Router im Doppelpack?

Dieses Thema im Forum "Hardware" wurde erstellt von sursulapitchi, 26. Juli 2010.

  1. sursulapitchi

    sursulapitchi Member

    An die Netzwerker oder Macweltuser mit Erfahrung auf diesem Gebiet.;)

    Mein Problem ist folgendes: Im Firmen Ethernet-Netzwerk sind alle Rechner über einen Switch mit dem Router des Provider (Standleitung) verbunden. An dem Router können keine Änderungen vorgenommen werden.
    Die Rechner haben fest zugeordnete IP's z.B. 162.14.1.2 bis 162.14.1.14
    Die angebundene AirPort Express hat die IP 162.14.1.15
    An dem AirPort Netz hängen zeitweise bis zu vier PB oder MBP mit den IP 162.14.1.20 bis 25

    Jetzt die eigentliche Frage:
    Kann ich an den Switch noch ein Router hängen, damit ich den privaten Bereich vom Geschäftlichen trennen kann.
    So, dass die Privaten Mac's zwar über den neuen Router ins Internet gelangen, jedoch nicht in das Firmen Netz und umgekehrt.?
    Der neue Router müsste doch dann nur andere IP's z.B. 168.XX.1.1 vergeben,oder?
    Auch möchte ich mit dem neuen Router bestimmte privaten Rechner nur zu bestimmten Zeiten ins Internet lassen. :)
     
  2. John L.

    John L. Active Member

    Schlechte Nachrichten, das wird nicht funktionieren...zumindest nicht, solange Du auf dem Provider-Router nicht die IP bzw. die Route zu Deinem 3. Router (und damit zum neuen LAN) eintragen kannst. Wenn Du den 3. Router dran hängst, musst Du ein Interface für Dein neues LAN und eins für das bestehende Netzwerk konfigurieren. In dem Moment, in dem ein Paket aus dem neuen LAN ins Internet geht und zurück kommt, weiß der Provider Router nicht, wohin damit (weil er Dein neues LAN nicht kennt) und verwirft es...und damit hast Du keine Verbindung...

    Es sollte aber kein Thema sein, dem Provider mitzuteilen, dass Du eine zusätzliche statische Route auf dem Router eingetragen brauchst...

    Alternativ könntest Du Dein Netz so umbauen, dass nicht mehr der Provider Router Dein Standard-Gateway ist sondern ein anderer Router. Auf dem könntest Du dann die Routen zu Deinem neuen LAN bzw. als Standard Route den Provider Router eintragen...dann würd das auch fliegen...

    Greetz,
    John L.
     
  3. sursulapitchi

    sursulapitchi Member

    Hallo John L. vielen Dank für die gute Erklärung :)

    Leider ist das nicht ohne zusätzlichen kostenpflichtigen Account möglich:crazy:

    Das kling ja ganz interessant, leider kann ich mir das nicht genau vorstellen, wie du das mit dem "Umbau" meinst.
    Ich muss doch die vom Provider vorgegebene IP benutzen :confused:
    Könntest du mir das bitte noch einmal gaaanz langsam zum mitschreiben erklären:rolleyes:
    Sorry, aber mit Netzwerken IP, DHCP und sonstigen Begriffen habe ich absolut keinen Durchblick. Hoffe jedoch ein wenig Erleuchtung hier zu erfahren:D

    Gruß Sursula...

    P.S. Kann ich da nicht den Switch einsparen und ein Router dafür nehmen?
     
  4. John L.

    John L. Active Member

    Ich versuchs mal zu erklären aber wenn Du noch nie nen Router konfiguriert hast, wird das wohl eher nix werden, ein Stück weit Ahnung von Netzwerken und Routern sollte man (bzw. frau) für ne solche Aktion schon haben..! ;)

    Was ich an der Stelle noch wissen müßte, ist, wie ihr Provider Router und Airport zusammmengeschaltet habt, bei 2 Routern im gleichen Netz gibts da mehrere Möglichkeiten....kannst Du das in Erfahrung bringen?


    NEUE NETZWERK-KONFIGURATION

    Router1: Provider Router (Interface1: DHCP vom Provider, Interface2: 162.14.1.1)
    Router2: Airport (I1: 162.14.1.15 / I2:???)
    Router3: Der neue Router (I1: 192.168.0.1 / I2: 162.14.1.254 / DHCP von .10 bis .50)

    Alle Clients bekommen als neues "Standard Gateway" (oder "Router") die IP 162.14.1.254 (Router3). Dann trägst Du auf dem R3 folgende statischen Routen ein:
    - 192.168.0.0 / 255.255.255.0 / 192.168.0.1
    - 0.0.0.0. / 0.0.0.0 / 162.14.1.1

    Das sollte es an sich schon gewesen sein...ich kann Dir allerdings keine Garantie geben, dass das auch so läuft...dazu bräuchte ich von den beiden vorhandenen Routern die genauen Configs und Routen.

    Nen Switch einsparen kannst Du nicht, im Gegenteil, ich würd für das "Gästenetz" noch einen zusätzlichen kaufen. Der neue Router steckt dann mit I1 am alten und mit I2 am neuen Switch.

    Viel Glück,
    John L.

    PS. Wenn Du nicht so fit mit Netzwerken und Routern bist, besorg Dir jemanden, der sich damit auskennt...Du kannst bei solchen Aktionen auch einiges lahm legen..! :D
     
  5. sursulapitchi

    sursulapitchi Member

    Hallo John L. vielen Dank für die ausführliche Erklärung und deine Geduld:)

    Habe die Konfiguration einmal angeschaut, es sieht wie folgt aus:

    Der Router hat die IP 162.14.1.1
    dieser ist mit einem 8-Fach Switch per Ethernet Kabel verbunden.
    Rechner Nr. 1 ist per Ethernet am Switch mit IP 162.14.1.2
    Rechner Nr. 2 ist per Ethernet am Switch mit IP 162.14.1.3
    usw.
    Rechner Nr. 6 (privat) ist per Ethernet am Switch mit IP 162.14.1.7

    AirPort Express ist per Ethernet am Switch mit IP 162.14.1.15
    Verbindung gemeinsam nutzen: Aus (Brige-Modus)
    Teilnetzmaske 255.255.255.0
    Router: 162.14.1.1
    DNS-Server: 162.14.1.1
    MAC-Adressen-Zugriffskontrolle: Lokal
    Ist als geschlossenes Netzwerk angelegt.

    PB G4 hat die IP 162.14.1.16 ist per AirPort verbunden.
    MBP hat die IP 162.14.1.17 ist per AirPort verbunden.

    Alle Clients haben also eine Feste IP ohne DHCP.



    Das mit dem Interface1 u. 2 verstehe ich nicht ganz :embar:

    OK. soweit kann ich folgen :D
    Muss ich hier den Router 3 vor den Router 1 anschließen? Das geht leider in der Praxis nicht, da der Router1 gleichzeitig ein Sende/Empfangsteil beinhaltet. Dieser bereitgestellter Router hat auf der einen Seite ein Antennenanschluss (Funkstandleitung) und auf der anderen Seite den Ethernetanschluss.


    Bevor ich dieses Projekt in Angriff nehme, wollte ich erst einmal wissen ob dies grundsätzlich technisch möglich ist.
    Erst danach kommt dann die Frage nach einem geeigneten Router den ich dann kaufen würde.
    Irgend eine Empfehlung?
     
  6. mac-christian

    mac-christian Active Member

    Bist du da ganz sicher?

    1) 162.14.x.x sind öffentliche IP-Adressen. Mir ist kein Provider bekannt, der an ganze Firmennetze nur öffentliche Adressen verteilt. Das käme auch ziemlich teuer, ich zahle für mein 8er-Subnetz schon genug.

    2) Die Adressrange 162.14.0.0 - 162.14.255.255 gehört gemäss WHOIS der Firma Continental Mills und wird durch arin.net verwaltet.

    3) Alle Computer offen im Internet stehen zu haben, ohne NAT, ist auch ein ziemlich hohes Sicherheitsrisiko

    Christian
     
  7. sursulapitchi

    sursulapitchi Member

    Für meine eingangs gestellte Frage und um eine prinzipielle Möglichkeit zu erfahren, erschien mir die Richtige IP Bezeichnung anzugeben für unwichtig.
    Ob da jetzt 162,168, oder 192 am Anfang steht ist für mich erst mal nebensächlich.
    OK, ich hätte auch XXX.YYY.1.1 wählen können:frown:

    Im ersten Post hatte ich vielleicht nicht deutlich genug darauf hingewiesen, dass die ersten drei Ziffern aus den IP's aus Datenschutzgründen abgeändert wurden.

    Zitat: "Die Rechner haben fest zugeordnete IP's z.B. 162.14.1.2 bis 162.14.1.14"

    John L. hat bereits eine interessante Alternative beschrieben. Hier hatte ich nur die Zusammenhänge der Interface 1 u. 2 nicht so ganz verstanden.

    Ansonsten kann man bei einem Praxistest entsprechende zulässige IP Adressen verwenden.

    Gibt es Vorschläge welchen Router evtl. auch einen preiswerten gebrauchten, der von der Bedienung unkompliziert ist, zu erwerben?
     
  8. mac-christian

    mac-christian Active Member

    Nein, es ist nicht unerheblich, ob der Router auf der öffentlichen Seite den gleichen Nummernbereich hat wie im internen Netzwerk (was bei deiner Angabe der Fall ist).

    Ausserdem müsstest du mir mal erklären, welche "datenschützerischen" Überlegungen du angestellt hast, und wie du darauf kommst dass interne Adressen besonders schützenswert seien. Ich kann dir ohne Bedenken mitteilen, dass hier, wo ich im Moment bin, der Drucker die Adresse 10.0.1.199 hat und mein Mac 10.0.1.2 - das hilft dir nämlich gar nichts. Dazwischen steht ein Router, und der lässt per NAT nur solche Daten rein, die aus dem internen Netz her angefordert wurden.

    Du solltest dich über die Geheimnisse der Netzwerkerei informieren, ehe du an deinem Netzwerk rumzubasteln beginnst. Lesenswert ist zum Beispiel dieser Artikel. "162.x.x.x" ist keine private Adresse.

    Christian
     
  9. mac-christian

    mac-christian Active Member

    Nun, wenn es so ist wie ich vermute (und nicht so, wie du es geschrieben hast!), dann kannst du mal Folgendes ausprobieren (du hast ja eine Airport-Basis, habe ich vorher irgendwo gelesen. Die müsstest du für diesen Test "missbrauchen - aber vorher bitte die Einstellungen gut aufschreiben oder sichern - sonst gehts vielleicht nachher gar nicht mehr).

    Dein Router bekommt auf der "öffentlichen" Seite (DSL, Fernsehkabel, oder was auch immer) eine öffentliche IP Adresse.

    Auf der internen Seite arbeitet er mit privaten IP-Adressen (siehe mein Verweis im vorhergehenden Beitrag). Für das Beispiel nehme ich mal 192.168.0.1 für die interne Router-Adresse. Werden diese per DHCP verteilt, oder jedem Computer fix vergeben in "Systemeinstellungen"?

    Konfiguriere die Airport-Basis so, dass sie auf der WAN-Seite eine Adresse vom ersten Router bekommt (DHCP oder manuell) im 192.168.0.x-Bereich.

    Schalte die Routing-Funktion der Airport-Basis ein (jetzt ist sie wohl im "Bridge"-Modus).

    Auf der LAN- bzw. WLAN-Seite soll die Airport-Basis die Adressen im Bereich von 10.0.1.x verteilen per DHCP

    Verbinde einen Rechner mit der Airport-Basis (WLAN oder LAN ist egal) und versuche, aufs Internet zu kommen.

    Wenn das geht, kannst du dir irgendeinen Router kaufen, der sich so konfigurieren lässt und deine privaten Sachen von der Firma trennen. Die Rechner in den beiden Netzen sollten einander nicht sehen, weil private Adressen nicht geroutet werden (sollten). Also kannst du vom 10er-Netz nicht auf das 192er-Netz zugreifen und umgekehrt.

    Bedenke bitte, dass das theoretische Überlegungen sind, wie es gehen könnte - und dass ich keine Garantie für das Funktionieren übernehmen kann.

    Christian
     
  10. sursulapitchi

    sursulapitchi Member

    Lieber mac-christian,
    tut mir sehr leid wenn ich durch meine Angaben für Verwirrung gesorgt habe :embar:

    Gut zu wissen :klimper:
    Das liegt sicher an meiner Unsicherheit und dass ich von meinem Provider darauf hin gewiesen wurde die zugeordneten IP's Dritten nicht zugänglich zu machen.

    Danke für den Link.
    OK, jetzt ist mir klar warum ich Euch mit den Angaben eher verwirrt habe. :embar:

    OK, dann hier die aktuellen IP's in der Hoffnung, dass keiner in das Netzt eindringen kann :rolleyes:

    Der Router hat die IP 192.168.1.1
    dieser ist mit einem 8-Fach Switch per Ethernet Kabel verbunden.
    Rechner Nr. 1 ist per Ethernet am Switch mit IP 192.168.1.2
    Rechner Nr. 2 ist per Ethernet am Switch mit IP 192.168.1.3
    usw.
    Rechner Nr. 6 (privat) ist per Ethernet am Switch mit IP 192.168.1.7

    AirPort Express ist per Ethernet am Switch mit IP 192.168.1.15
    Verbindung gemeinsam nutzen: Aus (Brige-Modus)
    Teilnetzmaske 255.255.255.0
    Router: 192.168.1.1
    DNS-Server: 192.168.1.1
    MAC-Adressen-Zugriffskontrolle: Lokal
    Ist als geschlossenes Netzwerk angelegt.

    PB G4 hat die IP 192.168.1.16 ist per AirPort verbunden.
    MBP hat die IP 192.168.1.17 ist per AirPort verbunden.

    Alle Clients haben also eine Feste IP ohne DHCP.


    OK und danke für deine Engelsgeduld mit mir :klimper:

    Ja, über eine Funkverbindung.

    Ja, 192.168.1.1
    Ja, in meinem Fall hat jeder Rechner eine manuell zugewiesene IP, siehe Tabelle oben.

    Kann ich diese zum besseren Verständnis auch so lassen wie sie derzeit ist 192.168.1.15?

    OK, die steht derzeit auf "AUS".

    Aha, dass müsste ich dann ändern. Bisher werden diese auch manuell zugeordnet.

    OK, das klingt alles sehr schlüssig. Allerdings kann ich das erst sehr spät heute Abend testen.

    Das kling vielversprechend, prima.:D
    Nochmals herzlichen Dank für Deine umfangreiche Hilfe.
    Melde mich bald wieder.

    Sursula :)
     
  11. mac-christian

    mac-christian Active Member

    ... auf der _internen_ Seite. Die IP auf der "öffentlichen" Seite des Routers kannst du normalerweise mit einer entsprechenden Webseite feststellen. Wenn sie eine öffentliche Adresse ist (also nicht in den 3 bei Wikipedia aufgelisteten Bereichen), dann ist alles so wie ich das für "normal" halte. Diese öffentliche Adresse interessiert mich nicht, du brauchst sie nicht mitzuteilen.

    Mh - hast du mal versucht, bei allen Rechnern DHCP zu aktivieren? Vielleicht kannst du dir den Verwaltungsaufwand der Adressen sparen, falls der Router doch als DHCP-Server arbeitet...

    Natürlich. Ich hab ja nur mal einen Nummernkreis angenommen, weil ich die echten Verhätlnisse nicht kannte.

    Nicht zwingend. Aber DHCP ist halt schon sehr praktisch. Ich hab zuhause ein Netz mit 4 Computern, 2 Druckern und einem WLAN-AP (Airport Extreme). Für Drucker und Airport Extreme habe ich fix vergebene Adressen, alle andern Geräte (Computer) nehmen sich die Adresse per DHCP. Da kann mal ein Gast kommen und aufs Netz wollen, ohne dass er an seinen Netzwerkeinstellungen rumfummeln muss. Wichtig ist nur, dass bei solchen "gemischten" Netzen du weisst, welcher Nummernbereich per DHCP verwaltet wird und in welchem Bereich du manuell deine fixen Adressen vergeben kannst. Das ist im Router einzustellen, bei meinem gebe ich die erste per DHCP (10.0.1.2) verwaltete Adresse ein und die Anzahl der Adressen (ich meine, es sind 64 eingestellt). Das bedeutet, zwischen 10.0.1.2 und 10.0.1.65 darf keine fix zugeteilte Adresse existieren (sonst bekommt dieser Computer früher oder später Streit mit dem Router).

    Wenn du - wie ich es vorschlug - die Airport Adressen im 10er-Bereich bedienen lässt, musst du allerdings an den Computern auch 10er-Adressen einstellen (oder per DHCP holen). Evtl. musst du auch an der Airport einstellen, dass die Adressen nur über WLAN verteilt werden (eine Airport Express hat ja keine 2 Ethernet-Anschlüsse, und wenn du 10er-Adressen auch "nach hinten" verteilen würdest, wär das vermutlich nicht so gut.

    Beste Grüsse, Christian
     
  12. John L.

    John L. Active Member

    @sursulapitchi: So wie ich das hier lese hast Du (bzw. auch keiner Deiner Kollegen) so richtig Ahnung von Netzwerken und Sicherheit (sorry, sollte nicht böse gemeint sein). Deine Frage, ob sowas grundsätzlich geht, kann einwandfrei mit "Ja" beantwortet werden. Damit sollte also Deine Frage im Grundsatz mal beantwortet sein.

    Ich würde Dir an dieser Stelle raten, Dich an einen vernünftigen Dienstleister zu wenden und mir vernünftige Hardware anschaffen und die von einem Profi konfigurieren lassen. Du brauchst imho auf jeden Fall nen Router mit 3 konfigurierbaren Interfaces (Internet / LAN / Gast-LAN) und eine Firewall zur Absicherung Eures Netzes nach draussen (eigentlich solltet Ihr nen Router UND eine Firewall kaufen - diese 2 Geräte sollten eigentlich getrennt laufen). Meine persönliche Vorliebe ist an dieser Stelle Cisco (ein 876 WLAN mit der Security Software drauf sollte zB. gehen)...nur sind Cisco halt auch relativ teuer. Ich würd mal schätzen, dass Dich ein gebrauchter 876er mit Konfiguration auf ca. 500-1000 Euro kommen wird. Ob EUch das die Sicherheit Wert ist, müßt ihr entscheiden...
    Ich hab zB. privat zuhause mein ganzes Netz auf Cisco Hardware aufgebaut....einfach auch, weil es sicherheitstechnisch fast nix Besseres gibt.

    Denk mal drüber nach,

    John L.
     

Diese Seite empfehlen