• 24.04.2024, 09:44
  • Register
  • Login

  • You are not logged in.

 

Zwei Netzwerke verbinden mit Trennung der DHCP-Server

Dear visitor, welcome to Aqua Computer Forum. If this is your first visit here, please read the Help. It explains how this page works. You must be registered before you can use all the page's features. Please use the registration form, to register here or read more information about the registration process. If you are already registered, please login here.

  • 1
  • 2

Irvin

Junior Member

Posts: 7

Zwei Netzwerke verbinden mit Trennung der DHCP-Server

Wednesday, December 12th 2012, 11:33am

Hallo liebes Forum,

  • ich möchte zwei netzwerke verbinden, genauso wie es Blaine_the_Pain in 2 Netzwerke problemlos miteinander verbinden... beschrieben hat und wie es in der grafik von ihm dargestellt wurde.
  • ich habe halt keine WLAN-accesspoints sondern ein ethernetkabel zwischen den beiden netzen.
  • was möchte ich nicht:
  1. unterschiedliche subnetze
  2. manuelle vergabe von ip-adressen
  3. große änderungen an den bestehenden netzen (sowenig wie möglich, so viel wie nötig...je weniger, desto besser)
  4. VLAN
  5. VPN

  • die bestehenden dsl-modem-router (jeweils einer auf jeder seite, pirelli prgav4202n) sind durch den provider in ihren fähigkeiten stark beschnitten.
  • ich möchte also in die mitte der beiden netze "ein gerät" hinstellen, dass die beiden netzteile verbindet - und zwar im gleichen subnetz - und das über eine firewall (oder sonst was) die möglichkeit bietet, dhcp-requests zu unterdrücken genauso wie von Blaine_the_Pain beschrieben. aber keinen stromfressenden pc....
  • ich dachte an einen günstigen router von mikrotik. der könnte das (wenn auch mit steiler lernkurve). allerdings ist das ein router und router können nur subnetze verbinden, aber ich möchte es bei einem einzigen großen "subnetz" belassen. bitte mich korrigieren, wenn ich falsch liege.

hat irgendwer eine idee?

viele Grüße
Irvin

2 Netzwerke problemlos miteinander verbinden...


=============

Ich habe mein Haus und das Haus meiner Eltern ueber WLAN miteinander verbunden.


Ich habe dabei allerdings den Vorteil, dass die WLAN-Accesspoints eine integrierte FireWall haben.
Die "Netzwerke" haben festgelegte DHCP-Bereiche:
10.0.2.20-60 und 10.0.2.120-160

Ich habe je "Netzwerk" einen DHCP-Server am laufen, wobei die Firewall der WAPs die DHCP-Requests in keine Richtung durchlaesst:

Protokoll Source-IP Source-Port Target-IP Target-Port
UDP 0.0.0.0 67 255.255.255.255/32 68
UDP 0.0.0.0 68 255.255.255.255/32 67


Somit bekommt jeder Rechner im entsprechendem Netzwerk die passende IP und man kann ohne Subnets auf alle IPs zugreifen.

=============
Irvin has attached the following image:
  • network.png

This post has been edited 12 times, last edit by "Irvin" (Dec 12th 2012, 11:43am)

BloodHound

Senior Member

Posts: 961

Friday, December 14th 2012, 3:45am

Machbar ist sowas sicher nur die Frage ist warum du nicht einfach 2 Netze dafür verwendest?
Warum überhaupt 2 DHCP Server? Sollte doch einer reichen würde ich meinen.

Wenn du dein Vorhaben realisieren willst würde ich eine Alix mit pfSense verwenden.
Mach mal eine Skizze von deiner Infrastruktur inkl. Modems usw damit wir dir besser helfen können.

Ich würde von solchen Experimenten Abstand halten. 2 Netze sind schnell mal konfiguriert und wenn du eh mit DHCP arbeitest musst du genau die FW konfigurieren und mehr nicht.

Mir ist der Sinn etwas schleierhaft warum du dich gegen eine Trennung und der Vermeidung vieler Probleme wehrst.
For Windows reboot
for Linux be root

RedFlag1970

God

Posts: 4,330

Friday, December 14th 2012, 9:43am

Die Anfrage ist doch ganz einfach zu verstehen!

