Client-Server-LAN sicher ans Internet

Hi,
hoffentlich bin ich hier nicht off-topic, aber m.E. zielt meine Frage auf die Grundinstallation eines LANs und dessen sichere Anbindung ans Internet.
Ein Freund hat eine kleines Büro mit einem aus 5 PCs und einem Server bestehenden Netzwerk. Ein 6. PC arbeitet außerhalb des LANs und geht als einziger Rechner ins Internet (DSL). Bisher war das LAN noch nicht im Internet, weil Sicherheitsbedenken dagegen sprachen (auf dem Server liegen extrem vertrauliche Daten). In Zukunft soll jeder Client-PC online gehen können, muß leider sein. Frage: Wie ist das am besten und sichersten zu realisieren?
Meine Idee: Man könnte den DSL-Router mit dem Server verbinden und damit das gesamte LAN den Internetzugang ermöglichen. Würde das funktionieren? Und was würde das für die Sicherheit der Daten auf dem Server bedeuten? Reicht die Firewall des Routers aus (zur Zeit ein Speedport der Telekom)?
Es gibt eine betreuende IT-Firma, die demnächst einen Vorschlag unterbreiten wird, doch waren diese Leute in der Vergangenheit nicht immer die besten, dafür aber oft die teuersten. Daher hätte mein Freund mich gern in der Hinterhand, damit er gut vorbereitet in das Gespräch gehen kann.
Und ich frage euch, wie immer.
Danke und schöne Grüße.
Holger

Das komplette LAN an den Router bzw. erst nen Switch an den Router und da dann das LAN dran angeschlossen.
Zugriff von aussen ist NICHT möglich, solange auf dem Router KEIN PORTFORWARDING eingerichtet ist; ich würde allerdings nen richtigen Router kaufen und kein Telekom-Spielzeug benutzen.

Extrem vertraulich sind alle Firmendaten und wenn alle online gehen sollen und der Server evtl. nicht, lässt man am Server einfach den Eintrag Standardgateway in den TCP/IP-Eigenschaften weg, damit kommt der Server nicht über den Router hinaus und auch auf keinen Fall jemand über den Router hinein.

Hi twoday, erstmal vielen Dank. Wenn ich dich richtig verstanden habe, meinst du diese Lösung:
5 Clients - Server - Switch - Router - Internet.
Mir war zuerst nicht klar, wo du den Server einstöpseln willst. Aber ist es so richtig? Aber dann geht der Weg zwischen Clients und Internet auf jeden Fall über den Server. Wenn der jetzt nicht als Standardgatewy definiert ist, kommen dann die Clients überhaupt ins Internet? :-?

holgi2000 schrieb:

[...]Aber dann geht der Weg zwischen Clients und Internet auf jeden Fall über den Server.[...]

Zum Vergrößern anklicken....

Nein, warum sollten die Clients über den Server ins Internet gehen, wenn doch ein Router vorhanden ist? Was versprichst du dir davon?
Die Clients und der Server hängen alle am Switch, der Switch am Router und alle gehen direkt über den Router ins Internet - das ist eine Standardkonfiguration, wie sie in zig Millionen Büros prima funktioniert.

Vielleicht habe ich ein Brett vorm Kopf oder kapiere nicht, wie Port-Forwarding funktioniert. :|
Wenn im Router Port-Forwarding deaktiviert ist, kann doch keiner der Clients über eine spezielle Anwendung (zB. mail oder Datendienste abfragen) mit dem Internet in Verbindung treten bzw. eine Rückmeldung/Antwort aus dem Internet erhalten, weil der Router keinen bestimmten Client im LAN adressieren kann (NAT). Oder?

Jetzt antworte ich mir schon selbst. ;D Hatte einen kleinen Blackout und ziehe meinen vorherigen Beitrag verschämt zurück. Wen's interessiert: Hier
http://betrieblicher-datenschutz-extern.de/artikel/paketfilter-nat-router-sicherheit
kann man alles nachlesen.
Nur noch eine Frage: Was für einen Router wäre denn empfehlenswert? Er sollte mindestens NAT und einen Paketfilter haben, denke ich. Was noch?

NAT muss jeder Router können, sonst wärs kein Router. ;-)
Für kleine Business-Anbindungen habe ich bisher immer mit Lancon oder früher mal mit Bintec (die heissen jetzt glaube ich Funkwerk) gearbeitet, die bringen dann auch gleich noch ein bisschen Schnickschnack wie Einwahl per VPN etc. mit und sind -einmal in Betrieb genommen- über jeden Zweifel erhaben.

Ggf. könntest du auch ne USG von Zyxel einsetzen, die bieten auch Einwahlmöglichkeiten für den Remotezugriff (falls das überhaupt gewünscht ist; aber meiner Erfahrung nach kommt diese Anforderung zwangsläufig irgendwann, da isses besser, scho nen Router zu haben, der das dann auch vernünftig darstellen kann).

Alles klar. Danke für die Tipps. Hab mal wieder was gelernt.
Grüsse
Holger