"SoHo" ist unser privates Vergnügungsviertel im DSL-versorgten Berliner Umland. Da wir regelmäßig daheim arbeiten (ich selbst als Freiberufler, und meine Frau hat ihr Büro in einem Nebengebäude eingerichtet) haben wir uns eine entsprechende Infrastruktur eingerichtet. Für ein Büro mit kleinem (aber auch wieder nicht zu sparsam bemessenem) Budget kann das ein Beispiel abgeben. Vielleicht können Sie mit einigen Anregungen etwas anfangen.

Übersicht

Ich habe auf meinen Reisen entweder über das Kundennetz oder eine UMTS-Verbindung jederzeit VPN-Zugang zu allen Daten und Diensten des Heimatnetzes. Über eine VPN-Verbindung (Virtuelles Privates Netz) ist meine Frau mit ihrem Heimarbeitsplatz an den Server in ihrer Firma angeschlossen. Auch privat, zum Beispiel in unserer Hundezucht, ist das Internet ein unverzichtbares Kommunikationsmittel geworden. Neben der Abwicklung von viel Emailaustausch pflegen wir einen umfangreichen Internetauftritt.

Unser Wirkungsbereich erstreckt sich nicht nur über drei Ebenen im Haus und ein Nebengebäude, sondern umfaßt auch den gesamten Garten mit einer Längsausdehnung von 100 Metern. Dieser ganze Bereich ist mit Wireless LAN in mindestens guter Funkqualität abgedeckt. Einigen Nachbarn stellen wir unser Funknetz als Internetzugang zur Verfügung, so weit dieses reicht. Dabei legen wir Wert darauf, daß unser privates Netz von dem halböffentlichen sicherheitstechnisch getrennt ist.

Datenarchive werden heutzutage vor allem durch Musik und Digitalphotos belastet. Jede vollphotographierte Speicherkarte aus der Kamera trägt neue 2 oder mehr Gigabyte bei, wenn man nicht diszipliniert und rigoros löscht. Pro Video mit Roh- und Mac-Schnittinformationen meist um 1 Gigabyte. Da wir nicht dauernd mit USB-Festplatten hantieren wollen und Daten zur Dauerablage auch nichts auf einem Arbeitsplatz-PC zu suchen haben, ist Datenspeicher in der Größenordnung von derzeit 3 Terabyte installiert.

LAN- und WLAN-Telephone lösen ISDN- und DECT-Telephone schrittweise ab, da die (W)LAN-Abdeckung besser ist. Zukünftige Erweiterungen werden Kameras für eine Videoüberwachung des Außenbereichs sein.

Verkabelung und WLAN

Das Haus ist schon seit Bau (1998) mit Cat 5e-Kabel ausgestattet, das Gigabit-fähig ist. Daß man darauf achten sollte, braucht heutzutage eigentlich nicht mehr erwähnt zu werden. Die Kabel laufen sternförmig in einem Anschlußraum zusammen, wo der LAN-Verteiler und der Server stehen.

Die meisten der LAN-Anschlußdosen im Haus sind mittlerweile unbenutzt, an den strategisch günstig gelegenen befinden sich die WLAN-Accesspoints. Um nicht überall noch ein Steckdosennetzteil neben dem Accesspoint zu plazieren, werden die Accesspoints über den LAN-Verteiler mit Strom versorgt (Power over Ethernet, PoE, nach IEEE 802.3af).

Insgesamt sind fünf Accesspoints Netgear WG102 im Einsatz: drei im Hauptgebäude für das Haus und die Nahumgebung (West, Ost, Obergeschoß), einer für das Nebengebäude, einer für den Garten. Umfangreiche Experimente mit der richtigen Positionierung nur weniger Accesspoints anzustellen lohnt sich nach meiner Erfahrung nicht, denn es sind dann doch immer etliche Ecken schlecht ausgeleuchtet. Die Accesspoints sind nur auf das G-Funknetz (IEEE 802.11g, 54 Mbps) eingestellt, nicht auf den älteren Standard mit 11 Mbps, da das bei wilden Einbuchungsversuchen fremder Geräte nur die Bandbreite verschlechtern würde.

Wo im Gebäude eine bessere als die Standardantenne erforderlich ist, setzte ich die omnidirektionale Netgear ANT24O9 mit 9 dBi ein. Der Garten wird mit einer Sektorantenne Netgear ANT24D18 (die alte Bauform mit 18 dBi und Abstrahlwinkel horizontal 60°/vertikal 30°) versorgt. Dabei ist zu beachten, daß man die Leistung des Accesspoints herunterregeln muß, wenn man im Rahmen der gesetzlichen Abstrahlungsbeschränkungen bleiben will.

