Internet teilen / Netzwerk abschotten

Seite 1 von 3 - Forum: Netzwerktechnik auf overclockers.at

URL: https://www.overclockers.at/netzwerktechnik/internet_teilen_netzwerk_abschotten_213681/page_1 - zur Vollversion wechseln!

AoD schrieb am 25.01.2010 um 00:50

Hab eine interessante Aufgabenstellung bekommen, wofür ich euren Rat benötige.

Eine Firma hat einen (Business) XDSL Zugang von der Telekom Austria über ein Alcatel Speed Touch 608iWL. Im gleichen Gebäude gibt es nun einen Untermieter der über denselben XDSL Zugang ins Internet kommen soll.
Was das ganze interessant macht: er soll verständlicherweise keinen Zugriff auf das restliche Netzwerk haben, sondern nur raus ins Internet.

Lässt sich das mit dem bestehenden Router lösen? Hat das schon jemand versucht? Wenn ich den "Fremd" PC in eine DMZ gebe, reicht das aus, oder kann man sich aus dieser DMZ "befreien", indem man z.B. die eigene IP ändert?

prayerslayer schrieb am 25.01.2010 um 01:03

schule ist schon länger her, aber wär das nicht was für eine ACL? kann das speedtouch ding wahrscheinlich nicht, oder?

//wobei... dmz klingt echt nach dem schöneren ansatz :D

Probmaker schrieb am 25.01.2010 um 01:44

was ist "der bestehende" router?

wir hams so gelöst: Firewall = ZyWall USG200...

Port 1 = WAN1 = inode
Port 2 = WAN2 = 3 HSDPA Router
Port 3 = LAN1 = normales Firmennetz
Port 4 = LAN2 = privates Netz

und bei den FW rules stellst einfach ein, LAN2->LAN1 = forbid. LAN2->WAN = allow. damit kann er nur ins WWW und nicht ins firmennetz. wenn der switch manageable ist kannst auch ein ViLan machen - je nachdem, was du für hardware hast gibts da eh einen haufen möglichkeiten.

userohnenamen schrieb am 25.01.2010 um 07:56

ack, ohne vorhandene hardware kann man eigentlich nix sagen, ansonsten würd ich auch den weg von probmaker über zyxel gehen. is auch sehr einfach zu konfigurieren

Neo-=IuE=- schrieb am 25.01.2010 um 08:07

DMZ ist meist nicht der richtige ansatz, weil die verbindungen von DMZ <-> clients auf billigen geräten oft nicht sinnvoll geregelt werden können und daher doch zugriff besteht

dmz ist etwas für server und nicht zum trennen von 2 seperaten LANs

AoD schrieb am 25.01.2010 um 08:44

@bestehenden Router: "Alcatel Speed Touch 608iWL" steht eh da :p
Das ist der "normale" von der Telekom bei KMU Lösungen zur Verfügung gestellte Router, der aber nur von denen gewartet wird.

userohnenamen schrieb am 25.01.2010 um 08:52

naja dann kaufts euch dieses schöne teil http://geizhals.at/a346232.html und könnts n haufen feiner sachen anstellen
oder aber ihr realisierts das ganze über einen eigenen linux-rechner (um colossus vorzugreifen :D)

Probmaker schrieb am 25.01.2010 um 10:14

ack, die USG100 kann auch einiges (hat auch mehrere WAN ports - für redundante i-net lösungen)... stell die leitung auf "standleitung" um und verwalte das über die zywall.

btw: wir sind vom IPCop weg wegen der komplizierten realisierung zweier WANs...

//EDIT: btw, solltest du dich wirklich für eine ZyWall entscheiden --> AV Lizenz is nur 30 tage inkludiert... ma findet keinen reseller -> bei ditech kriegst du sie. kann dir meinen kontaktmann nennen, der kann dir die problemlos ordern (normalerweise sau kompliziert weil niemand weiß worums geht...)

Spikx schrieb am 25.01.2010 um 10:32

Zitat von userohnenamen
naja dann kaufts euch dieses schöne teil http://geizhals.at/a346232.html und könnts n haufen feiner sachen anstellen
oder aber ihr realisierts das ganze über einen eigenen linux-rechner (um colossus vorzugreifen :D)
Dann kann er aber auch gleich einfach einen zweiten, billigeren Router kaufen und den hinter den anderen hängen ;).

djonny schrieb am 25.01.2010 um 12:28

Zitat von Spikx
Dann kann er aber auch gleich einfach einen zweiten, billigeren Router kaufen und den hinter den anderen hängen ;).

und was bringt sich das wennst 2 router hast? bist ja noch immer im selben netz wenn die router kein vlan beherschen....

Spikx schrieb am 25.01.2010 um 12:33

Zitat von djonny
und was bringt sich das wennst 2 router hast? bist ja noch immer im selben netz wenn die router kein vlan beherschen....
Nein, das LAN des zweiten Routers ist vom LAN des anderen Routers unabhängig. Das ist ja die Aufgabe eines Routers, er routed die Verbindungen von einem Netzwerk in ein Anderes.

Neo-=IuE=- schrieb am 25.01.2010 um 12:34

aber zugriff ist trotzdem möglich, abhängig von der firewall auf dem router

wenn am 2. router zb ssh auf any im internet freigegeben ist, ist vom 2. netz aufs 1. per ssh zugriff möglich...

Spikx schrieb am 25.01.2010 um 12:36

Zitat von Neo-=IuE=-
aber zugriff ist trotzdem möglich, abhängig von der firewall auf dem router

wenn am 2. router zb ssh auf any im internet freigegeben ist, ist vom 2. netz aufs 1. per ssh zugriff möglich...
Vom Internet aber auch. Er wird wohl kaum services aus seinem Netz für jeden Internet Teilnehmer freigeben wollen dafür aber genau einen Teilnehmer ausschließen. Es besteht ja kein prinzipieller Unterschied zwischen einem User aus dem anderen LAN und einem User aus dem Internet.

schizo schrieb am 25.01.2010 um 12:58

Laut Herstellerseite beherrscht der eh VLANs. Die kostengünstigste Variante wärs daher die Benutzerdaten im Internet rauszusuchen und ein VLAN einzurichten.

Neo-=IuE=- schrieb am 25.01.2010 um 13:01

spikx wieso vom internet auch? vom internet schützt ja der 1. router noch


aber der 2. router würde ja als client im 1. lan hängen, anders kanns ja net gehn, oder versteh ich falsch wie du dir das vorstellst



overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2025