Getrennte Netze mit einer 7170 und einem Vigor 2200x

[monaco69]

Hallo,

ich möchte einen Vigor 2200x an einem der LAN Interfaces anschliessen.
Ziel soll es sein, ein seperates Netz zu schaffen. Ich stelle mir das folgendermaßen vor:

NETZ A
Router 1 (AVM 7170)
Netzadresse: 192.168.178.0
Gateway/DHCP sowie Routeradresse: 192.168.178.1

NETZ B
Router 2 (Vigor 2200x)
Netzadresse: 192.168.1.0
Gateway: 192.168.178.2
Routeradresse: 192.168.1.1

Ich gehe vom Vigor vom WAN Port direkt auf die LAN 1 von der 7170.
Das funzt soweit auch ganz gut. Ich kann vom NETZ B auf das Internet zugreifen aber leider auch auf die Rechner im NETZ A und das darf nicht sein.

Wie und wo muss ich Einstellungen vornehmen, dass die Rechner vom NETZ B ausschliesslich Zugriff auf das Internet haben?

Vielen Dank

 

[frank_m24]

Hallo,

Ich kann vom NETZ B auf das Internet zugreifen aber leider auch auf die Rechner im NETZ A und das darf nicht sein.

Was meinst du mit "auf die Rechner von LAN A zugreifen"?

Ping, FTP, SSH, HTTP, ... werden natürlich funktionieren. SMB/NetBIOS (also die herkömmlichen Windows-Freigaben) werden nicht funktionieren. Die Frage ist, was du verhindern willst.

Du kannst mit dem Setup den grundsätzlichen Zugriff auf IP Ebene von den Rechnern aus LAN B auf die Rechner in LAN A nicht verhindern. Lediglich einige Protokolle und Applikationen, die nicht NAT-Aware sind, werden nicht funktionieren.
Einzige Möglichkeit wäre es, auf jedem einzelnen Rechner in LAN A eine Software-Firewall einzurichten, welche den Zugriff von der IP 192.168.178.2 sperrt. Aber ob Software-Firewalls einen wirklich sicheren Schutz darstellen ... Außerdem ist der Wartungs- und Installationsaufwand erheblich.

Willst du eine ordentliche Lösung, dann brauchst du einen dritten Router. Du verschiebst die Rechner aus LAN A in ein LAN C. LAN A besteht dann nur noch aus der Fritzbox und den beiden WAN Adressen der Router B und C. Dann kannst du die LANs B und C sicher voneinander trennen.
Möglicherweise kannst du auch mit Modifikationen in der Fritzbox was ausrichten, Stichwort VLANS. Ziel muss es auch da sein, über virtuelle Interfaces in der Box ein drittes LAN C zu generieren, in das du die Rechner aus LAN A verschiebst. Aber pass auf, dass die Box dann nicht direkt brav wieder Routet zwischen ihren beiden LANs A und C (das tut sie nämlich standardmäßig - sie ist schließlich ein Router).

Viele Grüße

Frank

 

[monaco69]

Ich kann vom NETZ B auf das Internet zugreifen aber leider auch auf die Rechner im NE

Hallo Frank,

erstmal vielen Dank für deine Ausführung. Leider ist ein Zugriff auch über Netbios möglich, denn alle Rechner in LAN A können über die Netzwerkumgebung von LAN B gesehen, sowie auch auf Freigaben zugreifen.

Ich hätte da noch einen Ansatz, muss das mal ausprobieren, aber mich interessiert deine Meinung dazu:

Wenn ich nun den DHCP vom Vigor mit einer anderen Subnetzmaske einrichte, wie z. B. 255.255.255.254 dann sind doch nicht alles Adressbereiche im LAN A auf Layer 3 erreichbar, aber der Zugriff auf das Gateway von LAN A schon, somit wäre der Internetzugriff sichergestellt.

Was meinst du, oder natürlich IHR

Vielen Dank für weitere Anregungen zu diesem Thema

Grüße, Stefan

 

[frank_m24]

Hallo,

Leider ist ein Zugriff auch über Netbios möglich, denn alle Rechner in LAN A können über die Netzwerkumgebung von LAN B gesehen, sowie auch auf Freigaben zugreifen.

Dann ist der Vigor nicht als NAT Router konfiguriert. Der Vigor 2500 z.B. konnte auch zwei Subnetze verwalten, und in einem davon arbeitet er nicht als NAT Router, sondern als vollwertiger Router. Vielleicht kann der 2200 das auch. Das ist die einzige Erklärung, warum du per NetBIOS auf LAN A zugreifen kannst.

Wenn ich nun den DHCP vom Vigor mit einer anderen Subnetzmaske einrichte, wie z. B. 255.255.255.254 dann sind doch nicht alles Adressbereiche im LAN A auf Layer 3 erreichbar, aber der Zugriff auf das Gateway von LAN A schon, somit wäre der Internetzugriff sichergestellt.

DHCP? Ich dachte, du richtest eine feste IP ein? Du meinst doch die WAN IP des Vigors, oder? In seinem LAN macht diese Subnetzmaske nämlich keinen Sinn.
Du musst es fest einstellen, da du den DHCP Server der Fritzbox wohl nicht so anpassen kannst, dass nur der Vigor eine andere Subnetzmaske bekommt (es sei denn, der Vigor ist der einzige DHCP Client). Allerdings bin ich bei zwei verschiedenen Subnetzmasken in einem LAN immer ein bisschen nervös. Eigentlich, theoretisch, müsste das funktionieren, wenn die IPs wirklich aus einem Subnetz sind (z.B 0 und 1, 2 und 3). Wie gesagt, eigentlich ...

Viele Grüße

Frank

 

[monaco69]

Hallo Frank

ja, du hattest recht, dass das icmp durchgeht und das netbios nicht, wobei der ping nur von lan B ins lan A funzt, ist vielleicht noch ein kleiner schönheitsfehler, denn das anpingen zu unterbinden wär halt auch nicht schlecht gewesen, seltsam nur, dass der ping von lan A nach lan B nicht geht...aber egal, ich hab leider nicht die zeit da noch weiter zu testen...ausser mir serviert hier jemand im forum die optimale lösung mit entsprechender anleitung....vielleicht stolpert ja ein übermotivierter student über das forum hier drüber...dir nochmals vielen dank für deine anregungen...gern hätt ich selber noch weitergetestet, habe jedoch eine 3 monate alte tochter die da etwas dagegen hat und das ist auch gut so, ich habe meine zeit gehabt....grüße und danke, stefan

 

[frank_m24]

Hallo,

seltsam nur, dass der ping von lan A nach lan B nicht geht...

Nee, gar nicht seltsam, sondern zwangsläufig so. Zum einen blockt der Vigor als NAT Router sämtliche reinkommende Pakete, die er keiner Portweiterleitung und keiner ausgehenden Verbindungen zuordnen kann. Zum anderen kennt der Rechner aus LAN A den Weg in LAN B gar nicht.

Viele Grüße

Frank