19
2 netzwerke 1 internetanschluss
Wie kann ich an einem Internetanschluss zwei voneinander unabhängige Netzwerke betreiben?
Liebe Spezialisten,
wie realisiere ich mit einfachen Mitteln zwei voneinander getrennte Netzwerke, die nicht aufeinander zugreifen können, an einem Internetanschluss?
Am Anschluss hängt ein Speedport w 701 v. Kann ich an einen der LAN Ports einen weiteren Router für das zweite Netzwerk hängen, dem ich dann einen anderen IP-Bereich zuordnen kann?
Wären die beiden Bereiche der beiden Netze dann bspw. 192.168.0.1 bis 192.186.0.50 und 192.168.0.51-192.168.0.100 oder 192.168.0.xxx und 192.168.1.xxx? Oder muss ich die Subnetzmaske unterschiedlich einstellen?
Im Moment hängt am Speedport an einem LAN-Port ein Switch mit Büro-Rechnern und an einem anderen LAN-Port ein Switch in einem anderen Stockwerk, an dem wiederum ein Accesspoint hängt. Der Speedport selbst strahlt WLAN-SSID Nr.1 aus, er Accesspoint WLAN-SSID Nr.2. Für beide WLANS ist der Speedport der DHCP-Server.
Somit bewegen sich alle Rechner im gleichen IP-Bereich, egal ob LAN oder WLAN.
Ich möchte nun allen Rechnern, die sich bisher über den zweiten LAN-Port einklinken, egal ob mit oder ohne Kabel, den Zugriff auf die Büro-Rechner, die am LAN-Port 1 oder im WLAN Nr. 1 hängen, verweigern.
Vielen Dank und viele Grüße,
Urs
Liebe Spezialisten,
wie realisiere ich mit einfachen Mitteln zwei voneinander getrennte Netzwerke, die nicht aufeinander zugreifen können, an einem Internetanschluss?
Am Anschluss hängt ein Speedport w 701 v. Kann ich an einen der LAN Ports einen weiteren Router für das zweite Netzwerk hängen, dem ich dann einen anderen IP-Bereich zuordnen kann?
Wären die beiden Bereiche der beiden Netze dann bspw. 192.168.0.1 bis 192.186.0.50 und 192.168.0.51-192.168.0.100 oder 192.168.0.xxx und 192.168.1.xxx? Oder muss ich die Subnetzmaske unterschiedlich einstellen?
Im Moment hängt am Speedport an einem LAN-Port ein Switch mit Büro-Rechnern und an einem anderen LAN-Port ein Switch in einem anderen Stockwerk, an dem wiederum ein Accesspoint hängt. Der Speedport selbst strahlt WLAN-SSID Nr.1 aus, er Accesspoint WLAN-SSID Nr.2. Für beide WLANS ist der Speedport der DHCP-Server.
Somit bewegen sich alle Rechner im gleichen IP-Bereich, egal ob LAN oder WLAN.
Ich möchte nun allen Rechnern, die sich bisher über den zweiten LAN-Port einklinken, egal ob mit oder ohne Kabel, den Zugriff auf die Büro-Rechner, die am LAN-Port 1 oder im WLAN Nr. 1 hängen, verweigern.
Vielen Dank und viele Grüße,
Urs
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 149464
Url: https://administrator.de/contentid/149464
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
19 Kommentare
Neuester Kommentar
Hi,
Ich würde es so machen:
Besorge zwei weitere Router, und hänge beide an den Speedport. Der Speedport bekommt 192.168.0.x der erste Router 192.168.1.x und der zweite 192.168.2.x
Beim Speedport schaltest du das WLAN dann ab, dafür bei den beiden neuen Routern an.
Damit kann kein Nutzer aus einem der beiden Netze auf das andere Netz zugreifen. Das ganze ist sauber getrennt und logisch aufgebaut, kann zur Not noch erweitert werden und wenn jemand am einen Router rumspielt schiesst er nicht die andere Netzwerkgruppe aus dem Netz (was passieren würde wenn man den Traffic von der einen Gruppe über den WLan-Router der anderen leitet). Nur vom Speedport sollen dann alle die Finger lassen.
Viel Erfolg!
