Traffic für das eigene Subnetz zum Router schicken?

[Poison Nuke 10]

Hallo,

 

wie kann man Windows (egal welche Version ab XP aufwärts) beibringen, dass auch das eigene Subnetz in dem sich der Rechner befindet, ausschließlich über den Router erreichbar ist?

 

Hintergrund: private VLANs auf dem Switch. eine reine Layer2 basierte Kommunikation ist damit unmöglich und ist auch Sinn und Zweck davon. Linux überzeuge ich recht einfach davon dass sein eigenes Subnetz ebenfalls nur über die Defaultroute erreichbar ist, in dem ich einfach eine Route eintrage.

 

Nur wie sage ich das Windows? Wenn ich ROUTE ADD mache, dann existieren da dennoch erstmal die ganzen anderen Routen für das eigene Subnetz die offenbar vorrang haben und ich kann sie nicht entfernen :(

[Franz2 10]

Hallo,

was willst du damit erreichen.

Private Vlans sind eigentlich dazu da Traffic zwischen den Clients zu verhindern.

 

Vielleicht kannst du kurz erklären warum es Traffic zwischen den Hosts geben soll.

[Poison Nuke 10]

Was soll man da groß erklären? Es soll lediglich verhindert werden das irgendeine Kommunikation auf Layer 2 Basis abläuft außer die Kommunikation zum Router. sämtliche andere Kommunikation muss über Layer 3 laufen. Eben genau das wozu private VLANs da sind. Verhindert MAC Spoofing und DHCP Snoofing und viele andere Sachen.

 

 

Die Frage ist halt nur, wie sage ich Windows, dass es das eigene Subnetz auch nur über den Router erreichen kann...ist halt von der Logik her etwas gegen die normale Netzwerklogik daher wird Windows da verständlicherweise ein Problem haben nur unter Linux geht es ja auch recht easy.

[zahni 521]

Selbst wenn da funktionieren sollte, was soll das genau bringen ? Verstehe ich nicht.

 

Ein Hacker findet "seinen" Weg auch zum Router.

 

Hats Du mal probiert was passiert, wenn Du den Default für den Subnet, der normal auf Deine lokale Adresser zeigt, auf den Router umbiegst ? K.A. ob das geht, währe aber einen Versuch wert .

 

 

 

Mal

[IThome 10]

Eine solche Route lässt sich eintragen, mit geringerer Metrik, aber ob das funktioniert ?! Ich weiss aber auch nicht, was als Ergebnis heraus kommen soll ... :D

[Poison Nuke 10]

genau das bekomm ich eben nicht hin...zumindest nicht mit den Routebefehlen. Und da viele User ihre Windowsfirewall nutzen wollen ist das nutzen von Routing und RAS vorerst keine Option, würde ich zumindest versuchen zu vermeiden.

 

 

und von den ganzen Layer 2 Attacken habt ihr noch nie was gehört?

Zudem es nicht möglich sein soll, dass jemand Pakete mitsnifft solange sie nicht direkt zu ihm gehören. Eigentlich könnte man private VLANs als eine der besten Netzwerkerfindungen diesen Jahrhunderts bezeichnen, weil sie massiv viele Sicherheitsprobleme lösen. Nur Windows mags offenbar nicht.

 

 

im übrigen, die PPPoE Verbindungen bei euren ISPs sind im Endeffekt auch nichts anderes wie pVLANs, nur das hier noch eine Authentifizierung stattfindet. So extrem muss es dann bei uns nicht sein, die Layer2 Abgrenzung ist schon mehr als genug :)

[zahni 521]

Du kannst selbstverständlich Deinen PC's eine Subnetmask von 255.255.255.254 mitgeben, wie bei PPPoE. Das muss dann nur noch Dein L3-Switch verstehen ;)

 

Wer sagt, dass bei RAS die Firewall nicht funktioniert ?

 

Vielleicht schreibst Du doch mal genu, was Du genau erreichen willst.

Im LAN ist für Security IPSec die beste Wahl. Da kommt keiner ohne Schlüssel rein udn "Mitsniffen" geht auch nicht. Wobei das bei einem normalen Switch eh nicht geht. Da siehst Du auch nur "Deine" Pakete und die Broadcasts / Multicasts aus dem Subnet.

 

-Zahni

[Stephan Betken 43]

Aber was spricht denn dagegen, den VLANs eigene Netzwerkadressen zuzuweisen?

[zahni 521]

Das könnte auch gehen: Jedem PC sein VLAN :D

 

Hoffentlich hat der Router genug Power...

 

Den Sinn zweifle ich aberr immer noch an. Auch ein Hacker kann die VLAN-ID auf seinem "PC" einstellen. VLAN's sind IMHO nicht für Security-Dinge da.

 

-Zahni

[Dukel 436]

Hast du 2 VLans aber beiden haben das gleiche Subnetz?

[Poison Nuke 10]

hui nicht so viel aufeinmal.

 

 

also eigentlich hatte ich nicht vor das Konzept als solches zu klären. in einem reinen Ciscoforum wäre jetzt wohl schon der Krieg ausgebrochen bei euren Rückantworten :D

 

 

also ich will hier eigentlich nicht auf das Konzept von pVLANs an sich eingehen. das ist einfach zuviel für den Thread, es gehr mir hier grundlegend um das Problem mit Windows.

