2 LAN Ports am Mainboard: #1 nur für Internet, #2 nur für das lokale Netz?

[SkipOutLaw]

Hallo,

habe an meinem Mainboard zwei LAN Ports von denen bisher nur einer genutzt wurde. Und zwar ganz klassisch verbunden mit einer FritzBox für DSL und eben das lokale Heimnetz. Jetzt kann ich aber durch unmittelbare Nähe zum Arbeitsplatz und einer Glasfaserverbindung den betrieblichen FTTH Anschluss auch im Homeoffice nutzen. Nun würde ich den PC gerne so konfigurieren, dass im lokalen (privaten) Netz alles beim alten bleibt, aber einzig und allein der Internetzugang über den zweiten LAN Port und eben das betriebliche Netz erfolgt. Ist das irgendwie möglich? Zur Zeit aktiviere/deaktiviere die LAN Ports in der Systemsteuerung je nach Nutzung, das ist aber keine komfortable Lösung...

Vielen Dank!

 

[Biocid]

Ist ganz einfach.
Das Netz, welches am Internet ist, wird dein Netz mit default Gateway.
Dem zweiten Netz gibst du keinen default Gateway und trägst Routen entsprechend bei Windows ein.
Kommando dazu ist "IP Route..." über cmd.
Musst natürlich zwei getrennte Netz nehmen. z.B. Net A = 192.168.1.0/24 und Netz B = 192.168.2.0/24

Hab ich an einigen Rechner so im Einsatz. Klappt wunderbar.

 

[honky-tonk]

das stichwort lautet routen konfigurieren

 

[xxMuahdibxx]

@honky-tonk das Stichwort ist zu verstehen was der TE will ...

er hat 2 Internetanschlüsse ... will aber den "Geschäftlichen" PC mit Geschäfts Internet aber auch Lokalen LAN verbinden.

Lan Verbindung "Geschäftlich" so lassen.... dafür bei der "privaten" kein Standardgateway eintragen... und eine feste IP.

Routen musst eigentlich nicht eintragen... wenn die 2 Karte eine andere IP range hat wie die "geschäftliche" kommen die nicht ins gehege ... wichtig ist halt das der "private" Router die IP für den "geschäftlichen" PC nicht doppelt vergibt.

 

[Biocid]

Man sollte auf jeden Fall eine Route für das Private Netz eintragen, Theorie ist gut in der Praxis gab das schon öfter Probleme.

Trag also den default Gateway bei deinem Netz mit Internet ein und vergib eine Route für das private Netz auf den Adapter/Lan Port der dort hängt.

 

[Groug]

Zu allererst würde ich mal klären ob du das darfst. Bei uns gäbe es berechtigterweise was auf den Deckel.

 

[Biocid]

Klingt für mich als würde es sich um seinen privaten PC handeln. Aber er antwortet ja nicht.
Support damit zu Ende.

 

[SkipOutLaw]

Danke für die Antworten! Und um erstmal das Grundsätzliche abzuhaken: ja, ich darf den Zugang nutzen. Und in der Tat handelt es sich um meinen privaten PC, der (auch) am betrieblichen Netz hängt.

Habe mich jetzt erstmal in das Thema Routen konfigurieren eingelesen und werde mich morgen Abend konkret damit auseinandersetzen.

Dazu aber noch eine Frage: als Übergangslösung wurde mir (zunächst) eine alte FritzBox gestellt, weil mein Rechner sonst ohne Firewall direkt im Internet hängen würde. Dort ist der DHCP-Server aktiv. Und es wird wie bei einer Fritzbox üblich eine IP 192.168.178.xx / Subnetz 255.255.255.0 an meinen Rechner vergeben. Das macht die private FritzBox aber genauso wenn ich die LAN Ports wechsle. Muss ich hier die Netze erstmal trennen (z.B. 192.168.178.xx privat, 192.168.179.xx geschäftlich) wenn beide Ports gleichzeitig aktiv sind?

