Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Drucker in 2 verschiedene Subnetzen.

Frage Microsoft Windows 7

Mitglied: s-n-e-j

s-n-e-j (Level 1) - Jetzt verbinden

27.02.2014 um 18:21 Uhr, 3427 Aufrufe, 28 Kommentare, 2 Danke

Hallo,

mich beschäftigt folgendes Problem. In meinem Netzwerk befinden sich 4 PC's, jeweils 2 davon im gleichen Subnetz.
Das eine Paar hat Zugang zum Internet, das andere ist von der Außenwelt abgeschnitten das sollte auch so sein/bleiben.
Paar 1 darf auch keine kommunukation mit dem anderen Paar haben, deshalb unterschiedliche Subnetze. IP's sind alle fest vergeben.
Bis dahin funktioniert alles problemlos.
Jetzt gibt es einen Drucker der so ziemlich alles Aufgaben erfüllt, Faxen, Scannen, Kopieren. Da dieser Drucker recht gut und auch teuer ist wäre es mein Ziel das beide Subnetze auf den Drucker zugreifen können, jedoch ohne die verbotene Kommunikation der beiden PC Paare zu gefährden.
Für Internet steht eine Fritzbox zur Verfügung, die PC's verbinden jeweils Netgear Switche.

Gibt es hierfür eine Lösung oder ist das Vorhaben so nicht zu schaffen?

Grüße Jens
28 Antworten
Mitglied: Sheogorath
27.02.2014, aktualisiert um 18:27 Uhr
Moin,

wenn du keinen Printserver hast, dann wird das schwierig.

Du könntest IPv6 einsetzen. Subnetz 1 druckt über IPv4 an allen Druckern. mit IPv6 druckt Subnetz 2. Bei Subnetz 1 schaltest du IPv6 Ab und fertig ist der Lack.

Du brauchst nur IPv6 fähige Drucker.

Gruß
Chris
Bitte warten ..
Mitglied: s-n-e-j
27.02.2014, aktualisiert um 19:11 Uhr
Also einen Netzwerkdrucker habe ich natürlich, das hätte ich sagen sollen. HP 8600pro, kann ich es damit machen?
Und ist dann noch sichergstellt, das für die PC paare beide Netzte sauber getrennt sind?
Nicht das die plötzlich alle Rechner ins Internet kommen oder alle 4 untereinander kommunizieren können.
Bitte warten ..
Mitglied: Dani
27.02.2014 um 19:10 Uhr
Moin Jens,
die sicherste Variante sind drei VLANs.

VLAN 1: Rechner mit Internetzugang
VLAN 2: Rechner ohne Internetzugang
VLAN 3: Drucker/Kopierer, etc...


Grüße,
Dani
Bitte warten ..
Mitglied: MrNetman
27.02.2014 um 19:14 Uhr
Da gibt es so einen netten Befehl: add route

Da ich vermute, dass du die beiden Netze nur virtuell (rein gedanklich und nicht technisch) getrennt hast, also weder über VLAN noch sonst wie.
Den beiden isolierten PCs fehlt ja ein default Gateway und ein Router. Aber einen Router bräuchte es schon.

außer ...
du spielst mit den Subnetzmasken.
eine kleine Subnetzmaske für die Internet-PCs, ein anderer Bereich ohne Gateway für "isolierten PCs" und eine größere Maske ohne Gateway für die Drucker.
Oder eine weitere feste IP, die auf die Drucker zugreifen kann.

Gruß
Netman
Bitte warten ..
Mitglied: s-n-e-j
27.02.2014 um 19:14 Uhr
Hallo Dani,

da müsste ich wohl erst prüfen ob mein Switch VLAN überhaupt unterstützen. Bzw wie ich das konfigurieren kann.


Gruß Jens
Bitte warten ..
Mitglied: s-n-e-j
27.02.2014, aktualisiert um 19:27 Uhr
Sehr aufwendig ist das ganze bisher nicht gestaltet, auch nichts virtuelles.

Fritzbox mit fester IP welche auch als Gateway für die Internet-Rechner dient (192.168.0.10)
Dann die 2 Rechner fürs Internet im gleiche Subnetz. (192.168.0.x, 255.255.255.0) + Gateway

Dann die 2 Isolierten Rechner mit der 172.168.0.x, 255.255.255.0, ohne Gateway.

Und ein Netzwerkdrucker HP 8600pro.

