Mit Managed-Switch zwei Teilnetze trennen?

[Manuel Reimer]

Hallo,

vielleicht liest hier ja doch noch jemand mit mit der sich auskennt...

Folgendes Szenario habe ich:

Ein Router versorgt ein LAN welches aus sich �ber zwei Wohnungen
erstreckt. Jedes "Teilnetz" kommt als ein einziges LAN-Kabel am Router
an. Um die Verteilung (Switches) wird in den jeweiligen Wohnungen gek�mmert.

Ich habe kein Interesse daran, dass die zwei Wohnungen �ber LAN direkt
miteinander kommunizieren. Nur ins Internet sollen beide k�nnen.

K�nnte man sowas mit einem Managed-Switch l�sen? Also Router an "Port 1"
und die zwei Netze an "Port 2" und "Port 3". Dann "irgendwie"
konfigurieren das "Port 2" mit "Port 1" und "Port 3" mit "Port 1"
kommunizieren darf, zwischen "Port 2" und "Port 3" aber keinerlei
Kommunikation stattfinden soll?

Der Router versorgt dann weiterhin beide Netze mit DHCP, DNS und Gateway.

Geht sowas? In welcher Preisklasse m�sste sich mein Switch bewegen? Gibt
es auch welche die man einfach via Webinterface einstellen kann oder
braucht es spezielle Software daf�r? Wenn letzteres, dann brauche ich
die Software zwingend f�r Linux.

Danke vielmals im Voraus

Gru�

Manuel

[Juergen Ilse]

Hallo,

Manuel Reimer <Manuel.N...@nurfuerspam.de> wrote:
> Folgendes Szenario habe ich:
>

> Ein Router versorgt ein LAN welches aus sich über zwei Wohnungen

> erstreckt. Jedes "Teilnetz" kommt als ein einziges LAN-Kabel am Router

> an. Um die Verteilung (Switches) wird in den jeweiligen Wohnungen gekümmert.
>
> Ich habe kein Interesse daran, dass die zwei Wohnungen über LAN direkt
> miteinander kommunizieren. Nur ins Internet sollen beide können.
>
> Könnte man sowas mit einem Managed-Switch lösen? Also Router an "Port 1"

> und die zwei Netze an "Port 2" und "Port 3". Dann "irgendwie"
> konfigurieren das "Port 2" mit "Port 1" und "Port 3" mit "Port 1"
> kommunizieren darf, zwischen "Port 2" und "Port 3" aber keinerlei
> Kommunikation stattfinden soll?

Nicht alleine mit einem managed switch (und beim "managed switch"
kommt es dann noch darauf an, was der denn im einzelnen kann ...).
Eher mit einem Router mit mindestens 3 Layer3-Interfaces, der sich
entsprechend konfigurieren laesst (die ueblichen Billigrouter mit
webbasierter Konfiguration werden es vermutlich eher nicht tun ...).

Idee: ein Netzwerkinterface fuer die Internet-Verbindung, je ein
Netzwerkinterface fuer die Netze in den Wohnungen, beide auf dis-
junkte Layer3-Netze konfiguriert, und dann den Router so konfigu-
riert, dass er diese beiden Netze in Richtung Internet nattet.

Deinen Fragen nach zu urteilen wuerde ich vermuten, dass du wohl
mit deinem Wissen damit ueberfordert sein wirst, also zieh jemand
hinzu, der sich damit auskennt und die Konfiguration bei dir vor
Ort aufsetzen kann. Als Router fuer so etwas kaeme ein Router mit
openwrt mit mindestens 3 Netzwerkinterfaces in Frage, z.B. ein
TP-Link 1043 (es gibt mit Sicherheit noch etliche andere), den
man dann aber mit openwrt Firmware bestuecken muesste.

> Der Router versorgt dann weiterhin beide Netze mit DHCP, DNS und Gateway.
> Geht sowas?

Ja. Aber deinen Fragen nach zu urteilen wuerde ich vermuten, dass du
damit die Grenzen deines Netzwerk-Wissens erheblich ueberschreiten
wuerdest: ziehe jemanden *vor* Ort* hinzu, der sich mit so etwas
auskennt.

> In welcher Preisklasse müsste sich mein Switch bewegen?

Die passende Loesung waere ein Router, der deine Netze auf Layer3
trennt und ggfs. zwischen den Netzen firewalled.

> Danke vielmals im Voraus

Gern geschehen.

Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

[Manuel Reimer]

On 06/23/2014 09:30 PM, Juergen Ilse wrote:
> Nicht alleine mit einem managed switch (und beim "managed switch"
> kommt es dann noch darauf an, was der denn im einzelnen kann ...).
> Eher mit einem Router mit mindestens 3 Layer3-Interfaces, der sich
> entsprechend konfigurieren laesst (die ueblichen Billigrouter mit
> webbasierter Konfiguration werden es vermutlich eher nicht tun ...).

Oder, auch wenn in dem Fall wenig sinnvoll, ein Managed-Switch und ein
Router der sich darum kümmert die VLANS bei Bedarf zu verbinden.

So zumindest verstehe ich das Konzept der VLANS.

Kann es dann sein, dass diverse HP-Switches einen Router eingebaut haben
und sowas doch direkt können?

<http://vmfocus.com/2012/09/26/how-to-configure-layer-3-static-routes-vlans-on-hp-v1910-24g/>

Mal davon abgesehen, dass die Kiste wohl doch noch ganz erheblich mehr
kann. Ich lese da "DHCP", mehrmals "Routing" und wenn die Screenshots
mehr hergeben würden, dann würden sich wohl noch mehr Dienste finden die
vermutlich mit klassischen "Managed-Switches" nichts zu tun haben?

> Ja. Aber deinen Fragen nach zu urteilen wuerde ich vermuten, dass du
> damit die Grenzen deines Netzwerk-Wissens erheblich ueberschreiten
> wuerdest:

So ist es. Aber es ist jetzt nicht so eilig, dass ich nicht wenigstens
versuchen könnte, mir etwas Wissen anzueignen.

Alternativ, falls das das Vorhaben vereinfacht: Gibt es denn eine
einfache Lösung um die Subnetze vom gegenseitigen "Beobachten"
abzuhalten? Mir geht es dabei vor allem um ARP-Spoofing.

Gruß

Manuel

[Juergen Ilse]

Hallo,

Manuel Reimer <Manuel.N...@nurfuerspam.de> wrote:

> Alternativ, falls das das Vorhaben vereinfacht: Gibt es denn eine
> einfache Lösung um die Subnetze vom gegenseitigen "Beobachten"
> abzuhalten? Mir geht es dabei vor allem um ARP-Spoofing.

Trennung der Netze (eigene Broadcastdomain und eigenes Layer3-Netz
sprich eigener IP-Range fuer jedes Netz). Das ist die einfachste
Loesung. Alles andere ist IMHO eher "halbgares Gebastel", das man
besser zu gunsten einer sauberen Loesung sein laesst.

[Juergen P. Meier]

begin 1 followup to Manuel Reimer <Manuel.N...@nurfuerspam.de>:

> Hallo,
>
> vielleicht liest hier ja doch noch jemand mit mit der sich auskennt...
>
> Folgendes Szenario habe ich:
>

> Ein Router versorgt ein LAN welches aus sich ï¿œber zwei Wohnungen

> erstreckt. Jedes "Teilnetz" kommt als ein einziges LAN-Kabel am Router

> an. Um die Verteilung (Switches) wird in den jeweiligen Wohnungen gekï¿œmmert.
>
> Ich habe kein Interesse daran, dass die zwei Wohnungen ï¿œber LAN direkt
> miteinander kommunizieren. Nur ins Internet sollen beide kï¿œnnen.

Das ist die Aufgabe einer Firewall (verbundene Netze gegeneinander
abzutrennen).