Jeder Accesspoint arbeitet parallel in zwei unterschiedlichen Funknetzen (d.h. verschiedenen SSID), die unterschiedlich verschlüsselt werden: das private Netz mit WPA, das halböffentliche mit WEP. Der Accesspoint ordnet diesen Funknetzen unterschiedliche VLAN-Identifikationen zu und sorgt so dafür, daß der Verkehr zwischen diesen beiden Netzen streng getrennt bleibt. Der genannte Accesspoint unterstützt "virtuelle AP" bereits seit Anfang 2006 zu einem Preis im Consumer-Segment; der Hersteller bewirbt das nicht offensiv.

WPA2 ist unbedingt zu empfehlen. Es gibt mittlerweile Algorithmen, die unter ungünstigen Umständen in ein WEP-Netz innerhalb von Minuten einbrechen können. Auch WPA der ersten Generation wird bald nicht mehr ausreichend sicher sein. Leider verstehen ältere Geräte nur WEP, und beim Kauf von neuen Notebooks im unteren und mittleren Preissegment muß man noch immer darauf achten, daß ihre WLAN-Chipsätze das effizientere WPA mit AES-Verschlüsselung (WPA2 genannt) beherrschen.

Wer hingegen ein offenes Funknetz betreibt, erlegt seinen Nutzern auf, für ihre Sicherheit selbst zu sorgen: mit ihren eigenen Firewalls, Nutzung von HTTPS, wo dies möglich ist, oder VPN in Firmennetze. Nach aktueller Rechtsprechung haftet man als Dienstebetreiber mit, wenn der Dienst mißbraucht wird, zum Beispiel für Urheberrechtsverletzungen. Man sollte also den Kreis derer einschränken, denen man den Dienst zur Verfügung stellt. Seinen Sorgfaltspflichten hat man bereits durch den Einsatz des unsicheren WEP Genüge getan. Es empfiehlt sich aber außerdem, den gängigen Webverkehr (HTTP, FTP) nur über einen Proxy zu erlauben, der die angesteuerten Internetadressen (URL) protokolliert. Dadurch kann man gegebenenfalls nachweisen, daß nicht man selbst einen Rechtsverstoß begangen hat, zu dem die eigene IP-Adresse ermittelt wurde.

Der genannte Accesspoint hat noch eine andere sehr nützliche Eigenschaft: Er unterstützt ein Leistungsmerkmal "AutoCell". Damit sucht sich der Accesspoint automatisch einen geeigneten Kanal, auf dem gerade möglichst wenig Interferenzen vorliegen, und paßt auch seine Sendeleistung dem aktuellen Bedarf an. Damit wird auch eine etwas größere Funknetzkonfiguration nachbarfreundlich, ohne daß man über die Frequenzen mit den anderen Anwohnern der Straße in Verhandlung treten muß. Aber Achtung: Ab Firmware Version 5 ist das Leistungsmerkmal AutoCell aus Lizenzgründen nicht mehr vorhanden. Benutzen Sie die höchste 4er Version, sie funktioniert problemlos, und nehmen Sie danach kein Upgrade mehr vor.

Das Nebengebäude ist mit einer Powerline-Brücke (Linksys PLK200) an das Hausnetz angeschlossen. Es lohnt sich dabei, jeweils eine Steckdose eigens für den Powerline-Adapter unmittelbar im Schaltschrank oder Anschlußkasten des Gebäudes zu installieren und statt des Einbaus von Phasenkopplern reicht es, alle drei Phasen durchzuprobieren, wo sich der beste Datendurchsatz einstellt. Jede weitere Entfernung der Steckdose kann den Datendurchsatz erheblich reduzieren.

(Ich empfehle unbedingt das Linksys-Produkt in dieser Konfiguration. Devolo dLAN Highspeed, das vom Datendurchsatz durchaus ausgereicht hätte, arbeitet in einer Konfiguration mit VLAN nicht zufriedenstellend und war eine Fehlinvestition. Die Ursache sind MTU-Probleme. VLAN vergrößern den Ethernet-Frame um einige Bytes, die dann zu überlangen Datenpaketen auf der Powerline-Brücke führen. Den Intranet-Server und alle Clients in den betroffenen Segmenten auf eine niedrigere MTU einzustellen, kann eine Lösung sein, wenn es sich bei den Clients um PC handelt. Wenn der Client aber eine Wireless Webcam oder ein LAN-Printserver ist, läßt sich dort in aller Regel keine niedrigere als die Standard-MTU von 1500 Byte einstellen. Solches sind halt die Kriterien, in denen sich ein Consumer-Produkt von einem in diesem Fall sogar preisgleichen professionellen Produkt unterscheidet.)

