Internet teilen / Netzwerk abschotten

AoD

aka AngelOfDeath

Registered: Nov 2002
Location: St. Pölten
Posts: 1483

25.01.2010 - 00:50

Hab eine interessante Aufgabenstellung bekommen, wofür ich euren Rat benötige.

Eine Firma hat einen (Business) XDSL Zugang von der Telekom Austria über ein Alcatel Speed Touch 608iWL. Im gleichen Gebäude gibt es nun einen Untermieter der über denselben XDSL Zugang ins Internet kommen soll.
Was das ganze interessant macht: er soll verständlicherweise keinen Zugriff auf das restliche Netzwerk haben, sondern nur raus ins Internet.

Lässt sich das mit dem bestehenden Router lösen? Hat das schon jemand versucht? Wenn ich den "Fremd" PC in eine DMZ gebe, reicht das aus, oder kann man sich aus dieser DMZ "befreien", indem man z.B. die eigene IP ändert?

prayerslayer

Oar. Mh.

Registered: Sep 2004
Location: vorm Sucher
Posts: 4073

25.01.2010 - 01:03

schule ist schon länger her, aber wär das nicht was für eine ACL? kann das speedtouch ding wahrscheinlich nicht, oder?

//wobei... dmz klingt echt nach dem schöneren ansatz

Probmaker

1.0.0.721

Registered: Nov 2003
Location: here
Posts: 5035

25.01.2010 - 01:44

was ist "der bestehende" router?

wir hams so gelöst: Firewall = ZyWall USG200...

Port 1 = WAN1 = inode
Port 2 = WAN2 = 3 HSDPA Router
Port 3 = LAN1 = normales Firmennetz
Port 4 = LAN2 = privates Netz

und bei den FW rules stellst einfach ein, LAN2->LAN1 = forbid. LAN2->WAN = allow. damit kann er nur ins WWW und nicht ins firmennetz. wenn der switch manageable ist kannst auch ein ViLan machen - je nachdem, was du für hardware hast gibts da eh einen haufen möglichkeiten.

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15867

25.01.2010 - 07:56

ack, ohne vorhandene hardware kann man eigentlich nix sagen, ansonsten würd ich auch den weg von probmaker über zyxel gehen. is auch sehr einfach zu konfigurieren

Neo-=IuE=-

Here to stay

Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3232

25.01.2010 - 08:07

DMZ ist meist nicht der richtige ansatz, weil die verbindungen von DMZ <-> clients auf billigen geräten oft nicht sinnvoll geregelt werden können und daher doch zugriff besteht

dmz ist etwas für server und nicht zum trennen von 2 seperaten LANs

AoD

aka AngelOfDeath

Registered: Nov 2002
Location: St. Pölten
Posts: 1483

25.01.2010 - 08:44

@bestehenden Router: "Alcatel Speed Touch 608iWL" steht eh da

Das ist der "normale" von der Telekom bei KMU Lösungen zur Verfügung gestellte Router, der aber nur von denen gewartet wird.

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15867

25.01.2010 - 08:52

naja dann kaufts euch dieses schöne teil http://geizhals.at/a346232.html und könnts n haufen feiner sachen anstellen
oder aber ihr realisierts das ganze über einen eigenen linux-rechner (um colossus vorzugreifen

)

Probmaker

1.0.0.721

Registered: Nov 2003
Location: here
Posts: 5035

25.01.2010 - 10:14

ack, die USG100 kann auch einiges (hat auch mehrere WAN ports - für redundante i-net lösungen)... stell die leitung auf "standleitung" um und verwalte das über die zywall.

btw: wir sind vom IPCop weg wegen der komplizierten realisierung zweier WANs...

//EDIT: btw, solltest du dich wirklich für eine ZyWall entscheiden --> AV Lizenz is nur 30 tage inkludiert... ma findet keinen reseller -> bei ditech kriegst du sie. kann dir meinen kontaktmann nennen, der kann dir die problemlos ordern (normalerweise sau kompliziert weil niemand weiß worums geht...)

Bearbeitet von Probmaker am 25.01.2010, 10:17

Spikx

My Little Pwny

Registered: Jan 2002
Location: Scotland
Posts: 13496

25.01.2010 - 10:32

Zitat von userohnenamen
naja dann kaufts euch dieses schöne teil http://geizhals.at/a346232.html und könnts n haufen feiner sachen anstellen
oder aber ihr realisierts das ganze über einen eigenen linux-rechner (um colossus vorzugreifen )

Dann kann er aber auch gleich einfach einen zweiten, billigeren Router kaufen und den hinter den anderen hängen

.

djonny

Addicted

Registered: Oct 2008
Location: Bgld/W
Posts: 598

25.01.2010 - 12:28

Zitat von Spikx
Dann kann er aber auch gleich einfach einen zweiten, billigeren Router kaufen und den hinter den anderen hängen .

und was bringt sich das wennst 2 router hast? bist ja noch immer im selben netz wenn die router kein vlan beherschen....

Spikx

My Little Pwny

Registered: Jan 2002
Location: Scotland
Posts: 13496

25.01.2010 - 12:33

Zitat von djonny
und was bringt sich das wennst 2 router hast? bist ja noch immer im selben netz wenn die router kein vlan beherschen....

Nein, das LAN des zweiten Routers ist vom LAN des anderen Routers unabhängig. Das ist ja die Aufgabe eines Routers, er routed die Verbindungen von einem Netzwerk in ein Anderes.

Neo-=IuE=-

Here to stay

Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3232

25.01.2010 - 12:34

aber zugriff ist trotzdem möglich, abhängig von der firewall auf dem router

wenn am 2. router zb ssh auf any im internet freigegeben ist, ist vom 2. netz aufs 1. per ssh zugriff möglich...

Spikx

My Little Pwny

Registered: Jan 2002
Location: Scotland
Posts: 13496

25.01.2010 - 12:36

Zitat von Neo-=IuE=-
aber zugriff ist trotzdem möglich, abhängig von der firewall auf dem router

wenn am 2. router zb ssh auf any im internet freigegeben ist, ist vom 2. netz aufs 1. per ssh zugriff möglich...

Vom Internet aber auch. Er wird wohl kaum services aus seinem Netz für jeden Internet Teilnehmer freigeben wollen dafür aber genau einen Teilnehmer ausschließen. Es besteht ja kein prinzipieller Unterschied zwischen einem User aus dem anderen LAN und einem User aus dem Internet.

Bearbeitet von Spikx am 25.01.2010, 12:40

schizo

Produkt der Gesellschaft

Registered: Feb 2003
Location: Vienna
Posts: 2578

25.01.2010 - 12:58

Laut Herstellerseite beherrscht der eh VLANs. Die kostengünstigste Variante wärs daher die Benutzerdaten im Internet rauszusuchen und ein VLAN einzurichten.

Neo-=IuE=-

Here to stay

Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3232

25.01.2010 - 13:01

spikx wieso vom internet auch? vom internet schützt ja der 1. router noch

aber der 2. router würde ja als client im 1. lan hängen, anders kanns ja net gehn, oder versteh ich falsch wie du dir das vorstellst

AoD aka AngelOfDeath Registered: Nov 2002 Location: St. Pölten Posts: 1483	25.01.2010 - 00:50 Hab eine interessante Aufgabenstellung bekommen, wofür ich euren Rat benötige. Eine Firma hat einen (Business) XDSL Zugang von der Telekom Austria über ein Alcatel Speed Touch 608iWL. Im gleichen Gebäude gibt es nun einen Untermieter der über denselben XDSL Zugang ins Internet kommen soll. Was das ganze interessant macht: er soll verständlicherweise keinen Zugriff auf das restliche Netzwerk haben, sondern nur raus ins Internet. Lässt sich das mit dem bestehenden Router lösen? Hat das schon jemand versucht? Wenn ich den "Fremd" PC in eine DMZ gebe, reicht das aus, oder kann man sich aus dieser DMZ "befreien", indem man z.B. die eigene IP ändert?
prayerslayer Oar. Mh. Registered: Sep 2004 Location: vorm Sucher Posts: 4073	25.01.2010 - 01:03 schule ist schon länger her, aber wär das nicht was für eine ACL? kann das speedtouch ding wahrscheinlich nicht, oder? //wobei... dmz klingt echt nach dem schöneren ansatz
Probmaker 1.0.0.721 Registered: Nov 2003 Location: here Posts: 5035	25.01.2010 - 01:44 was ist "der bestehende" router? wir hams so gelöst: Firewall = ZyWall USG200... Port 1 = WAN1 = inode Port 2 = WAN2 = 3 HSDPA Router Port 3 = LAN1 = normales Firmennetz Port 4 = LAN2 = privates Netz und bei den FW rules stellst einfach ein, LAN2->LAN1 = forbid. LAN2->WAN = allow. damit kann er nur ins WWW und nicht ins firmennetz. wenn der switch manageable ist kannst auch ein ViLan machen - je nachdem, was du für hardware hast gibts da eh einen haufen möglichkeiten.
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15867	25.01.2010 - 07:56 ack, ohne vorhandene hardware kann man eigentlich nix sagen, ansonsten würd ich auch den weg von probmaker über zyxel gehen. is auch sehr einfach zu konfigurieren
Neo-=IuE=- Here to stay Registered: Jun 2002 Location: Berndorf, NÖ Posts: 3232	25.01.2010 - 08:07 DMZ ist meist nicht der richtige ansatz, weil die verbindungen von DMZ <-> clients auf billigen geräten oft nicht sinnvoll geregelt werden können und daher doch zugriff besteht dmz ist etwas für server und nicht zum trennen von 2 seperaten LANs
AoD aka AngelOfDeath Registered: Nov 2002 Location: St. Pölten Posts: 1483	25.01.2010 - 08:44 @bestehenden Router: "Alcatel Speed Touch 608iWL" steht eh da Das ist der "normale" von der Telekom bei KMU Lösungen zur Verfügung gestellte Router, der aber nur von denen gewartet wird.
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15867	25.01.2010 - 08:52 naja dann kaufts euch dieses schöne teil http://geizhals.at/a346232.html und könnts n haufen feiner sachen anstellen oder aber ihr realisierts das ganze über einen eigenen linux-rechner (um colossus vorzugreifen )
Probmaker 1.0.0.721 Registered: Nov 2003 Location: here Posts: 5035	25.01.2010 - 10:14 ack, die USG100 kann auch einiges (hat auch mehrere WAN ports - für redundante i-net lösungen)... stell die leitung auf "standleitung" um und verwalte das über die zywall. btw: wir sind vom IPCop weg wegen der komplizierten realisierung zweier WANs... //EDIT: btw, solltest du dich wirklich für eine ZyWall entscheiden --> AV Lizenz is nur 30 tage inkludiert... ma findet keinen reseller -> bei ditech kriegst du sie. kann dir meinen kontaktmann nennen, der kann dir die problemlos ordern (normalerweise sau kompliziert weil niemand weiß worums geht...) Bearbeitet von Probmaker am 25.01.2010, 10:17
Spikx My Little Pwny Registered: Jan 2002 Location: Scotland Posts: 13496	25.01.2010 - 10:32 Zitat von userohnenamen naja dann kaufts euch dieses schöne teil http://geizhals.at/a346232.html und könnts n haufen feiner sachen anstellen oder aber ihr realisierts das ganze über einen eigenen linux-rechner (um colossus vorzugreifen ) Dann kann er aber auch gleich einfach einen zweiten, billigeren Router kaufen und den hinter den anderen hängen .
djonny Addicted Registered: Oct 2008 Location: Bgld/W Posts: 598	25.01.2010 - 12:28 Zitat von Spikx Dann kann er aber auch gleich einfach einen zweiten, billigeren Router kaufen und den hinter den anderen hängen . und was bringt sich das wennst 2 router hast? bist ja noch immer im selben netz wenn die router kein vlan beherschen....
Spikx My Little Pwny Registered: Jan 2002 Location: Scotland Posts: 13496	25.01.2010 - 12:33 Zitat von djonny und was bringt sich das wennst 2 router hast? bist ja noch immer im selben netz wenn die router kein vlan beherschen.... Nein, das LAN des zweiten Routers ist vom LAN des anderen Routers unabhängig. Das ist ja die Aufgabe eines Routers, er routed die Verbindungen von einem Netzwerk in ein Anderes.
Neo-=IuE=- Here to stay Registered: Jun 2002 Location: Berndorf, NÖ Posts: 3232	25.01.2010 - 12:34 aber zugriff ist trotzdem möglich, abhängig von der firewall auf dem router wenn am 2. router zb ssh auf any im internet freigegeben ist, ist vom 2. netz aufs 1. per ssh zugriff möglich...
Spikx My Little Pwny Registered: Jan 2002 Location: Scotland Posts: 13496	25.01.2010 - 12:36 Zitat von Neo-=IuE=- aber zugriff ist trotzdem möglich, abhängig von der firewall auf dem router wenn am 2. router zb ssh auf any im internet freigegeben ist, ist vom 2. netz aufs 1. per ssh zugriff möglich... Vom Internet aber auch. Er wird wohl kaum services aus seinem Netz für jeden Internet Teilnehmer freigeben wollen dafür aber genau einen Teilnehmer ausschließen. Es besteht ja kein prinzipieller Unterschied zwischen einem User aus dem anderen LAN und einem User aus dem Internet. Bearbeitet von Spikx am 25.01.2010, 12:40
schizo Produkt der Gesellschaft Registered: Feb 2003 Location: Vienna Posts: 2578	25.01.2010 - 12:58 Laut Herstellerseite beherrscht der eh VLANs. Die kostengünstigste Variante wärs daher die Benutzerdaten im Internet rauszusuchen und ein VLAN einzurichten.
Neo-=IuE=- Here to stay Registered: Jun 2002 Location: Berndorf, NÖ Posts: 3232	25.01.2010 - 13:01 spikx wieso vom internet auch? vom internet schützt ja der 1. router noch aber der 2. router würde ja als client im 1. lan hängen, anders kanns ja net gehn, oder versteh ich falsch wie du dir das vorstellst

Internet teilen / Netzwerk abschotten

Forum Index > Hardware > Peripherie > Netzwerktechnik

AoD

prayerslayer

Probmaker

userohnenamen

Neo-=IuE=-

AoD

userohnenamen

Probmaker

Spikx

djonny

Spikx

Neo-=IuE=-

Spikx

schizo

Neo-=IuE=-