Netzwerk trennen ABER IP-Adressen behalten

[OnaldUck]

Hallo zusammen,
"ich hätte gerne ein Problem" , bzw. ich bräuchte die Lösung oder nur einen Hinweis für das Rote X.

Frage: Ist es möglich ein IP-Netz so aufzutrennen, dass im Büro1 ein extra Router hingestellt werden kann ?

Es handelt sich um ein Stockwerk, die Anzahl der Rechner im Büro1 ist überschaubar, deshalb Reservierung/Statische IP_Adressen problemlos möglich.

Das Ziel: Büro1 will schnelleres Internet haben.
Die Nutzung ist bei uns recht sporadisch, und dann sind Seiten gesperrt oder funktionieren wegen DATEV-Proxy oder was auch immer sehr langsam. Büro2 bekommt demnächst neue SD-WAN und die wollen/müssen DATEV-Proxy nutzen.

Meine einzige Idee wäre - zwei VLANs und z.B. OpenWRT als VLAN Router. Geht das ?

Gruß,
OnaldUck

 

[chrigu]

"ich hätte gerne ein Problem"

schau in die welt, dort hat es noch eine handvoll probleme für lau.

frag die IT die cytrix und datev installiert haben.
und ja, man kann so viele router ins netzwerk bringen wie man will ... auch reiserouter mit lte/4g/5g, dabei musst du nur den standardgateway am pc ändern. aber ob dein vorhaben sinnvoll ist kann ich auf den ersten blick nicht sehen, da deine frage nicht wirklich klar ist.

 

[lordlaschi]

Wenn die Geräte in Büro 1 eh statische Adressen haben, dann kannst du denen einfach den gateway sagen über den sie ins Netz kommen (also die IP vom Router mit schnellem Internet der dann neu dazu kommt). Dazu muss der Router eine feste IP haben und DHCP ausgeschaltet haben, sonst kann alles so bleiben (wenn ich dein Problem richtig verstanden habe).

 

[TorenAltair]

Warum sollen die im gleichen Netz sein?

 

[kartoffelpü]

Quick & Dirty: Auf dem 2. Router einfach DHCP deaktivieren und den PCs in Büro 1 statische IPs und den 2. Router als Gateway eintragen.

 

[VDC]

Frage: Ist es möglich ein IP-Netz so aufzutrennen, dass im Büro1 ein extra Router hingestellt werden kann ?

Was habt ihr denn für einen Router da? Deine Zeichnung verstehe ich in jedem Fall nicht bzw. macht die so keinen Sinn mit allem durcheinander.
Und ganz wichtig: Welche Funktion hast du in der IT/Firma?

 

[OnaldUck]

...okay, ich denke es lässt sich mit OpenWRT und VLANs lösen.
Ich habe es halt noch nie gemacht und deswegen frage ich.

Die Cytrix/DATEV IT ? die, die Switche umkonfiguriert ohne oder mit Standardpasswörtern da gelassen hat ? Nein danke. Deswegen kommt jetzt ein neues Systemhaus und darf wieder spielen. Und ich will für die meine Leute schnelles Internet ohne DATEV Proxy und Zukunftssicherheit, wenn wieder neues Team mit neuer Hardware für Büro2 anrückt.

 

[VDC]

...okay, ich denke es lässt sich mit OpenWRT und VLANs lösen.

Nein, das ist nicht die Lösung. Die Lösung ist ein Router, der entweder anhand des Nutzers oder der IP das Paket hier oder da lang ins Internet oder zum Datev-Proxy jagt. Kann natürlich keine Fritzbox, aber was habt ihr denn vor Ort? Hört sich sehr abenteuerlich und gefährlich für Jobs an.

 

[OnaldUck]

Quick & Dirty: Auf dem 2. Router einfach DHCP deaktivieren und den PCs in Büro 1 statische IPs und den 2. Router als Gateway eintragen.

Das ist auch mein erster simpelster Gedanke.

Ich wollte zusätzlich sicherstellen, dass sich Büro2 besser/sicherer/getrennter füllt, wenn meine Leute ungesichert ins Netz gehen.

Bin Admin für Büro1 - Anwälte. Büro2 ist die Steuer, werden vom einen Systemhaus betreut.

 

[TorenAltair]

ungesichert ins Netz gehen

Anwälte

klingt schon aufgrund Datensicherheit abenteuerlich. Wenn Du selbst keine Ahnung hast, wie Du schreibst, lass das Fachleute machen.

 

[OnaldUck]

Nein, das ist nicht die Lösung. Die Lösung ist ein Router, der entweder anhand des Nutzers oder der IP das Paket hier oder da lang ins Internet oder zum Datev-Proxy jagt. Kann natürlich keine Fritzbox, aber was habt ihr denn vor Ort? Hört sich sehr abenteuerlich und gefährlich für Jobs an.

Ich weiß, die richtige Lösung wäre, Büro1 bekommt eigene IP-Adresse und ein Router dazwischen.

 

[VDC]

Bin Admin für Büro1 - Anwälte. Büro2 ist die Steuer, werden vom einen Systemhaus betreut.

Und die haben bei dem Konstrukt nicht jegliche Haftung von sich gewiesen und die Hände davon weg genommen? Wie können die die betreuen, wenn die Verwaltung von Usern, Drucken und Freigaben in eurem Büro liegt?

Also das ganze Konstrukt ist mehr als fahrlässig

Büro1 bekommt eigene IP-Adresse und ein Router dazwischen.

