Ein gemeinsamer Internetzugang - Netzwerk Aufteilen (DHCP -VLAN)
Ich habe einen Internetzugang mit einem LTE Modem "E5186s-22a".
Nun sollen mit dem Internetzugang 2 Gebäude Versorgt werden - Unterirdische Netzwerkkabel usw. sind schon vorhanden.
Beide Gebäude sollen über getrennte Netzwerke verfügen, eine Kommunikation zwischen den Netzwerken soll aus Sicherheitsgründen nicht möglich sein.
Nur ein geimeinsamer Internetzugang. In jedem der Gebäude soll ein Switch platziert werden für die Interne Netzwerkverkabelung. An diesen Switch werden noch WLAN Access Points angeschlossen. (In jedem Gebäude)
WLAN des LTE Modems wird natürlich abgeschalten.
Nun habe ich schon über einige Lösungsansätze gelesen z.B. das ganze mit einem VLAN Switch trennen...
Allerdings kann das LTE Modem nur einen DHCP Server Bereitstellen (für einen Adressbereich) ich möchte aber 2 Teil-Netzwerke haben - bräuchte ich da nicht 2 DHCP Server?
Kann man das ganze mit VLAN aufbauen oder ist dass der Falsche Weg?
Ich bin für alles offen - kann auch gerne ein Anderes LTE Modem besorgen, falls das helfen sollte.... denke dass E5186s-22a ist onehin etwas eingeschränkt...
Ich suche schon seit Wochen im Internet nach Antworten, aber eine Richtige Lösung (die für mich verständlich war) zu meinem Problem konnte ich nicht finden,...
Nun sollen mit dem Internetzugang 2 Gebäude Versorgt werden - Unterirdische Netzwerkkabel usw. sind schon vorhanden.
Beide Gebäude sollen über getrennte Netzwerke verfügen, eine Kommunikation zwischen den Netzwerken soll aus Sicherheitsgründen nicht möglich sein.
Nur ein geimeinsamer Internetzugang. In jedem der Gebäude soll ein Switch platziert werden für die Interne Netzwerkverkabelung. An diesen Switch werden noch WLAN Access Points angeschlossen. (In jedem Gebäude)
WLAN des LTE Modems wird natürlich abgeschalten.
Nun habe ich schon über einige Lösungsansätze gelesen z.B. das ganze mit einem VLAN Switch trennen...
Allerdings kann das LTE Modem nur einen DHCP Server Bereitstellen (für einen Adressbereich) ich möchte aber 2 Teil-Netzwerke haben - bräuchte ich da nicht 2 DHCP Server?
Kann man das ganze mit VLAN aufbauen oder ist dass der Falsche Weg?
Ich bin für alles offen - kann auch gerne ein Anderes LTE Modem besorgen, falls das helfen sollte.... denke dass E5186s-22a ist onehin etwas eingeschränkt...
Ich suche schon seit Wochen im Internet nach Antworten, aber eine Richtige Lösung (die für mich verständlich war) zu meinem Problem konnte ich nicht finden,...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 307206
Url: https://administrator.de/contentid/307206
Ausgedruckt am: 13.11.2024 um 22:11 Uhr
15 Kommentare
Neuester Kommentar
Auch kein Hallo,
ohne jetzt auf Themen einzugehen wie...
Du schließt direkt am Modem einen L3 fähigen Switch oder einen weiteren Router, richtest dort 2 VLANs ein und 2 DHCP Scopes und schließt an diesen 2 Ports jeweils deine 2 Netze an. Über ACLs regelst du dann wer wo wie auf was zugreifen darf. Fertig.
Auch kein Gruß
ohne jetzt auf Themen einzugehen wie...
- Potentialausgleich
- Warum so eine LTE China Gurke?
- Was für eine Verkabelung wurde da unterirdisch verlegt?
Du schließt direkt am Modem einen L3 fähigen Switch oder einen weiteren Router, richtest dort 2 VLANs ein und 2 DHCP Scopes und schließt an diesen 2 Ports jeweils deine 2 Netze an. Über ACLs regelst du dann wer wo wie auf was zugreifen darf. Fertig.
Auch kein Gruß
Zitat von @pingii:
Ich suche schon seit Wochen im Internet nach Antworten, aber eine Richtige Lösung (die für mich verständlich war) zu meinem Problem konnte ich nicht finden,...
Ich suche schon seit Wochen im Internet nach Antworten, aber eine Richtige Lösung (die für mich verständlich war) zu meinem Problem konnte ich nicht finden,...
Entweder besorgst Du Dir einen vernünftigen LTE-Router, der die zwei verschieden e LAN-Segmente aufspannt oder Du klemmst hinter den LTE-Router einen weiteren Router, der die zwei Netzwerke trennt.
lks
Zitat von @pingii:
Das Problem mit dem Potentialausgleich ist mir bewusst, deshalb habe ich auch ein ungeschirmtes Netzwerkkabel verwendet, funktioniert bis jetzt einwandfrei.
Inwiefern das das Problem mit dem Potentialausgleich löst, musst du uns jetzt aber erklären Das Problem mit dem Potentialausgleich ist mir bewusst, deshalb habe ich auch ein ungeschirmtes Netzwerkkabel verwendet, funktioniert bis jetzt einwandfrei.
Dieses Modem war leider das einzige welches mein Mobilfunk Anbieter hatte, aber ich bin gerne bereit ein vernünftiges zu kaufen. (nur Welches?)
Ich meinte eher damit, wieso versorgt man 2 Gebäude mit einem Mobilfunk Modem und nicht einem richtigen Internetanschluss.Aber das ist ja deine Entscheidung und tut hier nix zur Sache.
Das Heißt der Leyer 3 Swicht kann selber 2 DHCP Server zur verfügung stellen - wenn ich richtig verstehe?
Der Layer 3 Switch kann das ja, ein kleiner Mikrotik Router für ~ 40 € (dann hast du allerdings eine Routerkaskade. Somit wäre ein Router mit eingebautem LTE Modul wie unten von Kollege @Lochkartenstanzer erwähnt die bessere Option) kann das aber z.B. auch. Kommt halt immer drauf an was deine Anforderungen sind. Wenn du nur Internet benötigst und keine Services/Dienste bereitstellen möchtest (VPN etc.) dann kann man auch kaskadieren.Gruß
Hallo,
ein "richtiger" DHCP-Server kann mehere, unterschiedliche Subnetze versorgen. Dazu müssen nur die entsprechenden Zonen/Bereiche eingerichtet und konfiguriert werden. Ob das Dein LTE-Router kann, weiß ich nicht (eher nicht).
Natürlich "hängt" ein solcher DHCP-Server nur in einen Subnetz. Deshalb muß im Router ein DHCP-Relay oder DHCP-Helper eingerichtet werden.
Häufig haben AccessPoints oder als AP kastrierte WLAN-Router ja auch einen internen DHCP-Server. Du kannst dann in dem 2. Subnetz diesen mit dem entsprechenden IP-Bereich aktivieren. Damit hättest Du für jeden IP-Bereich einen eigenen DHCP-Server.
Jürgen
ein "richtiger" DHCP-Server kann mehere, unterschiedliche Subnetze versorgen. Dazu müssen nur die entsprechenden Zonen/Bereiche eingerichtet und konfiguriert werden. Ob das Dein LTE-Router kann, weiß ich nicht (eher nicht).
Natürlich "hängt" ein solcher DHCP-Server nur in einen Subnetz. Deshalb muß im Router ein DHCP-Relay oder DHCP-Helper eingerichtet werden.
Häufig haben AccessPoints oder als AP kastrierte WLAN-Router ja auch einen internen DHCP-Server. Du kannst dann in dem 2. Subnetz diesen mit dem entsprechenden IP-Bereich aktivieren. Damit hättest Du für jeden IP-Bereich einen eigenen DHCP-Server.
Jürgen
MikroTik Router RB411U LTE/4G oder passende Modelle von demn üblichen verdächtigen, Cisco, LanCom, DrayTec, etc.
lks
Ich schließe mich dem an. Firewall hinter den LTE Router mit zwei Zonen die untereinander nicht kommunizieren können. Die Firewall bringt i.d.r. auch einen DHCP Server, welcher pro Interface konfiguriert werden kann.
Ein DHCP Relay wäre auch möglich, würde aber den Netztrennung ggf. widersprechen.
Marken gibt es viele... Zu den o.g. gibt es z.B. Dell Sonicwall und Sophos. Die Zonenverwaltung ist das was du suchst. Da könne bei wenigen Clients eine TZ200 von Sonicwall ggf schon langen. Es kommt drauf an was Du willst. Achtung: Die Leistungsdaten sind Marketing, nimm mal lieber die Hälfte
VLAN könnte man noch mit aufziehen, brauchst Du aber nicht. Zone1 geht auf Switch1... Zone2 geht auf Switch2.
Wenn Du dann auch noch Interfaces frei hast, könntest Du auch noch das WLAN separieren. Dann kommt Du über VLANS nicht herum (3 bis 4 Netze, 2 Switche) und ggf. das WLAN trennen von den LAN Zonen. Theoretisch kann auf einem Interface der Firewall auch virtuelle angelegt werden mit VLANs, Taste Dich aber erst mal ran, da das Thema für Dich recht neu zu sein scheint.
P.S.: Du hast dann den Vorteil noch weite Features wie Virenschutzprogramm, Anti-Spyware und diverse Features bei bedarf mitzubuchen und am Gateway zusätzlich zu schützen.
Ein DHCP Relay wäre auch möglich, würde aber den Netztrennung ggf. widersprechen.
Marken gibt es viele... Zu den o.g. gibt es z.B. Dell Sonicwall und Sophos. Die Zonenverwaltung ist das was du suchst. Da könne bei wenigen Clients eine TZ200 von Sonicwall ggf schon langen. Es kommt drauf an was Du willst. Achtung: Die Leistungsdaten sind Marketing, nimm mal lieber die Hälfte
VLAN könnte man noch mit aufziehen, brauchst Du aber nicht. Zone1 geht auf Switch1... Zone2 geht auf Switch2.
Wenn Du dann auch noch Interfaces frei hast, könntest Du auch noch das WLAN separieren. Dann kommt Du über VLANS nicht herum (3 bis 4 Netze, 2 Switche) und ggf. das WLAN trennen von den LAN Zonen. Theoretisch kann auf einem Interface der Firewall auch virtuelle angelegt werden mit VLANs, Taste Dich aber erst mal ran, da das Thema für Dich recht neu zu sein scheint.
P.S.: Du hast dann den Vorteil noch weite Features wie Virenschutzprogramm, Anti-Spyware und diverse Features bei bedarf mitzubuchen und am Gateway zusätzlich zu schützen.
Genau, die WLAN APs an den Switchen wären dann separiert, wenn die Switche jeweils an einem eigenem Interface hängen und in den Firewallregeln steht, dass diese nicht untereinander kommunizieren dürfen. I.d.R sind das Zonen, default gibt es LAN und dann legt man z.B. LAN2 und verbietet dein Kommunikation zwischen den Netzen. Damit ist dein Szenario erfüllt.
Die Dinger können aber viel mehr, und längerfristig schaue Dir das gerne an, wenn Du Lust/Zeit hast:
Das mit getrennt von LAN1 und LAN2... Es gibt da nach sehr viele nette Konfigurationsmöglichkeiten, wenn das läuft, was Du oben suchst, dann guck Dir das einfach mal nach und nach an. Nimm vielleicht ein freies Interface zum testen. Ich wollte Dich da nicht gleich mit Konfiguariongsmöglichkeiten "zubombadieren". Es gibt aber die Möglichkeiten mit VLANs, Multi-SSID und virtuellen Interfaces indem Firewalls/Switchen das noch interessanter zu gestalten. So könnte man eine SSID in das Produktivnetz einrichten (theoretisch sogar mit eigenem Subnetz), und eine andere SSID z.B. nur für "öffentlichen" Zugriff (z.B. Besprechungsräume, Gäste). Einfach als Blick in die Zukunft
Viel Erfolg!
Die Dinger können aber viel mehr, und längerfristig schaue Dir das gerne an, wenn Du Lust/Zeit hast:
Das mit getrennt von LAN1 und LAN2... Es gibt da nach sehr viele nette Konfigurationsmöglichkeiten, wenn das läuft, was Du oben suchst, dann guck Dir das einfach mal nach und nach an. Nimm vielleicht ein freies Interface zum testen. Ich wollte Dich da nicht gleich mit Konfiguariongsmöglichkeiten "zubombadieren". Es gibt aber die Möglichkeiten mit VLANs, Multi-SSID und virtuellen Interfaces indem Firewalls/Switchen das noch interessanter zu gestalten. So könnte man eine SSID in das Produktivnetz einrichten (theoretisch sogar mit eigenem Subnetz), und eine andere SSID z.B. nur für "öffentlichen" Zugriff (z.B. Besprechungsräume, Gäste). Einfach als Blick in die Zukunft
Viel Erfolg!
Da brauchst Du nicht lang zu suchen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät von @aqui ist hier der Klassiker. Alternativ tut es auch ein Microtik für 50 € von Grabbeltisch, der allerdings deutlich mehr Einarbeitungsaufwand erfordert.
lks
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät von @aqui ist hier der Klassiker. Alternativ tut es auch ein Microtik für 50 € von Grabbeltisch, der allerdings deutlich mehr Einarbeitungsaufwand erfordert.
lks
Genau....Der Artikel ist sehr gut... Danke!
Alternativ für einen "ausgedienten" Intel PC, in den man noch zwei zusätzliche NICs einbaut:
https://www.sophos.com/de-de/products/free-tools/sophos-xg-firewall-home ...
Hier habe ich mit PPPOE direkt jedoch noch keine Erfahrungen...
Viel Erfolg!
Alternativ für einen "ausgedienten" Intel PC, in den man noch zwei zusätzliche NICs einbaut:
https://www.sophos.com/de-de/products/free-tools/sophos-xg-firewall-home ...
Hier habe ich mit PPPOE direkt jedoch noch keine Erfahrungen...
Viel Erfolg!
Moin
Bei dem ausgedienten PC aber auf den Stromverbrauch achten, da so eine Firewall durchaus 24/7 läuft. Ob die Kiste 20W oder 200W Leistung zieht macht über 200€/a in der Stromrechnung aus.
lks
Zitat von @derLenhart:
Alternativ für einen "ausgedienten" Intel PC, in den man noch zwei zusätzliche NICs einbaut:
Alternativ für einen "ausgedienten" Intel PC, in den man noch zwei zusätzliche NICs einbaut:
Bei dem ausgedienten PC aber auf den Stromverbrauch achten, da so eine Firewall durchaus 24/7 läuft. Ob die Kiste 20W oder 200W Leistung zieht macht über 200€/a in der Stromrechnung aus.
lks