Zwei getrennte Netzwerke mit nur einem Router - was ist die beste Lösung?

[janer77]

Hallö,

ich schau ab und zu nach den grauen Kisten in einm Jugendhaus. Die haben einen DSL-Anschluss mit einem Standard-Router dran (Trendnet TEW-432BRP). Daran hängt ein Gb-LAN Switch sowie ein LAN-Drucker. An dem GbLAN Switch hängen 4 PCs dran, wovon einer als Daten-Server fungiert. Dort ist auf einer Partition einfach ein Ordner freigegeben, auf den alle PCs zugreifen können.

Nun hat die Stadt beschlossen, dass in das Gebäude noch eine Institutuon rein soll. Die müsste den selben Anschluss nutzen.

Die Frage ist nun: Wie trennt man die beiden Netzwerke am Besten auf, so dass kein unbefugter Zugriff auf das freigegebene Laufwerk möglich ist? Und zwar möglichst ohne dauernde Passwort-Eingabe...
Der "fremde" PC kommt per langem Kabel direkt an den Router dran, da der externe Switch voll ist. Aber das bringt ja nichts, denn der ist ja passiv. Oder gibt es da eine Möglichkeit?

Da ich nicht der große Netzwerker bin, suche ich da nach Vorschlägen. Danke schon mal!

 

[t-6]

Einen zweiten Router per WAN mit dem Switch oder dem anderen Router verbinden. PC in den zweiten Router stecken, läuft.

 

[Asinuss]

Subnetting, VLANs...

Ansonsten mit NTFS-Rechten arbeiten!

 

[copernix]

Da brauchst du einen Router oder Switch mit VLAN-Funktionalität.
Je ein VLAN für die jeweilige Einrichtung. Diese gehen dann über die gleichen Geräte/das gleiche Gerät, können aber nicht untereinander kommunizieren.

 

[noay11]

würde da auch mit NTFS arbeiten, geht am schnellsten und einfachsten

 

[puri]

Am besten mit zwei weiteren Routern, die in dem ersten Router stecken, die Netze sauber trennen. Alternativ alle Router weg und einen Softwarerouter wie IPfire auf einem alten PC. Dann mit drei Netzwerkkarten die Netze physikalisch trennen, da kannst Du nahezu 100% sicher sein, dass nichts passiert (habe ich selbst im Einsatz)

 

[Prototypp]

Wenn du einen VLAN fähigen Switch hast, dann konfigurier 2 VLAN's auf dem Router. Dadurch sind beide Netze komplett getrennt.

 

[janer77]

VLAN kann der Router bestimmt nicht. Ist ein billiges "Einsteiger"-Gerät.

Das mit dem zweiten Router verstehe ich nicht ganz: Ich kann mich doch nicht doppelt einwählen!? Es hätte nochmals den selben Trendnet Router zur Verfügung. Aber wie das gehen soll habe ich noch nicht verstanden.

Kann ich den WAN-Eingang des zweiten Routers einfach mit einer LAN-Buchse des Router Switches verbinden und fertig?

 

[puri]

Nein, der Router muss seine WAN-Buchse auf eine LAN-Buchse umleiten können (z.B.- Fritzbox) sonst verliert er ja seine Routerfunktionalität! Und wenn Du den Originalrouter weiter einwählen läßt und die beiden anderen Router (Internet per LAN) an den dransteckst, gibt es auch keine Komplikationen. Ich sage nicht, dass das die beste Lösung ist, aber die einfachste und trotzdem sichere.

 

[Kranky]

Du schließt das ganze folgendermaßen an:

DSL-Modem <===> Router 1 (mit DSL-Zugangsdaten)

Router 1 LAN-Port <===> Router 2 WAN-Port (im Router 2 statt DSL-Zugangsdaten einzugeben auf DHCP bzw. Dynamic IP umschalten, dadurch bekommt der Router 2 ohne Zugangsdaten eine IP vom Router 1 zugewiesen / Wichtig ist auch, dass Router 2 ein anderes IP-Netz bekommt, also wenn Router 1 192.168.2.0/24 nutzt, muss Router 2 ein beliebiges anderes Netz wie z.B. 192.168.3.0/24 nutzen)

Router 2 LAN-Port <===> GB-Switch

So können direkt an Router 1 angeschlossene PCs nicht mehr auf PCs hinter Router 2 zugreifen, außer es werden auf Router 2 Portweiterleitungen eingerichtet. Andersrum können "deine" PCs auf die an Router 1 angeschlossenen PCs zugreifen. Soll das nicht möglich sein, muss ein Router 3 an Router 1 angeschlossen und konfiguriert werden, wie Router 2.

EDIT: @puri
Das Umleiten auf einen LAN-Port muss beim Trendnet-Router nicht gemacht werden, da dieser kein integriertes DSL-Modem besitzt. Der WAN-Anschluss ist also ein normaler RJ45-Anschluss. Anders bei einer Fritzbox, dort ist ein DSL-Modem integriert und am WAN-Port wird direkt die DSL-Leitung angeschlossen. Möchte man an einer Fritzbox ein externes Modem (zB. Kabelmodem) nutzen, muss der WAN-Port auf einen der LAN-RJ45-Anschlüsse umgeschaltet werden.

 

[Markus83Muc]

Wenn die unterscheidung zwischen Modem und Router nicht klar ist, dürfte es recht schwer für dich werden dies auch einzurichten (Nicht böse gemeint).
Die sauberste Lösung wäre ein (Smart-)Managed Switch, bei dem du 2 VLANs (Virtuelle LANs) einrichtest. Wie bereits oben erwähnt.
Ganz umsonst bekommst du diese Lösung aber leider nicht.

Warum müssen die denn eigentlich den gleichen Anschluss nutzen? Es sollte doch eigentlich möglich sein, von der Telekom dort einen zweiten getrennten Anschluss zu bekommen. Das ist auch bezüglich der Abrechnung deutlich einfacher, bevor Kosten von a an b hin und her verrechnet werden.

 

[Kranky]

Ein Switch mit eingerichteten VLANs bringt aber nichts, solange beide VLANs am bestehenden Router wieder zusammengeschaltet werden Es wird also auch ein Router/Firewall benötigt, auf dem mehrere VLANs eingerichtet werden können oder der mehrere Ports hat, die nicht zu einem Switch gebündelt sind.

 

[janer77]

@kranky: merci! Das hört sich doch mal gut an. Danke für die Ausführlichkeit.

@Markus83Muc: Doch, die Unterschiede usw. sind mir schon klar. Aber zwischen Theorie und Anwendung besteht doch oft ein großer Unterschied.
Ob das mit dem Anschluss geht oder nicht weiß ich nicht. Aber die Vorgabe ist: Das läuft über den selben DSL Anschluss.

@alle: kann mir jemand eine Preissuchmaschine nennen, die VLAN bei Routern als Auswahlkriterium besitzt?

 

[species_0001]

mit einer Preissuchmaschine kann ich nicht dienen, aber mit einem Beispielgerät:
http://geizhals.de/529089

die Lösung von Kranky ist aber auch gut, habe ich so ähnlich auch schon gemacht und sowas funktioniert einwandfrei.

 

[janer77]

sowas wäre viel zu teuer. Kann mir nicht vorstellen, dass dies mehr als ca. 50 EUr kosten dürfte. Kann man also vergessen udn ich versuche die Version mit dem zweiten Router.

Komme da aber erst die nächsten Tage zu probieren. Trotzdem schon mal danke!

 

[shadow_one]

Nicht mehr als 50 €? Da muss ich dich enttäuschen.

Geräte die das machen, was du willst, kosten teilweise im vierstelligen Bereich. Ich habe an der Berufsschule einen CCNA Kurs und die Geräte (Router, Layer 3 Switch) die das können (Vlan, Inter Vlan Routing, ACL) kosten jeweils 1000 € aufwärts

Naja mir würde momentan keine günstige Variante einfallen. Natürlich könnte man bestimmt einen Linux PC mit mehreren Ethernet Karten haben. Aber habt ihr jemanden der sich so gut mit Linux auskennt, das er das einrichten und pflegen könnte?

Das Problem an der Sache ist: Wenn du Vlan aufteilst, können die Geräte nur in ihrem Vlan agieren, was heißt einer wird vom Internet ausgeschlossen, da nur die sich im Netz des DSL Routers befinden auch ins Inet können.
Bringst du die vlan wieder zusammen (beides würde jetzt mit einem Switch und billig Router via statischem Routing klappen), hast du zwar zwei Broadcastdomänen, aber die Netze können wieder aufeinander zugreifen. Jetzt müsstest du also über Access Control Lists Regeln erstellen. Das können meines Wissens aber nur teurere "professionelle" Geräte.

Lasse mich aber auch gerne eines besseren belehren.

 

[t-6]

da nur die sich im Netz des DSL Routers befinden auch ins Inet können.

Richtig. Zum Beispiel ein 2. Router, der als bspw. DHCP-Client per WAN-Buchse am 1. Router hängt und für die Geräte in 'seinem' LAN als Gateway fungiert und ansonsten alles von außen filtert.
BAM, zwei voneinander abgeschottete Netze. Kostenpunkt: 15~20 €, ggf. wird noch etwas (einfache) Konfig fällig.

Das mit dem zweiten Router verstehe ich nicht ganz: Ich kann mich doch nicht doppelt einwählen!?

Natürlich nicht, aber der zweite Router hängt als Client - wie ein PC - am Primärrouter dran und bekommt - wie die PCs am 1. Router - so Internetzugang.

Kann ich den WAN-Eingang des zweiten Routers einfach mit einer LAN-Buchse des Router Switches verbinden und fertig?

Sofern es sich beim WAN tatsächlich um WAN handelt und da nicht zufälligerweise ein DSL-Modem drin ist - grundsätzlich ja.

 

[shadow_one]

Ich habe noch mal kurz nachgedacht. Wäre es nicht möglich eine Hardwarefirewall zu kaufen mit 3 GB Lan Schnittstellen und dann Wan, Lan1 und Lan2 entsprechend zu filtern?

wäre meines erachtens die "günstigste Variante. Wird zwar vllt auch 200 € kosten, aber wenn eine Institution und Jugendhaus im Spiel sind, ist das ja was offizielles und wird auch viel mit Datenschutz etc zu tun haben. Da können die nicht sagen "ach ne mehr als 50 € darf das nicht kosten".

 

[puri]

Wenn Du so ein Teil so günstig kriegst, gerne. Wie gesagt, notalls tut es ein alter Pentium IV mit 1GB RAM (schon hoch gegriffen von der Leisung) und 40 GB HD mit 3 Netzwerkkarten. Den an den vorhandenen Router dran und die beiden Netze an die anderen Netzwerkkarten - läßt sich schön in deutscher Sprache konfigurieren und administrieren.

 

[Kranky]

Solltest du ein gewisses Budget zur Verfügung haben und Gebrauchtkauf auch in Frage kommt (weil Neupreise zu teuer sind), schau mal bei eBay nach einer gebrauchten Sonicwall TZ-150, TZ-170, TZ-180 oder als aktuelleres Modell TZ-100. Gebraucht gehen die teilweise für unter 50€ weg (man muss halt gerade Glück haben). Dann hast du eine Hardwarefirewall mit mindestens 3 Ports (je nach Modell): also LAN, WAN und DMZ (als 2. LAN). Da kannst du dann den Switch vom Jugendhaus an LAN, das DSL-Modem an WAN und die weitere Institution an DMZ hängen und Regeln definieren, wie zB LAN->WAN alles offen, DMZ->WAN alles offen, DMZ->LAN verboten, LAN->DMZ verboten.

Das wäre die zweitbeste aller Lösungen. Die beste ist immer noch ein zweites DSL-Anschluss, so dass beide Anschlüsse komplett getrennt sind und auch getrennt abgerechnet werden. An dritter Stelle kommt der Aufbau mit mehreren Routern (da ein zweites vorhanden ist, hat diese Lösung natürlich das beste Preis/Leistungsverhältnis ) und an letzter Stelle das Rumgepfusche mit den NTFS-Berechtigungen.