fragdochmal
Goto Top

Kleines Firmen Netzwerk (VLAN,VPN,FIREWALL,Virenschutz)

Erstmal ein Hallo.
Ich stell mich mal eben kurz vor.
Mein Name ist Jan, 32 Jahre, Elektroinstallateur hauptsächlich im Bereich KNX Gebäudeautomatisierung tätig.
Unter anderem Manage ich auch unser kleines Firmennetz. Naja Managen ist wohl eher die Falsche Bezeichnung.
Es läuft soweit, aber ich denke wir haben ein offenes Scheunentor. Und das möchte ich weitestgehend einschränken.
Wir haben zwar keine Geheimnisse aber ein Schaden durch irgendwelche Viren oder Würmer ist auch immer mit Zeit
und ärger verbunden.

Zum Aufbau und meinen Fragen habe ich ein Schema erstellt, damit sollte es vielleicht etwas einfacher sein meine Gedankengänge und Fragen zu verstehen.
27def316abc339931576d7f0870332eb

Die Grafik zeigt den jetzigen Aufbau unseres Netzwerkes.
PC Büro 1 ist der Hauptrechner auf dem die Daten Rechnungen/Angebote (Excel/Word) verwaltet werden. Datensicherung erfolgt über eine Online Drive bei unserem Webhoster 1x am Tag. Sämtliche Rechner und Laptop´s laufen mit Windows 7pro und haben eine eigenständige Virensoftware von Kaspersky installiert. Sämtliche PC´s und Laptop´s können auf den Firmen Ordner (Rechnungen/Angebote) sowie den Netzwerk Kopierer/Drucker/Scanner zugreifen.
Die Webcam´s speichern per ftp auf dem Cam Server und sind per DynDNS und Port Forwarding von überall(extern) aufrufbar. Ich denke hier ist auch die größte Schwachstelle. Der Haupt Switch ist Web basiert und kann auch VLAN. Macht es Sinn dieses zu nutzen um, die Netzwerke untereinander zu trennen.

Gegeben sein sollte:
1)PC Büro 1,2 und 4 sowie der Laptop an Switch 3 müssen untereinander Kommunizieren können.
2)Alle PC und Laptop´s müssen auf den Netzwerk Drucker/Scanner zugreifen können.
3)Cam´s sollen von extern ansprechbar sein. (Wenn sicherer über VPN)
4)PC Büro EG und Laptop´s an Switch 2 sollen keinen Zugang auf PC Büro 1,2 und 4 haben
5)Eventuell noch ein VPN Zugang auf Cam Server(Dies ist übrigens ein NAS von Netgear)
6)Ein Gastzugang über W-Lan für Internetzugang soll zur Verfügung gestellt werden können.
7)Zugänge auf alle PC und Laptop´s für Updates und Wartung von extern wären schön.

Also hier mal ein paar Ideen.
Frage ist das mit diesem Equipment überhaupt möglich und bekomme ich das als mehr oder weniger Laie hin.

Content-ID: 215572

Url: https://administrator.de/forum/kleines-firmen-netzwerk-vlan-vpn-firewall-virenschutz-215572.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

IT-Arsonist
IT-Arsonist 29.08.2013 aktualisiert um 16:29:14 Uhr
Goto Top
Hallo Jan,

ich würde die sache etwas anders angehen. die fritzbox würde ich raus nehmen oder evtl noch zum accesspoint degradieren. vom aufbau würde ich es so machen das ich in dem zyxel 3 netzwerke schaffe (ich gehe mal davon aus die box kann das)

1. netz (unten mitte) wäre das firmennetzwerk (zugriff auf netz 2)
2. netz (oben links) für das videosystem
3. netz (oben recht) gäste wlan (nur internet kein zugriff auf netz 1 und 2)

1966b0e45a4af073a6c52068ba07a511

soo würde ich es gedanklich aufbauen. ich hoffe die grafik erklärt es gut :D leider kenn ich den zyxel nicht so gut bzw garnicht und weiß daher auch nicht ob man 3 getrennte netze in dem system erstellen kann. den vpn würde ich mit zugriff auf netz 1 und 2 einrichten.

