WHS mit 2 Netzwerkkarten,Sonderleitung für Hauptarbeitsplatz

[NCG]

Moin,

ich bereite mich gerade auf meinen Umstieg von SME nach WHS vor. Bei der Gelegenheit möchte ich mein Netzwerk-Layout verändern und endlich vom Gigabit-Netzwerk profitieren. Zum Layout habe ich da ein zwei Fragen. Um die Sicherheit soll es im Folgenden nicht gehen. Ich weiß wie man die Protokolle absichert und mache davon reichlich Gebrauch. Das restliche Risiko nehme ich bewußt in Kauf.



Warum brauche ich einen Heimserver? Ich benötige einen Heimserver in erster Linie für folgende Anwendungsfälle:

• NAS
  Ich bin leidenschaftlicher Fotograf und möchte nicht jedesmal meine Fotosammlungen mit jedem neuen Rechner umziehen. Deshalb liegen auf dem Server meine Arbeitsdaten zentral bereit.
• FTP-Server
  Es kommt vor, daß ich Fotopakete bestimmten Leuten über das Internet als Download anbieten möchte - da es sich dann um mehrere GByte dreht, führt kein Weg an SFTP vorbei.
• Webserver-Spielwiese
  Gelegentlich bastel ich mit PHP und SQL herum und bin ganz zufrieden damit, dafür eine eigene Spielwiese zu haben.
• IMAP-Server
  Mein Email-Archiv geht mittlerweile gut 13 Jahre zurück - darauf möchte ich von sämtlichen Rechnern innerhalb und außerhalb meines Netzwerks zugreifen können.

Da ich oft unterwegs bin, muß mein Heimserver allein vor sich hinarbeiten. In dieser Zeit kappe ich aber ganz gerne den Strom für die restlichen Geräte, sodaß nur Router und Server im Dauerbetrieb sind. Wenn ich meinen Heimserver direkt an den Router anschließe, wird der zum Flaschenhals für die Verbindung zwischen Heimserver und dem restlichen Heimnetzwerk, denn der Router kann nur 10/100Mbit (für die DSL-Verbindung ist's wurscht, eh klar).

Dieser 100Mbit-Flaschenhals stört mich aber weder bei meinen über WLAN angebundenen Laptops/Netbooks, noch bei meinen anderen Netzwerkkomponenten - die sind eh alle mit maximal 100Mbit angeschlossen. Einzig bei meinem Hauptarbeitsrechner wird es problematisch.

An dem erledige ich meine ganzen datenintensiven Arbeiten, also vor allem Fotobearbeitung. Deshalb ist eine schnelle Verbindung zwischen dem Hauptarbeitsrechner und dem Heimserver von sehr großem Vorteil.

So... und an der Stelle kommt endlich meine Frage - ich würde gerne über ein Sondernetz meinen Arbeitsrechner mit dem Heimserver verbinden. Beide sind mit zwei LAN-Anschlüssen ausgestattet, ein zweites IP-Netz ist schnell konfiguriert. Bloß - wie sieht es mit der Windows-Domain aus? Wie verhindere ich, daß mein Arbeitsrechner mit dem Heimserver über das Hauptnetz kommuniziert und wirklich nur das Sondernetz verwendet?

Hauptnetz und Sondernetz

netz-layout.gif (21.53 KiB) 3182 mal betrachtet

[Thorsten_de]

Hallo Zusammen!

Deine Konfiguration ist meiner alten Konfiguration mit einem Thecus N5200 NAS ähnlich.
Der Thecus hatte 2 Netzwerkschnittstellen 1x WAN und 1x LAN
Für den Zugriff aus dem Internet aus war die IP 192.168.2.100 im Router maskiert.

Die WAN Schnittstelle lief unter der IP 192.168.2.100 und war direkt am Router (100MBit) angeschlossen.
Die LAN Schnittstelle lief unter der IP 192.168.1.100 und war an dem Gigabit Switch (1000MBit) angeschlossen.
Das interne Heimetzwerk hatte den Adressbereich 192.168.1.XXX und lief auf 1000MBit.
Die WAN Schnittstelle hatte den Adressbereich 192.168.2.XXX und lief in einer DMZ (Demilitarized Zone).
Die DMZ war im Router eingerichtet und lief im "strikt Mode" (strikte Trennung auf Schnitstellenebene).

Wie in deiner Zeichnung mit der zweiten Netzwerkverbindung (1000MBit) im selben Netzwerksegment wird nicht funktionieren.
Mit 2 Netzwerkarten im Homeserver ist eine DMZ die richtige Lösung,
Vorausetzung dein Router hat eine DMZ Funktion mit strikter Trennung auf Schnittstellenebene.


Viele Grüße, Thorsten

[NCG]

Hallo Thorsten,

Zwei IP-Netze sind keine große Sache, hatte ich ja schon im Eingangsposting geschrieben. Und Du hast recht, wenn ich eine DMZ betreiben würde, dann wäre Dein Weg der richtige. Aber genau das ist nicht mein Plan - denn das hieße, den Server selbst zum Gateway zu machen (indem ich ihn zwischen Switch und Router setze) - und genau das mache ich ja nicht.

Mein Ziel ist es, dediziert auf dem Arbeitsrechner eine Routing-Ausnahme zu definieren, die jeden Kontakt zum Heimserver über die Sonderleitung (die dann mit einem eigenen IP-Netz betrieben wird) umzuleiten. Das Problem ist dabei aber nicht OSI-Layer 3 - da kann ich (in der Theorie) die Kommunikation sauber trennen.