Es wäre gut, einfach alle Verbindungen zwischen beiden Büros zu kappen.

 

[Asghan]

Jedes Büro sauber ein eigenes Netz mit eigenem Internet.
Alles andere ist in dem Fall Murks.
Und KEINE Verbindung zwischen dene zwei Netzen.

 

[OnaldUck]

...okay, vielen Dank für die Antworten.

Leute, Leute... Ich bin der Admin und nicht der Bestimmer.
Es ist eine gemeinsame Kanzlei mit Anwälten und Steuerfachangestellten.
Das Konstrukt ist nicht Fahrlässig, sondern gewachsen und wird immer wieder an die Gegebenheiten angepasst. Zur Zeit gehen alle über den DATEV-Proxy also alles sicher.

Die Verbindung zwischen den Büros muss bestehen.

Wenn ich eigene Router/Internetzugang habe, dann kann ich natürlich meine Proxy-Lösung einbauen, die ich selbst pflege.
Ich will nicht wieder bei uns die IP-Adressen am DC, SQL, RA-Micro ändern. Deshalb habe ich einfach gefragt ob man ein IP-Netz auftrennen kann.

 

[obeyhoernchen]

Also eine saubere Lösung wäre eine Firewall die gleichzeitig routet. Ein IP-Subnetz für die Kanzlei, ein IP-Subnetz für die Steuer und ein IP-Subnetz für die Server. Dann eine DMZ mit eigenem Netz in das du den Datev Proxy und weitere Proxies steckst. Eventuell noch ein Netz für die Drucker oder die in die jeweiligen Client Netze packen. Das ganze dann sauber in der Firewall routen und die ACLs anpassen. Die Firewall könnte dann eventuell auch den SD-WAN Zugang machen. Die Verteilung der IP-Adressen in den Client Netzen sollte via DHCP erfolgen, dann wie du ja schon selbst bemerkt hast ist das eine Menge Arbeit das immer wieder manuell zu ändern. Wenn die Drucker im gleichen Netz sind könnte man denen via DHCP reserved immer eine statische IP-Adresse zuweisen. Bei Servern ein statische Zuweisung vornehmen oder auch via DHCP reserved. Wenn du Glück hast, sind die Clients von der Kanzlei im unteren Teil des Subnetzes und die vom Steuerbüro im oberen Bereich. Dann könnte man das Subnetz aufteilen. Sprich ein /24 Netz in zweimal /25 teilen. Trotzdem musst du dann die Gateways anpassen.

Wie du vielleicht bemerkst ist Netzwerkdesign nicht gerade simpel und sollte gut bedacht werden. Mein Tipp wäre sich mit den Admin vom anderen Büro zusammen zu setzen und eine vernünftige skalierbare Lösung auszudenken und sich dann einmal die Arbeit machen und an einem Wochenende alles umbauen. Notfalls holt man sich professionelle Hilfe durch eine Fachfirma falls einem das Know How fehlt. Oder man bucht einen Kurs wenn man sich das Wissen selber aneignen will. Eine Kombination ist natürlich auch möglich. Das ist keine Schande, sondern gut investiertes Geld.

Beste Grüße

Obi

 

[derlorenz]

Es heißt Citrix.
Cytrix tut mir echt weh. 🫠😅

 

[sh.]

Es heißt Citrix.

Er ist "Admin" er muss es ja wissen

 

[VDC]

Zur Zeit gehen alle über den DATEV-Proxy also alles sicher.

Ja? Und was ist mit dem USB Stick der in Büro 2 eingesteckt wird und der das selbstverwaltete Büro 1 eben plättet? Weil da kriegt ja niemand was mit, während in Büro 1 das Systemhaus schon alle Systeme wieder safe hat.

Leute, Leute... Ich bin der Admin und nicht der Bestimmer.

Dann sollte es dein größtes Interesse sein, dass das sauber ist. Und wenn man sich dabei Hilfe holt ist es nicht verkehrt, man muss nur am Konstrukt rütteln wollen und sich nicht immer wieder dem falschen oder vermeitlich leichten Weg beugen. Das Konstrukt wächst halt in immer abstrusere Ausmaße und irgendwann verliert man in dem ganzen den Überblick.

Ich will nicht wieder bei uns die IP-Adressen am DC, SQL, RA-Micro ändern.

Kannste ja auch nur an den Clients machen und den bestehenden Netzwerkbereich zum Servernetzwerk erklären.
Der Vorschlag von @obeyhoernchen ist schon die richtige Richtung.

 

[mblaster4711]

OpenWRT

Nö
Nimm opnSense oder PFSense kann wesentlich mehr. Da kannst mehrere LANs und mehrere WAN (Internet) dran klemmen. Und per Firewall Regeln kannst du konfigurieren wer (IP Adresse) wohin Verbindung hat und/oder über welche Verbindung es ins Internet geht.
Ebenso kann man auch Gateway-Gruppen (Internet) konfigurieren, dass bei Ausfall der primären Verbindung eine andere genutzt wird. Ebenso kannst du auch die Internetgeschwindigkeit je IP begrenzen usw usw

 

[cptlars]

Opnsense aufbauen und über regeln kannst du den Netzwerkverkehr regeln.
Dann können die Rechner aus Büro 1 über wan 1 rausgehen und Büro 2 über den datev proxy.
Ich würde evtl auch mehrere VLAN erstellen damit die Büros auch untereinander getrennt sind. Aber das musst du wissen