Mehrere Netzzonen einrichten --- DNS Probleme

[gerd33 18]

Hallo zusammen,

 

aus Sicherheitsgründen möchte ich zu Hause 2 getrennte Netzzonen einrichten: Netz 1 für beruflichen Kram mit Zugriff auf VPN-Laufwerke über Internet und Netz 2 für Sohnemann mit seinen wilden Kumpels und LAN-Partys. Hier soll auch WLAN angesiedelt werden.

 

Hierfür gehe ich mit einer Fritzbox 7390 (FB1) über DSL ins Internet. Habe aus dem IP Adressraum dieser Box (192.168.33.0) 2 statische Routen in die dahinter liegende FB 7490 (192.168.178.0) sowie die dahinter liegnde zweite FB 7170 (192.168.155.0) eingerichtet.

 

Die beiden hinteren FB gehen über FB1 ins Netz. Die Dect-Telefone sowie WLAN läuft über die FB1 (die hing bislang direkt am DSL), IP-Einstellungen der hinter FB1 ligenden Geräte habe ich nicht geändert.

 

Soweit, so gut. Allerdings tut es jetzt nicht mehr die Synchronisation des SQL-Clients hinter der FB1. Ebenso geht Skype nicht mehr. Die IP-Adressen sind aber gleich geblieben, nur dass eben eine Box mit dem Adressraum 192.168.33.0 jetzt zwischengeschaltet ist.

 

Habe schon daran gedacht, dass das ein DNS-Problem sein könnte; aber der Name des SQL-Server-Clients ist natürlich in der Hosts-Datei des SQL-Servers mit der richtigen IP eingertragen und umgekehrt. Zugriff auf die Netzlaufwerke in der Praxis ist via VPN ebenfalls möglich.

 

Hat jemand eine Idee, woran das noch liegen könnte?

 

Danke für jeden Hinweis


Gerd

[Dukel 454]

Das ist doppeltes NAT. Damit wirst du nur Schwierigkeiten haben.

 

Ich würde für so etwas aber keine Fritzboxen nutzen oder nur eine Fritz Box und dort den Gast Zugang für das zweite (Sohn) Netz nutzen.

[gerd33 18]

Gastzugang für Sohnemann geht nicht, da sind etliche Ports zu und manuell nicht zu aktivieren.

Denke, dass da evtl andere Hardware erforderlich ist.

 

Könnte man da evtl. mit 2 Lancom routern weiter kommen?

 

Muss bis dahin wohl meine Vpn-tunnel abschalten, wenn die Lanparty von Sohnemann steigt.

[magheinz 110]

das sollte mit einem vernünftigen gerät funktionieren. z.b. einem cisco der 800 reihe. trennung dann auf vlan-ebene.

[testperson 1.675]

Könnte man da evtl. mit 2 Lancom routern weiter kommen?

Ja. Der erste kommt nach Hause und der zweite in die Praxis ;)

Es wird aber mit Sicherheit noch weitere Hersteller geben die das können.

[magheinz 110]

Eventuell genügt ja schon ein VLAN-fähiger switch!

[zahni 554]

Einfach das Gastnetz der FB benutzen.

[gerd33 18]

Gastnetz geht nicht, da Ports dort nicht freizuschalten sind.

 

VLAN Switch dürfte nicht gehen, da ich ja irgendwie ins dSl muss, wohl via Fritzbox. VPN Tunnel beginnen in der Fritzbox und enden in der FB auf der anderen Seite des DSL-anschlusses.

Hätte dann zwar das VPN, aber eben in der FB am DSL Anschluss, d.h. in einer potenziell ungeschützten Zone. Oder gibts schon VLAN -switches, die VPN Konfiguration ermöglichen. Geht meiner bescheidenen Meinung nach nicht ohne 2. Router.

oder vertue ich mich da?.

[NorbertFe 2.034]

Klar geht ein VLAN Switch. Wo siehst du das Problem?

[testperson 1.675]

BTW: Es ist erstaunlich, dass bei der ganzen Frickelei der "Sohnemann" das Sicherheitsproblem ist ;)

 

P.S.: Wie wäre es mit einem eigenen Internetzugang für den Sohn / die ungeschützte Zone?

[NorbertFe 2.034]

Naja, du weißt doch... das Bauchgefühl. ;)

[gerd33 18]

@testperson:

 

Bei uns im Wohnhaus kommen genau 2 kupferadern an. In den 70ern hat man noch nicht über mehrere Anschlüsse in einem Wohnhaus nachgedacht. Eigener Anschluss für Sohnemann ist somit unmöglich.

 

bzgl. des "Sicherheitsproblems: Mein Wortmann-Händler hat seit ein paar Wochen einen neuen Techniker, der auch komplexere Vernetzungen etc. installiert. Denke, dass ich meine Netzwerk-Infrastruktur per VPN zwischen 3 Standorten Anfang 2018 doch mal vom Profi optimieren lasse. Bin extra angeschrieben worden, dass für mich als "guten" Kunden bis Ende des Jahres eine "kostenlose und unverbindliche Bestandsaufnahme" der bestehenden IT-Infrastruktur angeboten wird. Lasse mich mal überraschen; könnte positiv sein. Habe extra mal meine ganze Infrastruktur mit IP-Adressen, Gerätezuordnung etc. Standorten von Router, Switches, Netzwerkdruckern etc. zuammen gestellt; mal sehen, was mir zum Schluss angeboten wird.

[magheinz 110]

Der bietet dir eine "kostenlose und unverbindliche Bestandsaufnahme" und hast "extra mal meine ganze Infrastruktur mit IP-Adressen, Gerätezuordnung etc. Standorten von Router, Switches, Netzwerkdruckern etc. zuammen gestellt"? Was beinhaltet denn das Angebot noch?

[Tektronix 21]

Hallo,

mit Lancom funktioniert es. Man muss aber eine Rückroute einrichten. In LANConfig unter IP-Router>Routing>IPv4-Routing-Tabelle.

Neuen Eintrag anlegen und unter IP-Adresse die Netzadresse und unter Router die Adresse des Routers in dem Netz.

[monstermania 53]

Gastzugang für Sohnemann geht nicht, da sind etliche Ports zu und manuell nicht zu aktivieren.

Denke, dass da evtl andere Hardware erforderlich ist.

 

Könnte man da evtl. mit 2 Lancom routern weiter kommen?

 

Muss bis dahin wohl meine Vpn-tunnel abschalten, wenn die Lanparty von Sohnemann steigt.

 

Moin,

ob nun ein Router von Lancom, MikroTik oder eine Firewall (z.B. pfsense/opnsense) wäre prinzipiell vollkommen egal. Die Hardware ist dabei Dein kleinstes Problem.

Du musst halt Jemanden finden, der Dir Deine Hardware sauber einrichtet!

 

Dann brauchst Du auch keine VPN-Tunnel abschalten, wenn der Sohnemann seine LAN-Party veranstaltet.  ;)

 

BTW: Es ist erstaunlich, dass bei der ganzen Frickelei der "Sohnemann" das Sicherheitsproblem ist ;)

Das hab ich mir auch gedacht.

 

Ach ja,

Wortman ist ja auch Distributor von Securepoint. Mit einer Securepoint UTM (z.B. UTM Zwerg) kannst Du das natürlich auch umsetzen (lassen).