• 20.04.2024, 02:17
  • Registrieren
  • Anmelden

  • Sie sind nicht angemeldet.

 

Zwei Netzwerke verbinden mit Trennung der DHCP-Server

Lieber Besucher, herzlich willkommen bei: Aqua Computer Forum. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

  • 1
  • 2

Irvin

Junior Member

Beiträge: 7

Zwei Netzwerke verbinden mit Trennung der DHCP-Server

Mittwoch, 12. Dezember 2012, 11:33

Hallo liebes Forum,

  • ich möchte zwei netzwerke verbinden, genauso wie es Blaine_the_Pain in 2 Netzwerke problemlos miteinander verbinden... beschrieben hat und wie es in der grafik von ihm dargestellt wurde.
  • ich habe halt keine WLAN-accesspoints sondern ein ethernetkabel zwischen den beiden netzen.
  • was möchte ich nicht:
  1. unterschiedliche subnetze
  2. manuelle vergabe von ip-adressen
  3. große änderungen an den bestehenden netzen (sowenig wie möglich, so viel wie nötig...je weniger, desto besser)
  4. VLAN
  5. VPN

  • die bestehenden dsl-modem-router (jeweils einer auf jeder seite, pirelli prgav4202n) sind durch den provider in ihren fähigkeiten stark beschnitten.
  • ich möchte also in die mitte der beiden netze "ein gerät" hinstellen, dass die beiden netzteile verbindet - und zwar im gleichen subnetz - und das über eine firewall (oder sonst was) die möglichkeit bietet, dhcp-requests zu unterdrücken genauso wie von Blaine_the_Pain beschrieben. aber keinen stromfressenden pc....
  • ich dachte an einen günstigen router von mikrotik. der könnte das (wenn auch mit steiler lernkurve). allerdings ist das ein router und router können nur subnetze verbinden, aber ich möchte es bei einem einzigen großen "subnetz" belassen. bitte mich korrigieren, wenn ich falsch liege.

hat irgendwer eine idee?

viele Grüße
Irvin

2 Netzwerke problemlos miteinander verbinden...


=============

Ich habe mein Haus und das Haus meiner Eltern ueber WLAN miteinander verbunden.


Ich habe dabei allerdings den Vorteil, dass die WLAN-Accesspoints eine integrierte FireWall haben.
Die "Netzwerke" haben festgelegte DHCP-Bereiche:
10.0.2.20-60 und 10.0.2.120-160

Ich habe je "Netzwerk" einen DHCP-Server am laufen, wobei die Firewall der WAPs die DHCP-Requests in keine Richtung durchlaesst:

Protokoll Source-IP Source-Port Target-IP Target-Port
UDP 0.0.0.0 67 255.255.255.255/32 68
UDP 0.0.0.0 68 255.255.255.255/32 67


Somit bekommt jeder Rechner im entsprechendem Netzwerk die passende IP und man kann ohne Subnets auf alle IPs zugreifen.

=============
»Irvin« hat folgendes Bild angehängt:
  • network.png

Dieser Beitrag wurde bereits 12 mal editiert, zuletzt von »Irvin« (12. Dezember 2012, 11:43)

BloodHound

Senior Member

Beiträge: 961

Freitag, 14. Dezember 2012, 03:45

Machbar ist sowas sicher nur die Frage ist warum du nicht einfach 2 Netze dafür verwendest?
Warum überhaupt 2 DHCP Server? Sollte doch einer reichen würde ich meinen.

Wenn du dein Vorhaben realisieren willst würde ich eine Alix mit pfSense verwenden.
Mach mal eine Skizze von deiner Infrastruktur inkl. Modems usw damit wir dir besser helfen können.

Ich würde von solchen Experimenten Abstand halten. 2 Netze sind schnell mal konfiguriert und wenn du eh mit DHCP arbeitest musst du genau die FW konfigurieren und mehr nicht.

Mir ist der Sinn etwas schleierhaft warum du dich gegen eine Trennung und der Vermeidung vieler Probleme wehrst.
For Windows reboot
for Linux be root

RedFlag1970

God

Beiträge: 4 330

Freitag, 14. Dezember 2012, 09:43

Die Anfrage ist doch ganz einfach zu verstehen!

2 Netzte - beide haben einen DSL Anschluss und nutzen den, vielleicht sogar WLAN an den Routern.
Also will jeder sein eigenes Netz und eben vielleicht ein zentrales NAS!
Somit hast du genau dieses Scenario!

Genau das selbe "Problem" habe ich auch noch.
Aber ich denke ich regle das mit VLANs und zwei "vernünftigen" Switchen....
Ich finde aber das sich "ich bin in 5 Sekunden mit meinem Ferrari auf 100" immernoch besser anhört als "gestern hab ich mit meiner SSD nen 100GB Pornoordner in 5 Sekunden gezipt"
Wenn du den Baum, den du gleich treffen wirst, sehen kannst, nennt man das untersteuern. Wenn du ihn nur hören und fühlen kannst wars übersteuern!

Irvin

Junior Member

Beiträge: 7

Freitag, 14. Dezember 2012, 10:43

Zitat von »BloodHound«

Warum überhaupt 2 DHCP Server? Sollte doch einer reichen würde ich meinen.
naja. ich möchte keinen "single point of failure" konstruieren. es sind zwei verschiedene befreundete familien, alle zufrieden mit status quo bis auf die gegenseitige zufriffsmöglichkeit.

Irvin

Junior Member

Beiträge: 7

Freitag, 14. Dezember 2012, 10:45

Zitat von »BloodHound«

Mir ist der Sinn etwas schleierhaft warum du dich gegen eine Trennung und der Vermeidung vieler Probleme wehrst.
naja. so richtig wehren tu ich mich nicht. ich möchte halt an so wenigen stellen wie möglich eingreifen, hab ziemlich beschränktes wissen über die ganzen sachen. mein ansatz ist: so wenig wie möglich, so viel wie nötig. wenn's so gar nicht geht wie oben beschrieben, werden ich auf trennung in zwei subnetze ausweichen...aber nur, wenn's nicht anders geht...(:-)

BloodHound

Senior Member

Beiträge: 961

Freitag, 14. Dezember 2012, 20:32

Mit einem Gerät wirst du sowas nicht so einfach verbinden können. Du brauchst auf beiden Seiten ein Gerät, welches den DHCP Traffic blockt anders sehe ich keine Möglichkeit ohne Subnetting.

Du kannst nicht auf 2 verschiedenen Interfaces das gleiche Netz haben das wird nicht funktionieren oder du hast ein Routing Problem.


Aja und wenn du die IPs den Netzen vergibst würde nich dir raten von 10.0.2.0/25 und 10.0.2.128/25 machen. Damit kannst du später immer noch die Netze auftrennen. Gesamt wäre es ein Netz mit 10.0.2.0/24. Damit kannst du über eine Wildcard von 0.0.0.127 filtern falls du es später einmal brauchst.
For Windows reboot
for Linux be root

brighter death now

Full Member

Beiträge: 81

Samstag, 15. Dezember 2012, 03:21

hm - 2 interfaces brücken und (udp) 0.0.0.0:67 und 0.0.0.0:68 blocken? unter debian wärens die bridge-tools sowie iptables, müsstest du halt bei den microtikdingern nachgucken,
bzw pfsense mit alix 2d13 einfach im webinterface einstellen.

Beispiel PfSense2

LAN und WLAN wären jetzt bei dir NETZ1 und NETZ2



selbe story hier, für NETZ1 und NETZ2 diese regel.

Dieser Beitrag wurde bereits 8 mal editiert, zuletzt von »brighter death now« (15. Dezember 2012, 03:41)

Irvin

Junior Member

Beiträge: 7

Sonntag, 16. Dezember 2012, 12:41

hallo "brighter death now",

gute idee...da kuck ich nach....

viele grüße
irvin

Irvin

Junior Member

Beiträge: 7

Sonntag, 16. Dezember 2012, 13:35

hallo "brighter death now" und alle anderen,

>>hm - 2 interfaces brücken und (udp) 0.0.0.0:67 und 0.0.0.0:68 blocken


was ganz wichtig ist: ich will das innerhalb eines einzigen subnetzes (10.0.0.*) machen (für zwei unterschiedliche teile des subnetzes). bei einem router könnte ich das so nicht einstellen, da brauche ich zwei unterschiedliche subnetze.

