Teil des Netzwerks verstecken - funktioniert das so ?
Hallo zusammen,
wir haben auf der Arbeit vor unsere Maschinen an Rechner/unser Netzwerk zu schließen. Diesen Teil des Netzwerks wollen wir vor unserem restlichen Netzwerk verstecken, bzw nur von einem Rechner zugänglich machen...
Das ganze soll möglichst kostengünstig/wenig Zeit in Anspruch nehmen. Da unsere Rechtevergabe schon längst der reine Horror ist, und ich mich da erst garnicht ranwagen will, dachte ich mir, das ganze mit einer Firewall bzw einem MAC-Filter zu erledigen (TP Link router kostet 15€, also schon sehr billig, Einrichtungszeit ~10min)
Alles ist im gleichen Subnet. Aber nur ein Rechner ist per MAC-Filter dazu befugt über den Router zu gehen, in unser abgeschottetes Teilsegment....
unten die Zeichnung...
funktioniert das so einfach wie ich mir das vorstelle ?
wir haben auf der Arbeit vor unsere Maschinen an Rechner/unser Netzwerk zu schließen. Diesen Teil des Netzwerks wollen wir vor unserem restlichen Netzwerk verstecken, bzw nur von einem Rechner zugänglich machen...
Das ganze soll möglichst kostengünstig/wenig Zeit in Anspruch nehmen. Da unsere Rechtevergabe schon längst der reine Horror ist, und ich mich da erst garnicht ranwagen will, dachte ich mir, das ganze mit einer Firewall bzw einem MAC-Filter zu erledigen (TP Link router kostet 15€, also schon sehr billig, Einrichtungszeit ~10min)
Alles ist im gleichen Subnet. Aber nur ein Rechner ist per MAC-Filter dazu befugt über den Router zu gehen, in unser abgeschottetes Teilsegment....
unten die Zeichnung...
funktioniert das so einfach wie ich mir das vorstelle ?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 155628
Url: https://administrator.de/contentid/155628
Ausgedruckt am: 05.11.2024 um 18:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
die Rechner hängen doch an einem Switch? Wenn dieser konfigurierbar ist, würde ich ein VLAN A und ein VLAN B einrichten. Der Rechner der Zugriff auf beide Lans haben soll, muss dann nur in beiden VLANS sein. Auf der Netzwerkkarte muss dann aber das VLAN Tagging aktiviert sein (soweit ich mich entsinne ..)
Als Alternative: ein zweites Subnetz aufbauen und dem Rechner der in beiden Netzen sein soll eine zweite Netzwerkkarte spendieren.
Mac Adressen kannst du bei der jeder Netzwerkkarte auch manuell vergeben - ich glaube nicht dass dies eine sinnvolle Lösung ist. Alternativ kann nach meinem Verständnis sonst nur eine Firewall dazwischen. Nur dann ist dein gemaltes Bild auch "sauber". Für den Traffic gibt es dann eben die Regel, dass nur eine IP-Adresse (die dann Statisch sein sollte) auf das andere Netz zugreifen darf. Allerdings würde ich dann auch wieder eine anderes Sub-Netz aufbauen.
die Rechner hängen doch an einem Switch? Wenn dieser konfigurierbar ist, würde ich ein VLAN A und ein VLAN B einrichten. Der Rechner der Zugriff auf beide Lans haben soll, muss dann nur in beiden VLANS sein. Auf der Netzwerkkarte muss dann aber das VLAN Tagging aktiviert sein (soweit ich mich entsinne ..)
Als Alternative: ein zweites Subnetz aufbauen und dem Rechner der in beiden Netzen sein soll eine zweite Netzwerkkarte spendieren.
Mac Adressen kannst du bei der jeder Netzwerkkarte auch manuell vergeben - ich glaube nicht dass dies eine sinnvolle Lösung ist. Alternativ kann nach meinem Verständnis sonst nur eine Firewall dazwischen. Nur dann ist dein gemaltes Bild auch "sauber". Für den Traffic gibt es dann eben die Regel, dass nur eine IP-Adresse (die dann Statisch sein sollte) auf das andere Netz zugreifen darf. Allerdings würde ich dann auch wieder eine anderes Sub-Netz aufbauen.
Warum nicht so, wie es eigentlich vorgesehen ist?
Die Maschinen usw. in ein eigenes Subnet hängen, einen Router zwischen Hauptnetz und Nebennetz und auf den PCs, die in dieses Netz kommen sollen eine entsprechende Route setzen. Wenn es noch sicherer sein soll von den berechtigten PCs aus ein VPN in das Produktionsnetz einrichten.
Die Maschinen usw. in ein eigenes Subnet hängen, einen Router zwischen Hauptnetz und Nebennetz und auf den PCs, die in dieses Netz kommen sollen eine entsprechende Route setzen. Wenn es noch sicherer sein soll von den berechtigten PCs aus ein VPN in das Produktionsnetz einrichten.
Wenn der besagte Rechner, für den die statische Route eingerichtet wurde, in Netz B will, dann sendet er an sein Gateway, weil es ja nicht in seinem Netz ist, also die 192.168.0.253 (<-- Gateway Netz A)
Genau deswegen solltest/musst du auf dem fraglichen Rechner eine statische Route zu Netz B eintragen. Alles wofür es keine Route gibt geht ans Standard-Gateway. Und das kann in deinem Fall nichts mit den Paketen anfangen und sollte sie eigentlich auch verwerfen, weil Pakete für private Adressräume im Internet nichts verloren haben.
Anders sieht es aus, wenn du das Netz B hinter Router 2 hängst falls der ein zweites Interface hat. Dann kannst du auf diesem Router einstellen, wohin die Pakete für Netz B geroutet werden. Daher auch der Name
Wenn das passiert ist leitet Router 2 die Verbindung weiter zu Router 1 und der routet das ganze dann weiter in Netz B. Richtig, oder speilt sich da was anderes ab ?
Ohne statische Route kommen die Pakete nie bei Router 2 an. Wie oben schon geschrieben geht alles wofür es keine Route gibt ans Standard-Gateway in der "Hoffnung", dass dieses damit was anfangen kann und den Weg schon wissen wird.
Wie sieht das ganze aus, wenn die Rechner einen DHCP Request starten?
DHCP-Request gehen per Broadcast ins Netz und Broadcasts gehen per Definition nicht über einen Router (und damit auch ein Subnet) hinaus. Wenn du das unbedingt haben willst musst du in Netz B ein DHCP-Relay einrichten. Oder, und das würde ich machen, einen eigenen DHCP-Server.
Nimm ne kleine_Firewall und dein Problem ist im Handumdrehen gelöst ! Die kannst du customizen wie du es möchtest und löst auch dein DHCP Problem.
P.S.: Warum immer der überflüssige Unsinn mit externen Bilderlinks ala Imageshack ? Hast du übersehen das admin.de eine Bilder Upload Funktion hat. ??
Originalthread mit Klick, auf "Bearbeiten Editieren, Bilder Upload Button klicken, Bild Hochladen, erscheindenden Bild URL cut and pasten und in die Antwort (oder jeden anderen Text) kopieren...fertig ! Einfacher gehts nun wirklich nicht und erspart der Community hier Zwangswerbung bei Imageshack anzusehen
P.S.: Warum immer der überflüssige Unsinn mit externen Bilderlinks ala Imageshack ? Hast du übersehen das admin.de eine Bilder Upload Funktion hat. ??
Originalthread mit Klick, auf "Bearbeiten Editieren, Bilder Upload Button klicken, Bild Hochladen, erscheindenden Bild URL cut and pasten und in die Antwort (oder jeden anderen Text) kopieren...fertig ! Einfacher gehts nun wirklich nicht und erspart der Community hier Zwangswerbung bei Imageshack anzusehen