Verschachteltes Unternetzwerk

[jbraunm]

Ihr Lieben!
Hallo Wissende!

Nach langem Hin und Her will ich jetzt gerne einen Punkt dahinter machen. Ich bin "nebenbei" für einen Verein tätig und plane dessen Vernetzung von drei Gebäuden, auf einem Gelände.

Ihr dürft es euch so vorstellen:
[ Schema: Wer (Zugriff auf was) ]
- FREMD: Besucher, Kurse, Vorträge, Gäste (NICHT: Server, sonst wahlweise)
- NUTZER: Mitarbeiter des Vereins (Internet, Server, Drucker)
- MIETER: Mieter auf dem Gelände, können drucken (Drucker)
- SERVER: Zwei NAS-Server, ein Mailserver (Server)
- DRUCKER: Vier Netzwerkdrucker (Drucker)
- INTERNET: der Router selbst (Internet)

Ich würde dazu gerne die Netzwerke voneinander abgrenzen.
VLANs benötigen besondere Netzwerkkarten, fällt daher vorerst mal raus.

Ich möchte gerne mit möglichst wenig Kosten eine solche Verschachtelung aufbauen. Kann ich das mit Router hinter Router machen? Kann ich verschiedene Router (aka Switches) einsetzen und interne VPN-Verbindungen einplanen?

Wie können Großunternehmen denn eigentlich ihre zig Adressbereiche zusammenschalten, wie machen die das denn? (mal so als "Nice-to-know-Frage")

Gruß
jb

 

[gandalf94305]

Es gibt verschiedene Ansätze für die Umsetzung solcher Richtlinien...

ALTERNATIVE 1:
- Du nimmst für das LAN einen Adressbereich 10.0.0.0/8.
- Jedes Gerät, das ans LAN angeschlossen wird, kann vorher mit seiner MAC-Adresse registriert und dann einem bestimmten Adressbereich für die statische Vergabe einer Adresse zugeordnet werden. Beispiel: 10.0.x.x Router und Netzwerkkomponenten, 10.1.x.x Drucker, 10.2.x.x Server, 10.10.x.x vollberechtigte Endgeräte, 10.11.x.x teilberechtigte Endgeräte (z.B. nur DNS und HTTP/HTTPS nach draußen), 10.12.x.x unberechtigte Endgeräte (ohne Internetzugang).
- Im Router werden die entsprechenden Regeln für die Netzwerkbereiche (nicht Subnetze!!!) eingerichtet.
- Nachteil: jemand könnte eine falsche MAC-Adresse auf seinem Gerät setzen und damit mehr Rechte erschleichen.

ALTERNATIVE 2:
- Die Netzwerke werden wie bei Alternative 1 aufgesetzt, jedoch physisch oder per VLAN (kann auch erst auf Switch-Ebene erfolgen, benötigt also keine speziellen Netzwerkkarten) getrennt, d.h. als Subnetze.
- Der Router muss eine entsprechende Anzahl an LAN-Ports besitzen und per Firewallregeln die Zugangsberechtigungen der Subnetze umsetzen.
- Nachteil: die Berechtigung ist damit an die Netzwerkdose gekoppelt, kann jedoch für einen Raum einheitlich ohne Umgehungsmöglichkeit gewählt werden.

Ein Netzwerk mit mehrfachen Routern würde ich vermeiden, da das zu einer recht hohen Komplexität der Verwaltung führt, die Du nicht wirklich angehen möchtest ;-)

Kann ich verschiedene Router (aka Switches) einsetzen und interne VPN-Verbindungen einplanen?

Ein Router ist ein Router und ein Switch ist ein Switch. "aka" = "also known as" = "auch bekannt als" passt hier nicht.

Was willst Du mit VPN-Verbindungen?

--gandalf.

PS: Mach's nicht zu kompliziert.

 

[RantanPlan5]

Salü JB

die einfachste Variante wäre das Setzen der SubNetz-Masken.
Default ist ja 255.255.255.0 bei Class C, wie bei Fritzboxen 192.168.178.x (x=1-254)
Wenn die letzte Gruppe nicht 0 ist, sondern einen Wert hat, kann der PC nur auf die zugelassenen IP'-Adressen zugreifen.
Zum ersten Einlesen: [URL="]www.brielbeck.de/data/Subnetz.pdf[/URL]

Gruß
Frank

 

[jbraunm]

Was willst Du mit VPN-Verbindungen? --gandalf.
PS: Mach's nicht zu kompliziert.

VPN-Verbindungen soll man als Nutzer eines fremden Netzwerks (etwa von zuhause, oder als Mieter mit eigenem DSL) nutzen können, um auf das Druckernetz zugreifen zu können.

Danke, gandalf. Ich gebe mir Mühe, es einfach zu halten... schon aus Eigenerhaltungswillen (Das Leben ist kein Wünschdirwas, auch wenn der Auftrag des DAU an den ITK-Menschen immer so aussieht also ob...)

 

[jbraunm]

So, ich habe jetzt den restlichen Tag mit IP-Subnetzen, Adressbereichen und Routing zugebracht. Und das bei diesen Temperaturen...

Gandalf, deine Empfehlungen habe ich dabei natürlich beachtet, ganz schlau bin ich aber noch nicht.

zu Alternative 1:
a) Der Adressbereich 10.0.0.0/8 ist verständlich.
b) Mac-Filterung. Wo stelle ich die MAC-Filterung ein, in Abhängigkeit zum Forwarding? Mir ist eine MAC-Filterung bekannt, aber eher als Ablehnung von fremden Rechnern... - hast du mir (irgendeinen) Router, wo ich das mal im Handbuch durchlesen kann, wie das aussehen könnte?
Oder stelle ich diverse Router auf, und jedem Router gebe ich die Nutzer-Mac-Adressen frei, jeweils einzeln?

zu Alternative 2: Subnetze
Der Router kann VLAN, dann wird das wahrscheinlich sogar einigermaßen per Web-Menü pflegbar sein. Oder eben, ich hab mehrere Router und mache händisch die Subnetze.
Toll, weil die Netzwerkdose dann fix und fertig gepolt ist.

Unbeantwortet blieb jetzt jedoch: Wenn ich jetzt wie gewünscht mehrere verschiedene Nutzer-Szenarien habe, wie bekomme ich die dann noch zusammen?

a) 10.0.x.x Router und Netzwerkkomponenten (Subnet 10.0.255.255, Gateway 0.0.0.0 ?),
b) 10.1.x.x Drucker (Subnet 10.1.255.255),
c) 10.2.x.x Server (Subnet 10.2.255.255),
d) 10.10.x.x vollberechtigte Endgeräte,
e) 10.11.x.x teilberechtigte Endgeräte (nur DNS und HTTP/HTTPS),
f) 10.12.x.x unberechtigte Endgeräte (ohne Internetzugang)

Im Fall von d also gebe ich Routing nach a, b und c frei,
im Fall von e nur das Routing zu a,
im Fall von f gar kein Routing?

Ist das so korrekt? Wie funktioniert das nun mit den Gateways? Ich habe mir bei Wikipedia Routingtabellen angesehen, allerdings verstehe ich die Umsetzung auf das Szenario nicht, das für mich passen würde...

Wer kann da jetzt ins WWW, wer kann ins 192.168.0.0 rein? Kann man von allen Netzen auf alle Netze zugreifen? Wenn ja, was bringt das dann - ich will ja eben die Nutzer explizit berechtigen...

 

[RalfFriedl]

Du mußt auf dem Router noch Regeln hinterlegen, wer auf was zugreifen darf. Unter Linux kann man dafür iptables verwenden.

 

[gandalf94305]

Zunächst mal reicht als erster Ansatz die Zuordnung von IP-Adressen aus den jeweils passenden Bereichen für die drei Gruppen von Endgeräten auf Basis ihrer MAC-Adressen. Das wird in einer DHCP-Konfiguration zu erledigen sein.

- Vom Router wird per DHCP an alle Endgeräte eine IP-Adresse vergeben. Ist keine statisch definiert, erhält das Endgerät eine aus 10.12.x.x. Alle Endgeräte erhalten den Router als DNS-Server und als Defaultrouter.

- Im Router werden Firewallregeln definiert, die Zugriffe von innen nach draußen generell verbieten und nur folgendes freigeben:
* 10.11.x.x any/tcp -> Internet 80/tcp, 443/tcp (das deckt natürlich nur die Ports http und https ab. Für alles weitere müsste man wohl eher einen HTTP-Proxy einsetzen)
* 10.10.x.x any/any -> Internet any/any
* 10.2.x.x Freigaben für den Internetzugriff für die Server je nach Bedarf
Wie diese Regeln genau aussehen, hängt vom Router ab.

- Ein Nutzer kommt zu Dir mit einem neuen Endgerät. MAC-Adresse ist 11:22:33:44:55:66. Du teilst ihm aufgrund der Berechtigungen dieses Nutzers eine IP-Adresse z.B. 10.x.0.29 zu und trägst das in den Router unter der genannten MAC-Adresse als statische Zuordnung ein.

- Schließt der Benutzer nun das Endgerät an, erhält es die benannte IP-Adresse und als Defaultrouter/DNS-Server den Router selbst. Die oben aufgeführten Regeln definieren nun den Zugriff auf das Internet.

--gandalf.

 

[RalfFriedl]

Das wird in einer DHCP-Konfiguration zu erledigen sein.

Das schützt aber nicht davor, daß jemand manuell eine andere IP-Adresse eingibt.

 

[gandalf94305]

Natürlich... caveats gibt es immer... dafür muss man dann aber entweder mit einer Proxy-Authentisierung arbeiten oder deutlich mehr an Eisen als Router verwenden. IMHO Overkill, da das Missbrauchspotential bei der Zielgruppe überschaubar sein dürfte ;-)

--gandalf.