Netzwerk & Konnektivität

Das Netz, auf dem
alles andere aufbaut.

Schlechte Netzwerkplanung ist der stille Kostentreiber in vielen KMU: träge Verbindungen, WLAN-Totzonen, ein VPN das nie zuverlässig funktioniert, Drucker und Server im selben flachen Netz wie Gästegeräte.

Wir planen, bauen und betreiben Firmennetzwerke auf Basis offener Standards, transparent, herstellerunabhängig und so dokumentiert, dass du jederzeit den vollen Überblick behältst.

Netzwerk analysieren lassen Leistungen ansehen
Was wir abdecken
01 Firewall & Netzwerksicherheit
02 LAN-Infrastruktur & Verkabelung
03 WLAN-Planung & Access Points
04 VLAN-Segmentierung
05 VPN & sicherer Remote-Zugriff
06 Monitoring & Managed Betrieb
Kein Lock-in
Offene Standards, keine Herstellerbindung. OPNsense und WireGuard laufen auf deiner Hardware, nicht auf unserer.
Einmal dokumentiert
Jedes Projekt endet mit einem vollständigen Netzwerkplan: IP-Adressen, VLAN-Zuordnungen, Patchfeld-Belegung, Geräteregister.
Sicherheit inklusive
VLAN-Segmentierung, Firewall mit IDS/IPS und verschlüsselter Remote-Zugriff sind kein Aufpreis, sie sind Teil jedes Projekts.
Typische Ausgangslage

Was wir bei KMU
am häufigsten vorfinden.

Die meisten KMU-Netzwerke sind nicht geplant, sie sind gewachsen. Jedes neue Gerät wurde irgendwann einfach angesteckt. Das Ergebnis ist eine Infrastruktur, die niemand mehr vollständig überblickt, bis etwas ausfällt.

  • Flaches Netz ohne Segmentierung

    Mitarbeiter-PCs, Drucker, Gäste-Tablets und Server befinden sich im selben Subnetz. Eine Schadsoftware auf einem Gerät kann sich ungehindert ausbreiten.

  • WLAN-Totzonen & Verbindungsabbrüche

    Ein einzelner Consumer-Router deckt das Büro nicht zuverlässig ab. Videocalls brechen ab, Mobilgeräte verlieren die Verbindung beim Raumwechsel.

  • VPN das selten zuverlässig funktioniert

    Veraltete OpenVPN-Konfigurationen, manuelle Zertifikate, keine MFA. Homeoffice-Mitarbeitende brauchen bei jeder Einwahl IT-Unterstützung.

  • Kein Monitoring, keine Dokumentation

    Niemand weiß, welche Geräte im Netz aktiv sind, ob die Firewall aktuell ist oder was bei einem Ausfall als erstes zu prüfen wäre.

Leistungen

Was wir konkret
umsetzen.

Jedes Netzwerkprojekt beginnt mit einer Ist-Analyse. Wir dokumentieren den vorhandenen Stand und erarbeiten einen Umsetzungsplan, der sich an deinen realen Betriebsabläufen orientiert, nicht an Lehrbuch-Topologien.

🔥
01 / Sicherheit & Perimeter
Firewall & Netzwerksicherheit

In vielen KMU ist die Firewall ein Consumer-Router mit Standard-Passwort und veralteter Firmware. Wir ersetzen das durch eine professionelle Next-Generation-Firewall – je nach Anforderung auf Basis bewährter Open-Source-Lösungen wie OPNsense oder mit Enterprise-Hardware-Appliances.

Inklusive IDS/IPS-System mit täglich aktualisierten Bedrohungsregeln, DNS-Filterung, Geo-Blocking und automatischem Failover bei Leitungsausfall.

Open Source & Enterprise Suricata IDS/IPS Multi-WAN Failover DNS-Filterung Geo-Blocking Traffic Shaping
Was entsteht
  • Next-Generation-Firewall mit Stateful Packet Inspection
  • IDS/IPS mit täglichen Regelupdates (kostenlos via ET)
  • DNS-Filterung & Geo-Blocking für bekannte Angriffs-IPs
  • Multi-WAN mit automatischem Failover
  • QoS-Priorisierung für VoIP und kritische Applikationen
  • Monatliche Firmware-Updates im Rahmen Managed IT
🔌
02 / Physische Infrastruktur
LAN & strukturierte Verkabelung

Jeder Port ist dokumentiert, jede Verbindung gemessen und protokolliert. PoE-Switches versorgen Access Points, IP-Kameras und Telefone ohne zusätzliche Stromversorgung.

