Heimnetzwerke - WIFI, LAN, Router und Co 16.535 Themen, 81.366 Beiträge

Zwei (logisch) getrennte Netze an einem Router erstellen

sprotte123 / 20 Antworten / Baumansicht Nickles

Hallo die Gemeinde,

habe als Anfänger mal eine simple Konfigurationsaufgabe, die jeder von Euch Spezialisten sicher aus dem Handgelenk heraus beantworten kann - hmmm, ich natürlich nicht, daher ja diese An­frage...! Weinend

Ich habe mehrere Win10-Pro-Rechner im Einsatz, dazu eine (alte 2170 = ohne "Gastzugangs"möglichkeit) Fritzbox als Router ins (Telekom)Netz und zwei (dumme) GBitSwitche (siehe Bild): Ich möchte nun erreichen, dass ich damit zwei (Arbeitsplatz)Netze aufbauen kann, die sich gegenseitig NICHT "sehen" können und auch in ge­trennten Adress­­be­reichen mit fest vergebenen IP-Nummern liegen.

Der Rechner "A" fungiert dabei als "Server" im Netz "P1" mit den Maschinen "B1" bis "B5", der Adressbereich soll 192.168.178.10 bis 192.168.178.60 sein, alle Maschinen sind am Switch 1, der am Router hängt.

Der Rechner "Z" fungiert dabei als "Server" im Netz "P2" mit den Maschinen "X1" bis "X5", der Adressbereich MUSS (zwingend durch Anwenderprogramm vorgegeben!) 192.171.79.100 bis 192.171.79.160 sein, alle Maschinen hängen am Switch 2, der wiederum am Switch 1 hängt.

Beide Netze sollen aber über den Router (=Fritzbox) 192.168.178.1 ins Internet gehen können!

Sooo, was muss ich denn nun jeweils bei den Rechnern unter "NETZWERK- und FREI­GABE­CENTER" -> "ADAPTEREINSTELLUNGEN ÄNDERN" -> "EIGENSCHAFTEN" -> "INTERNETPRO­TO­KOLL TCP/IP4" -> "EIGENSCHAFTEN" einstellen, also "IP-ADRESSE" (z.B. 192.168.178.100), "SUBNETZMASKE" (Standard 255.255.255.0, oder?), "STANDARDGATEWAY" (hier dann den Router 192.168.178.1, oder?) und bei "DNS-SERVERADRESSEN" einstellen?!? Muss ich unter "ERWEITERT" noch bei den Reitern "IP-EINSTELLUNGEN", "DNS" und/oder "WINS" etwas ändern/ er­­gänzen?!? Und muss/soll ich auch unter "SYSTEM" zwei verschiedene Namen für die "ARBEITS­GRUPPE" vergeben? Oder wäre es generell besser (ändert es was?), wenn ich Switch 2 lieber direkt an die Fritzbox hänge und nicht über Switch 1? Unentschlossen

Ihr seht, ich bin da erstmal völlig unbedarft und würde mich daher SEHR über Eure kompetente Mit­hilfe freuen, wenn's geht so, dass auch ich als DAU es nachvollziehen kann... Unschuldig

Und sollte es dazu interessante WWW-Artikel oder (gedruckte) Grundlagenbücher geben - immer her damit, denn ich möchte mich ja weiter entwickeln!!!

Erstmal danke für Eure Hilfe + ein schönes Wo'ende wünscht

sprotte123

bei Antwort benachrichtigen
Borlander sprotte123 „Zwei (logisch) getrennte Netze an einem Router erstellen“
Optionen

Eine saubere Trennung wirst Du ohne zusätzliche Hardware nicht hinbekommen.

Ich würde hier auch dringenst zu einer neuen FritzBox raten, da die vorhandene schon seit fast 10 Jahren nicht mehr supported wird.

Was ist denn eigentlich die genaue Motivation hinter Deinem Vorhaben? Welche Garantien bei der Trennung willst/musst Du damit sicherstellen?

Und sollte es dazu interessante WWW-Artikel oder (gedruckte) Grundlagenbücher geben - immer her damit, denn ich möchte mich ja weiter entwickeln!!!

Von der c't gab es immer mal wieder umfangreiche Bereichte darüber wie man verschiedene Netze durch NAT-Router sauber und relativ einfach trennen kann.

Oder wäre es generell besser (ändert es was?), wenn ich Switch 2 lieber direkt an die Fritzbox hänge und nicht über Switch 1?

