neo2k
Goto Top

Router aus anderem Firmennetz als Gateway nutzen?

Für folgende Szenarien sind hier die Routingexperte gefragt:

Hallo Leute,

Folgendes Szenario:

Eine neue Firma bekommt in 2 Wochen einen SBS2003, sowie div. Clients.
Diese Firma, (nenne sie jetzt mal Firma (b) ), bezieht ein Büro, welches nicht mit einem eigenem Internetzugang ausgestattet ist.
Statt dessen soll der Internetzugang über das Nachbarbüro einer anderen Firma realisiert werden.

Firma(a) = eigenen Internetzugang mit VPN-fähigem Router.
Firma(b) = kein Internetzugang, kein eigenen Router.


Meine Aufgabe ist es nun, Firma(b) den Internetzugang über den Router von Firma(a) zu ermöglichen.
Und zusätzlich muss es den Mitarbeitern von Firma(b) möglich sein, eine VPN-Verbindung über den "Fremdrouter" ins eigene Netz herzustellen.

Das wäre ja noch relativ einfach.

Jetzt aber das Problem: Es muss sichergestellt sein, dass jeweils beide Firmen nicht auf das Netzwerk der jeweils anderen Firma zugreifen kann.

Zum Einsatz bei der neuen Firma(b) kommt ein Server mit 2 NIC´s sowie Windows 2003 Server SBS.
Leider habe ich keine Möglichkeit einen Proxy oder ähnl. dazwischen zu schalten. Mir steht ausschliesslich der SBS mit seinen zwei Nics zur Verfügung.

Ich habe mir gedacht, dass ich Routing&Ras mit zwei Subnetzen konfiguriere:

z.B. 192.168.0/24 (Firma(b)) und 192.168.25/24 (Firma(a)) (Das wahre Subnetz von Firma(a) ist mir derzeitig noch nicht bekannt, erfahre ich erst später).

Nach meinem Verständnis kann ich zwar das 192.168.0er Netz davon abhalten auf das 192.168.25er Netz zuzugreifen, aber wie sieht das umgekehrt aus?

Und ist es überhaupt möglich, eine VPN-Verbindung über den Router mit dem 25er Netz in das 0er Netz aufzubauen??


Vielen dank für Anregungen im Vorraus,

Gruß,
Neo2k

Content-ID: 95951

Url: https://administrator.de/forum/router-aus-anderem-firmennetz-als-gateway-nutzen-95951.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

flaesch
flaesch 03.09.2008 um 08:01:55 Uhr
Goto Top
hallo,

was ist das für ein router bei firma a? wenn der z.b. 3 netzwerk-interfaces besitzt, hättest du für jede firma eine eigenes netzwerkinterface und könntest getrennte netze konfigurieren.
den zugriff von firma a nach firma b und umgekehrt könntest du dann über die firewallregeln steuern. meiner meinung nach die beste lösung.
vpn-rules liesen sich, je nach routerausführung und konfigurationsmöglichkeiten, so auch anlegen.

gruß
flaesch
Chris42
Chris42 03.09.2008 um 09:58:19 Uhr
Goto Top
An ein DSL-Modem lassen sich mehrere DSL-Router anschließen (kleiner Switch/Hub dazwischen). Dann hat jeder sein Netz. Firma "B" muß nur noch ihre eigene Flatrate bezahlen (sinnvoller Weise beim gleichen Provider wie Firma "A")

Grüße Chris
aqui
aqui 03.09.2008 um 11:46:05 Uhr
Goto Top
Die o.a. Option funktioniert nur sehr bedingt. So gut wie alle Provider lassen über einen physischen DSL Anschluss nur eine einzige PPPoE Verbindung zu, so das du diese Option schon fast sicher ausschliessen kannst.
Den PPPoE Link dann auch noch mit einen Switch oder Hub zu exponieren schliesst sich ebenfalls schon aus Sicherheitsgründen aus.

