10
DHCP IP-Vergabe für interne Internet-Zugang ... aber wie
Ich suche eine Möglichkeit IP-Adressen über DHCP so zu vergeben,
das der Client über das Gateway ins Internet kommt aber nicht die anderen Clients im gleichen SUB-Net zu sehen ( anzusprechen ).
Server-IP 192.168.10.254 // 255.255.255.0 ( Gateway-Router ins Internet , DNS-Server )
derzeitige DHCP-Einstellungen:
001 Subnet Mask = 255.255.255.0
003 Defautl Gateway = 192.168.10.254
006 DNS Server = 192.168.10.254
vergebene Adressen 192.168.10.1 >> 192.168.10.250
soweit funktioniert auch alles !
Mein Problem ist aber das die Clients sich in diesem SUB-NET untereinander sehen und kommunizieren können, was aber nicht gewünscht ist.
Ich hatte jetzt probiert über die DHCP-Einstellungen die SUB-NET-MASK auf 255.255.255.254 zu ändern, was der Server ab abgelehnt hat (ungünstige Konfiguration).
Mit dieser Einstellung hätte doch der Client nur sich selbst (192.168.10.x) , das Gateway ( 192.168.10.254) und die Broadcast (192.168.10.255) ansprechen können ... oder ?
Gibt es über die DHCP-Optionen die Möglichkeit so was Einzurichten ..... wenn ja .... welche.
Bin für jeden Tipp dankbar
derzeitige DHCP-Einstellungen:
001 Subnet Mask = 255.255.255.0
003 Defautl Gateway = 192.168.10.254
006 DNS Server = 192.168.10.254
vergebene Adressen 192.168.10.1 >> 192.168.10.250
soweit funktioniert auch alles !
Mein Problem ist aber das die Clients sich in diesem SUB-NET untereinander sehen und kommunizieren können, was aber nicht gewünscht ist.
Ich hatte jetzt probiert über die DHCP-Einstellungen die SUB-NET-MASK auf 255.255.255.254 zu ändern, was der Server ab abgelehnt hat (ungünstige Konfiguration).
Mit dieser Einstellung hätte doch der Client nur sich selbst (192.168.10.x) , das Gateway ( 192.168.10.254) und die Broadcast (192.168.10.255) ansprechen können ... oder ?
Gibt es über die DHCP-Optionen die Möglichkeit so was Einzurichten ..... wenn ja .... welche.
Bin für jeden Tipp dankbar
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 148289
Url: https://administrator.de/contentid/148289
Printed on: April 25, 2024 at 04:04 o'clock
10 Comments
Latest comment
Was hast du genau vor? Z.B. in eurem Firmennetzwerk dafür sorgen das Fremdmitarbeiter ins Web aber nich an die Server kommen? Oder soll wirklich JEDER Client seperat sein? Sollen die Clients ggf. an einen speziellen Server kommen - oder nur an deren Gateway fürs Internet?
a) Fremdmitarbeiter: Schmeiss die einfach in ein VLAN rein bei dem nur der Mitarbeiter und der Router drin hängt... Solltest du mehrere Fremdmitarbeiter haben dann entweder für jeden ein VLAN oder einfach sagen das es dir sch...egal ist ob die sich untereinander sehen können (die Sicherung von deren Laptop ist nicht deine Aufgabe...).
b) Verschiedene Netze (z.B. Schule): Hier kannst du mit Routern einiges machen. Netzwerk der Mitarbeiter an einem Router, Klassenraum-Netzwerk hängt am zweiten Router und nen Internet-Raum am dritten Router (bzw. Router mit verschiedenen Interfaces). Schon kannst du recht einfach über IP-Netze und Firewall-Regeln bestimmen wer wohin darf...
c) Das ganze nur in einem Subnetz und jeder Rechner darf nur sich selbst und das Gateway sehen: Hier wirds etwas komplex. Je nach Anzahl der Rechner über VLANs gehen oder über ne Firewall...