Greets, DC
Ich würde es so machen:
Besorge zwei weitere Router, und hänge beide an den Speedport. Der Speedport bekommt 192.168.0.x der erste Router 192.168.1.x und der zweite 192.168.2.x
Beim Speedport schaltest du das WLAN dann ab, dafür bei den beiden neuen Routern an.
Damit kann kein Nutzer aus einem der beiden Netze auf das andere Netz zugreifen. Das ganze ist sauber getrennt und logisch aufgebaut, kann zur Not noch erweitert werden und wenn jemand am einen Router rumspielt schiesst er nicht die andere Netzwerkgruppe aus dem Netz (was passieren würde wenn man den Traffic von der einen Gruppe über den WLan-Router der anderen leitet). Nur vom Speedport sollen dann alle die Finger lassen.
Viel Erfolg!
Greets, DC
Hi DonCool,
danke für die Antwort - scheint mir logisch und einfach.
Wenn ich mit einem Tool wie netscan den IP-Bereich von 192.168.0.x bis 192.168.2.x auslesen lasse -werden mir dann nicht dennoch alle IPs, auch die aus dem jeweils anderen Netzwerk, angezeigt? Wenn dies der Fall wäre, könnte man mit entsprechenden Mitteln bestimmt auch auf die Rechner zugreifen, richtig?
Allerdings will ich auch keine 100%ige Abschottung gegen kriminelle Energie erreichen, sofern es die überhaupt gibt (die Abschottung meine ich
). Es würde mir schon reichen, wenn ich im einen Netzwerk bspw. Netzwerkfestplatten ohne Passwortschutz verwenden kann, ohne dass auch dem anderen Netzwerk darauf zugegriffen werden kann.
Würdest Du empfehlen, zwei weitere Speedports einzusetzen? Welche Geräte würdest Du mir generell für diesen Zweck empfehlen?
Viele Grüße,
Urs
danke für die Antwort - scheint mir logisch und einfach.
Wenn ich mit einem Tool wie netscan den IP-Bereich von 192.168.0.x bis 192.168.2.x auslesen lasse -werden mir dann nicht dennoch alle IPs, auch die aus dem jeweils anderen Netzwerk, angezeigt? Wenn dies der Fall wäre, könnte man mit entsprechenden Mitteln bestimmt auch auf die Rechner zugreifen, richtig?
Allerdings will ich auch keine 100%ige Abschottung gegen kriminelle Energie erreichen, sofern es die überhaupt gibt (die Abschottung meine ich
). Es würde mir schon reichen, wenn ich im einen Netzwerk bspw. Netzwerkfestplatten ohne Passwortschutz verwenden kann, ohne dass auch dem anderen Netzwerk darauf zugegriffen werden kann.Würdest Du empfehlen, zwei weitere Speedports einzusetzen? Welche Geräte würdest Du mir generell für diesen Zweck empfehlen?
Viele Grüße,
Urs
Vielleicht hilft dir grundlegend ja auch folgende Anleitung (die man doch recht einfach per suche findet):
Kopplung von 2 Routern am DSL Port
Kopplung von 2 Routern am DSL Port
Hallo Urs,
Nein, ein Zugriff der Netzwerke untereinander funktioniert in der von mir beschriebenen Konfiguration nicht. Und zwar aus folgendem Grund:
Nennen wir die Netzwerke A und B und dort gibt es Rechner, sagen wir als mal A1, A2, A3 sowie B1 und B2
A1 hat nun per DHCP die 192.168.1.100, A2 die 192.168.1.101, B1 die 192.168.2.100, B2 die3 192.168.2.101 usw.
Logischwerweise können alle Rechner des jeweiligen Netzwerks A und B miteinander kommunizieren da sie sich ja im gleichen Subnetz befinden.
Greifen sie auf das Internet zu passiert nun folgendes (Am Beispiel A1)
A1 möchte auf www.test.de zugreifen bekommt über DNS die IP-Adresse 217.110.104.156 aufgelöst.
Da dies nicht im gleich Subnetz liegt wendet sich der Rechner an den Router des A-Netzes, also Router A.
Dieser hat ja ebenfalls per DHCP seine Konfiguration erhalten, ist selbst also im Subnetz 192.168.0.x und demnach auch nicht zuständig für das Routing
Er fragt demnach den Speedport Router, und der hängt am Internet und leitet die Anfrage dann über seinen WAN Port ins Internet weiter.
Möchte A1 aber nun auf das Subnetz B zugreifen funktioniert es nicht. Denn weder Router A noch der Speedport kennen die Konfiguration des Routers B,
d.h. sie wissen beide nicht dass dort auf der "anderen Seite" also im LAN Bereich das Subnetz 192.168.2.x konfiguriert ist und können daher die Pakete nicht
weiterleiten.
Das ist auch genau der Unterschied zu kaskadierten Routern, wenn du nur 2 Router hättest die hintereinander hängen können die Rechner vom "hinteren" Subnetz durchaus auf das "vordere" zugreifen, nur umgekehrt nicht.
Ich hoffe ich habs halbwegs verständlich erklärt....
Gruß, DC
Nein, ein Zugriff der Netzwerke untereinander funktioniert in der von mir beschriebenen Konfiguration nicht. Und zwar aus folgendem Grund:
Nennen wir die Netzwerke A und B und dort gibt es Rechner, sagen wir als mal A1, A2, A3 sowie B1 und B2
A1 hat nun per DHCP die 192.168.1.100, A2 die 192.168.1.101, B1 die 192.168.2.100, B2 die3 192.168.2.101 usw.
Logischwerweise können alle Rechner des jeweiligen Netzwerks A und B miteinander kommunizieren da sie sich ja im gleichen Subnetz befinden.
Greifen sie auf das Internet zu passiert nun folgendes (Am Beispiel A1)
A1 möchte auf www.test.de zugreifen bekommt über DNS die IP-Adresse 217.110.104.156 aufgelöst.
Da dies nicht im gleich Subnetz liegt wendet sich der Rechner an den Router des A-Netzes, also Router A.
Dieser hat ja ebenfalls per DHCP seine Konfiguration erhalten, ist selbst also im Subnetz 192.168.0.x und demnach auch nicht zuständig für das Routing
Er fragt demnach den Speedport Router, und der hängt am Internet und leitet die Anfrage dann über seinen WAN Port ins Internet weiter.
Möchte A1 aber nun auf das Subnetz B zugreifen funktioniert es nicht. Denn weder Router A noch der Speedport kennen die Konfiguration des Routers B,
d.h. sie wissen beide nicht dass dort auf der "anderen Seite" also im LAN Bereich das Subnetz 192.168.2.x konfiguriert ist und können daher die Pakete nicht
weiterleiten.
Das ist auch genau der Unterschied zu kaskadierten Routern, wenn du nur 2 Router hättest die hintereinander hängen können die Rechner vom "hinteren" Subnetz durchaus auf das "vordere" zugreifen, nur umgekehrt nicht.
Ich hoffe ich habs halbwegs verständlich erklärt....
Gruß, DC
Moin.
Die IP-Adressen kannst du dann natürlich nicht scannen, weil der 2. Router (hinter dem Speedport) die Kommunikation von außen ja garnicht zulässt. Und Tools wie netscan kochen auch nur mit Wasser, d.h. sie müssen genauso den Router als Weg benutzen wie andere Verbindungen auch.
Die Abschottung gegen kriminelle Energie hast du damit aber schon ganz gut hinbekommen (abgesehen von irgendwelchen Schwachstellen in der Router-Software).
Als Router hinter dem Speedport kannst du nehmen was du willst. Ich persönlich würde Modelle mit mehr Features bevorzugen aber wenn der Speedport für dich einfach zu bedienen ist... für den Einsatzzweck reicht er jedenfalls.
Nochmal zum Verständnis: Für die inneren Router (also die beiden wo das jeweilige Netz dranhängt), ist das äußere Netzwerk (zwischen den Speedports) genauso "BÖSE" wie das Internet selbst. Der äußere Router blockt also Zugriffe aus dem Internet, der innere hingegen Zugriffe vom jeweils anderen Netz.
Abgesehen vom höheren Stromverbrauch (3 statt ein Router), ist so eine Router-Kaskade eine gute und ausreichende Option für dein Szenario.
Die IP-Adressen kannst du dann natürlich nicht scannen, weil der 2. Router (hinter dem Speedport) die Kommunikation von außen ja garnicht zulässt. Und Tools wie netscan kochen auch nur mit Wasser, d.h. sie müssen genauso den Router als Weg benutzen wie andere Verbindungen auch.
Die Abschottung gegen kriminelle Energie hast du damit aber schon ganz gut hinbekommen (abgesehen von irgendwelchen Schwachstellen in der Router-Software).
Als Router hinter dem Speedport kannst du nehmen was du willst. Ich persönlich würde Modelle mit mehr Features bevorzugen aber wenn der Speedport für dich einfach zu bedienen ist... für den Einsatzzweck reicht er jedenfalls.
Nochmal zum Verständnis: Für die inneren Router (also die beiden wo das jeweilige Netz dranhängt), ist das äußere Netzwerk (zwischen den Speedports) genauso "BÖSE" wie das Internet selbst. Der äußere Router blockt also Zugriffe aus dem Internet, der innere hingegen Zugriffe vom jeweils anderen Netz.
Abgesehen vom höheren Stromverbrauch (3 statt ein Router), ist so eine Router-Kaskade eine gute und ausreichende Option für dein Szenario.
Würdest Du empfehlen, zwei weitere Speedports einzusetzen? Welche Geräte würdest Du mir generell für diesen
Zweck empfehlen?
Zweck empfehlen?
Dazu braucht es nichts besonderes, nur Standardfunktionen. Insbesondere ist kein DSL-Modem nötig, also sind Speedports (mit DSL Modem) Geldverschwendung.
Wenn an beiden Subnetzen jeweils auch ein WLAN betrieben werden soll würde ich mir etwas mit hoher Sendeleistung aussuchen, vielleicht etwas aus der Netgear Rangemax-Reihez.B. den netgear WNR-2000 oder günstiger den TP-Link TL-WR940N. Die beiden Router müssen auch nicht gleich sein, wenn noch was da ist könnte man erst mal das nehmen.
Gruß, DC
Super.
Ich danke Euch!
Damit wäre die Frage erledigt und ich markiere den Beitrag als gelöst.
Ich danke Euch!
Damit wäre die Frage erledigt und ich markiere den Beitrag als gelöst.
Hallo,
jetzt hab ich doch noch eine Frage.
Ich hab gerade gesehen, dass im Accesspoint bei aktiviertem DHCP-Server nur der Bereich auf der vorletzten Stelle gewählt werden kann, mit dem das Gerät selbst beim Gateway, in diesem Fall beim Speedport angemeldet ist.
Ich kann also statt der 102.168.0.x hier keine 1 an die vorletzte Stelle setzen. Verhält sich das bei einem Router anstelle des AP anders?
Viele Grüße,
Urs
jetzt hab ich doch noch eine Frage.
Ich hab gerade gesehen, dass im Accesspoint bei aktiviertem DHCP-Server nur der Bereich auf der vorletzten Stelle gewählt werden kann, mit dem das Gerät selbst beim Gateway, in diesem Fall beim Speedport angemeldet ist.
Ich kann also statt der 102.168.0.x hier keine 1 an die vorletzte Stelle setzen. Verhält sich das bei einem Router anstelle des AP anders?
Viele Grüße,
Urs
Moin,
das kommt auf den Router an. Damit man als "User" nicht allzuviel falschmachen kann, beschränken einige Hersteller gern diese Option. Theoretisch kann man jede beliebige DHCP-Option mit so einem Router / AP realisieren, nur ob es in der Software unterstützt wird... bei den Speedports ists auch so beschränkt.
das kommt auf den Router an. Damit man als "User" nicht allzuviel falschmachen kann, beschränken einige Hersteller gern diese Option. Theoretisch kann man jede beliebige DHCP-Option mit so einem Router / AP realisieren, nur ob es in der Software unterstützt wird... bei den Speedports ists auch so beschränkt.
Ok, also muss ich bei den beiden Routern, die für die beiden Subnetze zuständig sein sollen, auf diese Funktionalität achten, richtig? Der Speedport selbst, der in diesem Fall für keine IPs verteilen soll, sondern nur als Gateway für die beiden Subnetz-Router fungieren soll, spielt in dieser Hinsicht demzufolge keine Rolle?
