Zwei DHCP-Server trennen über eine Firewall

Fragen rund um die Themen Netzwerk und Technik, die keinem Betriebssystem zuzuordnen sind. Beiträge rund um Hardware gehören auch hier rein (ausser bei Treiber-Fragen, diese dann im jeweiligen Subforum des passenden Betriebssystemes stellen).

Zwei DHCP-Server trennen über eine Firewall

Beitragvon irwin65 » So 09 Dez, 2012 19:02

Hallo liebes Forum,

ich habe ein Netzwerk mit zwei Familien und zwei separaten Internetzugängen via Telekom-Festnetz und ADSL (jeweils via Pirelli PRGAV4202N).

ich möchte die beiden Netze zu einem einzigen Subnetz zusammenschließen (alle beteiligten PC's werden von mir verwaltet, d. h. sicherheitstechnisch keine besonderen Anforderungen). Ethernet-Kabel vorhanden.

Stören würden sich nur die beiden DHCP-Server in den beiden Pirellis. Mein Lösungsansatz: Netz 1 vergibt via DHCP dynamisch 10.0.0.1 bis 10.0.0.50, Netz-2 vergibt 10.0.0.51 bis 10.0.0.99.

Die Konflikte zwischen den DHCP-Servern in den Pirellis würde ich vermeiden, indem ich zwischen den beiden eine Firewall schalte, die die DHCP-Requests in keine Richtung durchläßt.

Protokoll Source-IP Source-Port Target-IP Target-Port
UDP 0.0.0.0 67 255.255.255.255/32 68
UDP 0.0.0.0 68 255.255.255.255/32 67

Was wären die günstigsten Firewall-Lösungen, die so etwas ermöglicht? Oder gibt es Gründe, warum das so nicht funktionieren würde?

adventliche Grüße
Irvin
irwin65
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 86
Registriert: Fr 30 Mär, 2007 13:00
Wohnort: Oberösterreich

Re: Zwei DHCP-Server trennen über eine Firewall

Beitragvon Herculess » So 09 Dez, 2012 19:31

mir ist nicht ganz klar was du mit dem zusammenführen der netze erreichen willst.
für deine genannte lösung bez. firewall müsstest du diese transparent zwischen den beiden pirellis schalten, keine wirklich schöne lösung.
für genauere details müsstest schon verraten was du da genau vor hast.

greets
Herculess
Board-User Level 3
Board-User Level 3
 
Beiträge: 1474
Registriert: Sa 31 Jan, 2004 18:59

Re: Zwei DHCP-Server trennen über eine Firewall

Beitragvon irwin65 » So 09 Dez, 2012 19:35

jeder beteiligte soll möglichst einfach auf die freigegebenen windows-laufwerke zugreifen können und auf die jeweilige NAS auf jeder seite. beispiel: auf fernseher in netz1 wird film von NAS in netz2 abgespielt und umgekehrt.
irwin65
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 86
Registriert: Fr 30 Mär, 2007 13:00
Wohnort: Oberösterreich

Re: Zwei DHCP-Server trennen über eine Firewall

Beitragvon Herculess » So 09 Dez, 2012 19:59

und das ziel ist es dass beide familien ihren jeweiligen internet anschluss verwendet?
dass du mit deinem konstrukt nicht verhindern kannst, dass fam1 über den anschluss von fam2 surft ist dir aber hoffentlich klar.
wenn das so gewünscht ist, würde ich das nicht über eine firewall sondern über einen gemeinsamen dhcp lösen, der je nach MAC unterschiedliche settings vergibt bzw. wenn's nicht viele rechner sind, IPs einfach statisch zuordnen.

wenn du nicht unbedingt mit multicast oä. arbeitest (was aus deiner anforderung nicht hervorgeht), wäre die schönere lösung, beide netze getrennt zu lassen und diese über einen router zu verbinden (IP-Netz Änderung auf einer Seite ist erforderlich).
das lässt sich soweit mir bekannt auch mittels pirelli lösen (da ich keinen zur hand habe kann ich aber nur mutmaßen)

greets
Herculess
Board-User Level 3
Board-User Level 3
 
Beiträge: 1474
Registriert: Sa 31 Jan, 2004 18:59

Re: Zwei DHCP-Server trennen über eine Firewall

Beitragvon irwin65 » So 09 Dez, 2012 20:04

>>und das ziel ist es dass beide familien ihren jeweiligen internet anschluss verwendet?

korrekt.