a) Fremdmitarbeiter: Schmeiss die einfach in ein VLAN rein bei dem nur der Mitarbeiter und der Router drin hängt... Solltest du mehrere Fremdmitarbeiter haben dann entweder für jeden ein VLAN oder einfach sagen das es dir sch...egal ist ob die sich untereinander sehen können (die Sicherung von deren Laptop ist nicht deine Aufgabe...).
b) Verschiedene Netze (z.B. Schule): Hier kannst du mit Routern einiges machen. Netzwerk der Mitarbeiter an einem Router, Klassenraum-Netzwerk hängt am zweiten Router und nen Internet-Raum am dritten Router (bzw. Router mit verschiedenen Interfaces). Schon kannst du recht einfach über IP-Netze und Firewall-Regeln bestimmen wer wohin darf...
c) Das ganze nur in einem Subnetz und jeder Rechner darf nur sich selbst und das Gateway sehen: Hier wirds etwas komplex. Je nach Anzahl der Rechner über VLANs gehen oder über ne Firewall...
Hallo Maretz,
in diesem Sub-Net sollen Gäste und Bewohner in unserem Altenheim , Personal-Wohnheim die Möglichkeit haben ins Internet zu kommen,
alles läuft über unsere Fire-Wall und ist somit vom Firmen-Netz abgekoppelt.
Ich möchte nur in einer gewissen Weise sicherstellen das, verseuchte PC von Gästen / Bewohner andere Clients im gleichen SUB-Net aufspüren, angreifen und ebenfalls verseuchen.
Nur für jeden Bewohner ein eigenes SUB-NET / VLAN einzurichten ist mir zu aufwendig ... da muss es doch was anderes geben ...
in diesem Sub-Net sollen Gäste und Bewohner in unserem Altenheim , Personal-Wohnheim die Möglichkeit haben ins Internet zu kommen,
alles läuft über unsere Fire-Wall und ist somit vom Firmen-Netz abgekoppelt.
Ich möchte nur in einer gewissen Weise sicherstellen das, verseuchte PC von Gästen / Bewohner andere Clients im gleichen SUB-Net aufspüren, angreifen und ebenfalls verseuchen.
Nur für jeden Bewohner ein eigenes SUB-NET / VLAN einzurichten ist mir zu aufwendig ... da muss es doch was anderes geben ...
Hi !
Dir ist aber schon klar was DHCP für eine Aufgabe hat?
Ich würde das über ein Private VLAN lösen, L2 Switche ab dem mittleren Preissegment können das meist problemlos. Es gibt aber auch wenige Anbieter aus dem Billigsegment, die das können z.B. TP-Link (Ich habe aber nix gesagt!!!)
Einfach ausgedrückt: Der Switch fasst alle Ports zusammen und leitet die IP-Pakete an einen gemeinsamen Uplink-Port weiter....Die Ports untereinander können dann nicht mehr kommunizieren....Mehr steckt da eigentlich gar nicht hinter...Ich setze das bei Gäste-WLANs ein um die User, die sich an den APs anmelden, untereinander zu trennen....AP-Isolation bringt ja nix bei mehreren APs....Das ist eine einfache Lösung und in fünfzehn Minuten aufgesetzt...
mrtux
Zitat von @Nadeldrucker:
Gibt es über die DHCP-Optionen die Möglichkeit so was Einzurichten ..... wenn ja .... welche.
Gibt es über die DHCP-Optionen die Möglichkeit so was Einzurichten ..... wenn ja .... welche.
Dir ist aber schon klar was DHCP für eine Aufgabe hat?
Ich würde das über ein Private VLAN lösen, L2 Switche ab dem mittleren Preissegment können das meist problemlos. Es gibt aber auch wenige Anbieter aus dem Billigsegment, die das können z.B. TP-Link (Ich habe aber nix gesagt!!!)
