2 getrennte Netze sollen über einen Proxy ins Inet

[goscho 11]

Hallo Gemeinde,

wie der Titel schon sagt, habe ich von einem Kunden eine etwas schwierige Aufgabe bekommen.

Es gibt ein Netzwerk mit 4 XP Pro PCs, die über einen Netgear VPN-Router ins Internet gehen. Einer der PCs dient als Server.

Jetzt kommt AVM KEN! 4 auf den XP-Server dazu, was nicht weiter schwierig ist. DSL über Router bleibt, da VPN-Einwahl nötig ist. Alle User gehen über den Proxy von KEN! ins Internet. KEN! nutz die Verbindung des VPN-Routers.

Als nächstes sollen die PCs der Kinder über DLAN mit dem Firmen-Internetzugang ins INET gehen. DLAN ist die Devolo-Variante von Ethenet over Power. Die Vernetzung ist soweit auch kein Problem. Die Kinder haben einen Power-Adapter fürs Netzwerk. Am anderen Ende ist ein dLAN ADSL-Router. Die Verbindung ist problemlos einzurichten.

Allerdings sollen die Netze getrennt sein, d.h. der Server-PC mit dem Proxy darf für die Kinder-PCs nich als Netzwerk-PC erkennbar und nutzbar sein sein, muss aber die Internetverbindung herstellen. Dies ist nötig wegen des Webprotectors, den Contentfilter für den Jugendschutz beim Surfen, den KEN!4 jetzt mitbringt..

Ich wollte jetzt den dLAN Router für die Trennung der Netzwerke nutzen. Auf der einen Seite ist das Firmennetzwerk im Bereich 192.168.10.x, der XP-Server hat die 192.168.10.1, der DSL-VPN-Router die 192.168.10.10 , der XP-Server mit AVM-KEN! 4 ist als DHCP-Server eingerichtet.

Die Kinder PCs haben die IPs 192.168.1.x und bekommen diese vom anderen Router, der in diesem Bereich als DHCP verantwortlich ist. In diesem route ich alle DNS-Anfragen zum XP-Server, dieser hat zwei Netzwerk-Karten, für jedes Netz eine. Das klappt alles soweit sehr gut.

Allerdings sind alle freigegebenen Resourcen dieses XP-Servers bei den Kindern nutzbar.

Wie kann ich das jetzt trennen?

Danke fürs Lesen und die anschließende Hilfe.

Gruß Goscho

[lefg 276]

Hallo,

 

hast du schon mal daran gedacht, zwei verschiedene IP-Kreise einzurichten?

 

Gruß

 

Edgar

[Ronin3058 10]

Vielleicht mal ganz anders gefragt:

 

Warum integrierst du die "Kinder PCs" nicht in das Firmennetzwerk und erlaubst ihnen außer Internetzugang nichts anderes?

 

@lefg

192.168.10.x und

192.168.1.x

 

sollten 2 getrennte Netze sein, zumindest mit /24 Maske ;)

[goscho 11]

@lefg

ich habe 2 verschiedene IP-Kreise, da jedoch der Proxy-Server auf einem der Firmen-PCs ist, muss auf dem Router der Kinder-PCs diese IP bekannt sein. Mit meinen Einstellungen kann man dann auf diesen PC (Netzwerkumgebung etc.) zugreifen, obwohl das nicht sein soll.

 

@Ronin3058

Wie soll das funktionieren. Die Kinder-PCs selbst könnten ja von findigen Kids mit Adminrechten umgestellt werden. Also bleibt nur der Weg, den Proxy-PC, welcher auch als File-und Datenbank-Server fungiert sicherer zu machen, aber wie?

 

Gruß Goscho

[IThome 10]

Dann definiere doch Filter auf dem DLAN Router, Outgoing (Allow) für die Kinder PCs den TCP-Port 3128 durchlassen (das ist glaube ich der Port, den Ken nutzt) und welchen Du auch immer noch benötigst, aber eben nicht die typischen Microsoft Ports, am Ende ein Deny All und die dürfen nur das, was Du definierst ...

[goscho 11]

Danke IThome,

leider kann ich auf dem dLAN Router keine Filter konfigurieren. Zumindest finde ich keine Einstellungen diesbezüglich, wenn ich über LAN und nicht WAN ins Internet gehe.

 

Du hast mich aber auf die Idee gebracht, die Windows Firewall des XP-Servers zu benutzen. Diesr hat 2 Netzwerkkarten. Dies werde ich jetzt versuchen und dann berichten.

 

Gruß Goscho

[lefg 276]

@lefg

ich habe 2 verschiedene IP-Kreise, da jedoch der Proxy-Server auf einem der Firmen-PCs ist, muss auf dem Router der Kinder-PCs diese IP bekannt sein. Mit meinen Einstellungen kann man dann auf diesen PC (Netzwerkumgebung etc.) zugreifen, obwohl das nicht sein soll.

Und weshalb kann man auf den Router zugreifen, auf was kann man zugreifen?

[goscho 11]

@lefg,

nein, nicht auf den Router, sondern auf den XP-Server. Da die Kinder PCs nur surfen sollen und z.B. keine Netzwerkfreigaben nutzen sollen, konfiguriere ich jetzt die XP Firewall. Dazu gibt es ein Tool von AVM, was ausschließlich die KEN! Dienste freischalten soll.

Leider klappt das noch nicht so ganz, aber ich probier's weiter.

 

Gruß Goscho

[IThome 10]

Hm, was schaltet man für Ken denn alles frei ? TCP 110, TCP 25, TCP 3128 , UDP 53 und noch mehr ? Und das für beide Subnetze ...

[goscho 11]

Hm, was schaltet man für Ken denn alles frei ? TCP 110, TCP 25, TCP 3128 , UDP 53 und noch mehr ? Und das für beide Subnetze ...

Das ist ja genau das Problem.

Von AVM gibt es ein Programm, welches alle KEN-Services (nicht die Ports selbst) freischaltet. Dies habe ich auch schon drauf (xpsp2_ken.exe). Wäre jetzt ja zu schön gewesen, wenn es auf Anhieb klappen würde. Tut es aber leider nicht.

Nun muss ich mit dem AVM Support versuchen, das hinzubekommen. Angeblich wollen diese mir eine Liste aller zu öffnenden Ports schicken, mal sehen. :suspect:

 

Gruß Goscho

[goscho 11]

So jetzt hab ich's. :)

 

Es klappt doch mit der Windows Firewall. Die Netze sind schön getrennt.

Mein Fehler bestand darin, dass ich bei den Kinder-PCs die falsche IP-Adresse als Proxy-Server eingetragen hatte.

Ich habe beim XP-Server ja die 192.168.10.10 (für das Firmennetz) und die 192.168.1.1 (für das Netz der Kinder) als IP-Adressen. Wenn ich in den IE-Optionen bei Proxy jetzt die IP des Firmennetzes eintrage, bekomme ich keine Verbindung, wenn die Windows-Firewall aktiv ist. Trage ich dort die IP des Kinder-Netzes ein, so klappt's. :)

Da die anderen Dienste durch die Firewall geblockt werden, können die Kinder-PCs jetzt auch nichts weiter machen, als über den Proxy surfen.

Und das mit dem WEB-Protector, dem Internet-Content-Filter von KEN!4.

Die Firmen-PCs dürfen dagegen auch andere Dienste im internen LAN nutzen.

Mal sehen, wie das alles beim Kunden ankommen wird? ;)

 

Gruß Goscho