mfg IT-Arsonist
FragDochMal
FragDochMal 29.08.2013 um 17:04:35 Uhr
Goto Top
Danke erst mal für die Vorschläge.
Sprich es sind dann sozusagen 3 Subnetze richtig. Mit der Fritzbox hab ich mir schon fast gedacht.
Kann ich das ganze denn nicht auch per Port Zuordnung(Vlan) in meinem Switch regeln und ist es noch möglich aus dem internen Netz auf das Videosystem zuzugreifen?
Oder geht es dann über VPN erst ins öffentliche und dann zurück.
IT-Arsonist
IT-Arsonist 29.08.2013 um 17:25:47 Uhr
Goto Top
3 verschiedene IP bereiche

1. netz z.b. 192.168.110.xxx
2. netz z.b. 192.168.120.xxx
3. netz z.b. 192.168.130.xxx

die zugriffe auf die verschiedenen internen netzt routest du dann im zyxel. (sprich zugriff von netz 1 auf netz 2) vpn auf sich selbst funktioniert nicht.
mit sicherheit kann man das ganze auch über vlan abdecken. nur an dem punkt kann ich leider nicht weiterhelfen, sorry. aber vielleicht schreibt ja noch jemand anderes etwas zum thema vlan.
108012
108012 29.08.2013 um 20:23:16 Uhr
Goto Top
Hallo,

Macht es Sinn dieses zu nutzen um, die Netzwerke untereinander zu trennen.
Ja sicherlich und das ist auch eine ganz alltägliche Situation.

Gegeben sein sollte:
1)PC Büro 1,2 und 4 sowie der Laptop an Switch 3 müssen untereinander Kommunizieren können.
Das kann man ja so mittels VLANs einrichten, gar kein Thema.
> 2)Alle PC und Laptop´s müssen auf den Netzwerk Drucker/Scanner zugreifen können.
Auch kein Thema!
3)Cam´s sollen von extern ansprechbar sein. (Wenn sicherer über VPN)
So oder so nur! Ich würde dann aber auf die Zyxel ZyWall USG 20 zurückgreifen, denn die hat kann unterstützt auch das Bilden
von VLANs und kann diese auch routen, denn das kann Dein Switch nicht der Switch unterstützt zwar VLANs und das bis zu 256,
aber man braucht eben auch immer zwingend "etwas" was die VLANs bzw. deren Verkehr routet!
Des weiteren unterstützt die Zyxel USG20 auch IPSec und SSL VPNs!
4)PC Büro EG und Laptop´s an Switch 2 sollen keinen Zugang auf PC Büro 1,2 und 4 haben
Ist auch kein Thema mittels Siwtch ACLs und Port Security.
5)Eventuell noch ein VPN Zugang auf Cam Server(Dies ist übrigens ein NAS von Netgear)
Von wem das ist ist völlig egal, aber ich würde den entweder in ein eigenes VLAN "legen" wollen, wenn nicht sogar in eine
DMZ, dann kann man aus dem Internet darauf zugreifen und aus dem LAN auch.
6)Ein Gastzugang über W-Lan für Internetzugang soll zur Verfügung gestellt werden können.
Überall oder reicht ein WLAN AP dazu? Wenn einer reicht auch ab in die DMZ damit in ein eigenes VLANund wenn nicht dann eben
wenn die WLAN APs das unterstützen sollten an den WLAN APs mittels MultiSSID zwei WLAN Netze aufsetzen.
7)Zugänge auf alle PC und Laptop´s für Updates
Über das Internet dann wohl eher oder habt Ihr auch einen Server.
und Wartung von extern wären schön.
Bitte dann auch nur via VPN mittels IPSec!!!!

Frage ist das mit diesem Equipment überhaupt möglich
Ja, nur zu den WLAN APs die Ihr habt könntest Du noch mehr sagen bzw. erzählen.
und bekomme ich das als mehr oder weniger Laie hin.
Das kommt auf Dich selber an und hat sicherlich zum Schluss mit Deinem "Können"
und Deinen Netzwerkkenntnissen zu tun, bzw. sollte man sich zumindest von allen im Netzwerk beteiligten Geräten
erst einmal alle Bedienungsanleitungen durchlesen und dann "Step by Step" das ganze umsetzen!
Dann kann das sogar richtig gut laufen.