IP-Plan PoE-Switches
Was entsteht
  • Vollständige Netzwerkdokumentation (Topologie, IP-Plan, Port-Belegung)
  • Beschriftetes Patchfeld mit VLAN-Zuordnung
  • PoE-fähige Switches für APs, IP-Kameras & VoIP
📶
03 / Wireless
WLAN-Infrastruktur & Access Points

Wir planen Access-Point-Installationen: zentral verwaltbar, on-premise betreibbar, aktuell mit Wi-Fi 6 und Wi-Fi 7.

Die Platzierung der Access Points erfolgt nach einer Standortanalyse. Nahtloses Roaming sorgt dafür, dass Verbindungen beim Raumwechsel stabil bleiben. Gäste-WLAN läuft isoliert im eigenen VLAN.

Access Points Wi-Fi 6 / Wi-Fi 7 Nahtloses Roaming Gäste-WLAN isoliert
Was entsteht
  • Standortanalyse & durchdachtes AP-Ausleuchtungskonzept
  • Zentrale Verwaltung on-premise
  • Separate SSIDs für Mitarbeiter, Gäste und IoT
  • Individuelle Bandbreitenlimits für Gäste-WLAN
  • Zentrales Dashboard mit Echtzeit-Client-Übersicht
🗂️
04 / Segmentierung
VLAN-Design & Netzwerktrennung

Durch logische Segmentierung via VLANs trennen wir Netzwerkbereiche, ohne zusätzliche Hardware zu benötigen. Ein kompromittiertes IoT-Gerät kommt im segmentierten Netz nicht an Buchhaltungs-PCs heran.

Gäste surfen, ohne interne Ressourcen zu sehen. Produktionsmaschinen kommunizieren nur mit dem ERP-Server. VoIP-Telefone werden priorisiert übertragen.

VLANs Gäste-Isolation IoT-Segmentierung VoIP priorisiert
Typische VLAN-Struktur
  • VLAN 10: Server & Infrastruktur (NAS, Drucker, interne Dienste)
  • VLAN 20: Mitarbeiter-PCs & Notebooks
  • VLAN 30: Gäste-WLAN (Internet only, kein interner Zugriff)
  • VLAN 40: IoT & smarte Geräte (vollständig isoliert)
  • VLAN 50: VoIP-Telefone (mit QoS-Priorisierung)
  • Management-VLAN: Netzwerkkomponenten separat
🔒
05 / Fernzugriff
VPN & Remote Access

WireGuard hat sich als neuer Standard etabliert: schneller, kryptografisch moderner und mit kleinerem Code-Footprint als OpenVPN. Für Teams ohne eigene Infrastruktur bietet Tailscale einen Zero-Config-Mesh auf WireGuard-Basis.

Wer keine Cloud-Abhängigkeit möchte, betreibt Headscale als vollständig selbst gehostete Alternative. Für Standortvernetzung: IPSec Site-to-Site zwischen zwei oder mehr Standorten.

WireGuard Tailscale Headscale Self-hosted IPSec Site-to-Site MFA-Integration
Optionen im Überblick
  • WireGuard nativ: direkt auf OPNsense, maximale Kontrolle
  • Tailscale Managed: Zero-Config, SSO via Azure AD oder Google
  • Headscale: Self-hosted Koordinationsserver, keine Cloud
  • IPSec Site-to-Site: Standortvernetzung ohne Client-VPN
  • 2-Faktor-Authentifizierung für alle VPN-Einwahlen
  • Split Tunneling: nur Unternehmensverkehr durch VPN
📊
06 / Betrieb
Monitoring & Managed Netzwerk

Im Rahmen unserer Managed-IT-Betreuung überwachen wir alle Netzwerkgeräte kontinuierlich: Uptime, Traffic-Anomalien, Firewall-Logs und Firmware-Status. Bei Anomalien erhalten wir automatisch Alerts, bevor du ein Problem bemerkst.

Firmware-Updates werden koordiniert durchgeführt, ohne den laufenden Betrieb zu unterbrechen. Quartalsberichte geben dir Transparenz über den Zustand deiner Infrastruktur.

SNMP-Monitoring Echtzeit-Alerts Patch-Management Quartalsbericht
Umfang Managed Netzwerk
  • 24/7-Monitoring aller Netzwerkkomponenten via SNMP
  • Alert bei Geräteausfall, erhöhtem Traffic oder Firewall-Anomalie
  • Koordiniertes Firmware-Update-Fenster (kein Betriebsausfall)
  • Quartalsbericht: Traffic-Analyse & Handlungsempfehlungen
  • Fernwartungszugang via gesichertem VPN (protokolliert)
  • Eskalation & Vor-Ort-Einsatz im Supportfall
Firewall-Entscheidung

Welche Firewall
passt zu dir?

Wir sind herstellerunabhängig und beraten dich neutral. Je nach Anforderung setzen wir auf bewährte Open-Source-Lösungen oder Enterprise-Hardware-Firewalls – entscheidend ist, was zu deiner Infrastruktur passt.

Kriterium Open Source (z. B. OPNsense) Enterprise Hardware
Lizenzmodell KostenlosOpen Source, keine Lizenzgebühren LizenzpflichtigHersteller-Support & Wartungsvertrag
Benutzeroberfläche Webbasiert, flexibel konfigurierbar Zentrale Management-Konsole, oft mit Cloud-Portal
IDS/IPS Suricata + Community-Regeln, täglich aktualisiert Herstellereigene Threat Intelligence, automatische Updates
VPN-Protokolle WireGuard, OpenVPN, IPSec IPSec, SSL-VPN, teils proprietäre Clients
Hardware Jede x86-Hardware, VM oder Appliance Dedizierte Appliance mit abgestimmter Firmware
Geeignet für KMU 1–300 MAmaximale Transparenz & Flexibilität KMU & Mittelstandwenn Hersteller-Support gewünscht ist

Unser Ansatz: Wir empfehlen die Lösung, die zu deinem Team und deinen Anforderungen passt – ob Open Source oder Enterprise. In beiden Fällen übernehmen wir Einrichtung, Härtung und laufende Betreuung.

Remote Access

Sicherer Fernzugriff
für jede Teamgröße.

OpenVPN war jahrelang Standard. Heute gibt es deutlich bessere Optionen. Wir setzen je nach Anforderung auf WireGuard nativ, Tailscale als verwaltetes Mesh oder Headscale als Self-hosted-Variante ohne Cloud-Abhängigkeit.

Einfachste Option
Tailscale Managed

SaaS-Koordinationsserver, WireGuard-Tunnel zwischen Geräten. Einrichtung in Minuten, SSO-Integration via Azure AD oder Google. Ideal für Teams ohne eigene Infrastruktur.

Keine eigene Infrastruktur nötig Login via SSO / MFA Cloud-Koordination
Kontrollierte Option
Headscale Self-hosted

Derselbe WireGuard-Mesh wie Tailscale, aber der Koordinationsserver läuft auf eigenem Server oder VPS. Volle Datenkontrolle, keine Abhängigkeit.

Eigener Koordinationsserver Open Source, keine Subscription Erfordert VPS / Server
Integrierte Option
WireGuard auf OPNsense

WireGuard direkt auf der Firewall. Kein externer Server, volle Integration mit VLAN-Regeln und Firewall-Policies. Standard für klassisches Site-to-Client-VPN.

In Firewall integriert Feingranulare Zugriffsregeln VLAN-aware
Multi-Standort
IPSec Site-to-Site

Standortvernetzung zwischen zwei oder mehr Büros. Beide Standorte erscheinen im selben logischen Netz, ohne Einwahl für die Mitarbeitenden.

Transparente Standortvernetzung Kein Client-VPN nötig Hoher Durchsatz
Jetzt starten

Ein Netzwerk, das du
nicht im Auge behalten musst.

In einem Erstgespräch analysieren wir deinen aktuellen Netzwerkstand – ohne Verkaufsdruck, ohne Produkt-Pitch. Du bekommst eine ehrliche Einschätzung, was gut läuft und wo die größten Risiken liegen.

Herstellerunabhängig Offene Standards Keine Lizenzkosten
Noch Fragen? Häufige Fragen → Antworten auf die wichtigsten Fragen rund um unsere Netzwerk-Services. Alle Services Leistungsübersicht → Alle IT-Services im Überblick – von Netzwerk bis Managed IT.