Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WLAN auf Firmennetz aufsetzen im anderem IP Bereich

Frage Netzwerke Router & Routing

Mitglied: oecke77

oecke77 (Level 1) - Jetzt verbinden

21.01.2012, aktualisiert 18.10.2012, 6590 Aufrufe, 8 Kommentare

Hallo.

Ich möchte in einem Netzwerk ohne DHCP im Adressbereich 192.168.23.0 ein WLAN Router (192.168.23.100) einsetzen.
Die WLAN Clients sollen mittels DHCP mit IP-Adressen eines anderen IP-Bereichs (192.168.24.0) versorgt werden, um mögliche Konflikte zu vermeiden.
Diese WLAN Clients sollen auf das Internet und das Firmennetz zugreifen können.
Das Netz ist in einem Ladengeschäft und wird von dem Betreiber des Gebäudekomplex bereit gestellt. Allerdings ohne DHCP (nicht veränderbar).

Geht dies mit einem Vodafone easybox 803A oder einem Telekom Speedport W503A?
Wenn nicht, was braucht es, damit es überhaupt funktioniert.
Links, um mich selber einzulesen würde mir auch sehr gefallen.

Vielen Dank und Gruß,
Björn


Hier noch die schematische Aufteilung:

192.168.23.1 (Router, Internet)
|
|- 192.168.23.2 (Clients 1, static IP)
|
|- 192.168.23.3 (Clients 2, static IP)
|
|- 192.168.23.x (Clients x, static IP)
|
|- 192.168.23.100 (WLAN Router) -> DHCP (192.168.24.100 - 192.168.24.120)
Mitglied: colinardo
21.01.2012 um 13:14 Uhr
Man nehme einen WLAN-Router mit WAN-Interface, aber ohne integriertes Modem z.B. TP-Link TL-WR1043ND (ca. 50€), stöpsele in diesen das Netzwerkkabel in den WAN-Port. Nun konfiguriert man die WAN-Schnittstelle auf Statische IP (192.168.23.100) und konfiguriert als Gateway die IP 192.168.23.1. Im Router kann dann der DHCP-Adressbereich auf 192.168.24.x eingestellt werden. Bei dem TP-Link-Router können auch die Zugriffe vom WLAN auf das Firmennetz per Richtlinien verhindert werden. Der Zugriff vom Firmennetz auf die WLAN-Clients ist ja durch die Firewall (WAN-Seitig) des Routers gegeben.

Ob die obigen Geräte diese Konfiguration zulassen kann ich im Moment nicht sagen, da aber beide Modelle WAN-Seitig ein Modem integriert haben fallen diese für dieses vorhaben wahrscheinlich aus.

Grüße Uwe
Bitte warten ..
Mitglied: aqui
21.01.2012, aktualisiert 18.10.2012
Am sinnvollsten macht man das mit VLANs und einem ESSID fähigen Accesspoint.
Wie das genau geht beschreibt dir das Tutorial im Detail:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...

Natürlich kann man das auch mit deinen Billigkomponenten oben machen wenn man diese über einen separaten Switch mitinander verbindet.
Wie man aus WLAN Routern einen Accesspoint macht beschreibt dir dieses Tutorial:
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...
Hier musst du natürlich dann das WLAN Netz wieder mit einem Router oder besser Firewall Router zusammenbringen, wenn die beiden Netze (dein WLAN und das Firmennetz)auf unterschiedlichen IP Netzen arbeiten und das Firmennetz den zentralen Internet Zugang zur Verfügung stellt !
Dafür bietet sich dann ein kleiner Firewall Router an wie z.B. dieser hier:
http://www.administrator.de/wissen/preiswerte%2c-vpn-f%c3%a4hige-firewa ...
Damit lässt sich dann auch gleich ein WLAN für Besucher und Gäste realisieren:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Ist das nicht gefordert reicht auch ein kleiner 30 Euro Router wie z.B. ein Mikrotik 750 um beide Netze zusammenzubringen:
http://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...
Sofern das WLAN einen völlig separaten Internet Zugang haben soll musst du dafür auch einen separaten Router verwenden...logisch !
Sinn macht das aber nicht. Da ist es dann besser den o.a. Firewall Router zu nehmen und damit das WLAN wasserdicht vom Firmennetz abzutrennen und einen gemeinsamen Internetzugang zu nutzen.
Dieses Konzept, was ja auch genau deinen Anforderungen oben entspricht, ist erheblich sinnvoller da einfacher zu warten und erheblich sicherer.
Mit dem kleinen o.a. Firewallrouter und deinen beiden Billigteilen im Accesspoint Betrieb bist du also bestens gerüstet das problemlos, unkompliziert, sicher und auch schnell umzusetzen !
Links zum Lesen hast du ja nun genug die man übrigens durch Nutzung der Suchfunktion hier auch lecht selber findet....
Bitte warten ..
Mitglied: oecke77
23.01.2012 um 19:52 Uhr
Vielen Dank für die tollen Antworten.

Ich habe selber noch einen WRT54GS mit dem das Ganze ja ohne weiteres möglch wäre. Nutze diesen allerdings mit der Tomato Firmware. Aber den gebe ich nicht her. ;)

Allerdings ist es dann ja tatsächlich so, dass das Firmennetz nicht vom WLAN getrennt ist.
Daher würde ich eine VLAN Firewall Variante bevorzugen.



Die ganze Situation stellt sich aber doch etwas anders dar.
Der verwendete Router ist ein Netgear FVS318, der mittels VPN eine Verbindung zum entfernten Firmenteil (Lager) aufbaut.
Der Router hat allerdings keine Ports mehr frei.

Da diese VPN Verbindung so bestehen bleiben muss, würde ich am besten wohl die MikroTik Variante nutzen.
Wenn ich das richtig verstehe, verwende ich einen Port des FVS318 (zb. Port 8) als Uplink zum MikroTik (zb. Port 1), der wiederum mit einem VLAN (z.b. ID 10) von Port 2 zurück auf die vorher verwendete Netzwerkdose gepatched wird.
Port 3 des MikroTik (VLAN 20) würde dann auf den WLAN Access Point gepatched werden.

Damit ist dann das Internet auf WLAN Seite über den MikroTik abgeschottet, also mittels Firewall?
Oder braucht man dann trotzdem noch ne searate Firewall, wenn man die das Internet aus VLAN 10 zu VLAN 20 routet.
Oder verstehe ich das alles falsch?


Hier nochmal das Patch-"vorhaben"...

FVS318 (Port 8) -----> Netzwerkdose

wird zu ...

FVS318 (Port 8) -----> Mikrotik (Port1, Uplink)
Mikrotik (Port 2, VLAN 10) -----> Netzwerkdose (Firmennetz)
Mikrotik (Port 3, VLAN 20) -----> WLAN AP (Internet)


Gute Grüße,
Björn
Bitte warten ..
Mitglied: aqui
24.01.2012, aktualisiert 18.10.2012
Nein, das verstehst du nicht falsch, dein Weg ist schon richtig gedacht alledings hast du einen erheblichen Knackpunkt den dir auch ein VLAN Design nicht löst.
Die NetGear Gurke die das VPN hält ist vermutlich direkt im Firmensegment. Wie auch anders, denn sie hat als Billigprodukt keinerlei weitere IP Ports, d.h. du hast nur 2 einmal das DSL Internet und einmal das lokale Netz...Ende.
Dein Konstrukt wird also immer so enden:

5578b1610fb411a16015f4f4c737c713 - Klicke auf das Bild, um es zu vergrößern

D.h. in jedem Falle, egal wie du es drehst oder wendest, musst du immer über das Firmennetz mit deinem gesamten WLAN Verkehr, da dies der einzige Zugangspunkt zu der NetGear Gurke ist.
Du kannst also niemals die Verkehrsströme beider Netze sauber trennen. Da der WLAN Verkehr immer durch Firmennetz muss in so einem Konstrukt haben diese WLAN benutzer auch immer indirekt direkte Verbindung auf alle Endgeräte im Firmen Netzwerk.
Nicht wirklich ein sauberes Design und auch genau das du ja auch sinnvollerweise vermeiden willst.