2 Netzte - beide haben einen DSL Anschluss und nutzen den, vielleicht sogar WLAN an den Routern.
Also will jeder sein eigenes Netz und eben vielleicht ein zentrales NAS!
Somit hast du genau dieses Scenario!

Genau das selbe "Problem" habe ich auch noch.
Aber ich denke ich regle das mit VLANs und zwei "vernünftigen" Switchen....
Ich finde aber das sich "ich bin in 5 Sekunden mit meinem Ferrari auf 100" immernoch besser anhört als "gestern hab ich mit meiner SSD nen 100GB Pornoordner in 5 Sekunden gezipt"
Wenn du den Baum, den du gleich treffen wirst, sehen kannst, nennt man das untersteuern. Wenn du ihn nur hören und fühlen kannst wars übersteuern!

Irvin

Junior Member

Posts: 7

Friday, December 14th 2012, 10:43am

Quoted from "BloodHound"

Warum überhaupt 2 DHCP Server? Sollte doch einer reichen würde ich meinen.
naja. ich möchte keinen "single point of failure" konstruieren. es sind zwei verschiedene befreundete familien, alle zufrieden mit status quo bis auf die gegenseitige zufriffsmöglichkeit.

Irvin

Junior Member

Posts: 7

Friday, December 14th 2012, 10:45am

Quoted from "BloodHound"

Mir ist der Sinn etwas schleierhaft warum du dich gegen eine Trennung und der Vermeidung vieler Probleme wehrst.
naja. so richtig wehren tu ich mich nicht. ich möchte halt an so wenigen stellen wie möglich eingreifen, hab ziemlich beschränktes wissen über die ganzen sachen. mein ansatz ist: so wenig wie möglich, so viel wie nötig. wenn's so gar nicht geht wie oben beschrieben, werden ich auf trennung in zwei subnetze ausweichen...aber nur, wenn's nicht anders geht...(:-)

BloodHound

Senior Member

Posts: 961

Friday, December 14th 2012, 8:32pm

Mit einem Gerät wirst du sowas nicht so einfach verbinden können. Du brauchst auf beiden Seiten ein Gerät, welches den DHCP Traffic blockt anders sehe ich keine Möglichkeit ohne Subnetting.

Du kannst nicht auf 2 verschiedenen Interfaces das gleiche Netz haben das wird nicht funktionieren oder du hast ein Routing Problem.


Aja und wenn du die IPs den Netzen vergibst würde nich dir raten von 10.0.2.0/25 und 10.0.2.128/25 machen. Damit kannst du später immer noch die Netze auftrennen. Gesamt wäre es ein Netz mit 10.0.2.0/24. Damit kannst du über eine Wildcard von 0.0.0.127 filtern falls du es später einmal brauchst.
For Windows reboot
for Linux be root

brighter death now

Full Member

Posts: 81

Saturday, December 15th 2012, 3:21am

hm - 2 interfaces brücken und (udp) 0.0.0.0:67 und 0.0.0.0:68 blocken? unter debian wärens die bridge-tools sowie iptables, müsstest du halt bei den microtikdingern nachgucken,
bzw pfsense mit alix 2d13 einfach im webinterface einstellen.

Beispiel PfSense2

LAN und WLAN wären jetzt bei dir NETZ1 und NETZ2



selbe story hier, für NETZ1 und NETZ2 diese regel.

This post has been edited 8 times, last edit by "brighter death now" (Dec 15th 2012, 3:41am)

Irvin

Junior Member

Posts: 7

Sunday, December 16th 2012, 12:41pm

hallo "brighter death now",

gute idee...da kuck ich nach....

viele grüße
irvin

Irvin

Junior Member

Posts: 7

Sunday, December 16th 2012, 1:35pm

hallo "brighter death now" und alle anderen,

>>hm - 2 interfaces brücken und (udp) 0.0.0.0:67 und 0.0.0.0:68 blocken


was ganz wichtig ist: ich will das innerhalb eines einzigen subnetzes (10.0.0.*) machen (für zwei unterschiedliche teile des subnetzes). bei einem router könnte ich das so nicht einstellen, da brauche ich zwei unterschiedliche subnetze.

brauche ich bei alix 2d13 und pfsense zwei unterschiedliche subnetze? oder funktioniert das im gleichen subnetz?

viele grüße
irvin

brighter death now

Full Member

Posts: 81

Sunday, December 16th 2012, 10:56pm

Quoted from "Irvin"

hallo "brighter death now" und alle anderen,

>>hm - 2 interfaces brücken und (udp) 0.0.0.0:67 und 0.0.0.0:68 blocken


was ganz wichtig ist: ich will das innerhalb eines einzigen subnetzes (10.0.0.*) machen (für zwei unterschiedliche teile des subnetzes). bei einem router könnte ich das so nicht einstellen, da brauche ich zwei unterschiedliche subnetze.

brauche ich bei alix 2d13 und pfsense zwei unterschiedliche subnetze? oder funktioniert das im gleichen subnetz?

viele grüße
irvin


ja, es klappt im selben subnetz.... auch wenn ich die lösung der anderen ebenfalls bevorzugen würde, bzw komplett abraten, stichwort virenbefall und so :-)
zauberwort bei microtik müsste transparent firewall oder layer2-firewall / filtering bridge sein - hässliches konzept, aber klappt.


edit: gerade nochmal nachgeprüft:

Regel erstellt:


Keine IP erhalten:

This post has been edited 3 times, last edit by "brighter death now" (Dec 16th 2012, 11:33pm)

RedFlag1970

God

Posts: 4,330

Monday, December 17th 2012, 10:06am

2 managbare Switche
VLAN einrichten
Nur die Ports belegen, welche auch "geöffnet" werden sollen.
Somit auch die Sicherheit das von der anderen Seite NUR auf dieses eine Gerät (z.B.) zugegriffen werden kann.....
Ich finde aber das sich "ich bin in 5 Sekunden mit meinem Ferrari auf 100" immernoch besser anhört als "gestern hab ich mit meiner SSD nen 100GB Pornoordner in 5 Sekunden gezipt"
Wenn du den Baum, den du gleich treffen wirst, sehen kannst, nennt man das untersteuern. Wenn du ihn nur hören und fühlen kannst wars übersteuern!

Irvin

Junior Member

Posts: 7

Monday, December 17th 2012, 1:00pm

ich bin jetzt auf folgende lösung gekommen (mit eurer hilfe):

  • an der schnittstelle setze ich einen mikrotik router (RB 750, EUR 35,--) als bridge hin: http://wiki.mikrotik.com/wiki/Manual:Interface/Bridge (d.h. ich habe ein einziges subnetz.
  • in der firewall des mikrotiks blockiere ich die DHCP-requests (udp auf den ports 67 und 68 ).
  • die beiden dhcp-server werden so konfiguriert, dass sich die bereiche nicht überschneiden.

werd ich kommendes wochenende ausprobieren.


lg
irvin


irgendwie so:
================================================>



/system reset-conf skip-backup=yes no-defaults=yes

/interface bridge add

/interface bridge port add bridge=bridge1 interface=ether1
/interface bridge port add bridge=bridge1 interface=ether2
/interface bridge port add bridge=bridge1 interface=ether3
/interface bridge port add bridge=bridge1 interface=ether4
/interface bridge port add bridge=bridge1 interface=ether5

/interface bridge settings set use-ip-firewall=yes

/interface bridge filter add chain=forward action=log log-prefix="1_DHCP blocked..." mac-protocol=ip ip-protocol=udp src-port=67-68
/interface bridge filter add chain=forward action=drop mac-protocol=ip ip-protocol=udp dst-port=67-68
/interface bridge filter print
================================================>

This post has been edited 4 times, last edit by "Irvin" (Dec 21st 2012, 11:11pm)

brighter death now

Full Member

Posts: 81

Monday, December 17th 2012, 4:25pm

Quoted from "RedFlag1970"

2 managbare Switche
VLAN einrichten
Nur die Ports belegen, welche auch "geöffnet" werden sollen.
Somit auch die Sicherheit das von der anderen Seite NUR auf dieses eine Gerät (z.B.) zugegriffen werden kann.....


kannst du das mal weiter ausführen? werd daraus nicht schlau :/ meinst du, den fileserver mit 2 interfaces zu fahren?

