26
WLAN unabhängig vom Proxy
Hallo Admins,
wir haben in unserer Schule ein kabelgestütztes LAN mit dem IP-Bereich 192.168.222.X. Hier sind alle stationären PCs und Drucker eingebunden. Deren Internet-Verbindung läuft über einen Proxy. Im Haus A habe ich zudem ein kleines Netz mit dem IP-Bereich 192.168.200.X eingerichtet, das direkt auf den Internet-Router zugreift. Der Proxy hingegen gehört zu beiden Netzen. Einen Proxy müssen wir wegen des Kinder- und Jugendschutzes verwenden.
Im Netz 192.168.200.X habe ich nun mehrere WLAN-Router hinzugefügt, die an verschiedenen Punkten letztlich im ganzen Haus Zugriff auf das Internet erlauben. Das ist für private Geräte gedacht, die mir dadurch nicht das Schulnetz gefährden sollen.
Wir haben aber noch ein Haus B. Zwischen beiden Häusern haben wir eine Funkbrücke in Funktion, die auch gut funktioniert. Im Haus A habe ich nun die LAN-Anschlüsse mit einem Switch verbunden, die zum 192.168.200er Netz gehören sollen und hier hängen die WLAN-Router dran. Im B-Haus geht das aber nicht, da zwischen den Häusern ja nur die Funkbrücke existiert.
Im Router habe ich nun keine Einstellung für einen Proxy gefunden. So hängt der WLAN-Router also im 192.168.222er LAN, spannt auch ein WLAN (mit anderem IP-Bereich) auf, mit dem man sich verbinden kann. Allerdings funktioniert der Zugriff auf das Internet nicht, da ich im Router ja keinen Proxy einstellen kann bzw. der Router den Weg zum 192.168.200er Netz nicht findet oder so. Ich bin kein Profi.
1. Gibt es eine Möglichkeit, trotzdem den Internet-Zugriff zu ermöglichen?
2. Was müsste ich machen?
Die Domäne hat einen W2008r2-Server, die 90 Clients laufen unter Windows 7 (32/64) und Windows 8.1U1, der Proxy noch unter W2003r2. Die WLAN-Clients sind regellos (Notebooks, Tablets, Smartphones) und sollen nicht auf das Schulnetz zugreifen können. Für das Schulnetz habe ich Extra-AccessPoints. Darauf dürfen aber nur mobile Rechner zugreifen, die der Schule gehören und von mir konfiguriert wurden (Proxy, DNS, Gateway, Firewall, Antivir, WSUS).
Danke und Gruß, GG.
wir haben in unserer Schule ein kabelgestütztes LAN mit dem IP-Bereich 192.168.222.X. Hier sind alle stationären PCs und Drucker eingebunden. Deren Internet-Verbindung läuft über einen Proxy. Im Haus A habe ich zudem ein kleines Netz mit dem IP-Bereich 192.168.200.X eingerichtet, das direkt auf den Internet-Router zugreift. Der Proxy hingegen gehört zu beiden Netzen. Einen Proxy müssen wir wegen des Kinder- und Jugendschutzes verwenden.
Im Netz 192.168.200.X habe ich nun mehrere WLAN-Router hinzugefügt, die an verschiedenen Punkten letztlich im ganzen Haus Zugriff auf das Internet erlauben. Das ist für private Geräte gedacht, die mir dadurch nicht das Schulnetz gefährden sollen.
Wir haben aber noch ein Haus B. Zwischen beiden Häusern haben wir eine Funkbrücke in Funktion, die auch gut funktioniert. Im Haus A habe ich nun die LAN-Anschlüsse mit einem Switch verbunden, die zum 192.168.200er Netz gehören sollen und hier hängen die WLAN-Router dran. Im B-Haus geht das aber nicht, da zwischen den Häusern ja nur die Funkbrücke existiert.
Im Router habe ich nun keine Einstellung für einen Proxy gefunden. So hängt der WLAN-Router also im 192.168.222er LAN, spannt auch ein WLAN (mit anderem IP-Bereich) auf, mit dem man sich verbinden kann. Allerdings funktioniert der Zugriff auf das Internet nicht, da ich im Router ja keinen Proxy einstellen kann bzw. der Router den Weg zum 192.168.200er Netz nicht findet oder so. Ich bin kein Profi.
1. Gibt es eine Möglichkeit, trotzdem den Internet-Zugriff zu ermöglichen?
2. Was müsste ich machen?
Die Domäne hat einen W2008r2-Server, die 90 Clients laufen unter Windows 7 (32/64) und Windows 8.1U1, der Proxy noch unter W2003r2. Die WLAN-Clients sind regellos (Notebooks, Tablets, Smartphones) und sollen nicht auf das Schulnetz zugreifen können. Für das Schulnetz habe ich Extra-AccessPoints. Darauf dürfen aber nur mobile Rechner zugreifen, die der Schule gehören und von mir konfiguriert wurden (Proxy, DNS, Gateway, Firewall, Antivir, WSUS).
Danke und Gruß, GG.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 272686
Url: https://administrator.de/contentid/272686
Ausgedruckt am: 25.11.2024 um 17:11 Uhr
26 Kommentare
Neuester Kommentar
Hallo,
wozu sollte ein ROUTER irgendwtwas über einen PROXY leiten?
Ein Router vermittelt zwischen Netzen und nichts weiter! Es gibt Router die Teilweise Proxifunktionalität mitbringen.....
Im übrigen sind den Rechnern an sich irgendwelche Proxys auch Schnuppe, die Anwendung muss mit einem Proxy umgehen können.
Alles geht immer über das Defaultgateway das dem Client mitgeteilt wird.
Und Der client muss natürlich auch eine Verbindung zum Defaultgateway und zum Proxyserver haben.
So wie ich das überflogen habe ist der Wlanrouter selber in Netz Z, steckt die Clients aber nach NetzY, hat aber selber keine Verbindung zu NetzY.
Jetzt sind die Clients in dieme einen Haus alle brav in NetzY aber haben kein Gateway/Verbindung zum Rest vom Schützenfest und deswegen auch kein Netz nach irgendwohin.
Sprich Du musst die Netze schon richtig miteinander verbinden, sonst geht da nix.
Gruß
Chonta
wozu sollte ein ROUTER irgendwtwas über einen PROXY leiten?
Ein Router vermittelt zwischen Netzen und nichts weiter! Es gibt Router die Teilweise Proxifunktionalität mitbringen.....
Im übrigen sind den Rechnern an sich irgendwelche Proxys auch Schnuppe, die Anwendung muss mit einem Proxy umgehen können.
Alles geht immer über das Defaultgateway das dem Client mitgeteilt wird.
Und Der client muss natürlich auch eine Verbindung zum Defaultgateway und zum Proxyserver haben.
So wie ich das überflogen habe ist der Wlanrouter selber in Netz Z, steckt die Clients aber nach NetzY, hat aber selber keine Verbindung zu NetzY.
Jetzt sind die Clients in dieme einen Haus alle brav in NetzY aber haben kein Gateway/Verbindung zum Rest vom Schützenfest und deswegen auch kein Netz nach irgendwohin.
Sprich Du musst die Netze schon richtig miteinander verbinden, sonst geht da nix.
Gruß
Chonta
Im Haus A habe ich nun die LAN-Anschlüsse mit einem Switch verbunden, die zum 192.168.200er Netz gehören sollen und hier hängen die WLAN-Router dran. Im B-Haus geht das aber nicht, da zwischen den Häusern ja nur die Funkbrücke existiert.
Das ist ein Trugschluss oder du verwendest schlicht und einfach falsche HW.Mit managebaren Switches (VLAN fähige Switches) wäre das kein Problem.
Du verbindest einfach den tagged Uplink zwischen beiden Switches über die Funkbrücke. Alle guten Brücken z.B. die von Ubiquity supporten das problemlos.
So kannst du deine VLAN bzw. Netz Infrastruktur problemlos zwischen beiden Standorten gewährleisten:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das wäre für dich der technisch beste und sicherste Weg ! (Siehe auch das "Praxisbeispiel" dort !)
Anders ist so oder so die strikte Trennung deiner beiden Netze, die ja durchaus sinnvoll ist, technisch gar nicht zu realisieren !
Hallo Chonta,
im Schulnetz (Netz Y, wie Du es nennst) haben alle Rechner feste IPs. Im "Routernetz" (Netz Z) ebenfalls. Die Router stellen dann ein WLAN (Netz X) zur Verfügung, in dem sich Jeder, der Kenntnis über das Passwort hat, problemlos anmelden kann. Hier vergibt DHCP die IPs. Wir haben aber nur Router, in denen kein Proxy eingestellt werden kann. So kann der Router nicht Teil von Netz Y sein. Daher verwenden wir Netz Z, das nicht über den Proxy und über den Filter geht.
Wenn es ohne echte Verbindung nicht geht, dann kann ich gegenwärtig nichts machen, da wir kein Geld zur Verfügung haben und Hardware ohnehin erst mit einem gewissen Vorlauf beantragt werden muss. Ich wollte halt den Kollegen im Haus B auch einen Internet-Zugang für ihre private Technik zur Verfügung stellen. Der Rechner, auf dem der Proxy-Server läuft, hat allerdings 2 Netzwerkkarten und gehört zu beiden Netzen. Sollte es da nicht eine Möglichkeit geben? Ich möchte jedenfalls nicht auf den Privatgeräten meiner Kollegen einen Proxy einstellen, das haben sie daheim ja auch nicht. Daher die Variante mit dem Netz X, auf dem alles per DHCP zugewiesen wird. Das funktioniert gut, so wie es soll.
Warum Privatgeräte in der Schule? Mobile Beamer habe ich für jedes Haus zwei. Dagegen steht nur ein (funktionierendes) Notebook für beide Häuser zusammen zur Verfügung. Also bringen die Lehrer ihre eigenen Notebooks/Tablets mit. Betriebe, die zwei oder drei Jahre alte Technik verschenken, gibt es leider auch nicht mehr. Alle leasen nur noch. Mit meiner Nachfrage beim Schulamt nach ein oder zwei Notebooks wurde ich mit "vielleicht im November" vertröstet. Vorher stehen für unsere Schule ein DIN-A-3-Drucker und ein verschließbarer Aktenschrank auf der Dringlichkeitsliste.
Gruß, GG.
im Schulnetz (Netz Y, wie Du es nennst) haben alle Rechner feste IPs. Im "Routernetz" (Netz Z) ebenfalls. Die Router stellen dann ein WLAN (Netz X) zur Verfügung, in dem sich Jeder, der Kenntnis über das Passwort hat, problemlos anmelden kann. Hier vergibt DHCP die IPs. Wir haben aber nur Router, in denen kein Proxy eingestellt werden kann. So kann der Router nicht Teil von Netz Y sein. Daher verwenden wir Netz Z, das nicht über den Proxy und über den Filter geht.
Wenn es ohne echte Verbindung nicht geht, dann kann ich gegenwärtig nichts machen, da wir kein Geld zur Verfügung haben und Hardware ohnehin erst mit einem gewissen Vorlauf beantragt werden muss. Ich wollte halt den Kollegen im Haus B auch einen Internet-Zugang für ihre private Technik zur Verfügung stellen. Der Rechner, auf dem der Proxy-Server läuft, hat allerdings 2 Netzwerkkarten und gehört zu beiden Netzen. Sollte es da nicht eine Möglichkeit geben? Ich möchte jedenfalls nicht auf den Privatgeräten meiner Kollegen einen Proxy einstellen, das haben sie daheim ja auch nicht. Daher die Variante mit dem Netz X, auf dem alles per DHCP zugewiesen wird. Das funktioniert gut, so wie es soll.
Warum Privatgeräte in der Schule? Mobile Beamer habe ich für jedes Haus zwei. Dagegen steht nur ein (funktionierendes) Notebook für beide Häuser zusammen zur Verfügung. Also bringen die Lehrer ihre eigenen Notebooks/Tablets mit. Betriebe, die zwei oder drei Jahre alte Technik verschenken, gibt es leider auch nicht mehr. Alle leasen nur noch. Mit meiner Nachfrage beim Schulamt nach ein oder zwei Notebooks wurde ich mit "vielleicht im November" vertröstet. Vorher stehen für unsere Schule ein DIN-A-3-Drucker und ein verschließbarer Aktenschrank auf der Dringlichkeitsliste.
Gruß, GG.
Hallo Aqui,
wie gesagt, ich bin kein Profi. Und ich muss mit der vorhandenen Hardware arbeiten. Bestenfalls einen Router für 30 Euro oder so könnte ich noch im Budget für 2015 unterbringen. Im Haus B haben wir zwei HP Procurve 2324, die WLAN-Bridge läuft über Lancom L-54ag (noch kein WPA 2) und im Haus A haben wir D-Link DES 1026G. Der Lancom im Haus A hängt aber noch an einem D-Link DES 1005D, da sich zwar in den letzten Jahren die Zahl der Rechner erhöht hat, die Netzwerktechnik aber nicht mit gewachsen ist.
Mal sehen, ob wir da mit VLAN eine Chance haben. Ich werde mir Deinen Link mal zu Gemüte führen. Danke.
Gruß, GG.
wie gesagt, ich bin kein Profi. Und ich muss mit der vorhandenen Hardware arbeiten. Bestenfalls einen Router für 30 Euro oder so könnte ich noch im Budget für 2015 unterbringen. Im Haus B haben wir zwei HP Procurve 2324, die WLAN-Bridge läuft über Lancom L-54ag (noch kein WPA 2) und im Haus A haben wir D-Link DES 1026G. Der Lancom im Haus A hängt aber noch an einem D-Link DES 1005D, da sich zwar in den letzten Jahren die Zahl der Rechner erhöht hat, die Netzwerktechnik aber nicht mit gewachsen ist.
Mal sehen, ob wir da mit VLAN eine Chance haben. Ich werde mir Deinen Link mal zu Gemüte führen. Danke.
Gruß, GG.
Und ich muss mit der vorhandenen Hardware arbeiten. Bestenfalls einen Router für 30 Euro oder so könnte ich noch im Budget für 2015 unterbringen.
Mit einem preiswerten Ubiquity AP ist das möglich. In der Regel supporten die die Übertragung von 802.1q tagged Frames (VLAN Uplink).Das würde dir deinen Anforderung mit ein paar Mausklicks lösen und das auch noch sicher und wasserdicht für deine Umgebung.
Ansonsten bleibt dir nur das Routing, du musst dann aber mit massivem Einsatz von IP Accesslisten arbeiten um deine beiden IP Netze sauber zu trennen.
Dieses Tutorial erklärt dir die Grundlagen:
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Hallo Aqui,
mal sehen, ob ich da durchsteige.
Ich hatte ja zunächst angenommen, dass es auch so gehen könnte. Immerhin hat der Proxy zwei Netzwerkkarten. Mit der einen hängt er im 192.168.222er Netz, mit der anderen im 192.168.200er. Sollte der dann nicht als Router fungieren können? Außerdem könnte ich die Switche für die beiden Netze einfach per Kabel verbinden. So könnten ja eigentlich Anfragen, die an das 200er Netz gehen zunächst über das 222er Netz transportiert werden und kämen letztlich im 200er Netz an, dachte ich mir.
Vielleicht könnte/müsste man da mit der Netzwerkmaske etwas machen? Oder bin ich da auf dem falschen Dampfer? Bisher steht überall 255.255.255.0. Könnte man da auch 255.255.0.0 verwenden? Vielleicht sollte ich auch den WAN-Anschluss des WLAN-Routers nutzen und dem eine 222er IP geben und nicht über den LAN-Anschluss gehen? Als Standard Gateway könnte ich dann vielleicht den 200er versuchen. Mal sehen.
Danke und Gruß, GG.
mal sehen, ob ich da durchsteige.
Ich hatte ja zunächst angenommen, dass es auch so gehen könnte. Immerhin hat der Proxy zwei Netzwerkkarten. Mit der einen hängt er im 192.168.222er Netz, mit der anderen im 192.168.200er. Sollte der dann nicht als Router fungieren können? Außerdem könnte ich die Switche für die beiden Netze einfach per Kabel verbinden. So könnten ja eigentlich Anfragen, die an das 200er Netz gehen zunächst über das 222er Netz transportiert werden und kämen letztlich im 200er Netz an, dachte ich mir.
Vielleicht könnte/müsste man da mit der Netzwerkmaske etwas machen? Oder bin ich da auf dem falschen Dampfer? Bisher steht überall 255.255.255.0. Könnte man da auch 255.255.0.0 verwenden? Vielleicht sollte ich auch den WAN-Anschluss des WLAN-Routers nutzen und dem eine 222er IP geben und nicht über den LAN-Anschluss gehen? Als Standard Gateway könnte ich dann vielleicht den 200er versuchen. Mal sehen.
Danke und Gruß, GG.
Sollte der dann nicht als Router fungieren können?
Ein Proxy ist in der Regel KEIN Router ! Man kann ihn aber zu einem machen, das ist richtig.Außerdem könnte ich die Switche für die beiden Netze einfach per Kabel verbinden
Oha...hier droht aber gewaltige Gefahr !!Du schreibst ja oben selber das du zwingend beide Netzen trenne willst. Beide dann gemeinsam auf einem Draht zu betreiben ist tödlich für deine Sicherheit ! Begenke das !
eine 16 Bit Maske zu verwenden ist noch tödlicher, denn dann bringst du die Netz auch noch IP technisch zusammen in ein gemeinsames.
Hallo Aqui,
ist tödlich nicht vielleicht etwas übertrieben? Keiner der mobilen Nutzer weiß, wie das Netz funktioniert. Sie sehen nur die IP-Nummer, die ihnen der WLAN-Router zugewiesen hat. Und diese gehört weder zum 222er noch zum 200er Netz. In diesen 99er Netzen gilt zudem eine 24-Bit-Netzmaske, so dass man nicht so einfach auf die anderen Netze kommt. Das 200er Netz ist nur für die WLAN-Router eingerichtet worden. (Im kabelgebundenen Netz ist DHCP abgeschaltet.)
