Posseidon 10 Geschrieben 6. Januar 2008 Melden Teilen Geschrieben 6. Januar 2008 Hi Leute, Ich würde gerne mein Netz mit 18 Clients in 3 Netze aufteilen. Netz Büro, Netz Wohnraum 1 und Netz Wohnraum 2. Das Büro soll grundsätzlich nicht mit den anderen beiden Netzen kommunizieren können bis auf einen Rechner der muss. Wohnraum 1 und Wohnraum 2 sollen jedoch ins Büro Netzwerk kommen. Wohnraum 1 und Wohnraum 2 sollen ins Internet. Büro Netz soll nur von 2 Computern aus ins Internet dürfen Jetzt meine Frage da ich relativ neu bin in der Materie (Routing usw.) wie stell ich das am besten an! Um 3 verschiedene Netze miteinander kommunizieren zu lassen braucht man einen Router der Drei Netze routen kann nicht? Den Zugriff aufs Internet würde ich mit der Endian Firewall steuern. Welche Router gibt es die zwischen 3 Wan Ports routen können? und vor allem wo ich solche Regeln definieren kann.Ist es geschickter einen Layer 3 Switch zu verwenden und da einfach drei verschiedene VLANS zu konfigurieren? Besitzt da jemand einen Leitfaden, wie man am besten so kleine Netze aufbaut? Oder könnt ihr mir nützliche tips geben wie ihr sowas aufbauen würdet? ich habe bereits router und layer 3 switch zum probieren hier.... Würde mich auf eine Antwort freuen MFG Matthias Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 6. Januar 2008 Melden Teilen Geschrieben 6. Januar 2008 Hallo, in Unternehmen oder Organisation macht man sowas mit VLAN, dazu wird ein geeigneter Switch benötigt. Kostengünstig erscheint: Einem Netzwerkinterface von XP auch mehr als eine IP aus verschiedenen Segmenten verpassen. Es ist die Frage, ob das beim Interface des Internetrouters auch möglich ist. Die meisten kostengünstigen Internetrouter für den SOHO-Bereich haben eine Schnittstelle für das WAN und eine für das LAN, letztere meist expandiert mit einem Switch auf vier, fünf oder acht Anschlüsse. Wozu soll das Vorhaben denn gut sein? Gruß Edgar Zitieren Link zu diesem Kommentar
Posseidon 10 Geschrieben 6. Januar 2008 Autor Melden Teilen Geschrieben 6. Januar 2008 Bisher konnten immer alle im Netz auf alles zugreifen! (es waren bisher nur familienmitglieder in der firma tätig) doch jetzt werden externe mitarbeiter eingestellt und dazu muss die Unterteilung getätigt werden! Ich habe bei meinem SMC 24Port Gigabit switch ( SMCGS24C-Smart) nun etwas mit VLANs experimentiert! Habe 3 VLANS angelegt VLAN 1: die ersten 4 Ports (1-4) VLAN 2: die nächsten 4 Ports (5-8) VLAN 3: die nächsten 4 Ports (9-12) Es hängt nun im VLAN 1 ein Rechner Port 1 und im VLAN 2 ein Rechner Port 5. Jetzt kurz mal prinzipielle fragen! ich kann ja jetzt bei den beiden VLANs verschiedene netze verwenden zb VLAN 1: 192.168.2.x und beim VLAN 2: 192.168.3.x oder geht das nicht? Wie mache ich das nun mit dem verbinden der beiden VLANs? Ich habe gesehen ich kann da auch sogenannte Trunkports einrichten. und diese wiederum kann ich den VLANs zuweisen! Verbindung habe ich zwischen den VLANs keine. auch nicht wenn ich das selbe netz auf beiden Rechnern verwende! Die Verbindung sollte man doch mittels dieser Trunk Ports einrichten können nicht? oder muss dazu für jedes VLAN ein Trunk port eingerichtet werden und dann muss ich die Trunk Ports der einzelnen netze mit einem Router verbinden? Kann ich dazu auch einen einfachen Router wie zb einen normalen Access Point der Firma Linksys verwenden? Noch eine Frage hätte ich da! Wie kann ich dann die verschiedenen Netzt mit DHCP versorgen? Vielleicht noch etwas was ich vergessen habe! Es läuft ein Windows 2003SB Server im Netz. Vielleicht kann man hierüber noch einiges Realisieren Vielen Dank für eure antworten gruß Matthias Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 6. Januar 2008 Melden Teilen Geschrieben 6. Januar 2008 Bisher konnten immer alle im Netz auf alles zugreifen!(es waren bisher nur familienmitglieder in der firma tätig) doch jetzt werden externe mitarbeiter eingestellt und dazu muss die Unterteilung getätigt werden!..... Hm, das macht man normalerweise aber anders: Benutzernamen, Passwörter, Anmeldung am Rechner, Freigaben und Sicherheit auf NTFS-Objekte. Das mal so einige Stichwörter. Ich meine, Du rennst in die falsche Richtung. Zitieren Link zu diesem Kommentar