Kommt auf die Datenflüsse an. Aktuell hättest Du ggf. einen Engpass zwischen Switch 1 und Router. Ist aber wahrscheinlich vernachlässigbar, weil der Internetzugang noch langsamer ist als die Teilstrecke.

bei Antwort benachrichtigen
sprotte123 Borlander „Eine saubere Trennung wirst Du ohne zusätzliche Hardware nicht hinbekommen. Ich würde hier auch dringenst zu einer neuen ...“
Optionen

Hallo Borlander,

zunächst danke für Deine sehr fixe Antwort - wie hieß es früher im TV "das war Spitze!" Lächelnd

Die Motivation hinter der Trennung ist ganz simpel: alle Nutzer von Netz "P1" haben nix im Netz von "P2" zu suchen (und sollen es noch nicht einmal sehen können "...wehret den Anfängen...") - und natürlich ebenso umgekehrt! Ein Routertausch wäre sicherlich machbar, auch wenn das Gejammer "ist doch noch nagelneu und läuft" sicher losbricht, das wäre aber verkraftbar, da bei der Gelegenheit auch gleich eine Hochrüstung von jetzt 6.000 auf 16.000 oder gleich 50.000 Übertragungsgeschwindigkeit anzustreben wäre...!

Wenn Du schreibst "...ohne zusätzliche Hardware..." - was würde das denn genau bedeuten?!?

Nochmals danke für Dein Engagement - es ist ja schließlich Wo'ende... Verschlossen

Gruß Sprotte123

bei Antwort benachrichtigen
Alpha13 sprotte123 „Hallo Borlander, zunächst danke für Deine sehr fixe Antwort - wie hieß es früher im TV das war Spitze! Die Motivation ...“
Optionen

Ein "normaler" Router kann nur jenau ein Netz routen und bei nicht Profi Hardware brauchst du da statt der Switches natürlich mindestens einen Router und eher jenau 2!

Allgemein trennt da fast niemand die Netze zuhause und als Anfänger schon 3x nicht!

bei Antwort benachrichtigen
Alpha13 Nachtrag zu: „Ein normaler Router kann nur jenau ein Netz routen und bei nicht Profi Hardware brauchst du da statt der Switches ...“
Optionen

Und Switches routen natürlich definitiv keine Netze und laufen nur in jenau einem Netzwerk...

https://www.schnatterente.net/technik/routing-und-switching

bei Antwort benachrichtigen
Alpha13 Nachtrag zu: „Ein normaler Router kann nur jenau ein Netz routen und bei nicht Profi Hardware brauchst du da statt der Switches ...“
Optionen

Nur Managed Switches oder gleich VLAN sind da Alternativen!

http://www.admin-magazin.de/Das-Heft/2012/03/VLAN-Grundlagen-virtueller-LANs

bei Antwort benachrichtigen
sprotte123 Alpha13 „Nur Managed Switches oder gleich VLAN sind da Alternativen! ...“
Optionen

Hallo alpha13 und alle bisherigen anderen Helfer, ich glaube, ich habe es jetzt "gerafft" und werde mich dann mal auf Switches mit VLAN-Fähigkeit stürzen, denn das, was ich bisher (auch bei den diversen Herstellern) gelesen habe, scheint ja für relativ kleines Geld genau das zu ermöglichen, was ich wünsche...! Lachend

Nochmals Euch allen ein fettes DANKESCHÖN und über Nickles kann man wieder einmal mehr sagen "Da werden sie geholfen..." Cool - oder so ähnlich!

bei Antwort benachrichtigen
Borlander sprotte123 „Hallo alpha13 und alle bisherigen anderen Helfer, ich glaube, ich habe es jetzt gerafft und werde mich dann mal auf ...“
Optionen
werde mich dann mal auf Switches mit VLAN-Fähigkeit stürzen, denn das, was ich bisher (auch bei den diversen Herstellern) gelesen habe, scheint ja für relativ kleines Geld genau das zu ermöglichen, was ich wünsche...!

Ein Switch mit VLAN-Funktionalität nützt Dir hier alleine überhaupt gar nichts!

Lies den Link von Alpha13 noch mal genau:

"Teurere Managed Switches (sogenannte Layer-3-Switche) haben eine solche Routing-Funktionalität direkt eingebaut." [http://www.admin-magazin.de/Das-Heft/2012/03/VLAN-Grundlagen-virtueller-LANs]

Also eher nichts für "kleines Geld". Das sind dann Switches mit eingebautem Router, siehe auch https://de.wikipedia.org/wiki/Layer-3-Switch

Am günstigsten kämst Du da wahrscheinlich noch mit Hardware von MikroTik weg. Soweit ich das sehe wirst Du dafür unter 200 EUR fündig, habe nun aber nicht nachgeforscht ob die Routingfunktionen dieser Geräte alles abbilden würden. [Edit: Nach schreiben der nachfolgenden Absätze bin ich mir da nicht mehr so sicher!] Um die Konfiguration und das dafür erforderliche Wissen kommst Du aber nicht herum.

Bedenke auch, dass Routing normalerweise in beide Richtungen erfolgt. NAT-Routing (das ist das was DSL-Router machen) ist ein Spezialfall, der als Nebeneffekt nur einen Kommunikationsaufbau aus einer Richtung erlaubt und somit in gewissem Sinne das innere Netz nach außen abschirmt.

Weiterhin müsstest Du auch deinen vorhandenen DSL-Router mit erforderlichen Gateways bekannt machen. Das kann nicht jeder Router und führt am Ende wieder dazu, dass eine Kommunikation zwischen den beiden Netzwerken erfolgen kann. Protokolle die auf Broadcasts angewiesen sind werden allerdings unterbrochen zwischen den Netzen.

Für eine Trennung bräuchte es dann noch eine Funktion zum Filtern des Traffics.

Insgesamt mag es da schönere Lösungen geben als ein Doppel-NAT. Aber ganz trivial sind die nicht in der Umsetzung.

bei Antwort benachrichtigen
sprotte123 Borlander „Ein Switch mit VLAN-Funktionalität nützt Dir hier alleine überhaupt gar nichts! Lies den Link von Alpha13 noch mal ...“
Optionen

Hi Borlander,

auch Dir nochmals herzlichen Dank für Dein Engagement!

Wie ich VLAN verstanden habe, sollte es doch funktionieren, dass ich dem einen Netz im (einzigen großen) Switch z.B. die Ports 1-5 (VLAN1) zuordne, dem anderen Netz die Ports 6-10 (VLAN2).

Wenn ich jetzt den Router (= die alte Fritzbox) an den Port 11 hänge und diesen sowohl dem VLAN1 als auch dem VLAN2 zuordne, sollten die Netze "getrennt" bleiben, während die (Internet-)Verteilung durch den Router sowohl ins VLAN1 als auch ins VLAN2 (der darf ja auf beiden LANS arbeiten) weiterhin möglich ist.

Ich habe mir jetzt einen günstigen Web-managbaren 5-er Switch (Netgear GS105E-200PES) bestellt und werde das so einfach mal im kleinen Umfang austesten, denn "Versuch macht kluch" - oder so ähnlich! Lachend

Und hoffe auf gutes Gelingen, über das ich dann auch gerne noch Rückmeldung gebe!

bei Antwort benachrichtigen
Alpha13 sprotte123 „Hi Borlander, auch Dir nochmals herzlichen Dank für Dein Engagement! Wie ich VLAN verstanden habe, sollte es doch ...“
Optionen

So wie du das vor hast läufts definitiv nicht:

http://www.darmstadt-pc.de/netzwerk/vlan-mit-dem-gs105e-von-netgear-installieren/

Am GS105E läuft das definitiv nur mit genau 4 PCs!

Man kann da aber auch anstatt eines oder zwei PCs nen stinknormalen Switch anschließen und an den dann die PCs!

Oder man kauft nen VLAN Switch mit mehr Ports oder halt 2 GS105E.

Und bei 2 GS105E muß natürlich jeder mit dem Router verbunden werden!

bei Antwort benachrichtigen
sprotte123 Alpha13 „So wie du das vor hast läufts definitiv nicht: ...“
Optionen

Hallo Alpha13:

oh oh oh, ich glaube, ich habe mich falsch ausgedrückt Weinend, der GS105E dient mir nur zum rumprobieren, selbstverständlich ist für den Endeinsatz ein GS116E-200PES angedacht!

