Zwei Netze mit zwei Routern

[SWT 10]

Hallo zusammen,

 

ich hab da mal ne Verständnisfrage.

Ich möchte ein Netzwerk mit zwei Routern und zwei IP-Kreisen aufbauen.

Dabei soll Netz 02 über Netz 01 ins Internet kommen, aber nicht auf die Rechner in Netz 01 zugreifen können.

 

Netz 01 (LinkSys Router, DSL-Anschluß)

192.168.1.x

255.255.255.0

Gateway ist der Router, sagen wir mal 192.168.1.1

 

Netz 02 (Linksys Router, kein DSL-Anschluß)

192.168.2.x

255.255.255.0

Gateway ist der Router, 192.168.2.1

 

So, jetzt haben wir zwei getrennte Netze, die sich gegenseitig nicht sehen können.

Soll auch so sein.

Jetzt sollen aber die User aus Netz 02 trotzdem ins Internet können, ohne auf den Rest von Netz 01 zugreifen zu können.

Wenn ich aber eine statische Route ins jeweils andere Netz setze kann ja jeder auf alles zugreifen. Oder täusche ich mich da?

 

Wie bekomme ich das hin, so wie ich es mir vorstelle??

[lefg 276]

Dabei soll Netz 02 über Netz 01 ins Internet kommen, aber nicht auf die Rechner in Netz 01 zugreifen können....

Zugriff ist auch eine Frage der Berechtigung für User.

[SWT 10]

@ lefg

 

Das ist mir durchaus klar, aber darum geht es hier nicht.

Trotzdem danke für deine Antwort

[jose 10]

Hmm... kannst du nicht Access-Listen erstellen?

Ich kenn die Linksys-Router leider nicht... :(

[Cybquest 36]

Mal ne Frage: Wie sind die Router miteinander verbunden?

Der Router2 ohne DSL... hat der noch irgendwo ein zweites Interface zum Netz 1? Wie routet er wohin?

[lefg 276]

Ich würde wohl mit drei Geräten und einem Extranetz arbeiten. Jedes IP-Netz geht mit einem Router ins Extranetz, von dort aus weiter mit dem Internetrouter. Alternativ ein geeigneter "Internetrouter". Ein W2k(3)Server mit drei Interfaces ist auch dazu konfigurierbar.

[SWT 10]

Mal überlegen.......grummmmel.......grummmmel

 

Wie sieht das aus, wenn ich Router 02 eine Feste IP aus Netz 01 auf dem WAN-Port gebe un diesen dann mit Router 01 verbinde??

 

Kann das funktionieren ??

[nouseforaname 10]

Hi,

 

dann musst du den Clients aus netz 02 immer noch den Weg ins 01 Netz zeigen, somit können Sie auch wieder mit den Clients kommunizieren.

 

Ich weiß nicht was du vor hast, ob das "nur mal probieren" ist -

ein Layer 3 Switch mit entsprechender VLAN Config wäre eine Lösung - kostet aber!

 

MfG

Kai

[IThome 10]

Router 2 macht auch NAT und hat einen Deny-Paketfilter für alle Adressen des 1. Netzes ausschliesslich der internen Routeradresse von Router 1. Router 2 hat Router 1 als Default Gateway. So musst Du auf Router 1 keine Route in Netz 2 setzen und von Netz 1 kommt man auch nicht auf Netz 2 (wegen NAT auf Router 2). Der Zugriff von Netz 2 auf Netz 1 ist durch den Paketfilter verboten. Soweit die Theorie :D

[jose 10]

@IThome

Hab das ganze mal im Packet Tracer nachgestellt und es geht auch ohne NAT auf Router2.

Aber grundsätzlich hast du mit deinem Lösungsansatz vollkommen Recht.

 

 

 

Ein Packetfilter auf Router2 auf dem LAN-Interface des Netzes02, mit der Restriktion, dass jedes Packet ins Netz01 verworfen wird, sorgt dafür, daß ein Verbindungsaufbau nicht zustande kommt.

 

Da die Clients aus Netz01 den Router1 als Standardgateway eingetragen haben, werden Anfragen aus Netz01 auch erst an den Router1 gehen. Da Router1 aber die Route in Netz02 kennen muß (ansonsten kommen die Clients aus 02 nicht ins I-Net), wird dieser die Anfrage an Router2 senden.

Router2 routet dieses Paket, weil es von Router1 kommt, ins Netz02.

Die Antwort vom Client aus dem Netz02 geht dann wieder an Router2, aber dort verworfen, weil es ja in Netz01 geht.

Schon lustig irgendwie... die Clients kommen dann doch so halbwegs in Netz02 :D

... aber einen Verbindungsaufbau gibts trotzdem nicht. ;)

[lefg 276]

.....einem Extranetz ..... ins Extranetz, ......

Tranfernetz wäre wohl der geeignetere Ausdrück.

[IThome 10]

NAT auf Router 2 wäre aber einfacher, da auf Router 1 keine Route gesetzt werden muss ;)

[lefg 276]

Leider fehlen mir die Geräte um sowas nachbauen zu können.

[IThome 10]

Virtual PC und 2 * 200x Server + 2 * XP , das geht auch :) ...

[lefg 276]

Ja, damit geht es natürlich. Nur, die Möglichkeiten wären doch wohl anders als mit den vom TO vorgegebenen Gerät, so schätze ich das jedenfalls ein.

 

Off-Topic:

Normale Rechnerhardware habe ich ich genug im Lager, auch Server. Was mir fehlt ist so einiges zum Spielen, Testen. sowas wie SOHO-Router vom Mediamarkt oder Ähnliches. Ich brauche es für die Arbeit nicht, kann es meinem NLL oder der Zentrale auch nicht vermitteln. Aus der eigenen Tasche will ich sowas auch nicht kaufen.