Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Teil des Netzwerks verstecken - funktioniert das so ?

Mitglied: MrMimi

MrMimi (Level 1) - Jetzt verbinden

23.11.2010, aktualisiert 18.10.2012, 4940 Aufrufe, 6 Kommentare

Hallo zusammen,


wir haben auf der Arbeit vor unsere Maschinen an Rechner/unser Netzwerk zu schließen. Diesen Teil des Netzwerks wollen wir vor unserem restlichen Netzwerk verstecken, bzw nur von einem Rechner zugänglich machen...
Das ganze soll möglichst kostengünstig/wenig Zeit in Anspruch nehmen. Da unsere Rechtevergabe schon längst der reine Horror ist, und ich mich da erst garnicht ranwagen will, dachte ich mir, das ganze mit einer Firewall bzw einem MAC-Filter zu erledigen (TP Link router kostet 15€, also schon sehr billig, Einrichtungszeit ~10min)

Alles ist im gleichen Subnet. Aber nur ein Rechner ist per MAC-Filter dazu befugt über den Router zu gehen, in unser abgeschottetes Teilsegment....

unten die Zeichnung...


ca7e0b7d2976d2fd32d54a6eac208ebd - Klicke auf das Bild, um es zu vergrößern


funktioniert das so einfach wie ich mir das vorstelle ?
Mitglied: Nagus
23.11.2010 um 17:56 Uhr
Moin,
die Rechner hängen doch an einem Switch? Wenn dieser konfigurierbar ist, würde ich ein VLAN A und ein VLAN B einrichten. Der Rechner der Zugriff auf beide Lans haben soll, muss dann nur in beiden VLANS sein. Auf der Netzwerkkarte muss dann aber das VLAN Tagging aktiviert sein (soweit ich mich entsinne ..)

Als Alternative: ein zweites Subnetz aufbauen und dem Rechner der in beiden Netzen sein soll eine zweite Netzwerkkarte spendieren.

Mac Adressen kannst du bei der jeder Netzwerkkarte auch manuell vergeben - ich glaube nicht dass dies eine sinnvolle Lösung ist. Alternativ kann nach meinem Verständnis sonst nur eine Firewall dazwischen. Nur dann ist dein gemaltes Bild auch "sauber". Für den Traffic gibt es dann eben die Regel, dass nur eine IP-Adresse (die dann Statisch sein sollte) auf das andere Netz zugreifen darf. Allerdings würde ich dann auch wieder eine anderes Sub-Netz aufbauen.
Bitte warten ..
Mitglied: MrMimi
23.11.2010 um 19:08 Uhr
Switchs sind der letzte Dreck :P haben sogar noch Hubs in gebrauch... wollen wir einfach nciht weiter drüber reden

vor einem wirklichen Angriff soll das ganze nciht schützen, sondern nur vor dummen Usern.... Ansich finde ich das zwar auch überflüssig, aber wir haben da so den ein oder anderen idioten in der Firma, der darauf besteht.....
MAC Adresse kann man nur mit einem extr Tool ändern, nicht wahr ? und dann wär das ganze jaschon böswillig.. davor soll das ganze ja nicht schützen...
eine Firewall ist ja auch auf sonem billig Router drauf ;P Regeln kann man damit ja auch erstellen... ich frag mich grad bloss wie die aussehen sollten:
alles aus Netz B kann raus, aber nichts außer MAC Adresse XXX kann rein ? dann müsste ich nur noch die Ports für DHCP Request frei schalten oder ?
Bitte warten ..
Mitglied: manuel-r
23.11.2010 um 20:05 Uhr
Warum nicht so, wie es eigentlich vorgesehen ist?
Die Maschinen usw. in ein eigenes Subnet hängen, einen Router zwischen Hauptnetz und Nebennetz und auf den PCs, die in dieses Netz kommen sollen eine entsprechende Route setzen. Wenn es noch sicherer sein soll von den berechtigten PCs aus ein VPN in das Produktionsnetz einrichten.
Bitte warten ..
Mitglied: MrMimi
23.11.2010 um 21:39 Uhr
okay, also ich hab mir ein paar gedanken dazu gemacht, ich hoffe ihr versteht mich, und könnt mir weiter helfen

nochmal von Anfang an:

ich will 2 Netze voneinander trennen. von Netz A soll niemand außer ein einziger Rechner die Möglichkeit haben auf Netz B zugreifen zu können. Netz B soll wiederrum auf alle Ressourcen in Netz A zugreifen können, und auch ins Internet können....

