Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke LAN, WAN, Wireless

GELÖST

Kommunikation zwischen 2 Netzwerken mit verschiedenen Internetzugängen

Mitglied: leuchtmast

leuchtmast (Level 1) - Jetzt verbinden

15.11.2012 um 23:27 Uhr, 6059 Aufrufe, 11 Kommentare

Hallo Zusammen,

ich habe eine Frage wie zwei bestehende Netzwerke am besten miteinander zu verbinden sind.

Folgende Ausgangstellung:

8aacbf3c5cea673631dab2ecca3f8325 - Klicke auf das Bild, um es zu vergrößern

Netzwerk A
20 Rechner
1 Server - W8K - Domäne mit AD
Netgear Router mit VPN und Firewall
DSL Router als Modem

Netzwerk B
4 Rechner Peer-to-peer
DSL Router

Die Netzwerke liegen in verschiedenen Gebäuden, etwa 100m weit voneinander entfernt. Ein Benutzer aus Netzwerk B muss nun regelmäßig ein Programm auf dem Server in Netz A benutzen. Dies könnte er über VPN machen. Da aber abzusehen ist, dass weitere Benutzer hinzukommen werden, soll eine Vernetzung der beiden Gruppen stattfinden. Dies muss sich aber darauf beschränken, dass nur einzelne Benutzer aus Netz B, durch das Active Directory verwaltet, Zugriff auf freigegebene Ressourcen in Netz A haben. Alle anderen aus Netz B sollen keinerlei Zugriff auf Netz A haben. Beide Netzwerke haben einen eigenen Internetzugang. Das muss aus Performenzgründen bleiben. Netzwerk A ist ein produktives, sicherheitskritisches Netz. Beide Netze haben zurzeit den gleichen Adressraum.

Die angedachte Lösunng ist es, die Adressräume in unterschiedliche Segmente zu ändern und in Netz B einen weiteren Router installieren. Dieser würde dann über eine statische Route mit dem Router und der Firewall in Netz A verbunden werden. Authorisierte Benutzer würden in das AD aufgenommen und erhalten Zugriff auf Freigaben. Die Sorge ist nun, dass durch die Anbindung von Netz B eine Sicherheitslücke in Netz A entsteht.

Gibt es hierfür Alternativen? Reicht der eingetrage Gateway auf jedem Rechner aus, damit der dem jeweiligen Netz zugeordnete Internetzugsang genutzt wird? Oder müssen hier weitere Vorkehrungen getroffen werden? Wäre es sicherer eine zusätzliche Firewall in Netz B zu installieren?

Vielen Dank.
Mitglied: pkrix89
16.11.2012 um 08:18 Uhr
Hallo,

eine physikalische Netzwerkverbindung ohne Internet ist aber nicht vorhanden / möglich? Sei es Richtfunk oder eine LWL-Strecke? Wenn nein, dann bleibt denke ich mal, nur die VPN-Lösung. In diesem Falle müssten die Clients aus Netz B einen VPN-Client installiert bekommen, und beim einloggen sollten dann Zugangsdaten zu der Domäne in Netz A abgefragt werden. Optional kann man da noch mit Clientzertifikaten arbeiten, um eine zusätzliche Sicherheit zu schaffen. Dazu müsste dann in Netz A eine Zertifizierungsstelle vorhanden sein.
Alternativ ginge möglicherweise auch (je nach Ausstattung des DMZ-Bereichs) ein Site-to-site VPN. Dabei muss dann jedoch separiert werden, wer über diese Leitung zugreifen darf, und wer nicht. Nur da kenn ich mich dann leider nicht mehr so gut aus..

Viele Grüße
Bitte warten ..
Mitglied: Hitman4021
16.11.2012 um 08:23 Uhr
Hallo,

leg dir an Standort B einen Router zu und bau eine Site-to-Site VPN zwischen den Standorten auf.
Du musst aber dann an einem der Standorte den IP-Kreis ändern.
Bei zwei gleichen kann das nicht funktionieren.

