Netzwerk an zwei Orten, einmal Router-Kaskade

[Leuchtturm-h]

Moin,

ein frohes neues Jahr für alle Forennutzer.

Ich benötige Input für meine Netzwerkplanung an zwei Orten. Folgende Technik nutze ich:

Im Heimbüro:

Hier habe ich zwei vollwertige Arbeitsplätze (an der Routerkaskade). Jeder Arbeitsplatz kann vollwertig auf die Technik im Büronetzwerk zugreifen.

Ich nutze eine Fritz 6690 Cable mit Zugang über Vodafone und öffentlicher IP4. Dahinter hängt per WAN meine Fritz 4040. An der 4040 wiederrum mein ganzes Heimbüronetzwerk, auch eine Synology NAS. Auf der Nas befinden sich alle notwendigen Daten und mein wichtigstes Programm als .exe. Beide Arbeitsplätze laden die .exe von der NAS.

Filialbüro:

Hier habe ich eine Fritz 7590. Internet über LTE (USB-Stick). Keine IP6 Adresse, IP4 nur DS-Lite.

Was möchte ich machen:

Ich möchte meine NAS im Heimbüro (hinter der 4040 Routerkaskade) gern auf eine USB festplatte oder andere Speichermöglichkeit im Filialbüro per Zwei-Wege-Spiegellung spiegeln. Einerseits um meine Daten auch auszulagen und andererseits um im Filialbüro genau so wie im Heimbüro arbeiten zu können und gegebenenenfals auch hier zwei Arbeitsplätze zu haben. Ich bin auch gewillt eine weitere NAS anzuschaffen und per Lan an die Fritz 7590 anzuschliessen.

Da das ganze gewerblich betrieben wird, gebe ich bei Bedarf die Einrichtung ab, aber ich möchte schon selber wissen und verstehen, was ich im Auftrag gebe. Daher bin ich für Lösungen dankbar.

Der Leuchtturm

 

[kartoffelpü]

Nutzen deine 2 Netze unterschiedliche IP-Bereiche?
Wäre erst mal Grundvoraussetzung, dass es später klappt.
Dann kannst du eine VPN-Verbindung von deiner Filiale zu dir einrichten, geht auf den FBoxen via Wireshark.
Und dann noch Firewallregeln, die entsprechende Zugriffe erlauben.

 

[rezzler]

Ich nutze eine Fritz 6690 Cable mit Zugang über Vodafone und öffentlicher IP4. Dahinter hängt per WAN meine Fritz 4040. An der 4040 wiederrum mein ganzes Heimbüronetzwerk, auch eine Synology NAS.

Also hast du Zugriff auf die beiden FB zwecks Konfig?

Filialbüro:

Hier habe ich eine Fritz 7590. Internet über LTE (USB-Stick). Keine IP6 Adresse, IP4 nur DS-Lite.

DS-Lite hätte IPv6. Welchen Anbieter nutzt du hier? Wäre ein Anbieterwechsel mit der Mobilfunkabdeckung denkbar?

 

[Leuchtturm-h]

Moin,

Danke erst einmal für die schnellen Antworten.

Meine Fritz Cable hat 192.168.178.1, also Standart. Die 4040 192.168.2.1 und die 7590 im Filialbüro die 192.168.1.1.

In der 7590 in der Filiale steht unter Internet-Verbindung:

Internet, IPv6

nicht verbunden

Als LTE Anbieter nutze ich Klarmobil Unlimited ohne dies nervige Aufladen in 1GB Schritten, das gab es im Dez. 25 als Angebot.

Ich muss dazu sagen, dass ich derzeit dauerhaft von der 7590 per Wireguard auf die Fritz 6690 Cable gehe. Daher kann ich im Heimbüro auch auf alle Fritzboxen zugreifen. Ich nutze dann noch den Google Authenticator.

In der Filiale kann ich bei Bedarf per Wireguard vom Läppi auf die 4040 zugreifen und damit auch auf die vorgeschaltete 6690 Cable und natütlich die 7590 dort vor Ort. Auch hier kann ich alles mit dem Authenticatoir bestätigen.

Der Leuchtturm

 

[Sebbi]

Filialbüro:

Hier habe ich eine Fritz 7590. Internet über LTE (USB-Stick). Keine IP6 Adresse, IP4 nur DS-Lite.

1. Frage: öffentliche IP4 oder CGN
2. Frage: wenn öffentliche IP4, dann fest oder wechselnd
3. Frage: Performence der Verbindung? ggf stabilere Alternativen verfügbar mit >50 Mbit/s Downstream / 10 Mbit/s Upstream? (50/10 entspricht durchschnittlichen LTE Datenraten)

Da das ganze gewerblich betrieben wird, gebe ich bei Bedarf die Einrichtung ab, aber ich möchte schon selber wissen und verstehen, was ich im Auftrag gebe. Daher bin ich für Lösungen dankbar.

theoretisch benötigst du nur entsprechende VPN Verbindungen in dein Filialbüro von deinen Heimbüroclients / NAS aus. Das würde über Wireguard gehen, hier kommt es aber drauf an, wie groß die zu transferierende Datenmengen sind. Performencetechnisch ist aber aber eher suboptimal.
Bei der entsprechenden Konfiguration müssten dann auf den Clients noch noch die Routen manuell festgelegt werden für den Weg ins Filialnetzwerk etc.

Bei großen Datenmengen und hoher benötigter Perfomence solltest du aber über eine Site2Site VPN Verbindung nachdenken mit den entsprechenden VPN Gateways im Heimbüro und der Filiale. Für eine entsprechende Einrichtung etc. solltest du dann aber gerade im Geschäftsbereich dann Profis ranholen.

Ich möchte meine NAS im Heimbüro (hinter der 4040 Routerkaskade) gern auf eine USB festplatte oder andere Speichermöglichkeit im Filialbüro per Zwei-Wege-Spiegellung spiegeln. Einerseits um meine Daten auch auszulagen und andererseits um im Filialbüro genau so wie im Heimbüro arbeiten zu können und gegebenenenfals auch hier zwei Arbeitsplätze zu haben. Ich bin auch gewillt eine weitere NAS anzuschaffen und per Lan an die Fritz 7590 anzuschliessen.

Das weitere NAS wird auch nötig werden, spätestens für Backups.
Denn ein NAS ist KEIN Backup, sondern ein reiner Datenspeicher! Wenn dann müssen die Daten vom NAS regelmäßig auf externe Datenträger gespiegelt sein, die dann offline genommen und in den Safe gestellt werden, bis die wieder an der Reihe sind zum überschreiben mit neuen Daten. Am besten nicht nur ein Datenträger, sondern 2+ noch am besten mit Versionierung etc.

 

[Der_Dicke82]

geht auf den FBoxen via Wireshark

Du meinst wireguard ;-)

@Leuchtturm-h
Du willst also die 4040 mit der 7590 verbinden? bzw. umgekehrt.
Zwei Netzwerke kann man schon mit wireguard verbinden, am besten über einen vps als "Brücke"
Die konfig und alles nimmt dir Tailscale ab. Zwei RPis oder tinyPCs könnten dann als Gateway genutzt werden.

Professionelle Lösungen werden wahrscheinlich komplett anders laufen und versuchen über einen entsprechenden ISP eine Ort zu Ort Verbindung zu etablieren. Besonders wenn Bandbreite notwendig ist.

 

[VDC]

Da das ganze gewerblich betrieben wird, gebe ich bei Bedarf die Einrichtung ab, aber ich möchte schon selber wissen und verstehen, was ich im Auftrag gebe. Daher bin ich für Lösungen dankbar.

Reden wir hier von 1000 oder 5000€ die es kosten darf (+ Kosten pro Jahr für die Abos von bspw. Firewallfunktionen)? Also die 5000€ schafft man spielend



Ansonsten würde ich das ganze so aufziehen, dass ich (nur) das NAS hinter eine Fritzbox packe und sich die Geräte mit dieser Fritzbox per VPN verbinden. Irgendwelchen Blödsinn mit Netzwerk A muss Netzwerk B und C erreichen kannst du dir dann sparen, da hilft dann auch der Authenticator nicht, da breitet sich ja alles aus.
So haste direkt die Segmentierung schon mal grundlegend, auf dem NAS natürlich mit einzelnen Nutzern, Versionierung und Zugriffsbeschränkungen arbeiten.

