14
2 getrennte Netzwerke (1x mit Internet, 1x ohne) sollen auf gemeinsamen Speicher zugreifen, geht das?
Turnschuhnetzwerk soll durch gemeinsamen Speicher ersetzt werden, dennoch weiterhin komplette Trennung beider Netze
Zwei Neztwerke im selben Gebäude:
Bisher waren beide Netze physisch voneinander getrennt.
Trotzdem ist hin und wieder ein Dateiaustausch zwischen den Netzen nötig - das wurde mit einem USB-Stick auf Wanderschaft realisiert.
Auf Dauer nervt das jedoch.
Aus Sicherheitsgründen darf das interne Netz keine Verbindung mit dem Internet haben. Auch nicht aus versehen oder durch Benutzerfehler oder sonst wie.
Schon gar nicht durch ein voreiliges Betriebssystem, welches meint Gutes zu tun wenn es von selbst eine Bridge einrichtet.
Der Grund ist einfach: würden die Kundendaten im Netz A aus Versehen ins Internet gelangen, könnte die Firma zumachen.
Nun suchen wir nach einer Lösung, Dateien auf einem Speicher ablegen zu können, welcher von beiden Netzen aus "gesehen" wird.
Diese Dateien sind für den Mailversand bestimmt und "unkritisch".
Im Unterschied zu den bereits existierenden sehr guten Anleitungen, z.B.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät,
soll Netz A völlig abgeschottet bleiben, sowohl von außen nach innen, als auch von innen nach außen!
Also:
Es läuft vielleicht auf eine Art Monowall hinter einer FritzBox hinaus, dabei muss aber sicher sein, dass nicht jemand von außen das Gerät hacken kann.
Vielleicht ist auch eine Flashkarte mit Schreibschutz (fürs System) nötig?
Und die Hauptfrage: wo und wie kömmt der Speicher hin? Ein Stick mit 2GB würde ja reichen.
Kann jemand helfen?
Gruß und vielen Dank im Voraus.
Zwei Neztwerke im selben Gebäude:
- Netz A ohne Internetzugang
- Netz B mit Internet
Bisher waren beide Netze physisch voneinander getrennt.
Trotzdem ist hin und wieder ein Dateiaustausch zwischen den Netzen nötig - das wurde mit einem USB-Stick auf Wanderschaft realisiert.
Auf Dauer nervt das jedoch.
Aus Sicherheitsgründen darf das interne Netz keine Verbindung mit dem Internet haben. Auch nicht aus versehen oder durch Benutzerfehler oder sonst wie.
Schon gar nicht durch ein voreiliges Betriebssystem, welches meint Gutes zu tun wenn es von selbst eine Bridge einrichtet.
Der Grund ist einfach: würden die Kundendaten im Netz A aus Versehen ins Internet gelangen, könnte die Firma zumachen.
Nun suchen wir nach einer Lösung, Dateien auf einem Speicher ablegen zu können, welcher von beiden Netzen aus "gesehen" wird.
Diese Dateien sind für den Mailversand bestimmt und "unkritisch".
Im Unterschied zu den bereits existierenden sehr guten Anleitungen, z.B.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät,
soll Netz A völlig abgeschottet bleiben, sowohl von außen nach innen, als auch von innen nach außen!
Also:
- kein Internet (für Netz A)
- W-Lan sowieso nicht
- Netze dürfen sich nicht "sehen"
- kein Routing
- kein V-Lan
- kein teurer Router
- je einfacher um so besser, da kein Netzwerkguru darüber wacht
Es läuft vielleicht auf eine Art Monowall hinter einer FritzBox hinaus, dabei muss aber sicher sein, dass nicht jemand von außen das Gerät hacken kann.
Vielleicht ist auch eine Flashkarte mit Schreibschutz (fürs System) nötig?
Und die Hauptfrage: wo und wie kömmt der Speicher hin? Ein Stick mit 2GB würde ja reichen.
Kann jemand helfen?
Gruß und vielen Dank im Voraus.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 158719
Url: https://administrator.de/contentid/158719
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
14 Kommentare
Neuester Kommentar
Moin,
mein quick and dirty Vorschlag - Netz A - Mailserver- Firewall (alle Ports zu ausser Port 25 [oder irgendein anderer]) - Mailserver - Netz B. Da die Daten eh für Mail vorgesehen sind, isses die einfachste Lösung.
