1 nettverk -> 2 nettverk (segmenter)

[tesaete]

Jeg har i dag et felles nettverk, disse har så tilgang til internett via en ruter. Jeg ønsker å dele dette nettverket i to separate nett, muligens en oppdeling ipbasert hvis dette lar seg gjør. Hensikten er at det ene nettet ikke skal se maskiner på det andre nettet. Noen forslag på hvordan dette kan løses, særlig med hensyn til at de skal benytte samme ruter.

 

Terje

[enden]

Så lenge de er hooked opp på samme router så vil de tilhøre samme nettverkssegment, og da må de jo nødvendigvis se hverandre. Tror heller ikke at èn router kan tildele to ulike ip-ranger. Hvordan skal den vite hvilken maskin som skal ha hva?

Hvis du går litt mer inn på detaljer om hva og hvorfor så kan det hende noen kan hjelpe deg med hvordan

[ledigbrukernavn]

En litt avansert router bør klare dette.

 

Alternativet er vel en maskin med 3 nettverkskort koblet som en Y mellom de 2 nettene og routeren. Har sett hjemmelaget software beregnet for 'Y-maskinen'.

[Oksebæsj]

Hvis du bare skal holde lillebror unna filene dine kan du bruke forskjellige arbeidsgrupper. Ikke akkurat høysikkerhet, men greit nok i heimen.

[AccessDenied]

Info om målet/planen med dette "tiltaket". Kanskje det er nok å justere local policies og ntfs-rettigheter (dersom win2k/winxp) ?

 

Kan jo stenge for lag-3 trafikk med en ruter som du sier.....Litt mer info om ruteren du skal bruke kunne vært ønskelig.

 

Normalt sett må du ha en ruter med flere ethernet-controllere (en for hvert IP-subnett) for så å sette en aksessliste på interfacene som igjen filtrerer ønsket inn/ut trafikk. Nyttig og mye brukt i de fleste norske hjem

[knut]

en mulig løsning er å bruke Asus WL-500g, og dele opp det trådløse og det vanlige nettverket, så sette opp en bridge mot det andre nettverket

 

Det kommer da ann om om du vil kjøre trådløst mot det andre nettverket eller ikke. Denne løsningen koster ca 2000 kr og du kan da også koble på flere trådløse klienter (WDS Hybrid modus)

 

Du kan lese test av denne på www.barbara.no

[Strips]

Du klarer deg ikke med en router. Enten må du ha to routere eller en router med flere porter som kan routes. F.eks. to stk Ethernet-Ethernet eller ADLS routere hadde gjort jobben. De har jo alle portfiltere som kan blokkere trafikk mellom de to segmentene men slippe igjennom trafikk til og fra internet.

 

Internet <-router-> Ethernet1 <-router-> Ethernet2

[The Jackal]

Nå hjelper det strengt tatt ikke bare å lage 2 nettverkssegmenter. En router er jo til for sende trafikk mellom forskjellige nettverkssegmenter. Med en router vil jo denne bare oversette mellom de 2 nettverkene og de vil ha kontakt likevel Selv om du skulle få tak i en router med DHCP server som deler ut IP'er til 2 forskjellige segmenter, så må du i tillegg sette opp et filter mellom nettverkene eventuelt ha noe VPN saker. Det enkleste er nok hvis du har en gammel maskin med 3 NIC som du kan installere linux på. Sett opp iptables, og du har en finfin brannbur i tillegg. Nettet vil se omtrent slik ut:

 

router--linuxbox--2 nettverk

[Strips]

Nå hjelper det strengt tatt ikke bare å lage 2 nettverkssegmenter. En router er jo til for sende trafikk mellom forskjellige nettverkssegmenter. Med en router vil jo denne bare oversette mellom de 2 nettverkene og de vil ha kontakt likevel Selv om du skulle få tak i en router med DHCP server som deler ut IP'er til 2 forskjellige segmenter, så må du i tillegg sette opp et filter mellom nettverkene eventuelt ha noe VPN saker. Det enkleste er nok hvis du har en gammel maskin med 3 NIC som du kan installere linux på. Sett opp iptables, og du har en finfin brannbur i tillegg. Nettet vil se omtrent slik ut:

 

router--linuxbox--2 nettverk

 

De to nettverkene vil ikke se hverandre sånn uten videre. Det er mulig å spesifisere direkte IPadresse på det andre segmentet og da få tilgang ja. Men du vil ikke kunne browse nettet på andre siden av routeren siden den ikke router netbios broadcasts. Som jeg også nevnte så kan man bruke portfiltrene i disse routerene til å blokkere uønsket trafikk som netbios og da ikke få filtilgang mellom nettene.