Wie kann ich zuverlässig herauskriegen, ob ein Router geeignet ist oder nicht? In den technischen Details findet man diese Angabe vermutlich meistens nicht...
Wie kann ich zuverlässig herauskriegen, ob ein Router geeignet ist oder nicht? In den technischen Details findet man diese Angabe vermutlich meistens nicht...
Ja bei dem Gateway-Netz benutzt du ja eh feste Adressen. Welcher Router geeignet ist... nun ja, da müsstest du wohl etwas stöbern. Andere Frage: Warum stört dich die Einschränkung? Du kannst immerhin 256 verschiedene Netze (192.168.0.x bis 192.168.255.x) einrichten und brauchen tust du doch nur 2... Oder brauchst du unbedingt eine bestimmten Netzadresse, die du mit der Einschränkung nicht einstellen kannst?
Also, noch mal langsam:
Die Empfehlung lautet, den ersten Router mit dem Bereich 102.168.0.xxx einzurichten und an dessen LAN-Ports zwei weitere Router zu hängen, um damit zwei unabhängige Netzwerke zu betreiben.
Der erste Router ist dann nur für die Verbindung nach außen zuständig, die beiden angehängten Router haben dann jeweils einen eigenen IP-Bereich, nämlich 192.168.1.xxx und 192.168.2.xxx.
Nun habe ich mal testweise am vorhandenen Accesspoint versucht, den DHCP-Server zu aktivieren. Dort kann ich jedoch nur den Bereich der letzten drei Ziffern beeinflussen, die Stelle vor dem letzten Punkt ist abhängig von der IP des Accesspoints und diese wiederum muss dem Gateway (also dem ersten Router) entsprechen.
Ich muss hier also 192.168.0.xxx behalten.
Die Frage ist nun, ob das bei einem Router anders wäre...
Die Empfehlung lautet, den ersten Router mit dem Bereich 102.168.0.xxx einzurichten und an dessen LAN-Ports zwei weitere Router zu hängen, um damit zwei unabhängige Netzwerke zu betreiben.
Der erste Router ist dann nur für die Verbindung nach außen zuständig, die beiden angehängten Router haben dann jeweils einen eigenen IP-Bereich, nämlich 192.168.1.xxx und 192.168.2.xxx.
Nun habe ich mal testweise am vorhandenen Accesspoint versucht, den DHCP-Server zu aktivieren. Dort kann ich jedoch nur den Bereich der letzten drei Ziffern beeinflussen, die Stelle vor dem letzten Punkt ist abhängig von der IP des Accesspoints und diese wiederum muss dem Gateway (also dem ersten Router) entsprechen.
Ich muss hier also 192.168.0.xxx behalten.
Die Frage ist nun, ob das bei einem Router anders wäre...
Hi
Welchen Sinn macht es, den DHCP-Server für andere Bereiche / auf einer anderen IP-Adresse zu konfigurieren als in dem Subnetz in dem er läuft? Das ist wiederum eine Vereinfachung für den Nutzer in der AP-Software... Wird bei Routern auch wieder davon abhängen, wie "einfach" die Oberfläche zur Konfiguration ist...
Welchen Sinn macht es, den DHCP-Server für andere Bereiche / auf einer anderen IP-Adresse zu konfigurieren als in dem Subnetz in dem er läuft? Das ist wiederum eine Vereinfachung für den Nutzer in der AP-Software... Wird bei Routern auch wieder davon abhängen, wie "einfach" die Oberfläche zur Konfiguration ist...
Zumal ist das Netzwerk 102.168.0.xxx KEIN Privates Netzwerk !!
http://de.wikipedia.org/wiki/Private_IP-Adresse
Davon sollte man also besser die Finger lassen und 10er, 172er oder 192.168er Netze verwenden. Der Rest steht ja im Tutorial:
Kopplung von 2 Routern am DSL Port
Wenn du mehr als 2 IP Netze anhängen willst ist es besser man verwendet eine kleine Firewall mit mehr Ports oder weicht auf VLANs aus wie in diesem Tutorial beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
http://de.wikipedia.org/wiki/Private_IP-Adresse
Davon sollte man also besser die Finger lassen und 10er, 172er oder 192.168er Netze verwenden. Der Rest steht ja im Tutorial:
Kopplung von 2 Routern am DSL Port
Wenn du mehr als 2 IP Netze anhängen willst ist es besser man verwendet eine kleine Firewall mit mehr Ports oder weicht auf VLANs aus wie in diesem Tutorial beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
ich glaub das war ein Verschreiber von ihm...
Wenn du mehr als 2 IP Netze anhängen willst ist es besser man verwendet eine kleine Firewall mit mehr Ports oder weicht auf VLANs aus wie in diesem Tutorial beschrieben
Grundsätzlich eine gute Idee, was aber wenn sich zwei Parteien zwar einen Internet-Anschluss teilen, aber nicht wirklich vertrauen? Wo stellst du das Gerät hin? In so einem Fall lieber ein gemeinsamer Router und dann für jeden nochmal ein eigener in der eigenen Wohnung.
Das stellt sich dann aber für den "gemeinsamen Router" wieder die Frage. "...aber nicht wirklich vertrauen? Wo stellst du das Gerät hin? ".
Wie man es umsetzt ist also mehr oder minder kosmetisch.
Von der Managebarkeit ist eine kleine zentrale Firewall von erheblichem Vorteil. Vom finanziellen Aspekt auch...
Letztlich "vertrauenstechnisch" aber immer wieder eine eigene Diskussion der beteiligten Partner...
Wie man es umsetzt ist also mehr oder minder kosmetisch.
Von der Managebarkeit ist eine kleine zentrale Firewall von erheblichem Vorteil. Vom finanziellen Aspekt auch...
Letztlich "vertrauenstechnisch" aber immer wieder eine eigene Diskussion der beteiligten Partner...
Hallo,
wie kann man bei dieser Konstellation, also zwei hintereinandergeschaltete Router, dafür sorgen, dass ein DynDNS-Zugriff funktioniert?
Der erste Router hat ..168.0.xxx, der zweite ...168.2.xxx. Bei beiden Dynamisches DNS aktiviert und eingestellt, trotzdem kein Zugriff möglich.
Viele Grüße,
Urs
wie kann man bei dieser Konstellation, also zwei hintereinandergeschaltete Router, dafür sorgen, dass ein DynDNS-Zugriff funktioniert?
Der erste Router hat ..168.0.xxx, der zweite ...168.2.xxx. Bei beiden Dynamisches DNS aktiviert und eingestellt, trotzdem kein Zugriff möglich.
Viele Grüße,
Urs
Ich habe mich extra hier angemeldet, um "DANKE!" zu sagen!
Das war sehr verständlich beschrieben und funktioniert in der Tat wunderbar.
Als kleine Ergänzung von meiner Seite noch, falls jemand anderem dies unklar ist:
Durch die Vergabe von unterschiedlichen Netzwerkbereichen an die unterschiedlichen Router (A1 hat nun per DHCP die 192.168.1.100, A2 die 192.168.1.101), kann in jedem Netz auch der eigene DHCP aktiviert bleiben.. sehr sehr gut so!
Das war sehr verständlich beschrieben und funktioniert in der Tat wunderbar.
Als kleine Ergänzung von meiner Seite noch, falls jemand anderem dies unklar ist:
Durch die Vergabe von unterschiedlichen Netzwerkbereichen an die unterschiedlichen Router (A1 hat nun per DHCP die 192.168.1.100, A2 die 192.168.1.101), kann in jedem Netz auch der eigene DHCP aktiviert bleiben.. sehr sehr gut so!
Du fährst aber wohl hoffentlich NICHT beide IP Netze auf einem gemeinsamen Draht, oder ??
Das wäre dann eine nicht standardkonforme Bastellösung die dir früher oder später erhebliche Probleme bereiten wird.
Vom gravierenden Sicherheitsproblem jetzt mal gar nicht geredet...
Das wäre dann eine nicht standardkonforme Bastellösung die dir früher oder später erhebliche Probleme bereiten wird.
Vom gravierenden Sicherheitsproblem jetzt mal gar nicht geredet...