Posseidon 10 Geschrieben 6. Januar 2008 Autor Melden Teilen Geschrieben 6. Januar 2008 Das mit den Zugriffsrechten würd ich schon auch so machen => ADS usw... Nur würdest du das Netz nicht unterteilen? Würdest du einfach (mehr oder weniger) alles in einem netz! Das ganze mit so einer Open Source Firewall richtung internet schützen und halt intern alles mit den ADS und Gruppenrichtlinien regeln! dh. bsp: 3 Gruppen Familie, Familie2, Büro usw...? Kann man den Server eigentlich als Router konfigurieren? dh. wenn 2 Netzwerkkarten installiert sind zwischen den Netzen Routen? Hast du eine Ahnung wie man das mit den VLANs macht? Gruß Matthias Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 7. Januar 2008 Melden Teilen Geschrieben 7. Januar 2008 Hallo, das Konfigurieren von VLANS auf einem Switch ist im Manual des Gerätes beschrieben. Natürlich ist es möglich, einen Server mit zwei Interfaces zum Router zu konfigurieren, auch zum Internetrouter mit Firewall. Für die Unterteilung eines Netzes bräuchte ich zwingenden Grund, Sicherheit, Wunsch des Kunden. In einigen von mir betreuten Bereichen sind Netze physikalisch getrennt, Verwaltungsnetz, Seminarnetz. Dort gibt es in jedem Netz extra Server und Router, keine Verbindung dazwischen Im meinem Home gibt es derzeit im Seminarnetz ca. 200, im Verwaltungsnetz ca. 50 Clients. Die Netze und die Clients brauchen keine Verbindung untereinander, alles was sie brauchen, das ist auf den Servern. Die Clients können nur auf die Server zugreifen, nicht untereinenander. Da können die Benutzer auch nicht dran drehen, sie sind einfache Domänen-Benutzer. Derzeit sind die Server bei uns nicht Internetrouter, dazu haben wir extra Geräte, diese erfüllen auch die Funktion der Firewall. Gruß Edgar Zitieren Link zu diesem Kommentar
kobalt 10 Geschrieben 7. Januar 2008 Melden Teilen Geschrieben 7. Januar 2008 Hallo Matthias, ich kann mich Edgar nur anschließen: deine Idee mit der Trennung der Netze ist unausgegoren. Verwirf sie und arbeite mit Benutzergruppen und Rechten. Das Büro soll grundsätzlich nicht mit den anderen beiden Netzen kommunizieren können bis auf einen Rechner der muss. Auf was soll der Rechner denn zugreifen? Und geht es nicht eher um die Rechte der Benutzer als die der Rechner? Welche schützenswerten Ressourcen stehen denn in Wohnraum 1 und 2? jetzt werden externe mitarbeiter eingestellt Dann sind's ja keine externen mehr und doch sicher vertrauenswürdig :p Oder habt ihr freie Mitarbeiter, die nicht wirklich zum Unternehmen gehören? Nur würdest du das Netz nicht unterteilen? In deinem Fall auf keinen Fall. Würdest du einfach (mehr oder weniger) alles in einem netz! Das ganze mit so einer Open Source Firewall richtung internet schützen und halt intern alles mit den ADS und Gruppenrichtlinien regeln! Nicht mehr oder weniger, sonder JA. Genau so. Wobei Firewalls, die Geld kosten, durchaus auch was taugen können. :D Port Trunking ist afaik dazu gedacht, die Geschwindigkeit einer einzelnen Leitung zu vervielfachen. Beispielsweise kannst Du zwei Switches, die das unterstützen mit 2, 3 oder 4 Ports verbinden und hast dann einen schnelleren Backbone. Ein Router und ein Access Point sind zwei grundverschiedene Dinge. DHCP über Router hinweg geht erst mal nicht, da Router keine Broadcasts übertragen. Natürlich kann man das trotzdem hinbekommen, aber dann macht die Trennung in den meisten Fällen keinen Sinn mehr. Ergo: für jedes Netz einen eigenen DHCP-Server. Viel Erfolg, kobalt Zitieren Link zu diesem Kommentar
Posseidon 10 Geschrieben 7. Januar 2008 Autor Melden Teilen Geschrieben 7. Januar 2008 Hallo, Die Rechner sollen prinzipiell mal nicht untereinander zugreifen können. dh drei gruppen wohnraum 1 wohnraum 2 und büro. büro soll nicht auf wohnraum 1 und wohnraum 2 zugreifen können jedoch umgekehrt. Jetzt wo ich anfange so dran rumzureden fällt mir auf dass dies alles mit einem klassischem ADS einfach zu lösen geht nicht? Ist die ganze Rechte Geschichte auf Benutzer bzw gruppenebene möglich? Gruß Zitieren Link zu diesem Kommentar
kobalt 10 Geschrieben 7. Januar 2008 Melden Teilen Geschrieben 7. Januar 2008 Hallo, aaaaalso noch mal: Was für einen Sinn sollte es in dem von Dir beschriebenen Szenario haben, irgendwelche Zugriffsrechte an den PCs aufzuhängen? Es geht doch wohl darum, dass bestimmte Benutzer (die üblicherweise natürlich zumeist an den gleichen Kisten sitzen) Zugriff auf bestimmte Ressourcen haben sollen, andere jedoch nicht. Wenn es anders ist, dann hab ich deine Anforderungen immer noch nicht kapiert. Du sprichst bei den Zugriffsrechten immer von "Büro" auf "Wohnraum" bzw. umgekehrt. Das ist Käse! Wo die Rechner räumlich stehen oder die Benutzer sich gerade aufhalten, ist irrelevant. Nimm einfach mal an, deine Mama (ist ja ein Familienbetrieb :p ) arbeitet üblicherweise im Wohnzimmer und darf bestimmte Dinge sehen. Aus irgendeinem Grund meldet sie sich morgen an einem PC im Büro an und darf dann nix mehr, nur weil sie an diesem Rechner sitzt. Macht keinen Sinn. Fass also deine Benutzer eher nach Rechten bzw. Funktionen im Unternehmen zusammen. Jetzt wo ich anfange so dran rumzureden fällt mir auf dass dies alles mit einem klassischem ADS einfach zu lösen geht nicht? Yep. Ist die ganze Rechte Geschichte auf Benutzer bzw gruppenebene möglich? Aber ja doch!!! Wobei die übliche Vorgehensweise ist, Rechte nicht direkt an Benutzerkonten zu delegieren. Statt dessen legt man eine Sicherheitsgruppe an und erteilt der Gruppe die entsprechenden Rechte auf die Ressource. Dann macht man die entsprechenden Benutzerkonten zum Mitglied dieser Gruppe. Das Prinzip nennt sich "A-G-DL-P". Falls es dich näher interessiert, kannst Du danach mal suchen. Beispiel für eine Unterteilung in Gruppen: "Geschäftsleitung", "Buchhaltung" und "Mitarbeiter". Wenn es um Benutzerrechte geht verfährt man analog mit Organisationseinheiten und Gruppenrichtlinien im AD. Wenn ich das jetzt noch erkläre wird der Beitrag endlos. Schau mal hier: Gruppenrichtlinien - Übersicht, FAQ und Tutorials. Bei Fragen fragen. Viel Erfolg, kobalt Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 8. Januar 2008 Melden Teilen Geschrieben 8. Januar 2008 .....dass dies alles mit einem klassischem ADS einfach zu lösen geht nicht?....Mit ADS hat das grundsätzlich nichts zu tun. Ein Active Directory gibt es nur bei einer Domäne, im AD werden Objekte geführt, z.B. Benutzer und Computer. Vom Grundsatz her ist es nachrangig, ob Benutzer in einem AD oder lokal geführt sind. Natürlich ist eine Domäne mit einem AD ein sehr effizientes Mittel zur Verwaltung von Benutzern und auch für Berechtigungen auf Freigaben z.B. Bei richtiger Konfiguarion der Rechner kann dort niemand unberechtigt drauf zugreifen und die gedachte Unterteilung in IP-Netze nicht nötig. Man stelle sich mal sowas bei 50, 500 oder 5000 Rechnern vor. Bisher war ja die Rede primär von Rechnern als Workstation. Ein Active Directory kann nur existieren durch eine Domänenconroller, einem hochgestuften W2k(x)-Server. Zitieren Link zu diesem Kommentar
kobalt 10 Geschrieben 8. Januar 2008 Melden Teilen Geschrieben 8. Januar 2008 Wenn ich ihn richtig verstanden habe, dann existiert ja ein Server: Es läuft ein Windows 2003SB Server im Netz Ob der schon DC ist oder nicht, ging allerdings tatsächlich nicht ganz klar hervor. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 8. Januar 2008 Melden Teilen Geschrieben 8. Januar 2008 Nun, davon war in der Eröffnung nichts zu lesen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.