markaurel
Goto Top

Supernetting - Änderung der Subnetzmaske

Hallo zusammen und bitte um Eure Hilfe/Ratschläge!

Folgende Ausgangssituation:
Ein kleines Netzwerk mit einem Windows Domain Controller (macht auch DHCP), einem NAS, ein paar Drucker, AccessPoints und etlichen Workstations. Insgesamt gar keine aufregende oder komplizierte Struktur. Klassisches C-Klasse Netz mit einer Netzmaske von 255.255.255.0. Sprich: 254 (256) Hosts maximal.

Nun soll aber im Sommer eine Art Projekt dort am Standort stattfinden - wo ziemlich viele Gäste erwartet werden, welchen für ein paar Tage ein WLAN-Zugang bereitgestellt werden soll. Ich fürchte nun, dass es möglicherweise zu dem Szenario kommen kann, dass die IP-Adressen "ausgehen". (Vorweg: DHCP-Leastime runter ist auch keine Lösung.)

Da mir nahe gelegt wurde, die Sache möglichst ohne zusätzliche Kosten zu erledigen, geht meine Überlegung in folgende Richtung:

1. Alle Geräte (natürlich mit Ausnahme des DomainControllers - also Drucker, NAS, u.a) mit einer fixen IP temporär auf DHCP umstellen
2. Anpassung im Router vornehmen und dort auf eine Netzmaske von 255.255.254.0 umstellen
3. Anpassung der Netzmaske im Domain Controller und Anpassung des DHCP Bereichs
4. Geräte welche im Punkt 1 auf DHCP umgestellt wurden wieder auf fixe Adresse zurückkonfigurieren

Damit hätte ich - meiner Überlegung nach - den Hostanteil im Netzwerk vergrößert. Dass damit bestimmte Nachteile wie etwa Broadcast-Traffic gegeben sind, ist mir bewusst. Das Ganze soll aber (hoffentlich!) nur eine temporäre Lösung sein. Da ich dieses Szenario aber noch nie praktisch gemacht habe, möchte ich euch bitten, dass ihr euch dass einmal durchdenkt, ob ich da was Wichtiges übersehen habe.

Danke für eure Hilfen.

MfG

M.A.

Content-Key: 7115417680

Url: https://administrator.de/contentid/7115417680

Printed on: May 22, 2024 at 02:05 o'clock

Member: Lochkartenstanzer
Solution Lochkartenstanzer May 11, 2023 at 18:28:03 (UTC)
Goto Top
Moin,

Du resoltest nicht an Deine Infrastruktur herumspielen. Und vor allem solltest Du nciht die "fremden" in Euer Produltivnetz lassen.

Besorg Dir lieber extra APs/Router und laß die Gäste nur da rein. Da kannst Du dann auch ein "großes Netz" mit einer /16-Maske

Aus meine rpersönlichn Erfahrung heraus kann ich Dir nur raten, von Deinem obigen Plan abzusehen.

lks
Member: O.Gensch
O.Gensch May 11, 2023 at 18:30:21 (UTC)
Goto Top
Hallo,

ich weiss nicht was für einen Router du vor Ort hast aber ich würde den WLAN Zugang auf ein neues Netz (VLAN) Legen und den nach dem treffen dann wieder entfernen. dann brauchst du in deiner aktuellen umgebung nichts zu ändern und zweitens würdest du deine aktuelle umgebung absichern.

LG
Member: Spirit-of-Eli
Spirit-of-Eli May 11, 2023 at 18:46:51 (UTC)
Goto Top
Moin,

dein obiger Plan ist das schlechteste was du machen kannst.
Gäste kommen in ein separates Netz und haben keine Zugriff auf deine Infrastruktur.
Die Lösungsansätze oben sind deine beste Option.

Gruß
Spirit
Member: markaurel
markaurel May 11, 2023 at 18:56:53 (UTC)
Goto Top
Danke für eure Antworten!

