zweites Netzwerk als Direktverbindung zw. zwei PC's

[Khlathu]

Hi, ich würde gern ein zweites Netzwerk im Heimnetz einrichten, vielleicht könnt Ihr mir dabei helfen.

Es geht dabei um zwei PC’s, beide jeweils mit einem Netzwerk zum Router für den Internetzugriff und ein zweites, schnelleres Netzwerk als Direktverbindung zwischen beiden PC’s, um auf freigegebene Ordner zuzugreifen. Dabei soll das zweite Netzwerk vom restlichen Heimnetz und Internet isoliert sein, also ohne irgendeine Zugriffsmöglichkeit von- oder nach außen – das ist auch der wichtigste Punkt am ganzen Setting.

Hier noch mal die Auflistung (wie im angehängten Bild):

Netzwerk 1:

• für Internetzugriff, jeweils eingerichtet auf PC 1 und PC 2, Verbindung zum Router
• vom 1Gb/s onboard LAN Port am PC à zum 1Gb/s LAN Port am Router
• es soll kein Zugriff auf Netzwerk 2 möglich sein

Netzwerk 2:

• kein Internetzugriff oder Verbindung zu Netzwerk 1
• Direktverbindung zw. PC 1 und PC 2 mit 2.5Gb/s für schnelleren Datenaustausch, jeweils auf freigegebene Ordner
• Anschluss über Cat7 Kabel und jeweils einen 2.5Gb/s USB-LAN Adapter an USB 3.0 Port

2.5Gb/s über den Router sind nicht möglich, daher entfällt er als Alternative zu den USB-LAN Adaptern. Onboard sind auf beiden PC’s ebenfalls nur 1Gb/s verbaut.

Das Ganze läuft auf Windows 11 (beide Rechner). Wie genau muss ich die Netzwerke einrichten und konfigurieren (öffentliches/privates Netzwerk, Druckerfreigabe usw.)? Da fehlt mir leider die Praxis.

Danke schon mal und Grüße

 

[Cai-pirinha]

da musst du gar nicht viel einrichten. du vergibst einfach auf dem PC1 dem USB-LAN-Adapter eine IP in einem freien Subnetz deiner Wahl.. z.B. 192.179.0.1 und auf dem PC2 analog dann z.B. die IP 192.179.0.2..

bei den Freigaben bzw. bei der gewollt direkten Kommunikation musst du dann eben bloß noch drauf achten, dass das dann auch über das 192.179.0.0 Subnetz läuft (das ich in diesem Beispiel gewählt habe) und nicht über das Subnetz, das der Router über seinen DHCP-Sever vorgibt (i.d.R. 192.168.0.0 oder 192.168.178.0)

 

[madmax2010]

Anschluss über Cat7 Kabel

Das klingt mal wieder nach einem dieser Discounter Kabel. Ich habe jedenfalls noch keine Standard konformen Cat7 Kabel imENdkundenhandel gesehen.
Ist auch egal. Bis 10Gbit/s reicht aktuelles Cat 5 / altes Cat 5e
Ich würde wirklich eher zu einer PCIe Karte greifen. Via USB hast du höhere Latenzen.

Zur frage: auf beiden Seiten statische IPs aus einem aderen netz eintragen
Bspw
10.0.0.2
255.255.255.0
und
10.0.0.3
255.255.255.0

fertig

Im Internet hängt der PC dann jedoch noch immer.

 

[foofoobar]

Beide Victims haben Zugriff ins Internet, daher ist der von dir postulierte Schutzbedarf (Isolation) mehr als fragwürdig.
Was willst du wovor schützen?

 

[coolyhat]

Weißt Du, das Cat 6A 10 Gbit/s kann? Und dass es für Cat 7 keine zertifizierten RJ 45 Stecker/Kupplungen gibt?
Für ein Patchkabel ist Cat 6A mehr als ausreichend. Was nutzt Dir ein Cat 7 Patchkabel, wenn Deine Buchsen vermutlich maximal Cat 6 sind?

 

[Don-DCH]

Wäre es eine Alternative wie @madmax2010 gesagt hat auf eine eingebaute Karte zurückzugreifen?

Ich würde das vermutlich so machen und garnicht so etwas mti USB Adapterna ufziehen sondern eine neue Netzwerkkarte für jeden PC und das an einem Switch mit entsprechender Geschwindikeit und den dann an den Router.

So hat man ein Netzwerk wie jetzt auch.

Außer es soll getrennt sein?
Was es meines erachtens aber nicht muss.

Durch einen Switch wäre man auch flexibler falls mal ein dritter PC/Laptop oder anderes schnelles Endgerät hinzukommt wie NAS oder ähnliches.

Viele Grüße

 

[Maximilian.1]

Weißt Du, das Cat 6A 10 Gbit/s kann? Und dass es für Cat 7 keine zertifizierten RJ 45 Stecker/Kupplungen gibt?

Bei Cat 7 werden GG45 Stecker eingesetzt. Für Cat 8 hingegen gibt es auch wieder RJ45 Stecker.

Für ein Patchkabel ist Cat 6A mehr als ausreichend. Was nutzt Dir ein Cat 7 Patchkabel, wenn Deine Buchsen vermutlich maximal Cat 6 sind?

Daher haben die gängigen "Cat 7 Patchkabel" eigentlich immer Cat 6A oder Cat 6 Stecker dran...

 

[Joe Dalton]

Man kann hier sich an den vermeintlichen Cat7-Kabeln und Steckern aufhängen, aber das ist nicht der Kern der Sache. Aber schön, wenn die Leute im OSI-Model unten anfangen.

@foofoobar hat es deutlich gesagt: Es gibt trotz der beiden Netzwerke eigentlich keine Trennung. Es sei denn, dass Windows die Bindung an einzelne Interfaces unterstützt. Ansonsten ist alles in einer Routingtabelle auf dem Host und die Netzwerkfreigabe für beide Interfaces verfügbar.

Die Windowsfreigabe würde ich erstmal über die entsprechenden Zugriffsrechte schützen. Netzwerktechnisch dürfte es eher schwierig werden bzw. die Windows Firewall könnte das noch lösen.

 

[nutrix]

Das Ganze läuft auf Windows 11 (beide Rechner). Wie genau muss ich die Netzwerke einrichten und konfigurieren (öffentliches/privates Netzwerk, Druckerfreigabe usw.)? Da fehlt mir leider die Praxis.

Das merkt man (das ist nicht böse gemeint). Dein Konzept ist Käse und taugt so nichts, da läufst Du in zig Probleme rein. Gut gemeinter Rat, laß das, und mach das, was die Kollegen oben empfehlen. Einen 10 Gbit Switch besorgen,mit dem Router verbinden, beide PCs an den Switch ranmachen, und fertig.

 

[coolyhat]

Bei Cat 7 werden GG45 Stecker eingesetzt. Für Cat 8 hingegen gibt es auch wieder RJ45 Stecker.

Für ein Patchkabel ist Cat 6A mehr als ausreichend. Was nutzt Dir ein Cat 7 Patchkabel, wenn Deine Buchsen vermutlich maximal Cat 6 sind?

Daher haben die gängigen "Cat 7 Patchkabel" eigentlich immer Cat 6A oder Cat 6 Stecker dran...

GG45 Stecker sind keine RJ45 Stecker und nicht kompatibel.
Für Cat 7 sind Tera-Stecker zertifiziert. Tera- und GG45 Stecker haben sich aber nicht durchgesetzt, da dass weitreichende Konsequenzen hätte.
Wenn ein Datenkabel genutzt werden soll müssen RJ45 Stecker dran, egal welche Cat das Kabel hat.
Cat 7/8 Patchkabel sind wie ein Ferrari mit Traktorreifen.

 

[foofoobar]

@foofoobar hat es deutlich gesagt: Es gibt trotz der beiden Netzwerke eigentlich keine Trennung. Es sei denn, dass Windows die Bindung an einzelne Interfaces unterstützt. Ansonsten ist alles in einer Routingtabelle auf dem Host und die Netzwerkfreigabe für beide Interfaces verfügbar.

