Filialvernetzung - geht das so?

[noiz]

Ich möchte gerne kurz folgendes Szenario schildern und möchte Eure Meinung dazu wissen. Zur Erklärung: Es geht darum 3 räumlich voneinander getrennte Filialen über das Internet zu vernetzen. Zentraler Knotenpunkt dafür soll ein Server im Internet sein, da keines der 3 Geschäfte über eine Server-Infrastruktur verfügt und so etwas den Kosten-Nutzen-Rahmen eines kleinen Handwerk-Betriebs auch bei weitem uberschreitet! ;-)

Um die Netzwerktopologie zu verdeutlichen, die ich geplant habe zunächst eine grafische Erklärung:

Hier klicken

Die 3 Geschäfte verfügen jeweils über einen breitbandigen Internetzugang, der zentrale Server soll folgende Aufgaben (momentan und in Zukunft) erfüllen:

+ Webserver für eine Preisliste die im HTML-Format im Intranet bereitgestellt werden soll.
+ Shared Folders für Formulare und Dokumente, die gemeinschaftlich genutz werden sollen.
+ In Zukunft ein GroupwareServer für die Outlookvernetzung (opengroupware.org)

Wie man aus dem Bild erkennen kann möchte ich die Vernetzung per VPN vornehmen. (Meine Tendenz geht momentan zu openVPN) Alle 3 Geschäfte (und ich selber ggf. für Fernwartung von Zuhause) verbinden sich über einen Tunnel per VPN-Client auf den Zentralserver, können so über das (unsichere) Internet auf die SMB-Freigaben, die zentrale Preisliste und später auch den OGo-Server zugreifen. Der Server soll also quasi neben der reinen Serverfunktionalität (Netzwerkdienste anbieten) auch eine Art Router-Funktion haben. Am besten wäre natürlich, wenn man dadurch auch Zugriff von Filiale #1 auf das lokale Netzwerk in Filiale #2 hätte. (Freigaben nutzen etc.)

Meine erste Frage ist nun, ob das so wie ich mir das vorstelle überhaupt zu realisieren ist und ob das so Sinn macht. Es geht mir jetzt nicht umbedingt um die genaue Detail-Umsetzung und genaue Einstellungen in speziellen Configs sondern ob dieser Plan überhaupt praktikabel ist.

Vielen Dank und Grüße

Nico

[lordy]

Grundsätzlich geht das so. Wenn du deinen zentralen Server vernünftig absicherst und ein Backup hast sehe ich da auch keine großen Probleme.

[kama]

Hallo,

+ Shared Folders für Formulare und Dokumente, die gemeinschaftlich genutz werden sollen.

Grundsätzlicher Fehler. Hier sollte direkt eine Versionskontrolle eingesetzt werden.

Weiterhin wäre meine Frage: Du/Ihr wollt tatsächlich Firmeninterne Daten auf einem Server ins Internet stellen? Mutig....Der Server kann garnicht so sicher gemacht werden, wie es sein muss? Apropos wie ist es mit Backup ?

MfG
Karl Heinz Marbaise

[theomega]

Hoi,
ich halte die Lösung für gut, sollange du dich um Sicherheits und Backups selbst kümmern kannst (und das ist eine Frage des Könnens). SMB über OpenVPN ist kein großes Problem, steht alles im Howto drin.

Und ob jetzt Versionskontrolle oder nicht wirst du ja selbst wohl gut genug wissen ob ihr das braucht.

[noiz]

Hallo,

+ Shared Folders für Formulare und Dokumente, die gemeinschaftlich genutz werden sollen.

Grundsätzlicher Fehler. Hier sollte direkt eine Versionskontrolle eingesetzt werden.

Weiterhin wäre meine Frage: Du/Ihr wollt tatsächlich Firmeninterne Daten auf einem Server ins Internet stellen? Mutig....Der Server kann garnicht so sicher gemacht werden, wie es sein muss? Apropos wie ist es mit Backup ?

MfG
Karl Heinz Marbaise

Danke für Deine Einwände, vielleicht habe ich mich nicht richtig ausgedrückt: Der Server soll die Dateien eigentlich nur bereitstellen, (Formulare als PDFs mit statischem Inhalt, die eigentlich nie kollaborativ bearbeitet werden) Eine Versionskontrolle entfällt somit.

Wenn VPN im iNet so "mutig" wäre dann würden wohl kaum zig Firmen den Zugriff auf das FirmenLAN pern VPN realisieren oder? Letzendlich ist, selbst wenn der Server physisch innerhalb der Firma steht, trotzdem der Zugriff vom Internet aus möglich oder?

Wenn mir jemand versichern kann, dass eine 16.000 kBit-DSL-Leitung, über die alle Filialen verfügen ausreicht um innerhalb einer der Filial-LANs einen Server laufen zu lassen würde ich noch mal mit mir reden lassen...

Backups werden auf einen weiteren Server ausgelagert (per SCP rausgeschoben) Kundendaten und ähnlich sensible Daten sind sowieso nicht auf diesen Server vorgesehen. Das Problem ist halt wie anfangs erwähnt, dass wir in keinem der 3 Geschäfte über einen Server-Infrastruktur verfügen. Der Server wird außerdem so dicht wie es nur geht sein. Nach außen also maximal der Port für den VPN-Daemon (Natürlich kein offener Tunnel!) und ein SSH (Ausschließlich PubKey-Auth) für Fernwartung. (Wobei ich das eigentlich anfangs auch ausschließlich aus dem VPN machen wollen, aber dann hat man halt gelitten, wenn der VPN-Daemon aus irgend einem Grund nicht mehr startet) Mehr nicht, alle anderen Dienste werden auf das TUN-Device von VPN gebunden.

Gibt es sonst noch Einwände? Ich will wirklich alle möglichen kritischen Denkfehler ausschließen.

Grüße

Nico

[oxygen]

Wenn VPN im iNet so "mutig" wäre dann würden wohl kaum zig Firmen den Zugriff auf das FirmenLAN pern VPN realisieren oder? Letzendlich ist, selbst wenn der Server physisch innerhalb der Firma steht, trotzdem der Zugriff vom Internet aus möglich oder?

Das ist ein Unterschied.
In Normalfall liegen keine Daten auf einem VPN AccessPoint, dieser stellt nur den Zugang bereit. Ein möglicher Server lieg innerhalb des Netzwerk, einen direkten Zugriff auf den Server von ausserhalb ist dann nicht möglich.
In dem von dir konstruierten Fall ist der Server aber direkt erreichbar.

[noiz]

In Normalfall liegen keine Daten auf einem VPN AccessPoint, dieser stellt nur den Zugang bereit. Ein möglicher Server lieg innerhalb des Netzwerk, einen direkten Zugriff auf den Server von ausserhalb ist dann nicht möglich.
In dem von dir konstruierten Fall ist der Server aber direkt erreichbar.

Stimmt, da hast Du wohl recht...