mrmimi
Goto Top

Teil des Netzwerks verstecken - funktioniert das so ?

Hallo zusammen,


wir haben auf der Arbeit vor unsere Maschinen an Rechner/unser Netzwerk zu schließen. Diesen Teil des Netzwerks wollen wir vor unserem restlichen Netzwerk verstecken, bzw nur von einem Rechner zugänglich machen...
Das ganze soll möglichst kostengünstig/wenig Zeit in Anspruch nehmen. Da unsere Rechtevergabe schon längst der reine Horror ist, und ich mich da erst garnicht ranwagen will, dachte ich mir, das ganze mit einer Firewall bzw einem MAC-Filter zu erledigen (TP Link router kostet 15€, also schon sehr billig, Einrichtungszeit ~10min)

Alles ist im gleichen Subnet. Aber nur ein Rechner ist per MAC-Filter dazu befugt über den Router zu gehen, in unser abgeschottetes Teilsegment....

unten die Zeichnung...


ca7e0b7d2976d2fd32d54a6eac208ebd


funktioniert das so einfach wie ich mir das vorstelle ?

Content-ID: 155628

Url: https://administrator.de/contentid/155628

Ausgedruckt am: 05.11.2024 um 18:11 Uhr

Nagus
Nagus 23.11.2010 um 17:56:25 Uhr
Goto Top
Moin,
die Rechner hängen doch an einem Switch? Wenn dieser konfigurierbar ist, würde ich ein VLAN A und ein VLAN B einrichten. Der Rechner der Zugriff auf beide Lans haben soll, muss dann nur in beiden VLANS sein. Auf der Netzwerkkarte muss dann aber das VLAN Tagging aktiviert sein (soweit ich mich entsinne ..)

Als Alternative: ein zweites Subnetz aufbauen und dem Rechner der in beiden Netzen sein soll eine zweite Netzwerkkarte spendieren.

Mac Adressen kannst du bei der jeder Netzwerkkarte auch manuell vergeben - ich glaube nicht dass dies eine sinnvolle Lösung ist. Alternativ kann nach meinem Verständnis sonst nur eine Firewall dazwischen. Nur dann ist dein gemaltes Bild auch "sauber". Für den Traffic gibt es dann eben die Regel, dass nur eine IP-Adresse (die dann Statisch sein sollte) auf das andere Netz zugreifen darf. Allerdings würde ich dann auch wieder eine anderes Sub-Netz aufbauen.
MrMimi
MrMimi 23.11.2010 um 19:08:52 Uhr
Goto Top
Switchs sind der letzte Dreck :P haben sogar noch Hubs in gebrauch... wollen wir einfach nciht weiter drüber reden

vor einem wirklichen Angriff soll das ganze nciht schützen, sondern nur vor dummen Usern.... Ansich finde ich das zwar auch überflüssig, aber wir haben da so den ein oder anderen idioten in der Firma, der darauf besteht.....
MAC Adresse kann man nur mit einem extr Tool ändern, nicht wahr ? und dann wär das ganze jaschon böswillig.. davor soll das ganze ja nicht schützen...
eine Firewall ist ja auch auf sonem billig Router drauf ;P Regeln kann man damit ja auch erstellen... ich frag mich grad bloss wie die aussehen sollten:
alles aus Netz B kann raus, aber nichts außer MAC Adresse XXX kann rein ? dann müsste ich nur noch die Ports für DHCP Request frei schalten oder ?
manuel-r
manuel-r 23.11.2010 um 20:05:12 Uhr
Goto Top
Warum nicht so, wie es eigentlich vorgesehen ist?
Die Maschinen usw. in ein eigenes Subnet hängen, einen Router zwischen Hauptnetz und Nebennetz und auf den PCs, die in dieses Netz kommen sollen eine entsprechende Route setzen. Wenn es noch sicherer sein soll von den berechtigten PCs aus ein VPN in das Produktionsnetz einrichten.
MrMimi
MrMimi 23.11.2010 um 21:39:52 Uhr
Goto Top
okay, also ich hab mir ein paar gedanken dazu gemacht, ich hoffe ihr versteht mich, und könnt mir weiter helfen face-smile

nochmal von Anfang an:

ich will 2 Netze voneinander trennen. von Netz A soll niemand außer ein einziger Rechner die Möglichkeit haben auf Netz B zugreifen zu können. Netz B soll wiederrum auf alle Ressourcen in Netz A zugreifen können, und auch ins Internet können....

unten der beschriebene Aufbau.
Ansich ist auch klar. Wollte mich nur mal vergewissern, ob das so funktionieren kann

[img]http://img202.imageshack.us/img202/1130/unbenanntzbv.jpg[/img]


Netz A:
Netz 192.168.0.0
Maske: 255.255.255.0
Gateway: 192.168.0.253

Netz B:
Netz: 192.168.10.0
Maske: 255.255.255.0
Gateway: 192.168.10.254

Router1 Schnittstelle 1:
IP 192.168.0.254
Maske: 255.255.255.0
Gateway: 192.168.0.253

Router1 Schnittstelle 2:
IP: 192.168.10.254
Maske: 255.255.255.0
Gateway: 192.168.0.254

so, das sollte ja bis jetzt dafür sorgen, dass zwar Netz B in Netz A und darüber auch ins Internet kann, Netz A aber nicht in Netz B kommt, oder ? oder muss ich dann erstmal jeglichen Traffic auf Router 1 verbieten, der von Schnittstelle 1 empfangen wird ?

2. Frage: Damit jetzt NUR ein einziger Rechner aus Netz A mit Netz B kommunizieren kann, muss ich ja eine statische Route auf dem Router 1 eintragen:

Destination IP
--> der Rechner, dem die kommunikation mit Netz B erlaubt werden soll
Subnet Mask
--> die Maske des Rechners..
Default Gateway
--> hier wirds jetzt spannend
das sollte Router 1 Schnittstelle 2 sein, oder ?


sooo, jetzt noch die ein oder andere Frage ;P


Wenn der besagte Rechner, für den die statische Route eingerichtet wurde, in Netz B will, dann sendet er an sein Gateway, weil es ja nicht in seinem Netz ist, also die 192.168.0.253 (<-- Gateway Netz A)
Merkt Router 2 jetzt, dass es sich um eine private IP Adresse handelt, und lässt das Paket nicht nach draussen ? (sollte doch so sein oder )
Wenn das passiert ist leitet Router 2 die Verbindung weiter zu Router 1 und der routet das ganze dann weiter in Netz B. Richtig, oder speilt sich da was anderes ab ?^^

und eine letzte Frage:
wir gehen noch immer davon aus alles funktioniert. Netz A kann bis auf ein Rechner nicht mit Netz B kommunizieren. Netz B kann mit Netz A kommunizieren und auch ins Internet...
Wie sieht das ganze aus, wenn die Rechner einen DHCP Request starten ? Der DHCP steht in Netz A. Die Clients in Netz B senden den Request. Er geht ohne Probleme über Router 1 in Netz A. Der DHCP empfängt den Request, und Antwortet darauf mit einer passenden IP des Subnetzes (wie ich das richtig einrichte, dass der DHCP weiß welche IPs er für die Rechner nehmen soll weiß ich zwar noch nicht, aber das sollte schon klappen ;D). Bleibt die Antwort des DHCP jetzt an Router 1 hängen, und wird nciht weiter geleitet ? ein DHCP Request wird ja mit UDP verschickt, also Verbindungslos... somit funktioniert das ganze ja nicht so einfach, wie wenn die Rechner mit dem Internet eine Verbindung aufbauen.
Muss ich dafür jetzt auch noch eine statische Route einrichten, damit der DHCP ebenfalls in Netz B rein darf ? oder erkennt der Router das ??


Vielen Dank, wenn ihr euch die Mühe gemacht habt, das ganze zu lesen.
Über Hilfe würde ich mich sehr freuen!
manuel-r
manuel-r 24.11.2010 um 08:55:05 Uhr
Goto Top
Wenn der besagte Rechner, für den die statische Route eingerichtet wurde, in Netz B will, dann sendet er an sein Gateway, weil es ja nicht in seinem Netz ist, also die 192.168.0.253 (<-- Gateway Netz A)

Genau deswegen solltest/musst du auf dem fraglichen Rechner eine statische Route zu Netz B eintragen. Alles wofür es keine Route gibt geht ans Standard-Gateway. Und das kann in deinem Fall nichts mit den Paketen anfangen und sollte sie eigentlich auch verwerfen, weil Pakete für private Adressräume im Internet nichts verloren haben.
Anders sieht es aus, wenn du das Netz B hinter Router 2 hängst falls der ein zweites Interface hat. Dann kannst du auf diesem Router einstellen, wohin die Pakete für Netz B geroutet werden. Daher auch der Name face-wink

Wenn das passiert ist leitet Router 2 die Verbindung weiter zu Router 1 und der routet das ganze dann weiter in Netz B. Richtig, oder speilt sich da was anderes ab ?

Ohne statische Route kommen die Pakete nie bei Router 2 an. Wie oben schon geschrieben geht alles wofür es keine Route gibt ans Standard-Gateway in der "Hoffnung", dass dieses damit was anfangen kann und den Weg schon wissen wird.

Wie sieht das ganze aus, wenn die Rechner einen DHCP Request starten?

DHCP-Request gehen per Broadcast ins Netz und Broadcasts gehen per Definition nicht über einen Router (und damit auch ein Subnet) hinaus. Wenn du das unbedingt haben willst musst du in Netz B ein DHCP-Relay einrichten. Oder, und das würde ich machen, einen eigenen DHCP-Server.
aqui
aqui 25.11.2010, aktualisiert am 18.10.2012 um 18:44:10 Uhr
Goto Top
Nimm ne kleine_Firewall und dein Problem ist im Handumdrehen gelöst ! Die kannst du customizen wie du es möchtest und löst auch dein DHCP Problem.

P.S.: Warum immer der überflüssige Unsinn mit externen Bilderlinks ala Imageshack ? Hast du übersehen das admin.de eine Bilder Upload Funktion hat. ??
Originalthread mit Klick, auf "Bearbeiten Editieren, Bilder Upload Button klicken, Bild Hochladen, erscheindenden Bild URL cut and pasten und in die Antwort (oder jeden anderen Text) kopieren...fertig ! Einfacher gehts nun wirklich nicht und erspart der Community hier Zwangswerbung bei Imageshack anzusehen face-sad