>>dass du mit deinem konstrukt nicht verhindern kannst, dass fam1 über den anschluss von fam2 surft ist dir aber hoffentlich klar.

nein. warum nicht? fam1 wird ja von "ihrem" DSL-modem versorgt. meinst du jetzt "böswillig"? das ist sicher nicht der fall. ich bin ja selbst der "pc-admin". versehentlich soll das auf keinen fall passieren. ich dachte, das würde ich ja absichern durch die oben beschriebenen maßnahmen. wo ist jetzt mein denkfehler?
irwin65
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 86
Registriert: Fr 30 Mär, 2007 13:00
Wohnort: Oberösterreich

Re: Zwei DHCP-Server trennen über eine Firewall

Beitragvon irwin65 » So 09 Dez, 2012 20:11

>>wäre die schönere lösung, beide netze getrennt zu lassen und diese über einen router zu verbinden (IP-Netz Änderung auf einer Seite ist erforderlich).

daran hab ich auch schon gedacht. ist jedenfalls auch eine lösung. siehe bildchen. irgendwie bin ich bei dieser variante bei einer lösung gelandet, bei der ich ZWEI router brauche. und wenn's günstig bleiben soll...naja...hab dann in einem forum das gelesen mit der idee der gegenseitigen DHCP-filterung...erschien mir elegant.....aber ich will da jetzt hier keinem auf die nerven gehen...wenn's hier nicht reinpasst, einfach sagen, dann bin ich ruhig.
Dateianhänge
Netzwerk-X v1.1.jpg
Netzwerk-X v1.1.jpg (96.33 KiB) 31625-mal betrachtet
irwin65
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 86
Registriert: Fr 30 Mär, 2007 13:00
Wohnort: Oberösterreich

Re: Zwei DHCP-Server trennen über eine Firewall

Beitragvon irwin65 » So 09 Dez, 2012 20:14

die lösung mit nur EINEM router ist nicht so toll, weil für die gegenseitige erreichbarkeit scheint man statische routen zu benötigen. und diese können im pirelli nicht hinterlegt werden.
Dateianhänge
Netzwerk-X.jpg
Netzwerk-X.jpg (101.46 KiB) 31623-mal betrachtet
irwin65
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 86
Registriert: Fr 30 Mär, 2007 13:00
Wohnort: Oberösterreich

Re: Zwei DHCP-Server trennen über eine Firewall

Beitragvon al » So 09 Dez, 2012 20:44

Du willst eine Bridge, die DHCP filtert. K.A., ob Consumer-Kisten sowas können, mit Linux würdest Du das wohl hinbringen.

Sonst bleibt Dir nur die Lösung mit zwei Netzen und Router, da musst Du halt ggf. die Routen bei den Clients statisch eintragen.

Oder man einigt sich auf /ein/ Gateway in die Welt.