> Kï¿œnnte man sowas mit einem Managed-Switch lï¿œsen? Also Router an "Port 1"

Nein. Wieso sollte man das? Ein Managed Switch ist keine Firewall.

Genausowenig wie ein dreieckiges Stahlblech an einer Achse befestigt
sich zur Fortbewegung eines Karrens eignet.

> und die zwei Netze an "Port 2" und "Port 3". Dann "irgendwie"
> konfigurieren das "Port 2" mit "Port 1" und "Port 3" mit "Port 1"
> kommunizieren darf, zwischen "Port 2" und "Port 3" aber keinerlei
> Kommunikation stattfinden soll?

Nein.

> Der Router versorgt dann weiterhin beide Netze mit DHCP, DNS und Gateway.

Ein Router *verbindet* NEtze. DAs ist die Grundfunktion eines Routers.

Egal was der Switch auch immer macht.

> Geht sowas? In welcher Preisklasse mï¿œsste sich mein Switch bewegen? Gibt

Du verwechselst die Schichten.

> es auch welche die man einfach via Webinterface einstellen kann oder

> braucht es spezielle Software dafï¿œr? Wenn letzteres, dann brauche ich
> die Software zwingend fï¿œr Linux.
>
> Danke vielmals im Voraus

Was du brauchst ist Firewall-Funktionalitaet auf deinem Router.

Ein Switch kann nur LAN-Segmente voneinander trennen, er weis hingen
nichts von IP-Netzen und Netzwerktopologien.


Oder etwas ausfuehrlicher:

Ein managed Switch kann verhindern, dass Stationen im LAN-Segment (aka
VLAN) 1 direkt - d.h. unter Umgehung des Routers - mit Stationen im
LAN Segment 2 kommunizieren koennen. Ein solcher VLAN-trennender
Switch kann also nur durchsetzen, dass Stationen in den verschiedenen
Segmenten untereinander immer nur ueber den Router kommunizieren
koennen.

Auf diesem Router muss nun eine Access-Control ("Firewall") Regelwerk
dafuer sorgen, dass er keine Pakte innerhalb der beiden LAN-Segmente
routet - sondern diese jeweils nur mit dem Internet erlaubt*.

Ganz Einfach.

* z.B. einfaches Regelwerk fuer einen Linux/netfilter basierten Router
mit eth0 und eth1 als die beiden LAN-Interfaces und ppp0 als UPlink:

iptables -P FORWARD ACCEPT
iptables -I FORWARD -i eth0 -o eth1 -j REJECT
iptables -I FORWARD -i eth1 -o eth0 -j REJECT

HTH,
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

[Juergen P. Meier]

Manuel Reimer <Manuel.N...@nurfuerspam.de>:

> Alternativ, falls das das Vorhaben vereinfacht: Gibt es denn eine

> einfache Lï¿œsung um die Subnetze vom gegenseitigen "Beobachten"

> abzuhalten? Mir geht es dabei vor allem um ARP-Spoofing.

Dafuer eignen sich VLANs nach IEEE 802.1Q.

[Manuel Reimer]

On 06/23/2014 10:51 PM, Juergen Ilse wrote:
> Manuel Reimer <Manuel.N...@nurfuerspam.de> wrote:
>> Alternativ, falls das das Vorhaben vereinfacht: Gibt es denn eine
>> einfache Lösung um die Subnetze vom gegenseitigen "Beobachten"
>> abzuhalten? Mir geht es dabei vor allem um ARP-Spoofing.
>
> Trennung der Netze (eigene Broadcastdomain und eigenes Layer3-Netz
> sprich eigener IP-Range fuer jedes Netz). Das ist die einfachste
> Loesung. Alles andere ist IMHO eher "halbgares Gebastel", das man
> besser zu gunsten einer sauberen Loesung sein laesst.

Das ist ein Heimnetz.

Solange ich ARP-Spoofing zuverlässig vermeiden kann reicht mir das.