Gruß
Bitte warten ..
Mitglied: pkrix89
16.11.2012 um 08:28 Uhr
Bei Site-to-site muss aber nicht zwingend in beiden Standorten der IP-Bereich geändert werden (auch wenn es durchauch sehr empfehlenswert ist). Man kann alternativ auch ein "Zwischennetz" erstellen. Also dass die Adressen im VPN-Tunnel von beiden Seiten genattet werden. Allerdings ist das eine ziemlich nervige und aufwändige Angelegenheit, sowas zu pflegen. Dies nur so als info am Rande, wenn die IP-Bereiche aus irgendeinem wichtigen Grund nach Möglichkeit nicht umgestellt werden sollen.
Bitte warten ..
Mitglied: brammer
16.11.2012 um 08:30 Uhr
Hallo,

abhängig davon was das für DSL Router sind ist nicht mal ein weiterer Router erforderlich...
Und auch keine Änderung der IP Adresse.
Ein VPN Tunnel zwischen den Standorten.
Ein NAT zwischen den Netzen.
Der Server in ein anderes VLAN.
Auf dem Router entsprechende Access Listen und Routen.

Mit Kaffee trinken 30 min.

brammer
Bitte warten ..
Mitglied: leuchtmast
16.11.2012 um 09:32 Uhr
Hallo,

Eine pysikalische Verbindung von Netz A nach Netz B wurde bereits verlegt.(Cat7 Kupferkabel) Beide DSL Zugänge sind providerabhängig in Ihrer Bandbreite eingeschränkt und es ist zu befürchten, dass bei steigender Nutzerzahl die Verbindung über VPN zu langsam ist.

Offen ist wo und mit welchen Geräten diese Leitung im jeweiligen Netzwerk angeschlossen werden sollte. Würde in Netz B ein Switch ausreichen um eine Verbindung zum Netgear Router in Netz A herzustellen? Es kann auch ein zweiter Netgear Router angeschafft werden. Müsste die Firewall auf beiden Routern aktiv sein?

Gruß
Bitte warten ..
Mitglied: Hitman4021
16.11.2012, aktualisiert um 09:38 Uhr
Hallo,

moment du hast ein Kupferkabel zwischen den Gebäuden liegen?

Okay jetzt verstehe ich dein Problem nicht mehr.
Switch (Gebäude A) -----------> Kupfer <----------- Switch (Gebäude B)
Und dann hast du eben nur mehr ein Netzwerk.

So und wenn du jetzt noch ACL oder sowas dazwischen haben willst dann hängst du irgendwo einen Router/Firewall transparent dazwischen.

Gruß
Bitte warten ..
Mitglied: pkrix89
16.11.2012 um 10:47 Uhr
Soviel zur primären Verkabelung zwischen Gebäuden.. Wenn die Gebäude Luftline schon 100m auseinander liegen, dann wird Kufper an der Stelle wohl nicht funktionieren. RJ45 hatte, zumindest während ich noch in der Ausbildung war ;) , eine Reichweite ohne Repeater von 100m. Dann kommen noch paar Meter für die Stockwerke dazu.. Ich wage zu bezweifeln, dass das klappen wird.

Aber wenn du am Router in Netz B eine IP aus Netz A vergibst, und beide Netze auf unterschiedliche IP-Ranges umstellst, dann kannst du auch einfach im Router (der ja Standard-Gateway bei den Clients ist) eine Regel einrichten, die sämtlichen Traffic mit einer Zieladresse aus Netz A über die Leitung ins Netz A im anderen Gebäude schaufelt. Natürlich müssen dann in Netz A entsprechende Zugriffsregeln definiert werden, damit kein ungewollter Zugriff stattfinden kann.

Gruß
Bitte warten ..
Mitglied: Hitman4021
16.11.2012 um 10:53 Uhr
Hallo,

Soviel zur primären Verkabelung zwischen Gebäuden.. Wenn die Gebäude Luftline schon 100m auseinander liegen, dann wird Kufper an der Stelle wohl nicht funktionieren. RJ45 hatte, zumindest während ich noch in der Ausbildung war ;) , eine Reichweite ohne Repeater von 100m. Dann kommen noch paar Meter für die Stockwerke dazu.. Ich wage zu bezweifeln, dass das klappen wird.
Stimmt. Ich weiß auch nicht ich hatte aus irgendeinen Grund 500m im Kopf. Aber normalerweise macht man sowas ja mit Glas...

