Accesspoint ohne Netzwerkzugriff

[PC FREAKY]

Hallo,

ich habe ein etwas komplizierteres Anliegen.

Der Netzwerk-Aufbau sieht wie folgt aus:

AMT
|
|
|
DSL ROUTER 1
________________________|
|........................................|
|........................................|
|........................................|
|........................................|
|........................................|
DSL Router 2 Internes Netzwerk 1
________________________|
|........................................|
|........................................|
|........................................|
|........................................|
|........................................|
DSL Router 3 Internets Netzwerk 2
|
|
Smartphones

DSL Router 1 ist unbekannt
DSL Router 2 & 3 sind D-LINK DIR 600 und werden nur als Access-Point genutzt.

1. Alle komponenten im Netzwerk benötigen Internet-Zugriff
2. Smartphones an DSL Router 3 dürfen keinen Zugriff in andere Teile des Netzes haben
3. Internes Netzwerk 2 muss Zugriff zueinander haben, aber keinen Zugriff zu Internes Netzwerk2


Ist das zu realisieren?

Viele Grüße,
Christian

 

[Darkscream]

Hä?

3. Internes netzwerk 2 muss zugriff zueinander haben, aber keinen zugriff zu internes netzwerk2

 

[Lawnmower]

Vielleicht ne Handskizze auf Papier machen, Foto mit dem Handy und hier reinstellen, sonst kapiert das keiner.
Ausserdem genau hinschreiben was für Hardware bisher vorhanden ist, wo wie eine Verbindung (LAN, WLAN, dLAN; am besten mit unterschiedlicher Farbe) von wo nach wo besteht und wieviel Budget für das Ganze vorhanden ist.

Generell: Netzwerke segmentieren macht man am besten mit VLANs.

 

[PC FREAKY]

hier eine Liste der Abkürzungen:

IN = Internes Netzwerk
NB = Notebook
SP = Smartphone
Rest versteht sich von selbst

Im Prinzip darf hier nicht auf eine Ebene weiter oben zugegriffen werden können.
Das heißt, Wer an Router 3 angeschlossen ist, darf nicht auf Geräte von Router 2 bzw. auf das IN2 zugreifen können.

Wie ist das am einfachsten zu realisieren?

Falls so etwas in Frage kommt:
ich könnte mir auch so eine Netzwerkkarte in meinen PC einbauen:
http://www.ebay.de/itm/HP-Compaq-Ne...91?pt=LH_DefaultDomain_77&hash=item5d2f101e37

Meine Vorstellung:
Die Verbindung zu Router 1 an einen PC anschließen (Standard LAN Anschluss)
Dann Für Netzwerk 2 (Router2) und Netzwerk 3 (Router 3) jeweils einen LAN Ausgang nutzen.

Was für (gratis) Software gibt es hierfür?

Wichtig hierbei:
Die Endgeräte müssen ohne spezielle Einstellungen klarkommen, diese müssen sich per DHCP verbinden!



Viele Grüße,
PC FREAKY

 

[Raijin]

Schließ alle Router mit ihrem WAN-Port an den Internetrouter an. Am WAN die IP auf dynamisch stellen. Dann können die Geräte zwar aufs Internet zugreifen, aber nicht auf die Geräte hinter den anderen Routern - es sei denn dieser Router hat explizit eine Portweiterleitung für jenes Gerät. Wenn du auf den Internetrouter keinen Zugriff hast und nur ein Kabel aus der Wand kommt, kannst du daran einen Switch anschließen und dort die WAN-Ports der Router2+3.

Wenn du Router nur kaskadierst, also Router1 -> Router2 -> Router3, dann haben die Geräte hinter Router3 prinzipiell auch Zugriff auf die Geräte an Router2. Dazu bräuchtest du dann entsprechende Firewallregeln, die nur die IP des Router2 erlauben und den Rest des Subnetzes blocken. Mit einem 08/15 Router wird das nix.

 

[PC FREAKY]

Jetzt habe ich ein wenig den Überblick verloren.

Erst schreibst du mit WAN geht es, dann schreibst du später es geht doch nicht.

Kurze Erweiterung der Einleitung:
Das ganze ist ein kleines Projekt für eine Woche.
Dabei ist Router 1 ein Router einer privaten Familie.
Diese stellt uns ihr Internet für eine wohltätige Veranstaltung zur Verfügung.
Im Netz IN2 läuft eine kleine "Eintrittssoftware" über PHP/MYSQL.
An Router 3 sind dann weitere Organisatoren angeschlossen, die aber nicht unbedingt auf IN2 zugreifen sollten.
Es sind also keine "IT-Nerds" im Netz die da versuchen über irgend einen Weg durch zu kommen

Daher die Trennung.

Wenn ich das jetzt richig verstanden habe:
ich klemme den Router2 (D-LINK DIR600) mit dem WAN Port an einen LAN Port von Router 1.
Alles was nun an Router 2 angeschlossen wird, hat keinen Zugriff auf das IN1?

Das wäre eine sehr einfache Lösung wenn es funktioniert.

Viele Grüße,
PC FREAKY

Ergänzung (18. Juli 2015)

Natürlich kann ich Router 2 und auch Router 3 direkt mit ihren WAN Anschlüssen an LAN Anschlüsse von Router 1 (bzw. Switch) anschließen

 

[Raijin]

Der Unterschied ist Parallel- bzw Reihenschaltung. Aktuell hängst du allr Router hintereinander in Reihe. So verstehe ich zumindest deine Skizze.

Das heißt, das ein Ping vom Smartphone an eine IP an Router2 per Standardgateway an Router3 geht und dieser den Ping inkl NAT an das Gerät im Router2LAN schickt - Router3 ist ja auch im LAN von Router2! Das Gerät in Router2LAN antwortet an Router3 und der schickt das weiter an das Smartphone. Das wäre die Reihenschaltung.

Parallelschaltung wäre so wie im ersten Teil meines Beitrags vorgeschlagen.

Router1(LAN-Port) --- optional Switch --- (WAN-Ports) R2+R3

Dann kann das Smartphone an R3 maximal R2 erreichen, aber nicht das LAN hinter R2.

 

[Lawnmower]

Das wäre, soweit ich das richtig verstanden habe, alles einfacher wenn das Netzwerk mit Segmentierung (VLANs) eingesetzt werden würde (dann brauchts diese Router Kaskaden gar nicht erst); dazu bräuchte es natürlich entsprechende Switchs was aber schon z.B. mit den günstigen Netgear Smart Managed (ab 5 Ports, lüfterlos) möglich ist. Im Netz2 müsste dann noch ein Router/Firewall (am WAN Port kommt das Kabel fürs Internet das von der Familie kommt) der dann auch die DHCP- und DNS-Server Rollen für beide Netze übernimmt (hier würde sich dann z.B. eine virtuelle pfSense Firewall anbieten da ein Home Router dafür ungeeignet wäre).
Für den Aufbau und die Konfiguration benötigt man dann natürlich entsprechendes KnowHow.

 

[NASundNetzwerk]

Sollte gehen, ja. Wie schon erwähnt, der erste Router arbeitet quasi als dein "Kleiner ISP". Beim ersten Router dürfte es kein Problem geben, beim Router 3 (also dem letzten) müsste es eigentlich auch klappen.

Falls die D-Link Router das nicht von Haus aus können, würde ich dir DD-WRT als alternatives Betriebssystem empfehlen (http://www.dd-wrt.com/site/support/router-database)

Wie Lawnmower schon erwähnt hat, eine Alternative wären VLANs. Die sind zwar etwas komplexer aufzusetzen, aber du bist damit flexibler und sparst dir diese fehleranfälligen Routerkaskaden. Geht auch mit DD-WRT: http://www.dd-wrt.com/wiki/index.ph...rate_Networks_With_Internet)#New_Instructions