Hallo!

Eigentlich relativ einfach, nur fehlen mir ein paar Fachausdrücke und die Hardwareübersicht... ((

Ich möchte also ein Netzwerk einrichten.

Sagen wir mal 10 Rechner.

Alle 10 sollen Zugang ins Internet haben.

8 davon ein einfaches Netz bilden.

2 sollen jeweils NUR ins Internet können und auf die restlichen Rechner auch überhaupt keine Zugriffsmöglichkeit haben.

a) Ich richte zwei völlig getrennte DSL-Zugänge ein... (nicht gut)

Meines Wissens nach geht das alles an einem Switch und ich kann auf dem Switch bestimmen, daß besagte 2 Rechner NUR Zugriff auf das Internet haben sollen... richtig?

Dann frag ich mich, was für Switches können das... Nach Netgear sind das dann "managed switches"? Also als GBit-Switch z.B. der GSM7212... ?

Und den DSL-Router kann ich doch einfach an einen der Ports des Switches stecken, so müßte alle Rechner Internetzugang haben...

Richtig?

Lieben Dank!

Ulli.

Hallo,

Meines Wissens nach geht das alles an einem Switch und ich kann auf dem Switch bestimmen, daß besagte 2 Rechner NUR Zugriff auf das Internet haben sollen... richtig?

Dann frag ich mich, was für Switches können das... Nach Netgear sind das dann "managed switches"? Also als GBit-Switch z.B. der GSM7212... ?

Du kannst einen manages Switch verwenden und für die Teilnetze jeweils ein VLAN verwenden. Das Problem ist dann allerdings, dass dein Router mit getaggten Paketen umgehen können muss.

Nic

Hallo

Hätte da noch nen Vorschlag.

Nimm ne Firewall mit DMZ-Port z.b. Sonicwall TZ 170 .

Vernetze deine 8 Rechner über nen normalen Switch und mit einem

Kabel auf den DMZ Port der Sonicwall. Die anderen zwei Rechner

hängst du an den internen Switch der Sonicwall.

Jetzt musst du noch die Firewallregeln der Sonicwall ändern und schon haste zwei getrennte Netzwerke die untereinander nichts können.

Solltest du Hilfe beim Konfigurieren der Sonicwall brauchen melde dich einfach.

Ich glaub die einfachste und günstigste alternative ist wenn du das über die Windows rechte vergabe machst.

Hi Heysel!

Hm, die günstigste mag es sein, aber sicher nicht die sicherste;)

Ich möchte schon eine - sagen wir mal physikalische - Trennung

der Netze haben.

Daher erscheint mir das oben angesprochene VPN sehr sinnvoll!

Ich habe auch schon mal bei Netgear angefragt, ob deren Router

"maneged" sind und ob mein Vorhaben mit deren Produkten geht,

doch wie so oft will auch Netgear kein Geld verdienen und antwortet

einfach nicht auf mail-Anfragen.

Ich finde das im höchsten Maße Respektlos.

Ulli.

schön gesagt!

schön gesagt!

Wenn du eine physikalische Trennung möchtest ist die möglichkeit der VLANs die beste die sich bietet.

Suppi;)

Jetzt weiß ich schon viel viel mehr, aber....

was ist denn ein "Router mit getaggten Paketen"

Wie erkenn ich den? Ich hab gesucht und gesucht, aber nix gefunden...

D-Link oder NetGear werden doch sowas haben, aber wie heißen die!? ...

*seufz*

Ulli.

VLAN-faehige Geraete erkennst Du daran, dass sie den IEEE-Standard 802.1q unterstuetzen.

Es gibt aber auch bei einigen Herstellern proprietaere VLAN-Implementierungen.

Z.B. von Cisco das Inter-Switch Link Protokoll (ISL) sowie das dazugehoerige Dynamic Inter-Switch Link Protokoll (DISL). Wobei bei Cisco auch der Standard IEEE802.1q genutzt werden kann.

VLAN wird mit Switches (Layer2) und einem Router oder mit Layer3-Switches realisiert.

In Zusammenhang mit VLAN wird auch das Merkmal Dienstepriorisierung (QoS) genutzt. QoS ist in IEEE802.3ac und die Kennzeichnung der Dienstprioritaet in IEEE802.1p definiert.

ich habe mir z.b. in Schulungsräumen/Büroumgebungen immer mit 2 einfachen Routern mit integrierter Firewall geholfen.

1. Netz Schulungsraum z.B. 10.0.0.x als Gateway Router 1

Router 1 als WAN Port DSL und intern halt 10.0.0.x

2. Netz Büro z.B. 192.0.0.x (ich nehm meist was völlig anderes als das Schulungsnetz) als Gateway Router 2

Router 2 als WAN Port 10.0.0.x und intern 192.0.0.x

Entsprechende Firewallregeln erstellen, dass aus dem Büro Netz nur Pakete raus gehen und nur HTTP,POP,SMTP rein gelassen wird, schon ist das Netz getrennt vom Schulungsraum und kann trotzdem ins Internet

Oder baue Dir 2 getrennte Netze auf, indem Du in einem Klasse C Netz 2 verschiedene Subnetze aufbaust.

Beispiel für Netz 1:

255.255.255.16

Netz 2:

255.255.255.32

In Netz 1 müsstest Du dann 15 Clienten und in Netz 2 222 Clienten verwalten können.

Aber bitte erst nochmal verifizieren ob das so stimmt was ich da ausgerechnet habe. Ist schon wieder zu lange her mit den Subnetzberechnen.

Edit: Habe überlesen, dass Du mit beiden Netzen ins Internet willst. Mit der Lösung, wenn sie denn theoretisch funktioniert, bräuchtest Du allerdings 2 Router.

Edit zum obigen Post:

Besser nicht beachten. Habe mich gerade nochmal eingelesen und meine Antwort selbst für groben Unfug befunden.

PS:

wäre manchmal schön, wenn man seiine Antworten selbst löschen könnte ,-)

Ich sehe das so wie MBaeuml.

Einen Router an nen Router hängen ist der beste Kompromiss zwischen Sicherheit, Kosten und Aufwand.

Ich habe daheim selbst 2 Router stehen und damit 2 verschiedene Adressbereiche. Direkt hinter dem DSL Router steht mein Webserver. Hinter dem 2. Router befindet sich mein PC und mein Notebook. Ist echt ne prima Sache

Nur Portforwarding wird halt ein bisschen kompliziertert weil man das immer doppelt machen muss. Aber dafür steht ja der Server auch direkt hinterm DSL Router