Netzwerk: Trennung der Subnetze

Mitglied: MarkusJ

MarkusJ (Level 1) - Jetzt verbinden

25.09.2020, aktualisiert 17:06 Uhr, 911 Aufrufe, 13 Kommentare, 1 Danke

Guten Tag,

ich benötige eine Lösung für folgendes Problem.

Wir (eine kleine Firma) installieren eine Steuerung beim Kunde. Die Steuerung ist ModbusTCP - basiert. Ist also Ethernet - Netzwerk.


Damit die Komponenten der Steuerung (jede Komponente hat eigene IP4 - Adresse) sich finden sind die IPs statisch eingestellt. Subnetz ist auf das Netz des Kunden eingestellt z.B 192.168. 33.Z. Das hat den Vorteil dass wir die kundeneigene Hardware (z.B Fritzbox Router) nicht anfassen müssen. Die IPs unserer Steuerung werden einmalig bei Konfiguration der Hardware während der Inbetriebnahme durchgeführt.

Mit dieser Vorgehensweise habe ich meine Magenschmerzen und suche nach besseren Lösungen. Was mir nicht gefällt:
- Kunde kann sich einen neuen Router installieren - Subnetz ändert sich. Würde bedeuten dass wir zurück an die Hardware müssen um die IPs (neues Subnetz) und das Gateway umzustellen.
- Kunde verwenden Hardware welche zufällig die selbe IP verwendet wie auch eine unserer Komponenten - Konflikt in IP Vergabe, unsere Steuerung ist gestört.


Ich suche Hardware wie Switch oder Router welche uns unser kleines privates Reich innerhalb des gesamten kundeneigenen Ethernet - IP - Spektrums erlaubt. Zur Verdeutlichung ein Anschauungsbild:

Damit könnten die Komponenten mit 172..... - Kennung untereinander kommunizieren, haben für gewöhnliche IP-Adressräume im lokalen Netz (z.B. Fritzbox) ungewöhnliche Kennung und deshalb unwahrscheinliche Kollision mit anderen Teilnehmern wie z.B. der dargestellte Drucker. Unsere Komponenten haben auch den Internetzugang durch den übergeordneten Router und dann die Fritzbox.


Da ich kein Admin bin und mich mit Netzwerken oberflächlich auskenne: taugt die Idee was?
Welche Hardware, hier als Router (192.168.X.38) bezeichnet, benötige ich?

Die LTE - Router sind für die Dritten da für den Zugriff auf die Komponenten - ist für Internetzugang oder anderen Zugriff für mich gesperrt.

Frage am Rande: ist es mit dieser Aufstellung möglich vom Rechner (192.168.X.8) auf den server (172.20.1.2) zuzugreifen?
Kommentar vom Moderator tomolpi am 25.09.2020 um 17:06:12 Uhr
Titel korrigiert
Mitglied: aqui
25.09.2020, aktualisiert um 19:09 Uhr
Die einfache Lösung ist ein kleiner Router den du ins Kundennetz hängst.
Ein preiswerter Mikrotik hEX oder hEX S wäre die ideale Lösung dafür.
https://www.varia-store.com/en/produkt/97589-mikrotik-routerboard-hex-wi ...
https://www.varia-store.com/en/produkt/97947-mikrotik-rb760igs-hex-s-wit ...
Oder die vom Kollegen LKS unten genannte Firewall aber sicher zu teuer und zu groß für dein o.a. Design, da die o.a. Router das alles onboard mitbringen.

Dann musst du rein gar nichts am Kunden Netz machen mit Ausnahme einer statischen IP Route an der FritzBox dazukonfigurieren.
Hinter dem Mikrotik Router hast du dann ein komplett eigenens Netz indem du frei schalten und walten kannst mit deiner IP Adressierung wie du willst.
Zudem hat der Mikrotik eine leistungsfähige Firewall an Bord, wie oben schon gesagt, wo du zusätzlich noch den Zugang in das ModbusTCP Netz nach Bedarf steuern kannst.
Wie Kollege @chiefteddy unten schon richtig sagt ist so ein klassisches Design bei dieser Anforderung heute Stand der Technik.
Frage am Rande: ist es mit dieser Aufstellung möglich
Ja, klappt natürlich problemlos und ist für so ein Design die übliche Lösung. Warum auch nicht, ist ja stinknormales IP Routing was Fritzchen Müller in der IP Grundschule lernt ?!

Wie man das Ganze dann praktisch und schnell umsetzt erklärt dir dieses Tutorial:
https://administrator.de/tutorial/routing-2-ip-netzen-windows-linux-rout ...
Einfacher gehts nicht...

Und weil heute Freitag ist für dich noch eine Zeichnung wie diese einfache und preiswerte Allerweltslösung aussieht:
( Die Zeichnung ist ein Standard Design. Der Mikrotik Router kann aber auch jeder beliebige andere Router oder Firewall sein)

mobtcp - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Lochkartenstanzer
25.09.2020, aktualisiert um 16:53 Uhr
Moin,

  • Um Adresskonflikte zu vermeiden nutzt man üblicherweise DHCP und Adressreservierung.

  • Ja, es ist Sinnvoll Euer Netz von dem Kundennetz abzuschotten, wenn Ihr gegenseitige Störungen ausschließen wollt.

  • Du kannst jeden beliebigen Router dafür nehmen, bei dem sich das NAT abschalten läßt (also keine Fritzboxen oder andere Baumarktgeräte!), wenn aus dem Kundennetz in Euer Netz zugegriffen werden soll.

Hier im Forum sind Mikrotiks, Ciscos, LanComs und Open/DD-WRT-Router (z.B. TP-Link mit DDWRT) recht beliebt. Für mehr KOntrolle könnte man z.B. auch einen "Selbstbaurouter" mit pfsense nehmen, wie es z.B. @aqui in seiner anleitung Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät beschreibt.

lks

Edit: aqui war einen Tick schneller.
Bitte warten ..
Mitglied: chiefteddy
25.09.2020 um 17:22 Uhr
Hallo,

auch wenn das sicher den preislichen Rahmen sprengt (FritzBox als Unternehmens-Router ). Phoenix Contact hat genau dafür entsprechende Router/Firewall im Portofolio.

https://www.phoenixcontact.com/online/portal/de?1dmy&urile=wcm%3apat ...

https://www.phoenixcontact.com/online/portal/de?1dmy&urile=wcm:path: ...

https://www.phoenixcontact.com/online/portal/de/?uri=pxc-oc-itemdetail:p ...

Die Struktur, das "Maschinen-Netzwerk" vom jeweiligen Kunden-Netzwerk mit einem Router/Firewall abzutrennen, ist eigendlich "Stand der Technik".

Neben den sicherheitstechnischen Vorteilen hat diese Struktur noch einen anderen Vorteil:

Alle Maschienen-Steuerungen können immer mit den gleichen Adressen produziert werden. Eine Anpassung an die kundenspezifischen Netzwerk-Parameter ist nicht notwendig. Der Router/Firewall ist die einzige Schnittstelle zum Kundennetz und macht NAT.

Jürgen
Bitte warten ..
Mitglied: maretz
25.09.2020 um 20:04 Uhr
Naja - an sich ist das ganze ja nicht weiter wild - mitm 5 Euro Router schnell erledigt. ABER: Ich würde das natürlich auch mitm Kunden absprechen - wenn ich bei uns einfach nen Router im Netz sehen würde hat der kurz später ne Wasserkühlung. Dafür bekommt nen Dienstleister automatisch nen eigenes VLAN wo der machen kann wie und wo er will (ausser die Gateway-IP natürlich). Nehmen wir an ich habe abends gesoffen und sage dass das gesamt-netz 192.168.0.0/16 ist, habe dir 192.168.99.0/24 zugewiesen (vlan 99) -> dann dürftest du da drin alles machen was du willst ausser die 99.1, das ist halt das Gateway. So - wenn man dann wieder nüchtern is und der Kater auch langsam weg ist merkt man plötzlich „huch, war aber blöd“ - dann kann man so das Netz natürlich trotzdem komplett umstellen und mit euch reden. ENTWEDER sagt ihr „sorry, zuviel Arbeit das umzubauen“ - dann bleibts halt wie es is bei euch und alle anderen VLANs haben halt 10.x.y.z und nur ihr habt 192.168.99.0/24 ODER ihr könnt eure Geräte auch anpassen und alles sieht wieder schick aus...

Aber eigene Router im Netz? DA wäre schon das Problem das ich ja nicht weiss was ihr einstellt - und plötzlich tauchen da irgendwelche VPN-Tunnel auf, irgendwer hängt doch mal wieder Kabel um usw... -> daher is (zumindest bei mir) die Dienstleister-Hardware bei sowas nich so gern gesehen... Und ich hab im Serverraum 2x 1,5m Feueraxt rumstehen, die kann man da sehr gut für nutzen. Da geht jede Fritzbox auch ohne Passwort offline :D
Bitte warten ..
Mitglied: certifiedit.net
25.09.2020 um 20:34 Uhr
Naja - an sich ist das ganze ja nicht weiter wild - mitm 5 Euro Router schnell erledigt. ABER: Ich würde das natürlich auch mitm Kunden absprechen - wenn ich bei uns einfach nen Router im Netz sehen würde hat der kurz später ne Wasserkühlung. Dafür bekommt nen Dienstleister automatisch nen eigenes VLAN wo der machen kann wie und wo er will (ausser die Gateway-IP natürlich). Nehmen wir an ich habe abends gesoffen und sage dass das gesamt-netz 192.168.0.0/16 ist, habe dir 192.168.99.0/24 zugewiesen (vlan 99) -> dann dürftest du da drin alles machen was du willst ausser die 99.1, das ist halt das Gateway. So - wenn man dann wieder nüchtern is und der Kater auch langsam weg ist merkt man plötzlich „huch, war aber blöd“ - dann kann man so das Netz natürlich trotzdem komplett umstellen und mit euch reden. ENTWEDER sagt ihr „sorry, zuviel Arbeit das umzubauen“ - dann bleibts halt wie es is bei euch und alle anderen VLANs haben halt 10.x.y.z und nur ihr habt 192.168.99.0/24 ODER ihr könnt eure Geräte auch anpassen und alles sieht wieder schick aus...

Alles schön und gut, aber siehe "Fritzbox"...Thema gegessen.

Zurück zur Frage: Was für Dinge müsst Ihr beim Kunden installieren? Ggf wäre es sinnvoller sich für die Netzgeschichte einen Partner zu holen, ich erleb es leider viel zu häufig, dass da doch etwas hochpreisigere Gerätschaften z.T 6,7 stellig ins Netz geworfen werden und von den Partnern gesagt wurde, das passt so Sicherheitstechnisch und ich raufe mir dann die Haare, wie man sowas machen kann (oftmals gehen da auch nicht ganz unwertvolle Daten drüber bzw auch schlicht andersherum, ein Ausfall mit nur ein paar Stunden lässt ein komplettes Netz im Gegenwert neu planen und einrichten.)
Bitte warten ..
Mitglied: satosan
26.09.2020 um 00:52 Uhr
Darf ich mal bitte fragen warum es immer wieder die Fritzbox sein muss. Speziell hier auch in einem Company-Netzwerk? Liegt das nur an den Telefonleitungen die Ihr in D immernoch mitbestellen muesst oder woran liegts? Wenn ich die Fritzbox meines Vaters in D beim Besuch sehe, dann kommt mir immer das Grauen.
Bitte warten ..
Mitglied: wiesi200
26.09.2020 um 08:28 Uhr
Hallo,

im Industrie Bereich könnte man z. B sowas einbauen.
https://ewon.biz/products/cosy
Dann hättest du auch ne schöne Möglichkeit zur Fernwartung und mit den Eingangsklemmen könnte man normalerweise auch diese abhängig von nem Schlüsselschalter machen. Somit Kontrolle für deinen Kunden.
Bitte warten ..
Mitglied: oraoBi
27.09.2020 um 17:44 Uhr
Puhh ist das komplex. Aber sehr starke Lösungen wurden hier vorgeschlagen. Probier das mit dem Router auf jedenfall aus. mfg
Bitte warten ..
Mitglied: aqui
27.09.2020, aktualisiert um 19:11 Uhr
Puhh ist das komplex.
Nicht dein Ernst oder... ?? Zumal du es oben ja noch alles inklusive Zeichnung auf dem Silbertablett zum Abtippen serviert bekommen hast.
Im GUI des Mikrotik 5 Mausklicks und eine statische Route in der Kunden FritzBox. Das hat auch ein Laie in 10 Minuten erledigt !
Viel einfacher kanns ja nun wirklich nicht gehen und du hast obendrein eine abslolut optimale Lösung.
Was willst du also mehr ?
Bitte warten ..
Mitglied: certifiedit.net
27.09.2020 um 18:07 Uhr
@aqui, das ist nicht der TO, ausser er hat nochmals einen Account, aber wenn es zu schwer ist, sollte man es ggf. einfach outsourcen. Ist dann wohl sowieso besser, denn jedes System sollte von Zeit zu Zeit auf Aktualität geprüft sein.
Bitte warten ..
Mitglied: aqui
27.09.2020 um 19:10 Uhr
Danke für die Korrektur.
Ich nehme alles zurück und behaupte das Gegenteil !! Sorry, der Eifer des Gefechts !
Bitte warten ..
Mitglied: MarkusJ
29.09.2020 um 12:40 Uhr
Vielen Dank für alle Antworten! ich konnte damit eine Diskussion mit Projektverantwortlichen starten. Ich danke euch allen, werde mich bei weiteren Fragen auch wieder melden. Angehängt ist eine Skizze wie ich es mir vorstelle.

