2 Netze verbinden/routen

[schlauby]

Hallo Leute,

ich bräuchte mal die Hilfe von Profis die sich in der Materie besser auskennen als ich.

IST Situation (siehe Diagramm): 2 Netze im selben Gebäude mit eigenen Internetanschlüssen.

Ziel: Es muß vom Firma2 Terminalserver auf den Datenbankserver von Firma1 zugegriffen werden. Und nur von dem, also keine anderen Clients sollen auf das Netz von Firma1 zugreifen können.

Nun hab ich schon viel gelesen mit routing/vlans etc., aber leider bin ich da nicht so fit.
Es steht noch ein LANCOM GS-2326+ Layer2 Switch zur Verfügung der aktuell nicht genutzt wird, vielleicht für VLANs zu verwenden?

Was wäre hier eurer Meinung nach die beste Lösung?
Wie bekomme ich vom TS eine Verbindung zum DB Server?

Vielen Dank & Grüße

Wolfgang

[backslash]

Hi schlauby,

das ist relativ trivial...

• Richte auf den beiden 1781ern ein Transfernetz ein, z.B. 172.23.56.x/255.255.255.0 und binde dieses an ein eigenes LAN-Interface (z.B. LAN-2/ETH-2).
• vergib den Geräten dort verschiedene Adressen, z.B. 172.23.56.1 und 172.23.56.2...
• richte in den Routing-Tabellen der 1781er Routen zu dem jeweils anderen Netz ein und
• trage dort als Router die IP des jeweils anderen 1781er im obven erstellten Transfernetz ein.
• als letztes koppelst du die 1781er mit einem Ethernet-Kabel...

Gruß
Backslash

[schlauby]

Hi Backslash,

hat wunderbar funktioniert.

Vielen Dank.

[Jirka]

Hallo,

mich hatte jemand aus dem Forum gefragt, ob denn dafür unbedingt ein Transfernetz benötigt wird. Ich bin der Meinung nein. Es hätte auch gereicht, in einen der beiden LANCOMs das Netz der anderen Seite zusätzlich einzutragen und im anderen LANCOM eine Route zu dem gegenüber liegenden Netz (über die IP des LANCOMs der Gegenseite im eigenen Netz).

@ schlauby/Wolfgang:
An Firewall-Regeln hattest Du aber auch gedacht, um die Anforderung, dass nur vom TS aus zugegriffen werden darf, zu erfüllen, oder?

Viele Grüße,
Jirka

[Dr.Einstein]

Hi Jirka,

mich hatte jemand aus dem Forum gefragt, ob denn dafür unbedingt ein Transfernetz benötigt wird. Ich bin der Meinung nein. Es hätte auch gereicht, in einen der beiden LANCOMs das Netz der anderen Seite zusätzlich einzutragen und im anderen LANCOM eine Route zu dem gegenüber liegenden Netz (über die IP des LANCOMs der Gegenseite im eigenen Netz).

Normalerweise ja, aber da es zwei Firmen sind, sollte ein Transfernetz hin, damit beide Seiten Firewallregeln bekommen. Sonst müsste man einer Seite vertrauen oder Firewallregeln in allen Clients der Firma 2 eintragen.

Gruß Dr.Einstein

[Jirka]

Hallo Dr. Einstein,

ja, der Einwand ist natürlich vollkommen berechtigt. Ich bin hier stillschweigend davon ausgegangen, dass ich der alleinige Admin der LANCOMs bin, so wie es bei dem Forumsmitglied auch der Fall ist.

Vielen Dank und viele Grüße,
Jirka

[schlauby]

Hallo zusammen,

@Jirka, ich hab anstatt der FW Regel in der Routing Tabelle nicht das ganze Netz der Firma1 eingetragen, sondern nur die IP des DB Servers.
Somit kann ich vom TS aus Firma2 nur auf die IP des DB Server zugreifen.
Keine gute Idee?
Und deine Annahme das ich beide Router/Firmen administriere ist/war korrekt.
Somit könnte ich auch die andere Variante ohne Transfernetz umsetzen.

Was wäre denn der Vorteil/Nachteil mit & ohne Transfernetz?

Vielen Dank & Grüße
Schlauby

[Jirka]

Hallo Schlauby,

ich hab anstatt der FW Regel in der Routing Tabelle nicht das ganze Netz der Firma1 eingetragen, sondern nur die IP des DB Servers.
Somit kann ich vom TS aus Firma2 nur auf die IP des DB Server zugreifen.
Keine gute Idee?

kommt drauf an, grundsätzlich aber eher nein, keine gute Idee.
Was hast Du denn für eine Netzmaske in der Route stehen?
Und die andere Seite? Die kann dann vom DB-Server aus auf das gesamte Netz der Gegenseite zugreifen?

Und deine Annahme das ich beide Router/Firmen administriere ist/war korrekt.
Somit könnte ich auch die andere Variante ohne Transfernetz umsetzen.
Was wäre denn der Vorteil/Nachteil mit & ohne Transfernetz?

Mit Transfernetz kann jede Seite eigenständig die Kontrolle darüber behalten, wer auf das eigene Netz zugreifen darf und wer nicht, das wurde ja schon angesprochen.
Ohne Transfernetz ist der Aufbau halt etwas einfacher, man muss etwas weniger konfigurieren, es ist vielleicht etwas leichter verständlich, der eine Router wird weniger belastet (wobei das bei Deinen performanten +-Geräten keine Rolle spielt), man muss das neue Verbindungs-Kabel auf der einen Seite nicht unbedingt in den Router stecken, wenn der Weg dahin noch weit ist, die nächstbeste Dose tut es auch... Alles nichts Wesentliches.

Viele Grüße,
Jirka

[schlauby]

Hi Jirka,

Was hast Du denn für eine Netzmaske in der Route stehen?

255.255.255.255

Und die andere Seite? Die kann dann vom DB-Server aus auf das gesamte Netz der Gegenseite zugreifen?

Nein, da ist es genauso, also nur die eine IP und die 255.255.255.255 Maske

Danke für deine Hilfe.

Grüße

Schlauby

[Jirka]

Hi,

ok, die Netzmaske ist gut und schränkt tatsächlich ein. Insofern kann man das durchgehen lassen, insbesondere, wenn Du weißt, was Du da getan hast und das sieht ja so aus. Genau genommen kann aber vom DB-Server auch auf den TS zugegriffen werden und das wäre dann mit einer Firewall-Regel verhindert worden, genauso, dass eben vom TS zum DB-Server nur die benötigten Ports geöffnet worden wären und nicht alle.

Viele Grüße,
Jirka

[schlauby]

Das vom DB Server theoretisch auf den TS zugegriffen werden kann ist richtig, aber in diesem Fall zu vernachlässigen.

Ich habe aber in dieser Konstellation noch eine Herausforderung (zumindest für mich).
Vielleicht kannst du hier auf helfen.
Zwischen diesen beiden Netzen soll/steht ein LANCOM GS-2326+ Layer2 Switch.
20 Ports davon sollen im Netz der Firma1 stehen, und die restlichen 4 in Firma2.
Das müßte man ja dann über vlans lösen, oder? Wie kann ich das am Switch bzw. Router umsetzen?

Muß ich das überhaupt, oder könnte ich einfach beide Netze/Router dran hängen?
Macht das Probleme auf dem Switch?
Es gibt nur in Firma1 einen DHCP. Die anderen Geräte in Firma2 haben feste IP.

Vielen Dank & Grüße

Schlauby