Alles per Fritzbox + Switch verbunden.
Bitte warten ..
Mitglied: MrNetman
27.02.2014, aktualisiert 28.02.2014
Dann installier doch einfach den Drucker auf deinen "isolierten PCs" und aus die Maus.
Aber dir ist schon bewusst, dass jeder PC auf jeden anderen zugreifen kann.

fertig

Gruß
Netman

##Edit## habe 172.168.0 und 192.168.0 falsch gelesen.
Bitte warten ..
Mitglied: s-n-e-j
27.02.2014 um 19:55 Uhr
Nein ist mir nicht bewusst. Es sind doch verschiedne Netze?!?
Auch ein Ping schlägt fehl, deshalb dachte ich schon es passt so.

Was meinst du genau mit installier den Drucker, das hat bisher ja nicht geklappt, da verschiendene Subnetze.
Bitte warten ..
Mitglied: Dobby
27.02.2014 um 20:33 Uhr
Zitat von Dani:

Moin Jens,
die sicherste Variante sind drei VLANs.

VLAN 1: Rechner mit Internetzugang
VLAN 2: Rechner ohne Internetzugang
VLAN 3: Drucker/Kopierer, etc...


Grüße,
Dani

Hallo ein kleiner Änderungsvorschlag von mir dazu,

bitte nicht VLAN1 nehmen, da es meistens das default VLAN
ist und in dem sind dann mitunter alle Geräte Mitglieder.

Gruß
Dobby
Bitte warten ..
Mitglied: Dani
27.02.2014 um 20:37 Uhr
@Dobby
Hallo ein kleiner Änderungsvorschlag von mir dazu,
Ich meinte damit eigentlich nicht die IDs. Aber guter Hinweis von dir!


Grüße,
Dani
Bitte warten ..
Mitglied: emeriks
27.02.2014 um 20:57 Uhr
Hat der Drucker auch USB?
Falls ja: Wenn es räumlich passt, dann einen PC der einen Gruppe via USB anschließen und Drucker freigeben. Der zweite PC der Gruppe druckt über die Freigabe.
Nicht schön, aber selten.
E.
Bitte warten ..
Mitglied: aqui
27.02.2014, aktualisiert um 21:17 Uhr
Den Schlüsselsatz der alles entscheidet hast du ja bereits selber geschrieben und ist wohl von vielen hier schlicht überlesen worden:
"...das andere ist von der Außenwelt abgeschnitten das sollte auch so sein/bleiben !"
Damit ist dein Vorhaben technisch so schlicht NICHT umsetzbar !
Um den Drucker benutzen zu können musst du ja logischerweise zwangsweise eine Kopplung dieser beiden vollkommen getrennten Netze erlauben.
Die einzige Ausnahme ist das du einen separaten Printserver in das jeweils andere Netz bringst der den Drucker dann über USB oder Parallelport bedient. So ist eine Netzkopplung physisch ausgeschlossen aber Drucken dann über USB oder LPT möglich.
Wäre natürlich quasi Blödsinn wenn der Drucker schon einen LAN Port hat aber technisch die einzige Option.
Wenn die strikte Trennung beibehalten werden soll ist also der Umweg mit dem Printserver deine einzige Chance.

Ansonsten ist eine kleine_Firewall der Weg den man sonst gehen würde. Dafür musst du aber zwangsweise beide Netzsegmente_verbinden über die FW.
In den Firewall Regeln würdest du dann strikt eintragen das einzig die Drucker Kommunikation passieren darf und mehr nicht !
Damit könntest du dann problemlos aus beiden Netzen drucken und auch nur das. Der Rest bleibt weiterhin ausgesperrt.
Allerdings musst du die von dir eigentlich nicht gewollte Kröte schlucken, das du beide Netze dann über die Firewall verbindest !
Geht das nicht ist der PS der einzig machbare Ausweg ! Außer natürlich....
du kaufst einen 2ten Drucker dazu !
Bitte warten ..
Mitglied: Dobby
27.02.2014 um 21:20 Uhr
Zitat von Dani:

@Dobby
> Hallo ein kleiner Änderungsvorschlag von mir dazu,
Ich meinte damit eigentlich nicht die IDs. Aber guter Hinweis von dir!


Grüße,
Dani

Ach so das muss einem ja auch erst einmal gesagt werden,
dann habe ich das wohl falsch verstanden!