Einfach ausgedrückt: Der Switch fasst alle Ports zusammen und leitet die IP-Pakete an einen gemeinsamen Uplink-Port weiter....Die Ports untereinander können dann nicht mehr kommunizieren....Mehr steckt da eigentlich gar nicht hinter...Ich setze das bei Gäste-WLANs ein um die User, die sich an den APs anmelden, untereinander zu trennen....AP-Isolation bringt ja nix bei mehreren APs....Das ist eine einfache Lösung und in fünfzehn Minuten aufgesetzt...
mrtux
Zitat von @Nadeldrucker:
Nur für jeden Bewohner ein eigenes SUB-NET / VLAN einzurichten ist mir zu aufwendig ... da muss es doch was anderes geben ...
Nur für jeden Bewohner ein eigenes SUB-NET / VLAN einzurichten ist mir zu aufwendig ... da muss es doch was anderes geben ...
So ist nun mal die Definition von Subnetz. Im Subnetz kann jeder jeden sehen.
@mrtux
Wie soll denn das gehen ?
Wenn Du jedem Port eine andere VLAN-ID (Untaget) zuweist, kannst Du dies doch nicht alle auf einen Port (untaget) zusammen fassen ?!
Ein Port lässt sich nur einmal einer VLAN-ID ( untaget) zuweisen !
Taget können beliebige VLAN-ID einem Port zugewiesen werden ... was mir in diesem Fall auch nichts nützt.
TP-Link ist doch D-Link nur günstiger .... ähnlich wie bei syslink und cisco
TP-Link haben wir auch für kleine VLAN-Verteiler eingesetzt.
Der Switch fasst alle Ports zusammen und leitet die IP-Pakete an einen gemeinsamen Uplink-Port weiter....
Die Ports untereinander können dann nicht mehr kommunizieren.
Die Ports untereinander können dann nicht mehr kommunizieren.
Wie soll denn das gehen ?
Wenn Du jedem Port eine andere VLAN-ID (Untaget) zuweist, kannst Du dies doch nicht alle auf einen Port (untaget) zusammen fassen ?!
Ein Port lässt sich nur einmal einer VLAN-ID ( untaget) zuweisen !
Taget können beliebige VLAN-ID einem Port zugewiesen werden ... was mir in diesem Fall auch nichts nützt.
TP-Link ist doch D-Link nur günstiger .... ähnlich wie bei syslink und cisco
TP-Link haben wir auch für kleine VLAN-Verteiler eingesetzt.
@ all
habe gerade mal mit einem TP-LINK ( TL-SG2109) das (Port VLAN (Port-based VLAN)) ausprobiert.
sieht gut aus
VLAN (1) Member-Port (1) + (8)
VLAN (2) Member-Port (2) + (8)
VLAN (3) Member-Port (3) + (8)
VLAN (4) Member-Port (4) + (8)
VLAN (5) Member-Port (5) + (8)
VLAN (6) Member-Port (6) + (8)
VLAN (7) Member-Port (7) + (8)
innerhalb des Switch geht es super ... nur wie kann man das über mehrere Verteiler-Räume (BB-Switche) einrichten die alle mit VLAN(802.1Q Tag VLAN) laufen ?
das würde ja bedeuten ...
ich benötige in jedem Verteiler-Schrank (wo es benötigt wird) einen Switch mit PORT-Base-VLAN,
dessen Uplinks müsste ich über je ein separates VLAN(802.1Q) BB-Switch in dem Hauptverteiler weiterleiten,
im Hauptverteiler müsste ich die separaten Uplinks dann wiederum auf einen Switch mit PORT-Base-VLAN zusammenfassen und dessen Uplink
kommt dann an meinen Router(Fire-Wall) fürs Internet.
liege ich richtig ?
habe gerade mal mit einem TP-LINK ( TL-SG2109) das (Port VLAN (Port-based VLAN)) ausprobiert.
sieht gut aus
VLAN (1) Member-Port (1) + (8)
VLAN (2) Member-Port (2) + (8)
VLAN (3) Member-Port (3) + (8)
VLAN (4) Member-Port (4) + (8)
VLAN (5) Member-Port (5) + (8)
VLAN (6) Member-Port (6) + (8)
VLAN (7) Member-Port (7) + (8)
innerhalb des Switch geht es super ... nur wie kann man das über mehrere Verteiler-Räume (BB-Switche) einrichten die alle mit VLAN(802.1Q Tag VLAN) laufen ?
