Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Class B mit Class C Netz verbinden

Frage Netzwerke LAN, WAN, Wireless

Mitglied: 28366

28366 (Level 1)

09.12.2008, aktualisiert 11.12.2008, 9581 Aufrufe, 13 Kommentare

Hallo mein Problem
ich habe einmal ein Class C Netz

IP: 192.168.0.1
Netmask: 255.255.255.0

und ein Class B Netz

IP: 172.16.0.1
Netmask: 255.255.0.0


beide netze sollen unter einander Komunizieren auf ip und NetBios basis


class B kann ip seitig mit class C Kommunizieren

aber von Class C nach Class B funktioniert nicht


beide netze sollen via TCP/IP und NetBios erreichbar sein.

____________________________________________________________________________________________________________

Zum Aufbau:


Haupt Router für Internet verbindung und Class C Netz

Speedport W700V FW Ver. 3.26.0.0


Zweiter Router für Class B Netz

D-Link DL-624+ FW Ver. 2.09 HW Ver. B2

Statische ip: 192.168.0.7 (assigned by your ISP)(Speedport W700V)
netmask: 255.255.255.0
ISP GW : 192.168.0.1
Prim DNS: 192.168.0.1

sinn der sache ist:
ein sogenanntes Verwaltungs Netz und ein sogenanntes Schulnetz auf zu bauen.

ich suche eine kosten günstige lösung am besten eine Kost nix Lösung
Mitglied: markozz
09.12.2008 um 19:50 Uhr
Zitat von 28366:
beide netze sollen unter einander Komunizieren auf ip und NetBios basis

Dann benötigst du einen 3. Router welcher Anfragen aus dem C-Netz in das B-Netz routet (und zurück). Aber was soll dann die Trennung der Netze bewirken, wenn alle PCs ohnehin via TCP kommunizieren können?!? Selbst Freigaben (Datei/Drucker) währen dann erreichbar...

... Nachtrag: Router2 muss an der WAN-Seite einen Gateway bekommen... (die IP des Router1) Dann sollte das so funktionieren. Dann müsstest du aber noch die "Verwaltung" in das B-Netz stecken, die "Schüler" in das C-Netz. Jetzt können die Mitarbeiter aus Verwaltung auf die Freigaben oder Drucker der Schüler zugreifen, anders herum aber nicht. (denk ich, müsste ich mal testen...)
Bitte warten ..
Mitglied: Rafiki
09.12.2008 um 20:26 Uhr
Wenn ich deinen Text richtig interpretiert habe dann entspricht der gegenwärtige Aufbau in seiner Logik einer DMZ hinter der dann noch einmal zusätzlich geschützt das Verwaltungsnetzwerk steht. Wie auch in dem Artikel der c't beschrieben. http://www.heise.de/netze/DMZ-selbst-gebaut--/artikel/78397 Beachte auch das Bild in dem Artikel.

Soweit finde ich den Aufbau gut und richtig denn das Verwaltungsnetzwerk wird vor neugierigen Schülern geschützt. Wenn du das ändern möchtest, also die Schüler sollen an die Computer in dem Verwaltungsnetzwerk kommen, dann kannst du die NAT Funktion auf dem zweiten Router abschalten und auf dem ersten Router eine zusätzliche Route eintragen, damit die Adressen auch erreichbar werden.
Router 192.168.0.1 muss lernen: Netzwerk 172.16.0.0 liegt hinter 192.168.0.7 In der Regel geht das auf dem Webinterface von einem DSL Router unter Erweiterte Einstellungen einzutragen.
Aber noch mal ganz deutlich: Damit wird das Verwaltungsnetzwerk von dem Schülernetzwerk aus erreichbar und angreifbar!

Wenn du hingegen nur einen Dienst von einem Server im Verwaltungsnetzwerk den Schülern anbieten möchtest, z.B. eine Webseite mit aktuellen Informationen, dann hingegen lasse das NAT eingeschaltet und trage auf den zweiten Router eine entsprechende Portweiterleitung für Port 80 auf den Webserver im Verwaltungsnetzwerk ein.

Gruß Rafiki
Bitte warten ..
Mitglied: 28366
09.12.2008 um 21:13 Uhr
also zum Verständniss:


Speedport W700V Hauptrouter T-Com
(Router 1)192.168.0.1 netz C-Netz
|
|



|
|
Dlink DL624+ (Router 2)B-Netz
|
|
netz 172.16.0.1

Router 2 bekommt die GW Adresse von Router 1

Router 2
ISP GateWay : 192.168.0.1
Prim. DNS: 192.168.0.1


Router 1 ist mit dem DSL Verbunden und beherbergt das C Netz

beide netze sollen gegenseittig auf freigegebene Resourcen und Internet zugreifen können

verbindungen zu class c und zurück zu b
Bitte warten ..
Mitglied: dog
09.12.2008 um 22:45 Uhr
Hallo,

nimm bitte diesen Hinweis ernst: Auch wenn es von verschiedenen Herstellern Lösungen gibt um ein Schulnetz und ein Verwaltungsnetz über ein Gerät abzuwickeln, sollten diese beiden Netze niemals(!) eine physikalische Verbindung besitzen.
Hier tun sich sonst Abgründe auf, die eine Menge Ärger bedeuten können.