Virtuelle LAN

Um den Verkehr in den verschiedenen LAN-Segmenten zu separieren und trotzdem über eine einfache Kabelinfrastruktur zu führen, werden die Segmente unterschiedlichen Virtuellen LAN (VLAN, nach IEEE 802.1q) zugeordnet. Ein zentraler VLAN-Switch im Anschlußraum vermittelt diesen Verkehr und übergibt ihn über eine Gigabit-Ethernet-Schnittstelle an den Intranet-Server, der zwischen den verschiedenen Segmenten und dem Internet routet. Als VLAN-Switches kommen Linksys SLM224G4SP (mit Gigabit-Ports und Power over Ethernet) als zentraler Verteiler sowie Linksys SRW208 im Nebengebäude zum Einsatz.

Das virtuelle LAN, in dem das halböffentliche Funknetz läuft, genießt nur geringeren Schutz durch die Firewall. Es fungiert auch gleichzeitig als demilitarisierte Zone (DMZ), aus der Dienste in das Internet exportiert werden. Es versteht sich von selbst, daß Besucher, die diesen Internetzugang verwenden, für sich selbst die üblichen Schutzmaßnahmen einsetzen, die auch bei einem UMTS-Zugang zum Mobilnetz erforderlich wären.

Arbeitsstationen

Die Zeit der selbstgebauten und mit viel Mühe auf leise getrimmten PC-Türme ist vorbei. Bis auf wenige Ausnahmen kommen nur noch Notebooks zum Einsatz. Als Client-Betriebssysteme sind Mac OS X, Windows XP Professional und Windows Server 2003 im Einsatz.

Nach mehreren Jahren des Hoffens auf eine stabile und bedienbare Variante des Linux für Arbeitsstationen (wobei Ubuntu schon ziemlich dicht dran war) bin ich nun ins Macintosh-Lager gewechselt und werde für die etwas höheren Ausgaben für die Hardware mit nachhaltig geschonten Nerven belohnt. Daß Software und Hardware funktionieren, ist in der Macintosh-Welt der Normalzustand, nicht die Ausnahme. Wo sich Macintosh-Nutzer über Unzulänglichkeiten ihrer Technik beschweren, jammern sie auf hohem Niveau. Mac OS X integriert sich in die beschriebene Netz- und Serverumgebung nahtlos, und zwar vom ersten Einschalten des MacBook an.

Jede Arbeitsstation verfügt (trotz Internet-Firewall auf dem Server) über eine sogenannte Personal Firewall. Diese dient in erster Linie der Aufdeckung unerlaubter ausgehender Verbindungen. Immer mehr Anwendungen überraschen durch Geschwätzigkeit, sie wollen ohne dringende Notwendigkeit mit einem Server im Internet sprechen. Darunter kann durchaus auch einmal ein Trojanisches Pferd sein, das mehr nach außen meldet als uns lieb sein kann. Wirklicher Schutz kann aber nur durch geeignetes Zusammenwirken zwischen Personal Firewall und Internet-Firewall entstehen. Als Personal Firewall setze ich unter Windows die Outpost Security Suite ein. Diese unterstützt auch Windows Server 2003 und erlaubt genügend feingranulare Steuerung des Verkehrs auf Protokoll-, Port- und Applikationsebene. Viele andere Personal Firewalls, insbesondere diejenigen, die zu den gängigen Antivirus-Suiten gehören, sind in ihrem Wirken zu intransparent bzw. erlauben nicht die volle Unterscheidung nach Protokollen, Ports und Applikationen.

Internetzugang

Der Internetzugang erfolgt über ein kombiniertes Modem-Router-Paketfilter-Gerät. Ich verwende Lancom 1723 VoIP, das gleichzeitig als ISDN-, Analog- und SIP-Telephonanlage arbeitet und VPN-Verbindungen von außen terminiert. Es kann äußerst flexibel auf verschiedene Arbeitsmodi konfiguriert werden.

