Ein punkt wurde im letzten Post ja leider noch nicht besprochen, undzwar was passiert wen die Internet Verbindung ausfällt. Nun der Server routet dann ins lehre. Geht es um den Mail versand so kann man einfach auf denn VPN-Server ein MailRelay installieren (auchtung: Sicherheit geht vor, also beim Konfigurieren auf OpenRelay Problematik achten!). So deswieteren muss man auch noch mal schauen ob man wircklich alle Dienste Relayen kann. Bei einen Webserver sollte man ein Reverse Proxy einsetzen mit einer endsprechenden Fehlermeldung z.B. den text "Ich bin gerade z.Zt. Ofline. Bitte versuchen sie es Später erneut! :-(" oder so ähnlich. Aber auf jeden Fall sind dass alles hier nur Optionale Goodis die man einbauen kann um sagen wir mal so die ganze Sache etwas aufzupeppen. Für die grundlegende Funktionalität sind diese sachen nicht erforderlich.
Deswieteren kann man auch noch die anderen Blog Beiträge anwenden so kann man zumbeispiel einfach mal ein Zweiten Reverse Proxy (aller ISA / TMG) installieren um so mehrere Webserver sicher unterzubringen.
Und da dieses ganze Konzept auf VPN-Verbindungen basiert kann man sich auch gleich mit seinen Mobiel Geräten einwählen und hat so eine sichere Verbindung in sein heimnetz.
Sehr hilfreich ist dieses vorgehen wen man den Router (ich wohne leider in einer WG deswegen habe ich hier das Problem) nicht neu Konfigurieren kann oder darf (Stichwort Portweiterleitungen) dann kann man so diese Problematik umgehen und sich einfach ins Interne netz einwählen wen gleich ich dazu noch sagen muss das man da mit anderen Partein die den Router auch noch benutzen ananeinder geraten kann. Ich habe dieses Probem elegant mit einer Router Kaskade gelöst. Am WG Router hängt ein ISA-Server 2006 dran der sich einfach wie ein normaler Client verhält und sich eine IP-Addresse via DHCP zieht. Intern habe ich die Konfiguration so gehandhabt wie es mir past (z.B. größeres Subnetz, und und und...). Man kann sich so einfach Freiheiten einräumen ohne anderen auf den Schlips zu treten.
Desweiteren kann man natürlih über den Server auch die Netzwerke der Freunde vernetzen, wer viel Daten mit einander austauscht und bereit ist sich nen DD-WRT fähigen Router hinzustellen kann da bereits schon mitmachen (Auch hier ist eine Router Kaskade der einfachste Weg da der neue DD-WRT Router einfach nur dazwischen geschaltet werden muss, aber es muss nichts geändert werden am bestehenden Netzwerk so das etwilige Mitbenutzer der Heimnetzwerks sich einfach weiter normal im Internet oder auch im Internen Netzwerk bewegen können.
Wie man also sieht sind den möglichkeiten keine grenzen gesetzt. Alerdings sollte man sich über die Einteilung der Subnetze gedancken machen da ein Ethernet Tunnel nicht gerade so performant ist da sich Boradcast im gesamten Netzwerk ausbreiten. Am sinvollsten ist es ein Großes Subnetz zu definieren. Anschlißend Routet man dass gesamte subnetz zum Zentral Computer, am Zentral Computer wird dann einfach das jewilige subnetz mit endsprechner subnetz maske zu den einzehlenden Teilnetzen hin geroutet.
Ein Beispiel aus meinen System, dass JenniNet:
JenniNet
10.140.0.0 - 14.149.255.255
Zentralcomputer
10.140.0.0 / 22
Herbrich-W1
10.145.0.0/22
Herbrich-W5
10.147.0.0/22
Herbrich-W3
10.142.0.0/22
Der Rest ist Reseviert für VPN / RAS und für zukünftige Dinste. Alles was in 10.140.XXX.XXX netz ist gehört zu einen Physichen Ort. Das hat den Grund das ich so Logisch mit V-Lans noch unerschiedliche Lokale Teilnetze Bilden kann.
Ganz Nett: Eine eigene TLD
Ich hane im JenniNet (meinen eigenen Netzwerk) die TopLevel Domäne her für Herbrich eingerichtet. Man installiert einfach irgendwo DNS-Server (meistens auf den Zentral Rechner) und hinterlegt dort erstens eine Forward Route (z.B. zu Google-DNS also 8.8.8.8 und 8.8.4.4), dann erstellt man eine eigene DNS-Zone und kann dadrinnen eigene Domains erstellen.
Wer richtig übertreiben mag kann sich noch mit der Windows Server DNS-Api oder einer anderen DNS-API einfach eine eigene domain Registrierungs Seite bauen (ASP.NET / PHP, etc...) und so können die User einfach mal eigene Domain registrieren. Das selbige geht auch für den Webserver (IIS, Apache, Nginx, etc...) wo man einfach ebenfalls über eine API eine Art Hosting Pannel bauen kann.
