markusj
Goto Top

Netzwerk: Trennung der Subnetze

Guten Tag,

ich benötige eine Lösung für folgendes Problem.

Wir (eine kleine Firma) installieren eine Steuerung beim Kunde. Die Steuerung ist ModbusTCP - basiert. Ist also Ethernet - Netzwerk.


Damit die Komponenten der Steuerung (jede Komponente hat eigene IP4 - Adresse) sich finden sind die IPs statisch eingestellt. Subnetz ist auf das Netz des Kunden eingestellt z.B 192.168.33.Z. Das hat den Vorteil dass wir die kundeneigene Hardware (z.B Fritzbox Router) nicht anfassen müssen. Die IPs unserer Steuerung werden einmalig bei Konfiguration der Hardware während der Inbetriebnahme durchgeführt.

Mit dieser Vorgehensweise habe ich meine Magenschmerzen und suche nach besseren Lösungen. Was mir nicht gefällt:
- Kunde kann sich einen neuen Router installieren - Subnetz ändert sich. Würde bedeuten dass wir zurück an die Hardware müssen um die IPs (neues Subnetz) und das Gateway umzustellen.
- Kunde verwenden Hardware welche zufällig die selbe IP verwendet wie auch eine unserer Komponenten - Konflikt in IP Vergabe, unsere Steuerung ist gestört.


Ich suche Hardware wie Switch oder Router welche uns unser kleines privates Reich innerhalb des gesamten kundeneigenen Ethernet - IP - Spektrums erlaubt. Zur Verdeutlichung ein Anschauungsbild:

Fritzbox, kundeneigen Gateway 192.168.X.1
| - Rechner 192.168.X.8
| - Drucker 192.168.X.15
| - Router 192.168.X.38 - per DHCP von der Fritzbox.  (unser Gateway z.B: 172.20.1.1)
| | - server 172.20.1.2 - statisch
| | - Komponente A 172.20.1.3 - statisch
| | - Komponente B 172.20.1.4 - statisch
| | - LTE Router C 172.20.1.5 - statisch
| | - LTE Router D 172.20.1.6 - statisch

Damit könnten die Komponenten mit 172..... - Kennung untereinander kommunizieren, haben für gewöhnliche IP-Adressräume im lokalen Netz (z.B. Fritzbox) ungewöhnliche Kennung und deshalb unwahrscheinliche Kollision mit anderen Teilnehmern wie z.B. der dargestellte Drucker. Unsere Komponenten haben auch den Internetzugang durch den übergeordneten Router und dann die Fritzbox.


Da ich kein Admin bin und mich mit Netzwerken oberflächlich auskenne: taugt die Idee was?
Welche Hardware, hier als Router (192.168.X.38) bezeichnet, benötige ich?

Die LTE - Router sind für die Dritten da für den Zugriff auf die Komponenten - ist für Internetzugang oder anderen Zugriff für mich gesperrt.

Frage am Rande: ist es mit dieser Aufstellung möglich vom Rechner (192.168.X.8) auf den server (172.20.1.2) zuzugreifen?
Kommentar vom Moderator tomolpi am 25.09.2020 um 17:06:12 Uhr
Titel korrigiert

Content-Key: 607668

Url: https://administrator.de/contentid/607668

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: aqui
aqui 25.09.2020 aktualisiert um 19:09:59 Uhr
Goto Top
Die einfache Lösung ist ein kleiner Router den du ins Kundennetz hängst.
Ein preiswerter Mikrotik hEX oder hEX S wäre die ideale Lösung dafür.
https://www.varia-store.com/en/produkt/97589-mikrotik-routerboard-hex-wi ...
https://www.varia-store.com/en/produkt/97947-mikrotik-rb760igs-hex-s-wit ...
Oder die vom Kollegen LKS unten genannte Firewall aber sicher zu teuer und zu groß für dein o.a. Design, da die o.a. Router das alles onboard mitbringen.

Dann musst du rein gar nichts am Kunden Netz machen mit Ausnahme einer statischen IP Route an der FritzBox dazukonfigurieren.
Hinter dem Mikrotik Router hast du dann ein komplett eigenens Netz indem du frei schalten und walten kannst mit deiner IP Adressierung wie du willst.
Zudem hat der Mikrotik eine leistungsfähige Firewall an Bord, wie oben schon gesagt, wo du zusätzlich noch den Zugang in das ModbusTCP Netz nach Bedarf steuern kannst.
Wie Kollege @chiefteddy unten schon richtig sagt ist so ein klassisches Design bei dieser Anforderung heute Stand der Technik.
Frage am Rande: ist es mit dieser Aufstellung möglich
Ja, klappt natürlich problemlos und ist für so ein Design die übliche Lösung. Warum auch nicht, ist ja stinknormales IP Routing was Fritzchen Müller in der IP Grundschule lernt ?! face-wink

Wie man das Ganze dann praktisch und schnell umsetzt erklärt dir dieses Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Einfacher gehts nicht... face-wink

Und weil heute Freitag ist für dich noch eine Zeichnung wie diese einfache und preiswerte Allerweltslösung aussieht:
( Die Zeichnung ist ein Standard Design. Der Mikrotik Router kann aber auch jeder beliebige andere Router oder Firewall sein)

mobtcp
Mitglied: Lochkartenstanzer
Lochkartenstanzer 25.09.2020 aktualisiert um 16:53:29 Uhr
Goto Top
Moin,

  • Um Adresskonflikte zu vermeiden nutzt man üblicherweise DHCP und Adressreservierung.

