Supportnet / Forum / DSL
Mit Router zwei Teilnetze mit gemeinsamem Internetzugang (Proxy) abschotten
Frage
Zwei Teilnetze sollen einen gemeinsamen Internetzugang über Proxy verwenden. Die beiden Teilnetze sollen aber untereinander abgeschottet sein. Versuch mit Netgearrouter schlug fehl.
Beide Teilnetze hängen an einem gemeinsamen Switch, an dem auch der Internetrechner (Linuxsystem) hängt
Hat jemand einen Tipp?
Antwort 1 von luwa
Mal der Reihe nach.
Was willst Du abschotten?
Topographie verstehe ich so; zwei Subnetze gehen auf switch, switch hängt am linux, zweite netzwerkkarte im Linux läuft auf den Router, Router händelt Einwahl!
Richtig? Sind beide Subnetze im Squid freigegeben?
Fährst Du einen DNS auf dem Linux?
Du weist dass Du eth0=erste-IP und eth0:1=zweite-IP mit Netmask 255.255.255.0 fahren kannst? Somit sieht nur der Linux beide Netze der Rest nur das eigene Netz.
Was willst Du abschotten?
Topographie verstehe ich so; zwei Subnetze gehen auf switch, switch hängt am linux, zweite netzwerkkarte im Linux läuft auf den Router, Router händelt Einwahl!
Richtig? Sind beide Subnetze im Squid freigegeben?
Fährst Du einen DNS auf dem Linux?
Du weist dass Du eth0=erste-IP und eth0:1=zweite-IP mit Netmask 255.255.255.0 fahren kannst? Somit sieht nur der Linux beide Netze der Rest nur das eigene Netz.
Antwort 2 von WalterW
Hallo luwa,
Ich möchte Teilnetz 1 gegen Teilnetz2 abschotten. Beide sollen aber gemeinsamen Internetzugang nutzen können.
Ich bin kein Linuxuser! Kannst Du mir Tipps zu SQUID geben? Wie ich mitbekommen habe, macht mein Webrouter leider nur Netzmaske 255.255.255.0
Wie lässt sich die unter Linux auf 255.255.0.0 umschalten? (Rootzugang auf den Webrouter habe ich nach einigen Querelen mit Installationsfirma)
DNS läuft auf Extraserver für Teilnetz1, der auch am Switch hängt. Teilnetz2 hat feste IP, ist keine Domäne und braucht so auch keinen eigenen DNSserver)
Ich weiß, das Netzmasken 255.255.255.0 verhindern, dass sich Teilnetze "sehen". Meine Idee war, dass durch zusätzlichen Router vor Teilnetz2 mit NAT zusätzliche Sicherheit für Teilnetz2 durch NAT geschaffen werden könnte. (Nach Deinen Ausführungen vermute ich, dass das ein Irrglaube war.
MfG
Walter
Ich möchte Teilnetz 1 gegen Teilnetz2 abschotten. Beide sollen aber gemeinsamen Internetzugang nutzen können.
Ich bin kein Linuxuser! Kannst Du mir Tipps zu SQUID geben? Wie ich mitbekommen habe, macht mein Webrouter leider nur Netzmaske 255.255.255.0
Wie lässt sich die unter Linux auf 255.255.0.0 umschalten? (Rootzugang auf den Webrouter habe ich nach einigen Querelen mit Installationsfirma)
DNS läuft auf Extraserver für Teilnetz1, der auch am Switch hängt. Teilnetz2 hat feste IP, ist keine Domäne und braucht so auch keinen eigenen DNSserver)
Ich weiß, das Netzmasken 255.255.255.0 verhindern, dass sich Teilnetze "sehen". Meine Idee war, dass durch zusätzlichen Router vor Teilnetz2 mit NAT zusätzliche Sicherheit für Teilnetz2 durch NAT geschaffen werden könnte. (Nach Deinen Ausführungen vermute ich, dass das ein Irrglaube war.
MfG
Walter
Antwort 3 von luwa
Ich habe da immer noch ein Verständnisproblem.
Der Webrouter ist der Linux mit SQUID?
Der Netgear-Router steckt wo?
Was meinst Du mit abschotten?
in der /etc/squid.conf kannst Du regeln vorgeben wer den SQUID benutzen darf und wer nicht. Irgendwo nach Zeile 900. Für die Details kaufst Du Dir am besten ein Buch.
Wenn Du die Firewall des Routers nutzen willst, also Netz1 --> Router --> Linux --> Internet brauchst Du auf dem Linux einen dhcpd der dem Router eine IP zuteilt. Der Router muss wissen das er nichts weiß und den linux zu fragen hat. Das Standard-Gateway der Clients aus Netz1 ist aber der Router. Im übrigen habe ich mir sagen lassen das es Giga Aufwand ist Router kaskadierend zu konfigurieren. Bekannter von mir hat es mit IT-Spezi aus seiner Firma versucht und nicht hingekriegt, woran es gelegen hat weiß ich nicht.
Der Webrouter ist der Linux mit SQUID?
Der Netgear-Router steckt wo?
Was meinst Du mit abschotten?
in der /etc/squid.conf kannst Du regeln vorgeben wer den SQUID benutzen darf und wer nicht. Irgendwo nach Zeile 900. Für die Details kaufst Du Dir am besten ein Buch.
Wenn Du die Firewall des Routers nutzen willst, also Netz1 --> Router --> Linux --> Internet brauchst Du auf dem Linux einen dhcpd der dem Router eine IP zuteilt. Der Router muss wissen das er nichts weiß und den linux zu fragen hat. Das Standard-Gateway der Clients aus Netz1 ist aber der Router. Im übrigen habe ich mir sagen lassen das es Giga Aufwand ist Router kaskadierend zu konfigurieren. Bekannter von mir hat es mit IT-Spezi aus seiner Firma versucht und nicht hingekriegt, woran es gelegen hat weiß ich nicht.