Gruß
24
mein quick and dirty Vorschlag - Netz A - Mailserver- Firewall (alle Ports zu ausser Port 25 [oder irgendein anderer]) - Mailserver - Netz B. Da die Daten eh für Mail vorgesehen sind, isses die einfachste Lösung.
Gruß
24
Hallo,
ein Rechner mit 2 Netzwerkkarten, wo jeweils eine Karte je Netz gehängt wird. Auf dem PC kannst dann z.B. ein FTP aufsetzen.
ein Rechner mit 2 Netzwerkkarten, wo jeweils eine Karte je Netz gehängt wird. Auf dem PC kannst dann z.B. ein FTP aufsetzen.
Hallo,
1.) mit einer Firewall (z.b m0n0wall) die 2 Netze verbinden und konfigurieren; Benutzer und Passwort gut wegsperren, da Fehlkonfiguration möglich
2.) NAS ( oder einen alten PC ) in ein Netz C stellen. Rechner Netz A mit 2 Netzwerkkarten routet A und C, Rechner Netz B mit 2 Karten routet B und C. Kein Routing zwischen A und B möglich.
Gruß Sam
1.) mit einer Firewall (z.b m0n0wall) die 2 Netze verbinden und konfigurieren; Benutzer und Passwort gut wegsperren, da Fehlkonfiguration möglich
2.) NAS ( oder einen alten PC ) in ein Netz C stellen. Rechner Netz A mit 2 Netzwerkkarten routet A und C, Rechner Netz B mit 2 Karten routet B und C. Kein Routing zwischen A und B möglich.
Gruß Sam
Zitat von @n.o.b.o.d.y:
Hallo,
ein Rechner mit 2 Netzwerkkarten, wo jeweils eine Karte je Netz gehängt wird. Auf dem PC kannst dann z.B. ein FTP aufsetzen.
Hallo,
ein Rechner mit 2 Netzwerkkarten, wo jeweils eine Karte je Netz gehängt wird. Auf dem PC kannst dann z.B. ein FTP aufsetzen.
Ja, das wäre die einfachste Möglichkeit, geht aber am beschriebenen Sicherheitskonzept vorbei. Der Rechner wäre nicht bulletproof. Zu viele Fehlbedienungsmöglichkeiten.
Zitat von @2hard4you:
Moin,
mein quick and dirty Vorschlag - Netz A - Mailserver- Firewall (alle Ports zu ausser Port 25 [oder irgendein anderer]) -
Mailserver - Netz B. Da die Daten eh für Mail vorgesehen sind, isses die einfachste Lösung.
Gruß
24
Moin,
mein quick and dirty Vorschlag - Netz A - Mailserver- Firewall (alle Ports zu ausser Port 25 [oder irgendein anderer]) -
Mailserver - Netz B. Da die Daten eh für Mail vorgesehen sind, isses die einfachste Lösung.
Gruß
24
Danke für die superschnelle Antwort! Im Prinzip funktioniert das, was Du geschrieben hast, doch es verstößt gegen die (vorgegebene) Forderung dass es keine Verbindung zwischen den beiden Netzen geben darf. Ein offener Port (auch mit Firewall) ist einer zuviel (selbst wenn es Port 24 wäre
Zitat von @sam24:
Hallo,
1.) mit einer Firewall (z.b m0n0wall) die 2 Netze verbinden und konfigurieren; Benutzer und Passwort gut wegsperren, da
Fehlkonfiguration möglich
2.) NAS ( oder einen alten PC ) in ein Netz C stellen. Rechner Netz A mit 2 Netzwerkkarten routet A und C, Rechner Netz B mit 2
Karten routet B und C. Kein Routing zwischen A und B möglich.
Gruß Sam
Hallo,
1.) mit einer Firewall (z.b m0n0wall) die 2 Netze verbinden und konfigurieren; Benutzer und Passwort gut wegsperren, da
Fehlkonfiguration möglich
2.) NAS ( oder einen alten PC ) in ein Netz C stellen. Rechner Netz A mit 2 Netzwerkkarten routet A und C, Rechner Netz B mit 2
Karten routet B und C. Kein Routing zwischen A und B möglich.
