r1chy2
Goto Top

Zwei Netzwerke, zwei Router: trotzdem gegenseitiger Zugriff ohne Routing

Hallo,

ich habe bei mir zwei Netzwerke (192.168.1.0/24 und 192.168.2.0/24) mit der Absicht, dass meine Familie vom 2er Netz nicht ins 1er kommt, aber denn noch ins Internet.

Dazu habe ich die beiden Router folgendermaßen Konfiguriert:

Router 1 LAN-Seite (PCs angeschlossen):
IP: 192.168.1.254
Subnetz: 255.255.255.0

Router 1 WAN-Seite (das Modem angeschlossen):
PPPoE zur Telekom

Router 2 LAN-Seite (am Test-PC angeschlossen):
IP: 192.168.2.254
Subnetz: 255.255.255.0

Router 2 WAN-Seite (Kabel zu einem LAN-Port von Router 1):
Direkt ohne Anmeldedaten
IP: 192.168.1.1
Subnetz: 255.255.255.0
Gateway: 192.168.2.254


Ich kann mit allen PCs (einschließlich dem Test-PC, das am Router 2 hängt) ins Internet. Aber ich kann leider auch mit dem Test-PC auf den PCs zugreifen, die nur am Router 1 hängen. Und genau das wollte ich damit verhindern.

Routing ist deaktiviert.


Habe ich was falsch gemacht?

Danke!

Content-ID: 217623

Url: https://administrator.de/contentid/217623

Ausgedruckt am: 22.11.2024 um 02:11 Uhr

aqui
aqui 23.09.2013 aktualisiert um 12:32:06 Uhr
Goto Top
Ist hier erklärt:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Am sinnvollsten und wirklich wasserdicht löst du das mit einer kleinen Firewall:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Oder mit einem kleinen Router der mehrere Routerports hat und die Option von IP Accesslisten wie der im obigen Tutorial erwähnte Mikrotik 750:
Mikrotik RB750 - Quick Review

Das was du da oben beschreibst ist die "DMZ des kleinen Mannes" und nur sehr bedingt dafür nutzbar. Beschrieben ist sie hier in der Alternative 2:
Kopplung von 2 Routern am DSL Port
bzw.
http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html
Sie birgt aber gravierende Nachteile:
  • Meist ist das NAT (Adress Translation) am WAN Port nicht abschaltbar, damit ist dann das Routing bzw. Die Kommunikation zwischen beiden Netzen eine Sackgasse bzw. Einbahnstrasse. Oft hilft hier einen alternative Firmware zu verwenden wie DD-WRT http://www.dd-wrt.com/site/index die diese Option hat. Leider sagst du ja nichts zum verwendeten Router face-sad
  • Traffic ins Internet muss immer über das "offene" Netz geleitet werden was diesen Traffic angreifbar macht.
Fazit: Generell ist es keine gute Lösung einen billigen Breitbandrouter dafür zu nutzen. Es sollte wenigstens einer sein der DD-WRT oder OpenWRT supportet oder ein 35 Euro Mikrotik der entsprechende Routing Ports und Firewall Features besutzt.
Alternativ eine kleine Firewall.
colinardo
colinardo 23.09.2013 aktualisiert um 12:28:19 Uhr
Goto Top
Hallo r1chy2,
zu dem was du machen willst benötigst du entweder noch einen zusätzlichen Router der an Router 1 angeschlossen ist (Router-Kaskade) wenn deine Router keine Möglichkeit bieten die Ports voneinander zu trennen (VLAN).
D.h. du hast für das einer und das zweier-Netz jeweils einen eigenen Router die mit Ihren WAN-Ports an dem Router angeschlossen sind an dem das Modem hängt.

So wie es im Moment eingerichtet ist, ist für das 192.168.1.0/24 Netz das 192.168.2.0/24 Netz Quasi im Internet und deshalb kann man auch auf diese zugreifen. Wenn dein Router im 192.168.1.0/24 Netz die Möglichkeit bietet bestimmte IP-Adressbereiche zu blocken kannst du natürlich auch diese Option wahrnehmen.

Besser ist es aber wie Aqui sagt z.B. einen günstigen Mikrotik zu nehmen und es damit zu machen (spart Strom) und bietet noch wesentlich mehr Optionen.

Grüße Uwe