Netzwerkstrukturfrage....

Impressum | Werbung

Geizhals » Forum » Netzwerk »

Netzwerkstrukturfrage.... (51 Beiträge, 363 Mal gelesen)

Top-100 | Fresh-100

Du bist nicht angemeldet. [ Login/Registrieren ]

Ist-Situation: Das klassische Heimnetz:

          INET
            |
         public IP
          SERVER
        192.168.0.1
            |
          SWITCH
         LAN(192.168.0.*)

Nun soll ein "wirklicher" Hotspot entstehen... Wobei sicherzustellen ist, daß man aus dem WLAN
- am Server nur zum SQUID kommt und nicht direkt nach draußen
- niemand aus dem WLAN Kontakt mit dem LAN aufnehmen kann.

Die Klassiker-Lösung wäre wohl durch eine dritte Netzwerkkarte:

          INET
            |
         public IP
          SERVER 10.0.0.1 - WLAN(10.0.*)
        192.168.0.1
            |
          SWITCH
         LAN(192.168.0.*)

Die Frage bleibt, ob das überhaupt Sinn macht...
Oder ob man mit folgendem nicht dieselben Möglichkeiten bei weniger HW-Einsatz hätte:

          INET
            |
         public IP
          SERVER 10.0.0.1
        192.168.0.1,10.0.0.1
            |
          SWITCH - WLAN-Router(10.0.0.2)
            |                    WLAN(192.168.0.*)
         LAN(192.168.0.*)

Damit meine ich folgendes:
Aus Sicht des LANs bleibt alles gleich. Gateway bleibt der Server, und alles aus dem 192.168er-Lan behandelt er gleich wie bisher.

Der WLAN-Router verwendet als NATter die 10.0.0.2 als seine externe Adresse - und spannt ein 192.168er-WLAN auf und verwendet 10.0.0.1 als sein Standard-Gateway.

Am Server ändert sich, daß die interne Netzwerkkarte nun zusätzlich die 10.0.0.1-IP bekommt.

Aus dem WLAN könnte keiner in das interne LAN ausbrechen, weil der WLAN-Router dann ja nicht routen dürfte (weil sowohl das WLAN als auch das LAN die 192.168.0er-Netze verwenden).
Aus dem LAN könnte keiner versehentlich ins WLAN Daten schicken, weil die Packerl ja bei 10.0.0.2 am WLAN-Router (und nicht auf 192.168) einschlagen würden

Der Server könnte die beiden Netze gleich fein unterscheiden - je nach SourceIP (10.0.0.2 - es ist aus dem WLAN)
Dadurch könnte man alle Datenpackete von 10.0.0.2 wegwerfen - außer sie gehen auf einen Port 80, 8080,... Und diese transparent auf den SQUID verbiegen.

Standardmäßig würde ich eben 3 Karten verwenden...
Hätte ich das bisher standardmäßig falsch gesehen - oder gibt es bei der Lösung mit 2 Karten Probleme, die ich jetzt einfach übersehen habe ? Oder löst man sowas eh immer mit nur 2 NICs ?

EDIT: Ich käme also auf

Paßt das so oder sollte doch eine dritte Karte fürs WLAN rein ???

27.04.2007, 17:22 Uhr - Editiert von googleDork, alte Version: hier

da bräuchtest nur einen WLAN-AcessPoint, keinen WLAN-Router

http://geizhals.at/?cat=wlanap&sort=p&bpmax=&asuch=-router&asd=on&filter=+Angebote+anzeigen+

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Wieso ?

Wenn ich einen WLAN-AP benutze, fällt ja mal NAT flach, oder (so zumindest meine Vermutung

).

Dann hätte ich ja keine saubere Abschottung von LAN und WLAN mehr... Außer ich kaufe stattdessen eine dritte NW-Karte in den Server, oder ?

uu. kann man einer NW-Karte auch zwei IP-Adressen zuweisen

Willst WLAN in das Netz 192.168.100.0/255.255.255.0 legen?

