Ein Transfernetz bauen
Tim Ritberg
Ich muss mein Netzwerk erweitern, es kommt ein weiterer Router dazu.
Die Netze sehen so aus:
Router 1: 172.0.0.1 (DSL 1) Astaro
Router 2: 172.0.0.254 (DSL 2) Endian FW und 192.0.0.254 (alter GW)
Router 3: 192.0.0.254 Bintec (neuer Router)
Router 1 ist der Standard-GW für alle Clients aus 172er Netz.
Alle Clients aus dem 172er Netz sollen auf Router 1 und 2 den Proxy
nutzen können.
Alle Clients aus dem 192er Netz sollen auf Router 2 den Proxy benutzen
können.
Einige Clients aus dem 172er Netz sollen in das 192er können.
Router 3 hängt nun zwischen dem Switch von Router 1 und dem
Clients-Switch für das 192er Netz.
Ich dachte, das ganze Problem löse ich mit einem Tranfernetz:
Router 1: 10.0.0.1
Router 2: 10.0.0.2
Router 3: 10.0.0.3
Auf jedenfall soll das 192er Netz isoliert am eignen Switch hängen.
Ich habe so im Kopf, dass man mit Transfernetzen elegant Netze aufbauen
kann.
Wie seht ihr das?
Sven Hartge
> Ich muss mein Netzwerk erweitern, es kommt ein weiterer Router dazu.
> Die Netze sehen so aus:
> Router 1: 172.0.0.1 (DSL 1) Astaro
> Router 2: 172.0.0.254 (DSL 2) Endian FW und 192.0.0.254 (alter GW)
> Router 3: 192.0.0.254 Bintec (neuer Router)
Du weisst aber schon, dass alle diese IPs keine privaten IPs nach
RfC1918 sind, ja?
> Auf jedenfall soll das 192er Netz isoliert am eignen Switch hängen.
> Ich habe so im Kopf, dass man mit Transfernetzen elegant Netze
> aufbauen kann. Wie seht ihr das?
Also mich hast du ein wenig verwirrt. Könntest du das einmal
ASCII-Graphisch aufarbeiten?
S°
--
Sig lost. Core dumped.
Tim Ritberg
> Tim Ritberg <tim...@gmx.de> wrote:
>
>> Ich muss mein Netzwerk erweitern, es kommt ein weiterer Router dazu.
>> Die Netze sehen so aus:
>> Router 1: 172.0.0.1 (DSL 1) Astaro
>> Router 2: 172.0.0.254 (DSL 2) Endian FW und 192.0.0.254 (alter GW)
>> Router 3: 192.0.0.254 Bintec (neuer Router)
>
> Du weisst aber schon, dass alle diese IPs keine privaten IPs nach
> RfC1918 sind, ja?
>
> Also mich hast du ein wenig verwirrt. Könntest du das einmal
> ASCII-Graphisch aufarbeiten?
+-----------+ +----------+
| Internet +----------+ Router 1 |
+----+------+ +----+-----+
| |
| |
+----+------+ +----+-----+
| Router 2 | +----+ Switch |
+----+------+ | +--+-------+
| | | 172er
| | |
+----+------+ | |
| Switch +-----+ +--+-------+
+-----------+ | Switch |
172er +----------+
172 und 192er
Den Switch unten rechts hab ich schon mit VLAN aufgeteilt.
Marc Haber
>Am 30.09.2010 18:27, schrieb Sven Hartge:
>> Tim Ritberg <tim...@gmx.de> wrote:
>>
>>> Ich muss mein Netzwerk erweitern, es kommt ein weiterer Router dazu.
>>> Die Netze sehen so aus:
>>> Router 1: 172.0.0.1 (DSL 1) Astaro
>>> Router 2: 172.0.0.254 (DSL 2) Endian FW und 192.0.0.254 (alter GW)
>>> Router 3: 192.0.0.254 Bintec (neuer Router)
>>
>> Du weisst aber schon, dass alle diese IPs keine privaten IPs nach
>> RfC1918 sind, ja?
>ist nur Beispiel
Die Inhaber der Netze werden Dich lieben.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Tim Ritberg
>
> Warum sollte sie das stören?
