znaczacy > comp.os.* > comp.os.linux.sieci

m.s.w (29.05.2009, 16:46)
Witam,
Chcę prosić o radę i sugestie dotyczące organizacji sieci komputerowej
wewnątrz małego biura.
Trochę szukam po internecie i znalazłem trochę materiałów o topologii
sieci LAN, parę prac magisterskich etc. ale dotyczą one często bardzo
zaawansowanych i rozbudowanych sieci LAN. Nie mam takiej rozległej
sieci, nie mam też funduszy na kupowanie 3 dodatkowych komputerów po to
aby zreorganizować sieć (osobno serwer plików, osobno firewall/router i
osobno serwer www) Dlatego proszę o poradę.
Małe biuro oznacza, że jest 5 osób z komputerami (1 połączenie kablowe,
reszta WiFi). Jest też drukarka sieciowa (z itefejsem sieciowym). Będę
miał stałe łącze z zewnętrznym IP (stałym).
W związku z tym, że zmieniamy biuro to chciałbym sieć przeorganizować na
lepszy (bardziej sprawny) poziom. w tej chwili oczywiście pracujemy
stosując proste udostępnianie folderów w sieci, ale teraz chciałbym mieć
serwer który będzie spełniał rolę:
- serwera plików (samba)
- serwera vpn (openVPN?) ponieważ jest jeszcze jedna osoba pracująca zdalnie
- serwera www (po to aby można było wystawić jakieś aplikacje webowe,
tylko do użytku wewnętrznego)
- serwera pocztowego (tutaj nie wiem do końca, myślę o jakimś sposobie
ściąganie poczty w tle dla każdego użytkownika, po to aby odbieranie
poczty było szybkie wtedy kiedy jest odbierana przez użytkowników)

Chodzi mi o to, że nie do końca wiem jak zorganizować tą sieć. Czy ten
"SERWER" który chcę mieć powinien być jednocześnie firewallem/routerem,
który będzie pierwszy i jedyny bezpośrednio podłączony do łącza
internetowego, a reszta poprzez switch/AP czy może kupić jakiś router z
firewallem, a serwer podłączyć po stronie LAN i dać go do strefy DMZ?
Czy może jeszcze inaczej?
Ja wiem, że to są amatorskie pytania, ale budżet mam ograniczony. będę
wynajmował informatyka do postawienia serwera, ale chciałbym jego opinię
zderzyć z opiniami innych doświadczonych osób.
Dodatkowo zastanawiam się czy w biurze serwer ten ma być kontrolerem
domeny, czy dalej pracować w sieci bez domen w windowsowskich grupach
roboczych?

Pozdrawiam,
m.s.w
Mateusz Viste (29.05.2009, 17:12)
On Friday 29 May 2009 16:46, m.s.w wrote:
> Chodzi mi o to, ze nie do konca wiem jak zorganizowac ta siec. Czy ten
> "SERWER" który chce miec powinien byc jednoczesnie firewallem/routerem,
> który bedzie pierwszy i jedyny bezposrednio podlaczony do lacza
> internetowego, a reszta poprzez switch/AP czy moze kupic jakis router z
> firewallem, a serwer podlaczyc po stronie LAN i dac go do strefy DMZ?


Firewall i serwer plików na jednym hoscie to wedlug mnie poroniony pomysl.

Ja zrobilbym to tak:

Jako firewall dystrybucja m0n0wall (zapewni ci NAT, filtering, bramke VPN i
ew. cache DNS). Do tego zastosowania komputer moze byc kazdy (chocby
Pentium 300 z 64 MiB RAM), wazne, by mial 3 interfejsy sieciowe. Nawet HDD
nie musi miec (startuje z LiveCD, a konfiguracje zapisuje na FDD lub USB)

Interfesjy nazywamy tak:
IN - tu bedzie podpiety switch, spinajacy stacje klienckie + maszyna robiaca
za wewnetrzny serwer www i zasoby samby.
DMZ - tu kabelek crossowy, biegnacy do serwera (poczta + wszelkie inne
publiczne uslugi)
OUT - modem/router

Jesli chodzi o VPNa, zalecam korzystanie z IPsec, a jako klienta IPsec (dla
klientów zdalnych) mozesz uzyc darmowego Shrew.

> Ja wiem, ze to sa amatorskie pytania, ale budzet mam ograniczony. bede
> wynajmowal informatyka do postawienia serwera,


Skoro budzet ograniczony, lepiej zainwestowac to co sie ma w sprzet, a siec
zrobic samemu... Postawic m0n0wall'a, serwer poczty (postfix), serwer www
(Apache/lighttpd/cokolwiek co tam chcesz) to nie jest zadna wielka
filozofia...

Pozdrawiam,
Mateusz Viste
Lemat (29.05.2009, 17:19)
m.s.w wrote:

> W zwiazku z tym, ze zmieniamy biuro to chcialbym siec przeorganizowac na
> lepszy (bardziej sprawny) poziom. w tej chwili oczywiscie pracujemy
> stosujac proste udostepnianie folderów w sieci, ale teraz chcialbym miec
> serwer który bedzie spelnial role:
> - serwera plików (samba)


i ftp,sftp

> - serwera vpn (openVPN?) poniewaz jest jeszcze jedna osoba pracujaca
> zdalnie - serwera www (po to aby mozna bylo wystawic jakies aplikacje
> webowe, tylko do uzytku wewnetrznego)


a potrzebny jej dostep do plików na komputerach lokalnych? jezeli nie to
tylko dostep do ftp,sftp

> - serwera pocztowego (tutaj nie wiem do konca, mysle o jakims sposobie
> sciaganie poczty w tle dla kazdego uzytkownika, po to aby odbieranie
> poczty bylo szybkie wtedy kiedy jest odbierana przez uzytkowników)


to mozesz sobie odpuscic

> Chodzi mi o to, ze nie do konca wiem jak zorganizowac ta siec. Czy ten
> "SERWER" który chce miec powinien byc jednoczesnie firewallem/routerem,
> który bedzie pierwszy i jedyny bezposrednio podlaczony do lacza
> internetowego, a reszta poprzez switch/AP


moze tak byc

> Dodatkowo zastanawiam sie czy w biurze serwer ten ma byc kontrolerem
> domeny, czy dalej pracowac w sieci bez domen w windowsowskich grupach
> roboczych?


kontroler domeny daje ci to, ze lista uzytkowników jest przechowywana na
serwerze i udostepniajac katalog na pececie masz do wyboru tych uzytkowników
- nie musisz dodawac na kazdym pececie nowych uzytkowników i dbac o
aktualnosc hasel.
Olek (30.05.2009, 16:55)
Mateusz Viste wrote:
> Firewall i serwer plików na jednym hoscie to wedlug mnie poroniony pomysl.


No nie do konca, przy drugim komputerze dwukrotnie wzrasta
prawdopodobienstwo z: palacym sie zasilaczem, zapychajacym sie
wiatrakiem lub jego lozyskiem w zasilaczu lub procesorze, psujacym sie
napedem (czy to HD czy CD).
Dodatkowo masz 2x wiecej do roboty przy:
- nastepnym urzadzeniu do podtrzymania przez UPS,
- stracie czasu na aktualizacje systemu,
- rózne dystrybucje na obu tych maszynach wymagaja sledzenia dwukrotnej
ilosci wiadomosci o koniecznych poprawkach.

Przeciez ten firewall to ma byc natownica, a nie ochrona tajemnic pentagonu.
m.s.w (30.05.2009, 17:16)
Olek pisze:
> Mateusz Viste wrote:
>> Firewall i serwer plików na jednym hoście to według mnie poroniony
>> pomysł. /.../

> Przecież ten firewall to ma być natownica, a nie ochrona tajemnic
> pentagonu.