das würde ja bedeuten ...
ich benötige in jedem Verteiler-Schrank (wo es benötigt wird) einen Switch mit PORT-Base-VLAN,
dessen Uplinks müsste ich über je ein separates VLAN(802.1Q) BB-Switch in dem Hauptverteiler weiterleiten,
im Hauptverteiler müsste ich die separaten Uplinks dann wiederum auf einen Switch mit PORT-Base-VLAN zusammenfassen und dessen Uplink
kommt dann an meinen Router(Fire-Wall) fürs Internet.
liege ich richtig ?
Hi !
Das klappt wunderbar z.B. mit allen TP-Link WEB-Smart Switches. Da braucht Du kein Tagging für!
Das brauchst Du bei Private VLAN nicht, lies doch bitte meinen Kommentar genau durch! Du benötigst einen Switch der diese Funktion unterstützt! Bei Cisco und HP nennt sich das Private VLAN. Bei den TP-Links musst Du dann MTU-VLAN auswählen und einen Uplinkport vorgeben. Das sind in der Web-GUI genau zwei Mausklicks und gut ist, den Rest erledigt der Switch....Um dein "Verteilerproblem" zu lösen, könntest Du ja mehrere solcher Switche verwenden....
mrtux
Das klappt wunderbar z.B. mit allen TP-Link WEB-Smart Switches. Da braucht Du kein Tagging für!
Wenn Du jedem Port eine andere VLAN-ID (Untaget) zuweist, kannst Du dies doch nicht alle auf einen Port (untaget) zusammen fassen
Das brauchst Du bei Private VLAN nicht, lies doch bitte meinen Kommentar genau durch! Du benötigst einen Switch der diese Funktion unterstützt! Bei Cisco und HP nennt sich das Private VLAN. Bei den TP-Links musst Du dann MTU-VLAN auswählen und einen Uplinkport vorgeben. Das sind in der Web-GUI genau zwei Mausklicks und gut ist, den Rest erledigt der Switch....Um dein "Verteilerproblem" zu lösen, könntest Du ja mehrere solcher Switche verwenden....
mrtux
@ mrtux
Danke ...
(MTU VLAN ) habe ich gleich mal ausprobiert ... funktioniert auch wunderbar ...
ist wesentlich einfacher einzurichten als (Port-based VLAN) ... zwei Mausklicks und fertig
ich denke meine Frage ist hinreichend beantwortet worden ...
besten Dank an alle
Danke ...
(MTU VLAN ) habe ich gleich mal ausprobiert ... funktioniert auch wunderbar ...
ist wesentlich einfacher einzurichten als (Port-based VLAN) ... zwei Mausklicks und fertig
ich denke meine Frage ist hinreichend beantwortet worden ...
besten Dank an alle
Bei Cisco und HP nennt sich das Private VLAN. Bei den TP-Links musst Du dann MTU-VLAN auswählen
Sowas nennt sich auch manchmal Port Isolation und bei meinem Router läuft das unter Bridge Horizon.
ähnlich wie bei syslink und cisco
Cisco und Linksys haben weder in Hardware, noch Software, noch Support irgendwelche Gemeinsamkeiten (auch wenn die sich langsam annähern).
Und wenn man nicht will, dass eigene Domain-Clients mit virenverseuchten Clients kommunizieren benutzt man am Besten Domain Isolation.
@ all
sorry LINKSYS sollte es heissen ....
Cisco Small Business (ehemals Linksys by Cisco) - für Erfolg auf der ganzen Linie ....
http://www.cisco.com/web/CH/de/smb/linksys-by-cisco/linksys-by-cisco.ht ...
http://www.linksysbycisco.com/DE/de/home
sorry LINKSYS sollte es heissen ....
Cisco Small Business (ehemals Linksys by Cisco) - für Erfolg auf der ganzen Linie ....
http://www.cisco.com/web/CH/de/smb/linksys-by-cisco/linksys-by-cisco.ht ...
http://www.linksysbycisco.com/DE/de/home
