Jump to content

Rechner in kleinem Netz sollen unterschiedliche Ziele haben


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

eventuell könnt ihr mir ja mit Ideen zu folgendem Problem weiterhelfen:

 

Kleine Aussenstellen unserer Firma sind mit 80xer-Routern und VPN zur Zentrale verbunden. D.h. die Rechner in den kleinen Netzen gehen nicht direkt ins Internet, sondern werden gleich über den Tunnel ins Firmennetz geleitet, um dort die Sicherheitsfeatures mit zu nutzen.

 

Nun besteht die Anforderung, dass sich externe Personen in den Aussennetzen einstecken sollen, die aber aus Sicherheitsgründen nur ins Internet kommen dürfen. Auf dem Router sehe ich da kein Problem, aber wie unterscheide ich die Rechner im Aussennetz?

 

Wie könnte man das realisieren?

- 2 Vlans in den Netzen machen und das eine über den Tunnel, das andere direkt ins Internet schleusen? (Wir haben auch Cisco-Switche in den Aussenstellen).

- Aber wie könnnen wir technisch realisieren, dass die externen Rechner auch als solche erkannt werden und automatisch in das passende Vlan kommen? Im Hauptnetz verwenden wir zwar VMPS, aber ich würde das eher nicht in die Aussennetze promoten (Verbindungs- und Ausfallsicherheit). Und ein extra VMPS für die Aussennetze aufbauen wird sich nicht lohnen.

 

Klar ginge es organisatorisch, dass man spezielle Ports für die Externen reserviert, aber aus Sicherheitsgründen ist das nur die zweitbeste Lösung.

 

Also: noch Ideen oder Fragen?

 

Gruß

Mick

Link zu diesem Kommentar

ja, das Ganze ohne Zeichnung zu machen, ist schwierig.

Ich versuchs nochmal zu erklären:

 

Es gibt zwei Netze

Netz A = Aussenstelle

Netz B = großes Netz am Hauptsitz

 

A hat zu B eine permanente VPN-Verbindung.

In A sollen sich nun externe Personen an den Switch stecken können und ins Internet kommen, aber nicht nach B. Ausserdem sollen diese Externen in A von den Firmenmitarbeitern getrennt sein.

Link zu diesem Kommentar

achso.... OK!

Also wenn du das per WLAN lösen kannst/willst, ist es eigentlich recht einfach. Da kannst du eben dem WLAN-Netz den Zugriff auf das "interne" Netz verbieten. Wenn du das mit einer LAN-Lösung machen willst, wird's schon ein wenig schwieriger. Ich vermute, die externen oder auch Gäste benutzen dann die gleichen LAN-Dosen wie die Mitarbeiter?! In diesem Falle könnte man es über MAC-Filter machen, aber das ist eher ungeeignet oder aber du legst einen Gast-User an, der eben nur auf bestimmte Resourcen zugriff hat...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...