Ergänzung (16. Dezember 2020)

Ok, einfach mal versucht:

-keine Veränderungen bei der privaten FritzBox vorgenommen. DHCP ist aktiv, der PC bekommt eine 192.168.178.xx IP zugewiesen, Gateway = FritzBox IP 192.168.178.1
-Privaten LAN-Port deaktiviert
-Geschäftlichen LAN-Port aktiviert
-IP-Adresse der geschäftlichen FritzBox auf 192.168.179.1 geändert, DHCP weiterhin aktiv.
-Der PC bekommt eine IP 192.168.179.xx zugewiesen, Gateway = FritzBox IP 192.168.179.1
-Geschäftlichen LAN-Port deaktiviert
-Privaten LAN-Port aktiviert, alles läuft wie zu erwarten war normal.
-Geschäftlichen LAN-Port zusätzlich aktiviert
-Zugriff auf lokale/private Netzwerkgeräte weiterhin möglich
-Als Internetzugang wird aber tatsächlich der geschäftliche Zugang genutzt, hinsichtlich Speedtest eindeutig nachvollziehbar.

Jetzt läuft es zwar wie gewünscht, aber so wirklich glücklich bin ich nicht, da ich nicht nachvollziehen kann, was da jetzt tatsächlich passiert...

 

[xxMuahdibxx]

-IP-Adresse der geschäftlichen FritzBox auf 192.168.179.1 geändert, DHCP weiterhin aktiv.
-Der PC bekommt eine IP 192.168.179.xx zugewiesen, Gateway = FritzBox IP 192.168.179.1
-Zugriff auf lokale/private Netzwerkgeräte weiterhin möglich
-Als Internetzugang wird aber tatsächlich der geschäftliche Zugang genutzt, hinsichtlich Speedtest eindeutig nachvollziehbar.

Jetzt läuft es zwar wie gewünscht, aber so wirklich glücklich bin ich nicht, da ich nicht nachvollziehen kann, was da jetzt tatsächlich passiert...

aber genau so ist es doch richtig .... warum nicht glücklich wenn es richtig ist?

Es ist ja gerade wichtig das beide Adressen anders sind weil sonst der PC nicht weis über welche Leitung er raustelefonieren soll aka ins Internet darf.

Und natürlich kann dann auch nur dieser eine PC so in das Internet und nicht der Rest vom Haus.

 

[Raijin]

Hm... Ich möchte kein Spielverderber sein, aber muss das sein? Sowas ist ehrlich gesagt ein absolutes NoGo in der IT und wenn deine Firma das erlaubt, empfinde ich das als höchst bedenklich. Ich kann verstehen, wenn es in den Fingern juckt, wenn man die Möglichkeit hat, einen schnellen Zugang zu verwenden, aber muss das wirklich sein? Wie schnell ist dein eigener und wie schnell der Internetzugang der Firma?

Das Ding ist nämlich folgendes: Private Geräte im Firmennetzwerk sind eine der häufigsten Ursachen für infizierte Firmennetzwerke. Viren aus privaten Downloads, die sich auf den Server der Firma ausbreiten, etc. Sobald sowas festgestellt wird, hast du ganz schnell einen Termin im Büro des Chefs und eine Abmahnung ist nicht weit weg - und das nur, weil man vielleicht etwas zu "gierig" auf eine schnelle Verbindung war.

Natürlich musst du das selbst wissen, aber ich finde es schon erstaunlich, dass die IT das genehmigt. Für mich klingt das fast so als wenn der IT-Admin tendenziell ein Quereinsteiger und somit nicht vom Fach ist - leider viel zu weit verbreitet - weil ein Profi sowas niemals zulassen würde, ohne umfangreiche Maßnahmen zu ergreifen (zB separates VLAN, stark eingeschränkte Firewall, etc). Wobei es durchaus sein kann, dass das passiert ist, aber ausgehen würde ich davon erstmal nicht, weil ein Admin solche Risiken eher ausschließt, als sich überhaupt erst dagegen absichern zu müssen.

Überlege dir also gut ob es das Risiko wirklich wert ist. Auf den Aspekt, dass sämtlicher privater Internetverkehr, der nicht verschlüsselt ist, potentiell mitgelesen werden könnte, bin ich noch gar nicht eingegangen.....

 

[SkipOutLaw]

aber genau so ist es doch richtig .... warum nicht glücklich wenn es richtig ist?