27.04.2007, 16:13 Uhr - Editiert von HITCHER, alte Version: hier

uu. kann man einer NW-Karte auch zwei IP-Adressen zuweisen

Das muß ich eh machen - die interne NIC vom Server hätte dann ja eben 2 IPs (192.168.0.1 und 10.0.0.1)

Willst WLAN in das Netz 192.168.100.0/255.255.255.0 legen?

Ja...
Ich hätte 2 unabhängige 192.168.0.0/24er-Lans - eines im WLAN und eines im LAN.
IMHO müßte das fein klappen und eine saubere Abschottung bringen...

es gibt auch Switches mit VLAN, womit dann WLAN und LAN trennen könntest.

Das ist mir schon klar...

Nur was würde ich mit VLANs gewinnen - außer Mehrkosten ?

Wenn alles aus dem 192.168.0er-WLAN vom WLAN-Router auf 10.0.0.2 genattet wird, habe ich eh meine saubere Trennung - so ist ja genau meine Vermutung, die ich prüfen will

.

Die WLAN-Teile sollten dann ja nicht das LAN vergiften können... da sie durch das WLAN-Router-NAT ja nur ins 10.0.0er-Lan können, und da außer ihnen und dem Server keiner in dem LAN ist...
Der Server wiederum kann fein auf SourceIP 10.0.0.2 achten und einfach gute FW-Regeln definieren.

Die LAN-Teile dürften dann auch nicht versehentlich ins WLAN können - weil sie ja in einem anderen 192.168.0er-LAN sind und daher nie in das WLAN-192.168.0er-LAN geroutet werden können...

Habe ich wo Denkfehler oder paßt mit meiner Skizze alles ?

EDIT: Oder um es klarer zu machen...

Ich hätte dann beispielsweise sowohl einen PC mit zB 192.168.0.10 im LAN als auch einen anderen im WLAN mit derselben IP, ohne daß sie sich stören können...

27.04.2007, 16:45 Uhr - Editiert von googleDork, alte Version: hier

das ADSL Modem läuft mit PPPOE, also einer Point-to-Point Protocol (PPP) über eine Ethernet-Verbindung. In deinem Fall hättest zwei Endpunkte zum ADSL Modem, 10.0.0.1 und 10.0.0.2, weiss nicht wie das funktionieren soll.

das ADSL Modem läuft mit PPPOE, also einer Point-to-Point Protocol (PPP) über eine Ethernet-Verbindung. In deinem Fall hättest zwei Endpunkte zum ADSL Modem, 10.0.0.1 und 10.0.0.2, weiss nicht wie das funktionieren soll.

Nicht anders als bisher... Am ADSL-Modem würde ja nur der Server in der Mitte hängen - mir seiner PublicIP.
Das Modem wäre ja nicht am Switch...

Ins Internet würden dann also nur kommen:
- Der Server selbst
- Diejenigen aus dem LAN, die genattet werden (zB ChefPC)

Die aus dem WLAN würden eben gar nicht direkt ins Internet kommen... Hier käme ja der transparente Squid ins Spiel...

Habe übrigens die Skizze upgedated um es klarer zu machen! Thx für den Hinweis !

Sind abseits von meinen Darstellungsproblemen

noch andere Probs zu erwarten ?

27.04.2007, 17:24 Uhr - Editiert von googleDork, alte Version: hier

Das Modem wäre ja nicht am Switch...

Das Modem hat aber normalerweise auch irgendeine IP 10.0.0.x, könntest also genauso wie die Netzwerkkarte mit der zweiten IP 10.0.0.1 an den Switch hängen.

Wenn ich das Modem am Switch hätte... Könnten sich die LAN-Arbeitsplätze am Server vorbeischummeln....

das könnte nur jemand auf einem PC, wenn der die Kennung und Passwort für den ISP weiss, und für alle anderen würde dann das Internet währenddessen wohl nicht mehr verfügbar sein.

Aber ich gaube am einfachsten wäre es, wennst WLAN in ein eigenes Netz 192.168.100.0/255.255.255.0 stellst, dann müsstest auch mit einem WLAN-AP auskommen.

IPCOP kann zB. genau soetwas (Blue Interface),
allerdings brauchst für IPCOP mehrere NW-Karten.
http://www.ipcop.org/index.php?module=pnWikka&tag=IPCop14xFeatures

SQUID Proxy ist auch dabei

27.04.2007, 22:00 Uhr - Editiert von HITCHER, alte Version: hier

Aber es ist eh nicht geplant, das Internet an den Switch zu hängen...

Aber komme ich mit den 2 Karten nun durch wie gezeichnet - oder eckts noch wo ?

mit Windows wirst mit 2 Netzwerkkarten auskommen (durch Vergabe von zus. IP Adressen/NIC), für Linux bräuchtest mehrere NW-Karten.

für Linux bräuchtest mehrere NW-Karten.

???

STAUN.

Das hätte ich nicht gedacht... Windows bietet hier mehr ? Inwiefern ? Und wieso bräuchte ich bei Linux 3 Karten ?

http://www.ipcop.org/1.4.0/en/install/html/decide-configuration.html#network-interfaces

Wie ? Was ?

Vorher hast gesagt "Unter LINUX" - und was hat das mit IPCop zu tun ? (das ich eh nicht verwenden wollte

)

weil IPCOP natürlich nur ein speziell konfiguriertes minimal-Linux ist.

Und dort sollte man nicht 2 Interfaces auf eine Karte definieren können ?

Schließlich hast bei Linux ja 2 Wege...
1.) ifconfig eth0:1 1.2.3.4 -> Definiert ein zweites Interface (eth0:1) auf eth0
2.) ip addr add 1.2.3.4 dev eth0 -> Definiert eine zweite IP auf eth0

Natürlich alles mischbar...
AFAIK gibts bei Windows nur den zweiten Weg, oder ?
Drum war ich überrascht, daß du sagtest, daß man bei Linux das nicht könne und drei Karten brauche...

Abgesehen davon:
ipcop läßt sich sicher auch leicht zu einem eth0:1 "überreden"..

Abgesehen davon:
ipcop läßt sich sicher auch leicht zu einem eth0:1 "überreden"..

ah, danke,
weil in der Dokumentation von IPCOP ja etwas anderes steht.

1.2.1.5. Network Interfaces

Your firewall will need at least 1 Ethernet cable and network interface card (NIC). It may need up to 4 NICs, depending on the network configuration you choose and your connection to the Internet.

All NICs must be different physical cards (or their equivalent if you have multport cards).

aber ich werd das vielleicht mal ausprobieren.

Ich kenne ipcop nicht (außer vom hören), vermute aber, daß es eine SW für diejenigen ist, die nicht gerade viel Praxis unter Unixoiden-Netzwerken haben...

Ich vermute mal, daß sie drum nicht auf eth0:1 und ähnliches hingewiesen haben, wette aber, daß ipcop das wahrscheinlich out-of-the-box kann, wenn man sich in die Bootscripts einhängt und einfach "ifconfig eth0:1 up" absetzt...

Denn für Applikationen ist das an sich transparent bzw. ein vollwertiges Interface.

und einfach "ifconfig eth0:1 up" absetzt...

ja genau, da müsstest dann zumindest div. bootscripts überarbeiten und ein ethx durch eth0:x ersetzen, weil soetwas out-of-the-box in den Konfigurationsmenues nicht vorgesehen ist. Und die Sicherheit ist womöglich auch fragwürdig wenn RED- und GREEN-Interface am selben NIC hängt. Ist wohl so ähnlich wie die Frage mit dem ADSL-Modem am Switch.

Keine Ahnung, ob IpCop über 2.6er-Kernel rennt...
Wenn ja, bräuchte man ja nur die udev.conf modifizieren und dem Interface "ethx:y" einen normalen Namen verpassen wie "ethz"...

Wobei ich eh schwer an dem NIH-Syndrom (Not Invented Here) leide und lieber selbst meine Regeln vergebe

daß ipcop das wahrscheinlich out-of-the-box kann, wenn man sich in die Bootscripts einhängt

Nachdem IPCop normalerweise das Anpassen von Boot- und Config-Scripts unnötig macht, würd ich alles, was ebendieses erfordert, jedenfalls nicht mehr als out-of-the-box bezeichnen. - Aber machbar ist es sicher, wenn man mal die Logik der IPCop Config-Scripts durchblickt hat.

lg
mIstA

Da hast sicher Recht...

Aber ich glaube eben eh, daß IPCop mehr für die ist, die sich mit Unixoiden-Netzen noch nicht so auskennen...

Da hast jetzt Du wieder Recht...

lg
mIstA

Wenn du schon einen WLAN Router kaufen wirst, kannst du die Trennung direkt am Router erledigen. Bei jedem Router werden die Switchports mit dem WLAN Interface gebridged. Die Bridge kannst du aber bei einem LinuxRouter problemlos auflösen und am WLAN Interface sauber eine DMZ für dein Hotspot implementieren.

So könntest du statt dem Switch, nur den Router verwenden. Diese Router verwenden VLANs um die Switchports verschiedenen Interfaces zuzuteilen (WAN-LAN Port Isolation etwa). Du könntest sogar eine art "Wired Hotspot" implementieren am gleichen Router. Zb Port 4 wird auf ein eigenes vlan geschmiessen, dann mit dem WLAN gebridged, alle andere Ports bleiben im ursprünglichen VLAN.

Und ja, durch den Wegfall des Switches, hast noch weniger Hardware im Einsatz

Ganz günstig derzeit: Buffalo WHR-G54S

Hi !

Danke mal...
Kann man direkt auf den Einsteigen (zB per Telnet) ?
Oder muß man bei dem erst was flashen und Garantie verlieren ???

Werde mir mal die Herstellerseite ansehen...

Abgesehen davon:
Mein Weg mit nur 2 NICs müßte ebenfalls funktionieren, oder ?
Obwohl ich noch nie wo 2 so getrennte 192er-Lans gesehen habe... Und das wird ja sicher einen Grund haben... Welchen ?

Kann man direkt auf den Einsteigen (zB per Telnet) ?
Oder muß man bei dem erst was flashen und Garantie verlieren ???

keine ahnung.... nie probiert. ich habe die dinger immer gleich geflasht.

Mein Weg mit nur 2 NICs müßte ebenfalls funktionieren, oder ?

warum nicht?

Obwohl ich noch nie wo 2 so getrennte 192er-Lans gesehen habe... Und das wird
ja sicher einen Grund haben... Welchen ?

das ganze ist mir aber auch nicht ganz koscher. möglich dass 10.0.0.1 mit 192.168.0.x auf beiden NAT seiten durcheinanderkommt, zb bei ethernet broadcasts.

ich glaube jedoch nicht dass es zu problemen kommen wird, dennoch würde ich, solltest du dich für diese lösung entscheiden, einfach einen anderen subnet verwenden und alle pakete nach 192.168.0.x am router droppen.

das ganze ist mir aber auch nicht ganz koscher. möglich dass 10.0.0.1 mit 192.168.0.x auf beiden NAT seiten durcheinanderkommt, zb bei ethernet broadcasts.

Das stimmt natürlich. Aus Sicht des WLAN-Routers wäre ein 192.168er-Packerl auf seinem WAN-Interface ein martian Packerl

... Und ob er es brav nach Spec verwirft bleibt unklar.

Vorteil bei dem "2x selbes internes Lan" vermutete ich in einer strukturellen Sicherheit des LAN... selbst wenn ich mich bei iptables, ... am Server total vertue, könnten sich die 2 LANs nicht beeinflussen...

Andere Subnets werdens wohl werden - wobei ich bisher echt nur die Variante mit 3 NICs in so einem Fall gesehen habe... Wird mir immer unklarer, warum gerne 3 NICs verwendet werden.

Das stimmt natürlich. Aus Sicht des WLAN-Routers wäre ein 192.168er-Packerl
auf seinem WAN-Interface ein martian Packerl ... Und ob er es brav nach
Spec verwirft bleibt unklar.

man weiss ja oft nicht was die hersteller da implementiert haben. man erinnere sich an die dos attacke vom drucker

wer weiss schon was ein closed source tcp stack schon macht wenn er ein paket auf der einen seite des routers entdeckt, das auf der anderen sein sollte. kernel panics ?