Als iTüfeltchen kann man sich noch in wenigen Minuten ein Whois Server basteln. Ein SRV record wird einfach mit endsprechenden Daten in DNS hinterlegt. So kann man z.B: einfach ohne Probleme whois.tld einrichten und darauf ein Wohis Service bauen.
Email geht zwar auch mit den Internen TLD,s aber für sowas würde ich mir dann doch schon ehr eine richtige Domain holen. Bei dot.tk giebt es sogar gute TLD,s einfach umsont.
Alerdings hat man schnell je nach benutzer aufkommen Probleme die sich aus Verwaltungs technischer Sicht ergeben. Neben Mobilen Benutzern (diese sollten übrigens auch ein eigenes subnetz, am besten im Verwaltungs Bereich des Zentral Rechners haben^^) giebt auch noch eine menge Stationärer Clients. Für so einen Fall sollte man sich ein Verzeichniss Dienst einrichten, Ich nutze wie könnte es auch anders Sein Microsoft Active Directory. Der Whois ist eine Visua Basic Anwendung die endpsrechende Daten gleich via LDAP abfischt und mit einen String Builder in ein Konformes Format bringt). Eine Zertifizierungs Stelle macht natürlich je nach dem wie viel Spaß man haben will oder wie viel man ausprobieren oder nutzen möchte auch sin, ich habe gleich merere Hirahisch Strukuriert).
Als Zentrale anlauf stelle nutze ich ein Sharepoint Server der ein Intranet bereit stellt. Der Server ist bei mir alerdings etwas größer und mit vmware Virtualisietrt.
Abschlißend noch zu den Grundlegenden Sachen. Ein Zentral Verwalteter DHCP (Der von Microsoft bietet sich darfür gerade nurzu an) ist bei soeiner größen Ordung auf jeden Fall sinvoll. RADIUS-Server vereinfachen die Autentifizierung am W-Lan Netzwerken.
Beispiel: Mein kollege kommt bei mir zu besuch, sein Handy logt sich automatisch ins Acces Point ein weil er dass selbe W-Lan Netz auch zuhaue hat. Genau so funktioniert dass natürlich auch umgekert. im Hintergrund wird da einfach nu ein Radius Server konsultiert.
Für den DHCP ergeben sich alerdings einige Probleme. Da der DHCP sich in Rechenzentrum auf einer vmware befindet bekommt nichts mit von den Broadcasts, aber da kann man auf den Router (DD-WRT) zum glück ein DHCP-Foarwarding einstellen so dass man ohne Probleme die Daten über das IP-Protokoll doch noch an den DHCP-Server bekommt. Der antwortet dan einfach den Router und er fungiert ja eh alls Gateway und verteilt somit die empfangene IP-Addresse an den anragenden Client.
Zum Thema Traffic, je nach Sizing (Dimensionierung) des Netzwerks sollte man sich aber gut überlegen den gesamten Traffic durch den Zentral Rechner laufen zu lassen. desweitren sollte man sowas auch mit Viel vertrauen aufzihen da die Rchtliche Seite bei Missbrauch nicht außer acht zu lassen ist.
Aus diesen Grund wird empfolen den Internet Traffic (0.0.0.0/0) direkt über den WAN Port zu routen und den Intrernen Traffic (also im prinzip alles was mit 10 beginnt) durch den VPN-Tunnel zu jagen. So sind die Internen Dienste ereibar auch wen der normalle Traffic durch,s normale Internet geht.
Bei der Wal des VPN,s sollte man auf den Uplink Tunneln (Site to Site) auf jeden fall auf ipSec setzen. (auch deswegen schon die eigene oben erwähnt Zertifizierungs stelle). PPTP ist auch in Ordnung wen gleich es verdammt unsicher ist. PPTP ist auch zu benutzen wen ipSec nicht geht oder gespeert ist, aber PPTP nocht geht, in diesen Fall wird dann einfach ein tunnel im tunnel gemacht, nämlch ipSec. Aber diese Lösung ist alles andere als gut weil man da einfach das Problem hat dass der Overhead zu hoch wird und die Leitung so langsamer wird. (Mit einen Modem will man ja schlißlich nicht rein oder doch?).
Modem und ISDN?
Wer den eigenen privaten Mini Internet noch Homeserver hinzufügen will, der kann sich natürlci hauch so zuhaue DialIn Nodes bereitstellen. Für solche Spilerein habe ich das Subnetting ja auch extra groß genug gehalten^^.
*Wen das Private mini Internet sich über mehrere Länder erstreckt (geht ja weil das VPN ja durch das normale Internet läuft.) kann man auch lokale Modem Dialins einsetzen und auf diese weise in endsprechenden ländern Günstig oder sogar Gratis (Stichwort Festnetz Flate) im internet Surfen.
Telefonieren?
Ich habe auf den Zentral Computer noch Microsoft Lync Server reingestellt, damit ist Instand Messaging und Telefonie möglich. Und jetzt kommt ein echter Insider Tipp: Bei eventphone bekommt man echte Festnetznummern, man kann zwar nicht mit ihnen Telefonieren aber angerufen werden. So können alle Benutzer mit ihrer eigenen Lync nummer versehen werden. Echt toll oder nicht?
Das war jetzt Privat, kann man es auch Geschäftlich nutzen?
Ja klar kann man dass Geschäftlich nutzen genau so wie ich es hier nieder geschrieben habe. Alerdings sollte man hier noch beachten dass man da einige Policys einfüren sollte. So sollte nicht jeder neue Geräte installieren könnten. Die Daten Dosen sollte man verstopfen mit Radius Autentifizierung, mein LevelOne Switch hat alle Ports Verstopft (Blockiert), um rein zu kommen muss sich jeder neuankömmling erstmal via Radius Autentifiziren.
Was ist bei einer Federation zu beachten?
Das kommt auf die Dienste an, aber erstmal grundlegend folgende Dinge
- Routing
- Namesauflösung (DNS)
Da müssen endsprechende Verbindungen (Routen) geschaffen werden, Das heißt die DNS Zone wird auf den eigenen DNS Repliziert oder Deleigert und umgekert mit der Localen DNS-Zone genau so.
Bei IP werden einfach endsprechende Routen gesetzt (IPv4 und IPv6) wo bei letzteres natürlich nur wen vorhanden
Optional giebt es noch weitere Punkte: z.B. Emails: Warum sollten Emails durch's unsichere Internet gehen wen diese auch Local geroutet werden können, also auch hier einfach einen Connector einsetzen.
Verzeichnisse: Auch das Active Directory sollte mit einer Vertrauensstellung zwischen den beiden Domänen versehen werden.
Lync, Asterisk und co: Natürlich sollten auch die SIP-Server gekoppelt werden und es müssen endsprechende Rufnummernpläne gemacht werden (bei mir #67377#) für Federationen. Anschlißend müssen die SIP-Server auch noch wege finden die Gespräche zu übertragen. Also müssen endsprechende Routen auch da eingetragen werden.
Daten: Optional noch SQL-Server und DFS Repllikationen oder Spiegelungen.
Sharepoint: Da müssen noch vertrauenswürdige Hostspeicherorte für Mysites definiert werden. Ist man im Sharepoint des Federations Partners, dann sollte man auch über den Link "Meine Website" auch auf seine eigene wirckliche MySite kommen und nicht einfach (ungewollt?) eine neue auf den Systemen des federations partners erstellen.
Eigene Entwicklungen: Gemeinsam Standartisierte eigen Entwicklungen müssen einfach System spezifisch verbunden werden, aonsten muss eine eigene Lösung entwickelt werden.
am einfachsten sind WhoIs Dienste: da zu wird einfach ein SRV verwendet, diese werden also schon mit den DNS verbunden.
Die Zertifizierungs Stelle des Federations Partners muss enweder als Kreuzzertifizrungsstelle auselegt werden oder aber (der einfachste Weg) in die Lokale Active Directory gruppen richtlinie eingefügt werden. Nicht desdo trotz müssen aber trotzdim die CRL (Zertifikat Speerlisten) ausgetauscht werden. Da zu mus ein endsprechender Punkt veröffentlicht werden. Eine zusätzliche URL (Falls nicht schon vorhanden) in HTTP sollte reichen. Aber auch mich mahct eigentlich Active Directory schon den ganzen kram automatisch im Hinterrund sobald eine Vertrauensstellung aufgebaut wird ist der LDAP Path ja ereichbar und so kann dieser zum bezihen der CRL herangezogen werden.
Schlusswort
So auch wenn das ein wenig am Titel vrobei gerauscht ist am ende so habt ihr hier eine tolle Inspriation euer eigenes Internet im Internet für euch und eure Freunde zu machen. Natürlich müsst ihr nicht alles implementieren, ihr sied an dieser stelle einfach mal gefordert das einzubauen was ihr haben wollt oder das weg zu lassen was ihr nicht wollt. Da diese Lösung eigentlich recht Modular ist könnt ihr diese ohne Probleme auch nach einiger Zeit weiter ausbauen.
Schreibt doch einfach in die Komentare was ihr drinnen haben würdet, und was ihr weg lassen würdet. Und ob ihr vor habt sowas oder etwas ähnliches mal umzusetzen. Auf wunsch veröffentliche ich mal auf meiner homepae
www.herbrich.org im Computer bereich auch gerne Tutorials dazu,