xDSL.at

[irwin65]

Hallo liebes Forum,

ich habe ein Netzwerk mit zwei Familien und zwei separaten Internetzugängen via Telekom-Festnetz und ADSL (jeweils via Pirelli PRGAV4202N).

ich möchte die beiden Netze zu einem einzigen Subnetz zusammenschließen (alle beteiligten PC's werden von mir verwaltet, d. h. sicherheitstechnisch keine besonderen Anforderungen). Ethernet-Kabel vorhanden.

Stören würden sich nur die beiden DHCP-Server in den beiden Pirellis. Mein Lösungsansatz: Netz 1 vergibt via DHCP dynamisch 10.0.0.1 bis 10.0.0.50, Netz-2 vergibt 10.0.0.51 bis 10.0.0.99.

Die Konflikte zwischen den DHCP-Servern in den Pirellis würde ich vermeiden, indem ich zwischen den beiden eine Firewall schalte, die die DHCP-Requests in keine Richtung durchläßt.

Protokoll Source-IP Source-Port Target-IP Target-Port
UDP 0.0.0.0 67 255.255.255.255/32 68
UDP 0.0.0.0 68 255.255.255.255/32 67

Was wären die günstigsten Firewall-Lösungen, die so etwas ermöglicht? Oder gibt es Gründe, warum das so nicht funktionieren würde?

adventliche Grüße
Irvin

[Herculess]

mir ist nicht ganz klar was du mit dem zusammenführen der netze erreichen willst.
für deine genannte lösung bez. firewall müsstest du diese transparent zwischen den beiden pirellis schalten, keine wirklich schöne lösung.
für genauere details müsstest schon verraten was du da genau vor hast.

greets

[irwin65]

jeder beteiligte soll möglichst einfach auf die freigegebenen windows-laufwerke zugreifen können und auf die jeweilige NAS auf jeder seite. beispiel: auf fernseher in netz1 wird film von NAS in netz2 abgespielt und umgekehrt.

[Herculess]

und das ziel ist es dass beide familien ihren jeweiligen internet anschluss verwendet?
dass du mit deinem konstrukt nicht verhindern kannst, dass fam1 über den anschluss von fam2 surft ist dir aber hoffentlich klar.
wenn das so gewünscht ist, würde ich das nicht über eine firewall sondern über einen gemeinsamen dhcp lösen, der je nach MAC unterschiedliche settings vergibt bzw. wenn's nicht viele rechner sind, IPs einfach statisch zuordnen.

wenn du nicht unbedingt mit multicast oä. arbeitest (was aus deiner anforderung nicht hervorgeht), wäre die schönere lösung, beide netze getrennt zu lassen und diese über einen router zu verbinden (IP-Netz Änderung auf einer Seite ist erforderlich).
das lässt sich soweit mir bekannt auch mittels pirelli lösen (da ich keinen zur hand habe kann ich aber nur mutmaßen)

greets

[irwin65]

>>und das ziel ist es dass beide familien ihren jeweiligen internet anschluss verwendet?

korrekt.

>>dass du mit deinem konstrukt nicht verhindern kannst, dass fam1 über den anschluss von fam2 surft ist dir aber hoffentlich klar.

nein. warum nicht? fam1 wird ja von "ihrem" DSL-modem versorgt. meinst du jetzt "böswillig"? das ist sicher nicht der fall. ich bin ja selbst der "pc-admin". versehentlich soll das auf keinen fall passieren. ich dachte, das würde ich ja absichern durch die oben beschriebenen maßnahmen. wo ist jetzt mein denkfehler?

[irwin65]

>>wäre die schönere lösung, beide netze getrennt zu lassen und diese über einen router zu verbinden (IP-Netz Änderung auf einer Seite ist erforderlich).

daran hab ich auch schon gedacht. ist jedenfalls auch eine lösung. siehe bildchen. irgendwie bin ich bei dieser variante bei einer lösung gelandet, bei der ich ZWEI router brauche. und wenn's günstig bleiben soll...naja...hab dann in einem forum das gelesen mit der idee der gegenseitigen DHCP-filterung...erschien mir elegant.....aber ich will da jetzt hier keinem auf die nerven gehen...wenn's hier nicht reinpasst, einfach sagen, dann bin ich ruhig.

[irwin65]

die lösung mit nur EINEM router ist nicht so toll, weil für die gegenseitige erreichbarkeit scheint man statische routen zu benötigen. und diese können im pirelli nicht hinterlegt werden.

[al]

Du willst eine Bridge, die DHCP filtert. K.A., ob Consumer-Kisten sowas können, mit Linux würdest Du das wohl hinbringen.

Sonst bleibt Dir nur die Lösung mit zwei Netzen und Router, da musst Du halt ggf. die Routen bei den Clients statisch eintragen.

Oder man einigt sich auf /ein/ Gateway in die Welt.

/al

[irwin65]

>>Du willst eine Bridge, die DHCP filtert. K.A., ob Consumer-Kisten sowas können

ja...Consumer-Kiste...hätte ich gerne. also "einfach zu bedienen"...kostengünstig....! genau

[al]

Consumer-Kiste...hätte ich gerne

Mit einer ZyWall schaffte man das vermutlich (wenn man die Brigding Funktion zu konfigurieren schafft). Aber ich kenn keinen billigen Router, der Bridgen könnte (und dann noch Port-Filtering).

Und zu dem "einfach zu bedienen": Das ist kein Standardfall, insofern wird Dir das auch nie ein Trumm "einfach so" liefern...

/al

[Herculess]

dass beim pirelli keine statischen routen konfiguriert werden können, kann ich fast nicht glauben.
die schöne lösung (aus meiner sicht ) wäre, jeweils ein zusätzliches "routing" vlan einrichten und die jeweiligen netze darüber routen.
um es mit den vorhandenen mitteln zu lösen, benötigst du natürlich root zugriff auf die pirellis, davon bin ich bei deiner planung erstmal ausgegangen dass du das hast...

greets

[irwin65]

hallo herculess,

"keine statische route" stimmt unter der rahmenbedingung, dass man keinen root-zugriff hat. MIT root geht's schon. früher hatte ich root-rechte. habe festgestellt, dass ich die nicht mehr habe. wir wollen uns wohl hier an dieser stelle nicht über die diesbezüglichen "grausigen" details unterhalten. ich hab's so verstanden, dass das mit geänderten firmware-versionen zammhängt - und die werden automatisch eingespielt - sofern man keine vorkehrungen trifft - was ich nicht getan hatte. vielleicht kann man eine "alte" firmware-version einspielen- dann geht's wieder - aber eigentlich will ich das alles nicht ...oder hab ich etwas komplett falsch verstanden? auch möglich .... ? dann bin ich für jeden hinweis dankbar.

und es wär ja doch eine lösung schön, an der ich nicht jedesmal schrauben muss, nur weil's grad wieder mal ein neues modem gibt ...

mit vlan hatte ich noch nicht zu tun aber interessiert bin ich schon ... magst du noch ein paar worte verlieren, wie das dann aussehen könnte....

cu
irvin

[Herculess]

ok, dann geht's ohne zusätzliche hardware nicht.
kann dir da aber bez. fertigen lösungen keinen wirklichen (günstigen) vorschlag machen (ich bin da was das private umfeld betrifft eher in der opensource umgebung unterwegs). wenn du in sachen linux einigermaßen drauf bist, kannst du das ganze auch mit einer transparenten firewall (iptables) lösen. gibt massig anleitungen wie du das genau aufsetzt.

bez. der lösung mit den pirellis, das würde dann so aussehen wie bei deinem gezeichneten bild1, nur dass die WAN-Schnittstelle/der DSL-Router mit eingebaut ist. du musst dafür jeweils ein netzwerkport für das verbindungs-vlan opfern.
dem verbindungsnetz hast du in der zeichnung aber falsche ip adressen zugeteilt.
da würde statt 10.0.2.3 und 10.0.1.3 eher sowas wie 10.0.3.1 und 10.0.3.2 stehen, wenn wir von einem /24 netz ausgehen.

greets

[zid]

>"...scheint man statische routen zu benötigen. und diese können im pirelli nicht hinterlegt werden..."
der al hats bereits erwähnt:
viewtopic.php?f=46&t=54363&p=448516&#p448464
die routen fürs jeweils andre lan sind auf den rechnern entweder statisch zu setzen oder mit dhcp einzuspritzen. sonst hast du ein routing dreieck.

zum thema "kostengünstig":
wenn du bereits bist, harte 3-5 eier in die hand zu nehmen, dann kannst du jedes beliebige st/tg, das die r6.2 verträgt, nehmen (ein 4-port st510 mit der r4.3 geht also z.b. net). mit so einem ding hast du mindestens 2 möglichkeiten:

1. du willst keine traffic policy durchsetzen, weils dir egal ist, ob die 2 familien "kreuzweise" ins inet gehen können, i.e. familie1 via pire2 und umgekehrt. in dem fall verwendest du das st/tg als switch und zentralen dhcp-server.

- dhcp-server auf den pires deaktivieren.

- die pc's der familien durch verschiedene präfixe in der client-id "markieren", also
fam1-papi, fam1-mami, fam1-omi..., fam2-papi, fam2-mami, fam2-omi...

- du richtest am st/tg 2 dhcp-pools ein für adreßbereiche aus 10.0.1.0/22 und 10.0.2.0/22 (netz muß von /24 auf /22 vergrößert werden) und den gates 10.0.1.1 bzw. 10.0.2.1.

- du bindest die adreßvergabe aus diesen pools an regeln, die die präfixe "fam1" und "fam2" (als substring) matchen.

- fertig


2. du willst eine traffic policy ggf. durchsetzen können. in dem fall wird das st/tg als pseudo-bridge mit proxy arp und zentraler dhcp-server betrieben.

- dhcp-server auf den pires deaktivieren.

- ein 2. vlan "fam2" einrichten und einen ethport in dieses vlan legen.

- ip und dhcp-pool auf "fam2" draufsetzen. beide dhcp-pools haben wieder mask /22, dhcp-regeln, präfixe und dgl. brauchts jetzt nicht, weil die discovers der rechner über die schnittstellen differenziert werden.

- proxy arp auf LocalNetwork und fam2 aktivieren.

- ggf. in der firewall regeln einfügen, die einen inetzugang "übers kreuz" unterbinden.

- fertig.

falls dir die sts/tgs nicht zusagen, kannst dir z.b. mikrotiks oder ciscos reinziehen, da geht einiges einfacher, allerdings kriegst die dinger nicht mehr um 3-5 eier. ja, und linux direkt geht natürlich auch immer (iptables, eptables) -> s. herculess.

lg
zid

[irwin65]

cool, danke.

>>falls dir die sts/tgs nicht zusagen

hmm..da liegen noch zwei im keller rum.

ich glaube, ich werde das machen. ich wollte ursprünglich nicht weg vom pirelli, aber wenn's der sache dient...

lg
irvin