RedFlag1970

God

Posts: 4,330

Tuesday, December 18th 2012, 7:36am

Quoted from "brighter death now"

Quoted from "RedFlag1970"

2 managbare Switche
VLAN einrichten
Nur die Ports belegen, welche auch "geöffnet" werden sollen.
Somit auch die Sicherheit das von der anderen Seite NUR auf dieses eine Gerät (z.B.) zugegriffen werden kann.....


kannst du das mal weiter ausführen? werd daraus nicht schlau :/ meinst du, den fileserver mit 2 interfaces zu fahren?


Die NAS mit 2 Ports zu trennen, daran habe ich auch gedacht.
Möglich ist das, aber man verliert natürlich Performance dadurch, das schliesse ich also mal aus.

Was ich möchte, ist zwei managbare Switche einzusetzen und mit einem Port Forwarding zu arbeiten.
Somit sollte es möglich sein vom anderen Netz auf meine Syno zu kommen, aber eben nur dort hin!
Das reicht mir derzeit und mein Netz bleibt quasi weiterhin nicht weiter sichtbar.

So weit die Theorie, leider bekomme ich erst in den nächsten Tagen meinen 48Port Switch um das zu testen.
Ich finde aber das sich "ich bin in 5 Sekunden mit meinem Ferrari auf 100" immernoch besser anhört als "gestern hab ich mit meiner SSD nen 100GB Pornoordner in 5 Sekunden gezipt"
Wenn du den Baum, den du gleich treffen wirst, sehen kannst, nennt man das untersteuern. Wenn du ihn nur hören und fühlen kannst wars übersteuern!

brighter death now

Full Member

Posts: 81

Wednesday, December 19th 2012, 5:14pm

@irvin: genau so!

@redflag1970

sorry, werd daraus immer noch nicht schlau :/

meinst du mit managebar switche mit layer3-funktionalität?

sprich:


Source code

 
1

Subnetz1 <> "Router" <> NAS/Subnetz3 <> "Router" <> Subnetz2



wobei die router die l3-funktionalität der switches darstellen und das andere subnetz blocken?

hab leider nicht viel erfahrung mit den grossen switchen.

vllt hast du ein paar verweise, wo ich mich mal einlesen könnte. danke :-)


edit: bitte sag jetzt nicht, das du NAT'en willst .... -.-

Quoted from "RedFlag1970"

Quoted from "brighter death now"

Quoted from "RedFlag1970"

2 managbare Switche
VLAN einrichten
Nur die Ports belegen, welche auch "geöffnet" werden sollen.
Somit auch die Sicherheit das von der anderen Seite NUR auf dieses eine Gerät (z.B.) zugegriffen werden kann.....


kannst du das mal weiter ausführen? werd daraus nicht schlau :/ meinst du, den fileserver mit 2 interfaces zu fahren?


Die NAS mit 2 Ports zu trennen, daran habe ich auch gedacht.
Möglich ist das, aber man verliert natürlich Performance dadurch, das schliesse ich also mal aus.

Was ich möchte, ist zwei managbare Switche einzusetzen und mit einem Port Forwarding zu arbeiten.
Somit sollte es möglich sein vom anderen Netz auf meine Syno zu kommen, aber eben nur dort hin!
Das reicht mir derzeit und mein Netz bleibt quasi weiterhin nicht weiter sichtbar.

So weit die Theorie, leider bekomme ich erst in den nächsten Tagen meinen 48Port Switch um das zu testen.

This post has been edited 2 times, last edit by "brighter death now" (Dec 19th 2012, 5:29pm)

RedFlag1970

God

Posts: 4,330

Wednesday, December 19th 2012, 5:50pm

Hmm.
2 VLANS
2 NICs an Synology
eine NIC für jedes Netzwerk (feste IP)(Leider kann ich der Syno kein Port Trunk geben mit 2 VLANs...)
an "meinen" beiden Ports das VLAN vom Nachbarn, so kommt er direkt auf die Syno. Also ankommender Port und Port zur Syno, wobei das VLAN dann auch sein kompletter Switch ist.
Verständlicher?
Ich finde aber das sich "ich bin in 5 Sekunden mit meinem Ferrari auf 100" immernoch besser anhört als "gestern hab ich mit meiner SSD nen 100GB Pornoordner in 5 Sekunden gezipt"
Wenn du den Baum, den du gleich treffen wirst, sehen kannst, nennt man das untersteuern. Wenn du ihn nur hören und fühlen kannst wars übersteuern!

brighter death now

Full Member

Posts: 81

Wednesday, December 19th 2012, 6:52pm

Quoted from "Brighter Death Now'"


...
meinst du, den fileserver mit 2 interfaces zu fahren?
...



Quoted from "RedFlag1970"


...
Möglich ist das, aber man verliert natürlich Performance dadurch, das schliesse ich also mal aus.
...



Quoted from "RedFlag1970"


...
2 NICs an Synology
...



hm.

das ganze geraffel von wegen vlan hat da wohl verwirrung reingebracht - ich meinte je ein IF pro subnetz, so das das NAS in 2 Subnetzen hängt. IDF wäre es auch möglich gewesen, das Kabel des nachbarn direkt in IF2 zu stecken, es wäre so auch nichtmal eine feste ip nötig gewesen, und keine 'spezial'hardware.

... hat klick gemacht - IF2 ist VLAN auf IF1.

This post has been edited 6 times, last edit by "brighter death now" (Dec 19th 2012, 7:17pm)

RedFlag1970

God

Posts: 4,330

Wednesday, December 19th 2012, 7:17pm

Was auch immer IF oder IDF heissen mag.

Ich kann meinen Nachbarn nicht direkt an den 2. Port hängen. Da Fibrechannelverbindung rüber!
Ausserdem wollte ich diese Aufsplittung auch vermeiden, da ich gerne die Performance des Trunks nutzen wollte.
Dies allerdings geht wohl nicht, da eben die Syno nicht beherrscht 2 VLANs auf den Trunk zu binden.
Die Switche, welche ich im Einsatz habe können das eh, von daher wäre das mit den VLANs einfach zu einfach gewesen.
Da ich eh zwei Ports für meinen Nachbarn verbrate....
Vielleicht kommt mal nen Update für die Syno, das ich beide NICS trunken kann und dann eben doch die 200MBit lesend ins Netz bekommen kann.....
(Ich weiss - derzeit noch nicht so wichtig, aber der Spieltrieb.......)
Ich finde aber das sich "ich bin in 5 Sekunden mit meinem Ferrari auf 100" immernoch besser anhört als "gestern hab ich mit meiner SSD nen 100GB Pornoordner in 5 Sekunden gezipt"
Wenn du den Baum, den du gleich treffen wirst, sehen kannst, nennt man das untersteuern. Wenn du ihn nur hören und fühlen kannst wars übersteuern!

brighter death now

Full Member

Posts: 81

Wednesday, December 19th 2012, 8:09pm

mehr infos zu deinem szenario und weniger unnützes beiwerk wären da doch notwendig gewesen.

IF = interface, IDF = in dem fall.

RedFlag1970

God

Posts: 4,330

Thursday, December 20th 2012, 10:48am

Quoted from "brighter death now"

mehr infos zu deinem szenario und weniger unnützes beiwerk wären da doch notwendig gewesen.

IF = interface, IDF = in dem fall.


Guggst du hier:

Links - auch weiter oben zu finden
Ich finde aber das sich "ich bin in 5 Sekunden mit meinem Ferrari auf 100" immernoch besser anhört als "gestern hab ich mit meiner SSD nen 100GB Pornoordner in 5 Sekunden gezipt"
Wenn du den Baum, den du gleich treffen wirst, sehen kannst, nennt man das untersteuern. Wenn du ihn nur hören und fühlen kannst wars übersteuern!
  • 1
  • 2

Similar threads