Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Class B mit Class C Netz verbinden

Frage Netzwerke LAN, WAN, Wireless

Mitglied: 28366

28366 (Level 1)

09.12.2008, aktualisiert 11.12.2008, 8967 Aufrufe, 13 Kommentare

Hallo mein Problem
ich habe einmal ein Class C Netz

IP: 192.168.0.1
Netmask: 255.255.255.0

und ein Class B Netz

IP: 172.16.0.1
Netmask: 255.255.0.0


beide netze sollen unter einander Komunizieren auf ip und NetBios basis


class B kann ip seitig mit class C Kommunizieren

aber von Class C nach Class B funktioniert nicht


beide netze sollen via TCP/IP und NetBios erreichbar sein.

____________________________________________________________________________________________________________

Zum Aufbau:


Haupt Router für Internet verbindung und Class C Netz

Speedport W700V FW Ver. 3.26.0.0


Zweiter Router für Class B Netz

D-Link DL-624+ FW Ver. 2.09 HW Ver. B2

Statische ip: 192.168.0.7 (assigned by your ISP)(Speedport W700V)
netmask: 255.255.255.0
ISP GW : 192.168.0.1
Prim DNS: 192.168.0.1

sinn der sache ist:
ein sogenanntes Verwaltungs Netz und ein sogenanntes Schulnetz auf zu bauen.

ich suche eine kosten günstige lösung am besten eine Kost nix Lösung
Mitglied: markozz
09.12.2008 um 19:50 Uhr
Zitat von 28366:
beide netze sollen unter einander Komunizieren auf ip und NetBios basis

Dann benötigst du einen 3. Router welcher Anfragen aus dem C-Netz in das B-Netz routet (und zurück). Aber was soll dann die Trennung der Netze bewirken, wenn alle PCs ohnehin via TCP kommunizieren können?!? Selbst Freigaben (Datei/Drucker) währen dann erreichbar...

... Nachtrag: Router2 muss an der WAN-Seite einen Gateway bekommen... (die IP des Router1) Dann sollte das so funktionieren. Dann müsstest du aber noch die "Verwaltung" in das B-Netz stecken, die "Schüler" in das C-Netz. Jetzt können die Mitarbeiter aus Verwaltung auf die Freigaben oder Drucker der Schüler zugreifen, anders herum aber nicht. (denk ich, müsste ich mal testen...)
Bitte warten ..
Mitglied: Rafiki
09.12.2008 um 20:26 Uhr
Wenn ich deinen Text richtig interpretiert habe dann entspricht der gegenwärtige Aufbau in seiner Logik einer DMZ hinter der dann noch einmal zusätzlich geschützt das Verwaltungsnetzwerk steht. Wie auch in dem Artikel der c't beschrieben. http://www.heise.de/netze/DMZ-selbst-gebaut--/artikel/78397 Beachte auch das Bild in dem Artikel.

Soweit finde ich den Aufbau gut und richtig denn das Verwaltungsnetzwerk wird vor neugierigen Schülern geschützt. Wenn du das ändern möchtest, also die Schüler sollen an die Computer in dem Verwaltungsnetzwerk kommen, dann kannst du die NAT Funktion auf dem zweiten Router abschalten und auf dem ersten Router eine zusätzliche Route eintragen, damit die Adressen auch erreichbar werden.
Router 192.168.0.1 muss lernen: Netzwerk 172.16.0.0 liegt hinter 192.168.0.7 In der Regel geht das auf dem Webinterface von einem DSL Router unter Erweiterte Einstellungen einzutragen.
Aber noch mal ganz deutlich: Damit wird das Verwaltungsnetzwerk von dem Schülernetzwerk aus erreichbar und angreifbar!

Wenn du hingegen nur einen Dienst von einem Server im Verwaltungsnetzwerk den Schülern anbieten möchtest, z.B. eine Webseite mit aktuellen Informationen, dann hingegen lasse das NAT eingeschaltet und trage auf den zweiten Router eine entsprechende Portweiterleitung für Port 80 auf den Webserver im Verwaltungsnetzwerk ein.

Gruß Rafiki
Bitte warten ..
Mitglied: 28366
09.12.2008 um 21:13 Uhr
also zum Verständniss:


Speedport W700V Hauptrouter T-Com
(Router 1)192.168.0.1 netz C-Netz
|
|



|
|
Dlink DL624+ (Router 2)B-Netz
|
|
netz 172.16.0.1

Router 2 bekommt die GW Adresse von Router 1

Router 2
ISP GateWay : 192.168.0.1
Prim. DNS: 192.168.0.1


Router 1 ist mit dem DSL Verbunden und beherbergt das C Netz

beide netze sollen gegenseittig auf freigegebene Resourcen und Internet zugreifen können

verbindungen zu class c und zurück zu b
Bitte warten ..
Mitglied: dog
09.12.2008 um 22:45 Uhr
Hallo,

nimm bitte diesen Hinweis ernst: Auch wenn es von verschiedenen Herstellern Lösungen gibt um ein Schulnetz und ein Verwaltungsnetz über ein Gerät abzuwickeln, sollten diese beiden Netze niemals(!) eine physikalische Verbindung besitzen.
Hier tun sich sonst Abgründe auf, die eine Menge Ärger bedeuten können.

Was aber dein Problem angeht: Der Dlink ist ein NAT-Router (und das lässt sich IMHO bei diesem Modell auch nicht deaktivieren), was bedeutet, dass er nicht wirklich routet sondern eher ein transparenter Proxy ist.
Anfragen die LAN-Seitig vom Dlink kommen werden nicht mit der tatsächlichen IP weitergeleitet, sondern mit der des Dlink und Anfragen aus dem WAN-seitigen Netzwerk werden erst gar nicht beantwortet.

Wenn du unbedingt willst, dass beide Netzwerke sich einen Internetanschluss teilen brauchst du 3 Router:

Einen ganz normalen NAT-Router (den Speedport), der am Internet hängt
und zwei weitere die jeweils an Schul und Verwaltungsnetz hängen (auch die sollten im NAT-Modus betrieben werden) und mit dem Speedport verbunden sind.

So hast du effektiv 3 Netzwerke:
A- Schulnetz (z.B. 172.16.0.0 / 255.255.0.0)
B- Verwaltungsnetz (z.B. 192.168.0.0 / 255.255.255.0)
C- Netz mit den 3 Routern drin (z.B. 192.168.10.0 / 255.255.255.0)

Dadurch verhinderst du, dass User zwischen Netzwerk A und B kommunizieren können - Ein Datenaustausch ist hier definitiv ein No-Go!

Grüße

Max
Bitte warten ..
Mitglied: Spezitrinker
10.12.2008 um 07:53 Uhr
Zitat von dog:
Hallo,

nimm bitte diesen Hinweis ernst: Auch wenn es von verschiedenen
Herstellern Lösungen gibt um ein Schulnetz und ein
Verwaltungsnetz über ein Gerät abzuwickeln, sollten diese
beiden Netze niemals(!) eine physikalische Verbindung besitzen.
Hier tun sich sonst Abgründe auf, die eine Menge Ärger
bedeuten können.


In diesem Punkt kann ich dir nicht zustimmen. Wir haben auch in einer Schule das Netzwerk neu aufgebaut und dabei 2 V-Lan eingerichtet. Dadurch entsteht zwar ein physikalische Verbindung aber nicht die geringste Gefahr für das Verwaltungsnetz.
Die Lehrer gehen dann übrigens über einen VPN-Tunnel ins Verwaltungsnetz wenn Sie im Klassenzimmer mit dem Schülernetz sitzen.
Bitte warten ..
Mitglied: 28366
10.12.2008 um 09:40 Uhr
gibt es für mein problem auch ne 2 Router lösung da noch ein web und VPN Server verwaltungsseitig eingebunden sind der auch via schulnetz erreichbar sein soll Die netze sollen miteinander und untereinander Physikalich kommunizieren

desweiteren ist es gewüncht das Schüler auf bestimmte Freigaben im Verwaltungs netz zugriff haben ordner Black board mit infos und Arbeitsunterlagen für die schüler von der verwaltung.

man soll sich von aussen via vpn ins netz winloggen können um etwa im Krankheits falle sich die arbeitsunterlagen mühe los holen zu können.
Bitte warten ..
Mitglied: 28366
10.12.2008 um 09:48 Uhr
Zitat von dog:
Hallo,

nimm bitte diesen Hinweis ernst: Auch wenn es von verschiedenen
Herstellern Lösungen gibt um ein Schulnetz und ein
Verwaltungsnetz über ein Gerät abzuwickeln, sollten diese
beiden Netze niemals(!) eine physikalische Verbindung besitzen.
Hier tun sich sonst Abgründe auf, die eine Menge Ärger
bedeuten können.

Was aber dein Problem angeht: Der Dlink ist ein NAT-Router (und das
lässt sich IMHO bei diesem Modell auch nicht deaktivieren), was
bedeutet, dass er nicht wirklich routet sondern eher ein transparenter
Proxy ist.
Anfragen die LAN-Seitig vom Dlink kommen werden nicht mit der
tatsächlichen IP weitergeleitet, sondern mit der des Dlink und
Anfragen aus dem WAN-seitigen Netzwerk werden erst gar nicht
beantwortet.

Wenn du unbedingt willst, dass beide Netzwerke sich einen
Internetanschluss teilen brauchst du 3 Router:

Einen ganz normalen NAT-Router (den Speedport), der am Internet
hängt
und zwei weitere die jeweils an Schul und Verwaltungsnetz hängen
(auch die sollten im NAT-Modus betrieben werden) und mit dem Speedport
verbunden sind.

So hast du effektiv 3 Netzwerke:
A- Schulnetz (z.B. 172.16.0.0 / 255.255.0.0)
B- Verwaltungsnetz (z.B. 192.168.0.0 / 255.255.255.0)
C- Netz mit den 3 Routern drin (z.B. 192.168.10.0 / 255.255.255.0)

Dadurch verhinderst du, dass User zwischen Netzwerk A und B
kommunizieren können - Ein Datenaustausch ist hier definitiv ein
No-Go!

Grüße

Max


die User sollen zwischen Netz A und B Kommunizieren können
Bitte warten ..
Mitglied: markozz
10.12.2008 um 12:50 Uhr
Also wenn ohnehin alle mit einander kommunizieren sollen (können), dann würde ich der "Einfachheit" halber einen AnmeldeServer (ActiveDirectory) aufsetzen und via GPO die Rechte soweit einschränken wie nötig. Die Schüler, wie auch die Verwaltung sind in eigenen OUs (OrgaUnits) und können auf Netzlaufwerke bzw. via VPN zugreifen. Ich denke das währe die sauberste und sinnvollste Lösung. Den Spaß mit vielen Routern kannst du dir dann sparen. Eine sichere/saubere Lösung mit nur 2 Routern gibt es m.E. nicht! Es gibt auch Open Source Server, die du dafür verwenden kannst (SME-Server). Eventuell lassen sich die einzelnen Netzwerke auch via IPcop (einfach mal googlen) trennen, die Lösung des Problems (Vorhabens) stellt das aber auch noch nicht dar...
Bitte warten ..
Mitglied: dog
10.12.2008 um 13:35 Uhr
Auch Switch-Software kann Bugs und Sicherheitslücken haben.
Vielleicht können Schüler Ports umstecken.
Oder das Management-Interface des Switches ist mangelhaft abgesichert...

Sorry, aber hier geht es um Datenschutzprobleme, bei denen ich keine Spiele mache.

Grüße

Max
Bitte warten ..
Mitglied: Rafiki
10.12.2008 um 17:13 Uhr
Hallo Patrick,

darf ich dich noch einmal ganz höflich auf meinen Kommentar weiter oben hinweisen. Dort habe ich bereits beschrieben wie du mit den beiden vorhandnen Routern auskommst um genau die Kommunikation zu dem VPN und auf eine bestimmte Freigabe zu ermöglichen.

Gruß Rafiki
Bitte warten ..
Mitglied: Spezitrinker
10.12.2008 um 20:10 Uhr
Zitat von dog:
Auch Switch-Software kann Bugs und Sicherheitslücken haben.
Vielleicht können Schüler Ports umstecken.
Oder das Management-Interface des Switches ist mangelhaft
abgesichert...

Sorry, aber hier geht es um Datenschutzprobleme, bei denen ich keine
Spiele mache.

Grüße

Max

Naja, vielleicht hab ich auch auf dem Router das Standard-PW nicht geändert... Solche grundlegenden Sicherheitsaspekte sollten ja in jedem vernünftigen Netzwerk berücksichtigt worden sein. Und wenn Schüler zum Serverraum bzw. Verteilerraum Zugang haben dann läuft sowieso was schief.

Auszug aus Wikipedia zu V-Lan:

http://de.wikipedia.org/wiki/IEEE_802.1q

"Der Standard beschreibt einen Mechanismus, der es erlaubt, dass mehrere virtuelle Netzwerke sich eine gemeinsame physikalische oder logische Schnittstelle teilen, OHNE dabei Sicherheitsaspekte zu beeinträchtigen oder den ungehinderten Datenaustausch zwischen den VLANs zu ermöglichen"
Bitte warten ..
Mitglied: dog
10.12.2008 um 20:25 Uhr
"Der Standard beschreibt einen Mechanismus, der es erlaubt, dass mehrere virtuelle Netzwerke sich eine gemeinsame physikalische oder logische Schnittstelle teilen, OHNE dabei Sicherheitsaspekte zu beeinträchtigen oder den ungehinderten Datenaustausch zwischen den VLANs zu ermöglichen"

Ein Standard verhindert auch nicht einen Implementationsfehler der Hersteller, der nachher zu Sicherheitslücken führt.
Und mittlerweile gibt es alle 2 Monate neue Sicherheitsupdates für Switches - da hab ich nicht unbedingt das volle Vertrauen in die Technik.

Darum geht es mir aber auch weniger: Wichtig ist hier einfach, dass Schulen zu den wenigen Insitutionen gehören, die die meisten und privatesten Daten über Menschen aufbewahren dürfen.
Vor diesem Aspekt und wenn man bedenkt, dass die meisten Schulen nicht mal einen Datenschutzbeauftragten haben finde ich die einzig akzeptable Lösung für ein Verwaltungsnetzwerk eine Black-Box-Lösung.
Selbst USB-Sticks sind hier schon ein gefährliches Zugeständnis, eine Verwebung von Schul- und Verwaltungsnetz käme für mich unter keinen Umständen in Frage.

Grüße

Max
Bitte warten ..
Mitglied: aqui
11.12.2008 um 13:35 Uhr
Die Lösung vom Spezitrinker ist im Ansatz richtig, denn 2 VLANs sind auf einem VLAN fähigen Switch erstmal vollkommen getrennt physikalsich.

Die von ihm propagierte VPN Verbindung erfordert dann aber wiederum eine Layer 3 (Routing) Kopplung dieser VLANs, womit man sie dann letztlich IP seitig wieder zusammenschaltet und man sich wieder in Sicherheitsprobleme begibt.
Vermutlich hat der Spezitrinker seinen VLAN Router dann aber mit Accesslisten so dichtgemacht das nur eine VPN Verbindung erlaubt ist, dann wird wieder ein Schuh draus denn sonst gilt das was Dog geschrieben hat !!!

Eine vollkommen transparente IP Kopplung der beiden Netze ist aber so natürlich nicht möglich. Generell stellt das ein erhebliches Sicherheitsproblem in einer Schule dar, keine Frage.

Deshalb solltest du auf das von Rafiki angesprochene Konzept gehen mit deinen beiden Routern:

http://www.heise.de/netze/DMZ-selbst-gebaut--/artikel/78397

Das löst dein Problem !
Natürlich kommst du NICHT vom Schulnetz ins Verwaltungsnetz, was ja Sinn dieser Mini DMZ Lösung ist !
Grund dafür ist das dein D-Link ja NAT (IP Adress Translation) macht am WAN/DSL Port und die NAT Firewall kannst du NICHT ohne einen Port Forwarding Eintrag im D-Link überwinden !!!
Das ist auch der angebliche Fehler den du siehst und oben beschreibst.
Auch für VPN und Webserver im Verwaltungsnetz musst du dafür Port Forwarding Einträge im D-Link einstellen, sonst ist ein Zugriff ins Verwaltungsnetz aus dem Schulnetz nicht möglich mit dieser Lösung.

Besser ist generell du löst sowas mit einer dedizierten Firewall wie IP-Cop oder Monowall die du auf einem alten Rechner installierst oder auf einer dedizierten Appliance wie z.B. hier beschrieben:

http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html

Damit hast du die eierlegende Wollmilchsau und dein Problem sauber gelöst....und sogar noch ein Projekt für die Computer AG an der Schule...!
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Informationsdienste
NSA-Ausschuss: Wikileaks stellt 90 Gigabyte an Akten ins Netz (1)

Link von Frank zum Thema Informationsdienste ...

Windows Server
gelöst Windows Server 2012 mit Fritzbox per VPN verbinden (13)

Frage von StefanT81 zum Thema Windows Server ...

DSL, VDSL
DSL-Störung im Telekom-Netz (6)

Link von sabines zum Thema DSL, VDSL ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...