Netzwerkeinrichtung: Router/Serverlösung

T

tecci

Grünschnabel
Hallo.

Ich suche eine Routinglösung.

Zunächst möchte ich meine Netzwerktopologie beschreiben:

INTERNET<--->[inet-Router]<--->BTB.LAN<--->[btb-Router]<---> P.LAN

Legende: <---> Netzwerkinfrastuktur (Ethernet u.a.)

GROSSBUCHSTABEN : Netzwerke

[in eckigen Klammern]: Netzwerkrouter

Das Netzwerk ist also wie folgt aufgebaut:
Vom P.Lan (Privates Lan) geht es über einen einfachen Router out of the box (netgear) ins BtB-Lan. Der Out-of-the Box router soll das Private Lan vom BtB Lan trennen und ausserdem eine PPTP Verbindung zum Inet-Router herstellen.

Das BtB Lan ist das gebäudeübergreifende LAN, sozusagen eine Art privates Backbone-Netz, welches verschiedene Gebäude miteinander verbindet.

Vom BtB-Lan soll es über einen Router auch ins Internet gehen. Allerdings soll man nicht einfach so vom BtB Lan ins Internet kommen, sondern nur über einen PPTP Connect auf den Inet-Router.

Der Inet-Router soll also einen PPTP Server haben, der aus dem BtB Lan erreichbar ist und nur den über pptp verbundenen Geräten einen Zugang ins Internet gewährt.

Der router soll auch ein Accounting-System besitzen, so dass für jeden account getrennt ,maximale Bandbreite festlegbar ist und der Traffic zumindest geloggt wird, besser getrennt einstellbar ist (z.b 2 GB / tag internet-traffic)

Im Inet-Router soll ausserdem ein FTP-Server laufen, der es ermöglicht, aus dem BtB-Netz und auch aus dem internet heraus dateien zu speichern und anderen zur Verfügung zu stellen. Ausserdem sollte ein webserver laufen, um eine Website im BtB Lan zur Verfügung zu stellen.
Ein DNS-Cache bzw Server wäre wünschenswert, ausserdem ein NTP-Server.
Ein HTTP Proxy der jedoch keiner weiteren Konfiguration auf Clientseite bedarf und für die Anwendungen völlig transparent ist wäre auch schön (also ein Cache völlig transparent ist und nur bei HTTP-Verbindungen aktiv ist und alles andere einfach durchlässt).
Wichtig wäre mir noch die Möglichkeit, bestimmte Websiten im Internet permanent zu sperren und stattdessen die Anfrage auf lokal hinterlegte Inhalte umzuleiten.

Der Router soll ausserdem noch eine DMZ haben, die über ein VLAN oder auch über eine eigene Netzwerkkarte realisiert ist.

Als Gerät kommt ein ITX-Rechner mit 3 Ethernetkarten zum Einsatz.

Welche softwarelösung würdet ihr mir für sowas empfehlen? das ganze sollte nach einer einmaligen einrichtig read-only auf einem 256 Mb Flash speicher laufen können, mit debain linux habe ich es leider nicht hinbekommen, das ganze auf einem read-only-system laufen zu lassen.
Ein Webinterface zur Konfiguration im Betrieb wäre auch schön, die Konfigurationsdaten könnten auf einem USB stick oder auch auf dem flash-chip gespeichert werden.
Wichtig wäre nur, dass der Flash-chip nicht durch permanente schreibzugriffe durch Dateisystemmanagement oder Syslog unnötig abgenutzt wird.
Eine lösung wäre ein logging auf einer Ramdisk und eine Sicherung nur beim Shutdown oder zyklisch per cronjob.
Für den FTP-Server kommt eine Festplatte zum Einsatz, die allerdings nur für diesen Zweck verwendet werden soll und keine Systemdaten enthalten soll.

Noch ein Wort zum BtB
Das BtB basiert auf 10/100 mbit/s netzwerktechnik die zum großen Teil outdoor verlegt ist, aber meißt einfach von haus zu haus geht und in jedem Gebäude durch einen switch angezapft ist, diese Switche dienen auch dazu, um die distanzen mit normaler 10/100 mbit/s ethernettechnik überbrücken zu können. Glasfasertechnik war zu teuer, die lösung mit den switchen und den direkten haus-zu haus-verbindungen mit TP-Erdkabel war billiger daher wurde das so realisiert. Ausserdem gibt es noch eine W-Lan-Richtfunkverbindung zu der Stelle, wo der Internetzugang ist. Aufgrund der Topologie gibt es aber auch jede Menge Stellen, wo man sich sehr einfach ins Netz einhängen kann und man hat auch kaum eine Kontrolle darüber.
Das BtB selbst hat keine Authentifizierung, der Zugang wird nur durch MAC-Filter gesichert, aber mac-adressen lassen sich bekanntlich ja leicht ändern so dass fremde benutzer im BtB zumindest keinen großen Schaden anrichten können.



Viele Grüße.
 
Zuletzt bearbeitet:
Mahltid...


Wegen:

tecci schrieb:
Der router soll auch ein Accounting-System besitzen, so dass für jeden account getrennt ,maximale Bandbreite festlegbar ist und der Traffic zumindest geloggt wird, besser getrennt einstellbar ist (z.b 2 GB / tag internet-traffic)
UND
tecci schrieb:
Das BtB selbst hat keine Authentifizierung, der Zugang wird nur durch MAC-Filter gesichert, aber mac-adressen lassen sich bekanntlich ja leicht ändern so dass fremde benutzer im BtB zumindest keinen großen Schaden anrichten können.

Öhem... RADIUS gibts eine feine Lösung, alles via Web administrierbar: MyRADIUS ... oda wers kompliziert mag Diameter (hier seid Ihr wohl mit Cisco 2600 bzw. 2610XM zu besser beraten, das richtige IOS voraus gesetzt, unter xNIX ist es ein Graus) ???

tecci schrieb:
Vom BtB-Lan soll es über einen Router auch ins Internet gehen. Allerdings soll man nicht einfach so vom BtB Lan ins Internet kommen, sondern nur über einen PPTP Connect auf den Inet-Router. Der Inet-Router soll also einen PPTP Server haben, der aus dem BtB Lan erreichbar ist und nur den über pptp verbundenen Geräten einen Zugang ins Internet gewährt.

Einen Tunnel von einem LAN in ein Anderes ?
Um den Internetzugang zu kontrollieren ? Du musst wissen dass diese Verbindungen unglaublich viel Last erzeugen. Das schlägt sich nicht unbedingt in höherem Traffic, sondern eher in gestiegenen Anforderungen an die Router nieder. Das Aufkommen an mehrfach zu kapselnden und zu entkapselnden Packets zwingt so manchen Router in die Knie, und ist hier nicht nötig.

Hier verwendest Du besser eine ausreichend große Anzahl an Teilnetzen im Fahrwasser einer IP-Tableslösung.

Wegen:
tecci schrieb:
... mit debain linux habe ich es leider nicht hinbekommen, das ganze auf einem read-only-system laufen zu lassen ... Eine lösung wäre ein logging auf einer Ramdisk und eine Sicherung nur beim Shutdown oder zyklisch per cronjob ...

wenn es dafür noch net langt, frag doch mal ein Systemhaus in Deiner Nähe ;) (sry, konnt' net anders)


Für die Bewältigung all der anderen Aufgaben würde ich IPCop vorschlagen:

wikipedia.org schrieb:
IPCop ist eine freie Linux-Distribution, die in erster Linie als Router und Firewall fungiert.

Darüber hinaus bietet die Distribution noch ausgewählte Server-Dienste an. Sie basiert bis zur Version 1.5.x auf der freien GPL-Version von Smoothwall und kann um zusätzliche Funktionen erweitert werden.
...schau doch mal hier: IPCOP-faq


MfG
 
Zuletzt bearbeitet:

Ähnliche Themen

Router routing mit mehreren Netzwerken

Falsch angeschlossene Nutzer "aussperren"

Zugriff auf Samba Fileserver Freigaben verweigert(Samba 4 Active Directory Domäne)

Problem mit Ubuntu/openVPN-Server hinter Router

Internet Problem mit Router nach PPPoe konfiguration

Zurück
Oben