4
Sporadische Verbindungsabbrüche und Frage zur Sicherheit bei separatem Netzwerk in Bürogemeinschaft
Hallo, habe nur grundlegende Netzwerkkenntnisse und das Lesen der empfohlenen Einführungsartikel in diesem Forum brachte noch kein wirkliches Verständnis für folgendes Problem.
Folgende Konstellation:
Ort: kleinere Bürogemeinschaft mehrere abgetrennte Büroräume mit eigenständigen Firmen belegt
zentrale Technik: Netzwerk wird über ein Patchpanel auf Büroräume verteilt, ein Router Linksys54gl stellt Verbindung zum Internet her,
die Rechner der einzelnen Büros stellen per Kabel oder Wlan über den Router eine Verbindung zum Internet her. Keine Vernetzung untereinander.
Ich habe für einen Bekannten, der dort einen Büroraum hat ein Mininetzwerk eingerichtet. D.h. zu seinem Rechner 1 mit zwei Netzwerkarten kam ein zweiter Rechner 2 hinzu (besitz auch zwei Netzwerkarten, war halt gebraucht gekauft). Betriebsysteme auf beiden Rechner WIN XP Prof SP3. Da möglichst kostensparend wurde folgender Aufbau erstmal gewählt:
Rechner 1 mit NIC 1a an Switch (Dlink 4 Port) und Rechner 2 mit NiC 2a an selben Switch.
Feste IP-Vergabe: Rechner 1/NIC 1a 10.0.0.10, Subnetz: 255.0.0.0, Rechner 2/NIC 2a 10.0.0.11, Subnetz: 255.0.0.0
Rechner 1 mit NIC 1b an Netzwerkdose zum Router Linksys (IP 192.168.1.0)
Die NIC 1b holt sich die IP automatisch vom Router. Die zweite NIC 2b vom Rechner 2 wird erstmal nicht genutzt.
Netzwerkdose hat nur einen funktionierenden Anschluß.
Rechner 2 geht über Rechner 1 (Internetverbindungsfreigabe) ins Internet.
Freigaben auf Benutzerebene und Datenzugriff und Internetzugang zwischen beiden Rechnern funktionierten mehrere Monate problemlos.
Jetzt tauchen sporadisch 1 bis mehrmals am Tag Verbindungsabbrüche zwischen den beiden Rechnern auf. Neustart (manchmal mehrfach) der beiden Rechner behob das Problem nur bis zum nächsten Abbruch. Die Windows Protokolle gaben nicht viel her.
Habe dann erstmal andere Netzwerkarten und-Kabel getestet, die Netzwerktreiber neu installiert und eingerichtet ohne Erfolg. Andere Programme sollen nicht installiert worden sein.
Zufällig war ich dann nach einem Verbindungsabbruch in der Nähe und konnte mir das direkt mal anschauen. Hier tauchten dann im Systemprotokoll der Fehler auf:
IPNATHLP: „Die DHCP-Zuweisung wurde für IP-Adresse 10.0.0.11 deaktiviert, da die IP-Adresse außerhalb des Bereichs 192.168.0.0/255.255.255.0 liegt..... Nachlesen brachte ein Problem mit der Internetverbindungsfreigabe von Windows, da die wohl auf 192.168.0.1 festgeschrieben ist.
Frage mich warum hat das vorher mehrere Monate funktioniert?
Habe jetzt damit er arbeiten kann beide Rechner am Switch, und den Switch an die Netzwerkdose angeschlossen. IP-Adressen werden automatisch bezogen vom Router. Funktioniert auch wohl. Im Router darf ich vorerst keine Einstellungen verändern.
Meine Fragen:
Frage 1: Wie kann ich mit der vorhandene Technik ein sauber arbeitendes Netzwerk herstellen.
Frage 1a: Macht es Sinn die beiden Rechner per Crossover-Kabel zu verbinden und mit den anderen beiden freien NICs über den Switch ins Internet zu gehen (nur sone Idee
?
Frage 2: Ist die jetzige Konstellation einigermaßen sicher gegen Zugriff von anderen Rechnern der Bürogemeinschaft, die auch am Router hängen und automatisch ihre IPs bekommen?
Ich hoffe der viele Text schreckt nicht ab.
Ort: kleinere Bürogemeinschaft mehrere abgetrennte Büroräume mit eigenständigen Firmen belegt
zentrale Technik: Netzwerk wird über ein Patchpanel auf Büroräume verteilt, ein Router Linksys54gl stellt Verbindung zum Internet her,
die Rechner der einzelnen Büros stellen per Kabel oder Wlan über den Router eine Verbindung zum Internet her. Keine Vernetzung untereinander.
Ich habe für einen Bekannten, der dort einen Büroraum hat ein Mininetzwerk eingerichtet. D.h. zu seinem Rechner 1 mit zwei Netzwerkarten kam ein zweiter Rechner 2 hinzu (besitz auch zwei Netzwerkarten, war halt gebraucht gekauft). Betriebsysteme auf beiden Rechner WIN XP Prof SP3. Da möglichst kostensparend wurde folgender Aufbau erstmal gewählt:
Rechner 1 mit NIC 1a an Switch (Dlink 4 Port) und Rechner 2 mit NiC 2a an selben Switch.
Feste IP-Vergabe: Rechner 1/NIC 1a 10.0.0.10, Subnetz: 255.0.0.0, Rechner 2/NIC 2a 10.0.0.11, Subnetz: 255.0.0.0
Rechner 1 mit NIC 1b an Netzwerkdose zum Router Linksys (IP 192.168.1.0)
Die NIC 1b holt sich die IP automatisch vom Router. Die zweite NIC 2b vom Rechner 2 wird erstmal nicht genutzt.
Netzwerkdose hat nur einen funktionierenden Anschluß.
Rechner 2 geht über Rechner 1 (Internetverbindungsfreigabe) ins Internet.
Freigaben auf Benutzerebene und Datenzugriff und Internetzugang zwischen beiden Rechnern funktionierten mehrere Monate problemlos.
Jetzt tauchen sporadisch 1 bis mehrmals am Tag Verbindungsabbrüche zwischen den beiden Rechnern auf. Neustart (manchmal mehrfach) der beiden Rechner behob das Problem nur bis zum nächsten Abbruch. Die Windows Protokolle gaben nicht viel her.
Habe dann erstmal andere Netzwerkarten und-Kabel getestet, die Netzwerktreiber neu installiert und eingerichtet ohne Erfolg. Andere Programme sollen nicht installiert worden sein.
Zufällig war ich dann nach einem Verbindungsabbruch in der Nähe und konnte mir das direkt mal anschauen. Hier tauchten dann im Systemprotokoll der Fehler auf:
IPNATHLP: „Die DHCP-Zuweisung wurde für IP-Adresse 10.0.0.11 deaktiviert, da die IP-Adresse außerhalb des Bereichs 192.168.0.0/255.255.255.0 liegt..... Nachlesen brachte ein Problem mit der Internetverbindungsfreigabe von Windows, da die wohl auf 192.168.0.1 festgeschrieben ist.
Frage mich warum hat das vorher mehrere Monate funktioniert?
Habe jetzt damit er arbeiten kann beide Rechner am Switch, und den Switch an die Netzwerkdose angeschlossen. IP-Adressen werden automatisch bezogen vom Router. Funktioniert auch wohl. Im Router darf ich vorerst keine Einstellungen verändern.
Meine Fragen:
Frage 1: Wie kann ich mit der vorhandene Technik ein sauber arbeitendes Netzwerk herstellen.
Frage 1a: Macht es Sinn die beiden Rechner per Crossover-Kabel zu verbinden und mit den anderen beiden freien NICs über den Switch ins Internet zu gehen (nur sone Idee
?Frage 2: Ist die jetzige Konstellation einigermaßen sicher gegen Zugriff von anderen Rechnern der Bürogemeinschaft, die auch am Router hängen und automatisch ihre IPs bekommen?
Ich hoffe der viele Text schreckt nicht ab.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 130438
Url: https://administrator.de/contentid/130438
Printed on: April 18, 2024 at 11:04 o'clock
4 Comments
Latest comment
Die Wahl von 10.0.0.0 mit der klassischen 8 Bit Class A Netzmaske (es ist übrigens KEIN Subnetz !) war nicht gerade intelligent, denn es ist möglich das das innerhalb der Bürogeminschaft in einem chaotischen Umfeld auch mal genutzt wird oder fehlerhaft installiert wird.