Was aber dein Problem angeht: Der Dlink ist ein NAT-Router (und das lässt sich IMHO bei diesem Modell auch nicht deaktivieren), was bedeutet, dass er nicht wirklich routet sondern eher ein transparenter Proxy ist.
Anfragen die LAN-Seitig vom Dlink kommen werden nicht mit der tatsächlichen IP weitergeleitet, sondern mit der des Dlink und Anfragen aus dem WAN-seitigen Netzwerk werden erst gar nicht beantwortet.

Wenn du unbedingt willst, dass beide Netzwerke sich einen Internetanschluss teilen brauchst du 3 Router:

Einen ganz normalen NAT-Router (den Speedport), der am Internet hängt
und zwei weitere die jeweils an Schul und Verwaltungsnetz hängen (auch die sollten im NAT-Modus betrieben werden) und mit dem Speedport verbunden sind.

So hast du effektiv 3 Netzwerke:
A- Schulnetz (z.B. 172.16.0.0 / 255.255.0.0)
B- Verwaltungsnetz (z.B. 192.168.0.0 / 255.255.255.0)
C- Netz mit den 3 Routern drin (z.B. 192.168.10.0 / 255.255.255.0)

Dadurch verhinderst du, dass User zwischen Netzwerk A und B kommunizieren können - Ein Datenaustausch ist hier definitiv ein No-Go!

Grüße

Max
Bitte warten ..
Mitglied: Spezitrinker
10.12.2008 um 07:53 Uhr
Zitat von dog:
Hallo,

nimm bitte diesen Hinweis ernst: Auch wenn es von verschiedenen
Herstellern Lösungen gibt um ein Schulnetz und ein
Verwaltungsnetz über ein Gerät abzuwickeln, sollten diese
beiden Netze niemals(!) eine physikalische Verbindung besitzen.
Hier tun sich sonst Abgründe auf, die eine Menge Ärger
bedeuten können.


In diesem Punkt kann ich dir nicht zustimmen. Wir haben auch in einer Schule das Netzwerk neu aufgebaut und dabei 2 V-Lan eingerichtet. Dadurch entsteht zwar ein physikalische Verbindung aber nicht die geringste Gefahr für das Verwaltungsnetz.
Die Lehrer gehen dann übrigens über einen VPN-Tunnel ins Verwaltungsnetz wenn Sie im Klassenzimmer mit dem Schülernetz sitzen.
Bitte warten ..
Mitglied: 28366
10.12.2008 um 09:40 Uhr
gibt es für mein problem auch ne 2 Router lösung da noch ein web und VPN Server verwaltungsseitig eingebunden sind der auch via schulnetz erreichbar sein soll Die netze sollen miteinander und untereinander Physikalich kommunizieren

desweiteren ist es gewüncht das Schüler auf bestimmte Freigaben im Verwaltungs netz zugriff haben ordner Black board mit infos und Arbeitsunterlagen für die schüler von der verwaltung.

man soll sich von aussen via vpn ins netz winloggen können um etwa im Krankheits falle sich die arbeitsunterlagen mühe los holen zu können.
Bitte warten ..
Mitglied: 28366
10.12.2008 um 09:48 Uhr
Zitat von dog:
Hallo,

nimm bitte diesen Hinweis ernst: Auch wenn es von verschiedenen
Herstellern Lösungen gibt um ein Schulnetz und ein
Verwaltungsnetz über ein Gerät abzuwickeln, sollten diese
beiden Netze niemals(!) eine physikalische Verbindung besitzen.
Hier tun sich sonst Abgründe auf, die eine Menge Ärger
bedeuten können.

Was aber dein Problem angeht: Der Dlink ist ein NAT-Router (und das
lässt sich IMHO bei diesem Modell auch nicht deaktivieren), was
bedeutet, dass er nicht wirklich routet sondern eher ein transparenter
Proxy ist.
Anfragen die LAN-Seitig vom Dlink kommen werden nicht mit der
tatsächlichen IP weitergeleitet, sondern mit der des Dlink und
Anfragen aus dem WAN-seitigen Netzwerk werden erst gar nicht
beantwortet.

Wenn du unbedingt willst, dass beide Netzwerke sich einen
Internetanschluss teilen brauchst du 3 Router:

Einen ganz normalen NAT-Router (den Speedport), der am Internet
hängt
und zwei weitere die jeweils an Schul und Verwaltungsnetz hängen
(auch die sollten im NAT-Modus betrieben werden) und mit dem Speedport
verbunden sind.

