ComputerBase Menü
Aktuelles

Abgetrenntes Subnetz im Heimnetz

H

Hazling

Cadet 4th Year
Registriert
Dez. 2019
Beiträge
96
Hallo zusammen,

wir haben zu Hause ein Netzwerk das ungefähr wie folgt aussieht:

  • 1 Hauptrouter: Fritzbox 7590 (IP 192.168.1.1)
  • 5 Router (immer TP Link Archer C6) die an dem Hauptrouter hängen und das Netzwerk auf 2 Häuser und mehrere Stockwerke verteilen, teilweise noch mit Switches verteilt (Feste IPs mit den Endnummer 2-6, DHCP etc. aus)
  • Sehr viele Endgeräte (PC´s, Laptops, Handy, Tablets, Fernseher, Multimediaboxen,...) verteilt auf diese beiden Häuser (IP vom Hauptrouter bezogen)

Ich würde für meine Frau jetzt gerne ein abgeschottetesNetzwerk einrichten, welches nur Internetzugriff haben soll, da sie für ihre Praxis sehr viel im HomeOffice arbeitet und ich das aus Datenschutzgründen trennen will/muss. Ist das mit der aktuellen hardware möglich? Wenn ja, wie ? Ich habe bereits recherchiert, doch habe nix passendes gefunden oder zum Teil auch nicht geschnallt :) Ich habe diverse Einträge über VLAN und Router Kaskadierung gefunden, aber alles hat nicht so richtig gepasst.

Habt ihr ein Tipp für mich ? Alternativ wäre ein separater DSL Anschluss die Notlösung.

Gruß Purplehaze

EDIT: Ich habe noch das folgende Schaubild gefunden. Wenn ich das richtig verstehe hat der Hauptrouter die IP 192.168.X.1 und der Zweitrouter die IP 192.168.Y.1. D.h. sie hängen in unterschiedlichen Subnetzen und die Endgeräte mit den Endnummern Y.1 sollten dann keinen Zugriff auf die Geräte X.1 haben, oder? In diesem Fall müsste dann am Router die IP Y.1 fest vergeben werden und DHCP angestellt werden, ist das korrekt? Wenn ja frage ich mich dann noch, wie dann Überhaupt der Router 2 mit Router 1 sprechen will, da sie ja vom Subnetz her nicht passen.
 

Anhänge

  • Screenshot_20211223_141355.jpg
    Screenshot_20211223_141355.jpg
    105,7 KB · Aufrufe: 669
Zuletzt bearbeitet:
Nutz die Gastnetzwerk Funktion, die ist für genau diese Anwendung gedacht, Freunde und Besucher die Internet haben sollen aber keinen Zugriff aufs Netzwerk.
 
Eine sehr schwammige info....
was heisst Hauptrouter? der mit internet Anschluss?
was heisst 5 Router? sind die als AP an Fritze angeschlossen? die hat doch nur 4 Ports....
ein Switch? gibt es sowas? und was?
Bitte ausführlich.
 
Hallo,
Ja, Hauptrouter ist der, der im Internet hängt. Von dem gehen dann diverse Kabel in 2 Häuser und mehrere Stockwerke und werden wie gesagt vorher zum Teil auch nochmal durch Netzwer Switches verteilt, daher sind die Ports der Fritzbox ja egal...Wie oben beschrieben haben diese Router ne Fixe IP und haben DHCP aus, dienen dann also als WLAN Zugängen und es hängen auch noch andere Endgeräte in den LAN Ports der Route.

Über die Gastnetzwerk Funktion habe ich auch schon nachgedacht, ist glaube ich wenn ich es richtig verstehe nicht möglich. Problem: Der Internetrouter steht im anderen Haus (Haus 1). Von dort aus geht genau 1 Netzwerkkabel in das zweite Haus (Haus 2). In Haus 2 hängen dann noch 3 Router und diverse Switche und viele Endgeräte dran. Aber genau hier in diesem Haus 2 müsste auch das Gastnetzwerk ankommen. Wenn ich es aktivere wären dann ja alle Geräte hier drüber im Gastnetzwerk und die Kommunikation zwischen den Häusern (welcher weiterhin erhalten bleiben muss) würde wegfallen. Weiteres Kabelziehen ist unmlöglich.