Es ist ja gerade wichtig das beide Adressen anders sind weil sonst der PC nicht weis über welche Leitung er raustelefonieren soll aka ins Internet darf.

Und natürlich kann dann auch nur dieser eine PC so in das Internet und nicht der Rest vom Haus.

Aber woher weiß der PC, welches Gateway er nun nutzen soll? Habe diesbezüglich ja nichts vorgegeben und die ...178.1 und ...179.1 stehen gleichberechtigt zur Verfügung.

Und dann noch ein paar Worte zur hiesigen Situation: es handelt sich um einen Familienbetrieb, ich bin familiär verbandelt und habe den FTTH Anschluss (kleines Kaff...) auf den Weg gebracht. 8 feste IPs stehen zur Verfügung, nur 4 werden tatsächlich betrieblich benötigt und eine von den Zusätzlichen bekomme ich privat zugewiesen, vollkommen losgelöst und getrennt vom eigentlichen Firmennetzwerk. Auch wenn's der private PC ist, es wird oft genug noch was nach der Arbeit zu Hause erledigt und dann ist vor allem eins wichtig: der Upload.

 

[xxMuahdibxx]

du solltest ja auch beim "privaten" Port eine statische IP eintragen und das Gateway deaktivieren ... damit ist dem PC zu 100 % klar was er machen soll.

 

[Raijin]

Wenn beide LAN-Ports aktiv sind und bei beiden auch ein Standardgateway konfiguriert ist - sei es manuell oder via DHCP - dann ist es eine Frage der Metrik welche Verbindung für das Internet genutzt wird. Stellst du den privaten LAN-Port auf manuelle IP und lässt das Gateway dort leer, erübrigt sich die Metrik, weil es dann ja nur noch ein Gateway gibt, vom geschäftlichen LAN-Port.
Es ginge aber auch mit DHCP auf beiden LANs. Dazu muss man aber einige Dinge prüfen bzw. einstellen.

Mach mal bitte Folgendes:

Start --> cmd --> route print

Das erste Kommando zeigt die Routingtabelle. Dort müssten bei 2x LAN inkl. DHCP auch zwei Standardrouten zu sehen sein. Eine Standardroute erkennt man durch "0.0.0.0 0.0.0.0". In der vorletzten Spalte siehst du über welche Verbindung die Route genutzt wird und in der letzten Spalte steht die Metrik. Bei gleichwertigen Routen (die ersten 2 Spalten identisch) wird diejenige mit der niedrigsten Metrik genommen. Die Metrik generiert Windows automatisch. Um nun den geschäftlichen LAN-Port zu priorisieren, muss man in die Adaptereinstellungen gehen und dort die automatische Metrik manuell festlegen.

Dabei gilt: Firmen-LAN < PrivatLAN (zB 5 und 10)


Ein erneuter Check von route print sollte nun die 0.0.0.0er Route des Firmen-LANs mit niedrigerer Metrik zeigen und ein tracert 8.8.8.8 sollte zeigen, dass die Verbindung auch über die Firmen-Fritzbox geht.

Wenn du magst, kannst du die Metrik der Schnittstellen spaßeshalber mal umdrehen und erneut ein tracert ausführen und dann solltest du sehen können, dass es über die private Fritzbox geht. So kann man übrigens auch einen Umschalter bauen, wenn man die Metrik in einer Batch-Datei umstellt.

Und dann noch ein paar Worte zur hiesigen Situation

Wenn dem so ist wie du sagst, ist es ja ok. Man muss das aber trotzdem immer erwähnen, wenn eben diese Situation nicht bekannt ist, weil das wie angedeutet bis hin zu einer Abmahnung oder gar Kündigung führen kann, wenn über den Firmenanschluss private Dinge erledigt werden, die schlimmstenfalls Firmen- bzw. Kundendaten kompromittieren. Trifft das bei dir nicht zu, kein Problem.

 

[SkipOutLaw]

@xxMuahdibxx
Wäre wohl in der Tat die einfachste Lösung...

@Raijin
...aber da ich technisch interessiert bin, werde ich auch diese Möglichkeit probieren.

Besten Dank nochmal an alle! Werde aber wohl erst am Wochenende wieder am PC sitzen und geben dann nochmal Rückmeldung.