  • Ja, es ist Sinnvoll Euer Netz von dem Kundennetz abzuschotten, wenn Ihr gegenseitige Störungen ausschließen wollt.

  • Du kannst jeden beliebigen Router dafür nehmen, bei dem sich das NAT abschalten läßt (also keine Fritzboxen oder andere Baumarktgeräte!), wenn aus dem Kundennetz in Euer Netz zugegriffen werden soll.

Hier im Forum sind Mikrotiks, Ciscos, LanComs und Open/DD-WRT-Router (z.B. TP-Link mit DDWRT) recht beliebt. Für mehr KOntrolle könnte man z.B. auch einen "Selbstbaurouter" mit pfsense nehmen, wie es z.B. @aqui in seiner anleitung Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät beschreibt.

lks

Edit: aqui war einen Tick schneller. face-smile
Mitglied: chiefteddy
chiefteddy 25.09.2020 um 17:22:56 Uhr
Goto Top
Hallo,

auch wenn das sicher den preislichen Rahmen sprengt (FritzBox als Unternehmens-Router face-smile ). Phoenix Contact hat genau dafür entsprechende Router/Firewall im Portofolio.

https://www.phoenixcontact.com/online/portal/de?1dmy&urile=wcm%3apat ...

https://www.phoenixcontact.com/online/portal/de?1dmy&urile=wcm:path: ...

https://www.phoenixcontact.com/online/portal/de/?uri=pxc-oc-itemdetail:p ...

Die Struktur, das "Maschinen-Netzwerk" vom jeweiligen Kunden-Netzwerk mit einem Router/Firewall abzutrennen, ist eigendlich "Stand der Technik".

Neben den sicherheitstechnischen Vorteilen hat diese Struktur noch einen anderen Vorteil:

Alle Maschienen-Steuerungen können immer mit den gleichen Adressen produziert werden. Eine Anpassung an die kundenspezifischen Netzwerk-Parameter ist nicht notwendig. Der Router/Firewall ist die einzige Schnittstelle zum Kundennetz und macht NAT.

Jürgen
Mitglied: maretz
maretz 25.09.2020 um 20:04:04 Uhr
Goto Top
Naja - an sich ist das ganze ja nicht weiter wild - mitm 5 Euro Router schnell erledigt. ABER: Ich würde das natürlich auch mitm Kunden absprechen - wenn ich bei uns einfach nen Router im Netz sehen würde hat der kurz später ne Wasserkühlung. Dafür bekommt nen Dienstleister automatisch nen eigenes VLAN wo der machen kann wie und wo er will (ausser die Gateway-IP natürlich). Nehmen wir an ich habe abends gesoffen und sage dass das gesamt-netz 192.168.0.0/16 ist, habe dir 192.168.99.0/24 zugewiesen (vlan 99) -> dann dürftest du da drin alles machen was du willst ausser die 99.1, das ist halt das Gateway. So - wenn man dann wieder nüchtern is und der Kater auch langsam weg ist merkt man plötzlich „huch, war aber blöd“ - dann kann man so das Netz natürlich trotzdem komplett umstellen und mit euch reden. ENTWEDER sagt ihr „sorry, zuviel Arbeit das umzubauen“ - dann bleibts halt wie es is bei euch und alle anderen VLANs haben halt 10.x.y.z und nur ihr habt 192.168.99.0/24 ODER ihr könnt eure Geräte auch anpassen und alles sieht wieder schick aus...

Aber eigene Router im Netz? DA wäre schon das Problem das ich ja nicht weiss was ihr einstellt - und plötzlich tauchen da irgendwelche VPN-Tunnel auf, irgendwer hängt doch mal wieder Kabel um usw... -> daher is (zumindest bei mir) die Dienstleister-Hardware bei sowas nich so gern gesehen... Und ich hab im Serverraum 2x 1,5m Feueraxt rumstehen, die kann man da sehr gut für nutzen. Da geht jede Fritzbox auch ohne Passwort offline :D
Mitglied: falscher-sperrstatus
falscher-sperrstatus 25.09.2020 um 20:34:09 Uhr
Goto Top
Naja - an sich ist das ganze ja nicht weiter wild - mitm 5 Euro Router schnell erledigt. ABER: Ich würde das natürlich auch mitm Kunden absprechen - wenn ich bei uns einfach nen Router im Netz sehen würde hat der kurz später ne Wasserkühlung. Dafür bekommt nen Dienstleister automatisch nen eigenes VLAN wo der machen kann wie und wo er will (ausser die Gateway-IP natürlich). Nehmen wir an ich habe abends gesoffen und sage dass das gesamt-netz 192.168.0.0/16 ist, habe dir 192.168.99.0/24 zugewiesen (vlan 99) -> dann dürftest du da drin alles machen was du willst ausser die 99.1, das ist halt das Gateway. So - wenn man dann wieder nüchtern is und der Kater auch langsam weg ist merkt man plötzlich „huch, war aber blöd“ - dann kann man so das Netz natürlich trotzdem komplett umstellen und mit euch reden. ENTWEDER sagt ihr „sorry, zuviel Arbeit das umzubauen“ - dann bleibts halt wie es is bei euch und alle anderen VLANs haben halt 10.x.y.z und nur ihr habt 192.168.99.0/24 ODER ihr könnt eure Geräte auch anpassen und alles sieht wieder schick aus...

Alles schön und gut, aber siehe "Fritzbox"...Thema gegessen.

Zurück zur Frage: Was für Dinge müsst Ihr beim Kunden installieren? Ggf wäre es sinnvoller sich für die Netzgeschichte einen Partner zu holen, ich erleb es leider viel zu häufig, dass da doch etwas hochpreisigere Gerätschaften z.T 6,7 stellig ins Netz geworfen werden und von den Partnern gesagt wurde, das passt so Sicherheitstechnisch und ich raufe mir dann die Haare, wie man sowas machen kann (oftmals gehen da auch nicht ganz unwertvolle Daten drüber bzw auch schlicht andersherum, ein Ausfall mit nur ein paar Stunden lässt ein komplettes Netz im Gegenwert neu planen und einrichten.)
Mitglied: satosan
satosan 26.09.2020 um 00:52:54 Uhr
Goto Top
Darf ich mal bitte fragen warum es immer wieder die Fritzbox sein muss. Speziell hier auch in einem Company-Netzwerk? Liegt das nur an den Telefonleitungen die Ihr in D immernoch mitbestellen muesst oder woran liegts? Wenn ich die Fritzbox meines Vaters in D beim Besuch sehe, dann kommt mir immer das Grauen.
Mitglied: wiesi200
wiesi200 26.09.2020 um 08:28:24 Uhr
Goto Top
Hallo,

im Industrie Bereich könnte man z. B sowas einbauen.
https://ewon.biz/products/cosy
Dann hättest du auch ne schöne Möglichkeit zur Fernwartung und mit den Eingangsklemmen könnte man normalerweise auch diese abhängig von nem Schlüsselschalter machen. Somit Kontrolle für deinen Kunden.
Mitglied: oraoBi
oraoBi 27.09.2020 um 17:44:18 Uhr
Goto Top
Puhh ist das komplex. Aber sehr starke Lösungen wurden hier vorgeschlagen. Probier das mit dem Router auf jedenfall aus. mfg
Mitglied: aqui
aqui 27.09.2020 aktualisiert um 19:11:03 Uhr
Goto Top
Puhh ist das komplex.
Nicht dein Ernst oder... ?? Zumal du es oben ja noch alles inklusive Zeichnung auf dem Silbertablett zum Abtippen serviert bekommen hast.
Im GUI des Mikrotik 5 Mausklicks und eine statische Route in der Kunden FritzBox. Das hat auch ein Laie in 10 Minuten erledigt !
Viel einfacher kanns ja nun wirklich nicht gehen und du hast obendrein eine abslolut optimale Lösung.
Was willst du also mehr ?
Mitglied: falscher-sperrstatus
falscher-sperrstatus 27.09.2020 um 18:07:16 Uhr
Goto Top
@aqui, das ist nicht der TO, ausser er hat nochmals einen Account, aber wenn es zu schwer ist, sollte man es ggf. einfach outsourcen. Ist dann wohl sowieso besser, denn jedes System sollte von Zeit zu Zeit auf Aktualität geprüft sein.
Mitglied: aqui
aqui 27.09.2020 um 19:10:27 Uhr
Goto Top
Danke für die Korrektur.
Ich nehme alles zurück und behaupte das Gegenteil !! Sorry, der Eifer des Gefechts ! face-wink
Mitglied: MarkusJ
MarkusJ 29.09.2020 um 12:40:52 Uhr
Goto Top
Vielen Dank für alle Antworten! ich konnte damit eine Diskussion mit Projektverantwortlichen starten. Ich danke euch allen, werde mich bei weiteren Fragen auch wieder melden. Angehängt ist eine Skizze wie ich es mir vorstelle.

Grüße,
Markus
struktur subnetze
Mitglied: aqui
aqui 29.09.2020 aktualisiert um 16:08:48 Uhr
Goto Top
Alles genau richtig vorgestellt !
Hättest ja auch einfach nur das obige Bild ausdrucken müssen da siehts kosmetisch schöner aus ! face-wink
Hast du den Projektverantwortlichen ggf. einmal gefragt ob die im Hause zufällig einen Layer 3 (Routing) Switch einsetzen ?
Bei Firmen (wenn sie nicht gerade ne 3 Mann Bude sind) ist das meist der Fall und würde bedeuten das du es auch ganz ohne externen Router lösen kannst !
Wichtig ist also immer die Kunden Netz Infrastruktur zu kennen... face-wink