Ich bin damals nur deshalb nicht über das 222er Netz gegangen, weil man im Router keinen Proxy einstellen kann. Dann müsste ich an jedem Privatrechner den Proxy einstellen und das wollte ich nicht. Der Zugriff soll unkompliziert mit jedem mobilen Endgerät funktionieren und allein die Kenntnis des (wechselnden) Passowrtes ausreichen.
Vielleicht könnte man mit Kenntnis des Schulnetz-IP-Bereiches auf diese Schulnetz-Rechner zugreifen, das können die Lehrer aber sowieso. Auf den Clients des Schulnetzes gibt es keine Freigaben. Maximal auf den Server könnte man dann. Hier sollten aber die Rechte so geregelt sein, dass man da auch nur mit einer gültigen Anmeldung irgendwas machen kann, da wir uns ja in einer Domäne befinden. Im schlimmsten Fall sollte sich also ein Nutzer unter seinem Account anmelden und damit auf sein eigenes Nutzerverzeichnis zugreifen können. Oder? Da für die Lehrer der Zugriff auf das Schulnetz über einen stationären Rechner aber ohnehin immer und viel einfacher möglich ist, ...
In den Netzen sind keine wirklichen Geheimnisse gespeichert. Alle Schüler und Lehrer haben ein passwortgeschütztes Home-Laufwerk, es gibt Passwort-Regeln, zusätzlich existieren Jahrgangsverzeichnisse, in denen die Lehrer Dateien für die Schüler zur Verfügung stellen können. Diese sind jeweils für eine Gruppe von Schülern lesend und die Lehrer auch schreibend zugänglich. Das Verwaltungsnetz (in dem auch Zeugnisdaten gespeichert werden) ist komplett vom Schulnetz getrennt. Da gibt es keine physikalische Verbindung. Naja, fast keine: die Switchracks stehen in verschiedenen Ecken desselben Raumes. ;)
Könnte es aber so funktionieren, wenn ich eine physikalische Verbindung zwischen beiden Switches stecke und dann im WAN-Bereich des Routers eine 200er Nummer vergebe? Würde dies durch das 222er Netz geroutet werden (ich denke, nicht) oder müsste ich eine 16-Bit-Netzmaske wählen, so dass es funktioniert (ich hoffe, ja)?
Es geht mir bei der Netztrennung im Prinzip vor allem darum, dass virenverseuchte Privatrechner mein Schulnetz nicht infizieren (obwohl wir aktuelle professionelle Antivirensoftware verwenden). Wenn Jemand den Server angreifen möchte, so könnte er das von einem stationären Rechner aus demselben IP-Bereich viel einfacher. Außerdem gibt es da eigentlich nichts Wertvolles, außer vielleicht ein paar Klassenarbeitsentwürfen von Lehrern, die aber jeder Lehrer selbst verwaltet. Man müsste also jedes Passwort einzeln knacken oder das Administratorpasswort.
Gruß, GG.
ist tödlich nicht vielleicht etwas übertrieben? Keiner der mobilen Nutzer weiß, wie das Netz funktioniert. Sie sehen nur die IP-Nummer, die ihnen der WLAN-Router zugewiesen hat. Und diese gehört weder zum 222er noch zum 200er Netz. In diesen 99er Netzen gilt zudem eine 24-Bit-Netzmaske, so dass man nicht so einfach auf die anderen Netze kommt. Das 200er Netz ist nur für die WLAN-Router eingerichtet worden. (Im kabelgebundenen Netz ist DHCP abgeschaltet.)
Ich bin damals nur deshalb nicht über das 222er Netz gegangen, weil man im Router keinen Proxy einstellen kann. Dann müsste ich an jedem Privatrechner den Proxy einstellen und das wollte ich nicht. Der Zugriff soll unkompliziert mit jedem mobilen Endgerät funktionieren und allein die Kenntnis des (wechselnden) Passowrtes ausreichen.
Vielleicht könnte man mit Kenntnis des Schulnetz-IP-Bereiches auf diese Schulnetz-Rechner zugreifen, das können die Lehrer aber sowieso. Auf den Clients des Schulnetzes gibt es keine Freigaben. Maximal auf den Server könnte man dann. Hier sollten aber die Rechte so geregelt sein, dass man da auch nur mit einer gültigen Anmeldung irgendwas machen kann, da wir uns ja in einer Domäne befinden. Im schlimmsten Fall sollte sich also ein Nutzer unter seinem Account anmelden und damit auf sein eigenes Nutzerverzeichnis zugreifen können. Oder? Da für die Lehrer der Zugriff auf das Schulnetz über einen stationären Rechner aber ohnehin immer und viel einfacher möglich ist, ...
In den Netzen sind keine wirklichen Geheimnisse gespeichert. Alle Schüler und Lehrer haben ein passwortgeschütztes Home-Laufwerk, es gibt Passwort-Regeln, zusätzlich existieren Jahrgangsverzeichnisse, in denen die Lehrer Dateien für die Schüler zur Verfügung stellen können. Diese sind jeweils für eine Gruppe von Schülern lesend und die Lehrer auch schreibend zugänglich. Das Verwaltungsnetz (in dem auch Zeugnisdaten gespeichert werden) ist komplett vom Schulnetz getrennt. Da gibt es keine physikalische Verbindung. Naja, fast keine: die Switchracks stehen in verschiedenen Ecken desselben Raumes. ;)
Könnte es aber so funktionieren, wenn ich eine physikalische Verbindung zwischen beiden Switches stecke und dann im WAN-Bereich des Routers eine 200er Nummer vergebe? Würde dies durch das 222er Netz geroutet werden (ich denke, nicht) oder müsste ich eine 16-Bit-Netzmaske wählen, so dass es funktioniert (ich hoffe, ja)?