Gruß Sam
Hallo Sam,
an drei Netze habe ich auch schon gedacht. Aber sind dann die Rechner mit der zweiten Karte nicht automatisch zusammen im Netz C und können sich sehen?
Oder könnte man Netz C sogar weglassen und der m0n0wall eine zweite CF-Karte oder einen USB-Stick als freigegebenen Speicher verpassen?
Gruß - kandis
Alternative wäre auch z.B. ein NAS mit 2 NICs also z.B. Wenn du dir in ein FreeNAS 2 Netzwerkkarten steckst die jeweils ins Netz A und B kommen.
Da das NAS nicht routet behälst du die vollkomene Trennung beider Netzwerke, denn das NAS stellt sich in jedem Netzwerk wie ein Endgerät dar.
Das wäre eine Alternative ansonsten kommst du um eine Firewall nicht drumrum...
Da das NAS nicht routet behälst du die vollkomene Trennung beider Netzwerke, denn das NAS stellt sich in jedem Netzwerk wie ein Endgerät dar.
Das wäre eine Alternative ansonsten kommst du um eine Firewall nicht drumrum...
Moin,
wenn ich die Antworten so ansehe (sind eigentlich alle Möglichkeiten genannt) und deine Kommentare dazu fürchte ich fast es wird wohl auf einen neuen Satz Turnschuhe hinauslaufen.
Die Vorgaben sind ja auch nicht ohne, !! kein Routing !! schließt eigentlich alles aus. Ohne Fluss keine Schifffahrt (war das jetzt richtig mit den drei f?). Wenn zwei Netzwerke miteinander sprechen können ist das Routing. Auch wenn 20 Firewalls dazwischen stehen.
Was ist z.B. an der Lösung von n.o.b.o.d.y fehlbedienbar? User können nen FTP aufmachen. Das wars. Fehlbedienungsmöglichkeit ist, ein falsches Passwort einzugeben.
Gruß MiniStrator
wenn ich die Antworten so ansehe (sind eigentlich alle Möglichkeiten genannt) und deine Kommentare dazu fürchte ich fast es wird wohl auf einen neuen Satz Turnschuhe hinauslaufen.
Die Vorgaben sind ja auch nicht ohne, !! kein Routing !! schließt eigentlich alles aus. Ohne Fluss keine Schifffahrt (war das jetzt richtig mit den drei f?). Wenn zwei Netzwerke miteinander sprechen können ist das Routing. Auch wenn 20 Firewalls dazwischen stehen.
Was ist z.B. an der Lösung von n.o.b.o.d.y fehlbedienbar? User können nen FTP aufmachen. Das wars. Fehlbedienungsmöglichkeit ist, ein falsches Passwort einzugeben.
Gruß MiniStrator
Der aquiNATOR hat gesprochen, und - wie es scheint - ins Schwarze getroffen!
Wenn FreeNAS von Haus aus nicht routen kann, isses genau das was ich suche!!!
Zudem: man kann es von CD laufen lassen (und täglich grüßt das Murmeltier), dran ändern will nach der Einrichtung eh keiner was.
Alternativ von einem Flashmedium (mit Schreibschutzschalter), doch bei Wikipedia steht da:
"es ist mitunter sehr schwer, sein System von einem Bootmedium wie Flash-Speicher oder USB-Stick lauffähig zu machen."
Falls es Erfahrungswerte damit gibt, hier ein paar abschließende Fragen:
1 - kann FreeNAS von Haus aus nicht routen, oder muss man das Routing (basierend auf m0n0wall) explizit abschalten?
2 - ist FreeNAS the one and only, oder gibt es weitere open source jenseits der buildnummer 1.0?
3 - wenn FreeNAS das Maß der Dinge ist: kann man es anpassen und danach brennen (ähnlich wie z.B. andere Live-Linuxe)?
4 - ist das mit dem USB-Boot inzwischen händelbar?
Also: herzlichsten Dank zunächst einmal, ich geb' dann Erfolgsmeldung.
Gruß - kandis
Wenn FreeNAS von Haus aus nicht routen kann, isses genau das was ich suche!!!