Ich weiß, dass der Plan - und ihr hsbt das deutlich bestätigt - nicht gerade gut ist! - Oder sagen wir wie es ist: schlecht!

Aber bitte lasst mich noch etwas hinzugügen:
Neue Hardware anzuschaffen ist derzeit einfach keine Option. (Den 11 Jahre alten Serverhost zu ersetzen war gerade schwer genug.) Nicht alle Switches sind manageable - VLAN somit keine Option. Bis dato habe ich das WLAN insofern „isoliert“, dass es für Gäste eine seperate SSID gibt, welche via Unifie Controller der Zugriff auf andere IPs verwehrt. (Auch hier bin ich mir bewusst, dass das keine optimale Lösung ist.)

Bitte dennoch um weitere Vorschläge! ich bin dafür wirklich dankbar und es ist gut seinen Horizont zu erweitern.

MfG

M.A.
Member: chiefteddy
chiefteddy May 11, 2023 at 19:35:28 (UTC)
Goto Top
Was hast du denn für einen Internet-Router?

Selbst die Fritte bietet mit dem Gäste-Netz eine Notlösung.

Jürgen
Member: geraldxx
geraldxx May 11, 2023 at 19:35:59 (UTC)
Goto Top
Alles in einem Netz drin? Das macht sogar eine 150€ Fritzbox besser, wozu hat die Firma überhaupt einen Admin?
Member: Spirit-of-Eli
Spirit-of-Eli May 11, 2023 at 19:42:58 (UTC)
Goto Top
Kann so ein Unifi Controller nicht auch eine SSID tunneln? Dann wäre ein VLan nur bis zum Controller zu konfigurieren.
Jedes aktuell vernünftige System unterstützt sowas.

Wäre zumindest die einfache Lösung.
Member: ipzipzap
ipzipzap May 11, 2023 updated at 19:45:06 (UTC)
Goto Top
Was für Access Points hast Du denn schon und was läuft als Router für den Internet-Zugang?

EDIT: Lese gerade "Unifi-Controller", also dann UBNT APs. Hast Du als Router auch eine USG, oder was läuft da?

Vllt. kannst Du auf Deinen bestehenden AccessPoints eine weitere SSID aufspannen und die in eine separate IP-Range auslagern. Dann brauchst Du dein bestehendes Netz nicht anfassen und nichts dazukaufen. Idealerwiese natürlich noch in ein eigenes VLAN, aber zur Not ginge das auch ohne, wenn Deine Hardware das nicht kann.

cu,
ipzipzap
Member: markaurel
markaurel May 11, 2023 at 20:30:07 (UTC)
Goto Top
Eine Frage noch:

Haltet ihr die Client Isolation / IP Isolation (also dass Benutzer einer als Gast-WLAN konfigurierten SSID) im Unifi Controller für zu wenig sicher, so dass jedenfalls eine "Netzabtrennung" (entweder physikalisch oder optional via VLAN) zu bevorzugen ist?

Grund ist - wie bereits erwähnt - der sehr knappe finanzielle Spielraum:
Ich hab ja bereits WLAN-Access Points in Verwendung (Unifi). Diese können - meines Wissens nach - zwar verschiedene SSIDs abgeben. Aber - sofern ich keinen USG bzw. DreamMachine o.ä. einsetzen kann, kann ich auch im (Software) Controller kein zweites LAN hinzufügen.

Ich dachte die Sache wie folgt:
SSID1: vorhandenes, produktives WLAN mit Zugriff auf LAN - Ressourcen wie Drucker, NAS.
SSID2: "Gäste-WLAN" mit Client Isolation (kein Zugriff auf LAN - Rssourcen)

Es ist nämlich defacto nicht möglich nun separate APs und Router anzuschaffen und damit eine physikalisch getrennte Struktur zu errichten.

