Glasfaser beruflich und privat trennen

[Steve2344]

Hallo Community,

folgende Situation ergibt sich bald bei mir.
Ich muss meinen Glasfaseranschluss splitten. Das heißt, die geschäftlichen Geräte dürfen die privaten Geräte nicht sehen.
Folgende Punkte müssen beachtet werden. Bei dem geschäftlich genutzten Anschluss wird eine Firewall dazu geschaltet, um einen Server an einem anderen Standort zu erreichen. Hier wird zusätzlich ein Switch installiert, um IP Telefone und mehrere Pcs angeschlossen.
Der private Anschluss wird nur auf Wlan Basis genutzt. Dabei dachte ich an Ubiquiti UniFi nanoHD die an der Fritz!box 5530 als Gastnetzwerk hängen. Ist dies eine saubere Trennung oder gibt es hier mehr zu beachten?

 

[DJKno]

Die für mich persönlich sauberste Trennung wäre eine Pfsense mit getrennten Vlans.
Ist es dein Anschluss oder bezahlt den die Firma?

 

[Blutomen]

Du kannst in der 5530 auch einfach einen LAN Port für das Gastnetz nutzen .. und daran klemmst du dann dein Zeugs für die Firma. Die Box trennt es von deinem privaten Netzwerk ab. Die Gastgeräte dürfen auch nicht untereinander kommunizieren.

Aber halt nach außen ihn ihre VPN Verbindung aufbauen.

 

[Steve2344]

Die Firma ist mir und zu mir ins neue Haus kommen 3 Arbeitsplätze. Bis dato ist der Server im aktuellen Standort

Die für mich persönlich sauberste Trennung wäre eine Pfsense mit getrennten Vlans.
Ist es dein Anschluss oder bezahlt den die Firma?

 

[DJKno]

Kannst du das mal irgendwie aufzeichnen? Die Firma gehört dir und in deinem Haus sollen auch andere Mitarbeiter arbeiten?
Dazu kommt ein entfernter Standort und dazwischen eine Site2Site VPN über eine Firewall? Was ist das für eine Firewall?

 

[Steve2344]

Also es gibt bis dato einen Standort in dem 12 Mitarbeiter sitzen. Dort steht auch der Server. An einem anderen Standort entsteht ein Haus mit 3 Arbeitsplätzen, die von meiner Frau, einem Angestellten und mit genutzt werden.

Hier wird es dementsprechend einen privaten Netzwerkbereich und einen geschäftlichen geben müssen.

Ergänzung (9. Dezember 2024)

Das ist momentan der Plan

 

[Krik]

Warum lässt du das nicht von einem IT-Firma machen? Davon hängt die Existenz deiner Firma ab. Man stelle sich nur vor, dass irgendwas unerkannt falsch konfiguriert wurde und z. B. Malware aus dem privaten Netz ins geschäftliche springt. Da hat man dann den Salat.

Klar, das klingt erst mal weit hergeholt, aber am Ende passieren solche Dinge genau deshalb, weil jemand etwas aufgesetzt hat, von dem er keine tiefere Ahnung hat. Ich würde das einem Profi überlassen.

 

[Steve2344]

Das wird letztendlich so oder so von einer externen Firma gemacht. Ich bin der Auffassung, dass ich jedoch 80% aller Abläufe bei mir in der Firma verstehen muss, daher bemühe mich die Thematik vorher zu verstehen.

 

[Krik]

Ah, verstehe, das ergibt natürlich Sinn. Ich dachte schon, du willst das selber machen.

Deine Idee mit dem Aufsplitten ist schon gut, aber ich würde noch daran denken, die Verbindung für die Geschäftsdaten gegen über dem privaten Internet zu priorisieren. Nicht, dass Sohnemann (oder wer oder was auch immer) die Bandbreite gerade dann stiehlt, wenn sie beruflich dringender benötigt wird. Ich bin mir jetzt nicht sicher, ob man das so in der Fritzbox einstellen kann.

 

[Steve2344]

Grundsätzlich reicht die Fritz!Box jedoch als Trennung über das Haupt und Gastnetzwerk?
Soweit ich weiß, ist das möglich

 

[redjack1000]

Wenn du mit den Einschränkungen des Gastnetzwerk, in dem sich dein Privates befindet, leben kannst, reicht das.

Ich würde das wie @DJKno machen.

Cu
redjack

 

[Robo32]

Es gibt mehrere Möglichkeiten das zu machen... - schau erstmal welche Lösung dir die externe Firma anbietet.

