Zum Laufen kriegst du es, wie ich schon geschrieben habe:
Keine IPs auf den Host Netzwerkkarten, sondern lediglich Bridges.
(Eine soll sich der Host ruhig nehmen, der will ja wohl auch in's Netz. Zumindest für Updates muss er das können. Aber halt wirklich nur eine, sonst Ärger mit DHCP.)
Dies habe ich zum Glück auch eingerichtet bekommen und es läuft.
Ich stimme dir vollkommen zu, dass Netzwerkadministrative komplexer ist, als ein Router daheim einzurichten.
In Qemu/KVM dann schlicht auf jede Hostnetzwerkkarte per NAT von den virtuellen Nics aus zugreifen.
Die können sich dann auch vom primären DHCP-Server ihre Konfigs holen und sind dann damit für alle Maschinen, egal wo, einfach sichtbar, weil im gleichen Subnetz.
Thema erledigt.
Ist verständlich, wir haben ja nicht vor, in dem kleinen Unternehmen verschiedene Subnetze zu integrieren.
Nur das Gäste W-Lan bekommt ein anderes Subnetz damit Gäste nicht auf die anderen Netzwerkgeräte direkten Zugriff erlangen.
Es wäre auch eine Überlegung wert, den Server statisch zu konfigurieren, statt via DHCP.
Nur in sehr großen Netzen verwaltet man die IP-Konfig von VIELEN Servern via DHCP. (Dann hat man aber auch eine Abteilung, die das kann und sich i.d.R. nur um DNS und DHCP samt Firewalls usw. kümmert)
Statische IP's wurden von mir auch eingerichtet, die VM's laufen alle über eine Statische IP. Es wäre ziemlich unpraktisch, würden die einzelnen Geräte jeweils immer wieder eine neue IP zugewiesen bekommen. Allein AD und Exchange wären ohne nicht wirklich lauffähig denke ich.
Ich hätte da aber auch noch ganz andere Bedenken.
Wer kümmert sich um die Updates der Zyxelkiste? Wenn das proprietär läuft, ist Ärger nur eine Frage der Zeit. Und wird da gar nichts gemacht, ist es jetzt schon ein riesiges Sicherheitsloch.
Warum man mit MACs Outlook samt Exchangeserver einsetzen will, verstehe ich auch nicht. Halte ich für überflüssig.
Da bietet Apple besseres, Linux sowieso.
Auch die AFP Freigaben sind fragwürdig.
Die Linuxkiste könnte das komplett alleine und sicherer abwickeln. Bei weniger Verwaltungsgedöns.
Mehrere verschiedene Systeme sind nun mal implizit schlechtere Sicherheit, da der Aufwand dafür eben steigt. Es sind ja nicht nur die Systeme sicher zu halten, sondern auch die Kommunikationswege zwischen den Systemen.
Aber egal.
Alles anzeigen
Also Zyxel kocht auch nur mit Wasser, dies ist mir bewusst.
Ich werde es vorab warten und mit Updates versorgen.
Die Lizenzkosten halten sich im Rahmen, wobei es bessere und kostenfreie alternativen gibt, die wir auch gerne umsetzen wollen.
Wir würden gerne in Zukunft auf ein guten Switch umsteigen und Linux die Arbeiten der Zyxel UTM übernehmen lassen.
Hierfür würden wir eine VM mit ASSP einrichten. Anti-Spam SMTP Proxy Server download | SourceForge.net
Dies würde meiner Meinung das selbige tun, wie die Zyxel UTM und die Lizenzkosten würden wegfallen.
Zu Exchange muss man wirklich sagen, dass wenn es um Skalierbarkeit geht, das Portmonee leidet.
In der Firma möchte man aber zumindest auf AD und Exchange setzen, alle weiteren Anwendungen werden so gut wie nur möglich auf freie Software basieren.
Die AFP freigaben sind weniger Fragwürdig, da die Home Directories auf dem Server liegen.
Wir setzen auf Netzwerkkonten und Mobile Konten, aber keine Lokalen für die Mitarbeiter.
Die SMB Freigabe unter Windows bereitet macOS nur Probleme, wenn die User Profile über SMB auf einem Windows Server liegen.
Allein die Dateirechte von Unix sind einfach mit Windows nicht kompatibel.
Die Folgen waren von zerstörten Dateirechten bis hin zu Dateien, die nicht mehr unter Mac / Unix ausführbar waren.
Einloggen über ein Netzwerkkonto waren mit vielen Fehlern verbunden.
Jetzt lagern die Daten über AFP Sharing auf einem Unix System und die Dateiprobleme wurden beseitigt.
CiFS und NAS weisen leider auch inkompatibilität mit macOS auf.
Auf den Firmenrechnern sollen keine Daten gespeichert werden. Aber dieses Problem wurde ja gelöst und läuft stabil.
Mehr war hier auch nicht gewünscht. Eine Zentrale Lagerung aller Daten mit einfachen Zugriffsmöglichkeiten von einem Terminal aus.
Daher verstehe ich deine Aussage nicht ganz, warum dies überflüssig sein sollte?
In jeder Firma die auf Windows basierte Clients setzen, läuft dies nicht anders ab, Dokumente, Fotos und Downloads werden meist auch nicht auf dem Client Rechner gespeichert, sondern liegen auf einem Server innerhalb der Firma.
Würde mir aber hierzu gerne deine Meinung anhören. Deine Aussage tätigst du bestimmt nicht ohne Grund.
Hättest du andere Vorschläge um eine Alternative als ASSP und Zyxel? Nehme Ideen gerne an
Nach dem KISS - Prinzip würde ich einige Software eliminieren, dem Server eine statische Konfig verpassen und den Rest dem virtuellen Netz aufbürden.
Und mich in der freigewordenen Zeit darum kümmern, die Zyxelkiste zu eliminieren.
Die kostet euch -will man sie sauber aktuell halten- wohl mehr, als sie Wert ist.
Das kann die Linuxkiste besser und sehr viel billiger. (Zyxel fährt auch nur ein Linuxderivat, das aber proprietär)
Dem Stimme ich dir zu und wurde auch bei einer Unterhaltung von einem Bekannten von mir bestätigt.
Und Apple geht letztlich auch auf ein SystemV Unix zurück.
Es ist also openSUSE näher verwandt, als einem Windows.
Du könntest die Homes locker auf die Linuxkiste selbst legen.
Genügend Power hat die eh. Das läuft sicher problemloser, als umständlich via AD letztlich doch wieder eine SMB Freigabe zu verwenden.
Die Homes liegen auf einem FreeNAS Unix Server und nicht mehr unter Windows. In der AD müssen wir lediglich den Pfand zum Server angeben.
Beim Einloggen werden die Homes ordnungsgemäß vom NAS gemountet und die Authentifizierung über AD und NAS bereiten zum Glück keine Schwierigkeiten.
--
Es gibt aber noch viele Fragen die mich beschäftigen.
Zum Thema Hochverfügbarkeit oder zum Thema Backup und letztendlich zur Ausfallsicherheit.
Wichtig sind diese Themen beim Mail Server.
Hierbei müssen seit diesem Jahr auch gesetzlich Backups vorliegen. Die Kriterien erfüllen müssen.
Wir hatten einmal über ein Cluster geschrieben gehabt.
Da die Firmendaten auf dem NAS Server liegen und ZFS viele Möglichkeiten bietet, (Replikationen, Snapshots RaidZ und Mirroring würde ich dies auch weiterhin bevorzugen.
Der NAS läuft aber zu diesem Zeitpunkt nur in einer VM wo dieser seine Arbeit auch gut tätigt.
Dies lässt aber nicht aus, dass man sich diesen Themen dennoch widmen muss.
Unser Online Store wird automatisiert und unsere Buchhaltung alle Käufe und Verkäufe eintragen.
Der Webserver liegt momentan bei Strato. Hier müssen wir auch wieder gewährleisten, dass die Datenbanken verschlüsselt sind.
Bei einem Angriff, wie schnell können wir ohne viel Verlust wieder erreichbar sein?
Ich stelle fest, dass dies alles viele Themen sind, die aber immer wieder ineinander greifen.
Momentan sieht der Aufbau wie folgt aus:
{penSuse Server}
VM - > Domain Controller -> SSD
VM - > Exchange -> SSD, HDD
VM - > FreeNAS -> SSD, {HDD, HDD} Mirror
AD Authentisierung
FreeNAS <-> DC
Mac Client <-> DC <-> FreeNAS
Folgen soll die Authentisierung über ein AD Konto auch auf unserer Webseite.
Hierbei bin ich noch am überlegen, ob man auf externe SSO Lösungen setzen sollte oder eine Externe AD Authentisierung ermöglichen sollte.
Vielleicht hättest du zu diesem Thema einige Vorschläge,
viele Grüße