unten der beschriebene Aufbau.
Ansich ist auch klar. Wollte mich nur mal vergewissern, ob das so funktionieren kann

[img]http://img202.imageshack.us/img202/1130/unbenanntzbv.jpg[/img]


Netz A:
Netz 192.168.0.0
Maske: 255.255.255.0
Gateway: 192.168.0.253

Netz B:
Netz: 192.168.10.0
Maske: 255.255.255.0
Gateway: 192.168.10.254

Router1 Schnittstelle 1:
IP 192.168.0.254
Maske: 255.255.255.0
Gateway: 192.168.0.253

Router1 Schnittstelle 2:
IP: 192.168.10.254
Maske: 255.255.255.0
Gateway: 192.168.0.254

so, das sollte ja bis jetzt dafür sorgen, dass zwar Netz B in Netz A und darüber auch ins Internet kann, Netz A aber nicht in Netz B kommt, oder ? oder muss ich dann erstmal jeglichen Traffic auf Router 1 verbieten, der von Schnittstelle 1 empfangen wird ?

2. Frage: Damit jetzt NUR ein einziger Rechner aus Netz A mit Netz B kommunizieren kann, muss ich ja eine statische Route auf dem Router 1 eintragen:

Destination IP
--> der Rechner, dem die kommunikation mit Netz B erlaubt werden soll
Subnet Mask
--> die Maske des Rechners..
Default Gateway
--> hier wirds jetzt spannend
das sollte Router 1 Schnittstelle 2 sein, oder ?


sooo, jetzt noch die ein oder andere Frage ;P


Wenn der besagte Rechner, für den die statische Route eingerichtet wurde, in Netz B will, dann sendet er an sein Gateway, weil es ja nicht in seinem Netz ist, also die 192.168.0.253 (<-- Gateway Netz A)
Merkt Router 2 jetzt, dass es sich um eine private IP Adresse handelt, und lässt das Paket nicht nach draussen ? (sollte doch so sein oder )
Wenn das passiert ist leitet Router 2 die Verbindung weiter zu Router 1 und der routet das ganze dann weiter in Netz B. Richtig, oder speilt sich da was anderes ab ?^^

und eine letzte Frage:
wir gehen noch immer davon aus alles funktioniert. Netz A kann bis auf ein Rechner nicht mit Netz B kommunizieren. Netz B kann mit Netz A kommunizieren und auch ins Internet...
Wie sieht das ganze aus, wenn die Rechner einen DHCP Request starten ? Der DHCP steht in Netz A. Die Clients in Netz B senden den Request. Er geht ohne Probleme über Router 1 in Netz A. Der DHCP empfängt den Request, und Antwortet darauf mit einer passenden IP des Subnetzes (wie ich das richtig einrichte, dass der DHCP weiß welche IPs er für die Rechner nehmen soll weiß ich zwar noch nicht, aber das sollte schon klappen ;D). Bleibt die Antwort des DHCP jetzt an Router 1 hängen, und wird nciht weiter geleitet ? ein DHCP Request wird ja mit UDP verschickt, also Verbindungslos... somit funktioniert das ganze ja nicht so einfach, wie wenn die Rechner mit dem Internet eine Verbindung aufbauen.
Muss ich dafür jetzt auch noch eine statische Route einrichten, damit der DHCP ebenfalls in Netz B rein darf ? oder erkennt der Router das ??



Vielen Dank, wenn ihr euch die Mühe gemacht habt, das ganze zu lesen.
Über Hilfe würde ich mich sehr freuen!
Bitte warten ..
Mitglied: manuel-r
24.11.2010 um 08:55 Uhr
Wenn der besagte Rechner, für den die statische Route eingerichtet wurde, in Netz B will, dann sendet er an sein Gateway, weil es ja nicht in seinem Netz ist, also die 192.168.0.253 (<-- Gateway Netz A)

Genau deswegen solltest/musst du auf dem fraglichen Rechner eine statische Route zu Netz B eintragen. Alles wofür es keine Route gibt geht ans Standard-Gateway. Und das kann in deinem Fall nichts mit den Paketen anfangen und sollte sie eigentlich auch verwerfen, weil Pakete für private Adressräume im Internet nichts verloren haben.
Anders sieht es aus, wenn du das Netz B hinter Router 2 hängst falls der ein zweites Interface hat. Dann kannst du auf diesem Router einstellen, wohin die Pakete für Netz B geroutet werden. Daher auch der Name

Wenn das passiert ist leitet Router 2 die Verbindung weiter zu Router 1 und der routet das ganze dann weiter in Netz B. Richtig, oder speilt sich da was anderes ab ?

Ohne statische Route kommen die Pakete nie bei Router 2 an. Wie oben schon geschrieben geht alles wofür es keine Route gibt ans Standard-Gateway in der "Hoffnung", dass dieses damit was anfangen kann und den Weg schon wissen wird.

Wie sieht das ganze aus, wenn die Rechner einen DHCP Request starten?

DHCP-Request gehen per Broadcast ins Netz und Broadcasts gehen per Definition nicht über einen Router (und damit auch ein Subnet) hinaus. Wenn du das unbedingt haben willst musst du in Netz B ein DHCP-Relay einrichten. Oder, und das würde ich machen, einen eigenen DHCP-Server.
Bitte warten ..
Mitglied: aqui
25.11.2010, aktualisiert 18.10.2012
Nimm ne kleine_Firewall und dein Problem ist im Handumdrehen gelöst ! Die kannst du customizen wie du es möchtest und löst auch dein DHCP Problem.

P.S.: Warum immer der überflüssige Unsinn mit externen Bilderlinks ala Imageshack ? Hast du übersehen das admin.de eine Bilder Upload Funktion hat. ??
Originalthread mit Klick, auf "Bearbeiten Editieren, Bilder Upload Button klicken, Bild Hochladen, erscheindenden Bild URL cut and pasten und in die Antwort (oder jeden anderen Text) kopieren...fertig ! Einfacher gehts nun wirklich nicht und erspart der Community hier Zwangswerbung bei Imageshack anzusehen
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Beamer im Netzwerk verstecken
Frage von HalbgottLAN, WAN, Wireless9 Kommentare

Hallo, in einem Schulungsraum von uns ist ein neuer Beamer (Benq GP20) installiert worden. Die PCs befinden sich alle ...

LAN, WAN, Wireless
Netzwerk in 2 Teile trennen
gelöst Frage von pattexLAN, WAN, Wireless12 Kommentare

Hallo zusammen, ich benötige mal die Tipps der Profis für folgende Aufgabe: Ich möchte ein bestehendes Gbit-Netzwerk mit 10 ...

Windows 8

Laufwerk im Netzwerk komplett verstecken und vom Fremdzugriff schützen

Frage von EstefaniaWindows 89 Kommentare

Hi. Ich habe auf meinem Notebook welches ich privat und geschäftlich nutze, ein lokales, privates Laufwerk (verschlüsselte Daten) eingerichtet ...

Windows Server

Berechtigungen verstecken

Frage von imacerWindows Server5 Kommentare

Hallo zusammen, ist es möglich, das Anzeigen der Berechtigungen den Benutzern auf einem Windows Server 2008 R2 zu verweigern? ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 5 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 7 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 7 StundenMicrosoft7 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 2 TagenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1026 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Server
Route-Befehl Unterstützung (unter CMD)
Frage von FKRR56Server12 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...