28366
Dec 09, 2008, updated at Dec 11, 2008 (UTC)
14422
13
0
Class B mit Class C Netz verbinden
Hallo mein Problem
ich habe einmal ein Class C Netz
IP: 192.168.0.1
Netmask: 255.255.255.0
und ein Class B Netz
IP: 172.16.0.1
Netmask: 255.255.0.0
beide netze sollen unter einander Komunizieren auf ip und NetBios basis
class B kann ip seitig mit class C Kommunizieren
aber von Class C nach Class B funktioniert nicht
beide netze sollen via TCP/IP und NetBios erreichbar sein.
____________________________________________________________________________________________________________
Zum Aufbau:
Haupt Router für Internet verbindung und Class C Netz
Speedport W700V FW Ver. 3.26.0.0
Zweiter Router für Class B Netz
D-Link DL-624+ FW Ver. 2.09 HW Ver. B2
Statische ip: 192.168.0.7 (assigned by your ISP)(Speedport W700V)
netmask: 255.255.255.0
ISP GW : 192.168.0.1
Prim DNS: 192.168.0.1
sinn der sache ist:
ein sogenanntes Verwaltungs Netz und ein sogenanntes Schulnetz auf zu bauen.
ich suche eine kosten günstige lösung am besten eine Kost nix Lösung
ich habe einmal ein Class C Netz
IP: 192.168.0.1
Netmask: 255.255.255.0
und ein Class B Netz
IP: 172.16.0.1
Netmask: 255.255.0.0
beide netze sollen unter einander Komunizieren auf ip und NetBios basis
class B kann ip seitig mit class C Kommunizieren
aber von Class C nach Class B funktioniert nicht
beide netze sollen via TCP/IP und NetBios erreichbar sein.
____________________________________________________________________________________________________________
Zum Aufbau:
Haupt Router für Internet verbindung und Class C Netz
Speedport W700V FW Ver. 3.26.0.0
Zweiter Router für Class B Netz
D-Link DL-624+ FW Ver. 2.09 HW Ver. B2
Statische ip: 192.168.0.7 (assigned by your ISP)(Speedport W700V)
netmask: 255.255.255.0
ISP GW : 192.168.0.1
Prim DNS: 192.168.0.1
sinn der sache ist:
ein sogenanntes Verwaltungs Netz und ein sogenanntes Schulnetz auf zu bauen.
ich suche eine kosten günstige lösung am besten eine Kost nix Lösung
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 103698
Url: https://administrator.de/contentid/103698
Printed on: April 25, 2024 at 13:04 o'clock
13 Comments
Latest comment
Zitat von @28366:
beide netze sollen unter einander Komunizieren auf ip und NetBios basis
beide netze sollen unter einander Komunizieren auf ip und NetBios basis
Dann benötigst du einen 3. Router welcher Anfragen aus dem C-Netz in das B-Netz routet (und zurück). Aber was soll dann die Trennung der Netze bewirken, wenn alle PCs ohnehin via TCP kommunizieren können?!? Selbst Freigaben (Datei/Drucker) währen dann erreichbar...
... Nachtrag: Router2 muss an der WAN-Seite einen Gateway bekommen... (die IP des Router1) Dann sollte das so funktionieren. Dann müsstest du aber noch die "Verwaltung" in das B-Netz stecken, die "Schüler" in das C-Netz. Jetzt können die Mitarbeiter aus Verwaltung auf die Freigaben oder Drucker der Schüler zugreifen, anders herum aber nicht. (denk ich, müsste ich mal testen...)
Wenn ich deinen Text richtig interpretiert habe dann entspricht der gegenwärtige Aufbau in seiner Logik einer DMZ hinter der dann noch einmal zusätzlich geschützt das Verwaltungsnetzwerk steht. Wie auch in dem Artikel der c't beschrieben. http://www.heise.de/netze/DMZ-selbst-gebaut--/artikel/78397 Beachte auch das Bild in dem Artikel.
Soweit finde ich den Aufbau gut und richtig denn das Verwaltungsnetzwerk wird vor neugierigen Schülern geschützt. Wenn du das ändern möchtest, also die Schüler sollen an die Computer in dem Verwaltungsnetzwerk kommen, dann kannst du die NAT Funktion auf dem zweiten Router abschalten und auf dem ersten Router eine zusätzliche Route eintragen, damit die Adressen auch erreichbar werden.
Router 192.168.0.1 muss lernen: Netzwerk 172.16.0.0 liegt hinter 192.168.0.7 In der Regel geht das auf dem Webinterface von einem DSL Router unter Erweiterte Einstellungen einzutragen.
Aber noch mal ganz deutlich: Damit wird das Verwaltungsnetzwerk von dem Schülernetzwerk aus erreichbar und angreifbar!
Wenn du hingegen nur einen Dienst von einem Server im Verwaltungsnetzwerk den Schülern anbieten möchtest, z.B. eine Webseite mit aktuellen Informationen, dann hingegen lasse das NAT eingeschaltet und trage auf den zweiten Router eine entsprechende Portweiterleitung für Port 80 auf den Webserver im Verwaltungsnetzwerk ein.
Gruß Rafiki
Soweit finde ich den Aufbau gut und richtig denn das Verwaltungsnetzwerk wird vor neugierigen Schülern geschützt. Wenn du das ändern möchtest, also die Schüler sollen an die Computer in dem Verwaltungsnetzwerk kommen, dann kannst du die NAT Funktion auf dem zweiten Router abschalten und auf dem ersten Router eine zusätzliche Route eintragen, damit die Adressen auch erreichbar werden.
Router 192.168.0.1 muss lernen: Netzwerk 172.16.0.0 liegt hinter 192.168.0.7 In der Regel geht das auf dem Webinterface von einem DSL Router unter Erweiterte Einstellungen einzutragen.
Aber noch mal ganz deutlich: Damit wird das Verwaltungsnetzwerk von dem Schülernetzwerk aus erreichbar und angreifbar!
Wenn du hingegen nur einen Dienst von einem Server im Verwaltungsnetzwerk den Schülern anbieten möchtest, z.B. eine Webseite mit aktuellen Informationen, dann hingegen lasse das NAT eingeschaltet und trage auf den zweiten Router eine entsprechende Portweiterleitung für Port 80 auf den Webserver im Verwaltungsnetzwerk ein.
Gruß Rafiki
also zum Verständniss:
Speedport W700V Hauptrouter T-Com
(Router 1)192.168.0.1 netz C-Netz
|
|
|
|
Dlink DL624+ (Router 2)B-Netz
|
|
netz 172.16.0.1
Router 2 bekommt die GW Adresse von Router 1
Router 2
ISP GateWay : 192.168.0.1
Prim. DNS: 192.168.0.1
Router 1 ist mit dem DSL Verbunden und beherbergt das C Netz
beide netze sollen gegenseittig auf freigegebene Resourcen und Internet zugreifen können
verbindungen zu class c und zurück zu b
Speedport W700V Hauptrouter T-Com
(Router 1)192.168.0.1 netz C-Netz
|
|
|
|
Dlink DL624+ (Router 2)B-Netz
|
|
netz 172.16.0.1
Router 2 bekommt die GW Adresse von Router 1
Router 2
ISP GateWay : 192.168.0.1
Prim. DNS: 192.168.0.1
Router 1 ist mit dem DSL Verbunden und beherbergt das C Netz
beide netze sollen gegenseittig auf freigegebene Resourcen und Internet zugreifen können
verbindungen zu class c und zurück zu b
Hallo,
nimm bitte diesen Hinweis ernst: Auch wenn es von verschiedenen Herstellern Lösungen gibt um ein Schulnetz und ein Verwaltungsnetz über ein Gerät abzuwickeln, sollten diese beiden Netze niemals(!) eine physikalische Verbindung besitzen.
Hier tun sich sonst Abgründe auf, die eine Menge Ärger bedeuten können.
Was aber dein Problem angeht: Der Dlink ist ein NAT-Router (und das lässt sich IMHO bei diesem Modell auch nicht deaktivieren), was bedeutet, dass er nicht wirklich routet sondern eher ein transparenter Proxy ist.
Anfragen die LAN-Seitig vom Dlink kommen werden nicht mit der tatsächlichen IP weitergeleitet, sondern mit der des Dlink und Anfragen aus dem WAN-seitigen Netzwerk werden erst gar nicht beantwortet.
Wenn du unbedingt willst, dass beide Netzwerke sich einen Internetanschluss teilen brauchst du 3 Router:
Einen ganz normalen NAT-Router (den Speedport), der am Internet hängt
und zwei weitere die jeweils an Schul und Verwaltungsnetz hängen (auch die sollten im NAT-Modus betrieben werden) und mit dem Speedport verbunden sind.
So hast du effektiv 3 Netzwerke:
A- Schulnetz (z.B. 172.16.0.0 / 255.255.0.0)
B- Verwaltungsnetz (z.B. 192.168.0.0 / 255.255.255.0)
C- Netz mit den 3 Routern drin (z.B. 192.168.10.0 / 255.255.255.0)
Dadurch verhinderst du, dass User zwischen Netzwerk A und B kommunizieren können - Ein Datenaustausch ist hier definitiv ein No-Go!
Grüße
Max
nimm bitte diesen Hinweis ernst: Auch wenn es von verschiedenen Herstellern Lösungen gibt um ein Schulnetz und ein Verwaltungsnetz über ein Gerät abzuwickeln, sollten diese beiden Netze niemals(!) eine physikalische Verbindung besitzen.
Hier tun sich sonst Abgründe auf, die eine Menge Ärger bedeuten können.
Was aber dein Problem angeht: Der Dlink ist ein NAT-Router (und das lässt sich IMHO bei diesem Modell auch nicht deaktivieren), was bedeutet, dass er nicht wirklich routet sondern eher ein transparenter Proxy ist.
Anfragen die LAN-Seitig vom Dlink kommen werden nicht mit der tatsächlichen IP weitergeleitet, sondern mit der des Dlink und Anfragen aus dem WAN-seitigen Netzwerk werden erst gar nicht beantwortet.
Wenn du unbedingt willst, dass beide Netzwerke sich einen Internetanschluss teilen brauchst du 3 Router:
Einen ganz normalen NAT-Router (den Speedport), der am Internet hängt
und zwei weitere die jeweils an Schul und Verwaltungsnetz hängen (auch die sollten im NAT-Modus betrieben werden) und mit dem Speedport verbunden sind.
So hast du effektiv 3 Netzwerke:
A- Schulnetz (z.B. 172.16.0.0 / 255.255.0.0)
B- Verwaltungsnetz (z.B. 192.168.0.0 / 255.255.255.0)
C- Netz mit den 3 Routern drin (z.B. 192.168.10.0 / 255.255.255.0)
Dadurch verhinderst du, dass User zwischen Netzwerk A und B kommunizieren können - Ein Datenaustausch ist hier definitiv ein No-Go!
Grüße
Max
Zitat von @dog:
Hallo,
nimm bitte diesen Hinweis ernst: Auch wenn es von verschiedenen
Herstellern Lösungen gibt um ein Schulnetz und ein
Verwaltungsnetz über ein Gerät abzuwickeln, sollten diese
beiden Netze niemals(!) eine physikalische Verbindung besitzen.
Hier tun sich sonst Abgründe auf, die eine Menge Ärger
bedeuten können.
Hallo,
nimm bitte diesen Hinweis ernst: Auch wenn es von verschiedenen
Herstellern Lösungen gibt um ein Schulnetz und ein
Verwaltungsnetz über ein Gerät abzuwickeln, sollten diese
beiden Netze niemals(!) eine physikalische Verbindung besitzen.
Hier tun sich sonst Abgründe auf, die eine Menge Ärger
bedeuten können.
In diesem Punkt kann ich dir nicht zustimmen. Wir haben auch in einer Schule das Netzwerk neu aufgebaut und dabei 2 V-Lan eingerichtet. Dadurch entsteht zwar ein physikalische Verbindung aber nicht die geringste Gefahr für das Verwaltungsnetz.
Die Lehrer gehen dann übrigens über einen VPN-Tunnel ins Verwaltungsnetz wenn Sie im Klassenzimmer mit dem Schülernetz sitzen.
gibt es für mein problem auch ne 2 Router lösung da noch ein web und VPN Server verwaltungsseitig eingebunden sind der auch via schulnetz erreichbar sein soll Die netze sollen miteinander und untereinander Physikalich kommunizieren
desweiteren ist es gewüncht das Schüler auf bestimmte Freigaben im Verwaltungs netz zugriff haben ordner Black board mit infos und Arbeitsunterlagen für die schüler von der verwaltung.
man soll sich von aussen via vpn ins netz winloggen können um etwa im Krankheits falle sich die arbeitsunterlagen mühe los holen zu können.
desweiteren ist es gewüncht das Schüler auf bestimmte Freigaben im Verwaltungs netz zugriff haben ordner Black board mit infos und Arbeitsunterlagen für die schüler von der verwaltung.
man soll sich von aussen via vpn ins netz winloggen können um etwa im Krankheits falle sich die arbeitsunterlagen mühe los holen zu können.
Zitat von @dog:
Hallo,
nimm bitte diesen Hinweis ernst: Auch wenn es von verschiedenen
Herstellern Lösungen gibt um ein Schulnetz und ein
Verwaltungsnetz über ein Gerät abzuwickeln, sollten diese
beiden Netze niemals(!) eine physikalische Verbindung besitzen.
Hier tun sich sonst Abgründe auf, die eine Menge Ärger
bedeuten können.
Was aber dein Problem angeht: Der Dlink ist ein NAT-Router (und das
lässt sich IMHO bei diesem Modell auch nicht deaktivieren), was
bedeutet, dass er nicht wirklich routet sondern eher ein transparenter
Proxy ist.
Anfragen die LAN-Seitig vom Dlink kommen werden nicht mit der
tatsächlichen IP weitergeleitet, sondern mit der des Dlink und
Anfragen aus dem WAN-seitigen Netzwerk werden erst gar nicht
beantwortet.
Wenn du unbedingt willst, dass beide Netzwerke sich einen
Internetanschluss teilen brauchst du 3 Router:
Einen ganz normalen NAT-Router (den Speedport), der am Internet
hängt
und zwei weitere die jeweils an Schul und Verwaltungsnetz hängen
(auch die sollten im NAT-Modus betrieben werden) und mit dem Speedport
verbunden sind.
So hast du effektiv 3 Netzwerke:
A- Schulnetz (z.B. 172.16.0.0 / 255.255.0.0)
B- Verwaltungsnetz (z.B. 192.168.0.0 / 255.255.255.0)
C- Netz mit den 3 Routern drin (z.B. 192.168.10.0 / 255.255.255.0)
Dadurch verhinderst du, dass User zwischen Netzwerk A und B
kommunizieren können - Ein Datenaustausch ist hier definitiv ein
No-Go!
Grüße
Max
Hallo,
nimm bitte diesen Hinweis ernst: Auch wenn es von verschiedenen
Herstellern Lösungen gibt um ein Schulnetz und ein
Verwaltungsnetz über ein Gerät abzuwickeln, sollten diese
beiden Netze niemals(!) eine physikalische Verbindung besitzen.
Hier tun sich sonst Abgründe auf, die eine Menge Ärger
bedeuten können.
Was aber dein Problem angeht: Der Dlink ist ein NAT-Router (und das
lässt sich IMHO bei diesem Modell auch nicht deaktivieren), was
bedeutet, dass er nicht wirklich routet sondern eher ein transparenter
Proxy ist.
Anfragen die LAN-Seitig vom Dlink kommen werden nicht mit der
tatsächlichen IP weitergeleitet, sondern mit der des Dlink und
Anfragen aus dem WAN-seitigen Netzwerk werden erst gar nicht
beantwortet.
Wenn du unbedingt willst, dass beide Netzwerke sich einen
Internetanschluss teilen brauchst du 3 Router:
Einen ganz normalen NAT-Router (den Speedport), der am Internet
hängt
und zwei weitere die jeweils an Schul und Verwaltungsnetz hängen
(auch die sollten im NAT-Modus betrieben werden) und mit dem Speedport
verbunden sind.
So hast du effektiv 3 Netzwerke:
A- Schulnetz (z.B. 172.16.0.0 / 255.255.0.0)
B- Verwaltungsnetz (z.B. 192.168.0.0 / 255.255.255.0)
C- Netz mit den 3 Routern drin (z.B. 192.168.10.0 / 255.255.255.0)
Dadurch verhinderst du, dass User zwischen Netzwerk A und B
kommunizieren können - Ein Datenaustausch ist hier definitiv ein
No-Go!
Grüße
Max
die User sollen zwischen Netz A und B Kommunizieren können
Also wenn ohnehin alle mit einander kommunizieren sollen (können), dann würde ich der "Einfachheit" halber einen AnmeldeServer (ActiveDirectory) aufsetzen und via GPO die Rechte soweit einschränken wie nötig. Die Schüler, wie auch die Verwaltung sind in eigenen OUs (OrgaUnits) und können auf Netzlaufwerke bzw. via VPN zugreifen. Ich denke das währe die sauberste und sinnvollste Lösung. Den Spaß mit vielen Routern kannst du dir dann sparen. Eine sichere/saubere Lösung mit nur 2 Routern gibt es m.E. nicht! Es gibt auch Open Source Server, die du dafür verwenden kannst (SME-Server). Eventuell lassen sich die einzelnen Netzwerke auch via IPcop (einfach mal googlen) trennen, die Lösung des Problems (Vorhabens) stellt das aber auch noch nicht dar...
Auch Switch-Software kann Bugs und Sicherheitslücken haben.
Vielleicht können Schüler Ports umstecken.
Oder das Management-Interface des Switches ist mangelhaft abgesichert...
Sorry, aber hier geht es um Datenschutzprobleme, bei denen ich keine Spiele mache.
Grüße
Max
Vielleicht können Schüler Ports umstecken.
Oder das Management-Interface des Switches ist mangelhaft abgesichert...
Sorry, aber hier geht es um Datenschutzprobleme, bei denen ich keine Spiele mache.
Grüße
Max
Hallo Patrick,
darf ich dich noch einmal ganz höflich auf meinen Kommentar weiter oben hinweisen. Dort habe ich bereits beschrieben wie du mit den beiden vorhandnen Routern auskommst um genau die Kommunikation zu dem VPN und auf eine bestimmte Freigabe zu ermöglichen.
Gruß Rafiki
darf ich dich noch einmal ganz höflich auf meinen Kommentar weiter oben hinweisen. Dort habe ich bereits beschrieben wie du mit den beiden vorhandnen Routern auskommst um genau die Kommunikation zu dem VPN und auf eine bestimmte Freigabe zu ermöglichen.
Gruß Rafiki
Zitat von @dog:
Auch Switch-Software kann Bugs und Sicherheitslücken haben.
Vielleicht können Schüler Ports umstecken.
Oder das Management-Interface des Switches ist mangelhaft
abgesichert...
Sorry, aber hier geht es um Datenschutzprobleme, bei denen ich keine
Spiele mache.
Grüße
Max
Auch Switch-Software kann Bugs und Sicherheitslücken haben.
Vielleicht können Schüler Ports umstecken.
Oder das Management-Interface des Switches ist mangelhaft
abgesichert...
Sorry, aber hier geht es um Datenschutzprobleme, bei denen ich keine
Spiele mache.
Grüße
Max
Naja, vielleicht hab ich auch auf dem Router das Standard-PW nicht geändert... Solche grundlegenden Sicherheitsaspekte sollten ja in jedem vernünftigen Netzwerk berücksichtigt worden sein. Und wenn Schüler zum Serverraum bzw. Verteilerraum Zugang haben dann läuft sowieso was schief.
Auszug aus Wikipedia zu V-Lan:
http://de.wikipedia.org/wiki/IEEE_802.1q
"Der Standard beschreibt einen Mechanismus, der es erlaubt, dass mehrere virtuelle Netzwerke sich eine gemeinsame physikalische oder logische Schnittstelle teilen, OHNE dabei Sicherheitsaspekte zu beeinträchtigen oder den ungehinderten Datenaustausch zwischen den VLANs zu ermöglichen"
"Der Standard beschreibt einen Mechanismus, der es erlaubt, dass mehrere virtuelle Netzwerke sich eine gemeinsame physikalische oder logische Schnittstelle teilen, OHNE dabei Sicherheitsaspekte zu beeinträchtigen oder den ungehinderten Datenaustausch zwischen den VLANs zu ermöglichen"
Ein Standard verhindert auch nicht einen Implementationsfehler der Hersteller, der nachher zu Sicherheitslücken führt.
Und mittlerweile gibt es alle 2 Monate neue Sicherheitsupdates für Switches - da hab ich nicht unbedingt das volle Vertrauen in die Technik.
Darum geht es mir aber auch weniger: Wichtig ist hier einfach, dass Schulen zu den wenigen Insitutionen gehören, die die meisten und privatesten Daten über Menschen aufbewahren dürfen.
Vor diesem Aspekt und wenn man bedenkt, dass die meisten Schulen nicht mal einen Datenschutzbeauftragten haben finde ich die einzig akzeptable Lösung für ein Verwaltungsnetzwerk eine Black-Box-Lösung.