brauche ich bei alix 2d13 und pfsense zwei unterschiedliche subnetze? oder funktioniert das im gleichen subnetz?

viele grüße
irvin

brighter death now

Full Member

Beiträge: 81

Sonntag, 16. Dezember 2012, 22:56

Zitat von »Irvin«

hallo "brighter death now" und alle anderen,

>>hm - 2 interfaces brücken und (udp) 0.0.0.0:67 und 0.0.0.0:68 blocken


was ganz wichtig ist: ich will das innerhalb eines einzigen subnetzes (10.0.0.*) machen (für zwei unterschiedliche teile des subnetzes). bei einem router könnte ich das so nicht einstellen, da brauche ich zwei unterschiedliche subnetze.

brauche ich bei alix 2d13 und pfsense zwei unterschiedliche subnetze? oder funktioniert das im gleichen subnetz?

viele grüße
irvin


ja, es klappt im selben subnetz.... auch wenn ich die lösung der anderen ebenfalls bevorzugen würde, bzw komplett abraten, stichwort virenbefall und so :-)
zauberwort bei microtik müsste transparent firewall oder layer2-firewall / filtering bridge sein - hässliches konzept, aber klappt.


edit: gerade nochmal nachgeprüft:

Regel erstellt:


Keine IP erhalten:

Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von »brighter death now« (16. Dezember 2012, 23:33)

RedFlag1970

God

Beiträge: 4 330

Montag, 17. Dezember 2012, 10:06

2 managbare Switche
VLAN einrichten
Nur die Ports belegen, welche auch "geöffnet" werden sollen.
Somit auch die Sicherheit das von der anderen Seite NUR auf dieses eine Gerät (z.B.) zugegriffen werden kann.....
Ich finde aber das sich "ich bin in 5 Sekunden mit meinem Ferrari auf 100" immernoch besser anhört als "gestern hab ich mit meiner SSD nen 100GB Pornoordner in 5 Sekunden gezipt"
Wenn du den Baum, den du gleich treffen wirst, sehen kannst, nennt man das untersteuern. Wenn du ihn nur hören und fühlen kannst wars übersteuern!

Irvin

Junior Member

Beiträge: 7

Montag, 17. Dezember 2012, 13:00

ich bin jetzt auf folgende lösung gekommen (mit eurer hilfe):

  • an der schnittstelle setze ich einen mikrotik router (RB 750, EUR 35,--) als bridge hin: http://wiki.mikrotik.com/wiki/Manual:Interface/Bridge (d.h. ich habe ein einziges subnetz.
  • in der firewall des mikrotiks blockiere ich die DHCP-requests (udp auf den ports 67 und 68 ).
  • die beiden dhcp-server werden so konfiguriert, dass sich die bereiche nicht überschneiden.

werd ich kommendes wochenende ausprobieren.


lg
irvin


irgendwie so:
================================================>



/system reset-conf skip-backup=yes no-defaults=yes

/interface bridge add

/interface bridge port add bridge=bridge1 interface=ether1
/interface bridge port add bridge=bridge1 interface=ether2
/interface bridge port add bridge=bridge1 interface=ether3
/interface bridge port add bridge=bridge1 interface=ether4
/interface bridge port add bridge=bridge1 interface=ether5

/interface bridge settings set use-ip-firewall=yes

/interface bridge filter add chain=forward action=log log-prefix="1_DHCP blocked..." mac-protocol=ip ip-protocol=udp src-port=67-68
/interface bridge filter add chain=forward action=drop mac-protocol=ip ip-protocol=udp dst-port=67-68
/interface bridge filter print
================================================>

Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von »Irvin« (21. Dezember 2012, 23:11)

brighter death now

Full Member

Beiträge: 81

Montag, 17. Dezember 2012, 16:25

Zitat von »RedFlag1970«

2 managbare Switche
VLAN einrichten
Nur die Ports belegen, welche auch "geöffnet" werden sollen.
Somit auch die Sicherheit das von der anderen Seite NUR auf dieses eine Gerät (z.B.) zugegriffen werden kann.....


kannst du das mal weiter ausführen? werd daraus nicht schlau :/ meinst du, den fileserver mit 2 interfaces zu fahren?

RedFlag1970

God

Beiträge: 4 330

Dienstag, 18. Dezember 2012, 07:36

Zitat von »brighter death now«

Zitat von »RedFlag1970«

2 managbare Switche
VLAN einrichten
Nur die Ports belegen, welche auch "geöffnet" werden sollen.
Somit auch die Sicherheit das von der anderen Seite NUR auf dieses eine Gerät (z.B.) zugegriffen werden kann.....


kannst du das mal weiter ausführen? werd daraus nicht schlau :/ meinst du, den fileserver mit 2 interfaces zu fahren?


Die NAS mit 2 Ports zu trennen, daran habe ich auch gedacht.
Möglich ist das, aber man verliert natürlich Performance dadurch, das schliesse ich also mal aus.

Was ich möchte, ist zwei managbare Switche einzusetzen und mit einem Port Forwarding zu arbeiten.
Somit sollte es möglich sein vom anderen Netz auf meine Syno zu kommen, aber eben nur dort hin!
Das reicht mir derzeit und mein Netz bleibt quasi weiterhin nicht weiter sichtbar.

So weit die Theorie, leider bekomme ich erst in den nächsten Tagen meinen 48Port Switch um das zu testen.
Ich finde aber das sich "ich bin in 5 Sekunden mit meinem Ferrari auf 100" immernoch besser anhört als "gestern hab ich mit meiner SSD nen 100GB Pornoordner in 5 Sekunden gezipt"
Wenn du den Baum, den du gleich treffen wirst, sehen kannst, nennt man das untersteuern. Wenn du ihn nur hören und fühlen kannst wars übersteuern!

brighter death now

Full Member

Beiträge: 81

Mittwoch, 19. Dezember 2012, 17:14

@irvin: genau so!

@redflag1970

sorry, werd daraus immer noch nicht schlau :/

meinst du mit managebar switche mit layer3-funktionalität?

sprich:


Quellcode

 
1

Subnetz1 <> "Router" <> NAS/Subnetz3 <> "Router" <> Subnetz2



wobei die router die l3-funktionalität der switches darstellen und das andere subnetz blocken?

hab leider nicht viel erfahrung mit den grossen switchen.

vllt hast du ein paar verweise, wo ich mich mal einlesen könnte. danke :-)


edit: bitte sag jetzt nicht, das du NAT'en willst .... -.-

Zitat von »RedFlag1970«

Zitat von »brighter death now«

Zitat von »RedFlag1970«

2 managbare Switche
VLAN einrichten
Nur die Ports belegen, welche auch "geöffnet" werden sollen.
Somit auch die Sicherheit das von der anderen Seite NUR auf dieses eine Gerät (z.B.) zugegriffen werden kann.....


kannst du das mal weiter ausführen? werd daraus nicht schlau :/ meinst du, den fileserver mit 2 interfaces zu fahren?


Die NAS mit 2 Ports zu trennen, daran habe ich auch gedacht.
Möglich ist das, aber man verliert natürlich Performance dadurch, das schliesse ich also mal aus.

Was ich möchte, ist zwei managbare Switche einzusetzen und mit einem Port Forwarding zu arbeiten.
Somit sollte es möglich sein vom anderen Netz auf meine Syno zu kommen, aber eben nur dort hin!
Das reicht mir derzeit und mein Netz bleibt quasi weiterhin nicht weiter sichtbar.

So weit die Theorie, leider bekomme ich erst in den nächsten Tagen meinen 48Port Switch um das zu testen.

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »brighter death now« (19. Dezember 2012, 17:29)

RedFlag1970

God

Beiträge: 4 330

Mittwoch, 19. Dezember 2012, 17:50

Hmm.
2 VLANS
2 NICs an Synology
eine NIC für jedes Netzwerk (feste IP)(Leider kann ich der Syno kein Port Trunk geben mit 2 VLANs...)
an "meinen" beiden Ports das VLAN vom Nachbarn, so kommt er direkt auf die Syno. Also ankommender Port und Port zur Syno, wobei das VLAN dann auch sein kompletter Switch ist.
Verständlicher?
Ich finde aber das sich "ich bin in 5 Sekunden mit meinem Ferrari auf 100" immernoch besser anhört als "gestern hab ich mit meiner SSD nen 100GB Pornoordner in 5 Sekunden gezipt"
Wenn du den Baum, den du gleich treffen wirst, sehen kannst, nennt man das untersteuern. Wenn du ihn nur hören und fühlen kannst wars übersteuern!

brighter death now

Full Member

Beiträge: 81

Mittwoch, 19. Dezember 2012, 18:52

Zitat von »Brighter Death Now'«


...
meinst du, den fileserver mit 2 interfaces zu fahren?
...



Zitat von »RedFlag1970«


...
Möglich ist das, aber man verliert natürlich Performance dadurch, das schliesse ich also mal aus.
...



Zitat von »RedFlag1970«


...
2 NICs an Synology
...



hm.

das ganze geraffel von wegen vlan hat da wohl verwirrung reingebracht - ich meinte je ein IF pro subnetz, so das das NAS in 2 Subnetzen hängt. IDF wäre es auch möglich gewesen, das Kabel des nachbarn direkt in IF2 zu stecken, es wäre so auch nichtmal eine feste ip nötig gewesen, und keine 'spezial'hardware.

... hat klick gemacht - IF2 ist VLAN auf IF1.

Dieser Beitrag wurde bereits 6 mal editiert, zuletzt von »brighter death now« (19. Dezember 2012, 19:17)

RedFlag1970

God

Beiträge: 4 330

Mittwoch, 19. Dezember 2012, 19:17

Was auch immer IF oder IDF heissen mag.

Ich kann meinen Nachbarn nicht direkt an den 2. Port hängen. Da Fibrechannelverbindung rüber!
Ausserdem wollte ich diese Aufsplittung auch vermeiden, da ich gerne die Performance des Trunks nutzen wollte.
Dies allerdings geht wohl nicht, da eben die Syno nicht beherrscht 2 VLANs auf den Trunk zu binden.
Die Switche, welche ich im Einsatz habe können das eh, von daher wäre das mit den VLANs einfach zu einfach gewesen.
Da ich eh zwei Ports für meinen Nachbarn verbrate....
Vielleicht kommt mal nen Update für die Syno, das ich beide NICS trunken kann und dann eben doch die 200MBit lesend ins Netz bekommen kann.....
(Ich weiss - derzeit noch nicht so wichtig, aber der Spieltrieb.......)
Ich finde aber das sich "ich bin in 5 Sekunden mit meinem Ferrari auf 100" immernoch besser anhört als "gestern hab ich mit meiner SSD nen 100GB Pornoordner in 5 Sekunden gezipt"
Wenn du den Baum, den du gleich treffen wirst, sehen kannst, nennt man das untersteuern. Wenn du ihn nur hören und fühlen kannst wars übersteuern!

brighter death now

Full Member

Beiträge: 81

Mittwoch, 19. Dezember 2012, 20:09

mehr infos zu deinem szenario und weniger unnützes beiwerk wären da doch notwendig gewesen.

IF = interface, IDF = in dem fall.

RedFlag1970

God

Beiträge: 4 330

Donnerstag, 20. Dezember 2012, 10:48

Zitat von »brighter death now«

mehr infos zu deinem szenario und weniger unnützes beiwerk wären da doch notwendig gewesen.

IF = interface, IDF = in dem fall.


Guggst du hier:

Links - auch weiter oben zu finden
Ich finde aber das sich "ich bin in 5 Sekunden mit meinem Ferrari auf 100" immernoch besser anhört als "gestern hab ich mit meiner SSD nen 100GB Pornoordner in 5 Sekunden gezipt"
Wenn du den Baum, den du gleich treffen wirst, sehen kannst, nennt man das untersteuern. Wenn du ihn nur hören und fühlen kannst wars übersteuern!
  • 1
  • 2

Ähnliche Themen