Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Eingeschränktes Subnetz für Kunden

Mitglied: xpluke

xpluke (Level 1) - Jetzt verbinden

31.05.2006, aktualisiert 05.06.2006, 5877 Aufrufe, 9 Kommentare

Hallo,

ich habe ein Problem, dass mich seit Tagen beschäftigt. Leider komme ich mit Try&error nicht weiter - mein Fachwissen scheint auch nicht gut genug zu sein

Wir betreiben aktuell ein "Standard"-LAN, welches den Mitarbeitern einen Zugang per DSL zum Internet gestattet.
Außerdem gibt es einen geschützten WLAN Access Point, mit welchem die Laptopts der Mitarbeiter bedient werden.

Die Geschäftsführung möchte nun für Besucher ein offenes WLAN - damit soll lediglich der Zugang ins Internet gestattet sein, auf die Firmenrechner soll man damit nicht kommen.
Ich denke mal, ich brauche für die Besucher also ein Subnetz - zwischem dem Bestehende Netz und dem neuen Subnetz also einen Router....

Muss ich nun in dem Router, welcher die Internetverbindung aufbaut (192.168.1.1 - "Router A" im Bild) eine statische Route eintragen? Wenn ja, wie muss diese aussehen??
Darf Router B (192.168.100.1) als DHCP Server für die Besucher agieren?

Den WAN-Port ("Internet-Port") des Router B verbinde ich mit Router A. Somit gehen alle Pakete der Besucher über das Gateway 192.168.100.1 zu Router A...

Mein Hauptproblem ist die statische Route - brauche ich die überhaupt?`


Ich weiß, viele Fragen... Ich bin euch für jede Idee/Antwort dankbar!!

Lg,
Daniel

http://c2it.de/lanbild.jpg
Mitglied: superboh
31.05.2006 um 03:06 Uhr
Hi,

einer der beiden Router (A oder B) braucht ein "Bein" im jeweils anderern Netz, weil sie ja sonst keine Daten miteinander austauschen können.
Also entweder eine 2. Schnittstelle oder aber zumindest die Möglichkeit, einer physischen Schnittstelle zwei IP-Adressen geben zu können.

Angenommen Router B hätte noch eine Adresse im Firmen-Netz (192.168.1.200), dann sieht die statische Route auf Router A so ähnlich aus:
Route 192.168.200.0 Mask 255.255.255.0 übers Gateway 192.168.1.200.

Andersrum, wenn Router A noch eine IP im anderen Netz hat, sollte es ohne statische Route gehen. Diese 2. IP von Router A ist dann das GW von Router B.

Die meinsten "Billigrouter" haben aber nur 1 Lan-Schnittstelle und lassen auch keine 2. IP-Adresse zu.
Dann kann auch ein immer laufender Server das Routing übernehmen.

Gruß,
Thomas
Bitte warten ..
Mitglied: Daenni
31.05.2006 um 08:33 Uhr
Die Möglichkeit, einer physik NIC ZWEI Adressen zu geben bringt mich auf einen einfachen Linux Server. Ich denke da auch wieder an Lizenzen...

Oder einen vernünftigen Router kaufen.
Bitte warten ..
Mitglied: aqui
31.05.2006 um 09:35 Uhr
Die "elegante" Lösung ist ein separates VLAN auf deinem Switch in dem du das offene WLAN betreibst. Das erfordert dann aber natürlich ein VLAN fähigen Switch, der mindestens auch noch base Layer 3 Funktion hat (er muss ja routen zwischen den VLANs !) und du brauchst dann natürlich die statische Route auf deinem Internet Router.
Vorteil: Klassische Routing Lösung mit allen Filtermöglichkeit auf dem Switch
Nachteil: Hast du diese Infrastruktur nicht wirds teuer, da du alles beschaffen musst.

Ist dieses offene WLAN nicht groß, kannst du dir aber recht elegant mit Bordmitteln helfen:
Du betreibst einfach ein WLAN Router "andersrum"..... D.h. du nimmst einen normalen WLAN Router z.B. Linksys WRT54G und steckst das WAN (DSL !) Interface auf dein normales LAN, die Ethernet Ports lässt du unbenutzt. Hier richtest du jetzt dein offenenes Gast-WLAN ein. Achtung auf genügenden Kanalabstand (5er oder 6er Regel) zum Firmen WLAN achten damit es keine gegenseitige Störung gibt !
Auf dem Router richtest du jetzt ganz normal ein 2tes IP Netz ein und kannst auch in diesem Segment einen separaten DHCP Server auf dem Router für dein offenes WLAN betreiben. Dies Netz ist ja komplett abgetrennt vom Firmennetz, stört dieses also folglich nicht.