Grüße,
Markus
struktur subnetze - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
29.09.2020, aktualisiert um 16:08 Uhr
Alles genau richtig vorgestellt !
Hättest ja auch einfach nur das obige Bild ausdrucken müssen da siehts kosmetisch schöner aus !
Hast du den Projektverantwortlichen ggf. einmal gefragt ob die im Hause zufällig einen Layer 3 (Routing) Switch einsetzen ?
Bei Firmen (wenn sie nicht gerade ne 3 Mann Bude sind) ist das meist der Fall und würde bedeuten das du es auch ganz ohne externen Router lösen kannst !
Wichtig ist also immer die Kunden Netz Infrastruktur zu kennen...
Bitte warten ..
Heiß diskutierte Inhalte
Multimedia
Fernseher im Empfang GEMA-pflichtig?
CaptainDuskyFrageMultimedia23 Kommentare

Guten Tag, wenn ich in einer Firma einen Fernseher im Empfang betreibe, dort aber nur Nachrichten laufen lasse, ist ...

Ubuntu
HAProxy-Wi: Installation des Pakets geht nicht - ich hätte keine enabled Repos
itnirvanaFrageUbuntu22 Kommentare

Hallo, von der Seite möchte ich gerne HAProxy-Wi installieren ich führe das hier aus Dann kommt -> There ar ...

Windows Server
PowerShell Script für MailVersand mit Anhang
gelöst klausk94FrageWindows Server20 Kommentare

Hallo Zusammen, ich bin aktuell etwas am verzweifeln an einem PS Script für den Emailversand Das Script funktioniert, jedoch ...

LAN, WAN, Wireless
RJ45 Buchsen Verbindung
gelöst DennisAdm1nFrageLAN, WAN, Wireless18 Kommentare

Ich habe als Aufgabe bekommen die LAN-Verbindung in einem Haus zu fixen, dabei ist mir aufgefallen, dass der RJ45-Stecker ...

Windows 10
Windows 7 zu Windows 10 weiterhin kostenlos möglich?
gelöst CubeHDFrageWindows 1017 Kommentare

Guten Abend, ist es möglich einen vorhandenen Windows 7 Key für Windows 10 zu verwenden? Kennt ihr vielleicht andere ...

Windows 10
Achtung: Upgrade auf Win10 20H2 löscht unter Umständen eigene Zertifikate
DerWoWussteInformationWindows 1015 Kommentare

Microsoft untersucht es derzeit, siehe Windows 10 ,Feature Update to 1909, Certificates missing after Wer ebenso untersuchen möchte was ...

Ähnliche Inhalte
Linux Netzwerk
PfSense ungewollte Trennung
gelöst NurWeilEsGehtFrageLinux Netzwerk3 Kommentare

Hallo, seit dem neuen Update von Netgate für pfSense ist ein seltsamer Cronjob dazugekommen?! Ich bin mir nicht sicher ...

Netzwerkgrundlagen
Trennung von Geräten
gelöst TastuserFrageNetzwerkgrundlagen5 Kommentare

Könnte mir jemand vllt die Unterschiede zwischen VLANs, VDOMs und die Trennung über Policy und Subnetting beschreiben? Alles sind ...

Backup
Backup Server - Räumliche Trennung?
MeterpeterFrageBackup9 Kommentare

Hallo, ich habe mal gehört, dass die Backup Infrastruktur von der Firmen Infrastruktur so weit wie möglich räumlich getrennt ...

Linux Netzwerk
SSH Trennung wenn Idle
gelöst OIOOIOOIOIIOOOIIOIIOIOOOFrageLinux Netzwerk8 Kommentare

Hallo alle, könnte mir bitte jemand erklären was Linux und Windows anders machen. Bei einer Verbindung Windows zur Windows ...

Netzwerke
Subnetz splitten
gelöst macherlthomasFrageNetzwerke3 Kommentare

Hey Leute, ich hätte da eine doofe Anfängerfrage: Ich hab hier z.B: 2 Standorte (Verbindung über das Internet und ...

Router & Routing
Subnetz-Routing
gelöst niLuxxFrageRouter & Routing9 Kommentare

Liebe Community, Ich hätte eine kurze Frage an euch, bei der ich euch gerne um Hilfe bitte würde. Wir ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT