Zwei getrennte Netzwerke möglich?
- Ersteller udek
- Erstellt am
@Raijin Dann braucht man aber auch die Möglichkeit die LAN-Schnittstellen einzeln zu konfigurieren. Oftmals fungieren die nämlich einfach nur als Switch, wenn man nicht z.B. eine FritzBox hat und dort den Gastzugang einrichtet.
@sikarr Der TE hat aber schon 2x geantwortet und die Info nicht erbracht, es ist also OK einfach weiter zu fragen. Oder er will sich nicht helfen lassen.
@sikarr Der TE hat aber schon 2x geantwortet und die Info nicht erbracht, es ist also OK einfach weiter zu fragen. Oder er will sich nicht helfen lassen.
Olunixus
Commodore
- Registriert
- Dez. 2009
- Beiträge
- 4.767
Ich werfe mal das Stichwort Routerkaskade in den Raum.
An den Modemrouter werden 2 Router (einer für A, einer für B) mit ihrer WAN-Schnittstelle angeschlossen. Und hinter jeden Router dann die Geräte der jeweiligen Netze. Dafür reichen 2 billige 20€-Teile. Jeder Router macht sein eigenes NAT und die Netze sind voneinander getrennt. Wenn eine Portfreigabe benötigt wird, muss diese halt im Modemrouter und jeweiligen "Netzwerk"-A/B-Router eingetragen werden.
Der TE hat weder Stress mit VLAN noch muss er irgendwas konfigurieren damit das grundlegen erstmal läuft.
An den Modemrouter werden 2 Router (einer für A, einer für B) mit ihrer WAN-Schnittstelle angeschlossen. Und hinter jeden Router dann die Geräte der jeweiligen Netze. Dafür reichen 2 billige 20€-Teile. Jeder Router macht sein eigenes NAT und die Netze sind voneinander getrennt. Wenn eine Portfreigabe benötigt wird, muss diese halt im Modemrouter und jeweiligen "Netzwerk"-A/B-Router eingetragen werden.
Der TE hat weder Stress mit VLAN noch muss er irgendwas konfigurieren damit das grundlegen erstmal läuft.
Olunixus
Commodore
- Registriert
- Dez. 2009
- Beiträge
- 4.767
Dann definiere bei der FB7590 den LAN4 als Gast-Port und hänge da alles von B dran. Du hast dann halt kein richtiges "Gast-WLAN" mehr (wird glaube ich auch mit LAN4 verbunden), weil du den Gastzugang ja für Netz B missbrauchst. Deine A Geräte dann "ganz normal" mit der FB7590 verbinden
Tom_Callaghan
Lt. Commander
- Registriert
- Aug. 2011
- Beiträge
- 1.318
Würde dann der Modemrouter nicht trotzdem Netz A nach Netz B routen?Olunixus schrieb:
Olunixus
Commodore
- Registriert
- Dez. 2009
- Beiträge
- 4.767
Nochmal zur Routerkaskade:
https://www.heise.de/ct/artikel/Router-Kaskaden-1825801.html
Die Firewalls der Router A und B blockieren ja jeweils den Zugang von außen.
https://www.heise.de/ct/artikel/Router-Kaskaden-1825801.html
Die Firewalls der Router A und B blockieren ja jeweils den Zugang von außen.
Vielleicht hilft Dir der im folgenden verlinkte Artikel weiter.
Dieser betrachtet, mit ein paar mehr Worten, die Aufteilung von einem Netzwerk in zwei getrennte Bereiche. Die konkreten Lösungen wie "Gastnetzwerk" oder "Routerkaskade" sind in dem Thread schon gefallen.
https://www.dasheimnetzwerk.de/03-2018/Netzwerk-sicher-durch-Bereiche.html
Dieser betrachtet, mit ein paar mehr Worten, die Aufteilung von einem Netzwerk in zwei getrennte Bereiche. Die konkreten Lösungen wie "Gastnetzwerk" oder "Routerkaskade" sind in dem Thread schon gefallen.
https://www.dasheimnetzwerk.de/03-2018/Netzwerk-sicher-durch-Bereiche.html
Raijin
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 18.285
Und damit hast du dann was vor? Ein Gast-(W)LAN definiert sich dadurch, dass dieses Netzwerk ausschließlich Zugang zum Internet hat und nicht ins Haupt-(W)LAN. Dein NAS bzw. der VPN-Server würde also mehr oder weniger im Gastnetzwerk eingesperrt sein, denn das ist die Aufgabe des Gastnetzwerks. Es kann sein, dass die Fritzbox Möglichkeiten bietet, die Firewall zwischen Haupt- und Gastnetzwerk aufzuweichen und evtl. auch Portweiterleitungen einzurichten, aber das widerspricht dem Sinn und Zweck eines Gastnetzwerks.
Da jetzt auch noch NAS und VPN ins Spiel kommen, wäre es vielleicht mal an der Zeit, dass du uns verrätst was du eigentlich vorhast! Was ist deine Absicht, was willst, was willst du nicht? Was soll in das separierte Netzwerk ausgelagert werden und warum?