 

Men jeg har tenkt litt og. En ikke helt heldig løsning som kansje hadde fungert. Hvis du subnetter de to ethernettene slik at subnettmasken til routeren dekker hele de to subnettenes range... Noen som har erfaring med det som har en kommentar??? Kunne vært artig å prøve Hvis det funker så kan ikke de to nettene kommunisere over hodet med hverandre. Eneste problemet er at broadcast fra routeren vil bare bli motatt av det ene nettet.

[Admin'c]

sett en annen nettverksmaske hos han så ser han ikke pcn før han tar og endrer tilbake, ellers er policier en ting men det krever mer

[sLoRc]

VLAN ?

 

det desidert enkleste spør du meg.. kjøp deg en switch med vlan mulighet, gjerne meg webgrensesnitt, slik at du lett kan sette opp vlan'et slik du ønsker..

[The Jackal]

De to nettverkene vil ikke se hverandre sånn uten videre. Det er mulig å spesifisere direkte IPadresse på det andre segmentet og da få tilgang ja. Men du vil ikke kunne browse nettet på andre siden av routeren siden den ikke router netbios broadcasts. Som jeg også nevnte så kan man bruke portfiltrene i disse routerene til å blokkere uønsket trafikk som netbios og da ikke få filtilgang mellom nettene.

Er klar over at du må spesifisere IP-adresse ja, men spørs hvor sikkert han karen vil ha dette nettet. Hvis lillebror er klåfingret og kan bittelitt data, så er det lett for han få tilgang uansett.

 

Men jeg har tenkt litt og. En ikke helt heldig løsning som kansje hadde fungert. Hvis du subnetter de to ethernettene slik at subnettmasken til routeren dekker hele de to subnettenes range... Noen som har erfaring med det som har en kommentar??? Kunne vært artig å prøve Hvis det funker så kan ikke de to nettene kommunisere over hodet med hverandre. Eneste problemet er at broadcast fra routeren vil bare bli motatt av det ene nettet.

 

Interessant tanke, aner ikke om det fungerer. Uansett, hvorfor skulle ikke de kunne prate med hverandre da? Det er jo akkurat det scenarioet jeg skisserte i sted (pluss minus). Routeren vil oversette mellom nettverket, så hvis du vet en IP i det andre subnettet, så har du tilgang.

 

PS! Mulig jeg er litt trøtt her...er for tiden i australia...klokken er 01.42am

[The Jackal]

VLAN ?

 

det desidert enkleste spør du meg.. kjøp deg en switch med vlan mulighet, gjerne meg webgrensesnitt, slik at du lett kan sette opp vlan'et slik du ønsker..

 

Nå er vel ikke routere med VLAN det aller billigste du får tak (har riktignok ikke sjekket prisene, men en liten følelse jeg har). En annen downside med VLAN routere/switvh er at de er en del tregere enn "vanlig" utstyr. Dette fordi du må fjerne VLAN bitsene fra pakken når du sende den videre. Det vil etter all sannsynlighet føre til en dårligere ping, noe som ikke er spess morro når man skal spille fps spill på næt. Vet det finnes forskjellige måter å kjøre VLAN på, men tipper de enkleste løsningene vil tagge alle pakker automatisk når den kommer inn på en port.

[The Jackal]

Men jeg har tenkt litt og. En ikke helt heldig løsning som kansje hadde fungert. Hvis du subnetter de to ethernettene slik at subnettmasken til routeren dekker hele de to subnettenes range... Noen som har erfaring med det som har en kommentar??? Kunne vært artig å prøve Hvis det funker så kan ikke de to nettene kommunisere over hodet med hverandre. Eneste problemet er at broadcast fra routeren vil bare bli motatt av det ene nettet.

 

Etter litt ettertanke vil det seffern ikke fungere.

Eks: Du har 2 subnet:

Subnet 1: 192.168.0.32 / 255.255.255.224

Subnet 2: 192.168.0.64 / 255.255.255.224

 

Du må jo ha en IP for gatewayen/routeren. Sett at du setter denne til 192.168.0.33, så vil ikke denne være tilgjenglig for subnet 2. De 2 subnettene har jo ingen felles IP-adresser.

 

Det som _kanskje_ kan gå derimot:

Endre Subnet 2 til 192.168.0.0 / 255.255.255.192 og sett gateway til 192.168.0.33.

Mulig det var dette du mente, men det var ikke slik jeg forstod deg. Uansett vil du sitte igjen med problemet at du rett og slett kan taste inn en IP adresse i det andre subnetet og få tilgang. Det _må_ være en form for filter som stopper routeren fra å sende trafikk fra det ene nettverket til det andre.

[Strips]

Nei... jeg tenkte nok ikke lang nok. Du har rett. Det ene subnettet vil jo ikke ha gyldig gatewayadresse.

 

Men jeg mener fortsatt at to routere i serie ville funka hvis man setter opp filtere riktig.

 

til sLoRc: Koster ikke en VLAN switch litt.

[Vidarak]

Bygg en pc til 2000 kr (med 3 nettverkskort) og kjør linux på den. Finnes mange distroer på CD etc som fikser det. Da blir Linux'en som regel en router. Eventuelt kan du sette opp en selv med en litt mer avansert brannmur basert på MAC-adresser (se http://ebtables.sourceforge.net). Bridging firewall in Linux er tøft.

[Admin'c]

Nei... jeg tenkte nok ikke lang nok. Du har rett. Det ene subnettet vil jo ikke ha gyldig gatewayadresse.

 

Men jeg mener fortsatt at to routere i serie ville funka hvis man setter opp filtere riktig.

 

til sLoRc: Koster ikke en VLAN switch litt.

 

jo det vil virke, gateway spesifiseres gjennom subnetmask og ip.

 

gjør som jeg sier

på hovedmaskin 192.168.0.2 255.255.255.0

på maskin 2 10.0.0.01 255.0.0.0

 

f.eks. vil ikke dette virke? gateway, da peker du til router vanligvis 192.168.0.1 255.255.255.0

[Zenit]

Bygg en pc til 2000 kr (med 3 nettverkskort) og kjør linux på den. Finnes mange distroer på CD etc som fikser det. Da blir Linux'en som regel en router. Eventuelt kan du sette opp en selv med en litt mer avansert brannmur basert på MAC-adresser (se http://ebtables.sourceforge.net). Bridging firewall in Linux er tøft.

 

Støtter det siste forslaget med å bygge en pc med 3 stk. nettverkskort. Linux/*BSD er utmerket til formålet. Det kan lett bli langt billigere enn 2000kr,- hvis man finner en maskin til overs som kan gjøre jobben. Eneste ulempen er at det ikke kan være alt for gammelt skrap, da det er enklest og mest praktisk å legge inn 3 stk. PCI-kort. Sannsynligvis bør det ikke være noe eldre enn P166/200, hvis man da ikke nøyer seg med 10Mbit isa-kort og litt mer konfigurasjon. Sistnevnte kan sikkert også fungere helt greit siden nettverkene ikke skal ha forbindelse med hverandre. Bridging er tøft, selv om det ikke er nødvendig hvis det siste kortet brukes mot Internet med NAT.

 

Har lite peiling på VLAN, men jeg antar at hvis man går for noe så dyrt som en ordentlig switch med VLAN som gjør at man kan segmentere i 2 forskjellige nett, vil ikke det fortsatt kreve en ekstra ruter?

[The Jackal]

jo det vil virke, gateway spesifiseres gjennom subnetmask og ip.

 

gjør som jeg sier

på hovedmaskin 192.168.0.2 255.255.255.0

på maskin 2 10.0.0.01 255.0.0.0

 

f.eks. vil ikke dette virke? gateway, da peker du til router vanligvis 192.168.0.1 255.255.255.0

 

Åssen i helvete mener du at maskin 2 skal få kontakt med gateway da? 10.0.0.1 fungerer ikke spess bra 192.168.0.1. Husk at gateway må ligge i samme segment som maskinene, ellers får de ikke kontakt.