Und auf den Kisten wird sicherlich auch mehr als dieser Netbios-Kram laufen.

 

[Raijin]

Dabei soll das zweite Netzwerk vom restlichen Heimnetz und Internet isoliert sein, also ohne irgendeine Zugriffsmöglichkeit von- oder nach außen – das ist auch der wichtigste Punkt am ganzen Setting.

Magst du uns vielleicht erklären warum das so sein soll? Befinden sich in Netzwerk1 Fremdgeräte, die keinen Zugriff auf die Freigaben haben sollen oder wie ist das sonst gemeint?

Die Sache ist nämlich die, dass Windows nur mäßig gut mit mehreren lokalen Netzwerken arbeitet. Wenn man beispielsweise eine Dateifreigabe einrichtet, gibt es keine vorgesehene Auswahlmöglichkeit auf welcher Schnittstelle diese Freigabe laufen soll. Heißt: Windows gibt die Freigabe auf allen Schnittstellen frei. Möchte man das nicht, muss man in die Windows-Firewall gehen, bei den eingehenden Verbindungen zB TCP 445 suchen und dort händisch in den Einstellungen die Quell-IP entsprechend limitieren, also zB nur die 10G-IP des anderen PCs eintragen. Die Freigabe ist dann zwar theoretisch immer noch auf der Schnittstelle zum Hauptnetzwerk aktiv, aber die Firewall blockt eingehende Verbindungen von dort.

So richtig Sinn ergibt das allerdings nicht und deswegen kann man bessere Hilfestellung leisten - oder Alternativen vorschlagen - wenn man genau weiß was du vorhast und warum. Sonst basteln wir hier schlimmstenfalls an einem XY-Problem rum.

 

[Khlathu]

Hi, ich kann leider erst jetzt antworten, da unter anderem Ostern dazwischen kam. Danke für Antworten!
Ich versuche mal alles durchzugehen.

Es handelt sich um ein (sehr) kleines Firmennetzwerk, dass auch privat genutzt wird. Am Router hängen mehrere PC‘s, alle über LAN:
- PC 1 & PC 2, auf die nur ich Zugriff haben – zwischen denen auch der Datenaustausch per Ordnerfreigabe stattfinden soll (ohne Zugriff durch andere Geräte im NW)

- PC 3, auf ihn besteht ein Remote Zugriff von außen durch einen externen Dienstleister. Dieser PC soll möglichst vom restlichen Netz isoliert werden, ohne irgendwelche Zugriffe. Das wäre über einen Gastzugang am Router umsetzbar gewesen aber der Router unterstützt diesen im LAN nicht. Gast-WLAN ist leider auch keine Option, da er aus Sicherheitsgründen nur über LAN angeschlossen werden soll.

- Zwei weiteres PC’s (4 & 5) sollen zwar auch keinen Zugriff auf die Freigaben von PC 1 &2 haben, sie sind aber nicht so relevant wie PC 3, da kein Remotezugriff besteht

Die schnellere 2.5Gb LAN Verbindung für kürzere Ladenzeiten von großen Dateien ist bei PC 1 & 2 nur über zusätzliche Adapter möglich, da onboard nur 1Gb LAN verbaut. PC 1 ist zudem ein Intel NUC Mini PC, eine PCIe Card entfällt also als Option (kein Platz & kein Anschluss), deswegen bleibt nur der 2.5Gb USB/LAN Adapter. PC 2 ist ein Tower PC, da wäre es theoretisch egal. Am USB/LAN Adapter kann man, falls nötig, auch mal schnell einen anderen PC anschließen, was die Sache flexibler macht als die PCIe Lösung.

Da die Direktverbindung zw. zwei PC’s eigentlich die simpelste Netzwerkform ist, wäre das meine erste Wahl gewesen. Das Windows dabei solche Probleme macht, hätte ich (nach fast 40 Jahren Entwicklungszeit) ehrlich gesagt nicht erwartet. Das Ganze wäre auch ohne große Zusatzkosten umsetzbar gewesen (rund 30€ für beide USB/LAN Adapter zusammen).
Im Optimalfall wäre dann ein separater Netzwerktyp je LAN Adapter einstellbar gewesen (z. Bsp. 1Gb onboard LAN für Internet = öffentliches NW, ohne Druckerfreigabe & NW-Erkennung …und 2.5Gb USB/LAN = privates NW mit Druckerfreigabe, NW-Erkennung & Port-basierter Ordnerfreigabe).
Aber wie Ihr schon sagt, geht so nicht…
Beim Cat Level des Kabels bin ich nach den Wikipedia Werten gegangen. Ob Cat 6 oder 7 wäre eigentlich egal, 10Gb/s schienen mir zumindest zukunftssicher für evtl. spätere Nachrüstung. Cat 5e geht laut Wiki nur bis 5Gb/s.

Wären denn die Umbenennung der Arbeitsgruppe bei PC 1 & 2 eine Option, um Zugriffe auf deren freigegebene Ordner aus dem restlichen Netzwerk zu unterbinden? Ich kann den Namen „Workgroup“ zwar ändern, habe aber mehrfach gelesen, dass die Arbeitsgruppe in Win11 inzwischen abgeschafft wurde. Daher ist fraglich, ob die Umbenennung noch irgendeinen Effekt hat.

…und um PC 3 komplett im Netzwerk zu isolieren, evtl. ein managed Switch mit VLAN Unterstützung, um das Netzwerk direkt hinter dem Router aufzuteilen?

 

[nutrix]

Da die Direktverbindung zw. zwei PC’s eigentlich die simpelste Netzwerkform ist, wäre das meine erste Wahl gewesen. Das Windows dabei solche Probleme macht, hätte ich (nach fast 40 Jahren Entwicklungszeit) ehrlich gesagt nicht erwartet. Das Ganze wäre auch ohne große Zusatzkosten umsetzbar gewesen (rund 30€ für beide USB/LAN Adapter zusammen).

Das funktioniert auch nach wie vor recht simpel, keine Sorge. Du hast nur ein Problem, wenn Du mehrere Netzwerkadapter im PC gleichzeitig nutzen willst, und die nicht wissen, wie sie was routen sollen. Ansonsten ist es auch kein Problem, wenn Du für die direkte Verbindung eigene Netzwerkadressen vergibst, und kein Gateway einträgst. Funktionierte bei mir zumindest so, als ich noch kein 10Gbps Switch hatte, so einwandfrei zwischen 2 PCs + 1Gbit NICs fürs normale LAN.

Ansonsten ist Deine Idee mit den VLANs schon richtig. Wenn man das richtig macht, kannst Du auf direkte Kabelverbindungen verzichten zwischen den Geräten verzichten. Du brauchst dann aber ein geeignetes Gerät im Netz, was das Routing/NAT etc. übernimmt, üblicherweise ein Gerät mit einer Firewall, welches Zugriff auf alle Netze hat. Sprich, genau so, wie man es in Firmen wie Unternehmen so mit dem Firmennetzwerken macht.

 

[chrigu]

Wenn es eine 100% Trennung sein soll geht das nur mit vlan (Switch und Router müssen vlan können). Da wahrscheinlich ein Consumer Router dranhängt wie fritzbox oder speedport wird das trennen so eine Sache. Da eine Firma dahintersteht mit fragilen Daten (sonst wäre ein trennen nicht so wichtig) wäre eine Beratung durch einen zertifizierten it Anbieter eminent wichtig.
Wenn’s nur so proforma Trennung ist, gastnetz geht bei fritzbox auch mit lan.
Ansonsten basteln mit einem raspi und einer Firewall die richtig konfiguriert wird.
Oder noch einfacher: ein zusätzliches lankabel mit direkter Verbindung lan auf lan

 

[nutrix]

Wenn es eine 100% Trennung sein soll geht das nur mit vlan (Switch und Router müssen vlan können). Da wahrscheinlich ein Consumer Router dranhängt wie fritzbox oder speedport wird das trennen so eine Sache.

Dann macht man einfach das, was man in Firmen so macht: der Router kümmert sich nur zum Zugang um Internet, und dafür kommt ein separater managed Switch bzw. separate HW-Firewall.

 

[Raijin]

PC 1 & PC 2, auf die nur ich Zugriff haben – zwischen denen auch der Datenaustausch per Ordnerfreigabe stattfinden soll (ohne Zugriff durch andere Geräte im NW)

PC 3, auf ihn besteht ein Remote Zugriff von außen durch einen externen Dienstleister. Dieser PC soll möglichst vom restlichen Netz isoliert werden, ohne irgendwelche Zugriffe.

Zwei weiteres PC’s (4 & 5) sollen zwar auch keinen Zugriff auf die Freigaben von PC 1 &2 haben, sie sind aber nicht so relevant wie PC 3, da kein Remotezugriff besteht

Zugriff. Ein Wort mit viel Interpretationsspielraum.

Nur weil mehrere Geräte Teilnehmer ein und desselben Netzwerks sind, heißt das noch nicht, dass sie auch "Zugriff" auf die Dateifreigaben haben. Zugriff im Sinne von "Ich versuche mal einen Login" schon, aber Zugriff im Sinne von "Login hat geklappt und ich kann Daten kopieren" eben nicht.
Du sprichst selbst von einem "sehr kleinen" Netzwerk, das aus 5 PCs besteht, und effektiv willst du es jetzt in 3 Teilnetze splitten. Klar, kann man machen, aber ob das notwendig oder überhaupt sinnvoll ist, steht auf einem anderen Blatt.

So wie ich das sehe brauchst du nur genau 2 Netzwerke. Netzwerk 1 beinhaltet PC 1/2/4/5 und Netzwerk 2 besteht letztendlich nur aus PC3, denn nur der ist eine potentielle Bedrohung, weil per Remote fremdverwaltet.

Wenn du dir einen Switch mit min. 2x 2,5 GbE besorgst sowie die geplanten 2,5 GbE NIC für PC1&2, hängst du eben diese beiden PCs mit dem 2,5er Adapter an den Switch (ihr onboard 1 GbE bleibt leer) und PC4/5 mit ihren Onboard 1 GbE Adaptern an den Switch, Uplink vom Switch zum Router, Netzwerk 1 fertig. Die Freigaben auf PC1 und PC2 werden mit einem sicheren Login geschützt und PC4/5 mögen die Freigabe vielleicht "sehen", aber sie haben ohne Logindaten keinen "Zugriff".

PC3 könntest du mit einem billo OpenWRT-Router abschotten. Eben dieser Router wird per WAN-Port an den besagten Switch angeschlossen und in der Firewall dieses Routers werden Regeln definiert, die die Berechtigungen des abgeschotteten Netzwerks einschränken.


Du kannst zwar PC1 und 2 auch mit einem direkten Kabel verbinden und so ein 2-host-Netzwerk bauen, aber ich würde es trotzdem mit dem Switch machen. Warum? Weil Anforderungen sich ändern und morgen kommst du auf die Idee, dass da ja noch ein weiterer PC an die Dateifreigaben ran soll - blöd ohne Switch. Abgesehen davon minimiert sich dabei auch der Einrichtungsaufwand auf den PCs, weil du nicht mit der Windows-Firewall rumfummeln musst und auch etwaigen Problemen beim Routing oder der Namensauflösung aus dem Weg gehst. In nahezu jedem Thread dieser Art kommt früher oder später nämlich die Frage "Warum lädt mein PC trotzdem über 1 Gbit/s runter, der ist doch direkt per 2,5 Gbit/s am anderen PC?!?" Das ist eben fehlerhaftes Routing bzw. DNS. Umgehst du komplett, wenn es für den PC nur einen Weg gibt.

 

[Besterino]

PC3 gehört isoliert vom Rest, Google mal „DMZ“ - ist das gängige Setup für „risikobehaftete“ Rechner mit Zugang Dritter in der Netzwerklandschaft. Dann kannst Du eben mit allen anderen PCs nen vernünftiges Netzwerk fahren - wie andere hier schon schrieben mit nem geeigneten Switch.