Welche Optionen hast du:

1.) Server mit 2 Netzwerkkarten ala:


Das funktioniert, allerdings in einem Routing Szenario wie im Tutorial beschrieben hast du eine gegenseitige Connectivity zwischen den IP Netzen also genau das was du nicht willst ! Der Server routet IP Pakete transparent !

2.) Du kannst dieses 2fach NIC Szenario mit ICS benutzen, also NAT machen auf einem der Server NICs.
Das bewirkt zwar das Firma A nicht auf das Netz der Firma B kommt aber leider nicht andersrum.
Firma B kann alle Komponenten der Firma A erreichen, da das durch die NAT Firewall nicht verhindert wird.
Ggf. kannst du das aber verhindern durch einen Access Liste in der lokalen Firewall am Server und lässt nur eine Kommunikation mit der Router IP der Firma A zu.
Das würde dann dein Problem bedingt lösen.
Das nennt man die DMZ des kleinen Mannes. Dafür benötigst du nicht einmal einen Server sondern das lässt sich auch ganz einfach mit einem preiswerten DSL Router bewerkstelligen wie hier genau beschrieben:

http://www.heise.de/netze/DMZ-selbst-gebaut--/artikel/78397

Mit einer zusatzlichen FW auf dem Router kannst du dann den Server besser allein und isoliert im Netz der Firma B betreiben (Sicherheit).

3.) Besser wäre es wenn Firma A einen VLAN fähigen Switch hätte, dann kannst du beide LANs in eine VLAN setzen und die LANs wären vollkommen getrennt. Das erfordert allerdings eine entsprechende HW.
Am allerbesten wäre es wenn der Switch ein L3 (Routing) Switch wäre, denn dann könnte man auch den Router A problemlos anbinden wenn dies ein Billigsystem sein sollte, was nicht VLAN fähig ist.

Technisch ist die Lösung 3 am besten, denn die Lösung 1 fällt weg da die Netze transparent sind.
Bei Lösung 2 hast du zwei NAT Prozesse zwischen Internet Router der Firma A und auch deinem Server oder Router zum Netz der Firma B.
VPNs über NAT zu bringen birgt erhebliche Gefahren wie du ja sicher selber weisst.
Vermutlich funktioniert das dann immer nur mit einem VPN Client zur Zeit wenn überhaupt und dann auch nur für ausgewählte VPN Protokolle sofern du die richtige Router Hardware hast.
Diese Varainte birgt also erhebliche Risiken und es ist möglich das sie gar nicht funktioniert.

Wenn du Möglichkeit 3 nicht gehen kannst aus Kostengründen wäre es unter Umständen besser du setzt für Firma B einen VPN Router ein der eine permanente VPN Kopplung mit dem Firmennetz der Firma B über den Router von Firma A realisiert und tunnelst den gesamten Verkehr inklusive dem Internet Verkehr zum Hauptsitz der Firma B. Alternativ kann das natürlich auch der Server sein der mit dem NIC Bein in Netz A eine permanente PPTP VPN Verbindung zum zentralen Netzwerk der Firma B hält.
Das sollte sicherer klappen.

Nachteil des gesamten Szenarios ist das du dir mit Firma B den Anschluss der Firma A teilen musst. Du hast vermutlich auch keine QoS- oder Prioritäten Steuerung für Applikationen an Router A bzw. es ist fraglich ob Firma A es dir erlaubt diese auf ihrem Router einzustellen sofern überhaupt möglich auf deren Router HW !
Es kann also sein das 2 Kollegen aus der Firma A die gesamte Bandbreite blockieren und die Kollegen der Firma B in die Röhre schauen... dieser Umstand deines Designs sollte dir immer bewusst sein !
Ebenso bei einem technischen Ausfall, wenn einer von A am Router fummelt oder der Provider ein Problem hat usw. also immer wenn Router A weg ist oder ausgelastet, steht auch das Netz von B.
Ggf. kann man das aber gut steuern wenn der Router von A nicht sowas wie ein Speedport oder andere Billigsthardware ist.
Wenn die Kollegen von B das so akzeptieren ist es ja ok....
51705
51705 03.09.2008 um 21:47:18 Uhr
Goto Top
Hallo Neo2k,

ungeachtet der bisherigen Beiträge, um DAS sicher zu gewährleisten:

Zitat von @Neo2k:
Jetzt aber das Problem: Es muss sichergestellt sein, dass jeweils
beide Firmen nicht auf das Netzwerk der jeweils anderen Firma
zugreifen kann.

müssen beide Firmen einen eigenen Router betreiben, es sei denn, sie haben den gleichen Admin und das gleiche Vertrauen in diesen Admin (würde ich aber als Admin beider Firmen nicht machen). Besser wäre ein Router für den Internet-Anschluß, welcher dann je ein Interface für Firma A und B bereitstellt. An diesem Interface werden die Firmen-Router betrieben, auf welchen die notwendige Firewall konfiguriert wird (jeweils im alleinigen Einflußbereich der betreffenden Firma).

Grüße, Steffen

Grüße, Steffen
Neo2k
Neo2k 04.09.2008 um 00:21:03 Uhr
Goto Top
Hallo zurück,

erst mal vielen Dank, dass ihr euch den Kopf zerbrochen habt face-smile)

so und jetzt zu den Vorschlägen:

@flaesch
noch ist mir nicht bekannt, um welchen Router es sich handelt. Da es sich bei beiden Firmen um "kleine" Anwaltskanzleien handelt, gehe ich aber von einem Lowcost-Hardwarerouter aus. Der wird wohl einen WAN und 4 LAN-Anschlüsse haben. Ich glaube daher nicht, dass die Lan-Ports einzeln managebar sind.


@Chris42
das wird leider auch nicht funktionieren. Und selbst wenn, würde ich niemals einen SBS direkt an ein DSL-Modem anschliessen.

@aqui

Sehr interessante Varianten.

Was wäre, wenn ich einen weiteren Router an den Router von Firma(a) hänge, der NUR 1723 + GRE zum SBS-Server durch lässt? Und umgekehrt nach draussen nur "Internetdienste" zulässt? Da fällt mir ein: Da der DSL-Anschluss dynamisch ist, müsste ich auf Dienste wie z.B. dyndns.org zurück greifen. Das bedeutet, dass ich Port 25 ebenfalls zum SBS durch lassen müsste. (nutzt dyndns port 25 für die Hostabfrage?).

Zu 3) Also VLAN fällt flach und Layer3 ebenfalls. ;(

Wenn ich bedenke, dass ich diesen ganzen Aufwand für eine Anwaltskanzlei betreiben muss, frage ich mich, warum der sich nicht einfach einen eigenen DSL-Anschluss bestellt und gut ist. face-sad Aber der Reiz, herauszufinden, ob das irgendwie umsetzbar ist, lässt mich ja nicht los face-wink)

Gruß,
Neo2k
aqui
aqui 04.09.2008 um 11:07:33 Uhr
Goto Top
@Neo2k

Das würde nichts nützen mit einem 2ten Router, denn du müsstest ja wieder ins Netz der Firma A.

Wenn nichts anderes geht dann nimmst du am besten eine Firewall mit 3 Interfaces vor den Router wie smerlin richtig bemerkt, dann hast du beide Firmen sauber getrennt.
Eine kostenlose Firewall wie M0n0wall oder IPCop bietet dir on Top auch noch eine oder mehrere PPTP VPN Verbindungen !

Ein solches Szenario ist hier beschrieben:
http://www.darkdestination.de/monotuts/index.php?nav=dmz

Die zwei LAN Segmente wären dann Firma A und B.
Wenn du keinen PC für die Firewall nehmen willst findest du hier eine Anleitung wie man das mit einem kleinen Mini Mainboard und einer festen Appliance dann macht:
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html

ToDos zur M0n0wall Installation findest du auch im ersten Abschnitt wenn du dir das Captive Portal wegdenkst. Es nutzt die gleiche HW Plattform !