Hallo zusammen!
Ihr seht schon: Ich bin neu im Forum, trotzdem dreht sich mein erster Beitrag direkt um ein etwas kniffliges Problem: Ich möchte ein mittelgroßes Netzwerk (etwa 150 bis 200 Clients) mit IPs adressieren.
Zur Situation:
Der Einfachheit halber kann man sich das Netz als großes Flächennetz (quasi einen einzigen, großen Switch) vorstellen. Jeder Client kann - rein physikalisch - also jeden anderen erreichen.
Am Netz hängen auch zwei Server, Gateway und Fileserver.
Nun gibt es zwei Abteilungen mit Workstations (je etwa 35 - 40 Clients), WLAN-Accesspoints (etwa 20), diverse WLAN-Clients (bis zu 60) und einige Netzwerkgeräte wie Drucker etc. .
Was ich erreichen möchte:
Da es sich um ein Flächennetz handelt, kann ich die Clients nicht durch z.B. eine Firewall voneinander separieren, ich möchte aber, dass man aus Abteilung 1 nicht auf Abteilung 2 zugreifen kann, dass ein WLAN-Client keinen Zugriff auf eine der Abteilungen hat, etc. .
Daher möchte ich zumindest die Adressräume so wählen, dass - unter normalen Umständen - kein Zugriff auf eines der anderen Subnetze möglich ist.
Dennoch sollen alle Clients auf beide Server und die Netzwerkdrucker zugreifen können.
Wie ich es mir vorstelle:
Server: 192.168.0.1, 192.168.0.2 / ?
Abteilung 1: 192.168.1.0 / 255.255.255.0
Abteilung 2: 192.168.2.0 / 255.255.255.0
WLAN-Clients: 192.168.3.0 / 255.255.255.0
Netzwerkdrucker etc. : 192.168.4.0 / ?
Accesspoints: 192.168.5.0 / 255.255.255.0 (?) -> Übrigens per Radius verwaltet
Es dürfte ja nicht schwierig sein, einen DHCP-Server so zu konfigurieren, dass er die IPs wie oben beschrieben vergibt.
Meine Frage nur: Funktioniert das so? Sind die Clients damit wirklich voneinander "getrennt" und wie muss ich Server, Netzwerkdrucker etc. konfigurieren, um sie aus allen Subnetzen erreichbar zu machen?
Grüße und ein schönes Wochenende,
mrserious
Netzwerk-Adressierung
Re: Netzwerk-Adressierung
Hallo und willkommen in Forum,
die Abteilungen/Server/Printer in jeweils eigene VLANs stecken, AccessControlLists drauflegen
und die erwünschte Kommunikationsbeziehungen per Inter-VLAN Routing herstellen.
die Abteilungen/Server/Printer in jeweils eigene VLANs stecken, AccessControlLists drauflegen
und die erwünschte Kommunikationsbeziehungen per Inter-VLAN Routing herstellen.
-
mod3
Re: Netzwerk-Adressierung
Naja, mein Problem ist eben, dass ich keine Möglichkeit habe, die Switches zu tauschen.
Und selbige sind sehr günstige Modelle, welche nicht managebar sind, also sind VLANs leider nicht machbar.
Daher habe ich mich für diese Sparlösung entschieden.
Ist das denn trotzdem prinzipiell so möglich, wenn auch natürlich alles andere als optimal?
Und selbige sind sehr günstige Modelle, welche nicht managebar sind, also sind VLANs leider nicht machbar.
Daher habe ich mich für diese Sparlösung entschieden.
Ist das denn trotzdem prinzipiell so möglich, wenn auch natürlich alles andere als optimal?
Re: Netzwerk-Adressierung
Unmanaged switche ohne port-security, nö.mrserious hat geschrieben:Sind die Clients damit wirklich voneinander "getrennt"
Das Routen macht der Router (bzw. L3-switch [ggf. die firewall]).mrserious hat geschrieben: und wie muss ich Server, Netzwerkdrucker etc. konfigurieren, um sie aus allen Subnetzen erreichbar zu machen?
Ohne den wirds schwierig
Code: Alles auswählen
mrserious aka mod3
Re: Netzwerk-Adressierung
Ja, dass sie rein physikalisch etc. nicht voneinander separiert sind ist mir klar
Deshalb schrieb ich das in Anführungszeichen
Ein Routing ist in dem Sinne ja garnicht unbedingt gewünscht. Aber ich könnte z.B. den Gateway-Server nutzen, um Druckanfragen aus den einzelnen Subnetzen weiterzuleiten zum Drucker in einem anderen Subnetz, das müsste doch funktionieren?
War nicht am eigenen Rechner und hatte dementsprechend mein PW nicht, da es im Browser gespeichert ist
Aber Kollegen helfen sich ab und an mal
Deshalb schrieb ich das in Anführungszeichen
Ein Routing ist in dem Sinne ja garnicht unbedingt gewünscht. Aber ich könnte z.B. den Gateway-Server nutzen, um Druckanfragen aus den einzelnen Subnetzen weiterzuleiten zum Drucker in einem anderen Subnetz, das müsste doch funktionieren?