Grundsätzlich reicht die Fritz!Box für die allgemeine Trennung der Netze, ob das die beste Idee ist und du dieser vertraust sei dahin gestellt. Die Firma die das einrichtet und am Ende dafür gerade stehen muss hat da auch was zu melden.

 

[sentino87]

Ich würde in VLAN fähiges Switch hinter die Fritzbox schalten und hinter das Switch eine zweite Fritzbox.
Wenn AVM Hardware gewünscht. Sonst gibt es auch noch Alternativen.
Welches Netzwerk dann auf welchem Gerät läuft, ist prinzipiell mal nebensächlich.
Klar kann man es irgendwie mit Fritz Gast lösen, ist aber eines Firmennetzwerkes fast nicht würdig.


Tante EDIT: würde es einfacher gehen einfach eine zweite Fritzbox hinter die erste schalten und einfach nur Internet von anderer Quelle beziehen einstellen? Wären dann die Netzt schon getrennt? Oder sind die dann noch untereinander zugänglich?

 

[norKoeri]

eine Firewall dazu geschaltet, um einen Server an einem anderen Standort zu erreichen

Würde ich gerne genauer verstehen … hört sich eher nach einem VPN-Dialer an, also einem extra Router, der die VPN-Einwahl macht oder selbst eine VPN-Einwahl erlaubt. Falls ja, welches Produkt soll das genau werden, steht das schon fest? Auf jeden Fall wäre das eine Router-Kaskade mit allen Folgen … Daher würde ich den nämlich zum Haupt-Router machen, also FRITZ!Box raus, Glasfaser-Modem vor den VPN-Router und dann im VPN-Router zwei Heim-Segmente aufspannen.

UniFi nanoHD […] an der FRITZ!Box 5530 Fiber

In Deinem Schaubild ist der UniFi nanoHD ein „Router“. Ich vermute, Du meinst „Access-Point“. OK. Warum hier Hersteller mischen? Aber lass uns ein Schritt zurückgehen, damit wir Deine Entscheidungen nachvollziehen können: Die FRITZ!Box 5530 Fiber strahlt bereits ein (Gast-) WLAN aus; warum reicht das nicht aus?

Das wird letztendlich so oder so von einer externen Firma gemacht. Ich bin der Auffassung, dass ich jedoch 80% aller Abläufe bei mir in der Firma verstehen muss, daher bemühe mich die Thematik vorher zu verstehen.

Welchen Ablauf meinst Du genau? Du sagst jener Firma, dass Du privat und geschäftlich trennen willst. Danach ist das getrennt. Fertig. Du hast keine Berührungspunkte mehr mit diesem Ablauf. Willst Du sicher gehen, dass Du diese Trennung nicht versehentlich aufhebst? Oder willst Du diese Trennung überprüfen? Oder willst Du genau diese Trennung verstehen, damit Du sie aufheben kannst, z. B. weil Du keine Lust hast zwei Drucker zu kaufen?

Die Firma ist mir und zu mir ins neue Haus kommen 3 Arbeitsplätze. Bis dato ist der Server im aktuellen Standort

Ehrlich? Dann würde ich vor Ort einen zweiten Glasfaser-Anschluss buchen. Im dem Anschluss sind mehrere Fasern, Du kannst mehrere Internet-Anschlüsse haben. Dann kann die FRITZ!Box 5530 Fiber für das private Netz bleiben. Und der VPN-Router (mit einem Glasfaser-Modem davor) macht das geschäftliche Netz. So hast Du schön sauber ein privates Heimnetz mit allen Annehmlichkeiten. Und niemand klaut der anderen Seite deren Bandbreite, Stichwort Ingress-Shaping bzw. QoS.

 

[Incanus]

Prinzipiell müsste es doch reichen die Firmengeräte hinter die schon erwähnte separate Firewall zu hängen, die an der FRITZ!Box angeschlossenen Geräte haben dann keinen Zugriff darauf, das Gastnetzwerk wäre gar nicht nötig.

 

[TomH22]

Das ist momentan der Plan

Das ist halt eine eher semiprofessionelle Lösung, gerade weil das Fritzbox Gastnetzwerk ein paar Einschränkungen hat.