Was jetzt wichtig ist, ist das du auf dem WAN Interface PPPoE abschaltest und dem Interface eine feste freie IP Adresse aus deinem Firmennetz gibst. Auch wenn du keinen Linksys einsetzt musst du sicherstellen, das der WLAN Router deiner Wahl diese Option hat sonst ist diese Lösung nicht realisierbar !! Also vor der Anschaffung in die Featureliste sehen !!
Das wars mit dem Setup.
Was du jetzt machst ist die NAT Funktion (Network Adress Translation) des Routers für dich zu nutzen. Dein gesamtes offenes WLAN wird nun auf einen Adresse im Firmen LAN umgesetzt und du musst keinerlei statische Routen mehr konfigurieren. D.h. das offenen WLAN ist gewissermaßen versteckt und niemand sieht die Struktur des FirmenLANs bzw. des offenen WLANs.
Schöner Nebeneffekt: Du kannst auf dem Firmen Internet Router eine Access Liste nur für diese Adresse aufsetzen, die z.B. nur HTTP Traffic zulässt, damit schränkst du dann z.B. die Nutzung des offenen WLANs nur auf Webtraffic ein.
Vorteil: Schnell und einfach zu implementieren, Sicherheitstechnisch einige Vorteil o.a. ACL Möglichkeit und keine Any to Any Kommunikation von dem Firmen LAN durch die NAT Funktion ins offene WLAN möglich !
Nachteil: Soll doch eine Kommunikationsmöglichkeit mit Systemen des FirmenLAN und dem offenen WLAN möglich sein (nur diese Richtung !) geht dies lediglich begrenzt über einzelnes Port Forwarding über den Router. Ein Sicherheitsloch besteht weiterhin wenn Stationen aus dem offenen WLAN Maschinen im FirmenLAN ansprechen, das ist möglich allerdings muss diesen Stationen dann natürlich die genaue IP Struktur bekannt sein, denn die "sehen" sie normalerweise nicht. Die Verbindung ist aber generell möglich entsprechende kriminelle Energie vorausgesetzt was ich bei einem offenen WLAN im berücksichten würde!! Der WRT lässt hier aber auch eine ACL zu, so das dieses Loch auch stopfbar ist.
Ist dir diese Lösung zu riskant führt kein Weg um einen Layer 3 VLAN Switch drumherum es sei denn du willst dir das antun mit einem separaten Rechner und mehreren Netzwerkkarten zu routen. Davon würde ich aus Gründen der Ausfallsicherheit eher abraten !
Bitte warten ..
Mitglied: Lars1082
31.05.2006 um 09:48 Uhr
Habe mir dein Problem mal durch den Kopf gehen lassen, und denke das du es ganz einfach lösen kannst. Da du einen separaten Accesspoint hast kann der direkt bzw über ein Switch an das Modem angeschlossen werden. Dann konfigurierst du den Accesspoint so das DHCP aktiv ist und z.B. Adressen aus dem Bereich: 192.168.10.1 - 192.168.10.10 an den Besucher vergeben werden. Da das Firmen-LAN mit dem 192.168.1.XXX arbeitet haben die Besucher ein anderes Subnetz und so keinen freien Zugriff auf das Netz!
Bitte warten ..
Mitglied: aqui
31.05.2006 um 11:04 Uhr
Dieser Vorschlag von "Lars" ist nicht ganz ungefährlich sofern auch im Firmen LAN noch ein DHCP Server läuft. Beide DHCP Server würden dann dieses offene WLAN bedienen und dann kann es passieren das das offene WLAN IP Adressen aus dem Firmennetz vergibt. ( Der DHCP Request ist ein allgemeiner Broadcast auf den immer beide DHCP Dienste antworten !!)
M.E. ein nicht zu akzeptierendes Szenario aus Sicherheitsgründen !! Generell würde es gehen aber ein offenes WLAN auf ein Firmen LAN über einen AP zu bridgen ohne Zugangsbeschränkung sollte eigentlich niemals eine Überlegung wert sein. Die Gründe liegen auf der Hand.
Auch die NAT Lösung von oben ist zwar akzeptabel und mit wenig Aufwand relativ sicher realisierbar aber natürlich nicht das non plus ultra.
Normalerweise würde man das aber professionell mit einem VLAN Switch machen, den Internet Router in ein DMZ VLAN hängen und Firmen LAN und offenes WLAN mit jeweils weiteren VLANs konsequent mit entsprechenden Filtern voneinander trennen.
Ein offenes Gast-Wlan ist ein viel zu großes Risiko hier rumzuexperimentieren oder irgendwelche "Quick and Dirty" Lösungen auf einem Unternehmensnetz auszuprobieren. Die personalrechtlichen Konsequenzen im Fehlerfalle könnten fatal sein....
Bitte warten ..
Mitglied: xpluke
31.05.2006 um 11:31 Uhr
Hi,