War nicht am eigenen Rechner und hatte dementsprechend mein PW nicht, da es im Browser gespeichert ist
Aber Kollegen helfen sich ab und an mal
Re: Netzwerk-Adressierung
Also ok, Ihr habt keinen Router.
Dann macht eine Netzsegmentierung auch keinen Sinn,
denn das erste, was im arp-cache auftauchen würde,
wäre das default-gateway ...
Dann macht eine Netzsegmentierung auch keinen Sinn,
denn das erste, was im arp-cache auftauchen würde,
wäre das default-gateway ...
Re: Netzwerk-Adressierung
Hm, kannst du mir das etwas genauer erläutern?
Denn das Standard-Gateway kann ich ja - wie oben beschrieben - im Bedarfsfall als Router einsetzen.
Denn das Standard-Gateway kann ich ja - wie oben beschrieben - im Bedarfsfall als Router einsetzen.
Re: Netzwerk-Adressierung
Deine Aussage
In einem flachen Netz (was Du als "großes Flächennetz" bezeichnest) braucht man auch keine
default-route und daher auch keinen Router, weil sich alles (*) innerhalb des einen Netzes abspielt.
(*) bis auf das Gateway selbst, welches mit einer 2. NIC wohin auch immer angeschlossen ist.
habe ich so verstandenmrserious hat geschrieben: Am Netz hängen auch zwei Server, Gateway und Fileserver.
Code: Alles auswählen
Am Netz hängen auch zwei Server: (Proxy-/whatever-)Gateway (also ein Windows-/Linux-Hobel und kein Cisco/Juniper/etc.) und (ein) Fileserverdefault-route und daher auch keinen Router, weil sich alles (*) innerhalb des einen Netzes abspielt.
(*) bis auf das Gateway selbst, welches mit einer 2. NIC wohin auch immer angeschlossen ist.
Re: Netzwerk-Adressierung
Ach das meinst du.
Korrekt, ist ein Debian-Gateway, der einfach eine Verbindung zum Internet herstellt, auf dem ein iptables-Skript die Verbindungen filtert, ein Proxy rennt, ein DNS-Caching-Server... der übliche Standardkram halt.
Die Clients untereinander bieten auch keine Dienste an, es ist garnicht nötig, dass sie sich überhaupt erreichen können, alle Verbindungen gehen richtung Gateway-/Fileserver.
Korrekt, ist ein Debian-Gateway, der einfach eine Verbindung zum Internet herstellt, auf dem ein iptables-Skript die Verbindungen filtert, ein Proxy rennt, ein DNS-Caching-Server... der übliche Standardkram halt.
Die Clients untereinander bieten auch keine Dienste an, es ist garnicht nötig, dass sie sich überhaupt erreichen können, alle Verbindungen gehen richtung Gateway-/Fileserver.
Re: Netzwerk-Adressierung
Wenn PC aus Abtl. 1 mit PC aus Abtl. 2 sprechen will (und umgekehrt), brauchen beide nicht malmrserious hat geschrieben: Abteilung 1: 192.168.1.0 / 255.255.255.0
Abteilung 2: 192.168.2.0 / 255.255.255.0
die IP ändern, sondern nur die Netzmaske vervierfachen (/24 -> /22), schon sind sie wieder im "gleichen Netz"
und das Default-gateway "ausgehbelt".
Einseitiger Angriff bedarf wohl größerer Anstrengung.
Re: Netzwerk-Adressierung
Jau, ist alles korrekt
Ich gehe aber auch nicht von direkten Angriffen aus, zumal im Netz niemand Admin-Zugriff auf sein System hat und somit - zumindest theoretisch - nicht in der Lage ist, seine IP oder Netzmaske ändern zu können.
Mir geht's eher darum, dass harmlose Attacken ins Leere laufen, wenn dann z.B. doch mal jemand eine Windows-Freigabe auf seinem Laptop hat, die er eigentlich garnicht freigeben wollte oder ähnliches wäre sie zumindest nicht im gesamten Netz sichtbar.
Dass die VLAN-Variante die bessere Lösung ist, ist völlig klar, leider sind mir da momentan aber finanziell die Hände gebunden.
Ich gehe aber auch nicht von direkten Angriffen aus, zumal im Netz niemand Admin-Zugriff auf sein System hat und somit - zumindest theoretisch - nicht in der Lage ist, seine IP oder Netzmaske ändern zu können.
Mir geht's eher darum, dass harmlose Attacken ins Leere laufen, wenn dann z.B. doch mal jemand eine Windows-Freigabe auf seinem Laptop hat, die er eigentlich garnicht freigeben wollte oder ähnliches wäre sie zumindest nicht im gesamten Netz sichtbar.
Dass die VLAN-Variante die bessere Lösung ist, ist völlig klar, leider sind mir da momentan aber finanziell die Hände gebunden.