15
Ein gemeinsamer Internetzugang - Netzwerk Aufteilen (DHCP -VLAN)
Ich habe einen Internetzugang mit einem LTE Modem "E5186s-22a".
Nun sollen mit dem Internetzugang 2 Gebäude Versorgt werden - Unterirdische Netzwerkkabel usw. sind schon vorhanden.
Beide Gebäude sollen über getrennte Netzwerke verfügen, eine Kommunikation zwischen den Netzwerken soll aus Sicherheitsgründen nicht möglich sein.
Nur ein geimeinsamer Internetzugang. In jedem der Gebäude soll ein Switch platziert werden für die Interne Netzwerkverkabelung. An diesen Switch werden noch WLAN Access Points angeschlossen. (In jedem Gebäude)
WLAN des LTE Modems wird natürlich abgeschalten.
Nun habe ich schon über einige Lösungsansätze gelesen z.B. das ganze mit einem VLAN Switch trennen...
Allerdings kann das LTE Modem nur einen DHCP Server Bereitstellen (für einen Adressbereich) ich möchte aber 2 Teil-Netzwerke haben - bräuchte ich da nicht 2 DHCP Server?
Kann man das ganze mit VLAN aufbauen oder ist dass der Falsche Weg?
Ich bin für alles offen - kann auch gerne ein Anderes LTE Modem besorgen, falls das helfen sollte.... denke dass E5186s-22a ist onehin etwas eingeschränkt...
Ich suche schon seit Wochen im Internet nach Antworten, aber eine Richtige Lösung (die für mich verständlich war) zu meinem Problem konnte ich nicht finden,...
Nun sollen mit dem Internetzugang 2 Gebäude Versorgt werden - Unterirdische Netzwerkkabel usw. sind schon vorhanden.
Beide Gebäude sollen über getrennte Netzwerke verfügen, eine Kommunikation zwischen den Netzwerken soll aus Sicherheitsgründen nicht möglich sein.
Nur ein geimeinsamer Internetzugang. In jedem der Gebäude soll ein Switch platziert werden für die Interne Netzwerkverkabelung. An diesen Switch werden noch WLAN Access Points angeschlossen. (In jedem Gebäude)
WLAN des LTE Modems wird natürlich abgeschalten.
Nun habe ich schon über einige Lösungsansätze gelesen z.B. das ganze mit einem VLAN Switch trennen...
Allerdings kann das LTE Modem nur einen DHCP Server Bereitstellen (für einen Adressbereich) ich möchte aber 2 Teil-Netzwerke haben - bräuchte ich da nicht 2 DHCP Server?
Kann man das ganze mit VLAN aufbauen oder ist dass der Falsche Weg?
Ich bin für alles offen - kann auch gerne ein Anderes LTE Modem besorgen, falls das helfen sollte.... denke dass E5186s-22a ist onehin etwas eingeschränkt...
Ich suche schon seit Wochen im Internet nach Antworten, aber eine Richtige Lösung (die für mich verständlich war) zu meinem Problem konnte ich nicht finden,...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 307206
Url: https://administrator.de/contentid/307206
Printed on: April 25, 2024 at 12:04 o'clock
15 Comments
Latest comment
Auch kein Hallo,
ohne jetzt auf Themen einzugehen wie...
Du schließt direkt am Modem einen L3 fähigen Switch oder einen weiteren Router, richtest dort 2 VLANs ein und 2 DHCP Scopes und schließt an diesen 2 Ports jeweils deine 2 Netze an. Über ACLs regelst du dann wer wo wie auf was zugreifen darf. Fertig.
Auch kein Gruß
ohne jetzt auf Themen einzugehen wie...
- Potentialausgleich
- Warum so eine LTE China Gurke?
- Was für eine Verkabelung wurde da unterirdisch verlegt?
Du schließt direkt am Modem einen L3 fähigen Switch oder einen weiteren Router, richtest dort 2 VLANs ein und 2 DHCP Scopes und schließt an diesen 2 Ports jeweils deine 2 Netze an. Über ACLs regelst du dann wer wo wie auf was zugreifen darf. Fertig.
Auch kein Gruß
Zitat von @pingii:
Ich suche schon seit Wochen im Internet nach Antworten, aber eine Richtige Lösung (die für mich verständlich war) zu meinem Problem konnte ich nicht finden,...
Ich suche schon seit Wochen im Internet nach Antworten, aber eine Richtige Lösung (die für mich verständlich war) zu meinem Problem konnte ich nicht finden,...
Entweder besorgst Du Dir einen vernünftigen LTE-Router, der die zwei verschieden e LAN-Segmente aufspannt oder Du klemmst hinter den LTE-Router einen weiteren Router, der die zwei Netzwerke trennt.
lks
Hallo, danke für die Antwort.
Das Problem mit dem Potentialausgleich ist mir bewusst, deshalb habe ich auch ein ungeschirmtes Netzwerkkabel verwendet, funktioniert bis jetzt einwandfrei.
Dieses Modem war leider das einzige welches mein Mobilfunk Anbieter hatte, aber ich bin gerne bereit ein vernünftiges zu kaufen. (nur Welches?)
Das Heißt der Leyer 3 Swicht kann selber 2 DHCP Server zur verfügung stellen - wenn ich richtig verstehe?
Das Problem mit dem Potentialausgleich ist mir bewusst, deshalb habe ich auch ein ungeschirmtes Netzwerkkabel verwendet, funktioniert bis jetzt einwandfrei.
Dieses Modem war leider das einzige welches mein Mobilfunk Anbieter hatte, aber ich bin gerne bereit ein vernünftiges zu kaufen. (nur Welches?)
Das Heißt der Leyer 3 Swicht kann selber 2 DHCP Server zur verfügung stellen - wenn ich richtig verstehe?
Hallo,
welcher Router könnte soetwas?
welcher Router könnte soetwas?
Zitat von @pingii:
Das Problem mit dem Potentialausgleich ist mir bewusst, deshalb habe ich auch ein ungeschirmtes Netzwerkkabel verwendet, funktioniert bis jetzt einwandfrei.
Inwiefern das das Problem mit dem Potentialausgleich löst, musst du uns jetzt aber erklären Das Problem mit dem Potentialausgleich ist mir bewusst, deshalb habe ich auch ein ungeschirmtes Netzwerkkabel verwendet, funktioniert bis jetzt einwandfrei.
Dieses Modem war leider das einzige welches mein Mobilfunk Anbieter hatte, aber ich bin gerne bereit ein vernünftiges zu kaufen. (nur Welches?)
Ich meinte eher damit, wieso versorgt man 2 Gebäude mit einem Mobilfunk Modem und nicht einem richtigen Internetanschluss.Aber das ist ja deine Entscheidung und tut hier nix zur Sache.
Das Heißt der Leyer 3 Swicht kann selber 2 DHCP Server zur verfügung stellen - wenn ich richtig verstehe?
Der Layer 3 Switch kann das ja, ein kleiner Mikrotik Router für ~ 40 € (dann hast du allerdings eine Routerkaskade. Somit wäre ein Router mit eingebautem LTE Modul wie unten von Kollege @Lochkartenstanzer erwähnt die bessere Option) kann das aber z.B. auch. Kommt halt immer drauf an was deine Anforderungen sind. Wenn du nur Internet benötigst und keine Services/Dienste bereitstellen möchtest (VPN etc.) dann kann man auch kaskadieren.Gruß
Hallo,
ein "richtiger" DHCP-Server kann mehere, unterschiedliche Subnetze versorgen. Dazu müssen nur die entsprechenden Zonen/Bereiche eingerichtet und konfiguriert werden. Ob das Dein LTE-Router kann, weiß ich nicht (eher nicht).
Natürlich "hängt" ein solcher DHCP-Server nur in einen Subnetz. Deshalb muß im Router ein DHCP-Relay oder DHCP-Helper eingerichtet werden.
Häufig haben AccessPoints oder als AP kastrierte WLAN-Router ja auch einen internen DHCP-Server. Du kannst dann in dem 2. Subnetz diesen mit dem entsprechenden IP-Bereich aktivieren. Damit hättest Du für jeden IP-Bereich einen eigenen DHCP-Server.
Jürgen
ein "richtiger" DHCP-Server kann mehere, unterschiedliche Subnetze versorgen. Dazu müssen nur die entsprechenden Zonen/Bereiche eingerichtet und konfiguriert werden. Ob das Dein LTE-Router kann, weiß ich nicht (eher nicht).
Natürlich "hängt" ein solcher DHCP-Server nur in einen Subnetz. Deshalb muß im Router ein DHCP-Relay oder DHCP-Helper eingerichtet werden.
Häufig haben AccessPoints oder als AP kastrierte WLAN-Router ja auch einen internen DHCP-Server. Du kannst dann in dem 2. Subnetz diesen mit dem entsprechenden IP-Bereich aktivieren. Damit hättest Du für jeden IP-Bereich einen eigenen DHCP-Server.
Jürgen
MikroTik Router RB411U LTE/4G oder passende Modelle von demn üblichen verdächtigen, Cisco, LanCom, DrayTec, etc.
lks
Ich schließe mich dem an. Firewall hinter den LTE Router mit zwei Zonen die untereinander nicht kommunizieren können. Die Firewall bringt i.d.r. auch einen DHCP Server, welcher pro Interface konfiguriert werden kann.
Ein DHCP Relay wäre auch möglich, würde aber den Netztrennung ggf. widersprechen.
Marken gibt es viele... Zu den o.g. gibt es z.B. Dell Sonicwall und Sophos. Die Zonenverwaltung ist das was du suchst. Da könne bei wenigen Clients eine TZ200 von Sonicwall ggf schon langen. Es kommt drauf an was Du willst. Achtung: Die Leistungsdaten sind Marketing, nimm mal lieber die Hälfte
VLAN könnte man noch mit aufziehen, brauchst Du aber nicht. Zone1 geht auf Switch1... Zone2 geht auf Switch2.
Wenn Du dann auch noch Interfaces frei hast, könntest Du auch noch das WLAN separieren. Dann kommt Du über VLANS nicht herum (3 bis 4 Netze, 2 Switche) und ggf. das WLAN trennen von den LAN Zonen. Theoretisch kann auf einem Interface der Firewall auch virtuelle angelegt werden mit VLANs, Taste Dich aber erst mal ran, da das Thema für Dich recht neu zu sein scheint.
P.S.: Du hast dann den Vorteil noch weite Features wie Virenschutzprogramm, Anti-Spyware und diverse Features bei bedarf mitzubuchen und am Gateway zusätzlich zu schützen.
Ein DHCP Relay wäre auch möglich, würde aber den Netztrennung ggf. widersprechen.
Marken gibt es viele... Zu den o.g. gibt es z.B. Dell Sonicwall und Sophos. Die Zonenverwaltung ist das was du suchst. Da könne bei wenigen Clients eine TZ200 von Sonicwall ggf schon langen. Es kommt drauf an was Du willst. Achtung: Die Leistungsdaten sind Marketing, nimm mal lieber die Hälfte
VLAN könnte man noch mit aufziehen, brauchst Du aber nicht. Zone1 geht auf Switch1... Zone2 geht auf Switch2.
Wenn Du dann auch noch Interfaces frei hast, könntest Du auch noch das WLAN separieren. Dann kommt Du über VLANS nicht herum (3 bis 4 Netze, 2 Switche) und ggf. das WLAN trennen von den LAN Zonen. Theoretisch kann auf einem Interface der Firewall auch virtuelle angelegt werden mit VLANs, Taste Dich aber erst mal ran, da das Thema für Dich recht neu zu sein scheint.
P.S.: Du hast dann den Vorteil noch weite Features wie Virenschutzprogramm, Anti-Spyware und diverse Features bei bedarf mitzubuchen und am Gateway zusätzlich zu schützen.
Super Danke für die Hilfe, erscheint mir logisch - werde mich nun auf "Suche" nach einer Firewall begeben.
Eine Frage noch:
wenn ich nun an switch 1 einen WLAN Access Point hänge und an Switch 2 ebenfalls, sind diese natürlich auch getrennt oder?
Weil du noch etwas von separieren schreibst, verstehe ich nicht ganzß ..oder meinst du das Wlan nochmals getrennt von LAN 1 und LAN 2
Mit freundlichen Grüßen
Eine Frage noch:
wenn ich nun an switch 1 einen WLAN Access Point hänge und an Switch 2 ebenfalls, sind diese natürlich auch getrennt oder?
Weil du noch etwas von separieren schreibst, verstehe ich nicht ganzß ..oder meinst du das Wlan nochmals getrennt von LAN 1 und LAN 2
Mit freundlichen Grüßen
Genau, die WLAN APs an den Switchen wären dann separiert, wenn die Switche jeweils an einem eigenem Interface hängen und in den Firewallregeln steht, dass diese nicht untereinander kommunizieren dürfen. I.d.R sind das Zonen, default gibt es LAN und dann legt man z.B. LAN2 und verbietet dein Kommunikation zwischen den Netzen. Damit ist dein Szenario erfüllt.
Die Dinger können aber viel mehr, und längerfristig schaue Dir das gerne an, wenn Du Lust/Zeit hast:
Das mit getrennt von LAN1 und LAN2... Es gibt da nach sehr viele nette Konfigurationsmöglichkeiten, wenn das läuft, was Du oben suchst, dann guck Dir das einfach mal nach und nach an. Nimm vielleicht ein freies Interface zum testen. Ich wollte Dich da nicht gleich mit Konfiguariongsmöglichkeiten "zubombadieren". Es gibt aber die Möglichkeiten mit VLANs, Multi-SSID und virtuellen Interfaces indem Firewalls/Switchen das noch interessanter zu gestalten. So könnte man eine SSID in das Produktivnetz einrichten (theoretisch sogar mit eigenem Subnetz), und eine andere SSID z.B. nur für "öffentlichen" Zugriff (z.B. Besprechungsräume, Gäste). Einfach als Blick in die Zukunft
Viel Erfolg!
Die Dinger können aber viel mehr, und längerfristig schaue Dir das gerne an, wenn Du Lust/Zeit hast:
Das mit getrennt von LAN1 und LAN2... Es gibt da nach sehr viele nette Konfigurationsmöglichkeiten, wenn das läuft, was Du oben suchst, dann guck Dir das einfach mal nach und nach an. Nimm vielleicht ein freies Interface zum testen. Ich wollte Dich da nicht gleich mit Konfiguariongsmöglichkeiten "zubombadieren". Es gibt aber die Möglichkeiten mit VLANs, Multi-SSID und virtuellen Interfaces indem Firewalls/Switchen das noch interessanter zu gestalten. So könnte man eine SSID in das Produktivnetz einrichten (theoretisch sogar mit eigenem Subnetz), und eine andere SSID z.B. nur für "öffentlichen" Zugriff (z.B. Besprechungsräume, Gäste). Einfach als Blick in die Zukunft
Viel Erfolg!
ok verstehe,, werde jetzt mal eine firewall suchen die preislich im Rahmen ist und sich einigermaßen einfach konfigurieren lässt.... DANKE
Da brauchst Du nicht lang zu suchen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät von @aqui ist hier der Klassiker. Alternativ tut es auch ein Microtik für 50 € von Grabbeltisch, der allerdings deutlich mehr Einarbeitungsaufwand erfordert.
lks
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät von @aqui ist hier der Klassiker. Alternativ tut es auch ein Microtik für 50 € von Grabbeltisch, der allerdings deutlich mehr Einarbeitungsaufwand erfordert.
lks
Genau....Der Artikel ist sehr gut... Danke!
Alternativ für einen "ausgedienten" Intel PC, in den man noch zwei zusätzliche NICs einbaut:
https://www.sophos.com/de-de/products/free-tools/sophos-xg-firewall-home ...
Hier habe ich mit PPPOE direkt jedoch noch keine Erfahrungen...
Viel Erfolg!
Alternativ für einen "ausgedienten" Intel PC, in den man noch zwei zusätzliche NICs einbaut:
https://www.sophos.com/de-de/products/free-tools/sophos-xg-firewall-home ...
Hier habe ich mit PPPOE direkt jedoch noch keine Erfahrungen...
Viel Erfolg!
Moin
Bei dem ausgedienten PC aber auf den Stromverbrauch achten, da so eine Firewall durchaus 24/7 läuft. Ob die Kiste 20W oder 200W Leistung zieht macht über 200€/a in der Stromrechnung aus.
lks
Zitat von @derLenhart:
Alternativ für einen "ausgedienten" Intel PC, in den man noch zwei zusätzliche NICs einbaut:
Alternativ für einen "ausgedienten" Intel PC, in den man noch zwei zusätzliche NICs einbaut:
Bei dem ausgedienten PC aber auf den Stromverbrauch achten, da so eine Firewall durchaus 24/7 läuft. Ob die Kiste 20W oder 200W Leistung zieht macht über 200€/a in der Stromrechnung aus.
lks
1
Morgen,
Danke für die Info, habe ich mir auch schon überlegt, aber diese alten Rechner brauchen meist im Leerlauf mehr Strom als kompakte Firewalls mit Steckernetzteil. Hab ich selber schon gemessen an einigen älteren Rechner, die Netzteile sind vermutlich einfach nicht so effektiv.
Ich denke ich werde bei einem Kompakten "Fertiggerät" bleiben, bin grade am suchen.
Entweder die Firewall im Eigenbau wie "derLenhart" geschrieben hat oder ein einfach zu bedienendes Gerät (nur welches ist einfach ) von einem anderen Hersteller...
mfg
Danke für die Info, habe ich mir auch schon überlegt, aber diese alten Rechner brauchen meist im Leerlauf mehr Strom als kompakte Firewalls mit Steckernetzteil. Hab ich selber schon gemessen an einigen älteren Rechner, die Netzteile sind vermutlich einfach nicht so effektiv.
Ich denke ich werde bei einem Kompakten "Fertiggerät" bleiben, bin grade am suchen.
Entweder die Firewall im Eigenbau wie "derLenhart" geschrieben hat oder ein einfach zu bedienendes Gerät (nur welches ist einfach
) von einem anderen Hersteller...mfg