Vorteil bei dem "2x selbes internes Lan" vermutete ich in einer strukturellen
Sicherheit des LAN... selbst wenn ich mich bei iptables, ... am Server total
vertue, könnten sich die 2 LANs nicht beeinflussen...

da musst du dich aber schon ordentlich vertun

ein mal am router und ein weiteres mal am gateway

du wirst dich aber jedes mal fragen wenn etwas hackt "könnte das am ip range liegen?"

Wird mir immer unklarer, warum gerne 3 NICs verwendet werden.

ist so ein ipcop dogma. software ist fehlbar, hardware unfehlbar

27.04.2007, 23:16 Uhr - Editiert von patos, alte Version: hier

ist so ein ipcop dogma. software ist fehlbar, hardware unfehlbar

Neee.. Das Dogma gabs schon vorher... Kenne ich noch von alten AIXen, in die soviel NICs gestopft wurden, bis sie wie ein mutierter Igel aussahen

.

Das postulierte Dogma selbst hingegen übernehme ich - denn dadurch kann man ja schließen, daß der HW-WLAN-Router unfehlbar ist

Das postulierte Dogma selbst hingegen übernehme ich - denn dadurch kann man ja schließen, daß der HW-WLAN-Router unfehlbar ist

Auch im HW-Router werkelt letztlich nur - grundsätzlich fehlerhafte - Software!

lg
mIstA

Hach... Und im Device-Driver für eine NIC nicht ????

Mehrere NW-Karten => mehrere Driver, Routing-Table-Entries oder gar Routen-Tabellen selbst => unsicherer

Also funktionieren sollte Deine 2-NIC Variante prinzipiell sogar mit nur einer einzigen NIC der Du halt 3 (passende) IP Adressen gibst; dann kannst sogar das Modem auch noch am Switch anhängen.

wobei ich bisher echt nur die Variante mit 3 NICs in so einem Fall gesehen habe... Wird mir immer unklarer, warum gerne 3 NICs verwendet werden.

Mir ist eigentlich völlig unklar was gegen 3 NICs spricht. - Der Preis für die NW-Karte kanns ja wohl net sein, oder?

Solange in Deinem WLAN-Subnet wirklich nur der WLAN-Router hängt und dieser Router völlig sicher ist, bringt der Verzicht auf eine eigene NIC für selbigen keinen unmittelbaren Nachteil. Aber welcher Router ist schon völlig sicher?
Falls es einem Angreifer aber gelingt den WLAN-Router zu kompromitieren, dann ist er bei Deiner Sparvariante direkt in Deinem LAN, während er bei der 3-NIC Variante immer noch von der Firewall im Server abprallen würde.

lg
mIstA

Also funktionieren sollte Deine 2-NIC Variante prinzipiell sogar mit nur einer einzigen NIC der Du halt 3 (passende) IP Adressen gibst; dann kannst sogar das Modem auch noch am Switch anhängen.

Das dachte ich auch schon... Dem ist aber nicht so

.
Denn wenn alle am selben Switch hängen, können die LAN-Arbeitsplätze ja mal mitsniffen, was sich im Lan so tut... Und dann bekommen sie natürlich mit, welches DefaultGW zu verwenden wäre, wenn sie direkt ins INet wollen...

So hingegen ist es sauber:
WLAN wird durch WLAN-Router bzw. Topologie abgeshottet - die kommen nicht ins Inet und nicht ins LAN.
LAN wird durch Server und WLAN-Router abgeschottet - die kommen auch nicht wohin, wo sie nicht hin sollen
INet wird wiederum durch Server abgeschottet - von dort kommt auch keiner wo hin.

Denn wenn alle am selben Switch hängen, können die LAN-Arbeitsplätze ja mal mitsniffen, was sich im Lan so tut

Mitsniffen im geswitchten LAN? - OK ein Man in the Middle Angriff auf die Verbindung Server zu Modem wär mit entsprechendem Aufwand machbar, aber als Abhilfe dagegen könntest den ARP-Eintrag fürs Modem am Server statisch setzten.

welches DefaultGW zu verwenden wäre, wenn sie direkt ins INet wollen

Nachdem von nem Modem zur I-Net Verbindung die Rede war, wird der Gateway allein net viel helfen, da bräucht man schon die kompletten Einwahl-Credentials.

Btw. auch in Deiner Konfig (wenn ichs richtig verstanden hab) kann prinzipiell jeder Rechner im LAN die IP vom Chef-PC kapern und damit dann ungehindert ind I-Net.

LAN wird durch Server und WLAN-Router abgeschottet - die kommen auch nicht wohin, wo sie nicht hin sollen

Also vom LAN ins WLAN ist in Deiner Config überhaupt kein Problem; einfach passende 10er IP wählen und schon hast Zugriff auf den WLAN-Router.

WLAN wird durch WLAN-Router bzw. Topologie abgeshottet - die kommen nicht ins Inet und nicht ins LAN.

Wie schon gesagt - solang der WLAN-Router sicher ist; eine eigene NIC bietet da für ein paar Euros einen zusätzlichen Schutzwall.

lg
mIstA

28.04.2007, 00:09 Uhr - Editiert von mIstA, alte Version: hier

Also vom LAN ins WLAN ist in Deiner Config überhaupt kein Problem; einfach
passende 10er IP wählen und schon hast Zugriff auf den WLAN-Router.

ähm.... wie definierst du "zugriff"?

Sehe ich mal ganz anders... Was aber eh gut ist, schließlich will ich meine Gedanken ja prüfen

Mitsniffen im geswitchten LAN? - OK ein Man in the Middle Angriff auf die Verbindung Server zu Modem wär mit entsprechendem Aufwand machbar, aber als Abhilfe dagegen könntest den ARP-Eintrag fürs Modem am Server statisch setzten.

Nun ja, einen Switch zu einem Hub vom ClientPC aus "umbauen" ist ja nun kein Streß... Dadurch kann er mitsniffen...

da bräucht man schon die kompletten Einwahl-Credentials.

Wirklich ? Auch wenn gerade einen INet-Verbindung steht ?
Kenne mich mit ADSL überhaupt nicht auch und bin mir auch nicht sicher, ob dort ADSL ist... Bei Chello wäre es anders..

Also vom LAN ins WLAN ist in Deiner Config überhaupt kein Problem; einfach passende 10er IP wählen und schon hast Zugriff auf den WLAN-Router.

No Chance.

Du kommst dann ja nur aufs externe Interface vom WLAN-Router, aber nicht ins WLAN selbst..

Btw. auch in Deiner Konfig (wenn ichs richtig verstanden hab) kann prinzipiell jeder Rechner im LAN die IP vom Chef-PC kapern und damit dann ungehindert ind I-Net.

Nein... Siehst du falsch - aber nur, weil es nicht in der Skizze ist

Der Chef will natürlich von jedem PC ins INet können... Und ein "festmachen" an IP oder MAC wäre eh Irrsinn

.

Ich dachte daher, daß der Chef eh immer in seinem VPN arbeiten kann - demselben wie @home... Und so ins INet kommt.... AAAABEERR:

Genauso könnte in dem Modell allerdings der AngestelltenPC gefakte Packerl reinstellen, die vorgeben, von 10.0.0.2 zu sein... Also vom WLAN-Router... und so ins Internet kommen...

Hmmm...

SHICE!
Wie löst man das echt ???

Einfach ware ein managed Switch, bei dem man festlegen kann, an welchem Port welche Mac/IP kommt... Wie löst man es ohne dem ? 4 Netzwerkkarten ? (ChefLan, AngestelltenLan, WLAN-Lan, INet) ??? Aber auch der Switch wäre ja unsicher...
Was ist, wenn die Angestellte einfach den PC austauscht ???

Alternativ:
PC mit Maschinenzertifikat im VPN (damit er nicht durch einen eigenen PC ausgetauscht werden kann) ? Das wird ja dadurch ausgeschlossen, daß jeder im WLAN surfen können soll...

28.04.2007, 08:46 Uhr - Editiert von googleDork, alte Version: hier

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung