Ein Modem, zwei Router?

[SoniX]

Hallo,

Ich stehe hier vor einem kleinen Problem.

Es gibt hier einen Netzzugang mit einem Modem.
Dahinter sollte nun ein Firmennetzwerk und ein privates Netzwerk aufgespannt werden.
Beide Netzwerke sollten komplett voneinander getrennt bleiben.

In der Vergangenheit gab es hier einen Businesstarif mit mehreren IP Adressen.
Das ist aber heute nichtmehr möglich (Adressmangel?).

Die beste Lösung welche mir da einfallen würde wäre ein Router und dahinter noch zwei Router.
Also ein NAT hinter dem NAT. Unschön, fehleranfällig.

Das Büronetzwerk stellt keine Dienste nach außen zur Verfügung. Da gehts nur um den Internetzugang.
Das Privatnetzwerk hat so einige Dienste am laufen und braucht dementsprechend offene Ports, DynDNS, etc.

Gibt es hier eine andere, bessere Lösung als Router hinter Router?

Kann man bei NAT hinter NAT dem ersten Router sagen "Öffne alle Ports und leite sie zur Router X weiter"?

Wie stehts mit DMZ?

 

[Jagnix]

Moin

Kauf dir einen anständigen Router mit dem du mehrere Netze aufspannen kannst. Adhoc fällt mir da Lancom ein.

 

[SoniX]

Auf welches Feature muss ich dabei achten? VLAN? Kann das ein Synology Router auch?

Der private Router (meiner) sollte der Synology bleiben.
Da laufen soviele Sachen drüber und er funktioniert sowas von hervorragend, den gebe ich nichtmehr her.

Hatte in der Vergangenheit schon soviele Router und gegen den Synology stinken die alle ab.
Von billigsten Linksys/Dlink/Netgear bis hin zu besseren Geräten wie Zyxel USG etc.
Selbst im höherpreisigen Segment quasi nie Updates, Konfiguration zum Finger brechen und den Preis schlicht nicht wert.

 

[JudgeDredd]

Hi,

Die beste Lösung welche mir da einfallen würde wäre ein Router und dahinter noch zwei Router.
Also ein NAT hinter dem NAT. Unschön, fehleranfällig.

Wenn Du diese Erkenntnis schon hast, dann nimm Dir die Antwort:

Kauf dir einen anständigen Router mit dem du mehrere Netze aufspannen kannst. Adhoc fällt mir da Lancom ein.

zu herzen.

Auf welches Feature muss ich dabei achten? VLAN? Kann das ein Synology Router auch?

VLAN ist in der Tat, das Mittel um so etwas professionell zu lösen

Den Synology Router kenne ich nicht, aber wenn das auch eine Rundum-Glücklich-Plastikbox aus dem Konsumerbereich ist, vermutlich NEIN.

Im Business Umfeld ist so eine Kiste sowieso ein absolutes NoGo.
Da wir Deine Netzwerkinfrastruktur nicht kennen, solltest Du berücksichtigen, das auch möglicherweise die Neuanschaffung von L2-Switches ansteht.

Hatte in der Vergangenheit schon soviele Router und gegen den Synology stinken die alle ab.
Von billigsten Linksys/Dlink/Netgear bis hin zu besseren Geräten wie Zyxel USG etc.
Selbst im höherpreisigen Segment quasi nie Updates, Konfiguration zum Finger brechen und den Preis schlicht nicht wert.

Im Business Umfeld wirst Du immer auf ähnliche Konfigurationen treffen.
Wenn die nötigen Netzwerkgrundlagen vorhanden sind, dann erscheinen auch die "zum Finger brechenden" Einstellungen eher logisch.

Wenn ich mir die Kosten für eine Fritte anschaue und bei ca. 160 EUR lande, dann bekommst schon für wesentlich weniger was VLAN taugliches
(z.B. Mikrotik mit OpenWRT) oder für ein paar Euronen mehr, evtl. ein eigenes Blech mit pfSense drauf.

Gruß,
JudgeDredd

 

[SoniX]

Das Thema pfsense reizt mich eh schon länger.

Die Struktur ist folgend:
Gebäude A, Netzzugang, Modem, kleine Firma, ca 8 Geräte, nur surfen, Email, etc.
Von dort liegt ein Kabel zu Gebäude B. In B soll ein getrenntes Netzwerk stehen mit ner Menge an Diensten nach Aussen.

