2 netzwerke 1 internetanschluss
Wie kann ich an einem Internetanschluss zwei voneinander unabhängige Netzwerke betreiben?
Liebe Spezialisten,
wie realisiere ich mit einfachen Mitteln zwei voneinander getrennte Netzwerke, die nicht aufeinander zugreifen können, an einem Internetanschluss?
Am Anschluss hängt ein Speedport w 701 v. Kann ich an einen der LAN Ports einen weiteren Router für das zweite Netzwerk hängen, dem ich dann einen anderen IP-Bereich zuordnen kann?
Wären die beiden Bereiche der beiden Netze dann bspw. 192.168.0.1 bis 192.186.0.50 und 192.168.0.51-192.168.0.100 oder 192.168.0.xxx und 192.168.1.xxx? Oder muss ich die Subnetzmaske unterschiedlich einstellen?
Im Moment hängt am Speedport an einem LAN-Port ein Switch mit Büro-Rechnern und an einem anderen LAN-Port ein Switch in einem anderen Stockwerk, an dem wiederum ein Accesspoint hängt. Der Speedport selbst strahlt WLAN-SSID Nr.1 aus, er Accesspoint WLAN-SSID Nr.2. Für beide WLANS ist der Speedport der DHCP-Server.
Somit bewegen sich alle Rechner im gleichen IP-Bereich, egal ob LAN oder WLAN.
Ich möchte nun allen Rechnern, die sich bisher über den zweiten LAN-Port einklinken, egal ob mit oder ohne Kabel, den Zugriff auf die Büro-Rechner, die am LAN-Port 1 oder im WLAN Nr. 1 hängen, verweigern.
Vielen Dank und viele Grüße,
Urs
Liebe Spezialisten,
wie realisiere ich mit einfachen Mitteln zwei voneinander getrennte Netzwerke, die nicht aufeinander zugreifen können, an einem Internetanschluss?
Am Anschluss hängt ein Speedport w 701 v. Kann ich an einen der LAN Ports einen weiteren Router für das zweite Netzwerk hängen, dem ich dann einen anderen IP-Bereich zuordnen kann?
Wären die beiden Bereiche der beiden Netze dann bspw. 192.168.0.1 bis 192.186.0.50 und 192.168.0.51-192.168.0.100 oder 192.168.0.xxx und 192.168.1.xxx? Oder muss ich die Subnetzmaske unterschiedlich einstellen?
Im Moment hängt am Speedport an einem LAN-Port ein Switch mit Büro-Rechnern und an einem anderen LAN-Port ein Switch in einem anderen Stockwerk, an dem wiederum ein Accesspoint hängt. Der Speedport selbst strahlt WLAN-SSID Nr.1 aus, er Accesspoint WLAN-SSID Nr.2. Für beide WLANS ist der Speedport der DHCP-Server.
Somit bewegen sich alle Rechner im gleichen IP-Bereich, egal ob LAN oder WLAN.
Ich möchte nun allen Rechnern, die sich bisher über den zweiten LAN-Port einklinken, egal ob mit oder ohne Kabel, den Zugriff auf die Büro-Rechner, die am LAN-Port 1 oder im WLAN Nr. 1 hängen, verweigern.
Vielen Dank und viele Grüße,
Urs
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 149464
Url: https://administrator.de/forum/2-netzwerke-1-internetanschluss-149464.html
Ausgedruckt am: 23.12.2024 um 11:12 Uhr
19 Kommentare
Neuester Kommentar
Hi,
Ich würde es so machen:
Besorge zwei weitere Router, und hänge beide an den Speedport. Der Speedport bekommt 192.168.0.x der erste Router 192.168.1.x und der zweite 192.168.2.x
Beim Speedport schaltest du das WLAN dann ab, dafür bei den beiden neuen Routern an.
Damit kann kein Nutzer aus einem der beiden Netze auf das andere Netz zugreifen. Das ganze ist sauber getrennt und logisch aufgebaut, kann zur Not noch erweitert werden und wenn jemand am einen Router rumspielt schiesst er nicht die andere Netzwerkgruppe aus dem Netz (was passieren würde wenn man den Traffic von der einen Gruppe über den WLan-Router der anderen leitet). Nur vom Speedport sollen dann alle die Finger lassen.
Viel Erfolg!
Greets, DC
Ich würde es so machen:
Besorge zwei weitere Router, und hänge beide an den Speedport. Der Speedport bekommt 192.168.0.x der erste Router 192.168.1.x und der zweite 192.168.2.x
Beim Speedport schaltest du das WLAN dann ab, dafür bei den beiden neuen Routern an.
Damit kann kein Nutzer aus einem der beiden Netze auf das andere Netz zugreifen. Das ganze ist sauber getrennt und logisch aufgebaut, kann zur Not noch erweitert werden und wenn jemand am einen Router rumspielt schiesst er nicht die andere Netzwerkgruppe aus dem Netz (was passieren würde wenn man den Traffic von der einen Gruppe über den WLan-Router der anderen leitet). Nur vom Speedport sollen dann alle die Finger lassen.
Viel Erfolg!
Greets, DC
Vielleicht hilft dir grundlegend ja auch folgende Anleitung (die man doch recht einfach per suche findet):
Kopplung von 2 Routern am DSL Port
Kopplung von 2 Routern am DSL Port
Hallo Urs,
Nein, ein Zugriff der Netzwerke untereinander funktioniert in der von mir beschriebenen Konfiguration nicht. Und zwar aus folgendem Grund:
Nennen wir die Netzwerke A und B und dort gibt es Rechner, sagen wir als mal A1, A2, A3 sowie B1 und B2
A1 hat nun per DHCP die 192.168.1.100, A2 die 192.168.1.101, B1 die 192.168.2.100, B2 die3 192.168.2.101 usw.
Logischwerweise können alle Rechner des jeweiligen Netzwerks A und B miteinander kommunizieren da sie sich ja im gleichen Subnetz befinden.
Greifen sie auf das Internet zu passiert nun folgendes (Am Beispiel A1)
A1 möchte auf www.test.de zugreifen bekommt über DNS die IP-Adresse 217.110.104.156 aufgelöst.
Da dies nicht im gleich Subnetz liegt wendet sich der Rechner an den Router des A-Netzes, also Router A.
Dieser hat ja ebenfalls per DHCP seine Konfiguration erhalten, ist selbst also im Subnetz 192.168.0.x und demnach auch nicht zuständig für das Routing
Er fragt demnach den Speedport Router, und der hängt am Internet und leitet die Anfrage dann über seinen WAN Port ins Internet weiter.
Möchte A1 aber nun auf das Subnetz B zugreifen funktioniert es nicht. Denn weder Router A noch der Speedport kennen die Konfiguration des Routers B,
d.h. sie wissen beide nicht dass dort auf der "anderen Seite" also im LAN Bereich das Subnetz 192.168.2.x konfiguriert ist und können daher die Pakete nicht
weiterleiten.
Das ist auch genau der Unterschied zu kaskadierten Routern, wenn du nur 2 Router hättest die hintereinander hängen können die Rechner vom "hinteren" Subnetz durchaus auf das "vordere" zugreifen, nur umgekehrt nicht.
Ich hoffe ich habs halbwegs verständlich erklärt....
Gruß, DC
Nein, ein Zugriff der Netzwerke untereinander funktioniert in der von mir beschriebenen Konfiguration nicht. Und zwar aus folgendem Grund:
Nennen wir die Netzwerke A und B und dort gibt es Rechner, sagen wir als mal A1, A2, A3 sowie B1 und B2
A1 hat nun per DHCP die 192.168.1.100, A2 die 192.168.1.101, B1 die 192.168.2.100, B2 die3 192.168.2.101 usw.
Logischwerweise können alle Rechner des jeweiligen Netzwerks A und B miteinander kommunizieren da sie sich ja im gleichen Subnetz befinden.
Greifen sie auf das Internet zu passiert nun folgendes (Am Beispiel A1)
A1 möchte auf www.test.de zugreifen bekommt über DNS die IP-Adresse 217.110.104.156 aufgelöst.
Da dies nicht im gleich Subnetz liegt wendet sich der Rechner an den Router des A-Netzes, also Router A.
Dieser hat ja ebenfalls per DHCP seine Konfiguration erhalten, ist selbst also im Subnetz 192.168.0.x und demnach auch nicht zuständig für das Routing
Er fragt demnach den Speedport Router, und der hängt am Internet und leitet die Anfrage dann über seinen WAN Port ins Internet weiter.
Möchte A1 aber nun auf das Subnetz B zugreifen funktioniert es nicht. Denn weder Router A noch der Speedport kennen die Konfiguration des Routers B,
d.h. sie wissen beide nicht dass dort auf der "anderen Seite" also im LAN Bereich das Subnetz 192.168.2.x konfiguriert ist und können daher die Pakete nicht
weiterleiten.
Das ist auch genau der Unterschied zu kaskadierten Routern, wenn du nur 2 Router hättest die hintereinander hängen können die Rechner vom "hinteren" Subnetz durchaus auf das "vordere" zugreifen, nur umgekehrt nicht.
Ich hoffe ich habs halbwegs verständlich erklärt....
Gruß, DC
Moin.
Die IP-Adressen kannst du dann natürlich nicht scannen, weil der 2. Router (hinter dem Speedport) die Kommunikation von außen ja garnicht zulässt. Und Tools wie netscan kochen auch nur mit Wasser, d.h. sie müssen genauso den Router als Weg benutzen wie andere Verbindungen auch.
Die Abschottung gegen kriminelle Energie hast du damit aber schon ganz gut hinbekommen (abgesehen von irgendwelchen Schwachstellen in der Router-Software).
Als Router hinter dem Speedport kannst du nehmen was du willst. Ich persönlich würde Modelle mit mehr Features bevorzugen aber wenn der Speedport für dich einfach zu bedienen ist... für den Einsatzzweck reicht er jedenfalls.
Nochmal zum Verständnis: Für die inneren Router (also die beiden wo das jeweilige Netz dranhängt), ist das äußere Netzwerk (zwischen den Speedports) genauso "BÖSE" wie das Internet selbst. Der äußere Router blockt also Zugriffe aus dem Internet, der innere hingegen Zugriffe vom jeweils anderen Netz.
Abgesehen vom höheren Stromverbrauch (3 statt ein Router), ist so eine Router-Kaskade eine gute und ausreichende Option für dein Szenario.
Die IP-Adressen kannst du dann natürlich nicht scannen, weil der 2. Router (hinter dem Speedport) die Kommunikation von außen ja garnicht zulässt. Und Tools wie netscan kochen auch nur mit Wasser, d.h. sie müssen genauso den Router als Weg benutzen wie andere Verbindungen auch.
Die Abschottung gegen kriminelle Energie hast du damit aber schon ganz gut hinbekommen (abgesehen von irgendwelchen Schwachstellen in der Router-Software).
Als Router hinter dem Speedport kannst du nehmen was du willst. Ich persönlich würde Modelle mit mehr Features bevorzugen aber wenn der Speedport für dich einfach zu bedienen ist... für den Einsatzzweck reicht er jedenfalls.
Nochmal zum Verständnis: Für die inneren Router (also die beiden wo das jeweilige Netz dranhängt), ist das äußere Netzwerk (zwischen den Speedports) genauso "BÖSE" wie das Internet selbst. Der äußere Router blockt also Zugriffe aus dem Internet, der innere hingegen Zugriffe vom jeweils anderen Netz.
Abgesehen vom höheren Stromverbrauch (3 statt ein Router), ist so eine Router-Kaskade eine gute und ausreichende Option für dein Szenario.
Würdest Du empfehlen, zwei weitere Speedports einzusetzen? Welche Geräte würdest Du mir generell für diesen
Zweck empfehlen?
Zweck empfehlen?
Dazu braucht es nichts besonderes, nur Standardfunktionen. Insbesondere ist kein DSL-Modem nötig, also sind Speedports (mit DSL Modem) Geldverschwendung.
Wenn an beiden Subnetzen jeweils auch ein WLAN betrieben werden soll würde ich mir etwas mit hoher Sendeleistung aussuchen, vielleicht etwas aus der Netgear Rangemax-Reihez.B. den netgear WNR-2000 oder günstiger den TP-Link TL-WR940N. Die beiden Router müssen auch nicht gleich sein, wenn noch was da ist könnte man erst mal das nehmen.
Gruß, DC
Moin,
das kommt auf den Router an. Damit man als "User" nicht allzuviel falschmachen kann, beschränken einige Hersteller gern diese Option. Theoretisch kann man jede beliebige DHCP-Option mit so einem Router / AP realisieren, nur ob es in der Software unterstützt wird... bei den Speedports ists auch so beschränkt.
das kommt auf den Router an. Damit man als "User" nicht allzuviel falschmachen kann, beschränken einige Hersteller gern diese Option. Theoretisch kann man jede beliebige DHCP-Option mit so einem Router / AP realisieren, nur ob es in der Software unterstützt wird... bei den Speedports ists auch so beschränkt.
Ja bei dem Gateway-Netz benutzt du ja eh feste Adressen. Welcher Router geeignet ist... nun ja, da müsstest du wohl etwas stöbern. Andere Frage: Warum stört dich die Einschränkung? Du kannst immerhin 256 verschiedene Netze (192.168.0.x bis 192.168.255.x) einrichten und brauchen tust du doch nur 2... Oder brauchst du unbedingt eine bestimmten Netzadresse, die du mit der Einschränkung nicht einstellen kannst?
Hi
Welchen Sinn macht es, den DHCP-Server für andere Bereiche / auf einer anderen IP-Adresse zu konfigurieren als in dem Subnetz in dem er läuft? Das ist wiederum eine Vereinfachung für den Nutzer in der AP-Software... Wird bei Routern auch wieder davon abhängen, wie "einfach" die Oberfläche zur Konfiguration ist...
Welchen Sinn macht es, den DHCP-Server für andere Bereiche / auf einer anderen IP-Adresse zu konfigurieren als in dem Subnetz in dem er läuft? Das ist wiederum eine Vereinfachung für den Nutzer in der AP-Software... Wird bei Routern auch wieder davon abhängen, wie "einfach" die Oberfläche zur Konfiguration ist...
Zumal ist das Netzwerk 102.168.0.xxx KEIN Privates Netzwerk !!
http://de.wikipedia.org/wiki/Private_IP-Adresse
Davon sollte man also besser die Finger lassen und 10er, 172er oder 192.168er Netze verwenden. Der Rest steht ja im Tutorial:
Kopplung von 2 Routern am DSL Port
Wenn du mehr als 2 IP Netze anhängen willst ist es besser man verwendet eine kleine Firewall mit mehr Ports oder weicht auf VLANs aus wie in diesem Tutorial beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
http://de.wikipedia.org/wiki/Private_IP-Adresse
Davon sollte man also besser die Finger lassen und 10er, 172er oder 192.168er Netze verwenden. Der Rest steht ja im Tutorial:
Kopplung von 2 Routern am DSL Port
Wenn du mehr als 2 IP Netze anhängen willst ist es besser man verwendet eine kleine Firewall mit mehr Ports oder weicht auf VLANs aus wie in diesem Tutorial beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
ich glaub das war ein Verschreiber von ihm...
Wenn du mehr als 2 IP Netze anhängen willst ist es besser man verwendet eine kleine Firewall mit mehr Ports oder weicht auf VLANs aus wie in diesem Tutorial beschrieben
Grundsätzlich eine gute Idee, was aber wenn sich zwei Parteien zwar einen Internet-Anschluss teilen, aber nicht wirklich vertrauen? Wo stellst du das Gerät hin? In so einem Fall lieber ein gemeinsamer Router und dann für jeden nochmal ein eigener in der eigenen Wohnung.
Das stellt sich dann aber für den "gemeinsamen Router" wieder die Frage. "...aber nicht wirklich vertrauen? Wo stellst du das Gerät hin? ".
Wie man es umsetzt ist also mehr oder minder kosmetisch.
Von der Managebarkeit ist eine kleine zentrale Firewall von erheblichem Vorteil. Vom finanziellen Aspekt auch...
Letztlich "vertrauenstechnisch" aber immer wieder eine eigene Diskussion der beteiligten Partner...
Wie man es umsetzt ist also mehr oder minder kosmetisch.
Von der Managebarkeit ist eine kleine zentrale Firewall von erheblichem Vorteil. Vom finanziellen Aspekt auch...
Letztlich "vertrauenstechnisch" aber immer wieder eine eigene Diskussion der beteiligten Partner...
Ich habe mich extra hier angemeldet, um "DANKE!" zu sagen!
Das war sehr verständlich beschrieben und funktioniert in der Tat wunderbar.
Als kleine Ergänzung von meiner Seite noch, falls jemand anderem dies unklar ist:
Durch die Vergabe von unterschiedlichen Netzwerkbereichen an die unterschiedlichen Router (A1 hat nun per DHCP die 192.168.1.100, A2 die 192.168.1.101), kann in jedem Netz auch der eigene DHCP aktiviert bleiben.. sehr sehr gut so!
Das war sehr verständlich beschrieben und funktioniert in der Tat wunderbar.
Als kleine Ergänzung von meiner Seite noch, falls jemand anderem dies unklar ist:
Durch die Vergabe von unterschiedlichen Netzwerkbereichen an die unterschiedlichen Router (A1 hat nun per DHCP die 192.168.1.100, A2 die 192.168.1.101), kann in jedem Netz auch der eigene DHCP aktiviert bleiben.. sehr sehr gut so!