/al
Wer entbündelt wo? - http://entbuendelt.at
al
Board-User Level 3
Board-User Level 3
 
Beiträge: 1091
Registriert: Sa 13 Nov, 2004 11:59
Wohnort: Hawei

Re: Zwei DHCP-Server trennen über eine Firewall

Beitragvon irwin65 » So 09 Dez, 2012 20:50

>>Du willst eine Bridge, die DHCP filtert. K.A., ob Consumer-Kisten sowas können

ja...Consumer-Kiste...hätte ich gerne. also "einfach zu bedienen"...kostengünstig....! genau
irwin65
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 86
Registriert: Fr 30 Mär, 2007 13:00
Wohnort: Oberösterreich

Re: Zwei DHCP-Server trennen über eine Firewall

Beitragvon al » Mo 10 Dez, 2012 07:13

irwin65 hat geschrieben:Consumer-Kiste...hätte ich gerne

Mit einer ZyWall schaffte man das vermutlich (wenn man die Brigding Funktion zu konfigurieren schafft). Aber ich kenn keinen billigen Router, der Bridgen könnte (und dann noch Port-Filtering).

Und zu dem "einfach zu bedienen": Das ist kein Standardfall, insofern wird Dir das auch nie ein Trumm "einfach so" liefern... ;)

/al
Wer entbündelt wo? - http://entbuendelt.at
al
Board-User Level 3
Board-User Level 3
 
Beiträge: 1091
Registriert: Sa 13 Nov, 2004 11:59
Wohnort: Hawei

Re: Zwei DHCP-Server trennen über eine Firewall

Beitragvon Herculess » Mo 10 Dez, 2012 20:49

dass beim pirelli keine statischen routen konfiguriert werden können, kann ich fast nicht glauben.
die schöne lösung (aus meiner sicht ;) ) wäre, jeweils ein zusätzliches "routing" vlan einrichten und die jeweiligen netze darüber routen.
um es mit den vorhandenen mitteln zu lösen, benötigst du natürlich root zugriff auf die pirellis, davon bin ich bei deiner planung erstmal ausgegangen dass du das hast...

greets
Herculess
Board-User Level 3
Board-User Level 3
 
Beiträge: 1474
Registriert: Sa 31 Jan, 2004 18:59

Re: Zwei DHCP-Server trennen über eine Firewall

Beitragvon irwin65 » Mo 10 Dez, 2012 21:24

hallo herculess,

"keine statische route" stimmt unter der rahmenbedingung, dass man keinen root-zugriff hat. MIT root geht's schon. früher hatte ich root-rechte. habe festgestellt, dass ich die nicht mehr habe. wir wollen uns wohl hier an dieser stelle nicht über die diesbezüglichen "grausigen" details :-) unterhalten. ich hab's so verstanden, dass das mit geänderten firmware-versionen zammhängt - und die werden automatisch eingespielt - sofern man keine vorkehrungen trifft - was ich nicht getan hatte. vielleicht kann man eine "alte" firmware-version einspielen- dann geht's wieder - aber eigentlich will ich das alles nicht ...oder hab ich etwas komplett falsch verstanden? auch möglich .... ? dann bin ich für jeden hinweis dankbar.

und es wär ja doch eine lösung schön, an der ich nicht jedesmal schrauben muss, nur weil's grad wieder mal ein neues modem gibt ...

mit vlan hatte ich noch nicht zu tun aber interessiert bin ich schon ... magst du noch ein paar worte verlieren, wie das dann aussehen könnte....

cu
irvin
irwin65
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 86
Registriert: Fr 30 Mär, 2007 13:00
Wohnort: Oberösterreich

Re: Zwei DHCP-Server trennen über eine Firewall

Beitragvon Herculess » Mo 10 Dez, 2012 21:53

ok, dann geht's ohne zusätzliche hardware nicht.
kann dir da aber bez. fertigen lösungen keinen wirklichen (günstigen) vorschlag machen (ich bin da was das private umfeld betrifft eher in der opensource umgebung unterwegs). wenn du in sachen linux einigermaßen drauf bist, kannst du das ganze auch mit einer transparenten firewall (iptables) lösen. gibt massig anleitungen wie du das genau aufsetzt.

bez. der lösung mit den pirellis, das würde dann so aussehen wie bei deinem gezeichneten bild1, nur dass die WAN-Schnittstelle/der DSL-Router mit eingebaut ist. du musst dafür jeweils ein netzwerkport für das verbindungs-vlan opfern.
dem verbindungsnetz hast du in der zeichnung aber falsche ip adressen zugeteilt.
da würde statt 10.0.2.3 und 10.0.1.3 eher sowas wie 10.0.3.1 und 10.0.3.2 stehen, wenn wir von einem /24 netz ausgehen.

greets
Herculess
Board-User Level 3
Board-User Level 3
 
Beiträge: 1474
Registriert: Sa 31 Jan, 2004 18:59

Re: Zwei DHCP-Server trennen über eine Firewall

Beitragvon zid » Di 11 Dez, 2012 13:12

>"...scheint man statische routen zu benötigen. und diese können im pirelli nicht hinterlegt werden..."
der al hats bereits erwähnt:
viewtopic.php?f=46&t=54363&p=448516&#p448464
die routen fürs jeweils andre lan sind auf den rechnern entweder statisch zu setzen oder mit dhcp einzuspritzen. sonst hast du ein routing dreieck.

zum thema "kostengünstig":
wenn du bereits bist, harte 3-5 eier in die hand zu nehmen, dann kannst du jedes beliebige st/tg, das die r6.2 verträgt, nehmen (ein 4-port st510 mit der r4.3 geht also z.b. net). mit so einem ding hast du mindestens 2 möglichkeiten:

1. du willst keine traffic policy durchsetzen, weils dir egal ist, ob die 2 familien "kreuzweise" ins inet gehen können, i.e. familie1 via pire2 und umgekehrt. in dem fall verwendest du das st/tg als switch und zentralen dhcp-server.

- dhcp-server auf den pires deaktivieren.

- die pc's der familien durch verschiedene präfixe in der client-id "markieren", also
fam1-papi, fam1-mami, fam1-omi..., fam2-papi, fam2-mami, fam2-omi...

- du richtest am st/tg 2 dhcp-pools ein für adreßbereiche aus 10.0.1.0/22 und 10.0.2.0/22 (netz muß von /24 auf /22 vergrößert werden) und den gates 10.0.1.1 bzw. 10.0.2.1.

- du bindest die adreßvergabe aus diesen pools an regeln, die die präfixe "fam1" und "fam2" (als substring) matchen.

- fertig


2. du willst eine traffic policy ggf. durchsetzen können. in dem fall wird das st/tg als pseudo-bridge mit proxy arp und zentraler dhcp-server betrieben.

- dhcp-server auf den pires deaktivieren.

- ein 2. vlan "fam2" einrichten und einen ethport in dieses vlan legen.

- ip und dhcp-pool auf "fam2" draufsetzen. beide dhcp-pools haben wieder mask /22, dhcp-regeln, präfixe und dgl. brauchts jetzt nicht, weil die discovers der rechner über die schnittstellen differenziert werden.

- proxy arp auf LocalNetwork und fam2 aktivieren.

- ggf. in der firewall regeln einfügen, die einen inetzugang "übers kreuz" unterbinden.

- fertig.

falls dir die sts/tgs nicht zusagen, kannst dir z.b. mikrotiks oder ciscos reinziehen, da geht einiges einfacher, allerdings kriegst die dinger nicht mehr um 3-5 eier. ja, und linux direkt geht natürlich auch immer (iptables, eptables) -> s. herculess.

lg
zid
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Re: Zwei DHCP-Server trennen über eine Firewall

Beitragvon irwin65 » Di 11 Dez, 2012 13:18

cool, danke.

>>falls dir die sts/tgs nicht zusagen

hmm..da liegen noch zwei im keller rum.

ich glaube, ich werde das machen. ich wollte ursprünglich nicht weg vom pirelli, aber wenn's der sache dient...

lg
irvin
irwin65
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 86
Registriert: Fr 30 Mär, 2007 13:00
Wohnort: Oberösterreich

Nächste

Zurück zu TECHNIK, NETZWERK & HARDWARE

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 11 Gäste