L2 Switches sind eigentlich nicht notwendig, da jedes Netzwerk über eigene Switches verfügt.

Es könnte also auch eine Nummer kleiner als VLAN sein.
Subnetting ist mir allerdings doch wieder zu klein da ja theoretisch die Möglichkeit bestände dass jemand mit den Einstellungen rumspielt und so von Netz A nach B kommt.

Das ist auch ein Hindernis bei VLAN. Wenn da jemand Kabel rumsteckt ist er von der Firma A im privaten Netzwerk B.

Gits sowas wie Dual-Wan nicht auch als Dual-Lan?

Oder komme ich mit einer strikten Abschottung von B wo auch ein möglicher physischer Zugriff bei A (wo der Router steht) besteht nicht um einen zweiten Router herum?

 

[Arni]

Voriges Jahr habe ich auf Wunsch eine ähnliche Konstellation bei einer kleinen Firma komplett mit Unifi Komponenten von Ubiquiti realisiert. Ja, ich weiß, an vielen Stellen im INet wird das ziemlich "gehypt", aber die Konfiguration der Switche, AP usw. über mehrere VLANS und Gastnetzte ist tatsächlich ruckzuck erledigt gewesen.
Das hat mir so gut gefallen, daß ich das für meine heimisches Netzwerk, natürlich in kleiner Ausbaustufe, auch umgesetzt habe.

Wenn da jemand Kabel rumsteckt ist er von der Firma A im privaten Netzwerk B.

Wer außer den Administratoren sollte denn da an den Switchen fummelt? Die Infrastruktur, selbst bei kleinen Ausbaustufen, sollte immer in gesicherten Umgebungen untergebracht sein. Da gibt es schon kleine abschließbare Schränke genau für diese Fälle. Wenn du es sowieso komplett neu aufbaust, müßte das Geld dafür auch da sein.

 

[NSFH]

Kann da nur Draytek Router und Access Points empfehlen.
Mehrere getrennte IP Netzwerke und bis zu 4 verschiedene WLANs lassen sich damit aufspannen.
Da damit VPN super schnell ist und die Firewall dazu noch detailliert einstellbar ist habe ich Ubiqiti ad acta gelegt und nutze nun in mehreren Installationen Drayteks.
Ubiqiti habe ich gerade hier bei mir am laufen. Grundsätzlich ist die Bedienung davon nicht schlecht, allerdings die Software dazu finde ich einfach nur ätzend, braucht man aber um die volle Funktionalität zu erreichen. Für sich alleine sind die Geräte doof. Von daher sollte man entweder alles mit Ubiqiti machen oder gar nichts.

 

[Arni]

So unterschiedlich sind die Geschmäcker, finde die Oberfläche eigentlich recht gelungen.
Vor allem mit den letzten beiden Updates der Controllersoftware ist vieles übersichtlicher geworden. Die Firewall läßt sich bei Ubiquiti übrigens auch sehr detailliert einstellen. Du hast Recht, daß war etwas kniffelig, ist aber wie gesagt jetzt viel besser geworden.

Edit:
Möchte aber an dieser Stelle KEINE Diskussion über Ubiquiti Pros/Cons lostreten! Das können wir gerne in einem separaten Thread machen, führt IMHO in diesem Thread am Ziel vorbei

 

[JudgeDredd]

Das ist auch ein Hindernis bei VLAN. Wenn da jemand Kabel rumsteckt ist er von der Firma A im privaten Netzwerk B.

Das ist kein Problem von VLAN, das Problem hast Du ohne VLAN doch auch.
Entweder physisch sichern oder eben mittels 802.1x und Zertifikaten.

Gits sowas wie Dual-Wan nicht auch als Dual-Lan?

Was soll denn Dual-Lan sein ?
Das ist ja eine Frage des DHCP der auf dem Router rennt. Natürlich kannst Du dann jedem Port ein eigenes Netz geben und ggf. dazwischen auch routen.

 

[SAMU]

Weil oben die Frage war: Der Synology router (zumindest der 1900) kann kein VLAN

Ansonsten kann ich noch von mir Zuhause erzählen, da ist es so ähnlich, nur halt alles privat:

Router meines Vermieters (FritzBox7490) dient als Netzzugang, DHCP etc für alle Geräte der insgesamt vier Wohnungen.
Ich habe jedoch meinen Router an den LAN der FritzBox angeschlossen, dort ein eigenes Netzwerk aufgemacht (LAN+WLAN) und in der FritzBox meinen Router als DMZ eingerichtet.
So kann ich alle Dienste so nutzen wie ich will (DynDNS, Websites, verschiedene Synology Dienste, 3D-Drucker, etc) und die Leute in der anderen Wohnung können nicht meine Netzwerkgeräte sehen oder sogar Musik auf meinem Chromecast anmachen (oder ausmachen wenns zu laut ist )

Die Konstellation läuft mittlerweile seit einem knappen Jahr so ohne Probleme. Vorher, als ich noch direkt an der Fritzbox war gab es öfters mal Probleme, da der DHCP in der FritzBox bei vier Wohnungen einfach in die Knie ging

 

[SoniX]

Wooooow soooviel Input. Das muss ich mal alles durchdenken und darüber schlafen.

Dieses Unify Security Gateway sieht ja verdammt schickt aus.
Mit Draytek hatte ich vor Jahren mal geliebäugelt.

Einen Router ins DMZ stellen ist natürlich auch eine Idee. Wohl die simpelste.

Ich bin im Moment etwas überfordert und muss die einzelnen Lösungen mal detailliert durchgehen.
Schauen welche Hardware wo notwendig ist, wie man das alles am besten konfiguriert, etc.

Ja, das mit dem Dual-LAN war nur so ein Gedanke. Am Ende wäre es schlicht eine DHCP Sache und wäre wohl nichts anderes als Subnetting.

Der physische Zugriff ist hier leider gegeben.
Es wird hier niemand versuchen böswillig in ein anderes Netz zu kommen, aber es passiert doch alle paar Monate mal dass ich in die Firma fahren muss weil irgendwas umgesteckt wurde aus dem Grund weil "das email ging nicht senden". Oder es wird einfach der Stecker gezogen oder die USV entfernt weil "sie hat gepiept". Keine Böswilligkeit, schlicht Mangel an Wissen.

 

[Arni]

Der physische Zugriff ist hier leider gegeben.

Abschließbare Minischränke kosten um die 80,00-100,00. Die sind leicht nachzurüsten, erfüllen eher den minimalsten Basisschutz, aber zumindest kann da keiner mal eben "umstecken". Wie ich dich verstanden habe, willst du doch sowieso neue Hardware nachrüsten, dann gehört das auch dazu.

Keine Böswilligkeit, schlicht Mangel an Wissen.

Hau den mal ordentlich auf die Finger, dann machen die das nicht mehr .

 

[himitsu]

Grade wenn sie nichts wissen, sollten sie erst Recht da nicht dran rumfummeln.
Aber OK, ein "ich glaub ich weiß es, drum fummel ich mal" ist auch nicht wirklich besser.


Ich bin für passende Kabel.
https://www.koax24.de/kabelschutz/metallgeflecht.html
Vorher ein kurzer Besuch auf 'ner Kuhweide, die Kiste einpacken und da anschließen.
Wenn die beim Umstecken einen gewischt bekommen, dann machen die sowas auch nie mehr.

 

[SoniX]

Die Idee mit dem Kabel ist ja mal geil :-D

Weiß jemand ob die DMZ beim Synology Router tatsächlich eine DMZ ist oder wie bei den Billigteilen nur ein Exposed host?

PS: Schränke habe ich mir gestern schon ein paar angesehen. Vor Ort; über Amazon willl ich mir sowas nicht liefern lassen.
Da gibts schon ein paar ganz hübsche Teile. Sind aber größer als gedacht und auch deutlich schwerer. Das soll nun aber kein Hindernis darstellen.

 

[NSFH]

Wie bei fast allen SoHo Routern eher ein Exposed Host und firewalltechnisch bedenklich.
Ich halte von kaskadierten Routern gar nichts. Kaskaden kosten immer Performance und wenn Fehler auftreten sucht man sich einen Wolf.
Die saubere Lösung ist wirklich ein Router, der intern verschiedene LANs und auch DHCPs zur Verfügung stellen kann. Da tut man sich auch mit der zentralen Konfiguration der Firewall und Dienste aber auch verschiedener WLANs leichter.
Wenn man dann noch VOIP nutzen will ist es sowieso die einzig vernünftige Lösung. Wie gesagt, ich habe sowas mit Draytek Routern am laufen und das läuft störungsfrei und performant.

 

[SoniX]

Naja Performance wirds nicht viel kosten. Die sch**** Zyxel USG die da derzeit steht kostet Performance, die ist einfach zu schwach. Auf dem kleinen Syno Router RT1900AC läuft sogar n kleiner Snort und das ist unmerkbar.

Ich habe schlicht Angst vor den Interfaces welche die meisten Router anbieten. Die Zyxel USG ist da ein Paradebeispiel. Sauteuer, Hardware schwach, Updates kann man an einer Hand abzählen und die Software das reinste Gefrickel.

Netgear, Dlink, etc hatte ich auch schon alle durch. Billig aber sonst nichts.

Mir hilft ein Router nichts der alles kann, den ich aber nicht administrieren kann. Synology war der erste Router der Leistung zum akzeptablen Preis anbietet mit einem Interface wo sich alle anderen nur verneigen können.

PS: VOIP nutzen wir nicht.
PPS: Fehler sollten nicht allzu häufig auftreten. So wie der derzeitige Syno Router (und auch die NAS) läuft ist das einmal anstecken, konfigurieren und vergessen.

 

[Mettigel]

Ich habe den Ubiquti USG. Kann VLAN, ist mit der Controller Software relativ einfach zu konfigurieren (mein Controller läuft auf nem Raspberry). Du kannst alle Ports am Switch so festlegen, dass im Gebäude B auch nur mit VLAN B verbunden wird. Nur noch den Switch wegschliessen und fertig. Oder ein eigener Switch, der dann komplett im VLAN B hängt. Da können sie rumspielen wie sie wollen...

Wenn sie immer die gleiche Hardware nutzrn, kannst du auch statische IPs vergeben. Diese MAC immer im VLAN B. Wäre vielleicht noch einfacher. Dann noch ein WLAN im VLAN B und fertig.

 

[NSFH]

Ubiqiti hat an dem Teil bei allem gespart wo man sparen konnte.
Daher hat man nur Kontrolle über das Teil, wenn ununterbrochen der PC mit der Ubiqiti Software mitläuft. Ein Unding wie ich finde.
Das Teil läuft technisch gesehen ziemlich sauber, da kann man nicht meckern, Performance auch höher als eine zB Fritz (dafür kein WLAN und kein Switch!)
Dann sollte man bedenken, dass das Gerät nur Ausgänge hat. Wenn die nicht reichen muss ein VLAN fähiger Switch nachgeschaltet werden.
So weit ich weiss kann der USG auch nur 1xDHCP, was zu wenig wäre.
Die Teile von Netgear, DLink Lancom usw habe ich alle durch. Das schlimmste an denen ist der quasi nicht vorhandene Support und selten Updates.
Das ist bei dem von mir jetzt favorisierten Drayteks gänzlich anders.
Du kannst dir die GUI der Drayteks übrigens ansehen und damit rumspielen: http://60.250.189.150:2960/

 

[Mettigel]

...So weit ich weiss kann der USG auch nur 1xDHCP, was zu wenig wäre...

Das stimmt nicht.
Ich habe für jedes meiner 3 VLANs einen eigenen DHCP-Bereich und der USG vergibt die Adressen - entweder anhand der MAC oder aus dem DHCP-Bereich.

Zur Performance:
Der USG kann WAN <-> LAN 1Gibt. Der USG hat zwei LAN (also Mini-Switch?). Aber auch die vier LAN eines Draytek werden nicht reichen. USG plus 8-Port kosten ca. 200 EUR, kostet der Draytek auch.

Ich hatte vorher eine ASUS Router, da war der RAM schon sehr klein. Da ich am Router kein WIFI brauche (HWR im Keller) ist der USG für mich eine gute Lösung. Ich habe in jedem Geschoss einen Decken-AP. Die Controller-SW läuft auf dem Raspberry, der sowieso immer online ist.

Das Gäste WLAN mit Voucher finde ich auch hervorragend und nutze ich auch regelmäßig. Mit dem Handy schnell ein Voucher generieren und fertig.

Aber muss jeder selber wissen, was er kauft/braucht/will.

 

[NSFH]

Den für mich wichtigsten wirklich negativen Aspekt sparst du aber aus: Du hast keine Kontrolle über deinen Router, wenn nicht ununterbrochen ein PC mit der Ubiqiti Software mitläuft.
Hier kannst du wirklich sagen, das jeder selber wissen muss ob es ihm wichtig ist, was an der Schnittstelle zum Internet so passiert.......
Wie gesagt, im Prinzip ist die USG nicht schlecht, bis auf das beschriebene Manko.
USG wird glaube ich hier so gehyped weil es von Idomix propagiert wird.