3Subnetze in einem DSL Anschluss voneinander trennen

[snap10]

Guten Abend,

folgendes:

1 DSL Anschluss auf dem bisher 2 Familien(A udn B) und ein Geschäft surfen (Familienbetrieb).
Es sind bisher alle Teilnehmer in einem Netz 192.168.1.0 /24 auf einem Speedport 504V an einer 16.000er DSL Leitung.

Da das Netzwerk in einem Haus, also bei Familie B, renoviert wird, wurde beschlossen ab jetzt alle Netze voneinander zu trennen.
Sprich:

Familie A: 192.168.2.0 /24
Familie B: 192.168.3.0 /24
Geschäft: 192.168.4.0 /24

Wie realisiere ich diese Lösung jetzt damit diese später sicher und stabil läuft?

Mein erster Gedanke war, das ich nach dem DSL-Modem einen Router mit integr. 4Port Switch(Handeslüblich) als Verteilernetz 192.168.0.0 /24 habe. An dieses werden dann jeweils 3 Router angeschlossen die auf der WAN Seite das 192.168.0.0 er Netz bekommen und auf LAN Seite ihr jeweiliges Netz.

Wenn ich dann dem Router im Verteilernetz nur eine statische Route ins Internet gebe und sonst nicht zwischen den Subnetzen route, müsste ich doch die Lösung haben oder täusche ich mich da?


Sprich:

Modem
|
Verteilerrouter
|____RouterFamilieA
|____RouterFamilieB
|____RouterGeschäft

Routingtabelle Verteilerrouter:
Ziel-LAN; Subnet; Gateway; Interface
ProviderIP 255.255.255.255 0.0.0.0 WAN
0.0.0.0 0.0.0.0 Provider-IP WAN

*ProviderIP = IP Adresse des Modems

Nur wissen ja nur alle ausgehenden Pakete wo sie hin sollen, aber wenn ein Rechner etwas vom Internet anfordert weiß der Router nicht in welches Netz er es Routen soll...
Wenn ich allerdings die Netze dann eintrage fängt die Kiste allerdings bestimmt an wieder zwischen den Netzen zu routen was ich ja vermeiden will.

Kann ich mit dieser billigen Konfiguration überhaupt auf einen grünen Zweig gelangen oder muss ich in diesem Fall auf erheblich teurere Router mit 4 Interfaces ausweichen um eine ordentliche und fachmännische Lösung zu haben?
Vielleicht sogar mit personal Firewalls arbeiten?

Lässt sich dort vielleicht auch mit Cisco Routern wie dem SR520 und seiner VLAN funktion etwas erreichen?


Mit freundlichen Grüßen
Snap10

 

[awo]

Hi,

kannst das so machen wie du das angedacht hast.

Du musst nur die switch ports des Verteilerrouters mit den wan ports der anderen Router verbinden und die wan Ports auf DHCP stellen.

Dann klappt das alles so wie du es dir vorstellst

Die WAN Ports der Familien Router bekommen dann eien IP-Adresse aus dem Bereich des Verteilerrouters.


Gruss

Alex

 

[Sebbi]

Nur wissen ja nur alle ausgehenden Pakete wo sie hin sollen, aber wenn ein Rechner etwas vom Internet anfordert weiß der Router nicht in welches Netz er es Routen soll...

nöööd negativ, dafür gibt es die Routingtabellen im Verteilerrouter

Beispiel

A macht nen Request an sein Standardgateway
Router A gibt den Request weiter an sein Standardgateway
Verteiler gibt des weiter in Inet
Antwort kommt
Verteiler gibt es an Router A, da es ja von dem kam
Router A gibt es an den, den den Request gemacht hat.

Im großen und ganzen lässt sich dein Vorhaben so verwirklichen, aber ganz ehrlich ... investier in einen richtigen Router, der die 3 intern trennen kann ... weniger fehleranfällig und auch weniger gerätelastig

 

[marcol1979]

Guter Verteiler-Router der VLAN und ACLs beherrscht sollte es sein.
Damit trennst alles voneinander und mit ACLs unterbindest die Kommunikation der 3 LANs.

 

[snap10]

Guter Verteiler-Router der VLAN und ACLs beherrscht sollte es sein.
Damit trennst alles voneinander und mit ACLs unterbindest die Kommunikation der 3 LANs.

Könnten sie mir vielleicht ein entsprechendes Gerät im Small Buisness Bereich vorschlagen?
Wäre ein Cisco SR520 für diese Aufgabe gerüstet?
Ich habe zwar schon Erfahrung mit dem Cisco IOS, allerdings habe ich noch nie mit ACL's gearbeitet
Wie würde denn eine Access List aussehen die mir alle 3 Subnetze voneinander trennt?
Theorethisch müsste ich dann in den ACL's auch definieren können, dass ich vielleicht nur den Netzwerkdrucker des Geschäfts für alle 3 Netze freigebe aber ansonsten jeglicher Kontakt unter ihnen denied wird, richtig?



Vielen Dank schonmal
Gruß Snap10

 

[marcol1979]

Wenn es so aussehen soll:

Verteilerrouter
|____RouterFamilieA
|____RouterFamilieB
|____RouterGeschäft

müsste es schon ein Router mit 4 Interfaces sein, 1x WAN für Internet, 3x für die restlichen LANs.
Das würde dann auch die 3 kleinen Router sparen, da braucht man dann nur 3 Switche.
Die ACLs würden im Router an den jeweiligen Interfaces definieret, bei Cisco entweder Standard oder Extended, wobei hier Standard ACLs reichen würden.
Beispiele für ACLs Bild2

 

[Aonas]

Sowas müsste eigentlich auch mit DDWRT/OpenWRT Router funktionieren

 

[snap10]

Ok vielen Dank nochmal=)
habe mich im laufe des Tages ein wenig in die Cisco ACL's eingelesen und ein wenig mit dem Pakettracer rumprobiert...

Und mir dabei dann folgende Config zusammengeschrieben

enable
configure terminal
hostname VerteilerR

int vlan 2
description Netz von Familie A
ip address 192.168.2.1 255.255.255.0
ip access-group 100 in
no shut
exit

int vlan 3
description Netz von Familie B
ip address 192.168.3.1 255.255.255.0
ip access-group 100 in
no shut
exit

int vlan 4
description Netz von Geschäft
ip address 192.168.4.1 255.255.255.0
ip access-group 100 in
no shut
exit

int fa 0/0/1
description Port fuer FamilieA Netz auf VLAN2
switchport access vlan 2
speed auto
no shutdown
exit

int fa 0/0/2
description Port fuer FamilieB Netz auf VLAN3
switchport access vlan 3
speed auto
no shutdown
exit

int fa 0/0/3
description Port fuer Geschaefts Netz auf VLAN4
switchport access vlan 4
speed auto
no shutdown
exit


ip dhcp excluded-address 192.168.2.0 192.168.2.10
ip dhcp excluded-address 192.168.2.251 192.168.2.254
ip dhcp excluded-address 192.168.3.0 192.168.3.10
ip dhcp excluded-address 192.168.3.251 192.168.3.254
ip dhcp excluded-address 192.168.4.0 192.168.4.10
ip dhcp excluded-address 192.168.4.251 192.168.4.254

ip dhcp pool vlan2
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
dns-server 192.168.2.1
exit


ip dhcp pool vlan3
network 192.168.3.0 255.255.255.0
default-router 192.168.3.1
dns-server 192.168.3.1
exit


ip dhcp pool vlan4
network 192.168.4.0 255.255.255.0
default-router 192.168.4.1
dns-server 192.168.4.1
exit



access-list 100 permit tcp 192.168.0.0 0.0.255.255 192.168.4.0 0.0.0.255 eq 9100
access-list 100 permit udp 192.168.0.0 0.0.255.255 192.168.4.0 0.0.0.255 eq 9100
access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 deny ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 100 deny ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 100 permit ip any any

Beim Port 9100 bin ich mir nicht wirklich sicher ob es der Port für Netzwerkdrucker ist. Aber das müsste ich halt dann versuchen. Denn der Netzwerkdrucker soll nach wie vor von allen Netzen aus erreichbar sein.
So wie die ACL's hier jetzt dastehen hat es mit dem Pakettracer zumindest mit Ping-Paketen funktioniert.

Habe mir die letzten Tage den Cisco SR520-ADSL-K9 als Gerät angeschaut und sehe diesen als Favoriten an. *KLICK*

Jetzt ist meine Frage ob dieser Router alles beherrscht was ich mir da so vorstelle?
Er besitzt 4Lan-Ports und ein ADSL-Modem über einen Rj11 Port laut meinen Informationen...
Da ich aber den bisherigen Speedport504v über Rj45 (DSL-Seitig) angebunden habe bin ich mir in diesem Punkt ein wenig unsicher, reicht es einfach wenn ich vom NTBA ein anderes Kabel verwende?

Dann wäre da noch die Sache bezüglich Natting usw. habe ich auf Cisco Geräten ebenfalls noch nie konfiguriert, habe mich aber vorhin auch ein wenig eingelesen, müsste ich denke ich hinbekommen, allerdings frage ich mich ob ich da in meinen ACL's noch etwas erweitern muss oder ob die Konfiguration von Natting mit ACL's überhaupt nichts zu tun hat.

 

[marcol1979]

Hab mir das ganze nochmal überlegt.
Das mit den VLANs wäre mit einem 4-Interface Router gar nicht mehr nötig da der Router allein über die LANs entscheiden kann.
Der Befehl "interface vlan" ist zu dem nicht das was du machen möchtest, das wäre nur "vlan"

Was wohl sinnvoller wäre wäre ein Router mit 2 Interfaces, 1x WAN für Internet und 1x LAN für die 3 LANs.
Dort würde man dann VLAN benötigen, die auch am angeschlossenen Switch nötig wären.
Der grosse Vorteil der Lösung wäre das du einen Geschäftsrechner auch in deiner Wohnung betreiben kannst der durch die VLANs isoliert ist.

Wäre interessant zu wissen wo du das ganze unterbringen willst, im Keller in einem 19" Schrank wäre wohl am sinnvollsten ?

Der Drucker ist vermutlich ein Netzwerkdrucker mit IP ?
Dann wäre es am einfachsten die Drucker IP in allen Netzwerken die Kommunikation zu erlauben, den restlichen IPs nicht.

 

[snap10]

Guten Abend die Herrn =)

also die Geräte sind jetzt soweit eingetroffen,

Die wahl fiel jetzt auf einen Cisco Secure Router 500Series
und zwar den SR520 ADSLoverPOTS K9

Dieser hat 4geswitchte FE Ports mit Vlan unterstützung und einen ADSLoverPOTS Port.

Jetzt habe ich allerdings die Frage, wie ich in obriger Konfiguration noch das DSL für den Provider T-Online einstelle, kann T-Online auch PPPoA oder nur PPPoE bzw. ich habe mit DSL eigentlich nur ganz wenig Erfahrung, da ich selber Breitband over Cable nutze.

In dem Zusammenhang WAN/ADSL Einrichtung stellt sich immer noch die Frage bezüglich NAT.

Habe jetzt alle VLAN's mal NAT inside zugewiesen allerdings hab eich noch keinen Überblick an welchen stellen ich beim Natting noch schrauben muss



Edit: btw. ich vergaß fast, wenn möglich wäre es auch noch nett wenn hier jemand kurz schreiben könnte wie ich in diesem Router die Firewall einstelle, bzw. was ich einzustellen habe. Oder habe ich mir mit meiner Access-Liste und permit ip any any schon ins eigene Bein geschossen?

Ich müsste doch eigentlich nur alle verschiedenen Protokolle abprüfen mit
ip inspect... oder sehe ich das unter einem zu einfachen Gesichtspunkt?

Gruß und gute Nacht Snap10

 

[Aonas]

Soweit ich weiß gibts in Deutschland nur ADSLoverISDN.. es ist also sehr gut möglich, dass die Cisco Modems nicht mit der Telekom Leitung funktionieren.

 

[snap10]

Heißt das dann, dass ich mit diesem Router so nichts anfangen kann?

Dann müsste ich ihn zurückschicken und die ISDN Variante dieses Routers nehmen richtig?


eine andere alternative wäre, den Router hinter einem Speedport zu betreiben und nur die 4 LAN Ports zu verwenden, liege ich da richtig?

 

[Sebbi]

Soweit ich weiß gibts in Deutschland nur ADSLoverISDN.. es ist also sehr gut möglich, dass die Cisco Modems nicht mit der Telekom Leitung funktionieren.

Da muss ich dich enttäuchen, das ist seit mitte letzen Jahres nicht mehr so. Die Telekom schaltet jetzt zusätzlich zum AnnexB auch AnnexJ (für IP Anschlüssen mit höheren Upstream) und auch über AnnexA wird nachgedacht.

Aber zu 99,5% ist noch AnnexB an den Anschlüssen vorhanden.

 

[Aonas]

@snap10: Du liegst richtig
@Sebbi: Das mit AnnexJ weiß ich, aber das ändert trotzdem nix daran, dass ein Annex A Modem snap10 nicht weiterhelfen wird.

 

[snap10]

Vielen Dank erstmal zu diesem Problem, habe noch versucht in den Konfigeinstellungen was zu finden dort kann ich aber lediglich zwischen AnnexA und AnnexL wählen. Gerät geht deshalb zurück, die ADSLoverISDN Variante des selben Gerätes ist schon bestellt.

Bleiben also immer noch die Fragen bzgl. Firewall und NAT Konfiguration (siehe oben) offen.