Frage zu home-Server

[Duff]

Hallo,

ich habe nochmal eine Frage zum Betrieb/Aufbau meines "home-"Servers.

Und zwar habe ich einen Server mit 2 Netzwerkkarten. Bisher habe ich es so eingerichtet.

DSL-Anschluss -> Fritzbox -> Switch -> Server
-> Clients

Oder baue ich dass Ganze besser so auf?

DSL-Anschluss -> Server als Gateway eth0 -> LAN
eth1 bzw. pppoe -> Internet

Danke.

[pluvo]

Wenn auf deinem Server wichtige Dienste, wie z.B. ein Dateiserver oder ähnliches läuft, solltest du lieber bei der Methode mit der Fritz!Box bleiben. Das erhöht die Sicherheit.

[Flex6]

nimm die Erste, die Cleints können ja an den Switch und server feste IP in der Fritzbox zuweisen

[Duff]

Ja, so habe ich es im Moment auch eingerichtet. Die Fritzbox hat die IP-Adresse 192.168.1.1, die Clients eine feste im 192.168.1.0-Netz und der Server hat die feste IP-Adresse 192.168.1.90.
Sollte ich jetzt noch die Verbindung von der Fritzbox zum Server (eine der beiden NICs) ändern?

Also z.B. so:

DSL -> fritzbox 192.168.2.1 -> Server (eth0) 192.168.2.10 <-> Server (eth1) 192.168.1.1 -> Clients

So müsste ich an den Einstellungen der Clients nichts ändern, da diese als Gateway den Server haben und dieser dann die Anfragen als "Gateway" weiterrouten müsste an die Fritzbox.
Ist dies Sinnvoll?

Oder wäre dies auch sinnvoll, wenn ich im 192.168.1.0 Netz bleiben würde und die Clients trotzdem über den Server müssten, um ins Internet zu kommen. Wäre dies ein weiterer Sicherheitsaspekt und vielleicht auch performance? Könnte nämlich zusätzlich noch einen Proxy auf dem Server einrichten.

[Flex6]

Ich hab bei mir die Clients am switch,
router
\
switch---->Server
\----client 1
\--client 2


getrennt alles und alle haben feste ip, wobei ja der Router wie auch Fritzbox eh schon Kombi Router/Switch sind und so auch die ports am Router ordentlich genutzt werden

[Duff]

Ok, so habe ich es aus:

DSL -> Fritzbox -> Switch --> Server
--> Clients

Da ich aber am Server 2 NICs habe, könnte ich es doch so einstellen, dass die Clients immer über den Server müssen, um ins Internet zu gelangen.

Ist dies sinnvoll?

[Flex6]

gute frage, man brauch ein Switch mehr bei mehr als ein Client und so alles über switch ist es unabhängiger, wenn mal am Server was zu machen ist oder auch ausfällt muß man dann eh umstöpseln um die Client/s ins Netz z bringen. Vorteil bei deiner Variante wäre z.B 2Firewall oder andere Schutzmechanismen und mehr nicht, Geschwindigkeitsvorteile etc. bringt es nicht eher gegenteil..mehr Konfigurationsaufwand.

Ist auch etwas Ideologie wie und was

[Duff]

Also hängt bei mir auch alles am Switch. Aber trotzdem könnte ich ja verschiedene Netze einrichten.

[guido17]

Hi,

es sollte erst mal definiert werden, was der Server denn "servieren" soll.......
und wie euer Netz aussehen soll (verschiedene Subnets, Vlan oder soll der Server doch routen,
dann braucht ihr aber die Fritzbox ned als Router.

Gruß Guido

[Duff]

Die Fritzbox ist da und dient auf jeden Fall als DSL-Modem. Zusätzlich fungiert diese zur Zeit auch als Router, über den die Clients ins Internet gelangen.

Nun soll noch ein Server in dieses Netzwerk integriert werden, der vorallem zum Speichern der Daten dienen soll. Auf dem Server wird samba eingerichtet und damit wird wohl sehr wahrscheinlich auch eine domäne aufgesetzt, wo sich die Clients dann am Server anmelden können, ihr persönliches Laufwerk sowie weitere freigaben zugeteilt bekommen.

Weiterhin läuft ein nfs-Server für die dboxen im Netzwerk, damit diese z.B. Filme aufnehmen und abspielen können.
Später soll noch ein Mailserver und vpn-Zugang eingerichtet werden.

Zugang per ssh übers Internet zum Server funktioniert auch. Dazu ist ein Forwarding auf der fritzbox eingerichtet.

[pluvo]

Später soll noch ein Mailserver und vpn-Zugang eingerichtet werden.

Zugang per ssh übers Internet zum Server funktioniert auch. Dazu ist ein Forwarding auf der fritzbox eingerichtet.

Hast du dich schon mal mit einer DMZ beschäftigt?
http://de.wikipedia.org/wiki/Demilitarized_Zone

Meine Meinung: Ein Dateiserver (Samba & NFS) sollte im LAN stehen. Aber ein VPN-Server (mehr Informationen bitte...) und ein Mail-Server würde ich nicht im LAN haben wollen.

Was genau machst du mit ssh? Ich hoffe du hast wenigstens den Standardport 22 auf z.B. 222 geändert.

[Duff]

Eine DMZ wäre natürlich schön, aber ich habe und möchte nicht noch einen weiteren Rechner 24*7 Stunden laufen haben.

Mit vpn-Server möchte ich es ermöglichen, dass man sich mit einem vpn-Client ins Netz von Außen (übers Internet) einwählen kann.

SSH benötige ich zur Zeit um den Server zu konfigurieren und zu warten. Ich habe auf der fritzbox dyndns laufen und leite dort eine Anfrage auf Port 65xxx auf die IP-Adresse des Servers (dort aber wieder Port 22) weiter.

Werde auch noch ein entsprechendes iptables-Skript verfassen und in /etc/init.d/ niederlegen (+ die entsprechenden Runlevel).

[Duff]

So, ich habe nun mal versucht, dass ganze ein wenig grafisch zu erläutern.

Grafik 1 ist mein Netzwerk, so wie ich es zur Zeit aufgebaut habe.


Grafik 2 ist eine Änderung in Bezug auf die Kommunikation zwischen Router(fritzbox) und Server(debian). Dann müsste der Server auf jeden Fall auch als Gateway dienen, damit die Clients dann über den Server ins Internet gelangen.



Nun zu meinen Fragen:


1.) Ist es sinnvoll (egal ob mit unterschiedlichen Netzen oder gleichen), dass die Clients immer über den Server gehen müssen, um ins Internet zu gelangen. Dass also der Server auch als Gateway konfiguriert wird?

2.) Ist es sinnvoller, dass der Server über eth0 nur eine Verbindung mit dem Internet aufbauen darf. Zum Einen für die SSH-Freigabe von Aussen und zum Anderen für die Installation von Packages und Updates über apt. Ich würde dann nur die entsprechenden Freigaben für iptables auf eth0 erstellen.
Das Interface eth1 wäre dann nur für die Kommunikation der Clients und dboxen gedacht. Dort würde ich per iptables nur die erforderlichen Ports freischalten (samba, nfs, etc.).

3.) In Bezug auf Punkt 1.): Sollte ich noch einen Proxy auf dem Server installieren, damit die Bandbreite von nur 2 GBit/s besser genutzt werden können?

4.) Gibt es noch weitere, andere Vorschläge?


Möchte auf jeden Fall möglichst sinnvoll die beiden NICs vom Server nutzen und in Bezug auf Sicherheit möchte ich den Server natürlich gut schützen.

Schon mal vielen Danke im voraus.

[tex]

Mein Problem wäre, dass ich den Server nicht rund um die Uhr laufen lassen würde, aber falls das kein Problem ist, wäre die Alternative bei der der Server als Gateway agiert aus mehrereren Gründen sinnvoll.

Der Server kann dann als Firewall dienen.
Der Server kann als Proxy agieren - evtl. sogar transparent in Verbindung mit der Firewall.
Der Server kann als Kontrollinstanz dienen und den Internetverkehr überwachen.
Der Server kann z.B. IPv6 oder VPN Tunnel für alle Clients zu verfügung stellen.

Das Setup würde dann etwa so aussehen:
Internet <-> FritzBox (als Modem und NAT-Router) <-> Server (eth0) | Firewall | Server (eth1) <-> Switch <-> Clients.

[Duff]

Mein Problem wäre, dass ich den Server nicht rund um die Uhr laufen lassen würde, aber falls das kein Problem ist, wäre die Alternative bei der der Server als Gateway agiert aus mehrereren Gründen sinnvoll.

Der Server kann dann als Firewall dienen.
Der Server kann als Proxy agieren - evtl. sogar transparent in Verbindung mit der Firewall.
Der Server kann als Kontrollinstanz dienen und den Internetverkehr überwachen.
Der Server kann z.B. IPv6 oder VPN Tunnel für alle Clients zu verfügung stellen.

Das Setup würde dann etwa so aussehen:
Internet <-> FritzBox (als Modem und NAT-Router) <-> Server (eth0) | Firewall | Server (eth1) <-> Switch <-> Clients.

Danke für die Antwort.
In diese Richtung habe ich auch schonmal überlegt.

Müsste die Netzwerktopologie dann nicht so aussehen:
Internet <-> FritzBox (als Modem und NAT-Router) <-> Firewall | eth0 Server eth1 | Firewall <-> Switch <->Clients / dboxen

Entsprechende Grafik werde ich noch nachliefern.

Dann müsste ich auf den Clients doch auch sowas wie ein alternatives Gateway einrichten können, damit bei einem Ausfall des Servers nur die fritzbox wieder an den Switch angeschlossen werden muss die Clients dann wieder ins Internet können.
Dann würde ich auch im gleichen Netz 192.168.1.0 bleiben können und müsste nicht noch zwischen fritzbox und Server ein anderes Netz wählen.

Als proxy wollte ich dann squid nehmen.

[tex]

Internet <-> FritzBox (als Modem und NAT-Router) <-> Server (eth0) | Firewall | Server (eth1) <-> Switch <-> Clients.

Müsste die Netzwerktopologie dann nicht so aussehen:
Internet <-> FritzBox (als Modem und NAT-Router) <-> Firewall | eth0 Server eth1 | Firewall <-> Switch <->Clients / dboxen

Für mich ist da kaum ein Unterschied, bis auf die Position der Firewall. Da bin ich mir nicht sicher. Es ist wohl eher so wie du es beschrieben hast.

Dann müsste ich auf den Clients doch auch sowas wie ein alternatives Gateway einrichten können, damit bei einem Ausfall des Servers nur die fritzbox wieder an den Switch angeschlossen werden muss die Clients dann wieder ins Internet können.
Dann würde ich auch im gleichen Netz 192.168.1.0 bleiben können und müsste nicht noch zwischen fritzbox und Server ein anderes Netz wählen.
Als proxy wollte ich dann squid nehmen.

Tja, das mit dem alternativen Gateway ist auch mein Problem. Soweit ich weiß ist das nicht möglich.
Der Squid ist eine gute Wahl als Proxy.

[Duff]

Hoffe auch, dass es so die richtige Wahl ist

Nochmals meine Topologie als Grafik:


Oder hat jemand noch eine besser Idee?