11
5 Statische IPs auf Router verteilen (per Switch, Router?)
Hallo zusammen,
erstmal Vorweg, ich kenne (oder eher kannte) mich mit Netzwerktechnik mal gut aus, habe vor 10 Jahren in dem Bereich aufgehört zu Arbeiten und bin daher im etwas komplexeren Fragestellungen vielleicht nicht immer ganz fit.
Nun zu meiner Frage: Ich plane einen Unitymedia-Bussinness Anschluss zu buchen, welcher mit bis zu 5 Statischen IPv4 Adressen ausgestattet ist. Diese möchte ich gerne nutzen um damit getrennte Netze mit jeweils eigenen Routern zu versorgen. Die Router (typsiche SoHo Geräte, wie FritzBoxen oder ähnliches) bekommen dann jeweils eine Statische IP und machen intern NAT. Hinter dem NAT sieht es also aus wie in fast jedem LAN.
Dies könnte ich ja nun so machen, dass ich einfach einen Switch hinter das Kabelmodem von Unitymedia hänge mit 5 freien Gbit Ports und ans andere Ende dann die jeweiligen Router.
Dabei habe ich aber zwei Probleme.
1. Ein Teil der Netze befinden sich hinter einer VDSL-Strecke (habe da an so eine Lösung mit diesen Mini-Modems gedacht, sollte sich hoffentlich verhalten wie eine normale Ethernetverbindung).
2. Die Entpunkte sind "nicht vertrauenswürdig", sprich ich möchte verhinden dass jemand statt seinem Router sein Notebook mit Wireshark anhängt und die Daten der "Nachbarn" mitliest.
Ich suche also jetzt nach den passenden (und möglichst preiswerten) Komponenten um diese Aufgabe zu realisieren. Ich dachte da ein eine Lösung mittels VLAN-Switch(es). Auch schwirrt mir da noch der Begriff Layer-3-Switch im Kopf herrum. Ich habe aber überhaupt keine Ahnung was für Geräte hier in Frage kommen könnten.
Gesucht wird aus meiner Sicht also ein Gerät welches optimalerweise ein paar eigene Ports hat, die man verschiedenen Subnetzen zuordnen kann und das anhand der Ziel-IP-Adresse den richtigen Port für das Paket auswählt. Dabei sollte er VLAN fähig sein, damit nach der VDSL-Strecke per VLAN-Switch noch auf zwei weitere Subnetze getrennt werden kann.
Und das ganze dann bitte schnell genug damit man die 150MBit die Unitymedia max. liefern kann auch mal ausnutzen kann.
Ok, das war jetzt umfangreich, was sagt Ihr?
viele Grüße
Biertrinker
erstmal Vorweg, ich kenne (oder eher kannte) mich mit Netzwerktechnik mal gut aus, habe vor 10 Jahren in dem Bereich aufgehört zu Arbeiten und bin daher im etwas komplexeren Fragestellungen vielleicht nicht immer ganz fit.
Nun zu meiner Frage: Ich plane einen Unitymedia-Bussinness Anschluss zu buchen, welcher mit bis zu 5 Statischen IPv4 Adressen ausgestattet ist. Diese möchte ich gerne nutzen um damit getrennte Netze mit jeweils eigenen Routern zu versorgen. Die Router (typsiche SoHo Geräte, wie FritzBoxen oder ähnliches) bekommen dann jeweils eine Statische IP und machen intern NAT. Hinter dem NAT sieht es also aus wie in fast jedem LAN.
Dies könnte ich ja nun so machen, dass ich einfach einen Switch hinter das Kabelmodem von Unitymedia hänge mit 5 freien Gbit Ports und ans andere Ende dann die jeweiligen Router.
Dabei habe ich aber zwei Probleme.
1. Ein Teil der Netze befinden sich hinter einer VDSL-Strecke (habe da an so eine Lösung mit diesen Mini-Modems gedacht, sollte sich hoffentlich verhalten wie eine normale Ethernetverbindung).
2. Die Entpunkte sind "nicht vertrauenswürdig", sprich ich möchte verhinden dass jemand statt seinem Router sein Notebook mit Wireshark anhängt und die Daten der "Nachbarn" mitliest.
Ich suche also jetzt nach den passenden (und möglichst preiswerten) Komponenten um diese Aufgabe zu realisieren. Ich dachte da ein eine Lösung mittels VLAN-Switch(es). Auch schwirrt mir da noch der Begriff Layer-3-Switch im Kopf herrum. Ich habe aber überhaupt keine Ahnung was für Geräte hier in Frage kommen könnten.
Gesucht wird aus meiner Sicht also ein Gerät welches optimalerweise ein paar eigene Ports hat, die man verschiedenen Subnetzen zuordnen kann und das anhand der Ziel-IP-Adresse den richtigen Port für das Paket auswählt. Dabei sollte er VLAN fähig sein, damit nach der VDSL-Strecke per VLAN-Switch noch auf zwei weitere Subnetze getrennt werden kann.
Und das ganze dann bitte schnell genug damit man die 150MBit die Unitymedia max. liefern kann auch mal ausnutzen kann.
Ok, das war jetzt umfangreich, was sagt Ihr?
viele Grüße
Biertrinker
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 248926
Url: https://administrator.de/contentid/248926
Printed on: April 25, 2024 at 23:04 o'clock
11 Comments
Latest comment
Moin,
Mach da einen managbaren Switch hin und tacker die MACs der Geräte die drandürfen fest. Bei besseren switches kannst Du sogar den Port zu der Ip-Adresse binden, die da druchkommen darf.
lks
Mach da einen managbaren Switch hin und tacker die MACs der Geräte die drandürfen fest. Bei besseren switches kannst Du sogar den Port zu der Ip-Adresse binden, die da druchkommen darf.
lks
Die Mac-Adresse fest zu legen wollte ich eigentlich vermeiden, damit ich mit dem Einrichten der Subnetze möglichst nichts zu tun habe. Wäre aber auch denkbar. Kannst du einen Managed-Switch empfehlen, der das auf IP-Basis kann? Wäre hier layer-3-Switch das richtige Stichwort?
Zitat von @biertrinker:
Kannst du einen Managed-Switch empfehlen, der das auf IP-Basis kann? Wäre hier layer-3-Switch das richtige Stichwort?
Kannst du einen Managed-Switch empfehlen, der das auf IP-Basis kann? Wäre hier layer-3-Switch das richtige Stichwort?
Cisco soltle da sicher was im Angebot haben. ich habe aber momentan nicht den überblick über die Produktreihen, die das können. Da könnten aqui und ander hier im Forum sicher gezieltere Empfehlungen geben. Wesentich ist natürlich auch das Budget, daß Dir dafür zur Verfügugn steht.
lks
Hallo,
budget ist so eine Sache, zusammen mit dem Rest (VSDL-Modems ca. 160€, zusätlicher VLAN-Switch hinter der VDSL-Stecke), der Technik vielleicht 300€ etwa. Bleiben also wenig mehr als 100€ übrig. Wie wäre denn so ein HP hier einzuschätzen:
http://h17007.www1.hp.com/us/en/networking/products/switches/HP_1910_Sw ...
Den gibt es bei Amazon gerade für 126€ recht günstig. Sollte passen, oder?
vielen Dank für die Hilfe!
Biertrinker
budget ist so eine Sache, zusammen mit dem Rest (VSDL-Modems ca. 160€, zusätlicher VLAN-Switch hinter der VDSL-Stecke), der Technik vielleicht 300€ etwa. Bleiben also wenig mehr als 100€ übrig. Wie wäre denn so ein HP hier einzuschätzen:
http://h17007.www1.hp.com/us/en/networking/products/switches/HP_1910_Sw ...
Den gibt es bei Amazon gerade für 126€ recht günstig. Sollte passen, oder?
vielen Dank für die Hilfe!
Biertrinker
Die Lösung ist doch kinderleicht:
Beschaff dir einen Gigabit Switch der PVLANs (Private VLANs) oder isolated VLANs wie sie auch genannt werden supportet.
Du konfigurierst dann einfach ein solches PVLAN und definierst einen Uplink Port auf deinen Unitymedia Router.
Fertig ist der Lack !
Bei PVLANs werden Broad- und Multicasts nur an den Uplink Port geforwardet. Folglich "sehen" sich also andere Ports in diesem PVLAN nicht und eine Kommunikation angeschlossener Geräte untereinander ist nicht mehr möglich. Nur noch einzig über den Uplink Port, also hier dem Router. Lokale Endgeräte untereinander sind so sauber isoliert, Internet aber nicht.
Jeder billige bessere Websmart Switch kann das. Einfacher gehts nun wahrlich nicht !
Beschaff dir einen Gigabit Switch der PVLANs (Private VLANs) oder isolated VLANs wie sie auch genannt werden supportet.
Du konfigurierst dann einfach ein solches PVLAN und definierst einen Uplink Port auf deinen Unitymedia Router.
Fertig ist der Lack !
Bei PVLANs werden Broad- und Multicasts nur an den Uplink Port geforwardet. Folglich "sehen" sich also andere Ports in diesem PVLAN nicht und eine Kommunikation angeschlossener Geräte untereinander ist nicht mehr möglich. Nur noch einzig über den Uplink Port, also hier dem Router. Lokale Endgeräte untereinander sind so sauber isoliert, Internet aber nicht.
Jeder billige bessere Websmart Switch kann das. Einfacher gehts nun wahrlich nicht !
Hallo Aqui,
vielen Dank für deinen Hinweis, das klingt sehr gut, aber in so einer Kombination hindert der Switch doch einen nicht daran die IP für Netz 1 im Netz 2 zu benutzen?
viele Grüße
Biertrinker
vielen Dank für deinen Hinweis, das klingt sehr gut, aber in so einer Kombination hindert der Switch doch einen nicht daran die IP für Netz 1 im Netz 2 zu benutzen?
viele Grüße
Biertrinker
hindert der Switch doch einen nicht daran die IP für Netz 1 im Netz 2 zu benutzen?
Das versteh wer will ?? Was genau meist du mit der Aussage ? Welches Netz, welche IP ?
Ok, dafür muss ich den Zusammenhang erklären. Ich will ja einen Internetzugang mit 5 Statischen IPs auf mehrere Netze verteilen. Sprich zwei Privatnuzter sollen über meinen Firmenzugang mit versorgt werden. Um sicher zu gehen, das die dann nicht in meinem Nahmen illegal Zeug runter laden, will ich dafür sorgen das jedes Netz über die IP die seinem NAT-Router zugewiesen ist klar zu erkennen ist. Und das sollte natürlich nicht umgangen werden können.
Wenn ich nun die von die Beschriebene Lösung wähle, dann kann ein Nutzer im Netz-A natürlich meinen Firmentraffic nicht sehen, soweit schonmal sehr gut. Er könnte aber auf die Idee kommen z.B. Abends wenn nix los ist die Nummer seiner IP-Adresse um 1 hoch zu setzen und sich damit als ein anderer Teilnehmer auszugeben.
Funktionieren dürtfte das freilich nicht so richtig gut denke ich, aber wenn ich vor Gericht Lande wegen sowas wäre es schön beweisen zu können, dass es jemand anders war
Oder mach ich mir da jetzt zu viele Gedanken?
viele Grüße
Biertrinker
Wenn ich nun die von die Beschriebene Lösung wähle, dann kann ein Nutzer im Netz-A natürlich meinen Firmentraffic nicht sehen, soweit schonmal sehr gut. Er könnte aber auf die Idee kommen z.B. Abends wenn nix los ist die Nummer seiner IP-Adresse um 1 hoch zu setzen und sich damit als ein anderer Teilnehmer auszugeben.
