DS718+ Netzwerkschnittstellen sauber trennen

[dkleber89]

Hallo Zusammen,

ich habe eine DS718+ die zwei LAN Schnittstellen besitzt. Jetzt ist es für meine Anwendung so das ich an jeder Schnittstelle ein Netzwerk hängen habe:

SOLL:
LAN 1 -> Netzwerk 1 (10.0.0.0/24) -> mit Fritzbox als Modem und Standardgateway und weiters ist die NAS lokaler DNS und DHCP für dieses Netzwerk
LAN 2 -> Netzwerk 2 (192.168.0.0/24) -> Netzwerk mit statischen Netzwerkteilnehmern komplett gekapselt kein Internet und von Netzwerk 1 kein Zugriff auf Netzwerk 2
Ausgenommen die NAS hat Zugriff auf beide Netzwerke.

IST:
Soweit eingerichtet -> Keine Statischen Routen in der NAS angelegt DNS "kennt" auch keine IP Adressen von Netzwerk 2

PROBLEM:
Teilnehmer in Netzwerk 2 haben Internetzugang??
Und wenn ich jetzt im Modem von Netzwerk 1 eine Statische Route auf Netzwerk 2 über NAS als Gateway angebe habe ich auch Zugriff auf Netzwerk 2 von Netzwerk 1 aus. (Ja schon klar ich kann die Route im Modem weglassen aber es geht darum das das möglich ist -> Thema Sicherheit)

LÖSUNG:
Kann ich irgendwie die zwei Netzwerkkarten komplett trennen?
Optimal wäre noch wenn ich die Verbindung für Wartungszwecke einfach ein bzw. ausschalten kann.

Ach ja bevor jemand frägt -> SuFu hat mir leider nicht weitergeholfen.

Danke,
dkleber89

 

[vater]

Ich kann gerade nur kurz antworten. Aber verzichte darauf den Geräten in Netzwerk 2 ein default Gateway einzutragen. Schon können sie ihr Subnetz nicht verlassen - die DS bleibt erreichbar, da mit einem Bein im Selben Subnetz.
Nicht sehr elegant, wirkt aber sofort und du hast Zeit eine elegante Lösung zu finden.

 

[Tommi2day]

Firewall auf der Syno mit entsprechenden Verbots-Regeln aktivieren und ggfls getrennte VLANs einrichten

 

[NSFH]

Hier hat parallel jemand die gleiche Frage gestellt: http://www.synology-forum.de/showth...Ausg-einer-ausschließlich-Internet-verwendbar
Meine Antwort kopiere ich daher hier nicht rein.
Nur als Ergänzung dazu: Beide Ports im gleichen Subnet betreiben und nur per Fw Regeln die erfoderlichen Dienste und Range zuteilen.

 

[dkleber89]

Danke schon mal für den Input.

Das mit dem fehlenden Gateway geht natürlich aber ist wie eh schon erwähnt nicht unbedingt schön. Das lass ich mal lieber.
Die saubere VLAN config ist zwar meiner Meinung nach die schönste und zudem würde ich mir eine separate Verkabelung sparen. Aber ich brauche dafür auch die entsprechende Hardware was ich erst mal vermeiden möchte.

Bleibt unterm Strich noch die Firewall übrig obwohl das für mich einiges Arbeit bedeutet und nicht zu 100% optimal ist aber das werde ich wahrscheinlich machen.


Ich bin aber jemand der gerne weis was er tut und vor allem warum. Deshalb wäre es nett wenn mir jemand erklären kann wieso hier überhaupt eine Verbindung besteht. Sind da auf Linux Ebene Default Routen gesetzt?

Denn wenn ich einen PC mit 2 Netzwerkkarten an 2 verschiedene Netzwerke anschließe habe ich die beiden Lan´s doch auch nicht verbunden.

 

[Tommi2day]

Wenn die Synology DHCP Server für Netzwerk2 ist, wird sie sich auch als Default Gateway anpreisen. D.H. alle Clients aus Netzwerk2 schicken ihre Pakete außerhalb des eigenen Netzes an die Synology. Diese hat selber auch ein Default Gateway, die Fritzbox. Wenn man jetzt Routing auf der SYno nicht strikt verbietet, wird sie die Pakete aus Netzwerk2 auch an die Fritzbox weiterleiten. Wenn die Fritzbox jetzt auch noch die Rückroute auf Netzwerk2 über die Syno kennt (sonst würden die Pakete aus Netzwerk1 nicht nach Netzwerk kommen), können die sich Geräte aus Netzwerk2 wunderbar mit dem Internet unterhalten. Deshalb der Vorschlage, in der Synology Firewall alle neue Verbindungen aus Netzwerk2 nach nicht-eigenes-Netz zu verbieten.

 

[dkleber89]

Ich kann die Ports auf LAN 2 schon alle schließen bis auf die, die nötig sind um auf die NAS zuzugreifen und mit diesen Ports komme ich ins andere Netz.

Es gibt anscheinend eine Lösung aber nicht unbedingt eine schöne. Vielleicht muss ich mir doch noch die VLAN Variante anschauen. Wobei ich auch dort ein Testaufbau machen werde denn nicht das mir die NAS mit dieser Verbindung bis zuletzt noch die VLAN miteinander Verbindet.

Ansonsten abschied nehmen von dieser LowCost Lösung und mit einen vernünfigen Router arbeiten den man dementsprechend einstellen kann.

Danke für eure Hilfe.

 

[NSFH]

Eine sehr schöne Lösung sind die Geräte von Ubiquiti. Deren Router spielt super mit dem zugehörigen Switch zusammen und die Accesspoints sind auch genial. Wenn also von der Fritzbox weg bietet U. eine tolle relativ preisgünstige Lösung, die meine erste Wahl wäre.
Dazu gibt's übrigens inzwischen ein Video von IDOMIX.
Deine Lösung würde dann so aussehen, dass die DS an Port 1, dein LAN mit anderer IP Range am Port 2 des Routers und am Port 3 das WAN anliegt. Zwischen Port 1+2 verhinderst du mit der integrierten Fw die Verbindung. In der DS die Firewall entsprechend anpassen, dass nach Port1 des Routers nur die Protokolle und Ports laufen, die für den Webzugriff von Aussen nötig sind.
Port 2 der DS entsprechend für LAN Erfordernisse und alles nur aus der IP Range des LAN erlauben.
Damit hast du für die DS eine kaskadierte Fw bei Zugriff von Aussen und Web-Ports aus dem LAN gehen nur mit der internen IP-Range.
Ich glaube mehr kann man als Homeanwendung nicht erreichen.

 

[dkleber89]

Danke für die Info,

ja den Kanal von iDomix kenne ich. Das bin ich mir tatsächlich am überlegen da ich ja sowieso noch die ganze WLAN Geschichte brauche.

Mal schauen was ich noch ausprobiere bzw. mir überlege. Ich brauche die Lösung erst im Jänner aber dann soll es gleich passen.