Gruß
Bitte warten ..
Mitglied: Ausserwoeger
16.11.2012, aktualisiert um 11:19 Uhr
Zitat von Hitman4021:
Stimmt. Ich weiß auch nicht ich hatte aus irgendeinen Grund 500m im Kopf. Aber normalerweise macht man sowas ja mit Glas...

Hi Leute

Ja genau deswegen macht man sowas mit LWL. Die 100m Kupfer kann man vergessen, wenn es wirklich genau 100m sind je mehr desto schlechter.
Man müsste also Testen wie gut die Verbindung ist. Wobei Jeder Elektriker das auch weiss. Wer hat den das verlegt ?

Wenn das Signal passt dann musst du nur noch die beiden Switches zusammenstecken und 1 Netzwerk aus beiden machen oder 2 Netze lassen.

Den Zugriff kannst du auf verschiedenste weise steuern. Wenn du 1 Netz draus machst und alle in 1 Domain kommen normal über NTFS und Freigaberechte.

Wenn du 2 Netzwerke lässt kannst du 2 VLANs machen und steuern welcher Port also welcher PC an diesem Port zugriff auf das Netzwerk bekommt. Das ist sehr sicher da die anderen PCs absolut nichts vom anderen Netzwerk wissen. Blöd aber wenn verschiedene benutzer an einem PC arbeiten.(Vorraussetzung sind 2 Switches die das auch können)

Weiters gibt es noch die möglichkeit 1 Firewall auf Netzseite B vor die Verbindung zu Netzseite A zu stellen und hier den zugriff auf das Netzwerk zu Managen. Der vorteil hier ist das man auch Ports sperren kann und nur genau das über die Leitung lässt was man auch haben will.
Allerdings kann man hier auch nur über IP den zugriff freigeben oder verweigern. Wenn man das auf Benutzerbasis machen will wirds teuer.

LG Andy
Bitte warten ..
Mitglied: leuchtmast
17.11.2012 um 09:21 Uhr
Vielen Dank für die Vorschläge. Das hat mir weitergeholfen.
Ich werde über einen Switch ein Netz daraus machen und und den Zugriff über das AD steuern.
Die 100m sind großzügig gerechnet und durchgemessen. Das sollte klappen.

Viele Grüße
Bitte warten ..
Mitglied: Hitman4021
17.11.2012 um 09:26 Uhr
Hallo,

als kleiner Zusatz noch, vergiß den Potenzialunterschied zwischen den Gebäuden nicht. Kupfer leitet.

Gruß
Bitte warten ..
Ähnliche Inhalte
DSL, VDSL
2 Internetzugänge mit FritzBox
gelöst Frage von Friedolin69DSL, VDSL10 Kommentare

Hallo zusammen Mit Google fand ich leider keine Lösung, vielleicht hat sie jemand von euch. Ich benutze eine Fritzbox ...

Netzwerkmanagement
2 VLANS mit gleichem Internetzugang
gelöst Frage von blaze85Netzwerkmanagement8 Kommentare

Hallo, ich würde gerne die Erfahrenen Leute mal Fragen ob dies technisch möglich ist. Ich habe eine Fritzbox 6340 ...

LAN, WAN, Wireless
MF Drucker aus 2 verschiedenen Netzwerken ansprechen
gelöst Frage von MacDuffyLAN, WAN, Wireless4 Kommentare

Hallo an alle, ich habe seit einigen Tagen ein Problem bezüglich eines MF Druckers in einem anderen Netzwerk Natürlich ...

Xenserver
XenServer - VMs keine externe Netzwerk kommunikation.
Frage von ZeeliciousXenserver5 Kommentare

Ich versuche jetzt seid Tagen meinen XenServer zum laufen zu bringen. Ich habe XenServer 6.2 auf meinem Rootserver installiert. ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...

Batch & Shell
Shell-Skript - Syntax error: Unterminated quoted string
Frage von newit1Batch & Shell13 Kommentare

Hallo Ich schreibe ein Skript das eine CSV-Datei in eine mySQL Datenbank schieben soll. Bekomme nach start des Skrips ...

E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...