Zwei Netzwerke miteinander verbinden

BennyF

Newbie
Registriert
Dez. 2018
Beiträge
7
Hallo zusammen,
ich stehe gerade vor der Aufgabe zwei Netzwerke miteinander zu verbinden.
Zu unserer Situation. Wir haben zwei Netzwerke mit jeweils eigenem Internetzugang. Im Netzwerk "Büro" ist ein Speicherserver auf den wir gerne auch aus dem Netzwerk "Privat" zugang hätten. Als Zusatz möchten wir vom Netzwerk "Privat" auf die Netzwerkdrucker aus dem Netzwerk "Büro" zugreifen.

Im Server ist ein Mikrotik RB3011 Router verbaut um das Routing zu übernehmen. Nur leider kriege ich die Einstellungen nicht so hin, dass es funktioniert.

Fritzbox 7490 Privat
IP-Adresse:
192.168.1.1
Subnetzmaske:
255.255.255.0
DHCP-Server:
aktiviert
von:
192.168.1.20
bis:
192.168.1.200

Fritzbox Büro
IP-Adresse:
192.168.2.1
Subnetzmaske:
255.255.255.0
DHCP-Server:
aktiviert
von:
192.168.2.20
bis:
192.168.2.200

Der Mikrotik RB3011 ist komplett resetet worden und besitzt somit keine Standardeinstellungen mehr.
Könnte mir jemand bei der Einrichtung behilflich sein?
Vielen Dank im Voraus.

MfG Benny
 
Zuletzt bearbeitet:
Und wie sind die Netzwerke im Moment miteinander verbunden? Gar nicht?
Noch nebenbei gesagt, wenn es hier um eine Firma geht, dann lieber IT beauftragen und nicht aus einem Forum heraus ein Netzwerk basteln.
 
Du kannst zum Beispiel die 2 Fritzen über nen VPN Tunnel verbinden. Wie das geht werden dir sicher gleich ein paar AVM Junkies genaustens erklären.
Was ich viel wichtiger finde: Liegen im "Büro" auf dem Server Kundendaten? Wenn ja, hast Du dich um vernünftige Datensicherung zu kümmern. Die haben in einem Privatnetz nix verloren. DSGVO ist hoffentlich ein Begriff und auch, dass bei Nichteinhaltung berechtigterweise empfindliche Bußgelder drohen.
 
  • Gefällt mir
Reaktionen: Thor9 und hide.me
Ich erstelle mal kurz eine Übersicht.

Hatte mich verschrieben. Ist bereits bearbeitet. Handelt sich genauso um das Netzwerk "Büro".
 
Zwei Netzwerke und zwei Internetzugänge. Heißt das nun, dass diese Netzwerke örtlich getrennt sind und somit über das Internet verbunden werden sollen oder befinden sie sich im selben Haus und werden am besagten MikroTik miteinander verbunden?

Wenn letzteres der Fall ist, sind am MikroTik selbst keine weiteren Einstellungen für die eigentliche Funktion notwendig. Ein solcher Router tut bereits ab Werk das was ihm den Namen gab, routen. D.h. er wird alle mit ihm verbundenen Subnetze - also lokale Netzwerke, in denen er selbst einen IP hat - routen.

ABER: Die Endgeräte in jedem Netzwerk müssen ihm auch etwas zum Routen geben! D.h. entweder der MikroTik muss jeweils auch das Standardgateway innerhalb der Netzwerke sein oder die Geräte bzw. das nicht-mikrotik-standardgateway benötigen eine Route ins andere Netzwerk. Eine Route sieht dann sinngemäß so aus: "Das Netzwerk 192.168.2.0 ist zu erreichen über den Router auf 192.168.1.1"
Ergänzung ()

Aber2: Es kann jedoch sein, dass zB ein Drucker nicht auf Anfragen von fremden IPs reagiert. Dasselbe gilt für Server und Co. Verantwortlich ist die interne Firewall, die ausschließlich lokale Zugriffe gewährt. Sofern möglich kann man die Firewall zB im Server freigeben (im Drucker kann man das idR nicht). Im worst case muss man dann am MikroTik SNAT bzw. Masquerade einrichten.

Generell sollte allerdings nach dem ersten Machbarkeitstest die Firewall im MikroTik so konfiguriert werden, dass wirklich nur ganz gezielt die erlaubten Dienste funktionieren und der Rest blockiert wird. Quasi "alles blocken bis auf Drucker und Dateifreigaben"
 
Zuletzt bearbeitet:
leipziger1979 schrieb:
Sind die beiden Netzwerke momentan physisch voneinander getrennt ?
Mal bitte Aufbau/Verkabelung bildlich darstellen.



Was ist damit? Ein drittes Netzwerk?

Netzwerk.png


Das ist unsere Netzwerksituation. Alle durchgezogenen Linien sind LAN Kabel Cat 7.

bender_ schrieb:
Du kannst zum Beispiel die 2 Fritzen über nen VPN Tunnel verbinden. Wie das geht werden dir sicher gleich ein paar AVM Junkies genaustens erklären.
Was ich viel wichtiger finde: Liegen im "Büro" auf dem Server Kundendaten? Wenn ja, hast Du dich um vernünftige Datensicherung zu kümmern. Die haben in einem Privatnetz nix verloren. DSGVO ist hoffentlich ein Begriff und auch, dass bei Nichteinhaltung berechtigterweise empfindliche Bußgelder drohen.
Auf die Festplatten, auf die ich Zugriff haben möchte, sind eigenständige Festplatten auf dem Server mit eigenen Zugangsdaten. Auf die Geschäftsdaten habe ich so keinen Zugriff. Zudem werden alle Daten auf den Geschäftsfestplatten verschlüsselt und können so nicht einfach geöffnet werden. Also es ist für die Sicherheit soweit gesorgt. Aber danke für deinen Hinweis.

Raijin schrieb:
Zwei Netzwerke und zwei Internetzugänge. Heißt das nun, dass diese Netzwerke örtlich getrennt sind und somit über das Internet verbunden werden sollen oder befinden sie sich im selben Haus und werden am besagten MikroTik miteinander verbunden?

Wenn letzteres der Fall ist, sind am MikroTik selbst keine weiteren Einstellungen für die eigentliche Funktion notwendig. Ein solcher Router tut bereits ab Werk das was ihm den Namen gab, routen. D.h. er wird alle mit ihm verbundenen Subnetze - also lokale Netzwerke, in denen er selbst einen IP hat - routen.

ABER: Die Endgeräte in jedem Netzwerk müssen ihm auch etwas zum Routen geben! D.h. entweder der MikroTik muss jeweils auch das Standardgateway innerhalb der Netzwerke sein oder die Geräte bzw. das nicht-mikrotik-standardgateway benötigen eine Route ins andere Netzwerk. Eine Route sieht dann sinngemäß so aus: "Das Netzwerk 192.168.2.0 ist zu erreichen über den Router auf 192.168.1.1"
Ergänzung ()

Aber2: Es kann jedoch sein, dass zB ein Drucker nicht auf Anfragen von fremden IPs reagiert. Dasselbe gilt für Server und Co. Verantwortlich ist die interne Firewall, die ausschließlich lokale Zugriffe gewährt. Sofern möglich kann man die Firewall zB im Server freigeben (im Drucker kann man das idR nicht). Im worst case muss man dann am MikroTik SNAT bzw. Masquerade einrichten.

Generell sollte allerdings nach dem ersten Machbarkeitstest die Firewall im MikroTik so konfiguriert werden, dass wirklich nur ganz gezielt die erlaubten Dienste funktionieren und der Rest blockiert wird. Quasi "alles blocken bis auf Drucker und Dateifreigaben"
Es ist der letzte Fall. Also muss ich am Mikrotik Router direkt keinerlei Einstellungen vornehmen?
 
Was für einen Sinn hat der "Mikrotik RB3011 Router" bisher wenn die Netze noch nicht miteinander kommunizieren?

Zur Lösung:
Technisch wäre es am einfachsten in den beiden Fritzboxen jeweils eine statische Route zu hinterlegen das das andere Netz über den "Mikrotik RB3011 Router" zu erreichen ist.

In der Privatbox: 192.168.2.0/24 zu erreichen über 192.168.1.* IP des Mikrotik
In der Bürobox: 192.168.1.0/24 zu erreichen über 192.168.2.* IP des Mikrotik

Damit ist aber alles zwischen den beiden Netzwerken erreichbar.
Ggf. müsste man mit ACLs, ggf. am Mikrotek, weiter einschränken so dass nur der Server und Drucker erreicht werden kann.

Wie es weiter jedoch mit DSGVO ausschaut kann ich nicht sagen, ist nicht mein Gebiet. :)
 
  • Gefällt mir
Reaktionen: BennyF
BennyF schrieb:
Also muss ich am Mikrotik Router direkt keinerlei Einstellungen vornehmen?
Auch wenn ich speziell mit MikroTik nur rudimentäre Erfahrung gemacht habe - ich bin da eher bei der Konkurrenz - nein. So ein Router wird bereits out-of-the-box routen.

Allerdings müssen wie gesagt die Endgeräte bzw. deren Standardgateway den Weg ins andere Netz kennen.

Trage in den Fritzboxxen jeweils eine Route wie folgt ein:

Ziel-Netzwerk (= anderes Netz) über die lokale IP des MikroTik.

Büro-Fritzbox:

Subnetz 192.168.1.0 /24 bzw. 255.255.255.0 via 192.168.2.x (MikroTik).

Privat-Fritzbox:

Subnetz 192.168.2.0 /24 bzw. 255.255.255.0 via 192.168.1.x (MikroTik).


Jetzt schicken alle Clients nach wie vor alles an die Fritzbox, aber diese leitet das dann an den MikroTik weiter.

*edit
Mist.. der Os... Leipziger war schneller :p
 
  • Gefällt mir
Reaktionen: BennyF
leipziger1979 schrieb:
Was für einen Sinn hat der "Mikrotik RB3011 Router" bisher wenn die Netze noch nicht miteinander kommunizieren?

Zur Lösung:
Technisch wäre es am einfachen in den Beiden Fritzboxen ein Route zu hinterlegen das das andere Netz über den "Mikrotik RB3011 Router" zu erreichen ist.

In der Privatbox: 192.168.2.0/24 zu erreichen über 192.168.1.* IP des Mikrotik
In der Bürobox: 192.168.1.0/24 zu erreichen über 192.168.2.* IP des Mikrotik

Wie es jedoch mit DSGVO ausschaut kann ich nicht sagen.
Danke, ich probiere das gleich einmal aus.
Der Router wurde ja genau für diesen Einsatz gekauft. Früher war kein Router vorhanden.
 
Bzgl. ACLs im Mikrotik könnte es so aussehen:

- Erlaube Allen IPs "Privat" die IPs des Druckers/Servers zu erreichen.
- Erlaube den IPs des Druckers/Servers alle IPs "Privat" zu erreichen.
- Alles andere verweigern.
 
  • Gefällt mir
Reaktionen: BennyF und Raijin
Dem kann ich mich nur anschließen. Zwar ist es einfacher, wenn man einfach blind alles zulässt, aber da "Büro-Netzwerk" eben auch geschäftliche oder gar Kundendaten impliziert, sollte man dem auch in der Schnittstelle zum Privatnetzwerk Rechnung tragen - dem MikroTik. Pauschal alles blockieren und dann wie @leipziger1979 schrieb nur die Verbindungen zum Drucker bzw. Server freigeben.
 
  • Gefällt mir
Reaktionen: BennyF
Also die Netzwerke sind jetzt erfolgreich verbunden.
Nur falls jemand anderes noch mit einem Mikrotik Router so eine Lösung anstrebt. Im Router muss man unter IP -> Adresses dem jeweiligen Ethernet Port eine entsprechende IP Adresse zuweisen. Ansonsten ist der Router nur in einem Netzwerk erreichbar.
Um die Drucker kümmere ich mich morgen. Aber danke für eure Hinweise.
 
Zuletzt bearbeitet:
Du hast jetzt in dem RB3011 eine Bridge erstellt, wo beide Ports, die mit dem jeweiligen Netzwerk verbunden sind, enthalten sind? Die IPs hast du nur vergeben, damit du per SSH oder Winbox auf den Router kommst?
Der RB3011 macht quasi einen auf Switch und routet bei dir nicht?
 
BennyF schrieb:
Im Router muss man unter IP -> Adresses dem jeweiligen Ethernet Port eine entsprechende IP Adresse zuweisen. Ansonsten ist der Router nur in einem Netzwerk erreichbar.
Das ist doch klar. Wie soll ein Router irgendwas routen, wenn er kein Bein im jeweiligen Netzwerk hat?

Leider hast du das wieder rauseditiert, aber du hattest kurzzeitig etwas vom Bridge-Modus geschrieben. Das ist etwas vollkommen anderes. Der Router-Modus ist schon richtig, aber wie schon angedeutet wurde muss einerseits das Routing stimmen sowie die Firewall/ACL im MikroTik, die zumindest bei einer 0-Konfiguration leer sein wird. Gegebenenfalls müssen aber auch die Geräte, die vom jeweils anderen Netzwerk aus erreicht werden sollen, ihrerseits dazu bewegt werden, diese Verbindungen zu akzeptieren (lokale Firewall des Betriebssystems).

Wenn du natürlich im MikroTik evtl bereits mit einer Standard-Konfiguration o.ä. startest, die beispielsweise einen WAN-Port beinhaltet, dann wird dort mit tödlicher Sicherheit auch eine entsprechende WAN-Firewall eingerichtet. Komplett nackt mit 2 LAN-Ports, 2 IPs und 2 LAN-Kabeln sollte der MikroTik aber bereits problemlos routen können.

Der Bridge-Modus schaltet nur die LAN-Ports zusammen, ganz ähnlich wie bei einem Switch. Dabei verliert man aber je nach Hardware des Routers zum Teil massiv an Geschwindigkeit, weil dieser quasi-Switch in der Regel direkt von der CPU gehandhabt wird... Mal vom Sicherheitsaspekt gegenüber einem sauber getrennten und gefirewallten gerouteten Netzwerk abgesehen..
 
danse schrieb:
Du hast jetzt in dem RB3011 eine Bridge erstellt, wo beide Ports, die mit dem jeweiligen Netzwerk verbunden sind, enthalten sind? Die IPs hast du nur vergeben, damit du per SSH oder Winbox auf den Router kommst?
Der RB3011 macht quasi einen auf Switch und routet bei dir nicht?
Das war ein Fehler meinerseits. Habe es sofort korrigiert. Muss natürlich auf Router stehen.
 
Zurück
Oben