einer der beiden Router (A oder B) braucht
ein "Bein" im jeweils anderern
Netz, weil sie ja sonst keine Daten
miteinander austauschen können.
Also entweder eine 2. Schnittstelle oder
aber zumindest die Möglichkeit, einer
physischen Schnittstelle zwei IP-Adressen
geben zu können.

Angenommen Router B hätte noch eine
Adresse im Firmen-Netz (192.168.1.200), dann
sieht die statische Route auf Router A so
ähnlich aus:
Route 192.168.200.0 Mask 255.255.255.0
übers Gateway 192.168.1.200.

Andersrum, wenn Router A noch eine IP im
anderen Netz hat, sollte es ohne statische
Route gehen. Diese 2. IP von Router A ist
dann das GW von Router B.

Die meinsten "Billigrouter" haben
aber nur 1 Lan-Schnittstelle und lassen auch
keine 2. IP-Adresse zu.
Dann kann auch ein immer laufender Server
das Routing übernehmen.

Gruß,
Thomas


Hallo Thomas,

danke für deine Anregung. Es handelt sich um Netgear-Produkte:
Router A: Modell "FVS318"
Router B: Modell "FVS114GR"

Ich kann in den Basic Setting des Router B einstellen, dass der Zugang zum Internet ohne Zugangsdaten läuft. Dann fragt er nach "Internet IP Adress". Ich würde dann (sofern ich dich richtig verstehe) dort eintragen:

IP: 192.168.1.2 (damit wäre er am "WAN"-Port im selben Netz wie Router A)
Subnetmask: 255.255.255.000
Gateway: 192.168.1.1

Im "LAN IP Setup" würde ich einstellen:

IP-Adress: 192.168.100.1
Subnetzmask: 255.255.255.000

Weiters den DCHP-Server aktivieren mit (z.B.)
Range: 192.168.100.10 bis 192.168.100.199


Dürfte das klappen?! Brauche ich dann im Router A noch statische Routen?
DANKE !!
Bitte warten ..
Mitglied: superboh
01.06.2006 um 23:30 Uhr
Hallo Daniel

IP: 192.168.1.2 (damit wäre er am "WAN"-Port im selben Netz wie Router A)
Subnetmask: 255.255.255.000
Gateway: 192.168.1.1

Im "LAN IP Setup" würde ich einstellen:

IP-Adress: 192.168.100.1
Subnetzmask: 255.255.255.000

Weiters den DCHP-Server aktivieren mit
(z.B.)
Range: 192.168.100.10 bis 192.168.100.199

Ja, das dürfte soweit klappen. Da der DHCP-Server dann in einem eigenen Subnetz steht, sollte es auch keine Probleme mit einem evtl. im andern Netz schon vorhandenen DHCP-Server geben.

Brauche ich dann im Router A noch statische Routen?
Ja, brauchst Du.
Denn eine Internet-Anfrage aus Netz B wird ja über Router B dann an Router A weitergeleitet, welcher die Anfrage wiederum zum Provider weiterleitet. Irgenwann kommt auf die Anfrage dann die Antwort, die Router A dann ja an die ursprünglich anfragende Stelle zurück schicken soll, also den Rechner aus Netz B.
Nur woher weiss Router A wie er Netz B erreicht? Er kennt alle Adressen im eigenen Netz. Für alles andere hat er in Normalfall nur sein Standart-Gateway ... und das würde heissen alles andere schickt er in Internet bzw. zum Provider.
Daher musst Du ihm eine statische Route eingeben, damit er weiss, dass er das Netz 192.168.100.0 über die IP-Adresse 192.168.1.2, nämlich die WAN-Adresse von Router B erreicht.
Eine statische Route kann man bei vielen Routern nur über die Knfiguration per Telnet eintragen.