Du benötigst also zwingend einen 3ten Netzwerk Port um Firmen Netz und WLAN wirklich sauber zu trennen. Das ist dann so mit der NetGear Gurke nicht lösbar.
Es gibt aber dennoch eine einfache Lösung:
Ersetze einfach den FVS318 mit einem Gerät was das alles kann. Billigheimer NetGear supportet nur IPsec als VPN Protokoll, damit ist dann eine Lösung mit einer kleinen 3 Port Firewall ein Kinderspiel und sieht so aus:

fecdebaf7cf38b76af2f8a79d08d97c0 - Klicke auf das Bild, um es zu vergrößern

Als Firewall bietet sich an:
http://www.administrator.de/wissen/preiswerte%2c-vpn-f%c3%a4hige-firewa ...
Alle anderen Fabrikate die 3 Ports (oder mehr) haben aber auch !
Damit hast du alles in einem einzigen Gerät und kannst es zentral administrieren. Sogar noch zusätzlich mit einem Hotspot für WLAN Gäste wenn du willst mit der zusätzlichen VLAN Option.
Die Tutorials oben erklären dir das ja alles im Detail !
Die o.a. Firewall supportet IPsec VPN (siehe Links am Ende des Tutorials !) Damit ist die VPN Verbindung vom remoten Lager ganz einfach auf diese FW zu migrieren.
Dadurch das du nun 3 Ports hast in eine saubere Trennung des Traffics immer gewährleistet.
Mehr noch...wenn der Bedarf besteht könnte man sogar über detailierte FW regeln auch einzelnen WLAN Clients (Chef, Lagerverwalter mit iPhone usw.) mit entsprechender sicherer Authentisierung Zugriff aufs Firmen LAN oder Lager gewähren.
Alles das ist dann preiswert und sehr flexibel mit einem zentraliserten Gerät und damit wasserdicht möglich ! Technisch gesehen ist das die Ideallösung.
Bitte warten ..
Mitglied: oecke77
24.01.2012 um 20:41 Uhr
Super.
Solch ausführliche Antwort ist echt klasse. Vielen Dank.
Langsam wird es alles viel klarer.

Meiner Meinung nach, wenn der FVS318 eh nicht mehr für die VPN Verbindung benutzt wird, sollte man doch gleich einen VLAN Switch (802.1q) nehmen und darüber die Aufteilung machen. Ein TP-Link TL-SL2218WEB z.b. kostet ja nicht sehr viel.
Dann ist doch auch egal ob man einen 2 oder 3 Port Router nimmt, oder? Abgesehen, dass es ja finanziell keinen Unterschied macht.

Macht die Trennung der Netze eigentlich schon eine Firewall aus, oder gibt es noch spezielle Sicherheitsmechanismen?
Hat der MikroTik Router Nachteile gegeüber einer m0n0wall / pfSense Variante? Auch im Hinblick der Möglichkeit, evtl. über das WLAN auf das Firmennetz zuzugreifen.
Hab bislang keine Unterschiede erlesen können, was der MikroTik nicht oder schlechter kann.

Nochwas, benutzt ein spezielles Programm zur Zeichnung der Netzpläne oder ist das Marke fleißiger Eigenbau á la Photoshop?


Gute Grüße,
Björn
Bitte warten ..
Mitglied: aqui
25.01.2012 um 13:56 Uhr
Ja, das wäre eine möglichkeit wenn der VLAN Switch routen kann, also ein Layer 3 Switch ist. Dann musst du dort 3 VLANs generieren, Internet, Firma, WLAN.
Ins Internet Segment kommt der Router. Damit kannst du dann über Access Listen die Netze auf dem Switch abtrennen.
Solche Layer 3 VLAN Switches sind aber nicht ganz billig wie der TP-Link Schrott vom Händler um die Ecke... Zudem müssen sie eine Accesslisten Fähigkeit haben um den Zugriff der Netze zu trennen.
Ist die Frage ob du das investieren willst.
Machst du es nicht, dann hast du rein gar nichts gewonnen. Ein billiger VLAN Switch kann zwar die Segmente trennen, mehr aber auch nicht. Er kann nicht beide Segmente über eine Routing Funktion auf ein gemeinsames Internet Segment routen wo der Router drin ist ohne Traffic wieder über das Firmennetz zu schleifen.
Das hilft also nicht wirklich ohne Layer 3 Funktion auf dem Switch.
In jedem Fall bist du mit einem Firewall/Router wie oben besser, flexibler und auch preiswerter bedient. Allerdings in kleinem Rahmen.
Wenn die Installation größer ist dann macht so ein L3 VLAN Switch Sinn. HP hat sowas im Portfolio zu moderaten Preisen.
Wie gesagt ohne L3 Fähigkeit ist so ein VLAN Switch für deine Zwecke nicht zu gebrauchen !
Der Mikrotik 750G ist genau so ein kleiner L3 VLAN Switch. Der hat keinerlei Nachteile, den kannst du natürlich auch problemlos dafür verwenden...keine Frage.
(Die Malings sind Visio oder Omnigraffle wenn du einen Mac hast.)
Bitte warten ..
Mitglied: oecke77
25.01.2012 um 18:42 Uhr
Hups, wir sprechen gerade aneinander vorbei.
Ich meinte es schon so, dass man einen Firewall Router nimmt, der dann mittels tagged VLAN an einen VLAN fähigen Switch angeschloßen wird. So kann man die Aufteilung nachträglich noch verändern, falls das mal nötig wird.
Somit würde der Netgear Switch komplett wegfallen.

Reicht der TP-Link dafür nicht aus? Gibt es bessere, hochwertige und trotzdem günstige Switche?
Allgemein, bei welchen Marken kann man nichts falsch machen?

Sorry, nochmal zum MikroTik.
Kann man damit eine VPN LAN-LAN Kopplung + Remote VPN aufs Firmennetz gleichzeitig konfigurieren. Oder muss es dann das Alix Board sein. Vielleicht wird noch ein externer Zugriff von zu Hause gebraucht.
Denn, ich möchte alle Eventualitäten mit einplanen.

Zum WLAN. Gibt es ESSID WLAN Router incl. RADIUS Server (für den Zugang zum Firmen-LAN)?
Ansonsten müssen halt zwei WLAN Geräte angeklemmt werden.

Insgesamt käme dann also raus: Firewall Router + VLAN Switch + ESSID (RADIUS) WLAN Router.
Und das Netz wäre für alles gewappnet!?


Vielen Dank für Deinen Einsatz. Finde das echt erstklassig.

Gute Grüße,
Björn
Bitte warten ..
Mitglied: aqui
26.01.2012, aktualisiert 18.10.2012
Hi Björn,
OK, ja da hast du natürlich Recht. Die Kombination VLAN fähige Firewall mit VLAN L2 Switch ist natürlich absolut OK...keine Frage !
Sorry wenn das missverständlich war.
Der TP Link ist ein billiges Consumer Produkt, kann das aber problemlos erledigen.
Bei den Ciscos der preiswerten SF-200 oder SG-200 Serie machst du nichts falsch. Was aber nicht heissen soll das es mit TP-Link, NetGear und D-Link nicht auch geht.
Das o.a. Tutorial gibt dir ja einen kleinen Überblick !
Thema Mikrotik:
Ja natürlich kann der auch einen LAN zu LAN Kopplung. Hier am Beispiel IPsec:
http://gregsowell.com/?p=787
Geht aber auch mit PPTP und L2TP
Genauso kann der Mikrotik einen LAN zu LAN Tunnel mit einem Cisco, FritzBox und pfSense/Monowall aufbauen. Das ist alles Standard !
Auch kannst du parallel einen Lan zu Lan Kopplung machen und den Mikrotik als PPTP VPN Dialin benutzen um Smartphones, Windows, Mac, Linux gleich mit den onboard Clients zu verbinden.
Thema Router mit Radius:
Ja gibt es !
Der Buffalo WZR HP G300NH hat ein DD-WRT Image drauf und auch einen FreeRadius Server mit dem alles zusammen machbar ist.
Guckst du hier:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ... (Menüpunkt: "Radius im Router integriert")
Generell geht das mit fast allen DD-WRT oder OpenWRT Systemen.
Firewall Router + VLAN Switch + ESSID (RADIUS) WLAN Router.
Richtig ! Damit bist du bestens gewappnet !!
Die o.a. Tutorials helfen dir das im Handumdrehen aufzubauen !
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Switche und Hubs
gelöst Netzwerk-Erweiterung mit 2.IP-Bereich und IP-Bereich für VOIP mit HP2530-Stack (2)

Frage von Quincy25 zum Thema Switche und Hubs ...

Router & Routing
gelöst Im Netzwerk auf zweiten IP-Bereich zugreifen (30)

Frage von huckepaule zum Thema Router & Routing ...

PHP
gelöst Website einem bestimmten IP-Bereich zugänglich machen (6)

Frage von Thoomaas zum Thema PHP ...

Windows Netzwerk
Automatisches IP Setup für verschiedene (Wlan-)Netzwerke (4)

Frage von mraudi zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...