Zugriff auf bestehenden Router ist nur "bedingt" möglich, da dieser vom Provider verwaltet wird. (Das ist auch eine ganz eigene Geschichte.)

Zur Erklärung: das im Eröffnungspost erwähnte Projekt ist eine Art Kunstveranstaltung für Jugendliche, welche die Frau meines Chefs unterstützt. Diese campieren dann einige Tage vor Ort mit verschiedenen Workshops usw. und brauchen natürlich WLAN....
Member: O.Gensch
O.Gensch May 11, 2023 at 20:54:19 (UTC)
Goto Top
weiss nicht was für ein Kunstprojekt das ist und in wie weit die Frau deines Chefs diese Jugendlichen Unterstützt. Stellt Sie nur die Räumlichkeit und ein WLAN zur Verfügung? Vielleicht solte die Frau deines Chefs die Kunstliebhaber anstatt mit WLAN mit Papier und Stift unterstützen? (nur mal so als Gedanke nebenbei)

LG
Member: markaurel
markaurel May 11, 2023 at 21:01:06 (UTC)
Goto Top
yepp….nur Räumlichkeiten und Internetzugang. ( Und es geht um Musik…soweit ich weiß.)
Member: maretz
maretz May 12, 2023 at 04:54:04 (UTC)
Goto Top
Nun,

ich würde dann der Frau des Chefs mal freundlich ne Frage stellen. Brauchen die Jugendlichen Strom? Gehen die zur Toilette? Essen/Trinken die und erzeugen zB. Müll? Falls die also nicht permanent irgendwo in die Büsche ka**en erzeugen die auch kosten, oder?

Und jetzt willst du allen ernstes versuchen die über das FIRMENNETZ zu leiten, dabei soll riskiert werden das euer gesamter Laden wegsemmelt und das GRADE bei Jugendlichen bei denen du einfach davon ausgehen musst das der ein oder andere ggf. auch noch nen "Spieltrieb" hat und versuchen wird ob man da nich doch irgendwas machen kann? Und selbst wenn nicht werden die - wie du schon mehr oder weniger erkannt hast - ggf. durch Broadcasts euer Netz stören wenn die da drin sind. Ganz nebenbei wirst du auch merken das du noch ganz andere Probleme erwarten darfst -> so kann ein Accesspoint nicht unbegrenzt viele Endgeräte halten. Versuchst du also da auf einen AP 200 Endgeräte zu hauen wirst du merken das irgendwie nich mehr viel geht... Daneben hast du noch ggf. nen paar Probleme mit den Frequenzen weil auch diese natürlich begrenzt sind.

Was ich tun würde: Als aller erstes mal klären was die genau will. Und zwar egal ob "Frau von Chef" oder Bekannte vom Schulfreund der Ur-Enkelin vom Dorf-Deppen. Dann sollte man sich klar machen das sowas für gewöhnlich etwas andere Regeln braucht. Ein "Firmenbesucher" ist für gewöhnlich nen paar Stunden da für nen Meeting - schön. Da hat der/die/das keine Zeit für Streaming oder Filesharing. Ne horde Jugendlicher über mehrere Tage - oh, warte, könnte es sein das genau diese Dinge kommen? Und wenn die da lustig Filme runterladen -> an wen geht wohl die Rechnung vom Abmahn-Anwalt im dümmsten Fall? Wie sieht es da mit Jugendschutz aus? Nen Firmenbesucher wird für gewöhnlich nicht die div. Porno-Seiten mit seinem Kunden/Dienstleister/Whatever ihr seid besuchen. Ne Horde Teenies? Könnte sein - und spätestens wenn dann Teenie 1 + 2 sich entsprechende Filme angucken (weils ja cool is ...) und teenie 3 mit 12,13 oder 14 Jahren zuhause seiner/ihrer Mutti erzählt was die da gesehen hat könnte es sein das ihr Spass habt...

