1
LAN und WLAN trennen mit Subnetting?
Hallo zusammen
Ich habe die Aufgabe erhalten, das Netzwerk einer kleinen Universität in Nicaragua auf Vordermann zu bringen (fragt nicht weshalb). Ich muss dabei auf relativ alte Hardware zurückgreifen und Neuinvestitionen sind nur sehr beschränkt möglich.
Netz bisher (funktioniert):
Server1: Linux Mandriva (DHCP-Server, Firewall), 2 Netzwerkkarten (per 192.168.0.x an Router/ per 192.168.1.x an Switch)
Server2: Win2000Server (DNS, Bibliotheksdatenbank, Studenten-Administrationsdatenbank), 2 Netzwerkkarten (per 192.168.1.x an Switch/ per 195.180.45.x an Printserver)
Router: ZyXEL P-660 Series, DHCP fähig, keine Firewallfunktionen
Clients: 40 Rechner (Win2000 bis WinVista)
4 Switches (24 Port 10/100 Mbps ENH924-AUT), nicht VLAN fähig
3 WLAN-Access-Points (Linksys WAP54G)
Bisher kriegen alle Rechner (sowohl LAN als auch WLAN) eine IP (192.168.1.x) vom Linux-Rechner und die DNS vom Win2000 Rechner zugewiesen.
Da das WLAN (WPA-verschlüsselt) ausschliesslich von privaten Studentenlaptops genutzt wird, möchte ich nun WLAN und LAN in zwei Subnetze unterteilen damit:
a) unterschiedliche Lease-Zeiten für die DHCP Server vergeben werden können (15 Minuten WLAN, 3 Tage LAN) -> sonst keine IP zugewiesen vs. lange Wartezeit am Montagmorgen
b) der Zugriff vom WLAN auf die Datenbanken auf dem Windows2000 Server erschwert werden soll
-> Also 2 Subnetze:
192.168.1.x für Rechner der Angestellten (inkl. Zugriff auf Datenbanken) im LAN
192.168.2.x für Laptops der Studenten im WLAN (mit WPA-Verschlüsselung)
Idee:
Router (192.168.0.1) <-> (192.168.0.2) Linux-Server mit DHCP (192.168.2.11) <-> Switch
Switch <-> (192.168.2.12) Win2000 Server mit DNS und DHCP (192.168.1.11) <-> Switch
Nur die 40 Rechner im LAN erhalten per DHCP Scope (Identifikation anhand Domänennamen) eine IP 192.168.1.x vom Win2000-Server
Die WLAN-Access-Points kriegen feste IPs mit 192.168.2.x (alle darüber verbundenen Clients per DHCP vom Linux-Server eine IP 192.168.2.x)
Die Möglichkeit eines VLAN und einer physikalischen Trennung der beiden Subnetze sind leider nicht möglich.
Sind bisher leider nur theoretische Überlegungen. Aber würde so was funktionieren? Genauer:
Kriegt der Windows-Server so Internetzugang?
Klappt eine DHCP-Zuweisung per Scope ohne in Konflikt mit dem anderen DHCP Server zu gelangen?
Danke schon im Voraus für eure Zeit und Antworten!!
Ich habe die Aufgabe erhalten, das Netzwerk einer kleinen Universität in Nicaragua auf Vordermann zu bringen (fragt nicht weshalb). Ich muss dabei auf relativ alte Hardware zurückgreifen und Neuinvestitionen sind nur sehr beschränkt möglich.
Netz bisher (funktioniert):
Server1: Linux Mandriva (DHCP-Server, Firewall), 2 Netzwerkkarten (per 192.168.0.x an Router/ per 192.168.1.x an Switch)
Server2: Win2000Server (DNS, Bibliotheksdatenbank, Studenten-Administrationsdatenbank), 2 Netzwerkkarten (per 192.168.1.x an Switch/ per 195.180.45.x an Printserver)
Router: ZyXEL P-660 Series, DHCP fähig, keine Firewallfunktionen
Clients: 40 Rechner (Win2000 bis WinVista)
4 Switches (24 Port 10/100 Mbps ENH924-AUT), nicht VLAN fähig
3 WLAN-Access-Points (Linksys WAP54G)
Bisher kriegen alle Rechner (sowohl LAN als auch WLAN) eine IP (192.168.1.x) vom Linux-Rechner und die DNS vom Win2000 Rechner zugewiesen.
Da das WLAN (WPA-verschlüsselt) ausschliesslich von privaten Studentenlaptops genutzt wird, möchte ich nun WLAN und LAN in zwei Subnetze unterteilen damit:
a) unterschiedliche Lease-Zeiten für die DHCP Server vergeben werden können (15 Minuten WLAN, 3 Tage LAN) -> sonst keine IP zugewiesen vs. lange Wartezeit am Montagmorgen
b) der Zugriff vom WLAN auf die Datenbanken auf dem Windows2000 Server erschwert werden soll
-> Also 2 Subnetze:
192.168.1.x für Rechner der Angestellten (inkl. Zugriff auf Datenbanken) im LAN
192.168.2.x für Laptops der Studenten im WLAN (mit WPA-Verschlüsselung)
Idee:
Router (192.168.0.1) <-> (192.168.0.2) Linux-Server mit DHCP (192.168.2.11) <-> Switch
Switch <-> (192.168.2.12) Win2000 Server mit DNS und DHCP (192.168.1.11) <-> Switch
Nur die 40 Rechner im LAN erhalten per DHCP Scope (Identifikation anhand Domänennamen) eine IP 192.168.1.x vom Win2000-Server
Die WLAN-Access-Points kriegen feste IPs mit 192.168.2.x (alle darüber verbundenen Clients per DHCP vom Linux-Server eine IP 192.168.2.x)
Die Möglichkeit eines VLAN und einer physikalischen Trennung der beiden Subnetze sind leider nicht möglich.