Gruß
Dobby
FragDochMal
FragDochMal 30.08.2013 um 00:17:44 Uhr
Goto Top
> 3)Cam´s sollen von extern ansprechbar sein. (Wenn sicherer über VPN)
So oder so nur! Ich würde dann aber auf die Zyxel ZyWall USG 20 zurückgreifen, denn die hat kann unterstützt auch
das Bilden
von VLANs und kann diese auch routen, denn das kann Dein Switch nicht der Switch unterstützt zwar VLANs und das bis zu
256,
aber man braucht eben auch immer zwingend "etwas" was die VLANs bzw. deren Verkehr routet!
Kann man denn dem Computer bzw. der Netzwerkkarte nicht mitteilen in welche VLANs sie zugreifen kann/darf.
> 4)PC Büro EG und Laptop´s an Switch 2 sollen keinen Zugang auf PC Büro 1,2 und 4 haben
Ist auch kein Thema mittels Siwtch ACLs und Port Security.
Das müsste mein Switch können.
> 5)Eventuell noch ein VPN Zugang auf Cam Server(Dies ist übrigens ein NAS von Netgear)
Von wem das ist ist völlig egal, aber ich würde den entweder in ein eigenes VLAN "legen" wollen, wenn nicht
sogar in eine
DMZ, dann kann man aus dem Internet darauf zugreifen und aus dem LAN auch.
Sprich sowas wie ProSafe von Netgear. Also mit richtigem DMZ Port.
> 6)Ein Gastzugang über W-Lan für Internetzugang soll zur Verfügung gestellt werden können.
Überall oder reicht ein WLAN AP dazu? Wenn einer reicht auch ab in die DMZ damit in ein eigenes VLAN
1 AP reicht. Könnte doch mit in die Video / Cam Server DMZ.
Oder man nimmt die Zyxel USG 20W Kiste mit WLAN die wird das wohl intern schon so verwalten können.
> 7)Zugänge auf alle PC und Laptop´s für Updates
Über das Internet dann wohl eher oder habt Ihr auch einen Server.
Nein kein Server.
> Frage ist das mit diesem Equipment überhaupt möglich
Ja, nur zu den WLAN APs die Ihr habt könntest Du noch mehr sagen bzw. erzählen.
Hab da noch eine LevelOne Kiste rumliegen. Was Sollte son AP denn mit sich bringen?
108012
108012 30.08.2013 um 01:06:09 Uhr
Goto Top
Kann man denn dem Computer bzw. der Netzwerkkarte nicht mitteilen in welche VLANs sie zugreifen kann/darf.
Doch das muss man sogar denn auch die Computer müssen VLAN fähig sein bzw. die Netzwerkkarten dieser PCs,
sonst wird es eben nichts mit VLANs.

Das müsste mein Switch können.
Das steht immer in der Bedienungsanleitung des Switches.

Sprich sowas wie ProSafe von Netgear. Also mit richtigem DMZ Port.
Ich denke Ihr habt auch einen Zyxel USG20? Die sollte wenn sie vorhanden
ist schon besser sein zumindest meiner Meinung nach!
- Kontentfilter
- Bessere VPN Eigenschaften.

1 AP reicht. Könnte doch mit in die Video / Cam Server DMZ.
- Also wenn man einen AP hat der "nur" eine SSID oder besser nur ein WLAN aufspannen kann,
dann würde ich diesen einmal für den externen Gebrauch (Gäste WLAN nur Internet) und zum anderen würde ich
einen zweiten kaufen oder organisieren und im LAN positionieren und diesen dann für den internen Gebrauch konfigurieren.
- Wenn der WLAN AP zwei SSIDs unterstützt oder besser mehrere WLANs aufspannen kann, dann würde ich zwei SSIDs
anlegen und zwar jede in ein eigenes VLAN und eines ist dann für die Gäste und eines für die Mitarbeiter, dieser WLAN AP
sollte dann aber logisch weise in dem internen Netzwerk (LAN) und nicht in der DMZ aufgestellt werden.

ab da noch eine LevelOne Kiste rumliegen. Was Sollte son AP denn mit sich bringen?
Wenn Du nur einen WLAN AP hättest sollte dieser auch MultiSSID fähig sein und wenn Du zwei WLAN APs
hast ist das auch nicht schlecht, denn dann kann einer in die DMZ in ein eigenes VLAN und einer in das LAN.

Gruß
Dobby
FragDochMal
FragDochMal 30.08.2013 um 07:03:47 Uhr
Goto Top
Ich denke Ihr habt auch einen Zyxel USG20?
Nein, den Zyxel hatte ich mir angeschaut. Würde mir diesen dann zulegen.

MFG Jan
108012
108012 30.08.2013 aktualisiert um 08:39:21 Uhr
Goto Top
Nein, den Zyxel hatte ich mir angeschaut. Würde mir diesen dann zulegen.
Ach so das hatte ich dann der Zeichnung von Dir falsch entnommen, weil dort "Option Zyxel USG20" noch zusätzlich
aufgeführt war!

Gruß
Dobby
aqui
aqui 30.08.2013 aktualisiert um 10:39:08 Uhr
Goto Top
Der Trendnet Switch ist als Web Smart Switch VLAN fähig, damit klappt dann die vorgeschlagene und sinnvolle Segmentierung in 3 Netze in jedem Falle. Da bei den anderen Switches kein Modell genannt wurde müssen wir da jetzt mal raten ... face-sad
Sinnvoll wäre eine VLAN Fähigkeit hier natürlich auch.

Mit dem Einsatz einer VLAN fähigen zentralen Firewall oder Firewall Router wie z.B, dieser_hier die auch den Internet Zugang realisieren, kannst du die Kommunikation zwischen den IP Segmenten (VLANs) intern ja sicherstellen. Ein klassisches Standard Design !
Optimal wäre ein Layer 3 Routing Switch, was aber eine Neuinvestition bedeuten würde. Jedenfalls für den "Core".
Wie man das mit einer Firewall löst beschreibt dir dieses Forumstutorial im Detail:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern (Kapitel -> "Praxisbeispiel")
Damit könntest du auch zentral gleich dein VPN und das Gästenetz abfackeln.
FragDochMal
FragDochMal 05.09.2013 um 09:35:34 Uhr
Goto Top
Zitat von @aqui:
Der Trendnet Switch ist als Web Smart Switch VLAN fähig, damit klappt dann die vorgeschlagene und sinnvolle Segmentierung in
3 Netze in jedem Falle.
Das hört sich schonmal gut an! Ist das ding ja nicht ganz nutzlos.(-:
Da bei den anderen Switches kein Modell genannt wurde müssen wir da jetzt mal raten ... face-sad
Sinnvoll wäre eine VLAN Fähigkeit hier natürlich auch.
Das sind ganz einfache Switche nicht konfigurierbar.
Mit dem Einsatz einer VLAN fähigen zentralen Firewall oder Firewall Router wie z.B,
dieser_hier
die auch den Internet Zugang realisieren, kannst du die Kommunikation zwischen den IP Segmenten (VLANs) intern ja sicherstellen.
Ein klassisches Standard Design !
Hab ich mir mal angeschaut, sieht sinnvoll aus das mit Firewall. Ist das mit Lizenzen aufgebaut wie eine UTM Lösung?
Firewall Funktionen hat ja eigentlich schon jeder Router mit an Board was macht den unterschied?
Optimal wäre ein Layer 3 Routing Switch, was aber eine Neuinvestition bedeuten würde. Jedenfalls für den
"Core".
Wenn nicht nötig, dann Lieber Geld Sparen oder etwas mehr in die Router Geschichte stecken.

MFG Jan
FragDochMal
FragDochMal 05.09.2013 aktualisiert um 15:45:52 Uhr
Goto Top
Hab mir nochmal ein paar Gedanken gemacht und würde gerne wissen ob die Richtung stimmt.
Hier ein Bild über die jetzige Netzwerk Struktur.
4002786db779e9d7ef1f5fd9178d6443



Und so sollte es dann vielleicht aussehen.