So hast du effektiv 3 Netzwerke:
A- Schulnetz (z.B. 172.16.0.0 / 255.255.0.0)
B- Verwaltungsnetz (z.B. 192.168.0.0 / 255.255.255.0)
C- Netz mit den 3 Routern drin (z.B. 192.168.10.0 / 255.255.255.0)

Dadurch verhinderst du, dass User zwischen Netzwerk A und B
kommunizieren können - Ein Datenaustausch ist hier definitiv ein
No-Go!

Grüße

Max


die User sollen zwischen Netz A und B Kommunizieren können
Bitte warten ..
Mitglied: markozz
10.12.2008 um 12:50 Uhr
Also wenn ohnehin alle mit einander kommunizieren sollen (können), dann würde ich der "Einfachheit" halber einen AnmeldeServer (ActiveDirectory) aufsetzen und via GPO die Rechte soweit einschränken wie nötig. Die Schüler, wie auch die Verwaltung sind in eigenen OUs (OrgaUnits) und können auf Netzlaufwerke bzw. via VPN zugreifen. Ich denke das währe die sauberste und sinnvollste Lösung. Den Spaß mit vielen Routern kannst du dir dann sparen. Eine sichere/saubere Lösung mit nur 2 Routern gibt es m.E. nicht! Es gibt auch Open Source Server, die du dafür verwenden kannst (SME-Server). Eventuell lassen sich die einzelnen Netzwerke auch via IPcop (einfach mal googlen) trennen, die Lösung des Problems (Vorhabens) stellt das aber auch noch nicht dar...
Bitte warten ..
Mitglied: dog
10.12.2008 um 13:35 Uhr
Auch Switch-Software kann Bugs und Sicherheitslücken haben.
Vielleicht können Schüler Ports umstecken.
Oder das Management-Interface des Switches ist mangelhaft abgesichert...

Sorry, aber hier geht es um Datenschutzprobleme, bei denen ich keine Spiele mache.

Grüße

Max
Bitte warten ..
Mitglied: Rafiki
10.12.2008 um 17:13 Uhr
Hallo Patrick,

darf ich dich noch einmal ganz höflich auf meinen Kommentar weiter oben hinweisen. Dort habe ich bereits beschrieben wie du mit den beiden vorhandnen Routern auskommst um genau die Kommunikation zu dem VPN und auf eine bestimmte Freigabe zu ermöglichen.

Gruß Rafiki
Bitte warten ..
Mitglied: Spezitrinker
10.12.2008 um 20:10 Uhr
Zitat von dog:
Auch Switch-Software kann Bugs und Sicherheitslücken haben.
Vielleicht können Schüler Ports umstecken.
Oder das Management-Interface des Switches ist mangelhaft
abgesichert...

Sorry, aber hier geht es um Datenschutzprobleme, bei denen ich keine
Spiele mache.

Grüße

Max

Naja, vielleicht hab ich auch auf dem Router das Standard-PW nicht geändert... Solche grundlegenden Sicherheitsaspekte sollten ja in jedem vernünftigen Netzwerk berücksichtigt worden sein. Und wenn Schüler zum Serverraum bzw. Verteilerraum Zugang haben dann läuft sowieso was schief.

Auszug aus Wikipedia zu V-Lan:

http://de.wikipedia.org/wiki/IEEE_802.1q

"Der Standard beschreibt einen Mechanismus, der es erlaubt, dass mehrere virtuelle Netzwerke sich eine gemeinsame physikalische oder logische Schnittstelle teilen, OHNE dabei Sicherheitsaspekte zu beeinträchtigen oder den ungehinderten Datenaustausch zwischen den VLANs zu ermöglichen"
Bitte warten ..
Mitglied: dog
10.12.2008 um 20:25 Uhr
"Der Standard beschreibt einen Mechanismus, der es erlaubt, dass mehrere virtuelle Netzwerke sich eine gemeinsame physikalische oder logische Schnittstelle teilen, OHNE dabei Sicherheitsaspekte zu beeinträchtigen oder den ungehinderten Datenaustausch zwischen den VLANs zu ermöglichen"

Ein Standard verhindert auch nicht einen Implementationsfehler der Hersteller, der nachher zu Sicherheitslücken führt.
Und mittlerweile gibt es alle 2 Monate neue Sicherheitsupdates für Switches - da hab ich nicht unbedingt das volle Vertrauen in die Technik.

Darum geht es mir aber auch weniger: Wichtig ist hier einfach, dass Schulen zu den wenigen Insitutionen gehören, die die meisten und privatesten Daten über Menschen aufbewahren dürfen.
Vor diesem Aspekt und wenn man bedenkt, dass die meisten Schulen nicht mal einen Datenschutzbeauftragten haben finde ich die einzig akzeptable Lösung für ein Verwaltungsnetzwerk eine Black-Box-Lösung.
Selbst USB-Sticks sind hier schon ein gefährliches Zugeständnis, eine Verwebung von Schul- und Verwaltungsnetz käme für mich unter keinen Umständen in Frage.

Grüße

Max
Bitte warten ..
Mitglied: aqui
11.12.2008 um 13:35 Uhr
Die Lösung vom Spezitrinker ist im Ansatz richtig, denn 2 VLANs sind auf einem VLAN fähigen Switch erstmal vollkommen getrennt physikalsich.

Die von ihm propagierte VPN Verbindung erfordert dann aber wiederum eine Layer 3 (Routing) Kopplung dieser VLANs, womit man sie dann letztlich IP seitig wieder zusammenschaltet und man sich wieder in Sicherheitsprobleme begibt.
Vermutlich hat der Spezitrinker seinen VLAN Router dann aber mit Accesslisten so dichtgemacht das nur eine VPN Verbindung erlaubt ist, dann wird wieder ein Schuh draus denn sonst gilt das was Dog geschrieben hat !!!

Eine vollkommen transparente IP Kopplung der beiden Netze ist aber so natürlich nicht möglich. Generell stellt das ein erhebliches Sicherheitsproblem in einer Schule dar, keine Frage.

Deshalb solltest du auf das von Rafiki angesprochene Konzept gehen mit deinen beiden Routern:

http://www.heise.de/netze/DMZ-selbst-gebaut--/artikel/78397

Das löst dein Problem !
Natürlich kommst du NICHT vom Schulnetz ins Verwaltungsnetz, was ja Sinn dieser Mini DMZ Lösung ist !
Grund dafür ist das dein D-Link ja NAT (IP Adress Translation) macht am WAN/DSL Port und die NAT Firewall kannst du NICHT ohne einen Port Forwarding Eintrag im D-Link überwinden !!!
Das ist auch der angebliche Fehler den du siehst und oben beschreibst.
Auch für VPN und Webserver im Verwaltungsnetz musst du dafür Port Forwarding Einträge im D-Link einstellen, sonst ist ein Zugriff ins Verwaltungsnetz aus dem Schulnetz nicht möglich mit dieser Lösung.

Besser ist generell du löst sowas mit einer dedizierten Firewall wie IP-Cop oder Monowall die du auf einem alten Rechner installierst oder auf einer dedizierten Appliance wie z.B. hier beschrieben:

http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html

Damit hast du die eierlegende Wollmilchsau und dein Problem sauber gelöst....und sogar noch ein Projekt für die Computer AG an der Schule...!
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
Frage zu Class B und C Netzwerk
Frage von deniska93Netzwerkgrundlagen4 Kommentare

Hallo liebes Forum. Kann ein Netz 10.1.9.0 mit 255.255.255.0 Bestandteil vom Netz 10.1.0.0 mit 255.255.0.0 sein? LG

Netzwerkmanagement
Class C Netz langsam voll - Alternative gesucht
gelöst Frage von mario87Netzwerkmanagement11 Kommentare

Hallo zusammen, ich bin am überlegen das vorhandene Class C Netz durch ein Class B Netz zu ersetzen, da ...

Windows Server
Reverse Lookupzone im Class C Subnetz
Frage von timMekkWindows Server3 Kommentare

Moin moin, ich stehe gerade vor dem Problem, dass wir unsere IP Address-Struktur umgestellt werden muss und wir dazu ...

Router & Routing
Routing von 169.254.x.x - Class B Netzwerken
gelöst Frage von 14116Router & Routing7 Kommentare

Hallo Leute, einer meiner Kunden verwendete bislang Juniper SSG5 Firewalls um seine Anlagen im Felde per VPN zu erreichen. ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Sicherheitslücke Spectre und Meltdown: Status prüfen

Anleitung von Frank vor 5 StundenErkennung und -Abwehr1 Kommentar

Nach all den Updates der letzten Woche sollte man unbedingt auch den Status prüfen, ob die Sicherheitslücke Spectre und ...

Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 1 TagMicrosoft Office9 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 1 TagDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

SAN, NAS, DAS

Backdoor Zugang und Upload-Bug in vielen Western Digital MyCloud Geräten

Information von Frank vor 1 TagSAN, NAS, DAS2 Kommentare

James Bercegay von der Firma Gulftech hat die Fehler an Western Digital gemeldet und das Unternehmen stellt bereits ein ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner15 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Windows Netzwerk
Drucker isolieren in Windows Domäne
gelöst Frage von lcer00Windows Netzwerk14 Kommentare

Hallo zusammen, habe eine Windows-AD (2012R2) in der es einen Druckerserver gibt. Mittlerweile verliere ich das Vertrauen in die ...