Selbst USB-Sticks sind hier schon ein gefährliches Zugeständnis, eine Verwebung von Schul- und Verwaltungsnetz käme für mich unter keinen Umständen in Frage.
Grüße
Max
Die Lösung vom Spezitrinker ist im Ansatz richtig, denn 2 VLANs sind auf einem VLAN fähigen Switch erstmal vollkommen getrennt physikalsich.
Die von ihm propagierte VPN Verbindung erfordert dann aber wiederum eine Layer 3 (Routing) Kopplung dieser VLANs, womit man sie dann letztlich IP seitig wieder zusammenschaltet und man sich wieder in Sicherheitsprobleme begibt.
Vermutlich hat der Spezitrinker seinen VLAN Router dann aber mit Accesslisten so dichtgemacht das nur eine VPN Verbindung erlaubt ist, dann wird wieder ein Schuh draus denn sonst gilt das was Dog geschrieben hat !!!
Eine vollkommen transparente IP Kopplung der beiden Netze ist aber so natürlich nicht möglich. Generell stellt das ein erhebliches Sicherheitsproblem in einer Schule dar, keine Frage.
Deshalb solltest du auf das von Rafiki angesprochene Konzept gehen mit deinen beiden Routern:
http://www.heise.de/netze/DMZ-selbst-gebaut--/artikel/78397
Das löst dein Problem !
Natürlich kommst du NICHT vom Schulnetz ins Verwaltungsnetz, was ja Sinn dieser Mini DMZ Lösung ist !
Grund dafür ist das dein D-Link ja NAT (IP Adress Translation) macht am WAN/DSL Port und die NAT Firewall kannst du NICHT ohne einen Port Forwarding Eintrag im D-Link überwinden !!!
Das ist auch der angebliche Fehler den du siehst und oben beschreibst.
Auch für VPN und Webserver im Verwaltungsnetz musst du dafür Port Forwarding Einträge im D-Link einstellen, sonst ist ein Zugriff ins Verwaltungsnetz aus dem Schulnetz nicht möglich mit dieser Lösung.
Besser ist generell du löst sowas mit einer dedizierten Firewall wie IP-Cop oder Monowall die du auf einem alten Rechner installierst oder auf einer dedizierten Appliance wie z.B. hier beschrieben:
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html
Damit hast du die eierlegende Wollmilchsau und dein Problem sauber gelöst....und sogar noch ein Projekt für die Computer AG an der Schule...!
Die von ihm propagierte VPN Verbindung erfordert dann aber wiederum eine Layer 3 (Routing) Kopplung dieser VLANs, womit man sie dann letztlich IP seitig wieder zusammenschaltet und man sich wieder in Sicherheitsprobleme begibt.
Vermutlich hat der Spezitrinker seinen VLAN Router dann aber mit Accesslisten so dichtgemacht das nur eine VPN Verbindung erlaubt ist, dann wird wieder ein Schuh draus denn sonst gilt das was Dog geschrieben hat !!!
Eine vollkommen transparente IP Kopplung der beiden Netze ist aber so natürlich nicht möglich. Generell stellt das ein erhebliches Sicherheitsproblem in einer Schule dar, keine Frage.
Deshalb solltest du auf das von Rafiki angesprochene Konzept gehen mit deinen beiden Routern:
http://www.heise.de/netze/DMZ-selbst-gebaut--/artikel/78397
Das löst dein Problem !
Natürlich kommst du NICHT vom Schulnetz ins Verwaltungsnetz, was ja Sinn dieser Mini DMZ Lösung ist !
Grund dafür ist das dein D-Link ja NAT (IP Adress Translation) macht am WAN/DSL Port und die NAT Firewall kannst du NICHT ohne einen Port Forwarding Eintrag im D-Link überwinden !!!
Das ist auch der angebliche Fehler den du siehst und oben beschreibst.
Auch für VPN und Webserver im Verwaltungsnetz musst du dafür Port Forwarding Einträge im D-Link einstellen, sonst ist ein Zugriff ins Verwaltungsnetz aus dem Schulnetz nicht möglich mit dieser Lösung.
Besser ist generell du löst sowas mit einer dedizierten Firewall wie IP-Cop oder Monowall die du auf einem alten Rechner installierst oder auf einer dedizierten Appliance wie z.B. hier beschrieben:
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html
Damit hast du die eierlegende Wollmilchsau und dein Problem sauber gelöst....und sogar noch ein Projekt für die Computer AG an der Schule...!