Zudem: man kann es von CD laufen lassen (und täglich grüßt das Murmeltier), dran ändern will nach der Einrichtung eh keiner was.
Alternativ von einem Flashmedium (mit Schreibschutzschalter), doch bei Wikipedia steht da:
"es ist mitunter sehr schwer, sein System von einem Bootmedium wie Flash-Speicher oder USB-Stick lauffähig zu machen."
Falls es Erfahrungswerte damit gibt, hier ein paar abschließende Fragen:
1 - kann FreeNAS von Haus aus nicht routen, oder muss man das Routing (basierend auf m0n0wall) explizit abschalten?
2 - ist FreeNAS the one and only, oder gibt es weitere open source jenseits der buildnummer 1.0?
3 - wenn FreeNAS das Maß der Dinge ist: kann man es anpassen und danach brennen (ähnlich wie z.B. andere Live-Linuxe)?
4 - ist das mit dem USB-Boot inzwischen händelbar?
Also: herzlichsten Dank zunächst einmal, ich geb' dann Erfolgsmeldung.
Gruß - kandis
Hallo MiniStrator,
die Netze sollen ja eben nicht miteinander reden sondern sich nur den gleichen Speicher teilen. Ein Gerät in der Mitte also, welches den beiden Netzen gemeinsamen Speicherplatz zur Verfügung stellt OHNE sie miteinander zu verbinden.
Zur Fehlbedienbarkeit: ich erinnere mich lauwarm an einen Testbericht, in welchem ein Gerät welches explizit mit Netztrennung beworben wurde (ich glaube es war ein Router mit V-Lan) eben dies nicht 100prozentig konnte. Menschen machen Fehler und wenn ein System die Möglichkeit bietet Bridges und Routen einzurichten, dann kann das auch passieren. Der eine oder andere hat vielleicht schon mal versehentlich das Garagentor über Nacht offen gelassen?! Hinterher kann man dann sagen: "Wie blöd war das denn?", doch dann isses zu spät.
Für manche Drucker gibt es übrigens eine einfache Lösung zur Einbindung in getrennte Netze: 1x USB und 1x LAN-Anschluss, vielleicht sogar noch 1x parallel. Fehlbedienung und Routing technisch unmöglich. Leider funktioniert das bei Speichergeräten nicht, da diese die Operationen nicht einfach in eine Warteschlange stecken können, wie bei einem Drucker.
Nun denn, aqui scheint die Nuss geknackt zu haben.
Gruß - kandis
ps: Schifffahrt mit drei "f" ist richtig, drei ist immer richtig, Sonderregel abgeschafft, Fehlbedienung unmöglich
die Netze sollen ja eben nicht miteinander reden sondern sich nur den gleichen Speicher teilen. Ein Gerät in der Mitte also, welches den beiden Netzen gemeinsamen Speicherplatz zur Verfügung stellt OHNE sie miteinander zu verbinden.
Zur Fehlbedienbarkeit: ich erinnere mich lauwarm an einen Testbericht, in welchem ein Gerät welches explizit mit Netztrennung beworben wurde (ich glaube es war ein Router mit V-Lan) eben dies nicht 100prozentig konnte. Menschen machen Fehler und wenn ein System die Möglichkeit bietet Bridges und Routen einzurichten, dann kann das auch passieren. Der eine oder andere hat vielleicht schon mal versehentlich das Garagentor über Nacht offen gelassen?! Hinterher kann man dann sagen: "Wie blöd war das denn?", doch dann isses zu spät.
Für manche Drucker gibt es übrigens eine einfache Lösung zur Einbindung in getrennte Netze: 1x USB und 1x LAN-Anschluss, vielleicht sogar noch 1x parallel. Fehlbedienung und Routing technisch unmöglich. Leider funktioniert das bei Speichergeräten nicht, da diese die Operationen nicht einfach in eine Warteschlange stecken können, wie bei einem Drucker.
Nun denn, aqui scheint die Nuss geknackt zu haben.
Gruß - kandis
ps: Schifffahrt mit drei "f" ist richtig, drei ist immer richtig, Sonderregel abgeschafft, Fehlbedienung unmöglich
Hi kandisbunzler,
ich bin natürlich nicht davon ausgegangen das die User irgendwelche Rechte auf dem Rechner hätten, geschweige denn ein Passwort, ausser dem für den FTP-Zugang, wüssten.
FreeNAS ist im Prinzip auch ein System in der Mitte, wenn das nicht routen *kann*, kann es natürlich auch keiner versehentlich einschalten
Muss mir das mal ansehen, habs schon öfters gehört, nie gesehen... Hört sich interessant an.
Viel Spass noch beim Tüfteln
Gruß MiniStrator
ich bin natürlich nicht davon ausgegangen das die User irgendwelche Rechte auf dem Rechner hätten, geschweige denn ein Passwort, ausser dem für den FTP-Zugang, wüssten.
FreeNAS ist im Prinzip auch ein System in der Mitte, wenn das nicht routen *kann*, kann es natürlich auch keiner versehentlich einschalten
Muss mir das mal ansehen, habs schon öfters gehört, nie gesehen... Hört sich interessant an.
Viel Spass noch beim Tüfteln
Gruß MiniStrator
@kandisbunzler
Dann ist ein FreeNAS mit 2 NICs in den beiden Netzwerken die Lösung der Wahl für dich. Es funktioniert übrigens völlig problemlos mit einem CF Flash Adapter im IDE Festplattenslot:
http://www.reichelt.de/?;ACTION=3;LA=444;GROUP=J4;GROUPID=4825;ARTICLE= ...
oder extern
http://www.reichelt.de/?;ACTION=3;LA=444;GROUP=E78;GROUPID=3837;ARTICLE ...
wobei der interne noch vor Verlust der Flash Karte schützt. USB Stick geht auch aber das ist mechanisch nicht sehr gut (Bruchgefahr) und auch nicht Diebstahl sicher...
Einfach das FreeNAS Image brennen auf CD und auf die CF Karte im IDE Adapter installieren..fertig !
Danach das CD Rom ausbauen und schon bootet FreeNas in der Fullversion vom CF. Das hat den entscheidenden Vorteil wenn dir die HW mal abraucht steckst du einfach den CF Adapter um auf eine Neue Hardware und bist gleich wieder einsatzbereit mit dem NAS.
Alternativ kann man auch das i386 Image mit physdiskwrite direkt auf die CF Karte brennen.
Erstere Vorgehensweise ist aber etwas eleganter, da du dort noch Install optionen wählen kannst.
Die NAS Konfiguration geschieht mit ein paar Mausklicks über das Web Interface.
Hast du alles richtig gemacht sollte es dann so aussehen:
Dann ist ein FreeNAS mit 2 NICs in den beiden Netzwerken die Lösung der Wahl für dich. Es funktioniert übrigens völlig problemlos mit einem CF Flash Adapter im IDE Festplattenslot:
http://www.reichelt.de/?;ACTION=3;LA=444;GROUP=J4;GROUPID=4825;ARTICLE= ...
oder extern
http://www.reichelt.de/?;ACTION=3;LA=444;GROUP=E78;GROUPID=3837;ARTICLE ...
wobei der interne noch vor Verlust der Flash Karte schützt. USB Stick geht auch aber das ist mechanisch nicht sehr gut (Bruchgefahr) und auch nicht Diebstahl sicher...
Einfach das FreeNAS Image brennen auf CD und auf die CF Karte im IDE Adapter installieren..fertig !
Danach das CD Rom ausbauen und schon bootet FreeNas in der Fullversion vom CF. Das hat den entscheidenden Vorteil wenn dir die HW mal abraucht steckst du einfach den CF Adapter um auf eine Neue Hardware und bist gleich wieder einsatzbereit mit dem NAS.
Alternativ kann man auch das i386 Image mit physdiskwrite direkt auf die CF Karte brennen.
Erstere Vorgehensweise ist aber etwas eleganter, da du dort noch Install optionen wählen kannst.
Die NAS Konfiguration geschieht mit ein paar Mausklicks über das Web Interface.
Hast du alles richtig gemacht sollte es dann so aussehen:
Dem ist wohl nichts mehr hinzuzufügen.
Problem gelöst.
Demnächst wird gebastelt.
Tausend Dank!!!
Problem gelöst.
Demnächst wird gebastelt.
Tausend Dank!!!