Und dann ein zweites NAS an einem anderen Standort setzen und z.B. zeitgesteuert über Tailgate mit dem anderen NAS für die Backups verbinden. Evtl dann noch an eine oder beide NAS-Systeme eine zeitgesteuerte Backupfestplate als Offlinekopie (z.B. mit Smarter Steckdose). Sicherungen sind immer ein Weg und nie 2 Wege.

Weitere einfache Lösung:
Aus der Filliale per Wireguard und dann RDP auf einen Rechner im Büro verbinden, das sollte problemlos auch bei kleinen Bandbreiten klappen. Und nachts wird dann auf das angesprochene 2.NAS in der Filliale gesichert.



So grob kann man das mit deinen zugegeben einfachen Mitteln machen, ich denke aber sobald du die Kosten einer professionellen Lösung sehen wirst, baust du dir selber lieber irgendein Konstrukt. In welcher Branche bist du unterwegs?

 

[Leuchtturm-h]

Moin,

@Sebbi
In der Filiale habe ich nur eine ip4 über CGN.

@VDC
Ich führe Betreuungen, vertrete kranke oder behinderte Menschen, die Ihre Angelegenheiten nicht selber machen können. Ich habe schon recht sensible Daten, die nicht jeder sehen sollte.

Mit 1000 Euro im Jahr wäre ich einverstanden.

@allgemein
Wenn ich alle Hinweise zusammenfasse, sollte ich wohl doch über eine andere Lösung nachdenken, glaube ich. Kosten, Datensicherheit und Nutzung (ich plus Mitarbeiterin sitzen einmal im Monat gemeinsam für einen Tag in der Filiale) passen irgendwie nicht zusammen.

Ich/wir arbeiten entweder im Heimbüro oder in der Filiale. Vielleicht sollte ich meine NAS im Heimbüro auf einen robusten Datenträger spiegeln, den ich dann bei Bedarf mitnehme und bei Rückkehr einfach zurück spiegeln?

Das scheint mir die einfachste und sicherste Lösung zu sein.

Der Leuchtturm

 

[iamahumanbeing]

Pack doch einfach auf alle PCs und das NAS Tailscale und lass das das ganze VPN machen.

Am besten wäre es wenn du dann noch an allen Standorten IPv6 zum laufen bringst damit es echte P2P Verbindungen ohne NAT dazwischen aufbauen kann.

 

[Leuchtturm-h]

Moin,

ich lese mich Malin Tailscale ein. Danke.

Der Leuchtturm

 

[iamahumanbeing]

ich lese mich Malin Tailscale ein. Danke

Der Vorteil von Tailscale an der Stelle ist, dass es egal ist, wo die Mitarbeiter sitzen, solange der Client läuft kommen sie drauf. Dann ist es auch nicht schlimm, wenn der Client läuft, wenn der MA an dem Standort sitzt, wo das Nas steht.

Edit: Und du brauchst dafür keine öffentlichen IPs.

 

[VDC]

Das wird dann jetzt ein wenig unangenehm

Ich führe Betreuungen, vertrete kranke oder behinderte Menschen, die Ihre Angelegenheiten nicht selber machen können. Ich habe schon recht sensible Daten, die nicht jeder sehen sollte.

Dann sollte Datenschutz nicht nur die oberste Prämisse sein, sondern ist auch diese, gefährdet halt sonst Vermögen und Arbeitsplatz.

Also sind Sachen wie Datenträger durch die Gegend schleppen keine Lösung. Stell dir vor die Platte fällt dir beim Transport runter und ist defekt oder du verlierst diese, dann hast du eine evtl. meldepflichtige Datenpanne und das möchtest du einfach nicht.

Wenn ich alle Hinweise zusammenfasse, sollte ich wohl doch über eine andere Lösung nachdenken, glaube ich. Kosten, Datensicherheit und Nutzung (ich plus Mitarbeiterin sitzen einmal im Monat gemeinsam für einen Tag in der Filiale) passen irgendwie nicht zusammen.

Ist leider keine Frage des Wollens, sondern des Muss und der GF haftet halt persönlich, IT-Sicherheit ist kein Wunschkonzert. Man muss sich halt nur damit beschäftigen und dann klappt das idR auch, es klingt alles hochtrabend, ist aber oft sogar einfach umzusetzen, kostet aber doch Geld und Zeit.


Umgebung:
Also du hast einen Packen Daten auf einer Synology und dazu gibt es halt irgendein Programm, dass du von diesem startest?
Daten sind dann wahrscheinlich auf der einen Seite Kunden / Patientendaten und dann noch der ganze Verwaltungs-, Abrechnungs- und co-Kram?
Wie verbindest du bzw. die MA sich damit? Jeder mit seinem eigenen Login? Sind die Freigaben entsprechend organisatorisch getrennt?
Das ganze ist dann "isoliert" im Büronetzwerk mit nur den 2 Rechnern und evtl. Drucker oder sind da noch andere Geräte drin? Wie z.B. Handy über WLAN?





Was dir halt fehlt ist nicht der Komfort einfach in der Filliale zu arbeiten, sondern dir fehlt erstmal schlichtweg jede Art von Sicherung.

Sicherungsoptionen oder doch eher Agenda?
Backupspeicher zur Verfügung stellen
Alle Sicherungen verschlüsselt (Datenträger oder Daten)
--> 2. Speichersystem an anderem Brandabschnitt oder gar Standort, gegen Diebstahl / Verlust gesichert
--> externer Datenträger (nicht dauerhaft verbunden, evtl. rotierend z.B. einer Freitags dran, einer daneben, einer im Schließfach)
--> Cloudsicherung (kann die Synology ja, musst nur halt im Einklang mit dem Datenschutz einen Anbieter finden)
--> Überwachung der Sicherungen (organisatorisch und technisch)

 

[Sebbi]

Ich führe Betreuungen, vertrete kranke oder behinderte Menschen, die Ihre Angelegenheiten nicht selber machen können. Ich habe schon recht sensible Daten, die nicht jeder sehen sollte.

Spätestens ab hier brauchen wir hier eigenlich nicht weiter zu machen wegen Planung / Vorschlägen.
Hier musst du dich zwingend an ein Systemhaus wenden, die dich vor deinen Auftrag beraten, was es für dich für Möglichkeiten gibt, um den Anforderungen beim medizinischen Datenschutz sowie den entsprechenden Systemen, Vorschriften und Connectoren zu den Krankenkassen etc. gerecht zu werden.

 

[Leuchtturm-h]

Moin,

zum Thema Datenschutz:

Das steht bei mir Recht weit oben, da es ja nicht meine persönlichen Daten sind, die ich speichere. Da aber Datenschutz bei der Aktentasche anfängt, hätte ich keine Sorgen, einen Datenträger von A nach B und wieder zurück zu bringen.

Aus Datenschutzgründen habe ich bisher mein Heimbüronetzwerk hinter der Routerkaskade FB 4040 per LAN aufgebaut. Alles ist im Internet schön unsichtbar. Dort laufen 2 PC, Drucker Scanner, etc. WLAN ist konsequent abgeschaltet.

Backups mache ich über mein Programm und alles andere Wichtige über die NAS. Das ganze abwechselnd auf mehrere Festplatten die in einem kleinen Tresor ihr zu Hause finden

By the Way: Zu 99 Prozent arbeite ich mit PDF.

Alles was das Unternehmen angeht, liegt auf einen PC, auch mit Backups. Man tut ja alles für das Finanzamt.

Ansonsten gehe ich über den Gastzugang der FB 6690 Cable per WLAN ins Internet. Dort ist auch das TV und der Saugroboter angeschlossen.

Was gibt es neues:

Ich habe meine beiden recht neuen und zu wenig genutzten Läppis rausgesucht. Dort habe ich mein Programm installiert. Also benötige ich kein Fernzugriff mehr auf die .exe in der NAS. Das Problem ist gelösst.

Nun lese ich mich in Tailscale ein. Mal sehen ob das für mich das Richtige ist. Das scheint ja problemlos auch über eine Kaskade zu funktionieren.

Und dann lade ich meinen IT Schmied mal auf einen Kaffee ein.

Danke erst Mal für die ganzen Tips. Ich werde ein paar Tage brauchen um alles zu verstehen. Bin da kein Fachmann.

Bei weiteren Fragen melde ich mich wieder.

Der Leuchtturm