Netwerk voor kleine vrijwilligersorganisatie

Edit: ik heb de originele TS vervangen door deze!

Ik doe de technische kant van de ICT voor een lokaal museum. Nu is het zo dat er 0 beleid is op het beschikbaar hebben van bestanden die gemaakt worden door bestuur, commissies enzovoort. Daar moet dus een oplossing voor komen. Doelen:

• Centrale opslag van bestanden, er zijn bijvoorbeeld veel archief filmpjes
• (Automatische) Backups
• Zorgen dat bestanden bedoeld voor het museum ook door het museum te benaderen zijn doordat ze er "fysiek" zijn (op hardware in eigen beheer)
• Delen van bestanden met elkaar
• Alles op een veilige wijze!

Mijn idee was om een NAS als volgt te gebruiken:

• Clouddienst in te zetten, mensen van het museum kunnen een client installeren zodat de bestanden die ze lokaal hebben ook centraal op de opslag staan van het museum. Mensen kunnen zo bestanden met elkaar delen. Dit levert een realtime backup op die beschermt bij bijvoorbeeld HDD falen ofzo. Daarnaast zijn de bestanden ook beschikbaar voor het museum.
• De NAS eens in de zoveel tijd een volledige backup laten maken die dan ook extern naar een andere plek geschreven kan worden. Daarnaast zou ik bijvoorbeeld elke nacht een incrementele backup kunnen maken. Vooralsnog denk ik aan CrashPlan.

Daarnaast is een eventueel tweede stap het toevoegen van videobewaking met IP cams en wellicht een LDAP server voor lokale computers, waarbij de storage voor de cloud mooi gemount kan worden op lokale computers. Ik denk dat ik sowieso bij Synology uit kom omdat de cloudfunctionaliteit van andere merken nogal matig zijn in vergelijking met CloudStation.

Verder moet er nog een VPN server komen om de toegang tot de Syno te beveiligen, deze stel ik liever niet direct bloot aan internet. Dit wil ik niet via de Syno doen, naar goed gebruik niet 1 apparaat voor bijvoorbeeld dataopslag én beveiliging van het netwerk inzetten Een tweaker hieronder stelt voor om pfSense te gebruiken. Dan komt er een server die fungeert als router, firewall en VPNserver. Voordeel is dat de VPN server op de firewall staat en niet erachter dus ik hoef niet iets in de firewall van buiten naar binnen open te zetten.

Volgens mij komt het er dan als volgt uit te zien:

Clickable.

Heeft er iemand nog ideeen, tips kritiek?

[ Voor 56% gewijzigd door JT op 15-08-2014 20:49 ]

Ik denk in eerste instantie een stuk of 20-25 gebruikers die zeker NIET simultaan verbinding maken. Aantal gebruikers kan zeker groeien maar het is allemaal vrijwilligerswerk bij het museum. Dus het aantal simultaan verbonden medewerkers zal beperkt zijn.

Zal thuis bij gebruikers vooral Windows zijn. Wellicht lokaal in de toekomst Linux (Ubuntu variant). OwnCloud heb ik naar gekeken maar daar lijkt toch met iedere update een hele hoop rotzooi te zijn, dat gaat imho teveel onderhoud opleveren. En FreeNAS is wel een idee maar dan heb je weer een apparaat die meerdere taken uitvoert.

pfsense klinkt interessant; ik kan dan de VPN op dezelfde laag draaien als de firewall met als voordeel dat je dus niet in het netwerk voorbij de firewall kan komen voor je een VPN verbinding hebt. Met port forwarding ben je wel al voorbij de firewall.

Gevalletje TLDR?

Ik heb de TS ingekort. Is dit veilig genoeg, mits je pfSense uiteraard goed instelt? Zijn er nog andere dingen waar ik rekening mee moet houden? Of kan ik iets wellicht beter anders doen?

Wat is de meerwaarde van LDAP/AD? Doel je nu op eventuele user-management voor lokale clients?

Ik denk dat het terecht is dat het risico op virussen benoemd wordt. Een virusscanner draaien op de Syno lijkt mij in ieder geval een goede. Verder denk ik dat het in de werkafspraken vastgelegd moet worden dat gebruikers een recente virusscanner draaien of er in ieder geval hulp bij kunnen krijgen dat te realiseren.

Da Devil schreef op zondag 17 augustus 2014 @ 22:23:
Was meer bedoeld als reactie op het volgende:

[...]


Maar ja, ik doelde op user management voor de clients. Hier zou ik wel vanaf het begin rekening mee houden. Als je na een tijdje besluit dat bijvoorbeeld sommige bestanden alleen voor een bepaalde groep gebruikers toegankelijk moet zijn, hoef je geen ingrijpende veranderingen door te voeren als je de infrastructuur daarvoor al opgezet hebt. Het geeft ook een beetje beveiliging als niet elke willekeurige gebruiker(/gast) die op het netwerk komt zomaar alles kan lezen en schrijven.

Het voordeel van iets als LDAP/AD is dat je alles centraal kan beheren. Zo kan je bijvoorbeeld ook LDAP gebruiken om te bepalen wie er toegang heeft tot je VPN (pfSense heeft ondersteuning voor LDAP en dit kan bij veel services gebruikt worden).

Ja, alleen dat zou ik toch ook met de NAS kunnen doen? Die heeft een vrij goede interface ook...

Tsurany schreef op zondag 17 augustus 2014 @ 22:34:
Waar je op moet letten is beheerbaarheid. Ga jij de komende 10-20 jaar het IT beheer uitvoeren? Als jij weg valt, wie doet het dan? Heeft hij alle kennis?
Meestal zijn de antwoorden negatief en is er geen backup voor de IT'er. Dus als je dan een ingewikkelde omgeving installeert kan daarna niemand er mee overweg. Vandaar zou ik een Synology met offsite backup installeren en dan netjes alle services van de Synology gebruiken. Gewoon de VPN van de Synology, Filestation, Cloudstation,... dan heb je er geen omkijken naar en bestaat een overdracht uit niets anders dan een uurtje of twee uitleg, handleiding geven en even aangeven welke poorten geforward moeten worden in de router.

Ik neem aan dat jij dit ook doet op vrijwillige basis? Jij kan zo maar wegvallen, als dan ook alle kennis weg valt heb je dus echt een probleem als jij een ingewikkelde oplossing regelt. Denk daar wel goed over na.

Daar heb je zeker een goed punt. Ik wil alleen qua veiligheid het wel zo goed mogelijk doen. En na de recente incidenten (hardcoded root OpenVPN wachtwoord, SynoLocker) plus de best practice van in ieder geval je beveiliging niet laten afhandelen door een apparaat dat andere services ook doet, lijkt het mij het beste om het connectivity stuk tbv veiligheid door een ander apparaat af te laten handelen. De rest kan dan wel door de NAS, die inderdaad makkelijk te bedienen is.

ralpje schreef op zondag 17 augustus 2014 @ 22:59:
Heeft de organisatie ook een ANBI-status (met andere woorden: is het een 'goed doel' volgens de belastingdienst? In dat geval kan Office 365 (met Sharepoint voor je filesharing) een leuke optie zijn, die zijn voor ANBI-organisaties met heul veul koring (al vanaf gratis) verkrijgbaar.

Hmmm....daar moet ik me eens in verdiepen. Toegegeven, lang niet zo leuk als de uitdaging die ik mezelf nu opleg maar wellicht veel simpeler en handiger. Maar eens kijken naar de limitaties hiervan Edit: werkt Office365 net zoals Google Drive, waarin je niet een gezamenlijk directory hebt maar het altijd van 1 persoon is die het shared met anderen?