabit Zugänge ohne Performance-Einschränkungen genutzt werden können.

    VG