Sind bisher leider nur theoretische Überlegungen. Aber würde so was funktionieren? Genauer:
Kriegt der Windows-Server so Internetzugang?
Klappt eine DHCP-Zuweisung per Scope ohne in Konflikt mit dem anderen DHCP Server zu gelangen?
Danke schon im Voraus für eure Zeit und Antworten!!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 81066
Url: https://administrator.de/contentid/81066
Printed on: April 23, 2024 at 11:04 o'clock
1 Comment
Puh! Da hast du dir ja einen Auftrag an Land gezogen 
Die Lease-Time von 15Minuten würde alle 5 Minuten einen DHCP Renew Request am Client auslösen ... besser mind. 6 Stunden. Am Mandriva-Server würde ich (wenn irgendwie möglich) eine weitere Netzwerkkarte zustecken, routing aktivieren und direkt mit dem 1. WRT54G verbinden. Den DHCP-Server am Mandriva im WLAN auf einen Bereich im Netz 192.168.1.0/24 und im LAN auf einen Bereich im Netz 192.168.2.0/24 konfigurieren. Ebenfalls würde ich dort einen DNS-Server installieren und als Forwarder für Anfragen auf dem WLAN verwenden. Mit 4 kleinen IPtables befehlen kannst du nun den Zugriff zwischen WLAN und LAN komplett verhindern. Die anderen beiden AP's würde ich wenn irgendwie möglich an die 3 verbleibenden LAN Ports des 1. WRT54G anbinden.
Ich das nicht möglich, würde ich versuchen die trennung am WRT54G abzufackeln. Hast du die Möglichkeit eine andere Firmware (openWRT) aufzuspielen? Du könntest zb. auf jedem der WRT's den DHCP-Server für das WLAN aktivieren, ein NAT nach innen einrichten und als Gateway den Mandriva-server verwenden. Zb. wie folgt:
mandriva: 192.168.100.1/28
wrt-01: 192.168.100.2/28, DHCP 192.168.110.100-119/24
wrt-02: 192.268.100.3/28, DHCP 192.168.110.120-139/24
wrt-03: 192.168.100.4/28 DHCP 192.168.110.140-159/24
Der WAN-Port der WRT-Router wird mit dem LAN verbunden und wie eben gezeigt statisch konfiguriert. Dieser kann dann routing-technisch nur noch den Mandriva erreichen.
Ich möchte das jetzt nicht zu ende denken, aber du weißt sicher was ich meine.
[EDIT]
Habe überlesen das du WAP54G geräte hast. Sorry. Lösung1 mit dem LAN-Ports fällt weg. Lösung2 ist noch möglich, muss allerdings per Hand konfiguriert werden. OpenWRT mini läuft auf dem Gerät.
[/EDIT]
Die Lease-Time von 15Minuten würde alle 5 Minuten einen DHCP Renew Request am Client auslösen ... besser mind. 6 Stunden. Am Mandriva-Server würde ich (wenn irgendwie möglich) eine weitere Netzwerkkarte zustecken, routing aktivieren und direkt mit dem 1. WRT54G verbinden. Den DHCP-Server am Mandriva im WLAN auf einen Bereich im Netz 192.168.1.0/24 und im LAN auf einen Bereich im Netz 192.168.2.0/24 konfigurieren. Ebenfalls würde ich dort einen DNS-Server installieren und als Forwarder für Anfragen auf dem WLAN verwenden. Mit 4 kleinen IPtables befehlen kannst du nun den Zugriff zwischen WLAN und LAN komplett verhindern. Die anderen beiden AP's würde ich wenn irgendwie möglich an die 3 verbleibenden LAN Ports des 1. WRT54G anbinden.
Ich das nicht möglich, würde ich versuchen die trennung am WRT54G abzufackeln. Hast du die Möglichkeit eine andere Firmware (openWRT) aufzuspielen? Du könntest zb. auf jedem der WRT's den DHCP-Server für das WLAN aktivieren, ein NAT nach innen einrichten und als Gateway den Mandriva-server verwenden. Zb. wie folgt:
mandriva: 192.168.100.1/28
wrt-01: 192.168.100.2/28, DHCP 192.168.110.100-119/24
wrt-02: 192.268.100.3/28, DHCP 192.168.110.120-139/24
wrt-03: 192.168.100.4/28 DHCP 192.168.110.140-159/24
Der WAN-Port der WRT-Router wird mit dem LAN verbunden und wie eben gezeigt statisch konfiguriert. Dieser kann dann routing-technisch nur noch den Mandriva erreichen.
Ich möchte das jetzt nicht zu ende denken, aber du weißt sicher was ich meine.
[EDIT]
Habe überlesen das du WAP54G geräte hast. Sorry. Lösung1 mit dem LAN-Ports fällt weg. Lösung2 ist noch möglich, muss allerdings per Hand konfiguriert werden. OpenWRT mini läuft auf dem Gerät.
[/EDIT]