Dobrze powiedziane.
Czyli to nie jest takie głupie, aby mieć:

Łącze_od_dostawcy-->SERWER_ALL_IN_ONE--->switch, a do switcha
podpięty po kablu jeden komputer, oraz AP bezprzewodowy, w celu
podłączenia laptopów?

Serwer_all_in_one czyli: komputer z Debianem, iptables, samba, LAMP,
ftp, vpn.

m.s.w
Wojtek Pietruszewski (30.05.2009, 17:25)
"m.s.w" <m.s.w> wrote in message news:dao1
[..]
> Małe biuro oznacza, że jest 5 osób z komputerami (1 połączenie kablowe,
> reszta WiFi). Jest też drukarka sieciowa (z itefejsem sieciowym). Będę
> miał stałe łącze z zewnętrznym IP (stałym).


Do zadań administracyjnych

[..]
> - serwera pocztowego (tutaj nie wiem do końca, myślę o jakimś sposobie
> ściąganie poczty w tle dla każdego użytkownika, po to aby odbieranie
> poczty było szybkie wtedy kiedy jest odbierana przez użytkowników)


Tutaj bym się zastanawiał, kiedyś to przerabiałem, ale strasznie obciąża łącze..

> Chodzi mi o to, że nie do końca wiem jak zorganizować tą sieć. Czy ten
> "SERWER" który chcę mieć powinien być jednocześnie firewallem/routerem,
> który będzie pierwszy i jedyny bezpośrednio podłączony do łącza
> internetowego, a reszta poprzez switch/AP czy może kupić jakiś router z
> firewallem, a serwer podłączyć po stronie LAN i dać go do strefy DMZ?
> Czy może jeszcze inaczej?


To raczej zależy co chcesz osiągnąć.. możesz kupić np. Linksysa WRT* i wgrać w
niego alternatywnego softa.

> Ja wiem, że to są amatorskie pytania, ale budżet mam ograniczony. będę
> wynajmował informatyka do postawienia serwera, ale chciałbym jego opinię
> zderzyć z opiniami innych doświadczonych osób.
> Dodatkowo zastanawiam się czy w biurze serwer ten ma być kontrolerem
> domeny, czy dalej pracować w sieci bez domen w windowsowskich grupach
> roboczych?


Jeżeli są tylko komputery stacjonarne to raczej w grupie roboczej, jeżeli jest
przemiał użytkowników między kompami to domena.
Domena czasami utrudnia życie, ładowanie plików. Ja spotykam się z taką
rzeczą... użytkownik w domu robi porządki na pulpicie, wywala ok 2GB plików,
przchodzi do biura i marudzi że wolno się profil ładuje...

> Pozdrawiam,
> m.s.w


Jako router, firewall polecam FreeBSD, nie będziesz potrzebował do tego szybkiej
maszyny. Odpowiedni sprzęt dostaniesz za 100 zł.

Jako serwer plików skorzystałbym z CentOS (wsparcie dla sporej ilości sprzętu)
albo FreeBSD(jeżeli serwer nie będzie super nowoczesny).
m.s.w (02.06.2009, 13:51)
Dziękuje wszystkim za podpowiedzi, ale kontynuując temat i waszą
znajomość tematu chciałem prosić o jeszcze jedną radę. Dlaczego was?
Ponieważ osoba, która na obiekcie jest administratorem i która chciałaby
przyjąć zlecenie postawienia takiego serwera, nie chce mi udzielić
żadnej porady tylko staje na stanowisku, że zrobi to co chcę. A ja jako
laik nie do końca wiem co chcę...
Otóż, dzięki waszym sugestiom ustaliłem, że zrobię po prostu komputer,
który będzie jednocześnie serwerem plików, www i firewallem oraz routerem.
Moje pytania teraz dotyczą sprzętu. Czy RAID5 - software czy hardware?
Czytałem na stronie Redhata o różnicach, ale sądząc po podanych kosztach
sprzętowych kontrolerów RAID opisy te są dosyć stare.
Interesuje mnie jak to jest w tej chwili. No a wogóle to pytanie czy dla
tak małej ilości użytkonwików ( 5 - 7) warto wogóle bawić się w RAID czy
po prostu lepiej zautomatyzować sobie proces robienia kopii zapasowych
poprzez kopiowanie zawartości dysku na inny dysk (np. zewnętrzny) czy
też na DVD.
Pytanie o sprzęt dotyczy również samego komputera. Czy HP, czy może
DELL? Czy karty sieciowe intela czy może innego producenta?

Jeżeli to NTG to przepraszam.

Pozdrawiam,
m.s.w
Mariusz Kruk (02.06.2009, 13:54)
epsilon$ while read LINE; do echo \>"$LINE"; done < "m.s.w"
>Dziękuje wszystkim za podpowiedzi, ale kontynuując temat i waszą
>znajomość tematu chciałem prosić o jeszcze jedną radę. Dlaczego was?
>Ponieważ osoba, która na obiekcie jest administratorem i która chciałaby
>przyjąć zlecenie postawienia takiego serwera, nie chce mi udzielić
>żadnej porady tylko staje na stanowisku, że zrobi to co chcę. A ja jako
>laik nie do końca wiem co chcę...


Poniekąd ma rację. W ten sposób nie będziesz mieć do niego pretensji że
jakieś rozwiązanie jest złe.

>Otóż, dzięki waszym sugestiom ustaliłem, że zrobię po prostu komputer,
>który będzie jednocześnie serwerem plików, www i firewallem oraz routerem.
>Moje pytania teraz dotyczą sprzętu. Czy RAID5 - software czy hardware?
>Czytałem na stronie Redhata o różnicach, ale sądząc po podanych kosztach
>sprzętowych kontrolerów RAID opisy te są dosyć stare.
>Interesuje mnie jak to jest w tej chwili. No a wogóle to pytanie czy dla
>tak małej ilości użytkonwików ( 5 - 7) warto wogóle bawić się w RAID


A po diabła?

>czy
>po prostu lepiej zautomatyzować sobie proces robienia kopii zapasowych
>poprzez kopiowanie zawartości dysku na inny dysk (np. zewnętrzny) czy
>też na DVD.


Ale wiesz, że RAID to nie to samo, co backup?
Lemat (02.06.2009, 14:04)
m.s.w wrote:

> Dziekuje wszystkim za podpowiedzi, ale kontynuujac temat i wasza
> znajomosc tematu chcialem prosic o jeszcze jedna rade. Dlaczego was?
> Poniewaz osoba, która na obiekcie jest administratorem i która chcialaby
> przyjac zlecenie postawienia takiego serwera, nie chce mi udzielic
> zadnej porady tylko staje na stanowisku, ze zrobi to co chce. A ja jako
> laik nie do konca wiem co chce...
> Otóz, dzieki waszym sugestiom ustalilem, ze zrobie po prostu komputer,
> który bedzie jednoczesnie serwerem plików, www i firewallem oraz routerem.
> Moje pytania teraz dotycza sprzetu. Czy RAID5 - software czy hardware?


stac cie na hardware?
czy dane które bedziesz trzymal sa proporcjonalne do budzetu na ten sprzet?

> Czytalem na stronie Redhata o róznicach, ale sadzac po podanych kosztach
> sprzetowych kontrolerów RAID opisy te sa dosyc stare.
> Interesuje mnie jak to jest w tej chwili. No a wogóle to pytanie czy dla
> tak malej ilosci uzytkonwików ( 5 - 7) warto wogóle bawic sie w RAID czy
> po prostu lepiej zautomatyzowac sobie proces robienia kopii zapasowych
> poprzez kopiowanie zawartosci dysku na inny dysk (np. zewnetrzny) czy
> tez na DVD.


Raid (jakikolwiek) nie zastapi backupu. Ludzie dziela sie na takich, którzy
robia backupy i beda robili backupy.

> Czy karty sieciowe intela czy moze innego producenta?


Dla 7 osób? Nie ma znaczenia.
m.s.w (02.06.2009, 21:00)
Lemat pisze:
> m.s.w wrote: /.../
>> Moje pytania teraz dotyczą sprzętu. Czy RAID5 - software czy hardware?

> stać cię na hardware?

No wg. tego co oferują np. Dell czy HP to tak (bo nie dokońca wiem
jaki kontroler i raptem 500PLN co stanowi 10% ceny netto serwera.
Mnie nie stać, firma przeżyje jeżeli tak trzeba.

> czy dane które będziesz trzymał są proporcjonalne do budżetu na ten sprzęt? No tu właśnie mam wątpliwości.


/../
> Raid (jakikolwiek) nie zastąpi backupu. Ludzie dzielą się na takich, którzy
> robia backupy i będą robili backupy.

To wiem. Byłem w grupie drugiej, jestem w pierwszej. Okupiłem to
bólem głowy. I prywatnie i w firmie.

>> Czy karty sieciowe intela czy może innego producenta?

> Dla 7 osób? Nie ma znaczenia.

Dzięki za konkret.
m.s.w (02.06.2009, 21:01)
Mariusz Kruk pisze:
/../

> Ale wiesz, że RAID to nie to samo, co backup?


Wiem,
Michal \Wolvverine\ Panasiewicz (04.08.2009, 12:57)
Dnia 2009-05-30, sob o godzinie 17:16 +0200, m.s.w pisze:
> Olek pisze:
> /.../
> Dobrze powiedziane.
> Czyli to nie jest takie glupie, aby miec:
> Lacze_od_dostawcy-->SERWER_ALL_IN_ONE--->switch, a do switcha
> podpiety po kablu jeden komputer, oraz AP bezprzewodowy, w celu
> podlaczenia laptopów?
> Serwer_all_in_one czyli: komputer z Debianem, iptables, samba, LAMP,
> ftp, vpn.

lub tez:
Lacze_od_dostawcy --> (tutaj np:router-firewall-AP np: linksys) -->
serwer z ESXi (osobne wirtualki na nim) lub SERWER_ALL_IN_ONE --> switch
--> stacje robocze

AP izolowalbym i kontrolowal jesli chodzi o polaczenia do sieci
wewnetrznej.
Michal \Wolvverine\ Panasiewicz (04.08.2009, 13:12)
Dnia 2009-06-02, wto o godzinie 13:51 +0200, m.s.w pisze:
....
> Otóz, dzieki waszym sugestiom ustalilem, ze zrobie po prostu komputer,
> który bedzie jednoczesnie serwerem plików, www i firewallem oraz routerem.

czy ten komputer bedzie udostepnial uslugi na zewnatrz???? Czy tylko
lokalnie?

> Moje pytania teraz dotycza sprzetu. Czy RAID5 - software czy hardware?
> Czytalem na stronie Redhata o róznicach, ale sadzac po podanych kosztach
> sprzetowych kontrolerów RAID opisy te sa dosyc stare.
> Interesuje mnie jak to jest w tej chwili. No a wogóle to pytanie czydla
> tak malej ilosci uzytkonwików ( 5 - 7) warto wogóle bawic sie w RAID


Postaw software RAID-1, sprzetowy 5 wyjdzie sporo drozej (nie napisales
ile danych masz zamiar tam trzymac),sadze ze raczej 5 nie jest ci
potrzebna.
> czy
> po prostu lepiej zautomatyzowac sobie proces robienia kopii zapasowych
> poprzez kopiowanie zawartosci dysku na inny dysk (np. zewnetrzny) czy
> tez na DVD.


RAID to nie backup, RAID zapewnia ciaglosc pracy i mozliwosc wymiany
uszkodzonego dysku w dogodnym momencie.

Jak najbardziej proces robienia kopi zapasowych (backup) powinien byc
zautomatyzowany (bacula, backuppc, amanda ...).

Mozesz robic na dysk i co jakis czas przenosic kopie naDVD/tasme (choc
zastanów sie tez ile bedzie tych danych, szybko moze sie okazac ze DVD
to za malo, wiec streamer moze byc dobrym pomyslem, ewentualnie
nagrywarka BLUE-RAY)
Michal \Wolvverine\ Panasiewicz (04.08.2009, 13:34)
Dnia 2009-05-30, sob o godzinie 17:25 +0200, Wojtek Pietruszewski pisze:
> "m.s.w" <m.s.w> wrote in message news:dao1
> > W zwiazku z tym, ze zmieniamy biuro to chcialbym siec przeorganizowac na
> > lepszy (bardziej sprawny) poziom. w tej chwili oczywiscie pracujemy
> > stosujac proste udostepnianie folderów w sieci, ale teraz chcialbym miec
> > serwer który bedzie spelnial role:
> > - serwera plików (samba) zastanów sie nad tym czy nie wdrozyc SAMBY jako kontroler domeny windows


> > - serwera vpn (openVPN?) poniewaz jest jeszcze jedna osoba pracujaca zdalnie wspomniany linksys z VPN i AP


> > - serwera www (po to aby mozna bylo wystawic jakiesaplikacje webowe,
> > tylko do uzytku wewnetrznego)
> > - serwera pocztowego (tutaj nie wiem do konca, mysle o jakims sposobie
> > sciaganie poczty w tle dla kazdego uzytkownika, po to aby odbieranie
> > poczty bylo szybkie wtedy kiedy jest odbierana przez uzytkowników)


IMHO nie ma sensu, jesli masz zewnetrzny hosting pocztowy (chyba ze w
gre wchodza inne wzgledy niz podales)

> > Dodatkowo zastanawiam sie czy w biurze serwer ten ma byc kontrolerem
> > domeny, czy dalej pracowac w sieci bez domen w windowsowskich grupach
> > roboczych?

Domena IMHO jest lepszym pomyslem ( dodatkowo majac mobilne profile masz
mozliwosc latwego i prostego ich backupu z serwera, i wrazie padu dysku
w komputerze/notebooku nie ma problemu z szybkim
przygotowaniem/przesiadka do innego)
> Jezeli sa tylko komputery stacjonarne to raczej w grupie roboczej, jezeli jest
> przemial uzytkowników miedzy kompami to domena.


jezeli sa stacjonarne to IMHO tym bardziej domena.
komputer zawsze moze sie zepsuc (w domenie masz mozliwosc pracy na
innym), a serwer (domeny/plików) zwykle ma/powinien miec zabezpieczenia
przed padem zdecydowanie wieksze niz stacja robocza. (zawsze tez mozna
dac zapasowy jesli jest to krytyczne z punktu widzenia firmy.)

> Domena czasami utrudnia zycie, ladowanie plików. Ja spotykam sie z taka
> rzecza... uzytkownik w domu robi porzadki na pulpicie, wywala ok 2GB plików,
> przchodzi do biura i marudzi ze wolno sie profil laduje..


wprowadzenie odpowiedniej polityki, quota, wprowadzenie odpowiednich
ustawien, wydajnosc sieci
Michal \Wolvverine\ Panasiewicz (04.08.2009, 13:42)
Dnia 2009-05-29, pia o godzinie 17:19 +0200, Lemat pisze:
> m.s.w wrote: ....
> kontroler domeny daje ci to, ze lista uzytkowników jest przechowywana na
> serwerze i udostepniajac katalog na pececie masz do wyboru tychuzytkowników
> - nie musisz dodawac na kazdym pececie nowych uzytkowników i dbac o
> aktualnosc hasel.


i mozliwosc innych ustawien w jednym miejscu zamiast napojedynczych
stacjach (co z czasem prowadzi do balaganu i problemów ze
zdiagnozowaniem co jest nie tak, dodatkowo zbliza sie SAMBA 4 z AD i
GPO), jesli firma planuje rozwój to w pewnym momencie bez wprowadzenia
centralnego zarzadzania i tak sie nie obejdzie.
Podobne wątki