Gruß Purplehaze

EDIT: Oder würde es auch reichen, wenn ich in dem "Nebenrouter" Archer C6 das Gastnetzwerk aktiviere, anstatt auf der Fritzbox? Dort gibt es glaube ich aber nur ein Gäste WLAN und kein Gäste LAN. WLAN fällt aus Sicherheitsgründen raus.
 
Stichwort: Routerkaskade.

www
|
(WAN)
Internetrouter
(LAN)
|
| (Geimeinsames Netzwerk @ 192.168.1.0 /24
|
(WAN)
OfficeRouter
(LAN)
|
Büronetzwerk @ zB 192.168.2.0 /24

Damit ist ein Zugriff vom Büronetzwerk auf das gemeinsame Netz bzw das Internet möglich, der Zugriff auf das Büronetzwerk wird jedoch blockiert. Das Geheimnis ist der WAN-Port des OfficeRouters - das kann einer der Archer C6 sein - der nur einseitig durchlässig ist.
 
  • Gefällt mir
Reaktionen: Hazling und Merle
Hallo Raijin,

danke für die Antwort. Das würde ja genau dem Schaubild oben entsprechen, oder ? Wenn das so geht, wäre ja super, dann bestelle ich noch einen neuen Router und das wars --> Feste IP im anderen Subnetz, DHCP an,oder?
Die letzte Frage wäre noch: Wie sicher ist denn so eine Router Kaskade im Vergleich zu einem eigenen DSL Anschluss? Gäbe es für Viren/Hacker irgendeine Möglichkeit von dem Gemeinsamen Netzwerk auf das Büronetzwerk zuzugreifen/überzuspringen?

Gruß Purplehaze
 
Makellos. So kann man es ohne Invest machen. Man könnte auch mit 2 managed Switches und einem Ethernet-Trunk arbeiten. Aber das bedingt eben 2 managed Switches und ein wenig Ahnung.
Ergänzung ()

Dabei gibt es nun 2 Hürden: Das „äußere Netz“ deines Hauptrouters kennt die inneren IPs des Officenetzes nicht ohne Weiteres. Es fehlt eine Route. Es wird NAT genutzt. (Ist identisch zum getrennten Internetanschluss; private IPs sind dort auch nicht bekannt.)
Durch das NAT entsteht auch die 2. Hürde. Ohne Portweiterleitungen sind Ports immer nur kurz und verbindungsbezogen offen. Faktisch eine Firewall-ähnliche Funktion.
Ich halte das schon für relativ sicher von außen.

Hazling schrieb:
Die letzte Frage wäre noch: Wie sicher ist denn so eine Router Kaskade im Vergleich zu einem eigenen DSL Anschluss? Gäbe es für Viren/Hacker irgendeine Möglichkeit von dem Gemeinsamen Netzwerk auf das Büronetzwerk zuzugreifen/überzuspringen?
Zum Vergrößern anklicken....
 
  • Gefällt mir
Reaktionen: Hazling
Da es offensichtlich eine professionelle Anwendung werden soll, wäre ein Gang zum Profi hier der richtige Weg.
 
Danke euch allen für die Antworten und Tipps und auch für den Hinweis von Galax-Zero. Da es so wie es scheint nur eine kleine Anpassung sein wird, werde ich es erstmal selbst machen, aber dennoch bei einem bekannten der eine Firma hat die sich um Netzwerktechnik und Sicherheit kümmert seinen Segen abholen :)
Gruß Purplehaze
 
Hazling schrieb:
Das würde ja genau dem Schaubild oben entsprechen, oder ?
Zum Vergrößern anklicken....
Jein. Die IP-Adressen in dem Bild sind etwas merkwürdig. Ich vermute es ist so gemeint wie ich es dargestellt habe, aber die IPs passen nicht dazu.

In meinem Schema würde der Internetrouter die 192.168.1.1 am LAN/WLAN haben. Der OfficeRouter hätte hingegen am WAN zB die 192.168.1.2 und am LAN/WLAN zB die 192.168.2.1

In deinem Bild sieht es so aus als wenn der WAN-Port des OfficeRouters im 3. Segment, also der 1, variieren würde. Dessen WAN-IP muss jedoch im LAN-Subnetz des Internetrouters liegen.



Hazling schrieb:
Wie sicher ist denn so eine Router Kaskade im Vergleich zu einem eigenen DSL Anschluss?
Zum Vergrößern anklicken....
Aus Sicht des OfficeRouters ist alles am WAN-Port gewissermaßen "das böse Internet", egal ob es Geräte im Netz des Internetrouters oder dahinter im www sind. Die Schutzwirkung ist demnach auch dieselbe, egal ob am WAN nun ein eigener DSL-Anschluß sitzt oder der Internetrouter.

Aber: Ich sage auch ganz klar, dass in einem Setup wo sich gleich mehrere Häuser die Internetverbindung und aktuell auch das gesamte Netzwerk teilen, alles andere als ideal ist. Sowas würde ich selbst in einer Familie niemals tun. Nicht nur, weil ich befürchten würde, dass aus dieser Richtung Probleme kommen, sondern auch weil man keine Kontrolle über das eigene Hausnetz hat und zB bei Anwendungen rund um SmartHome plötzlich die Heizungssteuerung der Nachbarn sieht, die Rolläden kontrollieren kann und und und - unabhängig davon ob das nu meine Schwester ist oder nicht.

Deswegen würde ich bei geteilten Internetanschlüssen immer eine Routerkaskade einsetzen (wobei ich dabei eher mit VLANs arbeiten würde).

Im Prinzip wäre das wie oben, nur dass eben jedes Haus seinen eigenen Router mit WAN-Port bekommt.

In etwa so:

Internetrouter
|
+----- Hausrouter 1 ----- Netzwerk 1
|
+----- Hausrouter 2 ----- Netzwerk 2
|
+----- Hausrouter 3 ----- Netzwerk 3


So hat jedes Haus sein eigenes Netzwerk, jeder kann seinen DHCP und das WLAN selbst verwalten und niemand kann beim Nachbarn die Heizung hochdrehen oder nachts um 3 das Licht einschalten...
 
  • Gefällt mir
Reaktionen: Skysnake, Hazling und Merle
Danke für die ausführliche Darstellung. Im Endeffekt hört sich 2 Häuser relativ dramatisch an, in der Praxis sind es hier aber nur meine Eltern in Haus 1, und meine family in Haus 2 :)

Was ich noch nicht ganz verstehe: Wenn mein Office Router im Netz des WAN Routers ist, wie bekomme ich dann die Office Rechner in ein eigenes subnetz? Ist die DHCP Verteilung des Office Routers dann in Segment 3 dann anders? Geht das so einfach?
Gruß purplehaze

Edit: Wenn ich es richtig versehene müsste ich dann in den Internet Einstellungen Static IP mit 192.168.1.x eingeben und in den Netzwerkeinstellungen 192.168.2.1 und DHCP aktivieren, korrekt?
 
Zuletzt bearbeitet:
Hazling schrieb:
Was ich noch nicht ganz verstehe: Wenn mein Office Router im Netz des WAN Routers ist, wie bekomme ich dann die Office Rechner in ein eigenes subnetz?
Zum Vergrößern anklicken....
Na so wie in #5 dargestellt. Sobald der OfficeRouter per WAN-Port an das Netzwerk des Internetrouters angeschlossen wird, trennt er sein eigenes LAN/WLAN vom Rest. Alle Office-Geräte werden also mit den LAN-Ports bzw dem WLAN des OfficeRouters verbunden.


Hazling schrieb:
Wenn ich es richtig versehene müsste ich dann in den Internet Einstellungen Static IP mit 192.168.1.x eingeben und in den Netzwerkeinstellungen 192.168.2.1 und DHCP aktivieren, korrekt?
Zum Vergrößern anklicken....
Ganz genau.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

B
Heimnetz mit einem Subnetz
Antworten
7
Aufrufe
6.290
Raijin
Raijin
J
RT-N56U hinter Fritzbox mit zweitem Subnetz. Wie?
Antworten
2
Aufrufe
1.851
JayHH
J
T
Subnetz mit Domäne über Router an Fritz.box
Antworten
10
Aufrufe
3.559
troNie
T
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz