Verfasst am: Do Apr 26, 2012 1:25 pm Titel: Switch und Router -> PCs voneinander abschotten
Hallo,
ich habe eine bestimmt ganz simple Frage, aber leider kenne ich mich mit Netzwerken gar nicht aus. Leider habe ich beim Suchen auch keine passenden Antworten gefunden.
Problemstellung:
Es sollen zwei PCs per Kabel ins Internet. Am Router ist aber nur ein Steckplatz vorhanden. Jetzt habe ich noch einen Switch von früheren Lan-Parties gefunden. Jetzt kann ich ja die 2 PCs in den Switch stecken und dann den Switch in den Router.
Die zwei PCs sollen aber nur ins Internet gehen können und nicht gegenseitig auf sich zugreifen können, da auf dem einen PC private Daten liegen und der andere PC von wechselnden Leuten genutzt wird.
Als Laie denke ich mir, dass man mit einem Router soetwas regeln kann. Also eine Art "Sperre" einbauen, dass die zwei PCs nur ins Internet durchgelassen werden, aber nicht untereinander kommunizieren können.
Aber jetzt wäre ja noch der Switch dazwischen, der die beiden PCs ja schon vorher verbindet, wenn ich das alles richtig verstanden habe.
Gibt es da eine Möglichkeit die beiden PCs voneinander abzuschotten?
Und wenn es mit einem Switch nicht geht, angenommen ich würde mir einen Router mit mehreren Steckplätzen zulegen. Würde es damit überhaupt funktionieren?
Wäre super, wenn mir da jemand weiterhelfen kann.
Beste Grüße
Michael
sternenwanderer LSA-Aufleger
Anmeldungsdatum: 01.04.2010 Beiträge: 54
Verfasst am: Do Apr 26, 2012 2:22 pm Titel:
Theorie: Dazu brauchst du einen Switch mit VLAN. Dann bekommen die Ports an denen die Rechner haengen jeweils unterschiedliche IDs und der Port an dem der Router haengt bekommt die beiden IDs.
Praxis: Ich kann leider nicht sagen, ob man so nicht durch den Router doch wieder eine Verbindung schafft.
Michael85 Strippenzieher
Anmeldungsdatum: 26.04.2012 Beiträge: 10
Verfasst am: Do Apr 26, 2012 2:27 pm Titel:
Und wenn ich den Switch ganz weglasse und nur einen Router mit mehreren Steckplätzen habe. Kann ein Router sowas umsetzen?
Michael85 Strippenzieher
Anmeldungsdatum: 26.04.2012 Beiträge: 10
Verfasst am: Do Apr 26, 2012 2:45 pm Titel:
Was ich noch vergessen habe zu erwähnen: Die MAC-Adressen der zwei PCs sind immer gleich. Vielleicht könnte man damit etwas deixeln.
sternenwanderer LSA-Aufleger
Anmeldungsdatum: 01.04.2010 Beiträge: 54
Verfasst am: Do Apr 26, 2012 4:48 pm Titel:
Ein Router mit mehreren Ports ist intern auch nur ein Switch. Und bei Routern für den Heimbereich habe ich noch nichts von VLAN-Fähigkeit gelesen.
Die MAC-Adresse hilft nichts.
Was funktioniert ist eine Firewall (z.B. IPCop) oder ein weiterer Router um zwei getrennte Netze aufzubauen. Das erfordert aber Zeit.
Michael85 Strippenzieher
Anmeldungsdatum: 26.04.2012 Beiträge: 10
Verfasst am: Do Apr 26, 2012 5:55 pm Titel:
Danke für deine schnellen Antworten!
Also wenn ich mir einen neuen Router mit Firewall Option kaufen würde, dann könnte ich doch standardmäßig alle IPs blocken, die auf den privaten PC zugreifen wollen. Außer dìe Router-IP selbst, die dürfte noch zugreifen.
Den Switch kann ich dann weglassen, weil der neue Router dann mehr Steckplätze hätte.
Oder meinst Du mit der Firewall etwas anderes?
CT2 Kabeltester
Anmeldungsdatum: 10.06.2011 Beiträge: 413
Verfasst am: Do Apr 26, 2012 7:28 pm Titel: Re: Switch und Router -> PCs voneinander abschotten
Hallo Michael,
Michael85 hat folgendes geschrieben::
Die zwei PCs sollen aber nur ins Internet gehen können und nicht gegenseitig auf sich zugreifen können, da auf dem einen PC private Daten liegen
Definiere doch mal bitte, was mit "da auf dem PC private Daten liegen" netzwerktechnisch genau gemeint ist?
- Handelt es sich um ein privates und geschäftliches Umfeld?
- Sind auf Deinem Rechner Ordnerfreigaben vorhanden?
- Was spricht gegen die übliche Vorgehensweise, sämtliche "Freigaben" mit Benutzername und Passwort zu schützen?
- Welches Betriebsystem kommt zum Einsatz?
Gruß.
Michael85 Strippenzieher
Anmeldungsdatum: 26.04.2012 Beiträge: 10
Verfasst am: Do Apr 26, 2012 7:51 pm Titel:
Hallo CT2,
genau, es handelt sich um ein privates und geschäftliches Umfeld. Also gemischt.
Es ist WinXP im Einsatz und es sind keinerlei Ordnerfreigaben vorhanden. Es läuft nur ein XAMPP-Localhost, was aber auch nicht im Netzwerk freigegeben ist.
Auf herkömmlichem Weg sollte also niemand auf den Rechner gelangen. Aber mir geht es darum, dass da an dem anderen, mehr oder weniger öffentlichen PC nicht einfach ein Tech-Freak dran geht, der da irgendwas drehen kann oder ein Virus auf den öffentlichen PC kommt, der dann auf meinen PC übergreift.
Deswegen fühle ich mich einfach sicherer, wenn man die Datenströme von PC1 zu PC2 einfach komplett unterbindet. Das müsste ja dann nach meinem Verständnis mit der Router-Firewall gewährleistet sein, wenn ich nur die Router-IP auf die Whitelist setze.
CT2 Kabeltester
Anmeldungsdatum: 10.06.2011 Beiträge: 413
Verfasst am: Do Apr 26, 2012 8:07 pm Titel: Re: Switch und Router -> PCs voneinander abschotten
Hallo,
Michael85 hat folgendes geschrieben::
genau, es handelt sich um ein privates und geschäftliches Umfeld. Also gemischt.
Okay, in diesem Fall ist in der Tat ein VLAN-fähiger Switch das Mittel der Wahl. - Kleine "Smartmanaged Switche" gibt es bereits für ca. 100 EUR (z. B. von Netgear).
Michael85 hat folgendes geschrieben::
Aber mir geht es darum, dass da an dem anderen, mehr oder weniger öffentlichen PC
Die nächste Frage wäre dann, was mit "öffentlich" genau gemeint ist. Denn wenn es wirklich öffentlich ist, dann wirst Du Dich noch um andere Dinge kümmern müssen, wie z. B. Deinen Internetzugang gegen Mißbrauch absichern, etc.
Michael85 hat folgendes geschrieben::
Das müsste ja dann nach meinem Verständnis mit der Router-Firewall gewährleistet sein,
Bei den meisten Routern für den Home-Bereich greift die integrierte Firewall nur von bzw. in Richtung WAN-Interface, also nur auf den Strecken zwischen WAN <--> LAN. Die integrieten Switch-Ports stellen hier also eine transparente Bridge dar.
Natürlich gibt es auch Router mit z. B. integriertem 4-Port-Switch, bei denen sich die einzelnen Ports (z. B. über zu definierenden Bridge-Gruppen) separieren lassen. Alternativ könnte man hier auch mit VLANs arbeiten. Die beiden letztgenannten Funktionalitäten habe ich bisher nur bei Profi-Routern für das Business-Umfeld gesehen, welche dann auch mehrere Hundert Euro kosten. (Vielleicht kennt aber jemand anders Router mit vorgenannten Funktionen im Bereich von 100 EUR?).
Aus vorgenannten Gründen, und da die in die Router integrierten Switche IMHO wirklich nur zum gelegentlichen Heimgebrauch taugen, würde ich Dein Vorhaben mit einem (kleinen) richtigen VLAN-Switch realisieren. Das ist aus meiner Sicht auch die "sauberste" Lösung.
Gruß.
Michael85 Strippenzieher
Anmeldungsdatum: 26.04.2012 Beiträge: 10
Verfasst am: Do Apr 26, 2012 8:45 pm Titel:
Vielen Dank für deine Antworten, CT2!
Also das Netzwerk an sich ist nicht geschäftlich. Nur ich bin selbständig und habe auf meinem PC geschäftliche und private Daten. Der andere PC steht bei meiner Nachbarin, die hat eine Jugendgruppe und dafür braucht sie den PC. Sie hat sonst kein Internet. Und W-LAN über mich ging nicht, weil die dann ja das W-LAN Passwort einsehen könnten und anderweitig benutzen könnten. Deswegen haben wir ein Kabel rüber gelegt. Haftung wegen Missbrauch ist geklärt, dafür haftet meine Nachbarin. Nur wenn jemand meine Daten klaut, bringt mir das auch nix
Zugegeben, es sind zwar keine hochsensiblen Daten, aber trotzdem will ja jeder vermeiden, dass seine Daten irgendwem anders zugänglich sind.
Ich stelle also meinen Anschluss sozusagen ehrenamtlich zur Verfügung, ich habe keinen Nutzen dadurch. Deswegen würden mir 100 Euro schon weh tun.
Und irgendwie habe ich das Gefühl, dass ich da mit Kanonen auf Spatzen schieße, wenn ich mir da ein VLAN Switch hinstelle
Aber mal rein zum Verständnis. Wenn ich mir einen VLAN Switch zulegen würde. Dann würde ich ja die zwei PCs da reinstecken und dann den Switch mit dem Router verbinden. Dann könnte ich die Config des Switchs aufrufen (über 192.168.0.1 oder sowas) und dann könnte ich da einstellen, dass Port1 und Port2 komplett voneinander getrennt werden sollen, aber mit Port3(Router) zusammenarbeiten sollen. Wäre dann wirklich gewährleistet, dass die beiden PCs nichts mehr miteinander zu tun haben? Der sternenwanderer von oben war sich ja nicht ganz sicher, ob das in der Praxis so ist oder ob der Router nicht doch dazwischen funkt.
Alternativ lese ich aber bei dir heraus, dass auch ein Router ausreichen würde, dessen Firewall LAN zu LAN filtern könnte. Oder habe ich das falsch verstanden?
Das wäre ja vielleicht die günstigere und einfacherere Variante.
CT2 Kabeltester
Anmeldungsdatum: 10.06.2011 Beiträge: 413
Verfasst am: Do Apr 26, 2012 9:07 pm Titel:
Hallo nochmal,
Michael85 hat folgendes geschrieben::
Und W-LAN über mich ging nicht, weil die dann ja das W-LAN Passwort einsehen könnten und anderweitig benutzen könnten. Deswegen haben wir ein Kabel rüber gelegt.
Sorry, aber wo ist der Unterschied zwischen WLAN (WPA-Passphrase anderweitig nutzen?) und der Anbindung via LAN. - Antwort: Keiner, man kann über beide Zugangswege eine "anderweitige" Nutzung praktizieren. (An das LAN-Kabel könnte die Nachbarin ebenfalls einen WLAN-AP anschließen ...). IMHO ist das Verlegen eines LAN-Kabels zur Nachbarin "bereits mit Kanonen auf Spatzen geschossen".
Ich hätte mir hier einen vernünftigen Home-WLAN-Router besorgt (z. B. eine AVM Fritz!Box) dort den integrierten Gast-Zugang aktiviert, und schon kann Sie über ihre eigene SSID mit eigener Passphrase (sic!) nur noch Surfen. Das ist die weitaus beste (und vermutlich auch günstigste) Lösung für Dein Szenario. Denn wenn ich mich selbst vor jemand anderem "Abschotten will", dann binde ich den ganz sicher nicht per LAN an, sondern im Gegenteil besser per WLAN ...
Michael85 hat folgendes geschrieben::
Haftung wegen Missbrauch ist geklärt, dafür haftet meine Nachbarin.
Sorry, aber ich glaube, auch das ist nicht zu Ende gedacht. - Was machst Du denn, wenn Deine Nachabrin sagt, "aber das habe ich doch gar nicht gemacht!". Du bist als Anschlussinhaber erstmal in der Haftung, und musst belegen (in der Regel durch Logfiles), dass die Nachbarin von ihrem Rechner aus zu dem spezifischen Zeitpunkt "dies und das gemacht hat". Eine "Absprache" nützt Dir hier gar nichts, es sei denn, Deine Nachbarin wäre so blöd, und würde jeden Verstoß sofort zugeben ... das wäre umgekehrt dann auch gleich ein Freifahrtschein zum Mißbrauch für Dich!
Michael85 hat folgendes geschrieben::
und dann könnte ich da einstellen, dass Port1 und Port2 komplett voneinander getrennt werden sollen, aber mit Port3(Router) zusammenarbeiten sollen. Wäre dann wirklich gewährleistet, dass die beiden PCs nichts mehr miteinander zu tun haben?
Ja, genau dafür (und nur dafür) ist VLAN auf dem Switch da. Die Trennung erfolgt dann nämlich fast schon physikalisch (eben schon auf Layer 2). - Eine VLAN-Konfiguration macht man aber auch bei 2 Ports nicht mal eben so ... die Lernkurve ist hier sehr steil, und Du brauchst sicherlich ein paar Tage mit Hilfestellung dafür, um das Ganze dann sauber konfiguriert zu bekommen.
Michael85 hat folgendes geschrieben::
Alternativ lese ich aber bei dir heraus, dass auch ein Router ausreichen würde, dessen Firewall LAN zu LAN filtern könnte. Oder habe ich das falsch verstanden?
Ja, ich schrieb aber auch, dass mir nur Router bekannt sind (die das dann können), die dann ab ca. 500,- EUR kosten ... bitte lies Dir doch meinen letzten Beitrag nochmal durch.
Gruß.
Michael85 Strippenzieher
Anmeldungsdatum: 26.04.2012 Beiträge: 10
Verfasst am: Do Apr 26, 2012 9:42 pm Titel:
CT2 hat folgendes geschrieben::
Sorry, aber wo ist der Unterschied zwischen WLAN (WPA-Passphrase anderweitig nutzen?) und der Anbindung via LAN. - Antwort: Keiner, man kann über beide Zugangswege eine "anderweitige" Nutzung praktizieren. (An das LAN-Kabel könnte die Nachbarin ebenfalls einen WLAN-AP anschließen ...).
Das Problem ist ja nicht die Nachbarin, der traue ich zu 100%.
Das Problem sind die Jugendlichen, die da dran gehen. Wenn der PC über W-LAN reingeht, dann können die Jugendlichen sich ja mit wenigen Mausklicks die W-LAN-Passphrase anzeigen lassen und dann auf ihren Smartphones über mich ins Internet gehen. Auch auf der Straße.
Das funktioniert per LAN-Kabel nicht, weil meine Nachbarin ja sehen würde, wenn die da irgendwelche W-LAN Hardware anschließen.
Das mit dem Gast-Zugang und der Fritz!Box hört sich ja eigentlich sehr gut an. Nur nach meinem Verständnis könnte man auch hier ja die Passphrase einfach einsehen und dann anderweitig nutzen. Oder sehe ich das einfach falsch?
Aber ich habe jetzt gelesen, dass man W-LAN ja auch nur für bestimmte MAC-Adressen erlauben kann. Das wäre ja auch eine Möglichkeit. Aber ich habe auch gelesen, dass man sich MAC-Adressen ja einfach fälschen kann. Von daher wäre es wieder sinnlos
CT2 hat folgendes geschrieben::
Ja, ich schrieb aber auch, dass mir nur Router bekannt sind (die das dann können), die dann ab ca. 500,- EUR kosten ... bitte lies Dir doch meinen letzten Beitrag nochmal durch.
Ja, das habe ich schon gelesen
Ich war aber vorhin bei einem Freund und dessen sau alter Router (D-Link 624+) kann das sogar. Und der ist schon bestimmt 8 Jahre alt und hat vielleicht 50 Euro gekostet. Es müsste ja mit dem Teufel zugehen, wenn die neueren Router das nicht mehr könnten. Ansonsten würde ich mir den bei Ebay kaufen.
Sorry, das hätte ich erwähnen können
Stefan Gerlach Schrankhinsteller
Anmeldungsdatum: 04.09.2011 Beiträge: 101
Verfasst am: Do Apr 26, 2012 10:09 pm Titel:
Hallo,
die neuen "Fritzboxen" können auch den Gastzugang über einen LAN Port bereitstellen (meines Wissen LAN4)
Ich denke, somit wäre dein Problem gelöst.
Gruß
Stefan
Michael85 Strippenzieher
Anmeldungsdatum: 26.04.2012 Beiträge: 10
Verfasst am: Do Apr 26, 2012 10:38 pm Titel:
Zumindest wenn Geld keine Rolle spielen würde
Für die Fritzboxen muss man ja gut 100 bis 200 Euro hinblättern. Das ist eigentlich zu happig für mich.
Aber auf jeden Fall vielen Dank für den Vorschlag, vielleicht regnet ja unverhofft Geld vom Himmel
CT2 Kabeltester
Anmeldungsdatum: 10.06.2011 Beiträge: 413
Verfasst am: Do Apr 26, 2012 10:47 pm Titel:
Hallo,
Du hast 2 Probleme zu lösen, und dazu (mehr oder weniger) folgende (sinnvolle) Möglichkeiten:
1. Netzwerk-Trennung
a.) VLAN-Switch, b.) separierte LAN-Ports am Router, c.) Gast-WLAN mit MAC-Filter und regelmäßig wechselnder Passphrase
2. Schutz vor Missbrauch
a.) Zentraler Proxyserver (inkl. Content-Filter, etc.), b.) Router mit der Möglichkeit, Verbindungen nach IP und MAC-Adresse intern (oder auf einen externen Server) zu loggen.
Michael85 hat folgendes geschrieben::
Ich war aber vorhin bei einem Freund und dessen sau alter Router (D-Link 624+) kann das sogar. Und der ist schon bestimmt 8 Jahre alt und hat vielleicht 50 Euro gekostet.
Wie bereits mehrfach erwähnt, ich kenne mich in Bereich der Home-Hardware kaum aus. Das heißt also nicht, das es hier nichts geben könnte ... dennoch wäre ich sehr überrascht, wenn gerade der 8 Jahre alte D-Link-Router DI-624+ die Möglichkeit bietet, die LAN-Ports des integrierten Switch ordentlich separieren oder via Firewall gegeneinander abschotten zu können.
Stefan Gerlach hat folgendes geschrieben::
die neuen "Fritzboxen" können auch den Gastzugang über einen LAN Port bereitstellen (meines Wissen LAN4)
Ich wusste das jetzt nicht, aber dass die Fritz!Boxen so etwas können, wundert mich hingegen gar nicht.
Michael85 hat folgendes geschrieben::
Zumindest wenn Geld keine Rolle spielen würde
Ja, "ehrenamtlich tätig sein" ist kein Zuckerschlecken ...
Wie auch immer Du es drehst und wendest ... ohne erhebliche Zeit- und moderate Geldinvestition bekommst Du Deine Ziele nicht sauber erreicht. Alles dazwischen ist Murks, demnach also keine Lösung, und dann kannst Du es auch gleich bei dem einigermaßen sicheren aktuellen Zustand (keine Freigaben oder sonstige offene Ports und Win XP-Firewall ist aktiv an Deinem Rechner) belassen.
Alle Zeiten sind GMT + 2 Stunden Gehen Sie zu Seite 1, 2Weiter
Seite 1 von 2
Sie können keine Beiträge in dieses Forum schreiben. Sie können auf Beiträge in diesem Forum nicht antworten. Sie können Ihre Beiträge in diesem Forum nicht bearbeiten. Sie können Ihre Beiträge in diesem Forum nicht löschen. Sie können an Umfragen in diesem Forum nicht mitmachen.
FAQ
Suchen
Registrieren
Login
- 
- 