 

 

kurz zu den Alternativen: die Anzahl der VLANs (4096) würde nicht ausreichen für alle angeschlossenen PCs. Die Anzahl der IP Adressen würde bei weitem nicht ausreichen um für jeden PC gleich 4 IPs zu verschwenden (Network, Broadcast, IP, GW), die RIPE würde uns den Kopf abhacken wenn wir in der heutigen Zeit so verschwenderisch mit IPv4 Adressen umgehen würden.

 

und für einen Hacker ist es nebenbei unmöglich Pakete aus einem anderen VLAN zu empfangen, wenn man ihn nicht gerade an einen Trunkport anschließt und alle VLANs auf diesem Trunk erlaubt. Weil in dem Fall könnte man sich die VLANs gleich sparen.

 

Und in einem größeren Netzwerk, wenn man der Router einen Adressaten nicht kennt, dann fliegen da auch schonmal Unicastpakete durchs Netz. Sind zwar nicht viele aber bei einem komplett gefüllten ClassC Netz kann es unter umständen mal vorkommen, jenachdem wieviele Millionen Pakete pro Sekunde da gerade rein oder rausgehen. In einem kleinen Netz fällt es halt nie auf weil die statistische Wahrscheinlichkeit recht gering ist aber je größer das Netz wird desto öfter passiert es.

 

Auch IPsec ist nur eine End to End Verschlüsselung, daher nicht nutzbar für diese zwecke.

 

pVLANs sind mehr oder weniger des Weisheits letzter Schluss. Punkt. Für weitere Diskussionen sollte das ganze ins Ciscoforum verschoben werden.

 

 

 

Es soll jetzt ausschließlich die Frage geklärt werden, ein WindowsPC der in einem ClassC Netz ist das mit pVLANs abgegrenzt ist, wie man diesen davon überzeugt die Rechner im gleichen Netz zu erreichen.

Windows Firewall mit ROuting und RAS...wie sollte das denn gehen?

[zahni 521]

Sorry, ich verstehe das Konzept immer noch nicht.

 

Zu IPSec:

 

IPsec ? Wikipedia

 

Man das auch mit Zertifikaten machen. Jeder PC, der im Besitz des Zertifikats ist, darf am IP-Netz teilnehmen. Was würde Deiner Meinung nach nicht funktionieren ? Ohne kryptografische Lösungen kannst Du Netze heute nicht sicher machen. Einen Hacker kannst Du nicht daren hindern sich an die selbe Buchse wie ein "erlaubter" PC zu stecken. Die VLAN-ID (das ist nur eine Ergänzung "Tag" im Frame) und MAC-Adresse des erlaubten PC bekommt man leicht raus.

 

Edit: Sowas könnte auch was für Dich sein:

 

http://en.wikipedia.org/wiki/Nortel_Secure_Network_Access

 

"Anmeldung" am Switch, arbeite mit NAP von MS zusammen.

 

-Zahni

[Poison Nuke 10]

keiner hat physikalisch Zugriff zu den Switchen und Computern außer die Administratoren. Alle User arbeiten remote. Da kann sich keiner einfach mal so an einen Switchport anstecken oder so. Und da die VLAN Tags vom Switch erzeugt werden ist es definitiv unmöglich für einen teilnehmenden Rechner da ein anderes VLAN Tag zu bekommen.

 

 

Und ich frage hier nicht nach alternativen. Diese sind nämlich fast alle gar nicht umsetzbar. Und meine Frage richtet sich hier auch nicht nach alternativen ich will einfach wissen wie man Windows dazu bringt auch das lokale Subnetz über den Router anzusprechen. Mehr nicht.

[zahni 521]

Howto zum MAC-Adressen und VLAN-ID rausbekommen:

 

Externen Sniffer nehmen, zwischen LAN-Dose und PC stecken, PC hochfahren, kurz auf die ersten Frames gucken, die der PC schickt, MAC-Adresse und VLAN-ID kennen. Nun PC abklemmen und mitgebrachten NB anstöpseln - fertig.

 

Ich versuche Dir nur zu erklären, dass Deine Lösung eventuell nicht so gut ist wie Du glaubst. Sonst wäre da schon jemand anders drauf gekommen...

 

-Zahni

[Poison Nuke 10]

würdest du bitte meine Beiträge erstmal richtig lesen. NIEMAND außer mir und die anderen Administratoren hat physikalisch Zugang zum Rechenzentrum. Es kann da einfach keiner mal eben was umstecken. Schön das man auf deine Weise da irgendwie die VLAN_ID rausbekommen könnte, aber das geht vllt zuhause oder in einem normalen Büroumfeld aber das wars auch schon. Ganz so **** bin ich ja nun auch nicht.

 

 

und jetzt nochmal kurz und deutlich: dieser Thread ist nicht dazu gedacht die Vor- und Nachteile von pVLANs zu erklären. Dieser THread ist dazu gedacht das o.g. Problem mit Windows zu umgehen. Mehr nicht.

 

 

Wenn Interesse besteht kann ich auch gern einen Thread im Ciscobereich aufmachen bezüglich pVLAN, weil mir scheint die wenigsten hier wissen überhaupt worum es da geht und stellen lediglich wild irgendwelche Vermutungen an ohne den Hintergrund zu kennen. Nur ich dachte es wäre möglich dass man erstmal grundlegend die Frage klärt um die es in einem Thread geht, weil wenn der Threadersteller vllt mehrfach darauf hinweist könnte es schon sein das er weiß wovon er redet, oder etwa nicht? ;)