 

[SkipOutLaw]

Es hat mal wider länger als geplant gedauert, aber letztendlich hat das mit der Routingtabelle tatsächlich funktioniert Vielen Dank!

Nun denke ich allerdings doch noch über eine Neuplanung meines privaten Netzes nach. Aktuell hätte ich dabei noch Probleme hinsichtlich doppeltes NAT. Im Fall des Falles mache ich dazu aber einen neuen Thread auf...

 

[Crisq]

Vielleicht darf ich mich hier mal einklinken.

Hab auch 2 Ports am Mobo.
Einen 1Gb Port und einen 2,5Gb port.

Der erste soll internet bedienen. Der zweite hängt direkt am Nas für mehr brandbreite (cat7) verlegt.
Das klappt auch bereits. Nur weiß ich nicht wie ich das Routen unter MacOS einstelle?
Jemand eine Idee?

Wie funktioniert das in Windows?
Ich dachte einfach das Netzlaufwerk mit entsprechender IP zu verbinden würde reichen, aber die Frage ist, ob Windows auch direkt beide Netzwerke wenn verbunden durchsucht.

Das ist gerade das Problem bei MacOS, er priorisiert immer das 1gb netz zuerst und lässt die direkt verbindung außer acht, bis ich es kappe, dann nimmt er auch die 2.5gb ohne probleme.

 

[xxMuahdibxx]

Naja wenn man das NAS direkt drannhängt dann einfach andere IP ranges vergeben dafür ..

wenn z.b. Router 192.168.0.xxx hat das NAS auf 192.168.1.xxx laufen lassen ..

 

[meph!sto]

Und wenn man bei dem 2,5GBit/s Port einfach das Gateway weglässt und das NAS direkt per IP anspricht ?

 

[Raijin]

Auch MacOS arbeitet wie jeder andere Netzwerkteilnehmer auf dieser Erde mit Routing-Tabellen. Da unterscheidet sich ein Mac nicht von einem Linux- oder Windows-Gerät. Es ist nur eine Frage ob man auch verstanden hat wie mehrere Schnittstellen zu benutzen sind.

www
|
Router
| LAN (zB 192.168.1.1)
|
| LAN#1 (zB 192.168.1.23)
PC
| LAN#2 (zB 192.168.2.23) --- NAS (zB 192.168.2.34)

In dieser Konstellation sind LAN#1 und LAN#2 zwei eigenständige Netzwerke. Während LAN#1 alles enthält, was direkt am Router und etwaigen Switches, Access Points und Repeatern hängt, besteht LAN#2 nur aus zwei Teilnehmern, dem PC und dem NAS. Bei einem Client-Betriebssystem auf dem PC wäre das NAS in der Regel nicht aus LAN#1 aus erreichbar, weil ein Client-OS standardmäßig nicht routet.

Erstellt man am PC hingegen aus LAN#1 und LAN#2 eine Brücke, agieren sie wie ein Switch und das NAS wäre auch im LAN#1 erreichbar.

Aktiviert man stattdessen im Betriebssystem des PCs das IP Forwarding bzw. Routing, bleiben LAN#1 und LAN#2 separat, aber der PC kann zwischen ihnen vermitteln, wenn er eingeschaltet ist und das Routing in den Netzwerken ansonsten stimmt (Standardgateway und/oder statische Routen). Das kann mitunter etwas kompliziert werden, wenn man mit Routing nichts anfangen kann.


1) IP-Forwarding bei MacOS aktivieren
2) Am NAS die LAN#2 IP des PCs als Standardgateway eintragen (im Beispiel oben wäre das die 192.168.2.23)
3) Routing in LAN#1 für LAN#2 einstellen (192.168.2.0/24 via 192.168.1.23)
3a) Im Router als statische Route eintragen
oder
3b) In jedem Gerät, welches das NAS erreichen soll, von Hand eintragen
4) Etwaige Ausnahmen für Zugriffsbeschränkungen aufheben falls nötig
4a) In der Firewall des NAS die Bedienung aus 192.168.1.0/24 erlauben
oder
4b) Im PC NAT bzw. masquerade für LAN#2 konfigurieren