Antwort 4 von WalterWuensche
Hallo Iuwa,
Danke für deine Antwort.
Am DSLmodem hängt besagter linuxrechner (Proxy, Firewall) und hängt mit Ausgang selber am switch. An diesem switch hängt netz1 (Domäne mit zig Rechnern).
An diesem swtich hängt auch netz2 (keine Domäne mit wenig Rechnern)
netz1 und netz2 sollen gemeinsamen Internetanschluss über Linuxrechner nutzen können. netz1 darf netz2 nicht sehen, also sollen netz1 und netz2 gegeneinander abgeschottet sein.
Abschottung über netzmaske 255.255.255.0 und unterschiedliche Netze über 192.168.x.y ist mir durch dich klar geworden.
Meine Idee war für netz2 zusätzliche Sicherheit zu schaffen, indem zwischen den switch und netz2 ein router geschaltet wir, der NetAdressTranslating macht.
Nach deinen bisherigen Ausführungen vermute ich, dass dieser zusätzliche Router Quatsch ist, da er keine zusätzliche Sicherheit für den nicht erwünschten Zugriff von netz1 auf netz2 bringt
Mit freundlichem Gruß
Walter Wuensche.
Danke für deine Antwort.
Am DSLmodem hängt besagter linuxrechner (Proxy, Firewall) und hängt mit Ausgang selber am switch. An diesem switch hängt netz1 (Domäne mit zig Rechnern).
An diesem swtich hängt auch netz2 (keine Domäne mit wenig Rechnern)
netz1 und netz2 sollen gemeinsamen Internetanschluss über Linuxrechner nutzen können. netz1 darf netz2 nicht sehen, also sollen netz1 und netz2 gegeneinander abgeschottet sein.
Abschottung über netzmaske 255.255.255.0 und unterschiedliche Netze über 192.168.x.y ist mir durch dich klar geworden.
Meine Idee war für netz2 zusätzliche Sicherheit zu schaffen, indem zwischen den switch und netz2 ein router geschaltet wir, der NetAdressTranslating macht.
Nach deinen bisherigen Ausführungen vermute ich, dass dieser zusätzliche Router Quatsch ist, da er keine zusätzliche Sicherheit für den nicht erwünschten Zugriff von netz1 auf netz2 bringt
Mit freundlichem Gruß
Walter Wuensche.
Antwort 5 von luwa
Die Sache ist, Router kaskadierend zu konfigurieren ist schwer und nicht jeder Router macht da mit. Die Hardware-Firewall auf einem Router würde etwas mehr Sicherheit bringen. Nur wenn ich 1 oder 2 Netze treibe, gehe ich dann davon aus das die bösen Jungs in meinen Netzen liegen?
Nur mal so! Wenn der User am Client die Netmask nicht verstellen kann ist es recht einfach beide Netze zu trennen. Kann der User ändern müsstest Du beiden Subnetzen eine Firewall vorlagern. Oder Du baust eine dritte Netzwerkkarte in den Linux und trennst beide Netzwerke auf zwei Switches. Da die Netzwerkkarten (im Linux) an den Switches mit Netmask 255.255.255.0 arbeiten ist eine drift auf das andere Netzwerk mit Netmask 255.255.0.0 am Client nicht mehr möglich. Das stimmt natürlich nur, wenn ich das was ich weiß auch verstanden habe.
Nur mal so! Wenn der User am Client die Netmask nicht verstellen kann ist es recht einfach beide Netze zu trennen. Kann der User ändern müsstest Du beiden Subnetzen eine Firewall vorlagern. Oder Du baust eine dritte Netzwerkkarte in den Linux und trennst beide Netzwerke auf zwei Switches. Da die Netzwerkkarten (im Linux) an den Switches mit Netmask 255.255.255.0 arbeiten ist eine drift auf das andere Netzwerk mit Netmask 255.255.0.0 am Client nicht mehr möglich. Das stimmt natürlich nur, wenn ich das was ich weiß auch verstanden habe.
Antwort 6 von WalterWuensche
Danke Iuwa, dass du so viel Zeit investiert hast, mir unfassend zu antworten.
netz2 hat keine Möglichkeit die Netzwerkeinstellungen bezüglich IPund Maske zu manipulieren. Also kann ich mir den zusätzlichen Router sparen.
(Ich mache den ganzen Netzquatsch unserer Firma nur nebenbei und unbezahlt.)
Ich bin dir wirklich sehr dankbar!!
Komm gut in die Woche
Walter Wünsche
netz2 hat keine Möglichkeit die Netzwerkeinstellungen bezüglich IPund Maske zu manipulieren. Also kann ich mir den zusätzlichen Router sparen.
(Ich mache den ganzen Netzquatsch unserer Firma nur nebenbei und unbezahlt.)
Ich bin dir wirklich sehr dankbar!!
Komm gut in die Woche
Walter Wünsche
Antwort 7 von WalterWuensche
Entschuldige, netz1 hat keine Möglichkeit Netzeinstellungen ( IP und Maske) zu ändern
Walter Wünsche
Walter Wünsche
Antwort 8 von luwa
wenn Du das weiter machen willst bis es passt dann geb mal ne Email-Adresse rüber. Ich bräuchte dann die configs vom Squid und dem DNS um Dir zu helfen. Falls Du das darfst. Die Kenntniss der configs eines im Inet sichtbaren Rechners ist auch ein Sicherheitsproblem.