Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Teil des Netzwerks verstecken - funktioniert das so ?

Frage Netzwerke

Mitglied: MrMimi

MrMimi (Level 1) - Jetzt verbinden

23.11.2010, aktualisiert 18.10.2012, 4648 Aufrufe, 6 Kommentare

Hallo zusammen,


wir haben auf der Arbeit vor unsere Maschinen an Rechner/unser Netzwerk zu schließen. Diesen Teil des Netzwerks wollen wir vor unserem restlichen Netzwerk verstecken, bzw nur von einem Rechner zugänglich machen...
Das ganze soll möglichst kostengünstig/wenig Zeit in Anspruch nehmen. Da unsere Rechtevergabe schon längst der reine Horror ist, und ich mich da erst garnicht ranwagen will, dachte ich mir, das ganze mit einer Firewall bzw einem MAC-Filter zu erledigen (TP Link router kostet 15€, also schon sehr billig, Einrichtungszeit ~10min)

Alles ist im gleichen Subnet. Aber nur ein Rechner ist per MAC-Filter dazu befugt über den Router zu gehen, in unser abgeschottetes Teilsegment....

unten die Zeichnung...


ca7e0b7d2976d2fd32d54a6eac208ebd - Klicke auf das Bild, um es zu vergrößern


funktioniert das so einfach wie ich mir das vorstelle ?
Mitglied: Nagus
23.11.2010 um 17:56 Uhr
Moin,
die Rechner hängen doch an einem Switch? Wenn dieser konfigurierbar ist, würde ich ein VLAN A und ein VLAN B einrichten. Der Rechner der Zugriff auf beide Lans haben soll, muss dann nur in beiden VLANS sein. Auf der Netzwerkkarte muss dann aber das VLAN Tagging aktiviert sein (soweit ich mich entsinne ..)

Als Alternative: ein zweites Subnetz aufbauen und dem Rechner der in beiden Netzen sein soll eine zweite Netzwerkkarte spendieren.

Mac Adressen kannst du bei der jeder Netzwerkkarte auch manuell vergeben - ich glaube nicht dass dies eine sinnvolle Lösung ist. Alternativ kann nach meinem Verständnis sonst nur eine Firewall dazwischen. Nur dann ist dein gemaltes Bild auch "sauber". Für den Traffic gibt es dann eben die Regel, dass nur eine IP-Adresse (die dann Statisch sein sollte) auf das andere Netz zugreifen darf. Allerdings würde ich dann auch wieder eine anderes Sub-Netz aufbauen.
Bitte warten ..
Mitglied: MrMimi
23.11.2010 um 19:08 Uhr
Switchs sind der letzte Dreck :P haben sogar noch Hubs in gebrauch... wollen wir einfach nciht weiter drüber reden

vor einem wirklichen Angriff soll das ganze nciht schützen, sondern nur vor dummen Usern.... Ansich finde ich das zwar auch überflüssig, aber wir haben da so den ein oder anderen idioten in der Firma, der darauf besteht.....
MAC Adresse kann man nur mit einem extr Tool ändern, nicht wahr ? und dann wär das ganze jaschon böswillig.. davor soll das ganze ja nicht schützen...
eine Firewall ist ja auch auf sonem billig Router drauf ;P Regeln kann man damit ja auch erstellen... ich frag mich grad bloss wie die aussehen sollten:
alles aus Netz B kann raus, aber nichts außer MAC Adresse XXX kann rein ? dann müsste ich nur noch die Ports für DHCP Request frei schalten oder ?
Bitte warten ..
Mitglied: manuel-r
23.11.2010 um 20:05 Uhr
Warum nicht so, wie es eigentlich vorgesehen ist?
Die Maschinen usw. in ein eigenes Subnet hängen, einen Router zwischen Hauptnetz und Nebennetz und auf den PCs, die in dieses Netz kommen sollen eine entsprechende Route setzen. Wenn es noch sicherer sein soll von den berechtigten PCs aus ein VPN in das Produktionsnetz einrichten.
Bitte warten ..
Mitglied: MrMimi
23.11.2010 um 21:39 Uhr
okay, also ich hab mir ein paar gedanken dazu gemacht, ich hoffe ihr versteht mich, und könnt mir weiter helfen

nochmal von Anfang an:

ich will 2 Netze voneinander trennen. von Netz A soll niemand außer ein einziger Rechner die Möglichkeit haben auf Netz B zugreifen zu können. Netz B soll wiederrum auf alle Ressourcen in Netz A zugreifen können, und auch ins Internet können....

unten der beschriebene Aufbau.
Ansich ist auch klar. Wollte mich nur mal vergewissern, ob das so funktionieren kann

[img]http://img202.imageshack.us/img202/1130/unbenanntzbv.jpg[/img]


Netz A:
Netz 192.168.0.0
Maske: 255.255.255.0
Gateway: 192.168.0.253

Netz B:
Netz: 192.168.10.0
Maske: 255.255.255.0
Gateway: 192.168.10.254

Router1 Schnittstelle 1:
IP 192.168.0.254
Maske: 255.255.255.0
Gateway: 192.168.0.253

Router1 Schnittstelle 2:
IP: 192.168.10.254
Maske: 255.255.255.0
Gateway: 192.168.0.254

so, das sollte ja bis jetzt dafür sorgen, dass zwar Netz B in Netz A und darüber auch ins Internet kann, Netz A aber nicht in Netz B kommt, oder ? oder muss ich dann erstmal jeglichen Traffic auf Router 1 verbieten, der von Schnittstelle 1 empfangen wird ?

2. Frage: Damit jetzt NUR ein einziger Rechner aus Netz A mit Netz B kommunizieren kann, muss ich ja eine statische Route auf dem Router 1 eintragen:

Destination IP
--> der Rechner, dem die kommunikation mit Netz B erlaubt werden soll
Subnet Mask
--> die Maske des Rechners..
Default Gateway
--> hier wirds jetzt spannend
das sollte Router 1 Schnittstelle 2 sein, oder ?


sooo, jetzt noch die ein oder andere Frage ;P


Wenn der besagte Rechner, für den die statische Route eingerichtet wurde, in Netz B will, dann sendet er an sein Gateway, weil es ja nicht in seinem Netz ist, also die 192.168.0.253 (<-- Gateway Netz A)
Merkt Router 2 jetzt, dass es sich um eine private IP Adresse handelt, und lässt das Paket nicht nach draussen ? (sollte doch so sein oder )
Wenn das passiert ist leitet Router 2 die Verbindung weiter zu Router 1 und der routet das ganze dann weiter in Netz B. Richtig, oder speilt sich da was anderes ab ?^^

und eine letzte Frage:
wir gehen noch immer davon aus alles funktioniert. Netz A kann bis auf ein Rechner nicht mit Netz B kommunizieren. Netz B kann mit Netz A kommunizieren und auch ins Internet...
Wie sieht das ganze aus, wenn die Rechner einen DHCP Request starten ? Der DHCP steht in Netz A. Die Clients in Netz B senden den Request. Er geht ohne Probleme über Router 1 in Netz A. Der DHCP empfängt den Request, und Antwortet darauf mit einer passenden IP des Subnetzes (wie ich das richtig einrichte, dass der DHCP weiß welche IPs er für die Rechner nehmen soll weiß ich zwar noch nicht, aber das sollte schon klappen ;D). Bleibt die Antwort des DHCP jetzt an Router 1 hängen, und wird nciht weiter geleitet ? ein DHCP Request wird ja mit UDP verschickt, also Verbindungslos... somit funktioniert das ganze ja nicht so einfach, wie wenn die Rechner mit dem Internet eine Verbindung aufbauen.
Muss ich dafür jetzt auch noch eine statische Route einrichten, damit der DHCP ebenfalls in Netz B rein darf ? oder erkennt der Router das ??



Vielen Dank, wenn ihr euch die Mühe gemacht habt, das ganze zu lesen.
Über Hilfe würde ich mich sehr freuen!
Bitte warten ..
Mitglied: manuel-r
24.11.2010 um 08:55 Uhr
Wenn der besagte Rechner, für den die statische Route eingerichtet wurde, in Netz B will, dann sendet er an sein Gateway, weil es ja nicht in seinem Netz ist, also die 192.168.0.253 (<-- Gateway Netz A)

Genau deswegen solltest/musst du auf dem fraglichen Rechner eine statische Route zu Netz B eintragen. Alles wofür es keine Route gibt geht ans Standard-Gateway. Und das kann in deinem Fall nichts mit den Paketen anfangen und sollte sie eigentlich auch verwerfen, weil Pakete für private Adressräume im Internet nichts verloren haben.
Anders sieht es aus, wenn du das Netz B hinter Router 2 hängst falls der ein zweites Interface hat. Dann kannst du auf diesem Router einstellen, wohin die Pakete für Netz B geroutet werden. Daher auch der Name

Wenn das passiert ist leitet Router 2 die Verbindung weiter zu Router 1 und der routet das ganze dann weiter in Netz B. Richtig, oder speilt sich da was anderes ab ?

Ohne statische Route kommen die Pakete nie bei Router 2 an. Wie oben schon geschrieben geht alles wofür es keine Route gibt ans Standard-Gateway in der "Hoffnung", dass dieses damit was anfangen kann und den Weg schon wissen wird.

Wie sieht das ganze aus, wenn die Rechner einen DHCP Request starten?

DHCP-Request gehen per Broadcast ins Netz und Broadcasts gehen per Definition nicht über einen Router (und damit auch ein Subnet) hinaus. Wenn du das unbedingt haben willst musst du in Netz B ein DHCP-Relay einrichten. Oder, und das würde ich machen, einen eigenen DHCP-Server.
Bitte warten ..
Mitglied: aqui
25.11.2010, aktualisiert 18.10.2012
Nimm ne kleine_Firewall und dein Problem ist im Handumdrehen gelöst ! Die kannst du customizen wie du es möchtest und löst auch dein DHCP Problem.

P.S.: Warum immer der überflüssige Unsinn mit externen Bilderlinks ala Imageshack ? Hast du übersehen das admin.de eine Bilder Upload Funktion hat. ??
Originalthread mit Klick, auf "Bearbeiten Editieren, Bilder Upload Button klicken, Bild Hochladen, erscheindenden Bild URL cut and pasten und in die Antwort (oder jeden anderen Text) kopieren...fertig ! Einfacher gehts nun wirklich nicht und erspart der Community hier Zwangswerbung bei Imageshack anzusehen
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Router & Routing
Transparenter Proxy funktioniert nicht? (1)

Frage von mrserious73 zum Thema Router & Routing ...

Verschlüsselung & Zertifikate
Kryptorätsel Teil 1: Die Geheimschrift für Liebende (2)

Link von netzwerker-92 zum Thema Verschlüsselung & Zertifikate ...

Linux
LTSP: PXE Boot funktioniert nicht (23)

Frage von Fenris14 zum Thema Linux ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (22)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...