Geschäftliches und privates Netz voneinander trennen

[teehalm]

Hallo,

Folgende Situation liegt vor: In unserem Einfamilienhaus wohnt eine WG und es befindet sich zusätzlich das Büro des Vermieters darin. Aus sicherheitstechnischen Gründen soll es nun ein geschäftliches und ein "WG-Netzwerk" mit Internetzugang geben, welche strikt voneinander getrennt sind.

Der bis jetzt gelegte Internetanschluss läuft über Kabelanschluss und muss zwingend für das Geschäftliche beibehalten werden. Der Plan ist nun, einen weiteren DSL-Anschluss für die WG zu ordern.

Allerdings wird das jetzige geschäftliche Netzwerk über DLan verteilt, da der Router im Keller steht und es auch keine Möglichkeit gibt weitere Kabel im Haus zu verteilen.

Die Frage ist nun: Kann der 2. Router des zukünftigen DSL-Anschlusses über das gleiche DLan laufen, ohne dass die 2 Netzwerke miteinander kommunizieren können? Wie schaffe ich es, dass die jeweiligen Endgeräte durch den jeweiligen Router laufen?

Gibt es eventuell auch eine andere Lösung? Ich bin offen gegenüber anderen Lösungsvorschlägen.

 

[cartridge_case]

wieso dsl? einfach noch ein kabel-inet-vertrag zusätzlich ordern

und diesen zweiten vertrag einfach per wlan verteilen

 

[Kharne]

Es gibt 2 Lösungen:
- VLAN: Teuer, aufwendig, nur per Ethernet Kabel
- 2 Anschlüsse, 2 Router, 2 WLAN Netze, keine DLAN Adapter mehr

 

[teehalm]

Die entscheidende Frage ist, wie bekomme ich das WLAN Netzwerk in den obersten stock.

Ich hatte vergessen zu erwähnen, dass dort ein Accesspoint steht, der über DLan eingebunden ist. Die Sendeleistung reicht leider nicht vom Keller bis ganz oben.

Einen Repeater würde ich nur ungern einsetzen wollen.

 

[t-6]

*Kinnkratz*

Sollte über VLAN-fähige Switches machbar sein, denke ich. In etwa so:

DSL-Router-----------\                                                    /-------WG
                               Switch#1 ----DLAN ----- DLAN ----- Switch#2
Kabel-Router --------/                                                     \-------Geschäft

WG & DSL-Router bekommen VLAN 100
Kabel & Geschäft bekommen VLAN 50

DSL-Router geht an Switch#1 in einen mit VLAN 100 untagged Ports. Die "WG" geht an Switch#2 an dort mit VLAN 100 untagged Ports.

Kabel-Router geht an Switch#1 in einen mit VLAN 50 untagged Port. Das Geschäft an Switch#2 an einen oder mehrere VLAN50 untagged Ports.

Die Ports die Switch#1 & Switch#2 (über DLAN) miteinander verbinden, bekommen tagged alle beide VLANs.

 

[Sebbi]

ja es ist möglich, erfordert aber etwas mehr Hardware.

vor den jeweiligen DLAN Geräten des jeweiligen Netzwerkes müsste ein Netz Router stehen in dem die Routen zu den jeweiligen Router eingetragen sind.

Damit sollten die Netze getrennt sein, da er DSL und Kabelrouter keine Route in das jeweils andere Netz haben sollten und damit nicht wissen, wohin sie die Packete für das jeweils andere Netz schicken sollen.

Es ist aber nur eine Grundsicherheit! man kann es bei Kenntniss von den Addressen des anderen Netzwerkes durchaus umgehen. Aber dann kannst du bei den Netz Routern jeweils immer noch definieren, das die alle Pakete aus dem anderen Netzwerk verwerfen sollen.

@t-6

mit deinem Modell ist leider die Sicherheit nicht gegeben, weil VLAN hin oder her darauf sollte man gerade bei jüngeren Leuten, die Flausen um kopf haben, nicht so vertrauen, wenn dann nur so:

DSL-Router-----------\                                         /----Netzrouter---WG
                    Switch#1 ----DLAN ----- DLAN ----- Switch#2
Kabel-Router --------/                                         \----Netzrouter---Geschäft

 

[CPU-Bastler]

Neben Powerline (Murks wegen EMV) kann man auch über Laser-Richtfunk ahörsicher Daten übertragen. Eine Sichtverbindung vorausgesetzt.
Kostet allerdings etwas.

Ein weiteres Netzwerk über Powerline bedeutet Reduzierung der Geschwindigkeit für beide Nutzer. Die Geschwindigkeitsreduzierung kann bis zur Unbenutzbarkeit gehen. Powerline ist die schlechteste aller Verbindungsarten.

Funk: WLAN aufbauen mit 2,6 und 5 GHz-Netz. Das sollte reichen. Evtl. können Nachbarnetz stören.

Ich hatte mal den Fall in einem Neubaugebiet (EFH-Gegend) ging Abends kein Videostreaming über WLAN. WLAN-Netz völlig überlastet (Alle Kanäle, alle Frequenzen).

Geholfen hat hier der Einsatz eines Netzwerkkabels.

Es gibt flache Netzwerkkabel. Die kann man im Treppenhaus aufputz verlegen. Ein Eimer Farbe sorgt für das gute aussehen.

 

[t-6]

vor den jeweiligen DLAN Geräten des jeweiligen Netzwerkes müsste ein Netz Router stehen in dem die Routen zu den jeweiligen Router eingetragen sind.

Nö. Da die beiden Netze komplett getrennt werden sollen, tun es hier simple Layer2-Switches die zum jeweiligen Router durchVLANen.

Idealerweise sollte der Switch in der WG noch physisch und natürlich PW-gesichert werden. Je nachdem wie das Vetrauensverhältnis ist. Das sollte jetzt aber bei den DLAN-Adaptern nicht anders sein.

mit deinem Modell ist leider die Sicherheit nicht gegeben, wenn dann nur so:

Nein, wozu denn noch ein extra Router an der WG? Die haben doch ihren eigenen Router am DSL-Anschluss. Und wenn du eben per alle Access-Ports am Switch in der WG auf untagged VLAN50 setzt & am Switch wo der DSL-Router hängt ebenfalls - vice-versa beim Geschäfts-Netz mit VLAN100 - kannst du dich verbiegen wie du willst. Du kommst vom WG-Switch aus nicht ins Geschäfts-LAN*. Das läuft alles auf Layer2.

*außer du änderst die Konfig am Switch; daher den Switch sichern. Den DLAN-Adapter in der WG auch.

 

[teehalm]

Danke für die schnellen Antworten. Echt top.

Falls ich noch Fragen habe melde ich mich. Ich muss das jetzt erst einmal durchdenken

 

[Sebbi]

hatte oben noch was ergänzt. zu spät gesehen das du noch was geschrieben hattest

Nein, wozu denn noch ein extra Router an der WG?

Netztrennung! weil VLAN bietet nur eine Netzwerktrennung, aber ohne wirksamen Schutz gegenüber neugierigen Nasen bzw Scriptkiddys etc.
Selbst geschützte Switches sind leider vor denen nicht sicher! ( ja ich habe kein Vertrauen gegenüber anderen )
Darum lieber da den Normalen Switch behalten und das ganze sauber über eigenständige Router lösen, die eine Konfig von "außen" nicht zulassen.

 

[t-6]

Netztrennung! weil VLAN bietet nur eine Netzwerktrennung, aber ohne wirksamen Schutz gegenüber neugierigen Nasen bzw Scriptkiddys etc

Daher der Satz hier:

Idealerweise sollte der Switch in der WG noch physisch und natürlich PW-gesichert werden. Je nachdem wie das Vetrauensverhältnis ist. Das sollte jetzt aber bei den DLAN-Adaptern nicht anders sein.

Das ist mit einem Router in der WG auch nicht anders. Der Zugriff sollte abgesichert sein, sowohl natürlich logisch (Passwort) als auch physisch, damit keiner irgendwas zurücksetzen kann.

edit: VLAN ist hier genau richtig. Selbst wenn ein Kiddie den VLAN-Tag vom Geschäft rausbekommt, hilft ihm das nichts wenn er den bspw. in die Ethernetpakete von seinem PC injiziert (tagged) - der Switch zieht die direkt wieder raus oder verwirft die Pakete direkt, da der Port auf das WG-VLAN "gezwungen" (untagged) ist.

 

[Sebbi]

Das ist mit einem Router in der WG auch nicht anders. Der Zugriff sollte abgesichert sein, sowohl natürlich logisch (Passwort) als auch physisch, damit keiner irgendwas zurücksetzen kann.

der juckt dann nicht mehr weil selbst wenn die den knacken, aufs geschäftsnetz kommen die nicht wenn dieser alle anderen Pakete verwirft

 

[t-6]

Ist unnötiger Aufwand. Durch die VLANs kann ich ganz genau beeinflussen ob ein entfernter Switch-Port entweder am Kabelrouter oder am DSL-Router rausgeht, so als ob ich nur eine physische Verbindung zum jeweiligen Router/Netz hätte.

Zudem hätte ich am Geschäftsanschluss dann noch den Spaß mit Doppel-NAT.

 

[teehalm]

Wäre es auch möglich einfach 2 verschiedene dlan kits zu nehmen, die nicht miteinander kommunizieren können?

 

[t-6]

Wäre wohl auch möglich, wobei beide Paare sich wohl gegenseitig etwas Konkurrenz machten dürften. Könnte bemerkbar sein, oder auch nicht.
Nur beim Pairing aufpassen und im Nachhinein testen, dass die DLAN-Paare von WG & Geschäft wirklich getrennt sind.

 

[cartridge_case]

Einen Repeater würde ich nur ungern einsetzen wollen.

weil?! wieso so kompliziert, wenn es einfach gehen würde?

gibt es denn weitere kabelanschlüsse im haus?