Trotzdem nochmals vielen Dank für Deine Aufmerksamkeit, ist ja nicht von der Hand zu weisen, dass DAUs/Anfänger wie ich auch ebensolche Fehler machen...Zwinkernd

Schöne Restwoche wünscht Sprotte123

bei Antwort benachrichtigen
Alpha13 sprotte123 „Hallo Alpha13: oh oh oh, ich glaube, ich habe mich falsch ausgedrückt , der GS105E dient mir nur zum rumprobieren, ...“
Optionen
bei Antwort benachrichtigen
sprotte123 Alpha13 „So wie du das vor hast läufts definitiv nicht: ...“
Optionen

Moin Borlander und auch Alpha13: habe jetzt leider etwas länger gebraucht, um eine mustermässige Testumgebung zu installieren + checken... Stirnrunzelnd

Also: habe probeweise einen GS105E gekauft und meine Musteridee verwirklicht - an Port1 eine (neue) Fritzbox7490 geklemmt, an den Port 2+3 jeweils einen PC, ebenso an Port 4+5. VLAN1 (192.168.178.10 und .20) eingerichtet für Port 2+3, VLAN2 (192.168.179.10 und .20) eingerichtet für Port4+5, zusätzlich über die Switchoberfläche des Netgear GS105E die Fritzbox in VLAN1 und VLAN2 "eingebucht" .

Das Ergebnis von jetzt 10 Tagen Betrieb ist eindeutig:

1.) die beiden VLANs können sich untereinander "nicht sehen", damit habe ich meine gewünschte strikte Trennung erreicht! Lächelnd

2.) Die Teilnehmer beider VLANs können jeweils in gewohnter Weise völlig problemlos mit dem Internet rein und raus kommunizieren! Lächelnd

3.) Alle Teilnehmer der beiden VLANs sind ebenso völlig problemlos zur Fernwartung über meinen Teamviewer erreichbar! Lächelnd

Summa-summarum habe ich jetzt mit wenig Aufwand genau das erreicht, was ich mir so vorgestellt hatte, bisher sind im gesamten Testzeitraum keinerlei Merkwürdigkeiten/Fehler aufgetaucht, so dass ich mir nicht vorstellen kann, dass jetzt noch irgendein "grober" Schnitzer passieren wird!

Euch beiden trotzdem nochmals recht herzlichen Dank, ich habe von Euch zusätzliche wertvolle Ideen/Hinweise bekommen, wer weiß, wofür's nochmals gut sein wird!

bei Antwort benachrichtigen
Borlander sprotte123 „Hi Borlander, auch Dir nochmals herzlichen Dank für Dein Engagement! Wie ich VLAN verstanden habe, sollte es doch ...“
Optionen
Wenn ich jetzt den Router (= die alte Fritzbox) an den Port 11 hänge und diesen sowohl dem VLAN1 als auch dem VLAN2 zuordne, sollten die Netze "getrennt" bleiben, während die (Internet-)Verteilung durch den Router sowohl ins VLAN1 als auch ins VLAN2 (der darf ja auf beiden LANS arbeiten) weiterhin möglich ist.

Dafür müsste der Router aber auch VLAN-Support mitbringen.

Du kannst zwar Geräte ohne VLAN-Support an einem VLAN-Switch betreiben, aber dann muss der VLAN-Tag vom Switch gesetzt werden. Das funktioniert aber nur mit genau einer eindeutigen VLAN-ID auf dem Port. Der Switch kann schließlich nicht entscheiden für welches VLAN ein Paket vorgesehen ist.

Fazit: Das funktioniert so nicht.

bei Antwort benachrichtigen
sprotte123 Borlander „Dafür müsste der Router aber auch VLAN-Support mitbringen. Du kannst zwar Geräte ohne VLAN-Support an einem VLAN-Switch ...“
Optionen

Moin Borlander und auch Alpha13: habe jetzt leider etwas länger gebraucht, um eine mustermässige Testumgebung zu installieren + checken... Stirnrunzelnd

Also: habe probeweise einen GS105E gekauft und meine Musteridee verwirklicht - an Port1 eine (neue) Fritzbox7490 geklemmt, an den Port 2+3 jeweils einen PC, ebenso an Port 4+5. VLAN1 (192.168.178.10 und .20) eingerichtet für Port 2+3, VLAN2 (192.168.179.10 und .20) eingerichtet für Port4+5, zusätzlich über die Switchoberfläche des Netgear GS105E die Fritzbox in VLAN1 und VLAN2 "eingebucht" .

Das Ergebnis von jetzt 10 Tagen Betrieb ist eindeutig:

1.) die beiden VLANs können sich untereinander "nicht sehen", damit habe ich meine gewünschte strikte Trennung erreicht! Lächelnd

2.) Die Teilnehmer beider VLANs können jeweils in gewohnter Weise völlig problemlos mit dem Internet rein und raus kommunizieren! Lächelnd

3.) Alle Teilnehmer der beiden VLANs sind ebenso völlig problemlos zur Fernwartung über meinen Teamviewer erreichbar! Lächelnd

Summa-summarum habe ich jetzt mit wenig Aufwand genau das erreicht, was ich mir so vorgestellt hatte, bisher sind im gesamten Testzeitraum keinerlei Merkwürdigkeiten/Fehler aufgetaucht, so dass ich mir nicht vorstellen kann, dass jetzt noch irgendein "grober" Schnitzer passieren wird!

Euch beiden trotzdem nochmals recht herzlichen Dank, ich habe von Euch zusätzliche wertvolle Ideen/Hinweise bekommen, wer weiß, wofür's nochmals gut sein wird!

bei Antwort benachrichtigen
Borlander sprotte123 „Hallo Borlander, zunächst danke für Deine sehr fixe Antwort - wie hieß es früher im TV das war Spitze! Die Motivation ...“
Optionen
"ist doch noch nagelneu und läuft" sicher

Das Ding ist 10 Jahre alt und es gibt schon fast genau so lange keine Sicherheitsupdate mehr.

bei Antwort benachrichtigen
mi~we sprotte123 „Zwei (logisch) getrennte Netze an einem Router erstellen“
Optionen
Und sollte es dazu interessante WWW-Artikel
immer her damit

OK, dann hier mal ein Artikel, wo erklärt wird, wie man das von dir gewünschte erreichen kann:

https://www.heise.de/ct/artikel/Router-Kaskaden-1825801.html

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
sprotte123 mi~we „OK, dann hier mal ein Artikel, wo erklärt wird, wie man das von dir gewünschte erreichen kann: ...“
Optionen

Hi mi~we, auch Dir zunächst danke für die "Sonntagsarbeit"... Lachend

ABER: wie auch schon in den Kommentaren zu dem Artikel zu lesen, scheint diese Art bei den anderen Spezialisten ***NICHT*** gut anzukommen! Das kann ich natürlich mangels Praxis nur schlecht beurteilen, stehe dem aber insgesamt skeptisch gegenüber nach den vielen Kommentaren!?!

Gibt's denn sonst wirklich keinerlei andere Methoden (ok, angesprochen werden auch VLAN-Router), die preis- und vor allen Dingen "DAU"-günstig zu verwirklichen sind, denn ich kann mir nur schlecht vorstellen, dass ich der einzige Depp bin, der eine solche Problematik hat?!?


bei Antwort benachrichtigen
st.lu sprotte123 „Hi mi we, auch Dir zunächst danke für die Sonntagsarbeit ... ABER: wie auch schon in den Kommentaren zu dem Artikel zu ...“
Optionen

Hallo.

Auf die Schnelle sag ich mal:

Du musst die beiden Switche durch zwei Router ersetzen, nach dem Artikel der Router-Kaskade (siehe mi~we Post) verfahren (du schliesst allerdings dann 2 und nicht einen Router, wie im Artikel, hinter dem Gateway-Router an).

Dann zwei unterschiedliche Adressbereiche genommen, die auch nicht dem Gateway-Router entsprechen, und dann sollte es klappen.

Ich gehe im übrigen davon aus, das der Gateway-Router, als auch die beiden anderen Router integrierte Swiche haben.

MfG

bei Antwort benachrichtigen
mi~we sprotte123 „Hi mi we, auch Dir zunächst danke für die Sonntagsarbeit ... ABER: wie auch schon in den Kommentaren zu dem Artikel zu ...“
Optionen

In die Kommentare hab ich jetzt gar nicht reingeschaut.Verlegen Was in dem c't-Artikel beschrieben wird, ist ne Art "Butterbrotlösung" die sich mit 0815-Hardware realisieren lässt. Natürlich geht sowas dann auch anders und besser und schöner. Für z.B. VLAN braucht man dann aber auch entsprechende Hardware, die so was unterstützt, was bei den üblichen Butterbrotgeräten dann eher nicht der Fall ist.

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
Borlander sprotte123 „Hi mi we, auch Dir zunächst danke für die Sonntagsarbeit ... ABER: wie auch schon in den Kommentaren zu dem Artikel zu ...“
Optionen
die preis- und vor allen Dingen "DAU"-günstig zu verwirklichen sind

Daran scheitert es für gewöhnlich.

bei Antwort benachrichtigen