Jump to content
Sign in to follow this  
mriess

Rechner in kleinem Netz sollen unterschiedliche Ziele haben

Recommended Posts

Hallo zusammen,

eventuell könnt ihr mir ja mit Ideen zu folgendem Problem weiterhelfen:

 

Kleine Aussenstellen unserer Firma sind mit 80xer-Routern und VPN zur Zentrale verbunden. D.h. die Rechner in den kleinen Netzen gehen nicht direkt ins Internet, sondern werden gleich über den Tunnel ins Firmennetz geleitet, um dort die Sicherheitsfeatures mit zu nutzen.

 

Nun besteht die Anforderung, dass sich externe Personen in den Aussennetzen einstecken sollen, die aber aus Sicherheitsgründen nur ins Internet kommen dürfen. Auf dem Router sehe ich da kein Problem, aber wie unterscheide ich die Rechner im Aussennetz?

 

Wie könnte man das realisieren?

- 2 Vlans in den Netzen machen und das eine über den Tunnel, das andere direkt ins Internet schleusen? (Wir haben auch Cisco-Switche in den Aussenstellen).

- Aber wie könnnen wir technisch realisieren, dass die externen Rechner auch als solche erkannt werden und automatisch in das passende Vlan kommen? Im Hauptnetz verwenden wir zwar VMPS, aber ich würde das eher nicht in die Aussennetze promoten (Verbindungs- und Ausfallsicherheit). Und ein extra VMPS für die Aussennetze aufbauen wird sich nicht lohnen.

 

Klar ginge es organisatorisch, dass man spezielle Ports für die Externen reserviert, aber aus Sicherheitsgründen ist das nur die zweitbeste Lösung.

 

Also: noch Ideen oder Fragen?

 

Gruß

Mick

Share this post


Link to post

Hallo,

die "externen" wählen sich ja vermutlich per VPN ins Firmennetz ein. Wenn dem so ist, kannst du doch die VPN-User in eine seperates Subnetz stecken...

Aber warum sollte sich denn jemand per VPN (z.B. über Internet) in die Firma einwählen um dann wieder zurück ins Internet zukommen ??

Share this post


Link to post

nicht einwählen, sondern direkt einstecken.

Die externen Dienstleister sind in der Aussenstelle und brauchen dort halt Internetzugang. Aber sonst sollen sie gerade nicht ins Firmennetz kommen.

Share this post


Link to post

Wenn sich jemand per Kabel in eine Infrastruktur einklinkt, dann ist er doch im physikalischen Netz. Oder nicht? Was ist denn unter Firmennetz zu verstehen in diesem Fall?

Share this post


Link to post

ja, das Ganze ohne Zeichnung zu machen, ist schwierig.

Ich versuchs nochmal zu erklären:

 

Es gibt zwei Netze

Netz A = Aussenstelle

Netz B = großes Netz am Hauptsitz

 

A hat zu B eine permanente VPN-Verbindung.

In A sollen sich nun externe Personen an den Switch stecken können und ins Internet kommen, aber nicht nach B. Ausserdem sollen diese Externen in A von den Firmenmitarbeitern getrennt sein.

Share this post


Link to post

achso.... OK!

Also wenn du das per WLAN lösen kannst/willst, ist es eigentlich recht einfach. Da kannst du eben dem WLAN-Netz den Zugriff auf das "interne" Netz verbieten. Wenn du das mit einer LAN-Lösung machen willst, wird's schon ein wenig schwieriger. Ich vermute, die externen oder auch Gäste benutzen dann die gleichen LAN-Dosen wie die Mitarbeiter?! In diesem Falle könnte man es über MAC-Filter machen, aber das ist eher ungeeignet oder aber du legst einen Gast-User an, der eben nur auf bestimmte Resourcen zugriff hat...

Share this post


Link to post

Alternative zu VMPS wäre 802.1x, aber da bist du auch von der Zentrale abhängig, denn da würden wahrscheinlich die Radius Server stehen....

 

/#9370

Share this post


Link to post
In A sollen sich nun externe Personen an den Switch stecken können und ins Internet kommen, aber nicht nach B. Ausserdem sollen diese Externen in A von den Firmenmitarbeitern getrennt sein.
VLAN wäre wohl die Lösung, so der Switch es kann.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...