Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Computer in Domänennetzwerk nur Internetzugriff erlauben

Frage Netzwerke Netzwerkgrundlagen

Mitglied: RonnyB

RonnyB (Level 1) - Jetzt verbinden

05.02.2010, aktualisiert 18.10.2012, 11350 Aufrufe, 4 Kommentare

Hallo @all

Ich möchte in einem kleinen Netzwerk mit einer Domäne einigen PC's nur den Zugang ins Internet erlauben und nicht auf andere Resourcen im Netzwerk.

Das muss ich jetzt mal etwas genauer erklären. Ich richte gerade für eine kleine Firma eine Domäne mit einem Windows Server 2008 R2 Foundation ein. Im Netzwerk gibt es die Arbeits-PC's, Access-Points, NAS-Platte und IP-Kameras. In einer kleinen Einliegerwohnung wohnt der Sohnemann. Sein PC soll nicht auf die anderen Geräte zugreifen können, sondern nur ins Internet gehen können. Da auch Freunde vom Sohn das W-Lan mal benutzen, kann ich nicht eine bestimmte MAC-Adresse aussperren. Der Sohn geht auch übers W-Lan ins Netz. Auf die PC's der Domäne hätte er ja sowieso keinen Zugriff, da er kein Mitglied der Domäne ist. Aber er soll auch nicht auf die IP-Kameras oder andere Geräte zugreifen können. Die IP-Kameras sind innerhalb des Netzwerkes frei zugänglich (ohne Benutzername Kennwort) und das sollte möglichst auch so bleiben, damit die Mitarbeiter problemlos darauf zugreifen können. Die Kameras unterstützen natürlich leider auch kein Active Directory.

Meine Idee war, das Netz in 2 Subnetze zu unterteilen. Eines für die Firma und eines für den Sohn. Leider gibt es aber vom Internet Router (eine ältere FritzBox, ich weiß jetzt nicht genau welche) nur ein Netzwerkkabel bis zum Access-Point an dem der Sohn hängt. An diesem Access-Point hängt zusätzlich auch noch eine der W-Lan IP-Kameras und am integrierten Switch ein PC. Eine VLAN-Lösung mit Switch am Router fällt daher leider aus. Die FritzBox kann natürlich auch nur mit einem Subnetz arbeiten und unterstützt nicht 2 Gateway-Adressen. Ich sehe daher keine Möglichkeit mit 2 getrennten Subnetzen zu arbeiten.
Übrigens: Der Acces-Point ist eigentlich ein D-Link Router (DIR-825), welcher sogar ein Gast-W-Lan machen kann. Aber leider routet er das dann nur an seinen eigenen WAN-Anschluss und den nutze ich gar nicht, da ich das Ding nur als Access-Point betreibe.

Ich hoffe das war jetzt nicht zu verwirrend. Um es kurz zu machen: der Sohn (und seine Freunde) sollen nur Internet können und sonst nichts. Hat jemand eine Idee wie ich das kostengünstig lösen Könnte?

Vielen Dank schon mal im Voraus. Bin jetzt erst mal im Wochenende, freue mich aber schon auf Eure Vorschläge am Montag.

LG
Ronny
Mitglied: FishersFritz
05.02.2010 um 17:19 Uhr
Hallo,

1. wird mir sicherheitstechnisch schlecht (die Freunde vom Sohn sollen auch über's WLAN arbeiten könenn ?!). Die beste Lösung wäre einfach ein separater vom Firmennetz getrennter DSL - oder sonstiger Internet-Anschluss.

2. Notfalls kannst Du direkt hinter den ersten Router einen zweiten WLAN-Router hängen und diesen Adressen aus einem anderen IP-Adress-Bereich verteilen bzw. nutzen lassen.
Bitte warten ..
Mitglied: TomTomBon
05.02.2010 um 17:39 Uhr
Zitat von FishersFritz:
Hallo,

1. wird mir sicherheitstechnisch schlecht (die Freunde vom Sohn sollen auch über's WLAN arbeiten könenn ?!). Die
beste Lösung wäre einfach ein separater vom Firmennetz getrennter DSL - oder sonstiger Internet-Anschluss.



Es wäre auch kostenmäßig ein guter Punkt
So teuer sind die Anschlüsse auch nicht mehr.
Oder ist er ein Leecher das er eine so große Bandbreite benötigt?
Dann erst recht nicht!
Ist auch eine rechtliche Sache:

Wenn der Sohnemann was illegales saugt, und unter uns, wer hat in dem Alter sowas nicht gemacht?

Dann ist der Anschluss-INHABER dafür haftbar.

Und das wäre in dem Fall die Firma!!



Nehmen wir mal ein einfaches Szenario:
Der Sohn, oder einer seiner Freunde, saugt sich mit dem Anschluss MP3s.
Das wird per Zufall entdeckt.
Ich glaube wenn der Rechtsanwalt der "ihn" verklagt mitkriegt, das dahinter eine florierende Firma steht, sieht der Streitwert bzw die Entschädigung ganz anders aus als wenn es um einen Jugendlichen geht der nicht schon einen berühmten Namen wie Rockefeller trägt..



Just my cent
Bitte warten ..
Mitglied: aqui
05.02.2010, aktualisiert 18.10.2012
"Sohn Netzwerk" per Firewall und oder VLAN abtrennen. Ggf. Hotspot Lösung verwenden um zu prüfen wo er sich im Internet tummelt:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
oder
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Eigentlich ein Kinderspiel....
Bitte warten ..
Mitglied: RonnyB
08.02.2010 um 10:13 Uhr
Vielen Dank erst einmal für eure schnellen Antworten.

@FishersFritz
natürlich ist das sicherheitstechnisch schlecht. Deswegen suche ich ja nach einer Möglichkeit den Sohn auszugrenzen. Und das seine Freunde das Netzwerk mitbenutzen kann ich nur über zugelassene MAC-Adressen am Access-Point verhindern, was ich wohl auch machen werde. Ein separater Internetanschluss ist mit Sicherheit das Beste, aber wie das in kleinen Familienunternehmen nun mal so ist, muss immer auf die Kosten geachtet werden und von daher ist es doch OK wenn tagsüber die Firma den DSL-Anschluss nutzt und Abends der Sohn.

@TomTomBon
wegen der Haftung stimme ich Dir voll zu. Aber ich kann auch nur darauf hinweisen, ansonsten muss ich die Vorgabe aber umsetzen und dann kann ich nur sehen, dass ich das Beste daraus mache.

@aqui
Die Lösung hatte ich auch schon gesehen. Leider hapert es etwas an der (kostengünstigen) Umsetzung. Im einfachsten Fall würde ich ein statisches VLAN aufbauen. Das scheitert aber daran, dass es vom Port des Haupt-Switch (im Moment ein ganz normaler nicht managebarer) zum Accespoint nur ein Netzwerkkabel gibt und an dem Accesspoint auch Firmengeräte dranhängen. Und für ein tagged VLAN müsste ich diverse Hardware (kleine einfache 5-fach Switche und den Accesspoint) zwischendurch austauschen. Dann der zwar kostengünstige aber zusätzliche PC. Alles in allem ein zu großer Aufwand um den Sohn aus dem kleinen Netzwerk auszusperren.

Als Lösung werde ich folgendes probieren:
Den jetzigen als Accesspoint verwendeten Router DIR-825 werde ich direkt zum DSL-Anschluss umsetzen und dort als Router verwenden. Ich hoffe, dass die W-Lan Reichweite von dem Standort bis zum Sohn auch funktioniert. Die Fritzbox wird dann nur noch als DSL-Modem genutzt. Der Router kann wie bereits gesagt ein Gast W-Lan machen und dieses nur zum WAN-Port routen. damit habe ich dann alles was über dieses Gast W-Lan geht vom restlichen Netzwerk getrennt. Das werde ich nächste Woche mal ausprobieren.

Vielen Dank für eure Hilfe.
Gruß
Ronny
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows 10
Kein Internet: Nach Windows-Update weltweit Computer offline (5)

Link von transocean zum Thema Windows 10 ...

Hyper-V
Wieso werden Computer aus der Domäne "geworfen" ? (5)

Frage von Tastuser zum Thema Hyper-V ...

LAN, WAN, Wireless
Computer mit 2 Netzwerkkarten und routing von Red Pitaya ins Internet (9)

Frage von DH1KLM zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...