Es geht mir bei der Netztrennung im Prinzip vor allem darum, dass virenverseuchte Privatrechner mein Schulnetz nicht infizieren (obwohl wir aktuelle professionelle Antivirensoftware verwenden). Wenn Jemand den Server angreifen möchte, so könnte er das von einem stationären Rechner aus demselben IP-Bereich viel einfacher. Außerdem gibt es da eigentlich nichts Wertvolles, außer vielleicht ein paar Klassenarbeitsentwürfen von Lehrern, die aber jeder Lehrer selbst verwaltet. Man müsste also jedes Passwort einzeln knacken oder das Administratorpasswort.
Gruß, GG.
Keiner der mobilen Nutzer weiß, wie das Netz funktioniert.
Hier unterliegst du aber ggf. einem Denkfehler, denn aus der Tatsache das du die Funkwellen nicht einsperren kannst "sieht" ja die ganze Welt diese Netze. und irgendeiner ist darunter der weiss wie man mit tcpdump, Wireshark usw. umgeht... Da sollte man immer worst case denken.Es ist aber letztlich deine eigene Entscheidung wie du deine Sicherheits Policies definierst und welchen Maßstab du anlegst. Eins ist aber klar...zu blauäugig sollte man da besser nicht mehr sein !
In diesen 99er Netzen gilt zudem eine 24-Bit-Netzmaske, so dass man nicht so einfach auf die anderen Netze kommt.
Dafür gibts ja dann sowas wie den Andry IP Scanner 
Wie gesagt alles natürlich deine Entscheidung..keine Frage.
wenn ich eine physikalische Verbindung zwischen beiden Switches stecke und dann im WAN-Bereich des Routers eine 200er Nummer vergebe? Würde dies durch das 222er Netz geroutet werden (ich denke, nicht) oder müsste ich eine 16-Bit-Netzmaske wählen, so dass es funktioniert (ich hoffe, ja)?
Das reine Verbinden im Layer 2 funktioniert definitiv nicht. Ist auch klar, denn zwischen 2 IP Netzen kann immer ausschliesslich nur ein Router vermitteln.Siehe als Beispiel dieses Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Eine 16 Bit Maske würde das Problem lösen, bedeutet dann aber das du ALLE Netze im 3ten Byte (bei ursprünglich einer 24er Maske) in einem gemeinsamen Netzwerk hast. D.h. dann kann jeder mit jedem und eine Netztrennung wie vorher ist damit komplett aufgehoben.
Unterschiedliche Netzmasken in einer Infrastruktur darfst du auch nicht verwenden denn das fürht zu Routing Problemen (Mask Mismatch)
Einzig in statischen Routen darfst du einen Summarization machen indem du CIDR Masken verwendest. Das würde gehen.
Das Schulhaus ist zwar im Umkreis von 100 m das einzige Haus, aber wenn man mit gewissen Tools von außen doch die Struktur herausbekommen kann, dann ist mir die Sache doch zu heiß. Bliebe nur eine zweite Verbindung zwischen den Häusern. Wie ich gehört habe, soll in den Sommerferien eine Glasfaserleitung zwischen beiden Häusern gelegt werden. Wenn wir die für das 222er Netz verwenden, dann könnte ich die Funkbrücke ja für das 200er Netz weiter nutzen. Dann bleiben beide Netze getrennt und wir haben trotzdem WLAN im B-Haus. Die paar Wochen werden die Kollegen auch noch warten können.
Ich danke Dir für die ausführliche Beratung.
Gruß, GG.
Ich danke Dir für die ausführliche Beratung.
Gruß, GG.
Wenn wir die für das 222er Netz verwenden, dann könnte ich die Funkbrücke ja für das 200er Netz weiter nutzen.
Das wäre ziemlicher Blödsinn aus Netzwerksicht !Normal macht man da einen VLAN Link zwischen und fährt BEIDE IP Segmente in unterschiedlichen VLANs eben dann mit einem tagged Uplink über die Glasfaserleitung !
Die Glasfaser ist natürlich die eleganteste Lösung von allem.
Das mit dem VLAN habe ich mir bisher nur kurz ansehen können. Wenn man dazu noch spezielle Switches benötigt, geht es finanziell nicht. Außerdem scheint mir der Einrichtungsaufwand höher zu sein. Ich hatte bisher noch Null-Komma-Nix mit VLANs zu tun. Ich bin wie gesagt kein Profi sondern Lehrer und bekomme für das Netzwerk eine Stunde pro Woche bezahlt. Die Zeit geht normalerweise schon für Kleinreparaturen und Updates drauf.
Ich werde also die Leute vom MPZ um Unterstützung bitten. Die sind Profis und haben zudem die Glasfaser verlegt. Ich habe vorhin schon angefragt. Antwort: "Was fehlt, ist die "Anschluss-Verbindung" vom Keller im Haus 2 in die darüber liegenden Etagen. Dies soll aber "in den nächsten Tagen" erfolgen. Damit ließe sich auch ein separates Internet-Netz realisieren."
Mal sehen, wie man das umsetzt.
Gruß, GG.
Ich werde also die Leute vom MPZ um Unterstützung bitten. Die sind Profis und haben zudem die Glasfaser verlegt. Ich habe vorhin schon angefragt. Antwort: "Was fehlt, ist die "Anschluss-Verbindung" vom Keller im Haus 2 in die darüber liegenden Etagen. Dies soll aber "in den nächsten Tagen" erfolgen. Damit ließe sich auch ein separates Internet-Netz realisieren."
Mal sehen, wie man das umsetzt.
Gruß, GG.
Wenn man dazu noch spezielle Switches benötigt, geht es finanziell nicht.
Sorry, aber so ein Switch kostet popelige 30 Euro:http://www.amazon.de/Netgear-GS105E-200PES-Gigabit-Netzwerk-Switch/dp/B ...
Andere Billighersteller haben ähnliche Preise wie du in diesem VLAN- Tutorial nachlesen kannst.
Das kannst du nicht wirklich Ernst meinen wenn du mit MS Lizenzen kritiklos mit dem 10fachen bezahlst, oder ??
Ich hatte bisher noch Null-Komma-Nix mit VLANs zu tun.
Ein Riesenfehler...weisst du aber selber. Lies die hiesigen Tutorials dann hast du genug Grundlageninfos.http://www.schulnetz.info/vlan-einstieg-was-ist-ein-vlan/
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
usw.
30 Euro sind noch drin, hoffe ich. Du kennst aber unsere Situation nicht. Ich muss wirklich um jeden Euro betteln.
Wir bekommen die PCs mit Windows von der Stadt. Das ist die einzige MS-Bezahl-Software, die wir verwenden. Einfluss darauf kann ich so gut wie keinen nehmen. Windows ist aber ohnehin das von Schülern und Lehrern am häufigsten verwendete PC-Betriebssystem. Bzgl. Hardware gibt es spezielle Ausschreibungsverfahren nach bestimmten EU-Normen. Das ist nicht wie in der freien Wirtschaft. Wir dürfen unser Zubehör nur bei einer bestimmten Firma kaufen, die zuvor ein Ausschreibungsverfahren gewonnen hat. Was die nicht auf der Liste haben, gibt es nicht. Ansonsten verwenden wir freie Software: LibreOffice, Firefox, Gimp, Inkscape, GeoGebra, VLC-MP, Audacity, Lazarus, Stellarium, ...
Die Links zu den Tutorials hatte ich mir schon gespeichert. Wie gesagt, ich habe eine Wochenstunde für die Betreuung eines Netzwerks mit 90 Computern zur Verfügung. Größere Arbeiten sind immer etwas für die Ferien. Da kann ich in jedes Zimmer und auch zwischendurch mal den Server neu starten oder Teilnetze abklemmen.
Wir bekommen die PCs mit Windows von der Stadt. Das ist die einzige MS-Bezahl-Software, die wir verwenden. Einfluss darauf kann ich so gut wie keinen nehmen. Windows ist aber ohnehin das von Schülern und Lehrern am häufigsten verwendete PC-Betriebssystem. Bzgl. Hardware gibt es spezielle Ausschreibungsverfahren nach bestimmten EU-Normen. Das ist nicht wie in der freien Wirtschaft. Wir dürfen unser Zubehör nur bei einer bestimmten Firma kaufen, die zuvor ein Ausschreibungsverfahren gewonnen hat. Was die nicht auf der Liste haben, gibt es nicht. Ansonsten verwenden wir freie Software: LibreOffice, Firefox, Gimp, Inkscape, GeoGebra, VLC-MP, Audacity, Lazarus, Stellarium, ...
Die Links zu den Tutorials hatte ich mir schon gespeichert. Wie gesagt, ich habe eine Wochenstunde für die Betreuung eines Netzwerks mit 90 Computern zur Verfügung. Größere Arbeiten sind immer etwas für die Ferien. Da kann ich in jedes Zimmer und auch zwischendurch mal den Server neu starten oder Teilnetze abklemmen.
Hallo,
damit der Konfuse Netzaufbau mal besser zu verstehen ist. Mach Doch auch mal für Dich selber eine Grafische Darstellung davon.
Fakt ist, damit Ein Rechner in einem Netz arbeiten kann und die Dienste des Netzes nutzen kann muss der Rechner eine Verbindung zu eben diesem Netz haben, entweder selber oder durch eine Vermitlungsstelle (Router die zwischen den Netzen vermittelt)
Du kannst Auch ein Weit entferntes Haus mit dem Rest des netzes über ein WLAN verbinden, aber dann muss die vermitlungsstelle auch die nötigen Funktionen dafür haben.
Gruß
Chonta
damit der Konfuse Netzaufbau mal besser zu verstehen ist. Mach Doch auch mal für Dich selber eine Grafische Darstellung davon.
Fakt ist, damit Ein Rechner in einem Netz arbeiten kann und die Dienste des Netzes nutzen kann muss der Rechner eine Verbindung zu eben diesem Netz haben, entweder selber oder durch eine Vermitlungsstelle (Router die zwischen den Netzen vermittelt)
Du kannst Auch ein Weit entferntes Haus mit dem Rest des netzes über ein WLAN verbinden, aber dann muss die vermitlungsstelle auch die nötigen Funktionen dafür haben.
Gruß
Chonta
Hallo,
der Aufbau ist nicht konfus. Wir haben in beiden Häusern jeweils ein Sternnetz. 2007 habe ich beide Netze durch eine Funkbrücke miteinander verbunden. 2012 bis 2014 habe ich (je nach Finanzsituation) einige Leitungen im Haus A heraus genommen und zu einem weiteren Stern mit anderem IP-Bereich verknüpft, um ein vom Schulnetz unabhängiges WLAN bereit zu stellen. Für WLAN-Nutzung im Rahmen des Schulnetzes gibt es AccessPoints, die je nach Bedarf eingeschaltet werden. Die Funkbrücke wird in den nächsten Tagen durch eine Glasfaserverbindung abgelöst.
Ich habe für morgen ein Telefonat mit einem Netzwerker vom MPZ (Medienpädagogisches Zentrum) vereinbart, mit dem ich dann die WLAN-Problematik im Haus B bespreche. Die Stadt beschäftigt dort für 160 Schulen genau drei professionelle Techniker. Jede Schule hat neben dem Unterrichtsnetz noch ein Verwaltungsnetz. Insgesamt gilt es also 300 Netze mit mehr als 5.000 Computern zu betreuen.
Gruß, GG.
der Aufbau ist nicht konfus. Wir haben in beiden Häusern jeweils ein Sternnetz. 2007 habe ich beide Netze durch eine Funkbrücke miteinander verbunden. 2012 bis 2014 habe ich (je nach Finanzsituation) einige Leitungen im Haus A heraus genommen und zu einem weiteren Stern mit anderem IP-Bereich verknüpft, um ein vom Schulnetz unabhängiges WLAN bereit zu stellen. Für WLAN-Nutzung im Rahmen des Schulnetzes gibt es AccessPoints, die je nach Bedarf eingeschaltet werden. Die Funkbrücke wird in den nächsten Tagen durch eine Glasfaserverbindung abgelöst.
Ich habe für morgen ein Telefonat mit einem Netzwerker vom MPZ (Medienpädagogisches Zentrum) vereinbart, mit dem ich dann die WLAN-Problematik im Haus B bespreche. Die Stadt beschäftigt dort für 160 Schulen genau drei professionelle Techniker. Jede Schule hat neben dem Unterrichtsnetz noch ein Verwaltungsnetz. Insgesamt gilt es also 300 Netze mit mehr als 5.000 Computern zu betreuen.
Gruß, GG.
Hallo,
nun hat das Gespräch stattgefunden. Es gibt zwischen beiden Häusern ein Kabel mit 8 Fasern von denen 6 für 3 Netze verwendet werden: Unterrichtsnetz, Verwaltungsnetz und WLAN-Netz. Es müssen nur noch die Medienkonverter installiert und Leitungen zu den jeweiligen Switches gezogen werden und dies soll in den nächsten Tagen geschehen. In diesem Jahr bekomme ich kein Geld für die Ubiquity-UniFi-AccessPoints (die hat mir übrigens auch unser Netzwerker empfohlen), da bringt man uns erst mal 3 "normale" AccessPoints aus der Medienstelle mit (kostet die Schule also nix). Für das nächste Jahr habe ich Bedarf für zunächst 1 Dreierset angemeldet, was der Chef auch genehmigt hat. Wenn die Firma, die die Kabel verlegt wirklich in den nächsten Tagen kommt, schaffen wir das noch vor den Ferien.
Besten Dank für die Beratung.
Gruß, GG.
nun hat das Gespräch stattgefunden. Es gibt zwischen beiden Häusern ein Kabel mit 8 Fasern von denen 6 für 3 Netze verwendet werden: Unterrichtsnetz, Verwaltungsnetz und WLAN-Netz. Es müssen nur noch die Medienkonverter installiert und Leitungen zu den jeweiligen Switches gezogen werden und dies soll in den nächsten Tagen geschehen. In diesem Jahr bekomme ich kein Geld für die Ubiquity-UniFi-AccessPoints (die hat mir übrigens auch unser Netzwerker empfohlen), da bringt man uns erst mal 3 "normale" AccessPoints aus der Medienstelle mit (kostet die Schule also nix). Für das nächste Jahr habe ich Bedarf für zunächst 1 Dreierset angemeldet, was der Chef auch genehmigt hat. Wenn die Firma, die die Kabel verlegt wirklich in den nächsten Tagen kommt, schaffen wir das noch vor den Ferien.
Besten Dank für die Beratung.
Gruß, GG.
Es gibt zwischen beiden Häusern ein Kabel mit 8 Fasern von denen 6 für 3 Netze verwendet werden:
Eigentlich völliger Unsinn, denn mit einem tagged Uplink und VLANs wäre das über ein einziges Faserpaar möglich. Welch eine Verschwendung von Glasfaser Resourcen.... "Experten" können das eigentlich nicht sein 
Medienkonverter ist auch was aus der Netzwerk Steinzeit. Kein Mensch nutzt sowas mehr. Normal beschafft man billige Switches (bei dir wird ja nur nach Geld gekauft) die von sich aus schon mit optionalen SFP Slots (mini GBIC Optiken) für LWL ausgestattet sind.
Entsprechende Optiken kosten zw. 15 und 20 Euro, Medienkonverter ungefähr das 7 bis 8 fache.
So verbrennen "Experten" dann Geld für Schulen was man mit entsprechendem Weitblick als Experte in sinnvollere HW und Infrastruktur gesteckt hätte.
Traurig, aber solch vermurkste Konstrukte sieht man leider sehr häufig im öffentlichen Bereich wo selbsternannte "Experten" vor sich hinwurschteln. Sorry ist nicht bös und persönlich gemeint und auch in deiner Situation sicherlich nicht einfach aber es sind wie immer auch Steuergelder die so kurzsichtig verbrannt werden...
Zum Verlegen des Glasfaserkabels wurde der Hof aufgestemmt (Asphalt). Das hat wohl mehr als Tausend Euro gekostet. Da habe ich mich ein bisschen (sinnlos) aufgeregt. Das Kabel war da nicht der höchste Kostenfaktor.
Das Angebot stammte sicherlich von der Firma (Lecos), die den letzten Ausschreibungswettbewerb gewonnen hat, und die sind natürlich Preis-bewusst. ;)
Edit:
Ich habe allerdings eben im Netz Medienkonverter/GBICs gefunden, die für 20 Euro zu haben sind. Das wäre dann so unser Preissegment. Ein Verlegekabel mit 8 Adern wird für 1,60 € pro Meter angeboten. Bei uns sind es vielleicht 30 Meter, also für das Kabel 48 Euro. Zweiadriges kostet gerade 12 Euro weniger. So richtig verschwenderisch finde ich das jetzt nicht. Für die Konfiguration des VLANs hätte die Firma sicherlich eine Arbeitsstunde berechnet und die liegt so um die 100 Euro. Die zusätzlichen 4 GBICs und die 12 Euro für das dickere Kabel kommen zusammen auf 92 Euro. Und so hat man Reserven, falls eine Faser fehlerhaft ist. Nochmal aufbuddeln wäre erheblich teurer, auch wenn man Garantie auf das Kabel hätte.
Ich hätte das Kabel allerdings durch die Röhre gezogen, die an einem Spanndraht zwischen den beiden Häusern seit 1992 besteht. Vielleicht gibt es dafür aber neue Vorschriften (Höchstbelastung o.ä.). Die Erdarbeiten sind das Teure bei der Aktion. Vielleicht hat man dafür aber städtisches Personal genommen. Die bekommen ihren Lohn ja ohnehin, ob sie nun ein Stück Hof aufstemmen und wieder verschließen oder Schlaglöcher auf der Straße beseitigen. Am Ende hat man die Aktion vielleicht doch vorher gründlicher durchdacht, als wir annehmen.
Ich werde mal beim MPZ-Netzwerker nachfragen, wie das gelaufen ist. Mal sehen, ob er was weiß. Ich bin jedenfalls nicht informiert oder gefragt worden und habe durch Zufall erfahren, dass man bereits vor Monaten zwischen den beiden Häusern ein Glasfaserkabel verlegt hat.
GG
Das Angebot stammte sicherlich von der Firma (Lecos), die den letzten Ausschreibungswettbewerb gewonnen hat, und die sind natürlich Preis-bewusst. ;)
Edit:
Ich habe allerdings eben im Netz Medienkonverter/GBICs gefunden, die für 20 Euro zu haben sind. Das wäre dann so unser Preissegment. Ein Verlegekabel mit 8 Adern wird für 1,60 € pro Meter angeboten. Bei uns sind es vielleicht 30 Meter, also für das Kabel 48 Euro. Zweiadriges kostet gerade 12 Euro weniger. So richtig verschwenderisch finde ich das jetzt nicht. Für die Konfiguration des VLANs hätte die Firma sicherlich eine Arbeitsstunde berechnet und die liegt so um die 100 Euro. Die zusätzlichen 4 GBICs und die 12 Euro für das dickere Kabel kommen zusammen auf 92 Euro. Und so hat man Reserven, falls eine Faser fehlerhaft ist. Nochmal aufbuddeln wäre erheblich teurer, auch wenn man Garantie auf das Kabel hätte.
Ich hätte das Kabel allerdings durch die Röhre gezogen, die an einem Spanndraht zwischen den beiden Häusern seit 1992 besteht. Vielleicht gibt es dafür aber neue Vorschriften (Höchstbelastung o.ä.). Die Erdarbeiten sind das Teure bei der Aktion. Vielleicht hat man dafür aber städtisches Personal genommen. Die bekommen ihren Lohn ja ohnehin, ob sie nun ein Stück Hof aufstemmen und wieder verschließen oder Schlaglöcher auf der Straße beseitigen. Am Ende hat man die Aktion vielleicht doch vorher gründlicher durchdacht, als wir annehmen.
Ich werde mal beim MPZ-Netzwerker nachfragen, wie das gelaufen ist. Mal sehen, ob er was weiß. Ich bin jedenfalls nicht informiert oder gefragt worden und habe durch Zufall erfahren, dass man bereits vor Monaten zwischen den beiden Häusern ein Glasfaserkabel verlegt hat.
GG
Ich habe allerdings eben im Netz Medienkonverter/GBICs gefunden, die für 20 Euro zu haben sind.
Vorsicht hier ! Das isnd Optiken für die es scho vorhandene SFP Slots irgendwo geben muss !Nach deinen Schilderungen hast du sowas nicht und brauchst vollkommen autarke Stand Alone Konverter wie sowas hier:
http://alliedtelesis.de/pcline-2
die sind erheblich teurer als nur reine Optiken (mini GBICs, SFPs). Das darfst du nicht verwechseln !
Für die Konfiguration des VLANs hätte die Firma sicherlich eine Arbeitsstunde berechnet und die liegt so um die 100 Euro
Cool ! Für einen simplen Mausklick und das Eingeben einer Zahl was in ca. 30 Sekunden maximal pro Switch erledigt ist 100 Euro. Respekt, da kommt man auf einen legendären Stundenlohn ! 
Ich habe die verlegte Technik bisher noch nicht gesehen, da sie sich in für mich unzugänglichen Räumen befindet. Daher wissen wir beide nicht, was da eingesetzt werden muss/soll.
Wenn wir nicht die richtigen Switche haben (immerhin teilweise schon 13 Jahre alt), ginge es ja sowieso nicht (ohne zusätzliche Anschaffungen). Zudem gibt es eine Vorschrift, die vorsieht, dass Unterrichtsnetz und Verwaltungsnetz (mit Personen bezogenen Daten von Schülern und Lehrern) physikalisch von einander getrennt sein müssen.
Dann ist vielleicht Folgendes erforderlich?
https://www.reichelt.de/Medienkonverter-GBICs/TPLINK-MC200CM/3/index.htm ...
Gruß, GG.
Wenn wir nicht die richtigen Switche haben (immerhin teilweise schon 13 Jahre alt), ginge es ja sowieso nicht (ohne zusätzliche Anschaffungen). Zudem gibt es eine Vorschrift, die vorsieht, dass Unterrichtsnetz und Verwaltungsnetz (mit Personen bezogenen Daten von Schülern und Lehrern) physikalisch von einander getrennt sein müssen.
Dann ist vielleicht Folgendes erforderlich?
https://www.reichelt.de/Medienkonverter-GBICs/TPLINK-MC200CM/3/index.htm ...
Gruß, GG.
ginge es ja sowieso nicht (ohne zusätzliche Anschaffungen).
Ja, da hast du Recht. 13 Jahre....da würde ich mal mit dem Allerschlimmsten rechnen !!Zudem gibt es eine Vorschrift, die vorsieht, dass Unterrichtsnetz und Verwaltungsnetz
Siehste...deshalb hier auch immer der Ernst gemeinte Rat diese Netze in jedem Falle mit VLANs zu trennen !Dann ist vielleicht Folgendes erforderlich?
Ja, oder gleich einen mit moderner SFP Optik und angeflanschtem Switch:
https://www.reichelt.de/Hubs-Switch/LCS-GS7104-1/3/index.html?&ACTIO ...
Naja, VLANs sind vielleicht in der Rechtsprechung nicht "physikalisch" getrennt.
Wenn ich einen Umbau des Netzwerkes vor hätte, würde ich mich vermutlich erst einmal hier beraten lassen. Ich bin aber nur für die Technik zuständig, die "nach" dem Server kommt. Allerdings pflege ich den Server meist gleich mit.
Gruß, GG.
Wenn ich einen Umbau des Netzwerkes vor hätte, würde ich mich vermutlich erst einmal hier beraten lassen. Ich bin aber nur für die Technik zuständig, die "nach" dem Server kommt. Allerdings pflege ich den Server meist gleich mit.
Gruß, GG.
Naja, VLANs sind vielleicht in der Rechtsprechung nicht "physikalisch" getrennt.
Doch, gerade nach aktueller Rechtsprechung wird das als hinreichend physisch getrennt angesehen. Alles andere wäre so oder so weltfremd.
Weltfremdheit im Zusammenhang mit Informationstechnologie ist in der Rechtssprechung aber verbreitet. ;)
Da hast du zweifelsohne Recht