Als Router und Firewall vermittelt das Lancom-Gerät zwischen den verschiedenen VLAN-Segmenten im Haus und dem Internet. Eine Modemeinwahl ist für Wartungsfälle möglich, wenn der DSL-Internetzugang nicht funktioniert. Die Firewall besteht aus einem umfangreichen Regelsatz. Dazu gehört die Filterung des Verkehrs zwischen den VLAN-Segmenten, insbesondere natürlich der fast vollständige Ausschluß von Verkehr aus dem halböffentlichen WLAN in Richtung Intranet. Dazu gehört weiterhin die Filterung des eingehenden Verkehrs.

Als Modem unterstützt das Gerät ADSL2+ (T-DSL bis 16Mbps). VDSL-Modems oder Router sind zur Zeit noch nicht auf dem freien Markt erhältlich, sondern nur über die Telekom. Für professionelle Verwendung sind die Geräte der Telekom erfahrungsgemäß ungeeignet, da sie für den Consumer-Markt entwickelt sind und wichtige Konfigurationsmöglichkeiten fehlen.

Dem Intranet-Server stellt der Router eine feste private IP-Adresse für das Internet zur Verfügung.

LAN-Telephonie (VoIP)

Als SIP Gateway ermöglicht das Lancom-Gerät hausinterne LAN-Telephonie sowie WLAN-Telephonie über die zahlreichen Accesspoints mit automatischem Handover. Das Gateway verbindet die hausintern über LAN angeschlossenen Telephone mit dem öffentlichen ISDN-Telephonnetz. Eingehende ISDN-Rufe werden sowohl auf den entsprechenden analogen (DECT-) Stationen als auch auf den zugeordneten LAN-/WLAN-Telephonen parallel signalisiert.

Das klingt nach "verkehter Welt", denn in vielen Fällen werden hausinterne Analogtelephone über ein SIP-Gateway an einen Internet-Telephoniebetreiber angeschlossen. In unserem Fall ist solch ein Szenario unsinnig. Einerseits ist der ISDN-Dienst der Telekom (auch wenn internationale Gespräche inzwischen über ein IP-Backbone vermittelt werden) noch immer viel zuverlässiger als die VoIP-Dienste gängiger Provider für den Endkunden. Wenn man die Gesamtkosten eines Anschlusses berücksichtigt, einschließlich der Call-by-Call-Möglichkeiten bei Anrufen in etwas exotischere Zielländer, ist die Telekom inzwischen ohnehin am günstigsten. Andererseits ist die Erreichbarkeit über Accesspoints im Haus- und Gartenbereich fast überall besser als über eine DECT-Basisstation. Und schließlich kann, wer nicht ohnehin schon eine separate Telephonverkabelung im Gebäude verlegt hat, darauf verzichten und das LAN verwenden - ganz besonders, wenn ein Nebengebäude anzubinden ist.

Als fest installierte VoIP-Endgeräte kommen Lancom VP-100 zum Einsatz. Moderne Mobiltelephone, z.B. Nokia E71 Smartphones (Symbian S60), sind vollwertige WLAN-Telephone. Von der Anschaffung eines (auf den ersten Blick handlicheren) dedizierten WLAN-Telephons ist abzuraten, da sie teuer sind, vielfach schwer zu konfigurieren und die entsprechenden Produktlinien der wenigen verbliebenen Hersteller schlecht gepflegt wirken.

Server

Zwei Server kommen im Netz zum Einsatz: Ein Kommunikationsserver zuhause und ein Internet-Server bei einem der einschlägigen Anbieter. Beide Server laufen unter Debian Linux 4.0 (Etch) als Basissystem ohne graphische Oberfläche.

Internet-Server

Der Internet-Server fungiert als Web-, Email- und Proxyserver. Der Webserver umfaßt Apache 2, PHP 5 und MySQL 5. Der Emailserver besteht aus Postfix und Courier IMAP. Dazu kommen umfangreiche Maßnahmen zum Herausfiltern von Spam. Eine Übersicht über diese Maßnahmen und ihre Wirksamkeit findet sich in einem anderen Artikel. Als Proxyserver kommt Squid zum Einsatz.

Zur Administration und Synchronisierung ist der Internet-Server über Secure Shell (SSH) erreichbar, wobei nur ein Zugang mit Public-Key-Authentifizierung möglich ist.

Der Server ist ein dedizierter Server (Rootserver) von Strato. Ein virtueller Server (vServer) ist nicht zu empfehlen, wenn man viele Internetzugriffe hat und auf vorhersagbares Antwortzeitverhalten Wert legt. Strato weist gute Verbindungsgeschwindigkeit und Zuverlässigkeit des Netzzugangs auf. Hauptvorteil von Strato-Rootservern ist, daß im Grundpreis ein Konsolenzugang enthalten ist. Bei Fehlkonfigurationen im SSH oder in der Firewall oder bei anderen Netzproblemen ist dieser erforderlich; auch eine Neuinstallation des Betriebssystems (Upgrade) ist damit möglich.