Es ist also nicht nur "ich pack mal eben nen VLAN hin und lass die machen". Kannst du machen - und hast dann halt ne gute Chance das du live erlebst was der Satz "when the sh*t hits the fan" bedeutet...
Member: Doskias
Doskias May 12, 2023 at 06:10:08 (UTC)
Goto Top
Moin,

egal was du hier noch an Infos gibst, es bleibt eine schlechte Idee:
Nun soll aber im Sommer eine Art Projekt dort am Standort stattfinden - wo ziemlich viele Gäste erwartet werden, welchen für ein paar Tage ein WLAN-Zugang bereitgestellt werden soll.
Egal was für Gäste und was es für eine Veranstaltung ist: Das netz gehört getrennt und zwar so, dass du an deinem Produktiven Netz nichts verändern musst. Das läuft und hat oberste Priorität.

Da mir nahe gelegt wurde, die Sache möglichst ohne zusätzliche Kosten zu erledigen, geht meine Überlegung in folgende Richtung:
möglichst ohne zusätzliche Kosten geht schonmal gar nicht. Ich kenne deinen Stundenlohn jetzt nicht, aber wenn du 4 Tage daran rumwerkelst, dabei die Produktionsumgebung instabil wird, es ggf. zu Produktionsausfällen kommt, dann entstehen dir auch Kosten.

Damit hätte ich - meiner Überlegung nach - den Hostanteil im Netzwerk vergrößert. Dass damit bestimmte Nachteile wie etwa Broadcast-Traffic gegeben sind, ist mir bewusst. Das Ganze soll aber (hoffentlich!) nur eine temporäre Lösung sein.
Soll hoffentlich nur temporär. Du weißt, dass solche Konstrukte im IT-Bereich ewig überleben, oder? Und selbst wenn nicht. Was dann? Willst du dann alle Netzwerkänderungen wieder Rückgängig machen?

Da ich dieses Szenario aber noch nie praktisch gemacht habe, möchte ich euch bitten, dass ihr euch dass einmal durchdenkt, ob ich da was Wichtiges übersehen habe.
Du übersiehst, das wichtigste allgemein: Gäste haben nicht zu bestimmen wie dein Netzwerk aussieht. Du schreibst immer wieder:

Zitat von @markaurel:
Aber bitte lasst mich noch etwas hinzugügen:
Neue Hardware anzuschaffen ist derzeit einfach keine Option. (Den 11 Jahre alten Serverhost zu ersetzen war gerade schwer genug.) Nicht alle Switches sind manageable - VLAN somit keine Option. Bis dato habe ich das WLAN insofern „isoliert“, dass es für Gäste eine seperate SSID gibt, welche via Unifie Controller der Zugriff auf andere IPs verwehrt. (Auch hier bin ich mir bewusst, dass das keine optimale Lösung ist.)
Wir reden hier nicht von einer neuen Struktur. Wir reden hier von einer Fritzbox und vielleicht 2 oder 3 APs, die du brauchst. da liegst bei ca. 300 Euro. Bau das richtig auf und du hast eine physische Trennung zwischen deinem Gästenetzwerk und deiner Produktivumgebung. Wenn keine 300 € drin sind, dann solltest du dir einen anderen Arbeitgeber suchen, denn deine nächste Gehaltszahlung steht dann vermutlich auch auf der Kippe face-wink

Zitat von @markaurel:
Haltet ihr die Client Isolation / IP Isolation (also dass Benutzer einer als Gast-WLAN konfigurierten SSID) im Unifi Controller für zu wenig sicher, so dass jedenfalls eine "Netzabtrennung" (entweder physikalisch oder optional via VLAN) zu bevorzugen ist?
Ich denke VLAN ist keine Option, wie du geschrieben hsat? Wieso jetzt doch?

Ich dachte die Sache wie folgt:
SSID1: vorhandenes, produktives WLAN mit Zugriff auf LAN - Ressourcen wie Drucker, NAS.
SSID2: "Gäste-WLAN" mit Client Isolation (kein Zugriff auf LAN - Rssourcen)
unterschiedliche SSID sind kein garantiertes Sicherheitsfeature. Ich kann mit 2 unterschiedlichen SSIDs auf das gleiche Netzwerk zugreifen. Wichtig ist die Konfiguration dahinter.

Es ist nämlich defacto nicht möglich nun separate APs und Router anzuschaffen und damit eine physikalisch getrennte Struktur zu errichten.
Wieso nicht?
Kauf eine Fritzbox, häng die ins Internet und lass sie die Einwahl machen. Pack die Fritz-APs für deine Veranstaltung auf die Fritzbox. Schließe deine jetzige Firewall an die Fritzbox an und bau ein Transfernetz. Damit hast du das Gäste-Netz physisch getrennt, deine Firewall schütz weiterhin dein Netzwerk und du musst (bis auf das Trasnfernetz zwische Fritzbox und Firewall) nichts an deinem Netzwerk ändern.

Zugriff auf bestehenden Router ist nur "bedingt" möglich, da dieser vom Provider verwaltet wird. (Das ist auch eine ganz eigene Geschichte.)
In dem Fall Router ist das oben genannte sogar noch einfacher, weil du ja vermutlich schon ein Transfernetz hast. In dem Fall kannst du vielleicht die Fritzbox für die Gäste vielleicht an den Provider-Router hängen. Dann musst du überhaupt nichts an deiner Struktur ändern und es läuft halt paralllel.

Zur Erklärung: das im Eröffnungspost erwähnte Projekt ist eine Art Kunstveranstaltung für Jugendliche, welche die Frau meines Chefs unterstützt. Diese campieren dann einige Tage vor Ort mit verschiedenen Workshops usw. und brauchen natürlich WLAN....
Vergiss nicht, die Zugänge zu der Hardware entsprechend zu sichern. Sonst wird der jugendliche Entdeckerdrang dein nächstes Problem.

Alternativ:
Frage mal bei deinem befreundeten Systemhaus nach. Wenn es um ein paar Tag geht, stellen sie di vielleicht für kleines Geld einen LTE-Router zur Verfügung. Anständige Systemhäuser haben sowas auf Lager für Notfälle bzw. für Veranstaltungen, bei denen es kein Internetanschluss ist. Z.B. Reitturniere mitten im Wald, etc.

Gruß und viel Glück
Doskias
Member: dbru61
dbru61 May 12, 2023 at 07:08:08 (UTC)
Goto Top


Ich hab ja bereits WLAN-Access Points in Verwendung (Unifi). Diese können - meines Wissens nach - zwar verschiedene SSIDs abgeben. Aber - sofern ich keinen USG bzw. DreamMachine o.ä. einsetzen kann, kann ich auch im (Software) Controller kein zweites LAN hinzufügen.

Die Unifi UAP's können VLAN, den Controller/Cloud-Key (bzw. die Network-Application) brauchst Du nur, um die AP's via json-Script zu konfigurieren ( im Prinzip könntest Du die gesamte Konfiguration auch per Shell direkt am AP durchführen, wird aber beim nächsten Zugriff übergebügelt). Soweit ich weiß, hat die Controller-SW den gleichen Funktionsumfang wie die Network-Application.
Unter "Einstellungen/Netzwerk" ein neues vlan-Netz erstellen und in Drahtlos-Netzwerk neues WiFi-Netz mit eigener SSID und Sicherheitsschlüssel erstellen und unter "select Network" dem zuvor erstellten Netzwerk zuweisen. Ich weiß jetzt zwar nicht, wieviele AP's Du hast, aber ein 5-Port DGS1100 z.B. kostet bei Amazon knapp 30 Euro. Damit kriegt Du die vlan-Kuh vom Eis.

