Netzwerk.....

retsam · March 16, 2009 at 1:32 PM

Hallo zusammen,

ich habe da ein kleines planerisches Problem...

Ich wohne in einem Studentenwohnheim, alles Verdrahtet. Also d.h. es greifen alle über ein netzwerk auf das Inet zu... und somit ist jeder PC über das NW ansprechbar. Ich habe mich auf Grund der miserablen Performance des Inet Anschlusses dazu durchgerungen mir eingenes Net legen zu lassen. Da aber eine Komilitonin eingebunden werden soll hatte ich vor über die NW-Verkableung ein anderes Netz einzurichten.

Hausintern sind via DHCP folgende IP Adressen vergeben:
192.168.xx.xxx
und Subnetz
255.255.255.0

Mein Internes Netz sollte nun:

192.168.115.xxx bis 255 sein.
Wobei der Router für das Inet (Fritz Box 7113) die IP 192.168.115.1 hat.

Nun möchte ich nicht das irgendjemand anders auf das Netz zugreifen kann obwohl ich an der Hausverkableung bin. Außer ich trage irgendwie die Mac Addresse ein.

Die andere Seite ist, das Netzwerksniffer im Hausnetzwerk eingesetzt werden.. daraus resultierend wird schneller als mir lieb ist die IP von der Fritz Box bekannt sein. Jemand eine IDee wie ich der Komilitonin den zugangn (WLan geht nicht) ermöglichen kann ohne das jemand anderes über die Leitung geht?

Danke euch

Greetz

retsam

knebb · March 16, 2009 at 2:08 PM

Keine Chance.

Zumindest nicht, solange Dein Router keine weiteren Zugriffsrestriktionen hat und am gleichen Netz haengt.

Das, was Du machen kannst ist das folgende:
Richte Dir einen LinuxRouter mit entsprechender AccessControll Software (meine, da gibt es einiges fuer INet Cafes, WLAN APs etc.) und haenge den in Dein lokales Netz. Dann koennen genehmigte User darueber (nach Authentifizierung) surfen, alle anderen bleiben aussen vor. Und an die zweite Netzkarte haengt Du Deinen Router in einem getrennten (auch physikalisch!) Netz.

Das klappt, ist aber nicht so einfach aufzubauen.

retsam · March 16, 2009 at 2:14 PM

Klasse ..
das ist spitze danke dir

Greetz da Ret..

ronja.schmid · March 16, 2009 at 2:20 PM

such mal nach der software IPCOP müßte genau das können und läuft auf ner s100 mit 4fach lan karte von sun

knebb · March 16, 2009 at 2:25 PM

Quote

Originally posted by ronja.schmid
such mal nach der software IPCOP müßte genau das können und läuft auf ner s100 mit 4fach lan karte von sun

Hmm...IPCOP macht genau das? Ist mir aber neu. Du kannst in der Standardkonfiguration mit MAC Filtern arbeiten etc. Aber Userauthentifizierung? Mit welchem Add-On?
Ansonsten hat Google das hier rausgespuckt:
http://wireless.gumph.org/content/4/7/07…x-based-ap.html

retsam · March 17, 2009 at 7:28 AM

Guten morgen zusammen,

erstmal danke für eure Beratung.
Ich hatte sowieso vor einene Fileserver mit Ubuntu zu installieren, darauf soll dann VDR mit Etobi & Co. Dieser wird zwei NW Karten haben, eine 1GBit und eine 10/100MBit für Hausinterne zwecke. Besteht die Möglichkeit den zugriff darüber zu regeln? Wie ich dem bisherigen Verlauf entnehme schon. Allerdings möchte ich Freigaben auf der NW Karte A haben die nicht auf NW Karte B sind... geht sowas?

Danke euch.

Greetz da Ret

knebb · March 17, 2009 at 8:17 AM

Kurz und knapp: Ja, kein Thema. Allerdings solltest Du nach Moeglichkeit die beiden Karten auch physikalisch trennen. Sonst kann jeder mit nur ein wenig Wissen auch auf die andere Karte zugreifen.

methodus · March 17, 2009 at 8:22 AM

Richte dir doch VLAN ein. Du nutzt dann den ganz normalen Datenkanal der Hausverbindung um ein eigenes Netzwerk aufzubauen. Dadurch entfällt die Zugangssoftware...

knebb · March 17, 2009 at 8:38 AM

Quote

Originally posted by methodus
Richte dir doch VLAN ein. Du nutzt dann den ganz normalen Datenkanal der Hausverbindung um ein eigenes Netzwerk aufzubauen. Dadurch entfällt die Zugangssoftware...

Und wie bitteschoen willst Du mit VLANs verhindern, dass jemand sich in das Netzwerk einklinkt?
Mit VLANs kannst Du Traffic trennen, aber keinerlei Zugang regeln. Wenn im lokalen Netzwerk ein paar gute Leute mit Netzwerksniffern unterwegs sind, haben die auch ganz schnell die VLAN ID raus und mittels modprobe 802.1q ganz schnell ihren eigenen Rechner auf die gleiche VLAN ID gesetzt. Mit VLANs kannst Du nur dann sauber trennen, wenn Du den einzelnen Switchport entsprechend limitierst- also auf port 23 z.B. nur VLAN ID 42 zulaesst. Es hoert sich aber nicht so an, dass er Zugriff auf den Switch hat.

retsam · March 17, 2009 at 12:01 PM

Nein ich habe keinen zugriff auf die hier für das Hausnetzwerk nötigen Switches, das einzige was ich kann ist mein Netz Phyikalisch vom hausnetz trennen und intern mit switch arbeiten.

Greetz

Retsam

mahlzeit · March 17, 2009 at 12:32 PM

Kurz und knapp: openVPN

Bei dir ein "privates" Netz (Server, Workstation, FBox etc.), auf dem Server, der auch am Wohnheimnetz hängt, einen openVPN Server lauschen lassen. Die Kollegin installiert sich den Client (gibt es auch für Windows) und hängt sich so über das Wohnheimnetz in dein privates Netz und kann darüber surfen.

Die Verbindung ist verschlüsselt und nur für diejenigen nutzbar, die den passenden Schlüssel haben.

cu
Markus

knebb · March 17, 2009 at 1:15 PM

Quote

Originally posted by mahlzeit
Kurz und knapp: openVPN

Hmmm...ja....aber dann kommt er um zusaetzliche iptables Filterregeln nicht herum. So ganz trivial das aufzusetzen, so dass es niet-und nagelfest wird, ist das auch nicht.

mahlzeit · March 17, 2009 at 1:36 PM

Quote

Original von knebb

Hmmm...ja....aber dann kommt er um zusaetzliche iptables Filterregeln nicht herum. So ganz trivial das aufzusetzen, so dass es niet-und nagelfest wird, ist das auch nicht.

Nu ja, er hat nen Rechner mit 2 Netzwerkkarten:
--> Karte 1 hängt am Haus-LAN (mit eigenem IP-Bereich, weitestgehend ungenutzt wenn ich das richtig verstanden habe)
--> Karte 2 hängt am Zimmerswitch (auch eigener IP-Bereich)

Die Kommunikation im Zimmernetz geht immer über Karte 2, Karte 1 und Karte 2 haben kein Routing.

An (mind.) Karte 1 gibt es eine Firewall die grad mal SSH (wenn überhaupt nötig) und openVPN durchlässt, Rest geblockt. Das geht ja recht einfach zu definieren. An Karte 1 hängt zusätzlich der OpenVPN Prozess und lauscht eingehend, das VPN bekommt eine Adresse aus dem Bereich von Karte 2 bzw. einen eigenen Bereich der dann entsprechend auf den internen Bereich geroutet wird. D.h. alles was von außen rein möchte und nicht openVPN benutzt, bleibt an der Feuerwand hängen. Ganz ohne großen Konfigurationsaufwand... Die Firewall hätte er bei einem Server in einem Wohnheimnetz ohnehin gebraucht und das I'net geht eh "extern". Falls weitere Kommunikation ins Wohnheimnetz erwünscht ist, müsste man dann entsprechend die Ports in der Feuerwand der Karte 1 öffnen und (je nach Richtung bzw. was gemacht werden soll) über ein Routing zwischen Karte 2 und Karte 1 nachdenken.

Aber so wie ich retsam verstanden habe, möchte er sich (mit Ausnahme der Dame) vom Wohnheimnetz mehr oder weniger komplett abschotten.

cu
Markus

retsam · March 17, 2009 at 1:48 PM

Dazu muss ich aber weiterhin die Physikalische Trennung beachten?! Dann sollte die VPN Verbindung doch auch von der HS aus gehen oder?? =)

Hat sich somit erledigt

Danke ....

Aber ich schätze das bekomm ich hin. Wollte intern sowieso nen 1gBit Switch Nutzen wegen den Daten ^^.

mahlzeit · March 17, 2009 at 1:55 PM

Quote

Original von retsam
Dazu muss ich aber weiterhin die Physikalische Trennung beachten?! Dann sollte die VPN Verbindung doch auch von der HS aus gehen oder?? =)

Du kommst an die Schnittstelle (und damit an openVPN) genau so ran wie wenn die Kiste direkt im Wohnheimnetzwerk steht, denn das tut sie ja auch... Es ist halt die einzige Möglichkeit einer Verbindung dorthin, alles andere ist erst mal gesperrt.

Und ja, wenn schon zwei Netzwerkkarten vorhanden sind, dann kannst Du die Anschlüsse auch gleich trennen.

Participate now!