Gruß
Dobby
Bitte warten ..
Mitglied: s-n-e-j
27.02.2014 um 23:29 Uhr
Hallo aqui,

danke für die ausführliche Erklärung.
War nämlich kurzzeitig total verwirrt als es hier hieß jeder PC könne auf den anderen zugreifen.
Mit meiner Adressvergabe sollte ja keine Verbindung zwischen den Paaren stattfinden können, falls ich das falsch sehe bitte korrigieren denn das wäre mir wichtig?? Nicht das ich denke bin da sicher und bin es nicht.
Per Ping hat es jedenfalls nicht geklappt. Nur die Paare untereinander konnten kommunizieren.

Zitat von aqui:

Den Schlüsselsatz der alles entscheidet hast du ja bereits selber geschrieben und ist wohl von vielen hier schlicht
überlesen worden:
"...das andere ist von der Außenwelt abgeschnitten das sollte auch so sein/bleiben !"
Damit ist dein Vorhaben technisch so schlicht NICHT umsetzbar !

Und ich denke den weg über einen Printserver wede ich gehen bzw. werde ich versuchen.
Der Drucker hat zwar auch WLAN, allerdings geht dort auch nur LAN oder WLAN, deshalb ist das ausgeschieden.
Aber über den USB-Anschluss mit zusätzlichem Printserver sollte es ja gehen.
Werde mich melden wenn ich das Vorhaben umgesetzt habe.
Bitte warten ..
Mitglied: aqui
28.02.2014, aktualisiert um 08:56 Uhr
Nicht das wir uns hier falsch verstehen: Wir hoffen jetzt mal alle hier das du NICHT mit 2 unterschiedlichen IP Adressen bei den Netzen auf einem Draht arbeitest.
Will sagen das du einen gemeinsamen L2 Switch hast und nur auf diesem "gleichen Draht" unterschiedliche IP Netze benutzt, die Geräte aber in einer gemeinsamen Layer 2 Domain sind ?!
Das wäre ein fataler Irrtum, denn dann sind die Rechner keineswegs geschützt und es wäre schlichte Dummheit das anzunehmen !!
Sie müssen mit eigener Switchhardware getrennt sein ! Das ist hoffentlich der Fall bei dir ?! Alles andere wäre naive Bastelei ohne Schutz.
So oder so würde das an der Lösung nichts ändern denn 2 IP Netze können nur über einen Router oder Firewall kommunizieren.
Ausnahme wie gesagt nur der PS oder ein 2ter Drucker....
Bitte warten ..
Mitglied: MrNetman
28.02.2014 um 09:20 Uhr
Wenn du einen USB/Centronics-Printserver für das 172-er Netz einsetzt, prüfe bitte vorher ob der Drucker alternativ auf Netzwerk und USB reagiert. Es gibt welche, die haben zwar alle Schnittstellen, nehmen aber Aufträge nur an einer entgegen.
Bitte warten ..
Mitglied: s-n-e-j
28.02.2014 um 15:07 Uhr
Hallo,

dann ist es gut, dass wir darüber geredet haben. Denn ich wäre dem fatalen irrtum erlegen.
Denn es ist keine Hardwaretrennung vorhanden, bzw auch keine Kabel dafür vorhanden.
Dann es gibt lediglich die Fritzbox, an der hängt ein PC der ins Internet geht mit 192.xxx.
Dann geht es von dort per Kabel einen Stock tiefer wo ein switch steht an dem ein Internet PC 192.xxx hängt + ein sicherer PC 172.xxx, von dort per Kabel zu einen switch wo ein sicherer PC 172.xxx + der Drucker hängt.

Dann war zu denken wenn kein Ping durchkommt können die PC's nicht kommunizieren die Dummheit der Woche von mir.
Bitte warten ..
Mitglied: s-n-e-j
01.03.2014 um 10:00 Uhr
Gibt es denn bei der Kabelverlegung die ich nunmal (leider) so übernommen habe überhaupt eine Möglichkeit?
Es liegen in der Wand von Raum zu Raum bzw. Stockwerk nunmal nur 1 Kabel.
Bitte warten ..
Mitglied: MrNetman
01.03.2014 um 10:20 Uhr
Über ein physikalischen Kabel kann man Netzwerke mittels VLANs sauber trennnen. Die Verbindung zum Drucker wird dann miitels eines Routers hergestellt.
Für deine Zwecke würde es reichen den Kellerswitch mittels VLANs einzuteilen. Dem 192.168.0er Netz gibts du via Fritzbox im OG einen Internetzugriff. Die beiden isolierten PC sind in einem anderen VLAN deines Switches (billige VLAN-Switche z.B GS108E/GS105E). Der Printserver wird in das isolierte Segmetn addiert und bedient den Drucker via centronics/USB.