Viel Erfolg
Member: markaurel
markaurel May 12, 2023 at 15:51:54 (UTC)
Goto Top
Danke für eure Ratschläge - habt mich überzeugt, dass mein ursprünglicher Plan keine so gute Idee ist und dass die Angelegenheit (in diesem Sinne) "sauber" gelöst werden soll.

MfG

M.A.
Member: aqui
aqui May 13, 2023 updated at 09:41:39 (UTC)
Goto Top
Ein kleiner 25 Euro (Mikrotik) Router reicht dafür um das Gästenetz abzutrennen. Du solltest die Gäste nie und nimmer nicht zusammen auf das bestehende Produktivnetz lassen. Sicherheitstechnisch ein GAU und NoGo.
Außerdem gilt immer der goldene Netzwerk Admin Grundsatz: "Niemals mehr als 150 Endgeräte (plus/minus) in einer Layer 2 Broadcast Domain!!"
Das Verkleinern der Subnetzmaske ist also aus 2 guten Gründen keine besonders intelligente Idee wenn du nicht willst das das bestehende Netzwerk am Ende kollabiert.
Nebenbei: Bei einem /24er Prefix hast du 253 mögliche Hostadressen. Die 0er IP ist immer das Netzwerk selber und die .255 ist die Broadcast IP die man bekanntlich nicht als Hostadressen vergeben darf! Nur der Vollständigkeit halber... face-wink

Die Grundlagen für so eine einfache und saubere Segmentierung der Netze findest du du als Tutorials hier im Forum:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Praxisbeispiel WLAN Gastnetz
Member: markaurel
markaurel May 13, 2023 at 15:36:41 (UTC)
Goto Top
Guten Abend aqui!

Danke für deine Antwort und den interessanten Links.

Ich bin mittlerweile - wie geschrieben - überzeugt worden, dass Supernetting keine gute Idee wäre und überlege gerade einen neuen Lösungsansatz. Kannst du mir vielleicht noch folgende Frage beantworten:

Kann ich mit den AccessPoints von Unifi (welche vorhanden sind) dann zwei verschiedene SSIDs aus zwei unterschiedlichen Netzen abgeben?
SSID1 aus dem aktuellen Netz z.B.: 192.168.10.x
SSID2 dann aus einem neuem Netz z.B.: 192.168.11.x
Das müsste zwar - meiner Recherche nach - möglich sein, aber nur im Zusammenhang mit USG und Unifi Switch.

Oder täusche ich mich da?

Bitte noch einmal um Antwort.

Danke!

MfG

M.A.
Member: Spirit-of-Eli
Spirit-of-Eli May 13, 2023 updated at 15:59:44 (UTC)
Goto Top
Die Frage ist wo die Netze herkommen. Kannst du nun VLans bis zu den APs führen?
Wenn nicht bringt dir das nichts mit mehreren SSIDs.

Die APs haben quasi nichts mit den IP Netzen zu tun. Die stellen so gesehen nur das Kabel/Leitungsweg bereit.
Member: Doskias
Doskias May 14, 2023 at 17:30:28 (UTC)
Goto Top
Zitat von @Spirit-of-Eli:
Die APs haben quasi nichts mit den IP Netzen zu tun. Die stellen so gesehen nur das Kabel/Leitungsweg bereit.

GEnau das habe ich oben schon geschrieben gehabt:
unterschiedliche SSID sind kein garantiertes Sicherheitsfeature. Ich kann mit 2 unterschiedlichen SSIDs auf das gleiche Netzwerk zugreifen. Wichtig ist die Konfiguration dahinter.
Darauf kam leider keine Reaktion.

Und zu deiner anderen Frage:
Die Frage ist wo die Netze herkommen. Kannst du nun VLans bis zu den APs führen?
Wenn nicht bringt dir das nichts mit mehreren SSIDs.
Dazu schreibt er weiter oben:
Nicht alle Switches sind manageable - VLAN somit keine Option

Schönen Sonntag noch.