Gruß,
Thomas
Bitte warten ..
Mitglied: superboh
01.06.2006 um 23:32 Uhr
@aqui:
Ein DHCP-Broadcast wird aber nicht über den Router in ein anderes Subnetz weitergeleitet.
Bitte warten ..
Mitglied: aqui
05.06.2006 um 14:14 Uhr
Das ist richtig ! Allerdings ist die Lösungsbeschreibung von Lars etwas diffus und es sieht so aus als ob er beide Router inklusiver ihrer DHCP Server mit unterschiedlichen IP Ranges an einem Switch betreiben will. Also das beide IP Netze auf einer Layer 2 Infrastruktur arbeiten und das ist höchst gefährlich, denn beide DHCP Server antworten ja dann auf einen DHCP Broadcast. Ich gehe aber auch mal davon aus das der Lars es so nicht gemeint hat, nur falsch ausgedrückt...
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
Subnetz 255.255.255.255
Frage von madridistaNetzwerkgrundlagen5 Kommentare

Guten Tag Ich arbeite gerade an der Umsetzung von NAP von Microsoft Dort geht es ja um die Trennung ...

Netzwerkgrundlagen
Subnetz Definition
gelöst Frage von daniel.sNetzwerkgrundlagen5 Kommentare

Guten Tag, ich möchte zuerst kurz der Community danken. Die Fachlich sehr fundierten Antworten und Fragen hier haben mir ...

Netzwerke
Subnetz splitten
gelöst Frage von macherlthomasNetzwerke3 Kommentare

Hey Leute, ich hätte da eine doofe Anfängerfrage: Ich hab hier z.B: 2 Standorte (Verbindung über das Internet und ...

Router & Routing
Subnetz-Routing
gelöst Frage von niLuxxRouter & Routing9 Kommentare

Liebe Community, Ich hätte eine kurze Frage an euch, bei der ich euch gerne um Hilfe bitte würde. Wir ...

Neue Wissensbeiträge
Windows Server

Zähe Update-Installation auf Windows Server 2016

Information von kgborn vor 1 TagWindows Server4 Kommentare

Mir sind in der Vergangenheit immer wieder Beschwerden von Admins unter die Augen gekommen, die sich über die doch ...

Humor (lol)
Turnschuhe per Firmware lahmlegen
Information von Henere vor 1 TagHumor (lol)5 Kommentare

Und was kommt demnächst ? Bekomme ich kein Klopapier mehr, weil der Spender einem DDOS unterliegt ? :-) Ich ...

Sicherheit

Sicherheitsrisiko in WinRAR und Co. durch Schwachstelle in UNACEV2.DLL

Information von kgborn vor 1 TagSicherheit

In der seit 2005 nicht mehr aktualisierten Bibliothek UNACEV2.DLL gibt es eine Path-Traversal-Schwachstelle. Diese ermöglicht es, bei ACE-Archiven Dateien ...

Internet

CDU Propaganda: Urheberschutz im Internet - Ende des digitalen Wild-West

Information von Frank vor 2 TagenInternet4 Kommentare

Hallo Administratoren, aus einem Kommentar heraus habe ich folgenden Beiträge von Herr Sven Schulze und Axel Voss (beide CDU ...

Heiß diskutierte Inhalte
Hardware
Frage an Kenner von 5,25 Zoll Laufwerken
Frage von DerWoWussteHardware53 Kommentare

Moin Kollegen. Hier wird gerade im Archiv gewühlt und 5,25 Zoll Disketten ("2S/HD", 96TPI) sollen eingelesen werden. Ich habe ...

Windows Tools
Dateiname Automatisch auf PDF Klartext oder als Barcode abdrucken
Frage von spongebob24Windows Tools29 Kommentare

Hallo Zusammen, habe eine tolle Anforderung bekommen. Ich sollte auf mehrere PDF Dateien Automatisch einen Stempel anbringen lassen. Toll ...

Internet
SDSL oder ADSL - Preis-Leistungs-Verhältnis
Frage von ZeppelinInternet22 Kommentare

Wehrte Community, der Unterschied dieser beiden Techniken ist recht einfach erklärt. Das S, steht für Synchron (Gleich) und das ...

Microsoft Office
MicroSoft und seine Lizenzen
Frage von ZeppelinMicrosoft Office19 Kommentare

Wehrte Community, ich wende mich an die Community weil MicroSoft dazu keine Stellung nehmen möchte. Ich öffne mein Web-Browser ...