Trennung von zwei lokalen Netzwerken

[r00t]

Einen wunderschönen guten Abend!

Ich weiß, der Titel ist etwas vaage formuliert, mir ist aber nichts passenderes eingefallen. Es geht um folgendes: Im Zuge von Renovierungsarbeiten habe ich beschlossen, mein Netzwerk (.. das momentan eigentlich eher ein zusammengeschusterter Kabelhaufen ist der die Bezeichnung "Netzwerk" kaum verdient, aber zumindest ganz passabel funktioniert.

Momentan geht von einem Modemrouter ein stinknormales Ethernetkabel an einen "dummen" Switch der von dort aus dann alle Clients versorgt, die wie folgt sind:

• Tower (Windows 7)
• Notebook (Debian 6)
• Netbook (FreeBSD)
• Playstation

Dazu kommen nun noch neu dazu:

• Network Attached Storage (Wahrscheinlich von QNAP, TS-412)
• Drucker (Canon Pixma MP520)

Der Punkt ist nun für mich, dass ich gewisse Ressourcen nur lokal freigeben möchte, dezidiert wären das das NAS und der Drucker, die Frage ist nur, wie löse ich das? Über den Router wäre das theoretisch lösbar, der soll aber in der Netzwerkplanung aussen vor gelassen werden und nur noch als "Internetzugang" dienen. Ich habe daran gedacht, eine Hardwarefirewall dazwischen zu schalten was aber doch ziemlicher Overkill wäre. Ein weiterer Gedanke wäre, mit VLANs zu arbeiten, was einen managed Switch erfordern würde (.. wobei das zugegebenermaßen ein nettes Spielzeug wäre. ).

Falls irgendjemand Ideen und Ratschläge hätte wäre ich sehr dankbar, es kann nämlich durchaus sein, dass ich wieder mal zu kompliziert denke. Danke im Voraus!

~r00t

 

[Weby]

Ich habe einen Netgear Router (WNDR3700) und habe die freie Software dd-wrt drauf laufen.
Du kannst damit VLANs erstellen und verwaltet....sehe ich bei deinem Einsatz perfekt und eine sehr günstige Lösung

 

[marcol1979]

Der Punkt ist nun für mich, dass ich gewisse Ressourcen nur lokal freigeben möchte, dezidiert wären das das NAS und der Drucker,

Wo ist das Problem ein LAN zu nutzen ?
Ohne Einstellungen im Router kommt niemand in das LAN.

Ergänzung (22. Januar 2012)

in weiterer Gedanke wäre, mit VLANs zu arbeiten, was einen managed Switch erfordern würde

Nicht nur der Switch, sondern bei 2 Netzwerken dann auch der Router!

 

[reklips]

naja , wenn du unbedingt Drucker und nas vom Internet abkoppeln möchtest geht das ganze am einfachsten über ein zweites IP-Netz.

gehen wir davon aus dass dein Netz 192.168.1.0 ist und die Maske 255.255.255.0 dann können nur Geräte aus diesem bereich auch deinen Router zum Zugang zum Internet nutzen.

Um von außen "unantastbar" zu werden würde ich Drucker und NAS ein anderes Netz geben, z.B. 10.13.37.0 mit Maske 255.255.255.0

Alle PCs die auf dieses Netz zugreifen sollen bekommen einfach eine zweite Adresse in diesem zugewiesen. Da der Router aus diesem bereich keine Adresse bekommt bist du vor eventuellen Lücken im Router gefeilt, da diese am ehesten die NAT-Funktion ausnutzen. Diese würde aber beim sehr unwahrscheinlichen erfolg nur im vom Router verwendeten bereich (in diesem Beispiel 192.168.1.0-192.168.1.255) Zugriff erlangen.

Aber zugeben das ganze ist recht paranoid Internetzugriff der geräte kannst du auch verhindern wenn du ihnen eine Feste Adresse einstellst und keine bzw. ein falsches gateway einstellst.

 

[r00t]

Danke euch für eure Antworten .. ich war mir ziemlich sicher, dass ich wieder einmal zu komplex gedacht habe, und auch dass meine Ideen ziemlich paranoid sind weiß ich, da steckt aber keinesfalls Paranoida dahinter sondern eher Interesse an komplexeren Szenarien.

Davon ausgehend dass ich jetzt, beispielsweise, dem Notebook die Adresse 192.168.1.21 gebe mit der Subnetzmaske 255.255.255.0 und das NAS mit 10.13.37.12 und selbiger Subnetzmaske versehe, dann ist es doch für das Notebook nicht erreichbar?

(Ich bitte um Entschuldigung, meine Netzwerktechnikkenntnisse sind marginalst. Ich arbeite aber daran!)

 

[Fr4g3r]

Ist richtig, dein PC wird das Gerät nicht erreichen können.
Anhand der IP-Konfiguration erkennt dein PC, dass die Ziel-IP nicht in seinem Netzwerk liegt und wird die Anfrage an sein Standard-Gateway senden. Diesem ist das Ziel auch nicht bekannt, somit wird das nichts.

Zum eigentlichen Problem: Ich verstehe nicht ganz was du genau erreichen willst.

Dein Router blockiert Zugriffe aus dem Internet die über nicht extra geöffnete Ports kommen. Stellst du die Geräte also nicht in die DMZ oder gibst Ports für die Geräte im Router frei, dann kommt da keiner von außen ran.

Gruß

 

[reklips]

ja richtig, aber du kannst deinem PC zwei IP-Adressen geben, dann allerdings nur fest.

Bei Windows gibst du in der IP-Konfiguration in der normalen Maske deine "internet-IP" ein und unter erweitert dann z.b. eine aus dem 10.13.37.0 bereich.

Bei linux/BSD musst du ein virtuelles interface erstellen v.b. eth0.1 und diesem dann eine Adresse aus 10.13.37.0 geben.

Das ganze hat natürlich ein paar nachteile in bezug auf die notebooks wenn du mal woanders bist, musst du die einstellungen ändern.


Einfachste und für die Grundparanoidität ausreichend ist den geräten die nicht online sollen einfach eine IP-Adresse aus dem normalen bereich fest zu konfigurieren und das gateway falsch oder nicht zu konfigurieren. wenn der drucker nicht weiss wo es zum internet geht reicht das ja.

 

[r00t]

Alles klar, das mit dem virtuellen Interface hatte ich nicht bedacht. Ich werd's mir mal durch den Kopf gehen lassen und die für mich praktikabelste Lösung wählen.

Danke allen Helfern!