Abgrenzung lokaler Netze OHNE Nutzung des Schnittstellentags

cosoft · Beitrag von **cosoft** » 23 Apr 2009, 15:39

Kann man (per 1611+) zwei interne Netze so trennen, das der Zugriff untereinander blockiert ist, der WAN-Zugriff aber für beide erlaubt ist? Klar, per ARF, Bridgegruppen und Schnittstellentags an sich kein Problem.

Aber: in diesem Fall hängen alle Geräte an einem Strang - sprich an einem LAN-Port. Das (logische) 2. Netz wird irgendwo weit abseits des Routers benötigt, keine Chance per separater Leitung zu einem 2. LAN-Port des Routers zu kommen. Der Router müsste so gesehen an einem Interface über 2 IP-Adressen erreichbar sein...

Hat einer eine Idee dazu?

Danke im voraus!

(Gerät: 1611+ mit FW 7.60.0160)

Oliver · Beitrag von **Oliver** » 23 Apr 2009, 16:56

VLANS könnten dir helfen, dann muss der switch aber auch VLAN Tags unterstützen.

backslash · Beitrag von **backslash** » 23 Apr 2009, 18:48

Hi cosoft

es ist kein Problem mehr als ein Netz an ein Interface zu binden - auch ohne VLAN... Die kannst du dann auch mit Schnittstellentags voneinander separieren...

Ohne VLAN hast du dann nur das Problem, daß die Netze für normale User einfach durch ändern ihrer IP-Konfiguration zugreifbar sind und somit eine sichere Trennung nicht möglich ist.

Gruß
Backslash

cosoft · Beitrag von **cosoft** » 24 Apr 2009, 09:19

backslash hat geschrieben:Die kannst du dann auch mit Schnittstellentags voneinander separieren...

Stimmt. Ich kann ja in neuen IP Netz-Einträgen Tags setzen und trotzdem die Schnittstellenzuordnung auch auf LAN-1 (an dem alles hängt) stellen. Hatte ich gar nicht dran gedacht, weil ich Tags sonst immer nur mit abweichenden Zuordnungen benutze.

backslash hat geschrieben:Ohne VLAN hast du dann nur das Problem, daß die Netze für normale User einfach durch ändern ihrer IP-Konfiguration zugreifbar sind und somit eine sichere Trennung nicht möglich ist.

Ok, aber das ist kein Problem des Routers und lässt sich anders lösen.

Danke.

ajackson · Beitrag von **ajackson** » 09 Mai 2009, 15:03

Hallo cosoft und backslash

ich stehe vor einer hnlichen Anforderung.

Ich möchte einen OAP-54 für einen Hotspot betreiben, der seinerseits mit nur einem LAN-Anschluß an einem Netgear-Router hängt.

Die WLAN Nutzer sollen ein z.B. ein Netz 192.168.0.0 haben und das LAN 192.168.100.0

Die WLAN-Nutzer dürfen keinen Zugriff auf PCs im LAN haben, sollen aber über den Netgear-Router 192.168.100.1 ins Internet kommen.
Gleichzeitig brauchen die PCs im LAN Zugriff auf die LAN-Schnittstelle des OAP-54 für Abrechnungs-Zwecke.

Könntet Ihr mir bitte genau schildern, wie Ihr das gelöst habt.

Vielen Dank im Voraus.

networker · Beitrag von **networker** » 09 Mai 2009, 16:43

Was ist das für ein Netgear?

Mirko

backslash · Beitrag von **backslash** » 11 Mai 2009, 12:18

Hi ajackson

da du die WLAN-User sowieso in ein anders Netz stellst, muß der OAP eh routen um Pakete ins Intranet weiterleiten zu können. Daher ist das bei dir ganz einfach: Sperre einfach über die Firewall den Zugriff auf das 192.168.100.x-Netz:

Code: Alles auswählen

Aktioen: zurückweisen
Quelle:  alle Stationen
Ziel:    Netzwerk 192.168.100.0/255.255.255.0
Dienste: alle Dienste

Und damit die WLAN-User ins Internet kommen richtest du im OAP eine Defaultroute ein, die auf den Netgear zeigt

fertig...

Gruß
Backslash