Den seit etwa einem Jahr angebotenen Strato Multiserver mit der Möglichkeit, mehrere virtuelle Server auf einem physischen Server einzurichten, hätte ich gern getestet. Bei der Umwandlung des dedizierten Servers in einen Multiserver zeigt sich Strato jedoch enttäuschend unflexibel; an der Schulung des Account Managements läßt sich noch einiges verbessern.

Kommunikationsserver

Das Gerät ist eine 1 HE hohe und (dank Mini ITX-Mainboard) besonders kurze Bauform, die im Netzwerkschrank Platz hat. Die Leistung reicht für einen Kommunikationsserver vollkommen aus.

Dieser Server führt mittlerweile nur noch ein Schattendasein, da ich seine früheren Funktionen fast vollständig auf das Internet-Gateway und das NAS übertragen habe. Diese Geräte basieren mittlerweile alle auf Linux-Kernen. Die besseren Produkte gewähren auch freiwillig Zugang zu den Funktionen des Systems und die Leistung reicht zum Beispiel aus, um Mailarchive lokal zu verwalten oder Synchronisationsskripte ablaufen zu lassen.

NAS

In einer früheren Version dieses Artikels war noch von einem selbstgebauten Software-RAID in einem normalen PC-Gehäuse die Rede. Inzwischen gibt es Network Attached Storage (NAS) als Geräte mit Gigabit Ethernet-Anschluß zu vertretbaren Preisen. Ich setze Synology DS508 ein, das fünf Festplatten aufnehmen kann, nach anfänglicher Teilbestückung dynamisch erweitert werden kann und Plattenaustausch ohne Betriebsunterbrechung ermöglicht.

Vier Platten mit je 1 Terabyte ergeben eine Nutzkapazität von 3 TB im Verbund als RAID-5. Eine Eine fünfte Platte ist als Hot Spare konfiguriert, sodaß bei einem Plattenausfall sofort eine automatische Reorganisation des RAID erfolgen kann und die schutzlose Periode minimiert wird. Das ist sehr zu empfehlen, ganz besonders, wenn mehrere Festplatten aus einer Charge beschafft wurden und daher auch dieselbe Beztriebsdauer aufweisen. Es kommt nicht selten vor, daß in solch einer Konstellation zwei Festplatten binnen weniger Tage ausfallen.

Eine unterbrechungsfreie Stromversorgung (USV) schützt das NAS-Gerät und erlaubt diesem bei Stromausfall ein geordnetes Herunterfahren.

Die Sicherung der Inhalte erfolgt auf USB-Festplatten mit Kapazitäten von 1,0 oder 1,5 Terabyte. Neben einer jährlichen Sicherung, die permanent archiviert wird, existieren immer noch zwei weitere Generationen von Backups. Eine nicht zu alte Komplettsicherung wird immer außerhalb des Hauses an sicherer Stelle verwahrt - jedoch natürlich nicht in der "Cloud" im Internet.

Im Netz stellt das NAS die Daten über das Microsoft CIFS (SMB) Protokoll bereit, das auch von Linux und Mac OS gesprochen wird.

Auf dem NAS ist auch der komplette statische Internetauftritt gespiegelt, der über den Internet-Server schließlich ins Netz gelangt. Alle Änderungen erfolgen zuerst lokal und werden nach Fertigstellung über eine SSH-Verbindung (unter Verwendung von "rsync") auf den Internet-Server kopiert. Der dynamische Teil des Internetauftritts, also alle Seiten, die mithilfe von PHP aus der MySQL-Datenbank generiert werden, wird dadurch gesichert, daß jede Nacht auf dem Internet-Server ein Shellscript (neben anderen Sicherungsaktionen) die Datenbankinhalte in eine Archivdatei schreibt, die sich der Intranet-Server mit "rsync" automatisch abholt. Zusätzlich werden bei diesem Schritt auch alle Daten auf den Intranet-Server kopiert, die durch Nutzer auf den Internet-Server hochgeladen wurden.

Vielen Dank für Ihr Interesse

Weitere Informationen finden Sie gelegentlich in unserem Wiki. Wenn Sie Fragen oder Hinweise haben, schreiben Sie bitte an bez@tedesca.com oder benutzen Sie das Nachrichtenformular.