Da jetzt auch noch NAS und VPN ins Spiel kommen, wäre es vielleicht mal an der Zeit, dass du uns verrätst was du eigentlich vorhast! Was ist deine Absicht, was willst, was willst du nicht? Was soll in das separierte Netzwerk ausgelagert werden und warum?
Raijin
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 18.285
Ok, jetzt kommen wir der Sache näher. Dann würde ich an deiner Stelle
a)
Einen Netzwerk-Router einsetzen, der mehrere Netzwerke verwalten kann. Das könnte ein EdgeRouter-X sein, ein MikroTik oder auch eine Appliance mit pfSense, OPNsense oder Sophos. Das sind Hardware-Firewalls bzw. entsprechende Betriebssysteme, die explizit dafür konzipiert sind, Netzwerke zu verwalten bzw. durch Firewall-Regeln den Zugriff untereinander zu reglementieren oder gar vollständig zu blocken.
Vorteil: (Semi)Professionelles Setup, das genau für solche Zwecke gedacht ist.
Nachteil: Es wird KnowHow benötigt, um das einzurichten. Unterstützung durch einen Fachmann ist anzuraten.
b)
Wie @Olunixus vorgeschlagen hat insgesamt 3 Router einsetzen. Einer ist ausschließlich für die Internetverbindung verantwortlich. An diesem Internetrouter sind die beiden anderen Router jeweils mit ihrem WAN-Port verbunden. Es sind keine weiteren Geräte am Internetrouter angeschlossen, abgesehen evtl. von einem geteilten Netzwerkdrucker.
Die beiden anderen Router werden jeweils in ein Büro gestellt und bauen ihr eigenes Netzwerk auf. Der Zugriff auf das jeweils andere Netzwerk ist durch die WAN-Firewall des Routers gegenüber geblockt. Für jeden Router ist nämlich alles was am WAN-Port hängt "das Internet" und wird somit out-of-the-box eingehend blockiert.
Vorteil: Einfach einzurichten. Internetrouter installieren, LAN-Kabel von dessen Switch in den WAN-Port von Router2 bzw Router3.
Nachteil: DIY-Setup mit wenig Spielraum. Keine Möglichkeit der Anpassung, durch doppeltes NAT aufwendigere Portweiterleitungen (1. im Internetrouter auf RouterX und dann in RouterX nochmal auf das jeweilige Gerät, zB das NAS).
Wenn du keine Erfahrung hast - was ich jetzt mal annehme - und du dir keine professionelle Hilfe holen willst, ist Variante b die einfachere Lösung.
a)
Einen Netzwerk-Router einsetzen, der mehrere Netzwerke verwalten kann. Das könnte ein EdgeRouter-X sein, ein MikroTik oder auch eine Appliance mit pfSense, OPNsense oder Sophos. Das sind Hardware-Firewalls bzw. entsprechende Betriebssysteme, die explizit dafür konzipiert sind, Netzwerke zu verwalten bzw. durch Firewall-Regeln den Zugriff untereinander zu reglementieren oder gar vollständig zu blocken.
Vorteil: (Semi)Professionelles Setup, das genau für solche Zwecke gedacht ist.
Nachteil: Es wird KnowHow benötigt, um das einzurichten. Unterstützung durch einen Fachmann ist anzuraten.
b)
Wie @Olunixus vorgeschlagen hat insgesamt 3 Router einsetzen. Einer ist ausschließlich für die Internetverbindung verantwortlich. An diesem Internetrouter sind die beiden anderen Router jeweils mit ihrem WAN-Port verbunden. Es sind keine weiteren Geräte am Internetrouter angeschlossen, abgesehen evtl. von einem geteilten Netzwerkdrucker.
Die beiden anderen Router werden jeweils in ein Büro gestellt und bauen ihr eigenes Netzwerk auf. Der Zugriff auf das jeweils andere Netzwerk ist durch die WAN-Firewall des Routers gegenüber geblockt. Für jeden Router ist nämlich alles was am WAN-Port hängt "das Internet" und wird somit out-of-the-box eingehend blockiert.
Vorteil: Einfach einzurichten. Internetrouter installieren, LAN-Kabel von dessen Switch in den WAN-Port von Router2 bzw Router3.
Nachteil: DIY-Setup mit wenig Spielraum. Keine Möglichkeit der Anpassung, durch doppeltes NAT aufwendigere Portweiterleitungen (1. im Internetrouter auf RouterX und dann in RouterX nochmal auf das jeweilige Gerät, zB das NAS).
Wenn du keine Erfahrung hast - was ich jetzt mal annehme - und du dir keine professionelle Hilfe holen willst, ist Variante b die einfachere Lösung.
Olunixus
Commodore
- Registriert
- Dez. 2009
- Beiträge
- 4.767
Die Anmerkung von @Raijin bzgl. geteilter Netzwerkdrucker ist btw. ein gutes Stichwort. Der wäre dann direkt via IP-Adresse aus A und B erreichbar.
Je nachdem wie Sicherheitskritisch die Sachen sind, die man da ausdruckt sollte man den Drucker u. U. aber doch nicht teilen - wobei ich mir in so einem Fall dann auch keinen Untermieter ins Haus holen würde.
Der Untermieter kann seinen eigenen Router mitbringen (musst du ja nicht kaufen). Wenn du deine Sachen hinter deinen Router packst bist du ja erstmal Save - ob er seine Geräte dir gegenüber exponieren will, muss er dann selber wissen ;-)
Als Internetrouter kommt dann auch eine günstige Fritzbox in Frage. Vorteil wäre hier, dass das reguläre Gast-WLAN noch nutzbar ist, falls man mal Clienten da hat, die ihre Mails checken wollen oder so... Da müssen sich die Clienten von A und B das Gastnetzwerk teilen, aber da kann man ja einstellen, dass die Gäste untereinander nicht kommunizieren dürfen.
Portfreigaben für den Server in B musst du für den Untermieter dann in der FB eintragen - sollte ja aber nicht so häufig vorkommen. Bzgl. Ports müsst ihr euch halt absprechen, weil ihr von außen kommend die Ports ja nicht doppelt belegen könnt.
Je nachdem wie Sicherheitskritisch die Sachen sind, die man da ausdruckt sollte man den Drucker u. U. aber doch nicht teilen - wobei ich mir in so einem Fall dann auch keinen Untermieter ins Haus holen würde.
Der Untermieter kann seinen eigenen Router mitbringen (musst du ja nicht kaufen). Wenn du deine Sachen hinter deinen Router packst bist du ja erstmal Save - ob er seine Geräte dir gegenüber exponieren will, muss er dann selber wissen ;-)
Als Internetrouter kommt dann auch eine günstige Fritzbox in Frage. Vorteil wäre hier, dass das reguläre Gast-WLAN noch nutzbar ist, falls man mal Clienten da hat, die ihre Mails checken wollen oder so... Da müssen sich die Clienten von A und B das Gastnetzwerk teilen, aber da kann man ja einstellen, dass die Gäste untereinander nicht kommunizieren dürfen.
Portfreigaben für den Server in B musst du für den Untermieter dann in der FB eintragen - sollte ja aber nicht so häufig vorkommen. Bzgl. Ports müsst ihr euch halt absprechen, weil ihr von außen kommend die Ports ja nicht doppelt belegen könnt.
Alles klar, ich habe verstanden. Vielen Dank schonmal! Ich werde Variante B mit insgesamt 3 Routern angehen.
Die beiden Router bekommen dann von dem Internetrouter eine IP zugewiesen und verteilen dann in ihrem eigenen Netzwerk jeweils eigene IPs vollkommen unabhängig voneinander? Soweit richtig verstanden?
Die beiden Router bekommen dann von dem Internetrouter eine IP zugewiesen und verteilen dann in ihrem eigenen Netzwerk jeweils eigene IPs vollkommen unabhängig voneinander? Soweit richtig verstanden?
Olunixus
Commodore
- Registriert
- Dez. 2009
- Beiträge
- 4.767
Genau. Du musst nur schauen das alle 3 Router eigene/unterschiedliche IP-Adressbereiche verteilen. Und stelle am besten überall etwas ein, was in keinen anderen Routern typischerweise Standard ist. Also NICHT 192.168.178.X, .0.X, .1.X, .10.X, ...
Für den Internetrouter muss es wie gesagt nicht die 7590 sein. Da tuts auch eine kleine FB oder anderer Router der Portfreigaben kann.
Wie ist eigentlich die Telefonie geregelt? Läuft das dann doch wieder gemeinsam über die Fritzbox?
Nochmal: wenn ich Untermieter wäre würde ich meine eigene Hardware mitbringen und diese auf jeden Fall selber verwalten (--> Vermieter kennt nicht das PW von meinem Router). Sonst kann sich der Vermieter ja u.U. trotzdem Zugang in mein Netz verschaffen. [Das der Vermieter ggf. physischen Zugang zu meinen Räumlichkeiten hat ist eine andere Sache...
]
Für den Internetrouter muss es wie gesagt nicht die 7590 sein. Da tuts auch eine kleine FB oder anderer Router der Portfreigaben kann.
Wie ist eigentlich die Telefonie geregelt? Läuft das dann doch wieder gemeinsam über die Fritzbox?
Nochmal: wenn ich Untermieter wäre würde ich meine eigene Hardware mitbringen und diese auf jeden Fall selber verwalten (--> Vermieter kennt nicht das PW von meinem Router). Sonst kann sich der Vermieter ja u.U. trotzdem Zugang in mein Netz verschaffen. [Das der Vermieter ggf. physischen Zugang zu meinen Räumlichkeiten hat ist eine andere Sache...
]
Ähnliche Themen
