Sichere Trennung WLAN und LAN-Clients (FBF 7170)

Toggle sidebar Toggle sidebar
Upgrade 3CX to v18 and get it hosted free!
E

ESLALO001

Neuer User
Mitglied seit
16 Dez 2004
Beiträge
28
Punkte für Reaktionen
0
Punkte
0
Hallo Zusammen,

um eine sichere Trennung meines kleinen Firmennetzwerkes zu den Clients meiner Jungs zu bewerkstelligen, habe ich folgende Einstellungen vorgenommen:

Firmennetzwerk-Clients nur über LAN an FBF angeschlossen.
Clients meiner Jungs gehen nur über WLAN ins Internet und sind nicht in der Domain angemeldet (nur Mitglied einer Arbeitsgruppe)

In der FBF habe ich die Möglichkeit der verschiedenen Subnetze (Alle Computer befinden sich im selben IP-Netzwerk - deaktiviert) benutzt, so das das Firmennetzwerk z.B. unter 192.168.500.* und die PCs der Jungs unter 192.168.600.* erreichbar sind.

Damit war ich der Meinung das eine saubere Trennung gegeben ist, bis ich per Zufall festgestellt habe das von 192.168.600.100 (PC Jungs) ein Ping an die FBF unter 192.168.500.1 ging.

Eine Anfrage beim AVM-Support ergab, das es nicht ganz auszuschliesen ist das die FBF (es ist nunmal ein Router :noidea: ) auch unter verschiedenen Subnetzen routet.

Nun meine Frage:

Gibt es für die 7170 (neuste Firmware) einen Mod mit dem ich eine strickte Trennung der Subnetze bewerkstelligen kann ?

Environment:

FBF 7170 - Firmware: 29.04.29
Firmennetzwerk mit Windows 2003 Server
Clients Windows 2000 und XP Clients.
Die PCs meiner Jungs haben alle Windows XP und sind auf den aktuellen Stand.

Hat jemand einen Tipp für mich ?

Danke

Andreas
 
Zuletzt bearbeitet:
Hallo,

ESLALO001 schrieb:
Eine Anfrage beim AVM-Support ergab, das es nicht ganz auszuschliesen ist das die FBF (es ist nunmal ein Router :noidea: ) auch unter verschiedenen Subnetzen routet.
Zum Vergrößern anklicken....
Nicht auszuschließen? :D Das ist ganz sicher so. Ist sogar dokumentiert.

ESLALO001 schrieb:
Gibt es für die 7170 (neuste Firmware) einen Mod mit dem ich eine strickte Trennung der Subnetze bewerkstelligen kann ?
Zum Vergrößern anklicken....
Mit iptables aus dem DS-Mod vielleicht. Erfordert aber einiges Hintergrundwissen über Firmware-Mods, Linux und Firewalls.

Ganz sicher wäre es, dein Firmennetz hinter einen zweten NAT Router zu hängen. Dann ist Schluss, da kommen deine Jungs nicht durch.

Viele Grüße

Frank
 
Hallo Frank,

danke für die Antwort.
Mir scheint es so als ob AVM da nicht ganz sauber programmiert hat. Wenn ich zwei verschiedene Subnetze einrichte dürfte ein "übergreifen" nicht möglich sein.
Kann aber auch sein das dieses technisch in einen Router nur dann zu realisieren ist wenn doppelte Hardwarekomponenten vorhanden sind. Und das scheint bei der FBF wohl nicht zu sein.

Gruss

Andreas
 
Hallo,

ESLALO001 schrieb:
Mir scheint es so als ob AVM da nicht ganz sauber programmiert hat. Wenn ich zwei verschiedene Subnetze einrichte dürfte ein "übergreifen" nicht möglich sein.
Zum Vergrößern anklicken....
Darüber kann man streiten. Ich z.B. halte es für die Aufgabe eines Routers, zwischen seinen Subnetzen zu routen. Will man das nicht, so muss man andere Maßnahmen ergreifen.

ESLALO001 schrieb:
Kann aber auch sein das dieses technisch in einen Router nur dann zu realisieren ist wenn doppelte Hardwarekomponenten vorhanden sind. Und das scheint bei der FBF wohl nicht zu sein.
Zum Vergrößern anklicken....
Was heißt "doppelte Hardware Komponenten"? Die 7170 kann unterschiedliche Subnetze für LAN und WLAN einrichten, also genau für ihre zwei Netzwerkomponenten. Man kann verhindern, dass Datenverkehr zwischen diesen beiden Komponenten ausgetauscht wird. Aber wie gesagt: Ich halte das nicht für korrekt.

Viele Grüße

Frank
 
Hallo,
versuche es doch einfach mal mit anderen (gültigen) Subnetzen.

192.168.600.*
192.168.500.*

sollten meines Wissens nach keine gültigen Subnetze sein (da die daraus resultierenden IPs ungültig sind). Zum Aufbau einer IPV4 Adresse siehe:
http://de.wikipedia.org/wiki/IP-Adresse

Zitat:
"Die seit der Einführung der Version 4 des Internet Protocols überwiegend verwendeten IPv4-Adressen bestehen aus 32 Bits, also 4 Oktetts (Bytes). Damit sind 232, also 4.294.967.296 Adressen darstellbar. In der dotted decimal notation werden die 4 Oktetts als vier durch Punkte voneinander getrennte Dezimalzahlen im Bereich von 0 bis (einschließlich) 255 geschrieben.."

In Klasse C Netzen (siehe: http://de.wikipedia.org/wiki/Netzklasse), dazu gehört dein Heimnetzwerk, sind nur Adressen im Bereich:
192.0.0.0 - 223.255.255.255
erlaubt.

Ums auf deinen Adressbereich umzumünzen, es wären Subnetze bis maximal 192.168.255.* gültig.

Wundert mich irgendwie das das bei dir überhaupt soweit funktioniert.

Gruß,
Master
 
Um antworten zu können musst du eingeloggt sein.
Kostenlos!
Jetzt holen

Neueste Beiträge

Kategorien

Wissenswertes

Zurzeit aktive Besucher

Gesamt: 414 (Mitglieder: 36, Gäste: 378)

Statistik des Forums

Themen
247,973
Beiträge
2,278,073
Mitglieder
377,063
Neuestes Mitglied
djdelicioux

3CX jetzt einen Monat kostenlos testen

Die Verbindung, Zusammenarbeit und Kommunikation mit Ihrem Team und Ihren Kunden war noch nie so einfach. Nutzen Sie unsere kostenlose 30-Tage-Testversion und entdecken Sie die richtige Lösung für Ihr Unternehmen.

3CX start your free trial guy
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten