Entkopplung Firma und Privat

[derocco]

Szenario für einen Kollegen:

Server, Synoserver und diverse Clients in der Firma (Erdgeschoss)
Da steht das Kabelmodem und der Router, daran hängen diverse Switch und Acces points.

- RouterIP = 192.168.0.1 mit DHCP vergabe ab 192.168.0.50
- Accesspoints mit fixen IP 192.168.0.2 - 6
- Server 1: 192.168.0.10
- Server 2: 192.168.0.11

Passt soweit alles gut.

Nun sollen noch die 3 Eigentümer Wohnungen darüber angeschlossen werden.

Idee dazu: 192.168.0.7 - 9 verwenden für diese AP

Nun eigentlich würde ich das gerne so entkoppeln, dass dass da privat und Firma getrennt ist, aber je nach dem Zugriff möglich ist.
(1 Wohnung kann vollzugriff haben -> quasi work at home..., eine nur auf Synology (ginge auch über Webumweg) und eine muss nicht unbedingt da auf die Daten können)

Dazu könnte ich ja die AP's in den WOhnung als Router definieren zb dann au 192.168.1.X
-> habe ich mal getestet, da komme ich immer noch problemlos ins 192.168.0.X Netz rein.

Meine Idee wäre eigentlich das komplett zu entkoppeln und dann via VPN vom Privaten Netz ins Firmennetz zu gehen.

Da kenne ich mich aber etwas zuwenig aus.

Alle Router und AP laufen mit DDWRT.

Bei mir Zuhause habe ich eine VPN im DDWRT definiert und kann damit problemlos mit Handy etc im Intranet zugreifen.
Mir ist einfach nicht klar ob das mit dem VPN in dem Szenario Sinnvoll ist unn ob man da ohne Umweg durch das Internet mit Gigabit Speed zugreifen kann.

Der Vorteil am VPN sehe ich darin dass mein Kollege mit seinem Arbeitslaptop dann immer gleich arbeiten könnte egal ob er in seiner Wohnung ist oder im Hotel.

Ich könnte auf dem Laptop ja auch 2 VPN zugriffe definieren. Einen "Intern" und einen über DDNS....

Wie würdet ihr da vorgehen?

 

[Raijin]

Ein VLAN-Switch wäre eine Möglichkeit. Oder an zentraler Stelle einen richtigen Router hinstellen, der den Zugriff von einem Subnetz ins andere regelt.

 

[hpxw]

Eine Firewall.

 

[Xanta]

VLan

 

[derocco]

was versteht ihr unter richtigem router?

wie würde das mit dne VLAN aussehen im BSP?
Ich steig da nicht so durch...

 

[Twostone]

VLAN ist auch nichts anderes als eine virtuelle Entkopplung von Ports. Man kann auch mehrere (physische) switches aufbauen, die nicht untereinander, sondern nur mit dem Gateway verbunden sind - wobei bei dieser Variante der Gateway zwangsläufig über mehrere NICS die unterschiedlichen Subnetze aufspannen muß, was bei VLAN nicht zwangsläufig sein muß.

Persönlich bevorzuge ich die physische Entkopplung. Sicherheit durch räumliche Trennung der potentiellen Delinquenten von schützenswerten Einrichtungen bzw. Anlagen. Der Gateway ist leichter zu schützen als ein konventioneller (managed) switch.

 

[Raijin]

was versteht ihr unter richtigem router?

Ein richtiger Router eben. Das was du zu Hause an die Internetleitung hängst ist ein Modem-WLAN-Router, der ziemlich spezialisiert ist und für genau einen Zweck gebaut wurde: Ein Netzwerk mit dem Internet zu verbinden. Zwei Interfaces, eins intern (mit einem 4er Switch und einem WLAN-AP) und eins extern (WAN/Modem). Was damit nicht geht ist mehrere Netzwerke miteinander und gemeinsam mit dem Internet zu verbinden.

Ein reiner Router hat in der Regel mindestens 3 Interfaces und bietet deutlich mehr Möglichkeiten diese untereinander zu verbinden oder eben abzuschotten. Ubiquitis EdgeRouter oder auch die MikroTiks sind Beispiele für solche Router. Der Begriff verschwimmt allerdings auch mit Firewalls. pfSense käme zB auch in Frage.

Bei einem VLAN-Switch ordnest du die einzelnen Ports explizit einem VLAN zu, einem virtuellen LAN. So könntest du dann 3 VLANs erstellen, eines für Firma, Privat und eben gemeinsame Geräte (wie zB Internet-Router). Dann definiert man Regeln, dass man von VLAN1 (Firma) nicht in VLAN2 (Privat) darf und andersherum, aber dafür jeweils in VLAN3 (Internet).

Ein Router macht das von den Regeln her ähnlich, aber er trennt wie Twostone schon sagt physikalisch. Das heißt der Router (zB EdgeRouter Lite von Ubiquiti) hat 3+ separate Netzwerkschnittstellen, die untereinander keinerlei Verbindung haben - es sei denn man routet zwischen den Schnittstellen hin und her.

Man sollte jedoch schon etwas Erfahrung mitbringen, wenn man sich mit solchen Dingen beschäftigt. Ein schlecht eingerichteter Router oder Switch, kann Nerven kosten, wenn zB einzelne Geräte eben doch die Grenzen überschreiten dürfen (zB ein NAS)

 

[lakekeman]

Bei einem VLAN-Switch ordnest du die einzelnen Ports explizit einem VLAN zu, einem virtuellen LAN. So könntest du dann 3 VLANs erstellen, eines für Firma, Privat und eben gemeinsame Geräte (wie zB Internet-Router). Dann definiert man Regeln, dass man von VLAN1 (Firma) nicht in VLAN2 (Privat) darf und andersherum, aber dafür jeweils in VLAN3 (Internet).

Was du hier beschreibst, ist ein Switch der das Routing macht (L3). Das hat nichts mit VLAN zu tun. VLANs trennen Netze. Sie verbinden sie nicht.

Da der TE allerdings DDWRT einsetzt, ist die Chance hoch dass er bei seinem Router und APs VLANs auf den Interfaces konfigurieren kann.
Insofern wird nur noch ein simpler smart managed Switch benötigt um das ganze auch an die Endgeräte zu bringen.

 

[Raijin]

Touché. Hast Recht, dann müsste der Switch routen..

 

[derocco]

Wir werdne ein sehr guten POE Rack switch einsetzten. Die VLan wären da kein Problem.

Allerdings sehe ich den Sinn in meinem BSP noch nicht ganz.

Sagen wir mal so:

Firma <---------> AP - Wohnung und dahinter hängen diverese PC / Tablet /TV etc.
Nun hat man in der Wohnung eine Virenschleuder / Surfnotebook aber auch einen PC um damit im Firmennetz zu arbeiten.
Mit VLAN Könnte ich ja jetzt den Firmenpc da zuordnen also dann müsste aber das auf dem accesspoint mit Wireless VLAN Machen?

 

[lakekeman]

Bei einem vernünftigen AP kannst du mehrere SSIDs in unterschiedlichen VLANs aufspannen.
So kannst du dann mobile Geräte trennen.
Ich denke bei DDWRT wird das auch gehen. Kann es aber nicht versprechen, setze ich nicht ein.