LAN im LAN? VLAN?

[R4Ve]

Hej @ all...

...hab da mal ne Frage: Wie kann ich ein LAN im LAN erzeugen? Sprich: Wir sitzen auf ner Baustelle im Container und bekommen durch den Auftragnehmer einen Netzwerkanschluss mit Internet... Nun möchte ich aber, dass sich lediglich ein Router?!?! an dem Netzwerk des Auftragnehmers befindet und das Internet anzapft und dahinter unser eigenes Netzwerk ist mit eigenen IP Adressen, etc. und vor allem von außen bzw. durch den Auftragnehmer nicht sichtbar. Haben hier halt auch unsere Laptops, unser NAS, etc.

Habt ihr gute Lösungsvorschläge???

Beste Grüße
R4VE

 

[SlipKn0T]

Normaler Router mit Wan Port.

 

[Cool Master]

https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen

 

[Yuuri]

Nicht Router?!?!, sondern Router!!!!!1111elfdrölf. Genau dafür ist er zuständig um von Netz A in B zu übersetzen.

 

[cs_reaper]

NAT muss aktiviert sein, denn habt ihr eine Trennung vom Netz.

 

[Olunixus]

Vergiss VLAN - kauf nen billigen (WLAN-)Router mit WAN-Port und gut ist. Wenn du sagst "auf Baustelle im Container" evtl. was mit externer/wechselbarer Antenne, die man aus dem Container rausführen kann. Dann ist (bei Bedarf) die WLAN-Abdeckung auf dem Gelände wohl besser, als wenn die WLAN-Antenne im Container ist.

 

[Autokiller677]

FritzBoxen (und die meisten anderen Router wohl auch) können das. Bei der FB stellst du unter Internet -> Zugangsdaten den Anbieter auf "Internet über LAN1", steckst das Netzwerkkabel in LAN1 und ab gehts. Dein Netz wird dann wie bei einem normalen Anschluss vom Router gekapselt.

 

[DiedMatrix]

Aber der Router routet das Netz doch, womit es nicht wirklich getrennt ist, oder nicht? Sprich wenn ich z.B. seinen IP-Adressbereich oder eine IP kenne, errreiche ich diese aus dem anderen Netz?!

 

[KillerCow]

Aber der Router routet das Netz doch, womit es nicht wirklich getrennt ist, oder nicht? Sprich wenn ich z.B. seinen IP-Adressbereich oder eine IP kenne, errreiche ich diese aus dem anderen Netz?!

Jain. Nimm einen handelsüblichen DSL Router und stöpsel das Kabel von deinem Auftragnehmer in den WAN Port vom Router (oder LAN1 oder welcher Port auch immer für nicht-DSL-Internetverbindungen gedacht ist) und konfigurier den so, dass er nicht per DSL, sondern per LAN ins Internet geht.

Damit sollte dann auch NAT aktiv sein und deine REchner hinter dem Router sind vom Auftragnehmer her nicht mehr direkt erreichbar.

 

[Raijin]

@DiedMatrix: Das ist exakt dasselbe wie DeinProvider --> DeinRouter --> DeinNetzwerk. Telekom, 1&1, UM und Co können auch nicht in dein Netzwerk schauen, weil die Internetleitung am WAN-Port deines Routers hängt. Ob das WAN-Kabel nu aus der Telefondose kommt, einem Modem oder einem übergeordneten Netzwerk ist dem Router prinzipiell egal was Firewall, NAT und Routing betrifft. WAN = extern, LAN = intern. Die Firewall/NAT trennt zwischen WAN und LAN.

 

[DiedMatrix]

Ah ok, danke!
Sprich das entscheidene ist eigentlich, dass am WAN Port automatisch Firewall und keine Route eingerichtet ist im Gegensatz zu den LAN Ports.

 

[Raijin]

Genau. Bei einem vorkonfigurierten WAN- bzw. NAT-Router ist standardmäßig immer eine Firewall am WAN-Port, die alles blockt was von WAN nach LAN will. Einzige Ausnahmen: Die konfigurierten Portweiterleitungen.

Nur dann, wenn man statt Consumer-Routern wie Fritzbox und Co, die explizit für ein WAN<->LAN Szenario ausgelegt sind, auf (semi)professionelle Router setzt wie zB MikroTik, EdgeRouter, etc. muss man das unter Umständen von Hand konfigurieren bzw. über einen Konfigurationswizard, o.ä. einrichten. Solche Router eigenen sind nämlich durchaus auch als reine LAN-Router, die nicht zwischen öffentlichem WAN und privatem LAN trennen, sondern eben auch mehrere private LANs ohne WAN miteinander verbinden können (zB Büro-/Labor-/Werkstatt-LAN).

Das trifft aber auf den TE nicht zu, daher tut es auch ein simpler TP-Link 08/15 Router ohne Modem für <20€. Kabel vom Kunden in den WAN-Port, eigene Geräte ans (W)LAN vom TP-Link, o.ä. - fertig. Das funktioniert in der Regel sogar schon out of the box. Wenn der Kunde zB 192.168.1.0 oder so als Subnetz verwendet, kann es allerdings sein, dass es Probleme gibt, wenn ab Werk am LAN dasselbe Subnetz eingestellt ist. Dann einfach im Browser die LAN-IP vom Router von 192.168.1.1 auf zB 192.168.123.1 ändern und ggfs die DHCP-Range entsprechend anpassen.

 

[R4Ve]

Ja geiel!!! Vielen Dank für eure Antworten... das ist ja doch einfacher als gedacht... hab schon an alle möglichen Geräte gedacht: Managed Switch, VPN Router, etc. ... dann koof ich noch ne FritzBox und häng die davor... muss nur noch im Router des AN konfiguriert werden, dass die Ports für VPN IPSec an unsere FB gehen... sonst kommen meine Kollegen ausm Büro ja nicht auf unser NAS

Beste Grüße
R4Ve