Bevor wir hier OT werden, ja ich machte NAT.
Juergen P. Meier
> Hallo!
>
> Ich muss mein Netzwerk erweitern, es kommt ein weiterer Router dazu.
> Die Netze sehen so aus:
> Router 1: 172.0.0.1 (DSL 1) Astaro
> Router 2: 172.0.0.254 (DSL 2) Endian FW und 192.0.0.254 (alter GW)
> Router 3: 192.0.0.254 Bintec (neuer Router)
Aeh, hast du RFC 1918 ueberhaupt mal gesehen? Gelesen scheinst du es
nicht zu haben.
> Router 1 ist der Standard-GW für alle Clients aus 172er Netz.
>
> Alle Clients aus dem 172er Netz sollen auf Router 1 und 2 den Proxy
> nutzen können.
> Alle Clients aus dem 192er Netz sollen auf Router 2 den Proxy benutzen
> können.
> Einige Clients aus dem 172er Netz sollen in das 192er können.
> Router 3 hängt nun zwischen dem Switch von Router 1 und dem
> Clients-Switch für das 192er Netz.
>
> Ich dachte, das ganze Problem löse ich mit einem Tranfernetz:
> Router 1: 10.0.0.1
> Router 2: 10.0.0.2
> Router 3: 10.0.0.3
>
> Auf jedenfall soll das 192er Netz isoliert am eignen Switch hängen.
> Ich habe so im Kopf, dass man mit Transfernetzen elegant Netze aufbauen
> kann.
> Wie seht ihr das?
Fuer Transfernetze gelten die selben Regeln wie fuer alle anderen
Netze auch: Im oeffentlich gerouteten Internet muessen es dir
zugewiesene (PI oder PA) Netzaddressen sein, in privaten - vom
Internet getrennten Netzen duerfen es RFC 1918-Addressen sein.
Dazu zaehlen von oben nur die, die mit 10 beginnen.
RFC 1918 IPv4 Space ist:
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.186.0.0 - 192.168.255.255
Und keine anderen Addressen
Nimm erstmal ordnetliche Addressen, dann kann man sich dein Konzept
noch mal anschauen.
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Juergen P. Meier
> Am 30.09.2010 20:08, schrieb Oliver Schad:
>>
>> Warum sollte sie das stören?
> Bevor wir hier OT werden, ja ich machte NAT.
Und? Die Vollidioten, die Non-RFC1918 IPs verwenden "wir machen ja
NAT!!1elf", koennen halt nicht mit bestimmten japanischen Servern
kommunizieren, oder werden sich vielleicht wundern, warum E-Mails
an einen bestimmten Empfaenger immer nur komische Fehlermeldungen
produzieren, wo das anderswohl im Internet doch klappt...
Jens Link
> Die Inhaber der Netze werden Dich lieben.
Warum? Wenn er sie nach außen per BGP annonuced, bekommt er sicher
schnell einen auf den Deckel und ansonsten sollte das höchstens ihn
selbst stören wenn er mit den echten Adressen extern kommunizieren will.
Jens
--
jabber je...@jabber.quux.de
BLOG http://blog.quux.de
sage@guug Berlin http://www.guug.de/lokal/berlin/index.html
sage@guug Nuernberg http://www.guug.de/lokal/nuernberg/index.html
Jens Link
> Aeh, hast du RFC 1918 ueberhaupt mal gesehen? Gelesen scheinst du es
> nicht zu haben.
Na ja, zum Zwecke der Dokumentation und zum stellen von Fragen kann man
auch TEST-NET-1 -3 Adressen, gem. RFC5735 verwenden. Hat der OP
allerdings nicht.
Tim Ritberg
> Viel Blaa...
auch mal mein Posting gelesen, wo steht, dass es nur ein $BEISPIEL ist?
Jens Link
> +-----------+ +----------+
> | Internet +----------+ Router 1 |
> +----+------+ +----+-----+
> | |
> | |
> +----+------+ +----+-----+
> | Router 2 | +----+ Switch |
> +----+------+ | +--+-------+
> | | | 172er
> | | |
> +----+------+ | |
> | Switch +-----+ +--+-------+
> +-----------+ | Switch |
> 172er +----------+
> 172 und 192er
>
>
> Den Switch unten rechts hab ich schon mit VLAN aufgeteilt.
Ich hab ja schon so manches komisches Setup gesehen, evtl. bin ich auch
einfach nur nicht betrunken genug (hatte heute noch keinen Alk) um das
Setup zu verstehen, aber warum will man das? Und wo sind jetzt welche
VLANs?
Tim Ritberg
> Tim Ritberg <tim...@gmx.de> writes:
>
>> +-----------+ +----------+
>> | Internet +----------+ Router 1 |
>> +----+------+ +----+-----+
>> | |
>> | |
>> +----+------+ +----+-----+
>> | Router 2 | +----+ Switch |
>> +----+------+ | +--+-------+
>> | | | 172er
>> | | |
>> +----+------+ | |
>> | Switch +-----+ +--+-------+
>> +-----------+ | Switch |
>> 172er +----------+
>> 172 und 192er
>>
>>
>> Den Switch unten rechts hab ich schon mit VLAN aufgeteilt.
>
> Ich hab ja schon so manches komisches Setup gesehen, evtl. bin ich auch
> einfach nur nicht betrunken genug (hatte heute noch keinen Alk) um das
> Setup zu verstehen, aber warum will man das? Und wo sind jetzt welche
> VLANs?
Ok etwas genauer:
Der Switch unten rechts ist mit Vlan aufgeteilt, das 172er Netz hängt am
oberen Switch und das 192er ist isoliert. Da könnte doch nun Router 3
ins Spiel kommen.
Juergen P. Meier
> Am 30.09.2010 22:03, schrieb Juergen P. Meier:
>> Viel Blaa...
>
> auch mal mein Posting gelesen, wo steht, dass es nur ein $BEISPIEL ist?
RFC 5737 Addressen waren es auch keine.
Juergen P. Meier
> Marc Haber <mh+usene...@zugschl.us> writes:
>
>> Die Inhaber der Netze werden Dich lieben.
>
> Warum? Wenn er sie nach außen per BGP annonuced, bekommt er sicher
> schnell einen auf den Deckel und ansonsten sollte das höchstens ihn
> selbst stören wenn er mit den echten Adressen extern kommunizieren will.
Ahaja, das hat man von 192.x.x.x sicher auch gedacht, damals als man
das verwendet hat. Nur dummerweise wird es mittlerweile von vielen
verwendet - so dass dort, wo das Netz intern misbraucht wird,
etliche Server im Internet wegen dieser kurzsichtigen Inkompetenz
nicht erreichbar sind.
Das Problem bei IPv4 ist, dass von der IANA reservierte Netzbloecke
idR. genau fuer einen Zweck reserviert sind: Fuer die Vergabe wenn es
knapp wird.
Ich mag mit dieser Deutlichkeit vielleicht bei einigen die Gefuehle
verletzen, aber das aendert nichts an den Tatsachen.
Wer nicht speziell fuer Tests, Dokumentation oder private Nutzung
zugewiesen Addressen dafuer verwendet, ist im besten Fall nur Unwissend.
Doch auch das ist schlimm genug, denn er IP-Netze baut sollte sich mit
den Grundlagen befassen.
Paul Muster
>>> Die Inhaber der Netze werden Dich lieben.
>> Warum? Wenn er sie nach außen per BGP annonuced, bekommt er sicher
>> schnell einen auf den Deckel und ansonsten sollte das höchstens ihn
>> selbst stören wenn er mit den echten Adressen extern kommunizieren will.
>
> Ahaja, das hat man von 192.x.x.x sicher auch gedacht, damals als man
> das verwendet hat. Nur dummerweise wird es mittlerweile von vielen
> verwendet - so dass dort, wo das Netz intern misbraucht wird,
> etliche Server im Internet wegen dieser kurzsichtigen Inkompetenz
> nicht erreichbar sind.
Hmmmm, ich finde, das klingt sehr interessant. Ein automatischer
Idiotenfilter!
Wo kann ich Adressen aus dem Bereich bekommen? ;-)
*SCNR* & mfG Paul
Marc Haber
Es ist einfach für den erfahrenen Netzwerker schlecht zu lesen, wenn
die wirklich zielführenden Gedanken ständig von einem "Oops, was ist
denn das für eine Adresse" unterbrochen werden. Du möchtest, dass sich
die Leute Dein Setup angucken - mach es ihnen leicht und lenke sie
nicht ab.
Marc Haber
>Der Switch unten rechts ist mit Vlan aufgeteilt, das 172er Netz hängt am
>oberen Switch und das 192er ist isoliert. Da könnte doch nun Router 3
>ins Spiel kommen.
Könnte. Aber warum? Was is Dein Ziel? Maximaler Einsatz von
Netzwerkkomponenten, oder was möchtest Du erreichen?
Tim Ritberg
>
> Könnte. Aber warum? Was is Dein Ziel? Maximaler Einsatz von
> Netzwerkkomponenten, oder was möchtest Du erreichen?
In diesem Netzwerk befinden sich Siemensanlagen. Daher kommt ein Bintec
mit Firewall zum Einsatz.
Tim Ritberg
> ....
> Tja, an all das muss man denken und entscheiden kannst nur du. Ich
> hätte, wenn es möglich wäre, den Zugriff auf die Netze jeweils exklusiv
> und damit die Paketfilterregeln für ein Netz jeweils zentralisiert,
> sprich ein Transfernetz, in dem Router hängen.
>
> Die Frage ist nur noch, ob du wirklich soviele verschiedene Router
> brauchst, das macht die Organisation nämlich komplexer und somit
> fehleranfälliger, was der Sicherheit immer abträglich ist.
>
Wenn ich dich richtige verstehe, befürwortest du ein Transfernetz.
Also 2 Router brauch ich auf jedenfall, damit ich über die 2
DSL-Leitungen ins Netz kann. Natürlich könnte man das Netz auch noch
"schöner" gestalten. Ich muss jetzt aber schnell die Siemensanlagen vom
Netz trennen. Dazu habe ich auf dem Switch ein paar Ports mit VLAN
abgetrennt. Das ursprüngliche Netz will ich dann mit dem Bintec-Router
und den abgetrennten Ports verbinden.
Juergen P. Meier
Von ARIN, teilweise auch von RIPE. In der globalen Routingtabelle
finden sich dutzende von Eintraegen aus diesem Bereich.
Da geht alles bis auf die belegten Bloecke und 192.0.0/24, 192.0.2/24,
192.88.99/24 sowie 192.168/16.
HTH,
Juergen P. Meier
Achtung: viele Siemensanlagen* koennen weder CIDR noch erfuellen
sie auch nur Ansatzweise geltende IP-Basisstandards wie IEEE 802.3,
RFC1122 oder gar RFC1812.
Du solltest tunlichst vermeiden, hier andere Addressbereiche oder
nicht von Siemens unterstuetzte Netzkonzepte zu verwenden. Es sei denn
du weist genau was du tust, wie du die Siemens-anlagen vergewaltigen
kannst oder auf welche haesslichen Wuergarounds du dich anlassen
kannst und willst.
* Remote-Management-Karten fuer Server, Mobilfunkbasisstationen,
GPRS-Gateays, Telefonsteuerrechner, USV-Steuerungen etc.pp.
Marc Haber
>Am 01.10.2010 08:15, schrieb Marc Haber:
>> Könnte. Aber warum? Was is Dein Ziel? Maximaler Einsatz von
>> Netzwerkkomponenten, oder was möchtest Du erreichen?
>
>In diesem Netzwerk befinden sich Siemensanlagen.
Beileid.
>Daher kommt ein Bintec
>mit Firewall zum Einsatz.
Du scheinst der Meinung zu sein, dass man Herausforderungen auch ohne
Sachkenntnis beherrschen kann, wenn man sie nur unter genug Hardware
vergräbt.
Schreib mal ganz genau und abstrakt auf, wer mit wem unter welchen
Umständen wie (nicht) kommunizieren können soll, und dann kommt
vielleicht ein brauchbares Layout heraus.
Tim Ritberg
> Du scheinst der Meinung zu sein, dass man Herausforderungen auch ohne
> Sachkenntnis beherrschen kann, wenn man sie nur unter genug Hardware
> vergräbt.
Wenn du meinst...
>
> Schreib mal ganz genau und abstrakt auf, wer mit wem unter welchen
> Umständen wie (nicht) kommunizieren können soll, und dann kommt
> vielleicht ein brauchbares Layout heraus.
Ganz einfach. Nur der Management-PC soll sowas wie TeamViewer oder
Netviwer benutzen können. Dazu soll er auf den DSL-Routern einen Proxy
benutzen. Von aussen soll VNC auf diesen PC möglich sein.
Das ist alles.
Juergen P. Meier
> Ganz einfach. Nur der Management-PC soll sowas wie TeamViewer oder
> Netviwer benutzen können. Dazu soll er auf den DSL-Routern einen Proxy
> benutzen. Von aussen soll VNC auf diesen PC möglich sein.
> Das ist alles.
Riskant. Was sagen die fuer IT-Sicherheit verantwortlichen dazu, dass
jeder von aussen auf euren Steuerrechner kommt, der TeamViewer o.ae.
hacken kann? (also potentiell jeder der langeweile hat).
Tim Ritberg
> Riskant. Was sagen die fuer IT-Sicherheit verantwortlichen dazu, dass
> jeder von aussen auf euren Steuerrechner kommt, der TeamViewer o.ae.
> hacken kann? (also potentiell jeder der langeweile hat).
>
Verbindung zum Toolserver auf. Mit der Session-ID kann dann der
Wartungstechniker einloggen. Ansonsten läuft das Programm ja nicht.
Wo ist das Problem? Es gibt doch kein Port-Forwarding.
Juergen P. Meier
1.) du musst dem Betreiber vollstes Vertrauen in seine Absichten,
seine soziale, organisatorische sowie technische Kompetenz schenken.
2.) du musst der Implementierung vollstes Vertrauen schenken.
3.) du machst das praktisch blind.
Mindestens bei den letzten drei Teilen des 1. Punktes hoert meine
Vertrauensseeligkeit in sicherheitskritischen Umgebungen prinzipiell auf.
YMMV,
Tim Ritberg
>
> 1.) du musst dem Betreiber vollstes Vertrauen in seine Absichten,
> seine soziale, organisatorische sowie technische Kompetenz schenken.
> 2.) du musst der Implementierung vollstes Vertrauen schenken.
> 3.) du machst das praktisch blind.
>
> Mindestens bei den letzten drei Teilen des 1. Punktes hoert meine
> Vertrauensseeligkeit in sicherheitskritischen Umgebungen prinzipiell auf.
Ohne Fernwartung gehts aber nicht.
Paul Muster
Ach, und VNC über einen verschlüsselten Tunnel passt dir nicht, oder was?
mfG Paul
Tim Ritberg
>
> Ach, und VNC über einen verschlüsselten Tunnel passt dir nicht, oder was?
>
Ich hab kein Problem mit VNC. Ich denke, das SingleClick-Wartungstool
ist einfacher für die externen Techniker.
Müsste man mal drüber nachdenken.
Paul Muster
> Also ich hätte dir gerne eine Mail geschrieben, um dir weiterzuhelfen,
Ich dagegen hätte gerne gewusst, um welche Firma oder Organisation es
bei ihm eigentlich geht, damit ich mich und meine Daten möglichst weit
davon fernhalte.
mfG Paul
Tim Ritberg
Keine Sorge, ist weder Einzelhandel noch Dienstleistungssektor.
Was meine Mailadresse angeht, vergessen innerhalb 6 Monate über Web
einzuloggen, schon ist Account deaktiviert...
Marc Haber
Damit reißt Du ein so großes Sicherheitsloch, dass alle anderen
Maßnahmen sinnlos sind. Pack alles in ein "großes" Netz und arbeite
damit, das ist die angemessene Lösung.
Tim Ritberg
> Damit reißt Du ein so großes Sicherheitsloch, dass alle anderen
> Maßnahmen sinnlos sind. Pack alles in ein "großes" Netz und arbeite
> damit, das ist die angemessene Lösung.
>
Zu spät, das Transfernetz ist fertig und alles läuft wunderbar. Es ist
übrigens LogMeIn und nicht TeamViewer. VNC ist nun geblockt, die
Inhouse-Techniker benutzen das nicht mehr.