Funktionieren dürtfte das freilich nicht so richtig gut denke ich, aber wenn ich vor Gericht Lande wegen sowas wäre es schön beweisen zu können, dass es jemand anders war
Oder mach ich mir da jetzt zu viele Gedanken?viele Grüße
Biertrinker
Abends wenn nix los ist die Nummer seiner IP-Adresse um 1 hoch zu setzen und sich damit als ein anderer Teilnehmer auszugeben.
Ja, da hast du natürlich Recht. Davor eine fremde IP nicht gewollt zu nutzen schützt ein PVLAN natürlich nicht.Aber davor gibt es 2 Möglichkeiten:
1.) Du setzt eine IP Accessliste am Switchport auf und lässt nur IP Traffic mit dieser IP als Absenderadresse passieren !
2.) du setzt einen kleinen Router ins Netz der PPPoE Server spielen kann wie z.B. ein kleiner 30 Euro Mikrotik 750. Mit dem kannst du dann eine User Authentisierung machen mit PPPoE und weist dann dynamisch nach Authentisierung fest immer die IP zu.
Beides geht.
Wenn du so oder so einen Switch einsetzt der PVLANs supportet kannst du nicht einen billigen Plaste Switch nehemn. Switches die das können supporten in der Regel auch Layer 3 Accesslisten und damit kannst du dann bequem mit dem Switch alles lösen.
Oder mach ich mir da jetzt zu viele Gedanken?
Nein, mitnichten ! In D gilt immer noch die Störerhaftung. Du als Anschlussinhaber bist rechtlich verantwortlich. Zusätzlich solltest du dir eine Belehrung unterschreiben lassen dieser Nutzer die du rauflässt.
Hallo Aqui,
vielen Dank für deine Infos! Ich habe mich nun ein wenig umgeschaut nach keinen Switchen die die von die beschriebenen Funktionen beherschen könnten.
Da habe ich einmal diesen TP-Link:
http://www.amazon.de/TP-Link-TL-SG3210-JetStream-l%C3%BCfterloses-Passi ...
für 93 € so wie diesen HP:
http://h17007.www1.hp.com/us/en/networking/products/switches/HP_1910_Sw ...
Für 126€
Was meinst du, kann man auf den TP-Link bauen, oder ist der HP die bessere Wahl? Ich stehe dem TP-Link ein bisschen skeptisch gegenüber. Ich kenne nur SoHo-Router von denen, die Hardware ist ok, aber die Software mist.
Ach ja, noch eine Frage. Bei beiden Switches wird von einer QoS Funktion gesprochen. Wie macht der Switch das? VoIP Trafic immer zu erst?
Grüße
Biertrinker
vielen Dank für deine Infos! Ich habe mich nun ein wenig umgeschaut nach keinen Switchen die die von die beschriebenen Funktionen beherschen könnten.
Da habe ich einmal diesen TP-Link:
http://www.amazon.de/TP-Link-TL-SG3210-JetStream-l%C3%BCfterloses-Passi ...
für 93 € so wie diesen HP:
http://h17007.www1.hp.com/us/en/networking/products/switches/HP_1910_Sw ...
Für 126€
Was meinst du, kann man auf den TP-Link bauen, oder ist der HP die bessere Wahl? Ich stehe dem TP-Link ein bisschen skeptisch gegenüber. Ich kenne nur SoHo-Router von denen, die Hardware ist ok, aber die Software mist.
Ach ja, noch eine Frage. Bei beiden Switches wird von einer QoS Funktion gesprochen. Wie macht der Switch das? VoIP Trafic immer zu erst?
Grüße
Biertrinker
ein wenig umgeschaut nach keinen Switchen
Nach "keinem" Switch ??Mmmhhh du fragst ob man sich für den Teufel oder das Fegefeuer entscheiden soll ?! Beides sind Billigheimer am untersten Ende.
Ich würde mit dem HP das Fegefeuer wählen...wenn dann
Bei deiner QoS Frage ist das auf Layer 2 Qos 802.1p oder Layer 3 QoS DiffServ DSCP bezogen ???
VoIP kann beides nutzen ! Hängt von der Konfig der Telefone und Gateway ab !
