Zick.er 10 Geschrieben 17. März 2011 Melden Teilen Geschrieben 17. März 2011 (bearbeitet) Hallo, Ich habe folgendes Anliegen: Haus A ist ein Büro hat eine Domain mit S-DSL-Business mit einen "Lancom 1721 VPN. Haus B ist ein Privat-Grunstück und möchte das Internet aus Haus A, soll aber kein Zugriff aufs Firmen-Netzwerk haben & soll nicht in die Domain. Das dient dem Zweck das niemand aus den Privaten Haus auf das Netzwerk zugreifen kann. Zudem soll jeder Ethernet-Anschluss(Also Internet-Zugriff) von Haus B "abschaltbar" sein. Ein Patchkabel liegt bereits von Haus A zu B. Oder anders ausgedrückt: Ich möchte ein 192.168.1.* Netzwerk mit einem 192.168.2.* Netzwerk mit dem selben Gateway(Lancom1721 VPN) Hoffe Ihr könnt mir helfen, MfG Zick.er:) bearbeitet 17. März 2011 von Zick.er Zitieren Link zu diesem Kommentar
lebron 10 Geschrieben 17. März 2011 Melden Teilen Geschrieben 17. März 2011 Hallo Zick.er, erklär uns doch bitte mal genauer um was es hier eigentlich geht. Mit den Angaben Haus A und Haus B versteht niemand, was du wirklich erreichen willst. Zitieren Link zu diesem Kommentar
inno-it 10 Geschrieben 17. März 2011 Melden Teilen Geschrieben 17. März 2011 Ich kenne den Lancom nicht. Normalerweise legt man deine beiden Netze auf jeweils einen Port am LanCom und reglementiert dann entsprechend. So kenn ich das nur von anderen Firewalls. Somit wäre beispielsweise 192.168.1.* an Port A, 192.168.2.* an Port B und S-DSL an Port C. Nun kann man regeln, dass Port A und B auf Port C zugreifen können, aber die Verbindung zwischen A und B ist nicht erlaubt. Ich gehe mal davon aus, dass das der Lancom auch kann. Zitieren Link zu diesem Kommentar
RalphT 15 Geschrieben 18. März 2011 Melden Teilen Geschrieben 18. März 2011 Du kannst bei Deinem Lancom das Intranet auf 192.168.1.0 /24 legen. Die DMZ auf 192.168.2.0/24. Das Gerät meine ich, hat 4 Ports. Du kannst beim Lancom jeden der 4 Ports so belegen, wie Du es benötigtst. Also z.B. Intranet auf Port 0+1 und DMZ auf 2+3. Somit hast Du schon mal 2 verschiedene Subnetze. Anschließend legst Du im Lancom Regeln in der Firewall an. Dort könnte man z.B. folgendes Szenario einstellen: Alles vom Intranet zur DMZ erlauben. Und nichts von der DMZ zum Intranet erlauben. Das wäre nur ein von ganz vielen Beispielen. Der DSL-Zugung ist für beide zugänglich. Aber auch hier kann man im Lancom z.B. gewisse Seite nur für die DMZ verbeiten. Also der Spielraum ist hier sehr hoch. Auch kann man das Internet für die DMZ "abschalten" so wie Du es nennst. Auch dieses lässt sich zeitbasiert steuern. Zitieren Link zu diesem Kommentar
Malzwei 10 Geschrieben 18. März 2011 Melden Teilen Geschrieben 18. März 2011 RalphIT hat recht. Bei dem Lancom kannst Du einzele Ports einer DMZ zuweisen. Hier kannst Du dann das Private Netz als DMZ deklarieren und somit hast Du Dein Ziel erreicht. Natürlich musst Du Dich ein bißchen mit Firewallregeln befassen, damit der Verkehr ins Internet, aber nicht ins FirmenLAN zulässig ist, sprich DMZ > Internet zulässig, aber nicht DMZ > LAN und nicht LAN > DMZ. Auch musst Du darauf achten, dass keine unnötigen ports nach DMZ offen sind... Firewall eben... Grüße Zitieren Link zu diesem Kommentar
Zick.er 10 Geschrieben 19. März 2011 Autor Melden Teilen Geschrieben 19. März 2011 Danke für die Antworten, na da muss ich wohl noch meine Hausaufgaben machen. Aber das ist schon mal ein super Ansatz! Vielen dank. Giebt es evet auch eine Lösung wo ich 2 PC aus dem Privaten Haushalt fürs Büro-Netz habe und der Rest in einem seperaten Netz ist? Grund 2 Personen wollen von dem Privat Gebäude aufs Netzwerk zu greifen (1x LAN 1x WLAN). Die Restlichen 3 PC's sollen halt ihr eigenes Netz kriegen und kein Zugriff außer Internet. Ein neues Gerät als Access Point wird ja in diesem Fall 100% benötigt. Giebt es eventuell ein Gerät womit ich das alles realisieren kann? MfG Zick.er Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 19. März 2011 Melden Teilen Geschrieben 19. März 2011 (bearbeitet) Ich meine, es gibt mehrere Möglichkeiten, sowas zu regeln. - VLANs - verschiedene IP-Segmente - Access Control Lists - keine Gatewayadresse Ein Rechner, der nicht ins Internet soll, der erhält eben keinen Gatewayeintrag in der TCPIP-Konfiguration. Man kann zwei IP-Segmente einrichten: 192.168.0.x/24, 192.168.1.x/24, Rechner für beide Netzwerke erhalten Adressen aus beiden Segmenten. Entscheidend ist nicht der Zugriff auf ein Netzwerk, entscheident ist der Zugriff auf Server des Netzwerkes, an denen ist entscheidend die Berechtigungen auf Freigaben und die Sicherheit auf die dahinterliegenden Ressourcen. bearbeitet 19. März 2011 von lefg Zitieren Link zu diesem Kommentar
Zick.er 10 Geschrieben 19. März 2011 Autor Melden Teilen Geschrieben 19. März 2011 Entscheidend ist nicht der Zugriff auf ein Netzwerk, entscheident ist der Zugriff auf Server des Netzwerkes, an denen ist entscheidend die Berechtigungen auf Freigaben und die Sicherheit auf die dahinterliegenden Ressourcen. Das ist wohl wahr, die Zugriffe sind natürlich nur über die Domain steuerbar. wollte nur auf "Nummer-sicher-gehen". Man kannt zwei IP-Segmente einrichten: 192.168.0.x/24, 192.168.1.x/24, Rechner für beide Netzwerke erhalten Adressen aus beiden Segmenten. Ich werde es wahrscheinlich so realisieren das ich euren Tipp mit dem 2 IP-Segmenten aufnehme und noch einen 2ten Router hinzunehme und über dessen Ports die Netze steuer. Desweiteren könnte ich die einzelnen Ports deaktivieren um somit meine 2te Anforderung zu erfüllen.(Die 3 Privat Rechner seperat vom Internet trennen zu können) vielen lieben dank ihr seiht spitze ;) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 19. März 2011 Melden Teilen Geschrieben 19. März 2011 Man schaue mal, ob das LAN-Interface des Router mit zwei IPs konfigurierbar ist! Es gibt noch eine weitere Möglichkeit: Supernetting. Die IP des Routers stände damit in beiden Netzen (192.168.0.x/23). Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.