Bandbreite managen

[haggi]

Hi Leute !

Da ich bald in eine WG ziehe, wollte ich mir ein paar Gedanken über die geplante Vernetzung machen.

Geplant ist folgendes: Ein Rechner den wir wunderbar in eine Kammer stellen können soll als Server Dienen (Fileserver, HTTP und Mail). Desweiteren sind 3-4 Clients in aussicht (einer pro Person in der WG und einer in der Küche).

Bisher wollten wir uns einen Gigabit-Switch + entsprechende Karten kaufen, und alle Rechner an diesem Switch anschliessen. Und da bin ich auf ein Problem gestossen. Da wir alle recht aktiv das Internet nutzen würde ich gerne die Möglichkeit schaffen, das jeder eine mindestbandbreite zugesichert bekommt. Am besten wärs wenn das ganze Dynamisch gestaltet wird, also das wenn nur einer im Internet ist und die andern beiden nicht er die volle Banbdreite bekommt. Habe mich also ein wenig umgehört und es gibt wohl eine Tool namens QoS von fli4l das zumindest ähnliches realisiert (genau hab ich mich noch nicht damit auseinander gesetzt).

Sehe ich es richtig das für meinen bisher geplanten Aufbau diese Lösung nicht greift, weil der Verkehr ja direkt über den Router geht und den "Server" garnicht passiert.... ergo würde QoS (wenn denn installiert) nichts regeln können.

Habt ihr vielleicht eine andere Idee wie ich das Regeln könnte? Ich hoffe es gibt mehr als den Ausweg 4-5 LAN-Karten in den "Server" zu hauen um so alle Clients direkt anzuschliessen. Das wäre erstens etwas zu teuer und zweitens Macht der PCI-Bus soviel bestimmt nicht mit.

Vielen Dank im Vorraus+MfG

Haggi
_________________
Software is like sex: it's better when it's free,
but it can be very expensive if you don't secure it!

[Knirps]

Hi,
ja das siehst du richtig aber wie schlau ist dein router ? kannste ihn so einstellen das er die daten nur zu einem netz routen soll ? Dann bau einfach in den server nochne nw karte ein und nutze ihn so als second site router dadurch kannst du das realisierenn was du vorhast

cu
Knirps

[Miggi]

Du brauchst ja höchstens zwei Netzwerkkarten im Server! Die eine vebindest du direkt mit dem Router und die andere an den Switch, von wo aus dann die anderen PCs verbunden sind

[haggi]

@ Knirps: es ist momentan alles nur Planung was ich betreibe... Also den Switch würd ich noch aussuchen... falls du einen Vorschlag hast, nur raus damit

@mkessler: jo dann bekommt der Server aber den Datenverkehr nicht mit, und kann nicht "managen"

MfG
Haggi
_________________
Software is like sex: it's better when it's free,
but it can be very expensive if you don't secure it!

[haggi]

hmm mir ist gerade aufgefallen, das es kaum 1000mbit-Switches mit integriertem DSL-Router gibt. Davon bin ich bisher zumindest ausgegangen... das heißt ich müsste noch einen DSL-Router hinter den Switch klemmen ? Ich hab das mal versucht zu skizzieren (nicht hübsch) :

[img:4b7476678b]http://home.arcor.de/zachat/test/2.jpg[/img:4b7476678b]

also so würds doch ungefähr mit der Switch - DSL-Router Lösung aussehen oder ? Die rote Verbindung links würde zutreffen wenn es einen (wenn möglich günstigen) Switch mit integriertem DSL-Router gibt.

Mal angenommen ich mach es mit einem zusätzlichem Router: ich kann mir vorstellen das ich dem dann sagen kann: aller Verkehr aus dem Internet soll an den Server geschickt werden. Der könnte dann die Bandbreite regeln, und die Daten zum Ziel schicken. Damit hätte ich zumindest schonmal den Inbound geregelt. Das gleiche könnte man dann doch auch für den Outbound machen oder ? Also das die Daten vom Client über den Switch zum Router gelangen, der sagt erstmal zurück zum Server dort wird wieder die Bandbreite gereeglt und dann ins Internet ?

Ist das sinnvoll / möglich ? Irgendeine bessere Lösung ?

MfG
Haggi
_________________
Software is like sex: it's better when it's free,
but it can be very expensive if you don't secure it!

[think4urs11]

Hi!

Mach es dir doch nicht unnötig kompliziert...

Den Server 'nebenbei' QoS und womöglich noch Firewall+Router spielen zu lassen ist Nonsense - auch und gerade aus Security-Sicht.

Ich würde das so machen:
benötigte Hardware:
- ein alter Pentium (100Mhz+) mit 2 NIC
- ein (Gigabit)-Switch, nicht managebar (wg. Preis) mit RJ45-Anschlüssen (Glasfaserkabel in einer WG muß nich sein)

an NIC 1 im Pentium kommt der DSL-Anschluß
an NIC 2 der Switch
an Switchport 2-x kommen die Server, Clients, whatever

der Pentium wird als Router/Firewall incl. QoS installiert.

Lokaler Traffic (Client <--> Server) läuft über die Switch-Backplane und der Pentium bekommt davon gar nichts mit (abgesehen von Broadcasts, M$ sei Dank...)
Remote-Traffic (Client <--> Internet) geht über den Switch zum Router, der Server bekommt nichts davon mit

Der Pentium ist auch kein 'Bremsklotz', jedenfalls solange wir von einer Internetanbindung <~5-8MBit sprechen wenn QoS mitspielt, ansonsten würde ich dieser Konstruktion auch 15MBit zutrauen.

Hoffentlich hab ich jetzt alle Klarheiten beseitigt

HTH
T.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself

[haggi]

Hi Think4UrS11,

ist es nicht unklug den Server direkt ans Internet anzuschließen mit Firewall _und_ Routing Funktion installiert? Hab mal irgendwo gehört Router und Firewall gehören nicht zusammen auf einen Rechner.. Aber ich könnte doch noch einen extra DSL-Router (hab ich noch übrig) _direkt_ an den Server anschließen. Somit hätte ich den Server vom Netz entkoppelt und die Firewall übernimmt dann der DSL-Router. Damit hätte sich das eigentlich auch geklärt mit Internet Traffic.... den Route ich dann von den Clients direkt auf den Server, der verwaltet die Bandbreite und schickt sie dann zum DSL-Router.

Vielen Dank für die Anregung

Hat jemand schon einmal QoS konfiguriert, bzw. Erfahrung damit ? Oder eine Anleitung wäre auch cool.

MfG
Haggi
_________________
Software is like sex: it's better when it's free,
but it can be very expensive if you don't secure it!

[think4urs11]

Ups, ich sehe schon ich rede manchmal wirr

Gedacht war das eigentlich schon so das der alte Pentium ZUSÄTZLICH zum schon vorhandenen Server vorhanden sein muß. Schließlich bin ich selbst paranoid aka Firewall-Admin

Einen kleinen DSL-Router (Netgear, Linksys, whatever) ranhängen ist zwar prinzipiell möglich aber sub-optimal.
Wozu dem 'armen' Server den ganzen Internet-Traffic aufs Auge drücken? OK, wg. dem Traffic-Shaping müßte es sein weil DSL-Router das normalerweise nicht können.
obwohl... man nehme einen Cisco 2600 oder so, der kann das

Dann doch lieber so:

DSL-Anschluß <--> Pentium <--> Switch <--> Server/Clients

IP-Adressen:
DSL - dynamisch
Pentium: 192.168.0.1
Server: 192.168.0.10
Clients: 192.168.0.100-254

Default-Gateway für Server und Clients: 192.168.0.1
Default-Gateway für Pentium: ppp0 (oder worüber auch immer der Internettraffic reinkommen wird)
Und ein alter Penti ist nun wirklich nicht mehr teuer, ebay sei dank...
Außerdem mußt du den gewaltigen Lerneffekt bedenken den das bringt! Firewall, Traffic-Shaping, Routing, ...

Zum Thema QoS sollte der Link die meisten Fragen erschlagen könnnen: http://lartc.org/howto/

noch Fragen, Kienzle? *g*

[edit]
genau so eine Konstruktion will ich mir hier auch aufziehen demnächst, nur nehm ich statt eines alten Pentium ein VIA-Eden-CL Board und bau auch gleich noch eine WLAN-Karte mit dran und hab einen Accesspoint zusätzlich integriert - wennschon, dennschon
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself

[haggi]

hey Think4UrS11,
also das mit dem extra Rechner ist (abgesehen von den Stromkosten) kein Problem. Alte Hardware hab ich noch genug. Die Frage ist ob es so viel vorteilhafter ist. Die 4mbit Leitung wird den Server denk ich kaum jucken, der ist leistungstark genug.

Mit der Firewall im Router war ich bisher ziemlich zufrieden, würde die Linux-Firewall auf dem extra Rechner solche Vorteile bringen (konfiguration / effektivität) ? Mit Iptables hab ich mich noch nicht auseinander gesetzt deswegen hab ich nicht so den Vergleich.

Achso, den DSL-Router den ich noch habe, ist ein WLAN-Router und wird bei mir auch als AccessPoint dienen, und den Rechner in der Küche mit MP3's und Lifestreams füttern (Es wäre cool wenn ich TV über WLAN übertragen kann, aber kA ob 54mbit dafür genügen..., das ist aber ein anderes Thema, ich schweife ab...).

Sprich für mich ist der zusätzliche Rechner eher unwichtig, ausser du sagst ein extra Rechner mit Linux-Firewall bringt starke vorteile. Also 2 Netzwerkkarten in den Server, eine mit dem DSL-Router und eine mit dem Switch verbinden.

Internet<-->WLAN-DSL-Router <--> Server <--> Switch <-->Clients

[think4urs11]

Ein Problem fällt mir so spontan noch ein bei deiner Konstruktion mit dem Router.
Ich nehme mal an das ist ein Feld/Wald/Wiesen-Teil das NAT und VPN-Passthrough macht, richtig?
Dann ist es zumindest schwerer VPN-Tunnel aufzubauen - mit einem eigenen PC als Router würde dieser den VPN-Endpunkt machen!

OK, ein Netgear FVM318 kann auch VPN-Endpunkt spielen...

Aber effektiver wäre es mit Eigenlösung auch. Ich wüßte spontan keinen (Billig)Router der so fein konfiguriert werden könnte wie es mit iptables möglich ist. Eben Traffic-Shaping, Port Forwarding, VPN, DNS-Proxy; Intrusion-Detection auf dem internen Interface (also was durch die FW noch durchkam) usw. usf. Meinetwegen noch einen HTTP-Proxy dazu. Ist aus Security-Sicht grad noch so im Rahmen

Aber vielleicht bin ich auch nur schon zu verrückt *g*

54MBit müßten eigentlich reichen für was DivX'iges wenn wir schon dabei sind...
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself

[haggi]

Ich seh schon, hier hab ich in Sachen sicherheit den richtigen erwischt
Denke damit ich erstmal nicht den überbrlick verliere bau ich es in der "einfachen" Variante auf. Aber später juckt es mir dann nun auch unter den Fingern noch den extra Rechner reinzuschieben Dann werd ich aber bestimmt noch mal (deine) Hilfe benötigen...

[think4urs11]

no prob

bis dahin hab ich (denke ich mal) zumindest mal meine Hardware zusammengekauft.
Und wer weiß, wenn ich ausnahmsweise mal nicht zu faul bin schreibsel ich ein kleines HowTo für "Documentation, Tips & Tricks"
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself

[toskala]

Haggi: hmm, wenn ich zuhause bin kann ich ja mal in meinen scripten rumsuchen, ich hab da n firewall/routing script das auch die korrekten traffic-shaper sachen mit tc regelt.

das szenario ist ganz ähnlich: 1x dsl flat, 1x linux gateway (router+firewall), 3rechner, alle drei wollen saugen, tc regelt die bandbreitenverteilung.

ich hoff mal ich find das wieder.
_________________
adopt an unanswered post
erst denken, dann posten

[haggi]

würd mich riesig freuen

MfG
Haggi
_________________
Software is like sex: it's better when it's free,
but it can be very expensive if you don't secure it!