Vermutlich wird das Bürogemeinschaftsnetz dilettantisch als komplett flaches Netz betrieben was schon die laienhafte Benutzung der 192.168.1.0er IP Adresse (default Linksys) erahnen lässt. Besser und sicherer wäre hier das Aufteilen der einzelnen Gemeinschaften auf dedizierte VLANs und die dann ins Internet zu routen.
Letztlich ist dein Ansatz den du oben gewählt hast aber durchaus richtig und auch sehr sinnvoll.
Um hier sicherzugehen solltest du das Design beibehalten aber einen etwas sichereren IP Adressbereich für sein Internet Netzwerk wählen.
Nimm also z.B. etwas exotischeres wie 10.168.50.0 /24 oder 10.16.144.0 /24 also etwas abseits des Standardnetzes 10.0.0.0 und das immer mit einer 24 Bit Subnetzmakske 255.255.255.0.
Du steckst allerdings damit in einem Dilemma:
Dieses Tutorial beschreibt dir dein Design ent Detail:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Betrachtest du dir das Kapitel mit der Internetverbindugsfreigabe:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Dann siehst du das Windows XP hier IMMER ein IP Netzwerk 192.168.0.0 /24 für das interne Netzwerk erzwingt ! Dein an sich richtiger Ansatz ein 10er netz zu verwenden scheitert mit ICS/NAT also schon im Ansatz und kann niemals funktionieren !
Du musst also zwangsweise intern das 192.168.0.0er Netz verwenden.
Dies geschieht auch sowieso automatisch wenn du ICS/NAT aktivierst schon von selber da Microsoft das fest in XP so kodiert hat !!
Das kannst du also folglich mit deiner 10er IP Adresse gleich vergessen.
Du hast 2 Möglichkeiten:
1.) Du verwendest intern die 192.168.0.0 /24 oder was technisch besser ist um dich unabhängiger zu machen verwendest du einen kleine Router OHNE integriertes DSL Modem wie du ihn in jedem Baumarkt für 20 Euro bekommst.
Nach folgendem Muster schliesst du das dann an:
Internet für die Clients
Basis dafür ist dieser Artikel:
http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html
Denk dir statt "Uni Netz" eben das Bürogemeinschfts Netz !
Mit der 2ten Möglichkeit bist du vollkommen unabhängig von der Bürogemeinschaft, hast zu dem noch eine Firewall zum Schutz des Netzes aktiv und kannst dein 10er Netz betreiben.
Fazit: Dies ist die bessere Lösung !
Vermutlich wird das Bürogemeinschaftsnetz dilettantisch als komplett flaches Netz betrieben was schon die laienhafte Benutzung der 192.168.1.0er IP Adresse (default Linksys) erahnen lässt. Besser und sicherer wäre hier das Aufteilen der einzelnen Gemeinschaften auf dedizierte VLANs und die dann ins Internet zu routen.
Letztlich ist dein Ansatz den du oben gewählt hast aber durchaus richtig und auch sehr sinnvoll.
Um hier sicherzugehen solltest du das Design beibehalten aber einen etwas sichereren IP Adressbereich für sein Internet Netzwerk wählen.
Nimm also z.B. etwas exotischeres wie 10.168.50.0 /24 oder 10.16.144.0 /24 also etwas abseits des Standardnetzes 10.0.0.0 und das immer mit einer 24 Bit Subnetzmakske 255.255.255.0.
Du steckst allerdings damit in einem Dilemma:
Dieses Tutorial beschreibt dir dein Design ent Detail:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Betrachtest du dir das Kapitel mit der Internetverbindugsfreigabe:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Dann siehst du das Windows XP hier IMMER ein IP Netzwerk 192.168.0.0 /24 für das interne Netzwerk erzwingt ! Dein an sich richtiger Ansatz ein 10er netz zu verwenden scheitert mit ICS/NAT also schon im Ansatz und kann niemals funktionieren !
Du musst also zwangsweise intern das 192.168.0.0er Netz verwenden.
Dies geschieht auch sowieso automatisch wenn du ICS/NAT aktivierst schon von selber da Microsoft das fest in XP so kodiert hat !!
Das kannst du also folglich mit deiner 10er IP Adresse gleich vergessen.
Du hast 2 Möglichkeiten:
1.) Du verwendest intern die 192.168.0.0 /24 oder was technisch besser ist um dich unabhängiger zu machen verwendest du einen kleine Router OHNE integriertes DSL Modem wie du ihn in jedem Baumarkt für 20 Euro bekommst.
Nach folgendem Muster schliesst du das dann an:
Internet für die Clients
Basis dafür ist dieser Artikel:
http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html
Mit der 2ten Möglichkeit bist du vollkommen unabhängig von der Bürogemeinschaft, hast zu dem noch eine Firewall zum Schutz des Netzes aktiv und kannst dein 10er Netz betreiben.
Fazit: Dies ist die bessere Lösung !
Erstmal Danke für die ausführliche Antwort und die Artikelhinweise.
Werde das ganze mit einem zusätzlichen Router probieren. Hatte das aber unter anderem mir bisher nicht getraut, da ich gelesen hatte, das zwei miteinander verbundene Router Probleme machen können.
Das Netz zwischen den beiden Rechnern werde ich dann z.B. auf 10.16.144.0/24 konfigurieren.
Zum Verständnis für mich: Der neue Router schickt dann alle IP-Pakete die die beiden PCs betreffen zum jeweiligen Rechner und ansonsten routet er InternetPakete zum Gemeinschaftsrouter (Linksys 54) und er diese ins Internet.
Ja das Gemeinschafts-Netz ist, wie du sagst, sehr flach eingerichtet. Es gibt wohl keinerlei Trennung, wie z.B. über VLAN. Deswegen auch meine Bedenken zur Sicherheit, wenn ich im einfachsten Fall den gemeinschaftlichen Router zur IP-Vergabe über DHCP verwende.
2 Fragen noch:
1. Am Gemeinschaftsrouter muß ich dann nichts mehr einstellen, da ich auf den (bisher) nichts verändern darf? Da verwirrt mich der Heise Artikel eher wieder.
2. Von dem internen Router verwende ich eher den WAN-Anschluß oder einen der normalen LAN-Anschlüsse? Finde dazu unterschiedliche Aussagen, aber die statische IP wird nach meinem Verständnis über den WAN-Anschluss realisiert (habe noch älteren Router smc7004vbr mit WAN-Anschluß liegen, den ich verwenden wollte)
Werde das ganze mit einem zusätzlichen Router probieren. Hatte das aber unter anderem mir bisher nicht getraut, da ich gelesen
hatte, das zwei miteinander verbundene Router Probleme machen können.Das Netz zwischen den beiden Rechnern werde ich dann z.B. auf 10.16.144.0/24 konfigurieren.
Zum Verständnis für mich: Der neue Router schickt dann alle IP-Pakete die die beiden PCs betreffen zum jeweiligen Rechner und ansonsten routet er InternetPakete zum Gemeinschaftsrouter (Linksys 54) und er diese ins Internet.
Ja das Gemeinschafts-Netz ist, wie du sagst, sehr flach eingerichtet. Es gibt wohl keinerlei Trennung, wie z.B. über VLAN. Deswegen auch meine Bedenken zur Sicherheit, wenn ich im einfachsten Fall den gemeinschaftlichen Router zur IP-Vergabe über DHCP verwende.
2 Fragen noch:
1. Am Gemeinschaftsrouter muß ich dann nichts mehr einstellen, da ich auf den (bisher) nichts verändern darf? Da verwirrt mich der Heise Artikel eher wieder
.2. Von dem internen Router verwende ich eher den WAN-Anschluß oder einen der normalen LAN-Anschlüsse? Finde dazu unterschiedliche Aussagen, aber die statische IP wird nach meinem Verständnis über den WAN-Anschluss realisiert (habe noch älteren Router smc7004vbr mit WAN-Anschluß liegen, den ich verwenden wollte)
.
"Zum Verständnis für mich: Der neue Router schickt dann alle IP-Pakete die die beiden PCs betreffen zum jeweiligen Rechner..."
A.: Jein, in dem Router ist so gut wie immer ein kleiner 4 Port LAN Switch integriert. Der fungiert dann als kleiner normaler Lan Switch auf MAC Adressbasis. Routen tut der Router diesen traffic nicht sondern nur das was über sein WAN/DSL Interface ins Gemeinschaftsnetz rausgeht !
Zu deinen beiden Fragen:
1.)
Nein, natürlich nicht. Dadurch das dein neuer Bürorouter NAT macht und dein 10.16.144 /24er Netzwerk per IP Adress Translation (NAT) auf eine IP des Büro Geminschaft Netzwerkes umsetzt "sieht" der Gemeinschaftsrouter ja gar nix von dem 10er Netzwerk sondern sieht nur eine IP Adresse aus seinem LAN.
Das ist ja grad der pfiffige Trick mit dem NAT Router oder NAT generell, das man an Routern dahinter nix fummeln muss ! Warum auch denn durch NAT denken sie ja es ist ein lokaler Client !!
Warum dich da der Heise Artikel da verwirrt ist vollkommen unverständlich, denn der erklärt das auch für blutige Laien recht anschaulich
2.)
Wieso "eher" den WAN Anschluss ??? Natürlich nur den !! Welchen denn sonst ???
Wie willst du denn bitte vom LAN Anschluss auf dem dein 10.16.144.0 /24 Netzwerk rennt, dann noch irgendwie ins Gemeinschaftsnetzwerk routen. Der Router kann doch niemals auf dem gleichen Interface in ein anderes Netzwerk routen. Das wäre doch auch vollkommen kontraproduktiv, denn so hättest du in puncto Sicherheit ja alles wieder auf einem Draht.
Vergiss also diesen Unsinn ganz schnell wieder.
Dir ist nicht wirklich klar wie Routing funktioniert, oder ?? Halte dich dann an diesen Thread
Internet für die Clients
Denk dir statt "Uni Netz" eben das Bürogemeinschafts Netz !
(Sorry...da ist der Link oben durcheinandergekommen !!)
Damit klappt es dann auf Anhieb !!
"Zum Verständnis für mich: Der neue Router schickt dann alle IP-Pakete die die beiden PCs betreffen zum jeweiligen Rechner..."
A.: Jein, in dem Router ist so gut wie immer ein kleiner 4 Port LAN Switch integriert. Der fungiert dann als kleiner normaler Lan Switch auf MAC Adressbasis. Routen tut der Router diesen traffic nicht sondern nur das was über sein WAN/DSL Interface ins Gemeinschaftsnetz rausgeht !
Zu deinen beiden Fragen:
1.)
Nein, natürlich nicht. Dadurch das dein neuer Bürorouter NAT macht und dein 10.16.144 /24er Netzwerk per IP Adress Translation (NAT) auf eine IP des Büro Geminschaft Netzwerkes umsetzt "sieht" der Gemeinschaftsrouter ja gar nix von dem 10er Netzwerk sondern sieht nur eine IP Adresse aus seinem LAN.
Das ist ja grad der pfiffige Trick mit dem NAT Router oder NAT generell, das man an Routern dahinter nix fummeln muss ! Warum auch denn durch NAT denken sie ja es ist ein lokaler Client !!
Warum dich da der Heise Artikel da verwirrt ist vollkommen unverständlich, denn der erklärt das auch für blutige Laien recht anschaulich
2.)
Wieso "eher" den WAN Anschluss ??? Natürlich nur den !! Welchen denn sonst ???
Wie willst du denn bitte vom LAN Anschluss auf dem dein 10.16.144.0 /24 Netzwerk rennt, dann noch irgendwie ins Gemeinschaftsnetzwerk routen. Der Router kann doch niemals auf dem gleichen Interface in ein anderes Netzwerk routen. Das wäre doch auch vollkommen kontraproduktiv, denn so hättest du in puncto Sicherheit ja alles wieder auf einem Draht.
Vergiss also diesen Unsinn ganz schnell wieder.
Dir ist nicht wirklich klar wie Routing funktioniert, oder ?? Halte dich dann an diesen Thread
Internet für die Clients
Denk dir statt "Uni Netz" eben das Bürogemeinschafts Netz !
(Sorry...da ist der Link oben durcheinandergekommen !!)
Damit klappt es dann auf Anhieb !!
Ok funktioniert natürlich wie aqui beschrieben. Hab nen kleinen Router genommen.
Ja habe glaube zuviel gelesen, deswegen die Verwirrung über Routing und so.
Danke nochmals.
Ja habe glaube zuviel gelesen, deswegen die Verwirrung über Routing und so.
Danke nochmals.