5399af3461435d977ae49ce6085cfd79

So was habe ich mir gedacht bzw, was konnte ich aus euren Antworten bis jetzt basteln.
Erstmal der Aufbau in die Segmente. Ich schmeiße den Trendnet TEG S50 Switch aus dem Personalraum und ersetze diesen durch einen
zB. Netgear GS105E 5-Poorts VLAN Gigabit Switch diesen müsste ich ja mit meinem TEG 160WS "Core" Switch via Tagged verbinden können(Rote Linie).
Das selbe mache ich mit dem LevelONE teil im Büro 2.
Des weiteren Schafe ich eine Tagged Verbindung zum Router entweder (Cisco oder Zyxel)
Von dem Router Abgehend wollte ich dann noch einen AP von zB. Cisco WAP2000 einbinden dieser sollte so wie ich das gelesen habe 4SSID verwalten können(Gast/Intern).

Jetzt ist für mich nur Fraglich wie die genaue Zuordnung geschieht und ob es mit dieser Struktur überhaupt möglich ist.

Also ich möchte gerne das alle (auch der WLAN Gastzugang) Zugriff auf den Drucker im Flur bekommen.

Laptop 1 und Laptop 2 sollen mit dem PC 1 EG Kommunizieren können und natürlich auch zugriff aufs Internet haben.

PC 1 EG(Eingeschränkt), PC 2 OG, PC 3 OG, Laptop 3(Büro2) OG, PC 4 OG(Admin), PC 5 OG sollen untereinander Kommunizieren können. (Sprich alle sollen auf PC 5 OG Hauptrechner zugreifen können)

PC 4 OG Admin(Büro 2) sowie PC 2 OG (Büro1) sollen auf die Cam´s sowie das NAS dem Camserver zugreifen können.

PC 4 OG Admin(Büro 2) sowie PC 2 OG (Büro1) und PC 5 OG brauchen Zugang auf die Telefonanlage.

Wie sehen die Segmente jetzt genau aus? Geht das überhaupt so wie ich mir das vorstelle. Kann ich die Cam´s sowie den Camserver nach diesen Aufbau eigentlich in eine DMZ stecken.

Ach ja VPN soll ja auch noch dabei sein. Einmal ein Admin VPN also zugriff auf alle Komponenten.
Dann ein VPN für die Cam Geschichte.

Bin gespannt auf eure Antworten.
MFG Jan
aqui
aqui 05.09.2013, aktualisiert am 21.10.2013 um 09:53:25 Uhr
Goto Top
Ja passt wunderbar und ist so machbar !
Deine Frage zur Firewall oben und Lizenzen... Nein Lizenzen gibt es bei der pfSense nicht, dort ist generell ALLES freigeschaltet bzw. gar nicht eingeschränkt so das Lizenzen nötig sind.
Passende Literatur dazu findest du auch hier:
http://www.amazon.de/Pfsense-Definitive-Christopher-M-Buechler/dp/09790 ...
oder eben auf der Projektseite:
http://www.pfsense.org

Auf alle Fälle ist deine Struktur so OK und auch machbar. Auf dem Trendnet legst du deine VLANs um so die Segmente zu trennen.
Mit einem Trunk auf den Router oder die erbindenede Firewall, die die Kommunikation zw. den VLANs regelt
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern --> "Praxisbeispiel"
richtest du dann mit entsprechenden Filterlisten z.B. den Zugang zum Drucker usw. wasserdicht ein.
Das Gast VLAN wird dann mit einem Captive Portal:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
wasserdicht abgetrennt und mit einem Einmalpasswort Login versehen:
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
mit dem du bequem den Zugang regeln kannst und auch rechtssicher dokumentieren kannst. Mit den Multi SSIDs des WLAN APs kannst du dann noch weitere sichere interne WLANs realisieren.
Fazit: Es geht alles so wie du dir das vorstellst und auch oben so beschrieben hast.
Nur du musst festlegen welche VLANs du wofür einrichten willst...das ist eigentlich schon alles.
Was du sicher brauchst ist ein VLAN für
  • das Gastnetz
  • eins für das Voice Netz
  • eins für deinen Zugriff von außen (DMZ)
  • PCs 4.OG
  • PCs 5.OG
  • Cams und NAS
Ggf. kann man das 4. und 5 OG in ein Netzwerk nehmen wenn es dort keinerlei Beschränkungen geben soll.
So kann z.B. ein Design aussehen. Der Rest ist ja schon bestens in deiner Zeichnung oben dargestellt face-wink
FragDochMal
FragDochMal 05.09.2013 um 16:54:53 Uhr
Goto Top
Mensch das ist aber viel Informazie auf einmal. Werde mich mal Langsam ran testen.
Was gibt es zum Thema Performance zusagen?
Da die Switches ja über Tagged (Also eine Verbindung nutzen) miteinander verbunden sind und die Cam´s Permanent per ftp auf den Camserver Schreiben. Hab ich da mit Einbußen zu rechnen oder werde ich das genauso wenig merken wie jetzt auch. Eigentlich ändert sich ja nix.
aqui
aqui 06.09.2013 um 08:32:36 Uhr
Goto Top
Na ja...du hast ein Gig Backbone, da erübrigt sich eigentlich solche Diskussion wenn du nicht gerade 100 Cams hast ?!
FragDochMal
FragDochMal 07.09.2013 um 12:41:27 Uhr
Goto Top
Gibt es noch eine Preisgünstigere Lösung zum Cisco 886 zB. Mikrotik RB750 oder wird es dann zu Kompliziert für einen Laien? Hab gelesen das solche Geschichten wie dyndns nur über scripte möglich sind. Wenn der Cisco für mich als Laien besser und verständlicher zu Konfigurieren geht, würde ich auch die knap 200 Euronen mehr investieren. Beschreibt doch mal kurz was kann der Cisco besser oder mehr als der Mikrotik RB750.

MfG Jan
aqui
aqui 07.09.2013 um 12:55:05 Uhr
Goto Top
Das ist sehr schwer zu sagen, da wir hier über einen Forumsthread niemals deine technische Kompetenz beurteilen und einschätzen können !
Fakt ist: Preiswerter als mit dem Mikrotik 750 mit 35 Euronen bekommst du es nicht hin !
Der Mikrotik kommt vom Funktionsumfang fast an den Cisco ran bzw. übertrumpft ihn in manchen Funktionen sogar. Das neue Router OS hat ein WebGUI zum Konfigurieren oder das legendäre grafische WinBox Tool.
Wenn du nur einigermaßen netzwerktechnische Grundlagen von IP beherrschst wirst du problemlos damit umgehen können.
Das gleiche gilt eigentlich für den Cisco, der mit den iOS Kommandos einen sehr übersichtliche und komfortable Syntax zum Konfigurieren und Troubleshooten hat.
Beide haben Dutzend Beispielkonfigs im Netz. Und beide haben für Klicki Bunti Windows Knechte auch ein GUI oder grafische Setup Software.
Fakt ist auch das diese beiden Systeme durch den sehr sehr umfangreichen Featureset eine Riesenvielfalt von Konfig Optionen haben die mit Billigroutern ala Speedport, FritzBox, D-Link, NetGear und Co niemals zu vergleichen sind...keine Frage.
Wenn du also grundlegend weisst was du Netzwerk technisch tust kommst du wunderbar damit klar.
Außerdem 35 Euro ist ja nun auch eher Taschengeld Niveau und tut nicht weh wenn man dann doch bemerkt das das eigene Know How nicht reicht um solche Maschinen zu beherrschen. Der Cisco tut da etwas mehr weh wenn man das als "Lehrgeld" verbuchen müsste.
"Its your own choice..." !
FragDochMal
FragDochMal 09.10.2013 um 08:41:57 Uhr
Goto Top
Es geht weiter. So habe mich jetzt für das Alixboard entschieden sowie den AP von Edimax (EW-7416APn V2).
Installation von monowall war kein Problem. Jetzt geht es an die IP Struktur. Hab natürlich gleich einen Fehler gemacht und die Adresse auf 127.X.X.X gesetzt und mir damit gleich den Zugang auf das Board blockiert, da es sich um eine Loopbackadresse handelt. Also erst lesen dann handeln.

Gibt es Adressbereiche die man nicht nutzen sollte?
Macht es sinn die Standart bereiche beizubehalten,
Sprich 192.168.X.X oder nimmt man was anderes?

Wäre dann doch folgendermaßen:
VLAN1 192.168.1.X
VLAN2 192.168.2.X
VLAN3 192.168.3.X
usw.
was ist mit dem Subnetz dies bleibt immer 255.255.255.0 die /24 hinter einer IP Adresse wäre dann dieses?
108012
108012 10.10.2013 um 15:22:25 Uhr
Goto Top
was ist mit dem Subnetz dies bleibt immer 255.255.255.0 die /24 hinter einer IP Adresse wäre dann dieses?
255.255.255.0 = /24

Gruß
Dobby
FragDochMal
FragDochMal 10.10.2013 um 17:37:08 Uhr
Goto Top
heist also ich kann 254 IP Adressen in diesem Subnetz vergeben. Ist das so richtig?
Bei /29 wäre es dann das Subnetz 255.255.255.248 heist also ich könnte also noch 6 IP´s vergeben.

Macht es denn sinn ein Subnetz (255.255.255.248) in einem VLAN so anzulegen, wenn ich sicher weiß das zB. nur 6 Rechner in diesem was zusuchen haben.
Aus sicherheitsgründen oder warum macht man das?
108012
108012 10.10.2013, aktualisiert am 13.10.2013 um 17:32:23 Uhr
Goto Top
Ließ lieber weiter unten bei @aqui weiter.

Gruß
Dobby
aqui
aqui 13.10.2013, aktualisiert am 21.10.2013 um 09:51:31 Uhr
Goto Top
Vorsicht !!
...heist also ich kann 254 IP Adressen in diesem Subnetz vergeben. Ist das so richtig?
Nein, das ist nicht richtig ! Die korrekte Antwort lautet 253 !

<edit> Sorry, Kollege Lochkarte.. hat Recht unten...es sind in der Tat 254 !!! </edit>

Die Adresse wo alle Hostbits auf 0 gesetzt sind ist in der Regel die Netzwerkadresse selber die nicht vergeben werden kann.
Da wo alle Hostbits 1 sind ist die Broadcast Adresse die definitiv nicht vergeben werden darf !
Was erstere Adresse anbetrifft gibt es einige Endgeräte die damit umgehen können aber nur ein Bruchteil. Zur Sicherheit sollte man diese also nicht vergeben.
Diese Regel gilt natürlich auch für alle anderen Subnetzmasken.
FragDochMal
FragDochMal 19.10.2013 um 16:27:36 Uhr
Goto Top
Hallo an Alle,

hab da ein Problem.
Bekomme keine Freigabe auf Ordner bzw finde PC´s in anderen VLAN Gruppen nicht.

Vlan´s auf TEG Switch eingerichtet.
VLAN 20 192.168.20.1 / 1x PC 192.168.20.2 zugang Internet sowie Drucken auf Netzwerkkopierer VLAN 40 geht.
VLAN 30 192.168.30.1 / 1x PC 192.168.30.2 zugang Internet sowie Drucken usw. geht
VLAN 40 192.168.40.1 / 1x Drucker 192.168.40.2 zugang Internet versenden von Mails zugriff der anderen VLAN´s geht
VLAN 50 und 60 wie 20 und 30 selben funktionen gehen.

Jetzt brauche ich aber zugang von PC´s aus VLAN 30,50,60 auf einen ordner vom PC aus dem VLAN 20.
Habe die "Scheunentor" Regelung in der Monowall für jedes VLAN eingetragen.
Kann aber nur den Kopierer unter VLAN 40 anpingen wieso?

Wo ist der Denk fehler?
FragDochMal
FragDochMal 20.10.2013 um 18:32:59 Uhr
Goto Top
So da ich ja ein engagierter Netzwerker(Laie) bin. face-wink Hab ich mir jetzt nochmal die mühe gemacht alles ins Bild zu bringen.
Hilft mir einen überblick zu behalten.
Dazu habe ich natürlich auch noch Fragen. Schaut euch das ganze doch bitte nochmal an.
Machen die vergebenen Netzwerk Adressen allgemein die Struktor so sinn oder was würdet ihr anders machen?

409f24ffac158a983b20b26adff6e878

der obere Teil also alles was am TEG Switch dran ist läuft soweit. Aber die ganzen Regeln fehlen mir momentan noch und da brauche ich eure Hilfe.
Momentan sind alle VLAN auf "scheunentor" Regel gesetzt. Auch die Windows Firewall PC (VLAN 20) musste ich auf machen. Also "Sodom und Gomorra" face-smile

Auf den Workstations läuft Windows 7/pro. Wie setzte ich hier zB. am PC (VLAN 20) eine Regel das die anderen VLAN drauf kommen der Rest aber drußen bleibt.

Muss ich momentan eigentlich bauchschmerzen haben wegen den Firewall Regeln?
Lochkartenstanzer
Lochkartenstanzer 20.10.2013 um 18:43:59 Uhr
Goto Top
Zitat von @aqui:
Vorsicht !!
...heist also ich kann 254 IP Adressen in diesem Subnetz vergeben. Ist das so richtig?
Nein, das ist nicht richtig ! Die korrekte Antwort lautet 253 !


Erwischt großer Meister: face-smile

Man hat 2^8 = 256 Kombinationen der Bits,von denen "All-Zero" udn "All-One" nicht benutzt werden können. Damnit beliben 254 als benutzbare IP-Adressen übrig.

253 wären es allerdings dann, wenn Du die IP-Adresse für den ggf. notwendigen Router auch gleich mit abziehst.

Trotzdem schönen Sonntag noch.

lks
108012
108012 21.10.2013 um 02:17:42 Uhr
Goto Top
Hallo,

Jetzt brauche ich aber zugang von PC´s aus VLAN 30,50,60 auf einen ordner vom PC aus dem VLAN 20.
- Man kann das durch Firewallregeln bzw. ACLs auf der mOnOwall realisieren
- Man kann das via Switch ACLs auf den Switchen regeln.
- Man kann auch einfach den PC von VLAN20 zu einem "Mitglied" von VLAN30,50 & 60 machen
nur eigentlich bezweckt man mit den VLANs ein Trennung bzw. Aufteilung des Netzwerkes
damit eben nicht "jeder" an die anderen Netzwerksegmente bzw. VLANs heran kann.
Ich würde daher dringend empfehlen ein NAS anzuschaffen und/oder einen zentralen Server
einzusetzen um das mit dem Ordner und den Dokumenten zu regeln.
Dann kann jeder in seinem VLAN bleiben und dennoch auf die Dokumente zugreifen.

Wo ist der Denkfehler?
Man teilt und segmentiert das Netzwerk nicht erst auf und dann macht man quasi alles
wieder rückgängig und jeder kann auch alles zugreifen.

Gruß
Dobby
FragDochMal
FragDochMal 21.10.2013 um 09:37:15 Uhr
Goto Top
Darum habe ich doch segmentiert damit eben nicht jeder auf alles zugreifen kann.
Ich kann das ganze doch so viel besser reglementieren.
Der Rechner in VLAN 20 ist ja sozusagen der Zentrale Punkt.

Gruß Jan
aqui
aqui 21.10.2013 aktualisiert um 09:53:49 Uhr
Goto Top
.@Lochkarte
...du hast natürlich Recht mit den 254 !!
FragDochMal
FragDochMal 21.10.2013 um 16:57:07 Uhr
Goto Top
Hallo,

- Man kann auch einfach den PC von VLAN20 zu einem "Mitglied" von VLAN30,50 & 60 machen
Dann kann ich diese ja eigentlich auch alle in ein VLAN packen.

Ich würde daher dringend empfehlen ein NAS anzuschaffen und/oder einen zentralen Server
einzusetzen um das mit dem Ordner und den Dokumenten zu regeln.
Dann kann jeder in seinem VLAN bleiben und dennoch auf die Dokumente zugreifen.
Soll ja auch im VLAN 100(NAS) so passieren jedoch sollte der (Firmenordner) auf dem einen PC bleiben


> Wo ist der Denkfehler?
Man teilt und segmentiert das Netzwerk nicht erst auf und dann macht man quasi alles
wieder rückgängig und jeder kann auch alles zugreifen.
bin davon ausgegangen, dass ich die Netze/Zugriffe auf Rechner so besser reglementieren kann.
Finde es auch ganz angenehm das man diese in der Netwerkumgebung dann nicht sieht.

MFG Jan
aqui
aqui 22.10.2013 um 10:11:41 Uhr
Goto Top
Gibts denn jetzt noch ein Problem was zu lösen ist ?? Die Segmentierung ist doch soweit OK ?!