Meiner Meinung nach sind Schwierigkeiten mit den Windows-Protokollen zu erwarten, weil die nicht sauber oberhalb von OSI3 bleiben. Der Heimserver und der Hauptarbeitsrechner treffen sich über beide Netzwerkkarten zweimal auf OSI-Layer 1 und melden sich folgerichtig beide (falls das klappt) auf dem Haupt-IP-Netz UND dem Sonder-IP-Netz. Mit anderen Worten der Datenverkehr könnte über beide Leitungen rollen - und ein Rechner trifft doch so ungern eigenständig die richtige Entscheidung

Das heißt, ich müßte die Routing-Ausnahme nicht nur auf OSI-Layer 3 einrichten (da bin ich mir recht sicher, daß das zu bewerkstelligen ist), sondern auch auf Windows-Protokoll-Ebene. und das stelle ich mir wesentlich kniffeliger vor. Aber vielleicht irre ich mich und es ist ganz einfach?

[NCG]

PS:
Ah, okay... Windows kennt also auch einen Route-Befehl - na, ich werde mal damit herumspielen. Vielleicht kommt was brauchbares heraus:

http://www.microsoft.com/resources/docu ... x?mfr=true

[Thorsten_de]

Hallo Zusammen!

Hallo Thorsten,

Zwei IP-Netze sind keine große Sache, hatte ich ja schon im Eingangsposting geschrieben. Und Du hast recht, wenn ich eine DMZ betreiben würde, dann wäre Dein Weg der richtige. Aber genau das ist nicht mein Plan - denn das hieße, den Server selbst zum Gateway zu machen (indem ich ihn zwischen Switch und Router setze) - und genau das mache ich ja nicht.

Warum muss der Server zum Gateway werden?
Bei meinem vorherigen System war das NAS auch kein Gateway.

Der NAS war eimal am Router angeschlossen (DMZ) und einmal am Switch (Intranet).
Das es keine richtige DMZ war ist mir klar, hackt jemand den Server ist er im Intranet.


Viele Grüße, Thorsten

[NCG]

Moin Thorsten,

Warum muss der Server zum Gateway werden?
Bei meinem vorherigen System war das NAS auch kein Gateway.

Der NAS war eimal am Router angeschlossen (DMZ) und einmal am Switch (Intranet).
Das es keine richtige DMZ war ist mir klar, hackt jemand den Server ist er im Intranet.

Du hattest also in etwa das hier beschriebene Szenario - damit fungiert Dein NAS als Gateway für Dein LAN zum Internet - es sei denn, Dein LAN hätte noch eine eigene Leitung zum Internet-Router gehabt.


Einerlei - zurück zu meinem Thema...

Ich habe einen Workaround - wenn ich die Ordner auf dem WHS nicht per Windows-Namen addressiere sondern mit der IP-Adresse des Sondernetzes müßte es gehen. Nicht wirklich schön, aber wenn es klappt - so be it. Dann muß ich auf WHS und Arbeitsrechner nur noch saubere Routingtabellen anlegen - voilá.

Ich probiere das aus, sobald in meinem H340 eine 2. Netzwerkkarte steckt.

[Thorsten_de]

Hallo Zusammen!

Moin Thorsten,
...
Du hattest also in etwa das hier beschriebene Szenario - damit fungiert Dein NAS als Gateway für Dein LAN zum Internet - es sei denn, Dein LAN hätte noch eine eigene Leitung zum Internet-Router gehabt.
...

Nein!
Das NAS war kein Gateway, steht doch im Text.

Anbei habe ich die Grafik von dir Modifiziert, so wird es verständlicher.

Der Hintergrund war bei mir ähnlich wie bei dir, nachts ist der Switch aus.
Nur für die nsync Tasks brauchte das NAS ein Netzwerk ebenso für den Zugriff aus dem Internet.
Deshalb die getrennten Netzwerkbereiche als pseudo DMZ.


Viele Grüße, Thorsten

[max_luehrig]

Hallo,

nach meiner Erfahrung verwendet Windows bei zwei Verbindungen in das gleiche IP-Netz die schnellere Verbindung, sprich 1GBit. Ohne weitere Umstellungen usw.

[NCG]

Hallo Max,

danke für den Hinweis. Nehmen wir mal den Fall, daß alle Leitungen und NICs im gleichen IP-Netz liegen - woher weiß dann der Arbeitsrechner, daß er den WHS über die eine NIC, die Dreambox aber über die andere NIC erreicht? Zwar ist die Leitung zum WHS die schnellere, aber über die werden die Pakete nicht weitergereicht.

Na, wie gesagt - sobald ich eine zweite NIC in meinem WHS habe, werde ich über meine Erfahrungen berichten.

[FrankySt72]

ist ja alles schön und gut.... und nice to have


ABER, die einfachste Lösung ist doch den Switch durch ein 1000MBit-Modell zu ersetzten und gut iss....


Da brauchst Du nicht mit Routen rumzuhantieren, etc. Vor allem Du sparst Stunden an Kopfzerbrechen und rumprobieren und so ein Switch ist mittlerweile sehr erschwinglich. Es sei denn, ich hab etwas in Deiner Anforderungsliste übersehen, was meine Lösung nicht abdeckt (und komm mir nicht mit der Switch braucht Strom).

[HSix]

@NCG
Gibt es hier bereits eine brauchbare Lösung. Positive Erfahrung...?

Gruß,...
Hartmut