Nur wenn du die Netzwerke weitergehend verbinden willst, benötigst du einen Router.

Gruß
Netman
Bitte warten ..
Mitglied: Dobby
01.03.2014 um 10:40 Uhr
Hallo,

Für Internet steht eine Fritzbox zur Verfügung, die PC's verbinden jeweils Netgear Switche.
- Was für Switche sind denn das nun genau die dort verbaut?

- 30 € MikroTik Router kaufen
- 3 VLANs Anlegen
- Drucker in VLAN2
- PC in zwei andere in VLAN2&3
- EinVLAN kann dann in das Internet
- Ein VLAN eben nicht
- Und der Drucker wird dann eben Mitglied in beiden VLANs.

fertig.

Nur mit der Fritz!Box wird das nichts und die Netgear Switche
sollten auch alle VLANs beherrschen bzw. unterstützen.

Sollten die Switche wieder erwartend keine VLANs unterstützen,
würde ich einfach mal nur mittels des MikroTik Routers und vie
Routing versuchen wollen das ganze Szenario abzuhandeln.

Gruß ♪
Dobby♬
Bitte warten ..
Mitglied: s-n-e-j
01.03.2014, aktualisiert um 15:08 Uhr
Hallo,

also die Netgear Switche sind GS608.
D.h. Den MikroTik benötige ich so oder so?
Und das meine GS608 VLAN beherrschen muss ich auch prüfen?


Wäre es trotzdem möglich, dass mir mal jemand erklären kann wieso das ohne VLAN und nur mit den verschiedenen IP Adressen nicht geht?
Per Ping komme ich ja mit den 172.xxx nicht mehr auf die 192.xxx
Ins Internet kommen diese PC's auch nicht. In der Fritzbox werden die 172.xxx PC's auch nicht aufgeführt, nur die 192.xxx
Wie kommt man nun von außen auf die 172.xxx, bzw. von außen über die 192.xxx auf die 172.xxx?

Gruß
Jens
Bitte warten ..
Mitglied: aqui
01.03.2014 um 16:16 Uhr
D.h. Den MikroTik benötige ich so oder so?
Nein, nicht wenn du mit einem separaten Printserver arbeitest, denn dann bleiben die Netze ja getrennt. Ein Router ist dann überflüssig !
Und das meine GS608 VLAN beherrschen muss ich auch prüfen?
Nein, das ist Unsinn und kannst du so lassen wie es ist wenn du kein VLAN Setup anstrebst.
erklären kann wieso das ohne VLAN und nur mit den verschiedenen IP Adressen nicht geht?
Die Frage und auch die damit verbundenen Erklärung ist unsinnig und führt zu nichts, da du ja 2 vollkommen getrennte Hardware hast die NICHT verbuunden sind !
Ein Switch arbeitet mit 192er netz und der andere getrennte mit 172er und nichts ist verbunden. Also stellt sich die Frage ja gar nicht erst.
Anders wäre es wenn du auf einem einzigen Switch Geräte im gleichen LAN zusammen mit 192er und 172er Adressen fährst. Dann gilt die obige Warnung mit dem "gleichen Draht" ! Aber auch nur dann. Bei dir ja nicht der Fall !
Per Ping komme ich ja mit den 172.xxx nicht mehr auf die 192.xxx
Wie auch wenn die Switches nicht verbunden sind !!
uf einem gemeinsamen Draht wäre das egal denn über die MAC Adressen könnte ein Angreifer problemlos auf die Rechner in beiden Netzen !
Wie kommt man nun von außen auf die 172.xxx, bzw. von außen über die 192.xxx auf die 172.xxx?
Das geht natürlich nur mit einem Router der beide Netze verbindet !
Bitte warten ..
Mitglied: MrNetman
01.03.2014, aktualisiert um 16:41 Uhr
Aber der Drucker soll doch genutzt werden. Das war doch mit eine der wichtigsten Kriterien diesen Threads.
Da nutzt die echte physikalische Trennung noch nichts. Aber sie ist perfekt.
Mit dem Druckerserver sollte auch der Rest gehen. Und die Kabel sind in Druckernähe leicht zu verlegen.
Und das sind keine zwei verschiedene Subnetze, sondern echt zwei verschiedene Netze.
Bitte warten ..
Mitglied: s-n-e-j
01.03.2014, aktualisiert um 17:00 Uhr
Hallo,

seit mit bitte echt nicht böse, vll stelle ich mich auch nur so dumm an und mir kann man wirklich nicht helfen.
Aber die letzten Post verwirren mich.

Zitat von s-n-e-j:
Dann es gibt lediglich die Fritzbox, an der hängt ein PC der ins Internet geht mit 192.xxx.
Dann geht es von dort per Kabel einen Stock tiefer wo ein switch steht an dem ein Internet PC 192.xxx hängt + ein sicherer PC
172.xxx, von dort per Kabel zu einen switch wo ein sicherer PC 172.xxx + der Drucker hängt.

Ich habe doch ein Stockwerk dort hängen an einem Switch ein Internet PC + ein Sicherer PC also trifft doch die Warnung mit dem gleichen Draht zu.
Deshalb dachte ich bis vor einer Stunde ich kann nicht anderes als alles so lassen wie es ist damit leben oder auf VLAN umzusteigen und die Komponenten zu kaufen.

Wäre der Drucker nicht unfähig PDF's per Stick zu drucken würde ich grad sagen die sicheren PC's bekommen das Kabel gezogen und man erstellt PDF's was eh gemacht wird zur Archivierung und druckt diese dann direkt am Drucker vom Stick.
Bitte warten ..
Mitglied: aqui
01.03.2014 um 20:09 Uhr
Sicherer PC also trifft doch die Warnung mit dem gleichen Draht zu.
OK, das ist dann tödlich und schützt diese PCs nicht wirklich...sollte auch jedem Laien klar sein ! Wenn du alle Geräte auf einem Draht fährst ist dein ganzen Auwand für die Katz was das Thema Sicherheit anbetrifft. Das sollte auch einen Laien klar sein.
Zeugt dann eher von wenig Netzwerk KnowHow wenn du denkst sowas sei "sicher". Sorry aber das ist naiv und sagt einem schon der gesunde Menschenverstand.
Dann mach es gleich richtig und trenne diese Netze wirklich !
Deine GS608 sind billigste ungemanagte Switches die KEIN VLAN können, diese Option entfällt also für dich.
Das einfachste ist du beschaffst dir für 38 Euro einen Mikrotik 750G Router und trennst dann WIRKLICH diese Netze.
Mit den entsprechenden Zugriffsfiltern im Router kannst du dann sauber eine Kommunikation unterbinden aber den gemeinsamen Zugriff auf den Drucker zulassen.
Wie man 2 Netze mit einem Router routet beschreibt dir dieses Tutorial:
http://www.administrator.de/contentid/56073
Alternativ kannst du für noch mehr Sicherheit die kleine Firewall von oben nehmen.
Wenn du allerdings schon so unsicher die ganze Zeit gefahren bis mit allen Rechneren an einem Draht, dann reicht auch der kleine Router.
Sicherheitstechnisch ist das dann schon ein Quantensprung für dich !
Was du da derzeit machst ist naiver Kindergarten, sorry.
Bitte warten ..
Mitglied: s-n-e-j
02.03.2014 um 00:38 Uhr
Hallo,

ich hatte bisher keinem zugesichert sicher unterwegs zu sein, deshalb brauch ich kein schlechtes Gewissen zu haben.
Nur möchte ich dieses ab Sommer 2014 sagen können, deshalb Informiere ich mich, wie ich das machen kann.
Bitte warten ..
Mitglied: aqui
03.03.2014, aktualisiert um 20:07 Uhr
Wenn du es so umsetzt wie oben beschrieben wirst du das im Sommer 2014 ganz beruhigt sagen können !
Derzeit ist es de facto völlig unsicher auch wenn du denkst das Konstrukt ist sicher !
Bitte warten ..
Mitglied: s-n-e-j
03.03.2014 um 20:39 Uhr
Ich dachte es ist ein weg.
Das ich so ganz sicher unterwegs bin hab ich mir nie eingebildet, deshalb die Frage an Profis.
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Exchange Server
gelöst Verschiedene Drucker unter einem Exchange-Account zusammenfassen (5)

Frage von diemilz zum Thema Exchange Server ...

Drucker und Scanner
USB-Drucker über virtuellen COM LPT- Port ansteuern (27)

Frage von magicman zum Thema Drucker und Scanner ...

Drucker und Scanner
gelöst PCL-Drucker drucken nur Hieroglyphen (5)

Frage von diwaffm zum Thema Drucker und Scanner ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...