Da es ja um eine Firma geht, die obendrein Dir gehört würde sehe ich zwei Möglichkeiten:

• Man macht es komplett professionell, sprich man nutzt Profi Equipment was VLAN fähig ist, und spannt zwei getrennte VLANs auf: Ein Privates und ein Firmen VLAN. Man kann ggf. noch als Drittes VLAN ein privates Gastnetz verwenden. Damit ist man auch in Zukunft flexibel, wenn man z.B auch ein professionelles Multi-SSID fähiges WLAN-System nimmt, kann man auch getrennte SSIDs/VLANS auf derselben Inffrastruktur fahren. Mögliche Nachteile der Lösung:
  • Dein privates Netz wird von der Firmen-IT (bzw. Systemhaus) gemanagt, d.h. Du hast da nicht mehr alle Freiheiten. Das ist insbesondere dann vielleicht lästig wenn die Firma ISO/SOC2 zertifiziert sein will, denn Eurer privates Netz ist dann technisch Bestandteil des Firmennetzes.
  • Auch steuerlich kann es dann hier und da Probleme geben, bezüglich des privaten Anteils an der Infrastruktur. Diese Probleme hast Du bei deinem Setup aber sowieso und musst sie lösen
• Man macht es wie noerKoeri beschreibt:

Ehrlich? Dann würde ich vor Ort einen zweiten Glasfaser-Anschluss buchen. Im dem Anschluss sind mehrere Fasern, Du kannst mehrere Internet-Anschlüsse haben.

Das ist meines Erachtens der bessere Weg. Dein Privatleben ist dann sauber vom Firmennetz getrennt, all die oben beschrieben Probleme mit ISO/SOC2, Finanzamt, usw. sind dann nicht existent. Du kannst privat auch schalten und walten wie Du willst.
Nachteile:

• Etwas höhere Kosten, aber eigentlich nur 50-100 EUR für einen zweiten Internetanschluss
• Falls man auch WLAN in beiden Bereichen möchte, konkurrieren die WLANs um dasselbe Frequenzspektrum. Das kann man aber bei sowieso getrennten Räumen durch Anpassung der Sendeleistung in den Griff bekommen.

Ich habe selbe viele Jahre eine eigene IT Firma gehabt, ich würde in Deiner Situation Variante zwei nutzen. Ich habe irgendwann mal gelernt Firma und Privates sollte man nicht mischen, selbst nicht bei der eigenen Bude.

Es gibt natürlich noch eine dritte Variante: Das ganze Geraffel mit einem Firmen Netz im eigen Haus weglassen und, so wie im normalen Home Office auch, einfach auf jedem PC einen lokalen VPN Client nutzen, dann kann man sein normales Heimnetz nutzen. Bandbreiten Probleme sind in der Praxis eher selten, und wenn man eh Glasfaser hat, kann man es das in der Regel damit erschlagen, dass man einfach eine dickere Leitung bestellt...
OK, Ihr habt IP Telefone, nutzt Ihr wirklich ernsthaft noch Telefone? Das ist doch eine aussterbende Spezis. Unsere Firma hat über tausend Mitarbeiter, wir haben unsere Telefonanlage schon vor Jahren abgeschafft.

 

[Incanus]

Wir haben auch keine Telefonanlage im Haus, aber dennoch Telefone, irgendwie muss man ja mit den Kunden mündlich kommunizieren. Das managt unser Telekommunikationsanbieter extern.

 

[h00bi]

Nach Hause ins Gastnetz der Fritzbox kommt ein VPN Gateway, welches allen Traffic der da durch läuft an VPN Router am anderen Standort schaufelt.

Der heimische Internetanschluss ist dann nur Transportstrecke.

Das ist die sauberste Billiglösung.
Dann funktionieren Zuhause auch Firmendrucker und jemand vom großen Standort könnte bei euch was drucken.

Dass das VPN Gateway im Gastnetz hängt ist kein Problem, weil es nur ein Gerät ist, dahinter ist sowieso nochmal ein neues Firmennetz.

 

[Steve2344]

Ich bin ziemlich begeistert über den ganzen Input, der hier zustande gekommen ist und der wird sicher vielen in Zukunft helfen!

Danke daher schonmal an alle, die sich beteiligt haben.

So ich versuche nun auf alle Gegenfrage und Input zu reagieren und bin heute nach etlichen Telefonaten etwas schlauer geworden.

norKoeri​

1. Hier kann ich dir bis dato keine genaue Information geben. Das Unternehmen, das die erste Landschaft im Büro gebaut hat, kümmert sich jetzt auch um die Zweite. Ich habe hierzu ein Meeting morgen und würde darauf dann nochmal eingehen.

2. Aus der 5530 wurde inzwischen eine 5590. Ungeachtet dessen, ist das WLAN über die Fritz!Box und die Meshvariationen von AVM nicht stabil genug im Haus, da durch die Beschaffenheit der Räumlichkeiten, das Signal keine 2 Räume weit kommt. Dementsprechend werden, Stand jetzt, UnuFi U6+ genutzt und im Haus verkabelt und verteilt. Das WLAN Netzwerk der Fritz!Box wird komplett abgeschaltet und ein betriebliches WLAN ist nicht geplant.

3. Ich möchte einfach jeden Prozess verstehen und nachvollziehen können. Das ist mir die liebste und schlimmste Eigenschaft an mir selber.

4. Der zweite Glasfaseranschluss ist die sauberste Lösung. So kann man keine Fehler machen. Sofern ich das aber richtig nachvollziehe aus den ganzen Meldungen, gibt es technisch gesehen keine direkte Verbindung zwischen den beiden Anschlüssen, da sie in getrennten Bereichen agieren. Das mögliche Geschwindigkeitsproblem kann man durch eine einfache Programmierung in der Fritz!Box lösen, sofern ich mich nicht irre.

Du kannst mich gerne verbessern. Den ganzen Input werde ich morgen in der Besprechung nochmal ansprechen.

TomH22​

1. Das Problem mit der Steuer wird einfach von Anfang an offen gelegt, dementsprechend ist dies nur eine Kommunikationsfrage.

2. Wie schon oben erwähnt, werde ich das mit dem zweiten Anschluss erfragen.

3. Das mit der Zertifizierung hatte ich bis dato nicht auf dem Schirm. Hier werde ich auch eine Abfrage bei unserem jetzigen Zuliefere machen.


Allgemein:

1. Das mit dem Drucker wird getrennt sein. Es wird einen geschäftlichen und einen privaten geben.

2. Ohne IP Telefone können wir nicht arbeiten, dementsprechend ist das essenziell.

Hier ist das aktualisierte Schaubild:

Stand jetzt sehe ich bzw. meine IT Verwaltung nicht die Notwendigkeit, wie oft hier empfohlen, mit einer anderen Lösung zu gehen. Daher besteht hier morgen noch etwas Gesprächszeit mit der aktuellen IT Verwaltung.

Danke für all den Input!

 

[norKoeri]

Ich möchte einfach jeden Prozess verstehen und nachvollziehen können.

Aber das ist kein Ablauf, den Du tangierst, Du musst noch nicht einmal irgendwelche Entscheidungen treffen. Dass klingt für so, also wolltest Du wissen, welchen Asphalt die Autobahn auf Deiner Pendlerstrecke verwendet, damit Du Dir den richtigen Auto-Reifen dazu kaufst. Mein Tipp: Lass das bitte alles den Dienstleister aushecken, sonst wird das schnell Chaos. Wenn Du irgendwelche Büroklammern aus zertifiziertem Metall und in bestimmten Farb-Gebungen haben wolltest, könnte ich das verstehen. Aber in so einer Sache:

Aus der 5530 wurde inzwischen eine 5590 […] Das WLAN Netzwerk der Fritz!Box wird komplett abgeschaltet

Mit welcher Begründung jetzt die 5590? Kannst Du wirklich Münze werfen. Könntest auch ONT und FRITZ!Box 7520 nehmen. Ich befürchte Du machst Dir um Sachen Gedanken, bei denen sogar ein Fachmann am Ende eine Münze entscheiden lässt.

Dass das VPN Gateway im Gastnetz hängt ist kein Problem, weil es nur ein Gerät ist, dahinter ist sowieso nochmal ein neues Firmennetz.

Ja, wenn das mit den zwei Netzen hinter einer FRITZ!Box sein muss, klingt das auch für mich sinnvoller, also den VPN-Gateway in das FRITZ!-Gastnetz. Die UniFi in das FRITZ!-Heimnetz, welches Du mit Hauptnetz bezeichnest. Auch hier müssten wir verstehen, warum das anders gemacht wird.

Dementsprechend werden, Stand jetzt, UnuFi U6+ genutzt und im Haus verkabelt und verteilt.

Aber warum dafür UniFi, warum nicht FRITZ!-Produkte wie FRITZ!Repeater (im Modus LAN-Brücke) bzw. FRITZ!Boxen (im Modus IP-Client)? Problem bei den UniFi ist, dass diese verwaltet werden wollen. PoE-WLAN-Punkte wollen an die Decke, ist das bei Dir gegeben? Auch zu AX3000 bzw. lediglich zwei Spatial-Streams, lasse ich mich gerade in einem Parallel-Thread aus … (vorletztes Zitat)

das aktualisierte Schaubild

Hier steht immer noch ein für mich mysteriöser „externer WLAN-Router“. Hatte ich wohl nicht klar genug geschrieben, dass wir das klären sollten.