Verhinderung von Zugriffen zwischen den Netzen ist "Nice to Have", muss
aber nicht.

Das mit dem Managed-Switch kann man aber wohl vergessen. Switches in dem
Preissegment, das ich angestrebt hatte, können kein Layer-3-Routing.

Gruß

Manuel

[Stefan Kanthak]

"Manuel Reimer" <Manuel.N...@nurfuerspam.de> schrieb:

> On 06/23/2014 10:51 PM, Juergen Ilse wrote:
>> Manuel Reimer <Manuel.N...@nurfuerspam.de> wrote:
>>> Alternativ, falls das das Vorhaben vereinfacht: Gibt es denn eine

>>> einfache L�sung um die Subnetze vom gegenseitigen "Beobachten"

>>> abzuhalten? Mir geht es dabei vor allem um ARP-Spoofing.
>>
>> Trennung der Netze (eigene Broadcastdomain und eigenes Layer3-Netz
>> sprich eigener IP-Range fuer jedes Netz). Das ist die einfachste
>> Loesung. Alles andere ist IMHO eher "halbgares Gebastel", das man
>> besser zu gunsten einer sauberen Loesung sein laesst.
>
> Das ist ein Heimnetz.
>

> Solange ich ARP-Spoofing zuverl�ssig vermeiden kann reicht mir das.

Aha. Und wie willst Du das verhindern?

> Verhinderung von Zugriffen zwischen den Netzen ist "Nice to Have", muss
> aber nicht.
>
> Das mit dem Managed-Switch kann man aber wohl vergessen. Switches in dem

> Preissegment, das ich angestrebt hatte, k�nnen kein Layer-3-Routing.

Ach?
Fritz!Boxen koennen (oder konnten.-) pro LAN-Port ein eigenes, von den
anderen LAN-Ports getrenntes Subnetz bedienen.

Aktuelle Easyboxen und Speedports koennen per WLAN zwei getrennte
Subnetze (intern und Gaeste) bedienen. Welche Modelle (eventuell) auch
zwischen LAN-Ports trennen koennen weiss ich nicht.

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen �823
Abs. 1 sowie �1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)

[Gernot Zander]

Hi,

in de.comp.security.firewall Manuel Reimer <Manuel.N...@nurfuerspam.de> wrote:
> Das mit dem Managed-Switch kann man aber wohl vergessen. Switches in dem
> Preissegment, das ich angestrebt hatte, können kein Layer-3-Routing.

Naja, man kann portbasiertes VLan machen und damit dafür sorgen, dass
zwar Port A den Router an C erreicht, B ebenso, aber nicht A zu B. Da
sich aber beide (bei sonst gleichen Netzdaten, also Netz-IP, Maske
usw.) nicht sehen, geht das spätestens bei IPv6 schief.

In dem Fall das einfachste: An den Provider-Router nochmal zwei solche
billigen Routerchen hängen, die ihrerseits nochmal NAT machen (auf
dann unterschiedliche 168er Netze). Das funktioniert überraschend gut,
kostet vielleich 45 EUR und fertig.

mfg.
Gernot

--
<hi...@gmx.de> (Gernot Zander) *Keine Mailkopien bitte!*
MMX steht in Wahrheit für Multi_Megaperls_eXtension und die tanzenden
Bekloppten in den lustigen bunten Anzügen in Intels Werbespots sind
in Wirklichkeit nur zu heiß gebadet. (Lars Dannenberg)

[Juergen Ilse]

Hallo,

Stefan Kanthak <dont.delete-this.don...@expires-2012-04-30.arcornews.de> wrote:
> Fritz!Boxen koennen (oder konnten.-) pro LAN-Port ein eigenes, von den
> anderen LAN-Ports getrenntes Subnetz bedienen.

Viele OpenWRT-Router koennen es auch.

> Aktuelle Easyboxen und Speedports koennen per WLAN zwei getrennte
> Subnetze (intern und Gaeste) bedienen.

Der Speedport, den mir die Telekom vermietet hat, kann es anscheinend nicht
(W724v), jedenfalls nicht fuer mich ueber Webinterface konfigurierbar ...

[Kay Martinen]

Am 23.06.2014 21:52, schrieb Manuel Reimer:
> On 06/23/2014 09:30 PM, Juergen Ilse wrote:

> Oder, auch wenn in dem Fall wenig sinnvoll, ein Managed-Switch und ein

> Router der sich darum kï¿œmmert die VLANS bei Bedarf zu verbinden.

Ich hï¿œtte da einen billigeren Vorschlag...

>> damit die Grenzen deines Netzwerk-Wissens erheblich ueberschreiten
>

> So ist es. Aber es ist jetzt nicht so eilig, dass ich nicht wenigstens

> versuchen kï¿œnnte, mir etwas Wissen anzueignen.

... vor allem wenn du selbst etwas dazu lernen willst.

>
> Alternativ, falls das das Vorhaben vereinfacht: Gibt es denn eine

> einfache Lï¿œsung um die Subnetze vom gegenseitigen "Beobachten"

> abzuhalten? Mir geht es dabei vor allem um ARP-Spoofing.

Schau dir mal www.fli4l.de an und wenn du noch einen alten PC und 3
Netzwerk-karten dazu hast dann kannst du dir damit einen eigenen Router
ganz nach deinen Vorstellungen zusammen stellen. Nicht mal eine
Festplatte wï¿œre nï¿œtig, er bootet auch von CF oder einem DOM und bietet
viele zusatz-tools u.a. auch ein LCD-Display fï¿œr Status-Meldungen.

Damit kannst du m.w. auch VLANs machen, aber das brauchst du nicht mal.
Eine Karte wird als WAN-Port benutzt und die beiden anderen jeweils fï¿œr
eines deiner beiden Teilnetze. Bei FLI4L kann man die Firewall so
einrichten das die Netze nicht miteinander reden kï¿œnnen und der FLI sie
einfach nur ins Internet verbindet. Auï¿œerdem kannst du dem dhcp dort die
IP-Bereiche fï¿œr jedes der beiden Netze vorgeben womit jedes fï¿œr sich bleibt.

Die Alternativen wurden ja schon geschildert und erscheinen mir auch
suboptimal. Natï¿œrlich kï¿œnntest du auch einen Router mit VLAN-Support und
einen Managed Switch mit VLANs kaufen und passend konfigurieren. Ist
aber sicherlich teurer und man lernt nicht so viel dabei. Einen Alt-PC
bekommt man fï¿œr weniger Geld und er tut es auch.

Es gibt eigene usenet-gruppen fï¿œr FLI4L. Suche nach spline.fli4l wenn
dir die doku nicht weiter helfen sollte.

Kay

[Rainer H. Rauschenberg]

On 2014-06-24, Juergen P. Meier <nospa...@jors.net> wrote:

> Genausowenig wie ein dreieckiges Stahlblech an einer Achse befestigt
> sich zur Fortbewegung eines Karrens eignet.

OT: Das kommt auf die Gestaltung der Fahrbahn an.

http://www.musiker-board.de/attachments/f3-musik-instrumente-know-how//f75-e-gitarren-forum//f39-modifikation-technik-gitarrenbau-e-git//301580d1380374269-gekruemmter-gitarrenhals-bullshit-quadratische-raeder-beim-fahrrad-stan-wagon1.jpg

[Juergen P. Meier]

Rainer H. Rauschenberg <rai...@wiwi.uni-frankfurt.de>:

> On 2014-06-24, Juergen P. Meier <nospa...@jors.net> wrote:
>
>> Genausowenig wie ein dreieckiges Stahlblech an einer Achse befestigt
>> sich zur Fortbewegung eines Karrens eignet.
>
> OT: Das kommt auf die Gestaltung der Fahrbahn an.

Kurven und Kreuzungen. Kurven und Kreuzungen!