Wie viele Router brauche ich für 2 verschiedene Subnetze?
Mein Plan ist es in meinem Heimnetz zwei verschiedene Subnetze zu bauen. Beide sollen nicht miteinander kommunizieren können aber ins Internet können. Wenn ich jetzt keine Business Router kaufen möchte brauche hier hier mindestens 3 Router oder?
Je 1 Router pro Subnetz und diese beiden Router schließe ich dann an meinen Router vom Provider an. Bei beiden Routern müsste ich ja dann DHCP aktivieren und bei meinem "Hauptrouter" vom Provider deaktivieren oder?
Ich hatte mir mal ein kleines Schaubild entworfen mit dem Cisco Packet Tracer. Der linke Zweig würde das WWW symbolisieren und die beiden unten mein Heimnetz. Die beiden unteren Netze können mit dem Netz links kommunizieren untereinander aber nicht wie ich mir das vorstelle.
Gibt es hier sonst noch eine einfachere Lösung?
5 Antworten
Nein. In der Regel sollte ein weiterer Router genügen. Einige Router (Beispielsweise FRITZ!Boxen) haben einen integrierten Gastzugang, welcher sich z.B. auf LAN4 schalten lässt. Somit bräuchtest du dann nur noch einen Switch um dort mehrere Geräte anzuschließen. Die Box kann auch ein WLAN für dieses Netz erstellen.
Ich persönlich habe das mit einem weiteren Router besser gelöst, da ich neben dem Gastzugang der Box noch weitere Spielereien nutze. So habe ich mir einen TP-Link TL-WR841N gekauft und dort OpenWRT verwendet. Damit kannst du dann kaskadierte Netze einrichten. Mittels IP-Tables kannst du dann das Routing in das Heimnetz blockieren. Somit kann niemand ins Heimnetz, aber durch das Heimnetz ins Internet. Zudem kannst du mehrere Netze über einen Router laufen lassen dank VLAN und Multi-AP (nur bei OpenWRT)
Natürlich kannst du auch jeden anderen Router verwenden, die meisten haben aber keine Unterstützung für IP-Tables. Somit wäre es sinnvoller einen mit diesem Support zu kaufen anstatt 2 Router.
3 Router ist an sich nur eine Notlösung, damit beide Netzwerke komplett isoliert sind, wenn keine IP-Tables möglich sind. Hier brauchst du aber auch keine DHCP-Einstellungen oder sonst was abändern, da die weiteren Router sich dadurch automatisch verbinden.
Wenn deine Trennung wirklich auf L2 sein soll, brauchst du wie im Bild 3 Gateways/Router.
Wenn dir die Trennung auf L3 reicht, ist ein Router/Gateway genug. Du musst dann per Paketfilter einfach eine Deny Regel zwischen den Beiden anlegen.
Ein Router der VLANs versteht bringt dir per se fuer eine L2 Trennung nicht viel, da beide Subnetz auf L3 am Router anliegen und ergo in der Routingtabelle auftauchen weil directly connected. Auch hier koennen beide Subnetze ohne Deny per Paketfilter miteinander kommunizieren.
cheers | barnim
und vlans operieren nicht auf layer2 oder was.
Klar oder was.
Aber da jedes sich im getrennten VLAN befindende Subnet ein Gateway auf dem Router braucht, sind beide Subnets automatisch Teil der Routingtabelle um damit per L3 verbunden -> ergo keine Trennung.
moment, bevor wir 2 uns den kopf abbeissen redest du von routern die keine policies koennen sprich nur routern?
Nein, ich versuche - schon absichtlich - das Thema Switching, Routing und Paketfilter/Firewalling auseinanderzuhalten, damit jemand der fachlich nicht so weit ist um ueber die Abgrenzungen dieser Themen fliessen sprechen und denken zu koennen noch nachkommen kann.
Du brauchst natürlich nur 1 zusätzlichen Router, wenn dein "Router vom Provider" nicht mit mehreren Subnetzen umgehen kann. Dieser 2.Router kann dann so viele Subnetze verwalten, wie du möchtest. Für eine "physische Trennung" (klassische alte Methode ohne VLAN und dergleichen) müsste dieser Router halt je Subnetz ein Netzwerkinterface haben - in deinem Fall also mindestens 3 Ports :-))
Ein Router der vlan kann
Ja und was haben die meisten Router? Richtig! Switchports
3 getrennte VLANs alleine helfen da nicht, um eine "Sperre" auf L3 kommt man nicht rum.
?
ich nehme ein interface als wan und zwei andere als netz 1 und eines als netz 2
und dann habe ich mein vlan
dann erlaube ich ihm kein routing zwischen den interfaces aber mach ein nat aufs wan und fertig. wo liegt jetzt dein problem?
dann erlaube ich ihm kein routing zwischen den interfaces aber mach ein nat aufs wan und fertig. wo liegt jetzt dein problem?
Direkt angeschlossene(directly connected) Netze sind automatisch Teil der Routingtabelle und damit des Routings. Man kann das nicht "nicht erlauben".
warum nicht?
firewallpolicy und fertig.
wenn das ganze aber im cisco universum bleibt wirst recht haben.
firewallpolicy und fertig.
Paketfilter setzen != Routing "verbieten". Mehr wollte ich mit meinem Kommentar nicht sagen.
gut, du hast recht, tut mir leid aber wenn du seit ewigkeiten keinen simplen router mehr in der hand gehabt hast sondern nur noch firewalls dann verschwammt das ganze ein wenig.
@bexgold
meine vorgehensweise wäre auf firewall basierend gewesen
und fuer mich ist es mittlerweile schon betriebsblindheit router=firewall.
die vorgehensweise von barnim rein auf router ohne paketfilterung etc.. --> ergo hat er recht.
Du braucht nur einen Router. Ein Router ist immer in mindestens zwei Netzen. Dass die beiden Subnetze nicht miteinander kommunizieren können ist Unsinn wenn beide Netze über das Internet verbunden sind.
Dann koennten weltweit alle privaten Subnetze miteinander kommunizieren wenn sie Zugang zum Internet haben?
falls es dir hilft: ich schrieb von Kommunikation, nicht von Routing. Also User A will von Rechner X Dateien mit User B auf Rechner Y tauschen. Wenn es nicht direkt geht, nehmen A und B den Rechner Z im Internet zur Hilfe. Das Beispiel kannst du auf viele Dienste anpassen.
Aber das wusstest du wohl schon.
Das ist richtig, aber bezogen auf die Frage waere das in etwa so als wuerde man sagen: Ja, ein Auto kann von Deutschland nach Mexico fahren... aber nur wenn es zwischendrin mal in einem Flugzeug steht; wenn die Frage "Kann ich 2 Strassen so miteinander verbinden, dass ein Auto von Deutschland nach Mexico fahren kann" gewesen ist.
Kannste mal sehen, ich hatte die Frage eher so verstanden: Kann ich Straßen in Belgien und den Niederlanden so bauen, das man nicht von Belgien in die Niederlande fahren kann oder umgekehrt, aber beide haben Straßen nach Deutschland.
Und kannst Du einen Sinn darin sehen, zwei Netze im Haus zu haben, die nicht direkt miteinander kommunizieren?
dmz und lan sind ja wohl genau keine netze die nicht miteinander kommunizieren oder? Hatte ich bis vor drei Wochen auch. Die Idee Netzsegmente anzulegen für Privat-Job Gäste und nicht Gäste etc(?) kann ich nachvollziehen. Aber überleg mal wie praktisch das ist: Da kommen gäste zum zocken und die dürfen nicht mit einem server von dir spielen weil sie gäste sind und damit in einem anderen Netz?
In dem Fall kann man sich das Auftrennen von Geraeten sparen. Das fuehrt hier scheinbar auch zu keinem wirklichen Konsens.
Es gibt Anwendungsfaelle wo es Sinn macht (auch zuhause) Netze von einander zu trennen, L2 als auch L3. Und es gibt Anwendungsfaelle wos keinen Sinn macht.
Man sollte immer beide Seiten der Medaille betrachten (koennen).
und vlans operieren nicht auf layer2 oder was.