Unabhängige Subnetze

[Letavino]

Hallo,

ich hab eine Frage zum Subnetting:

Kann ich zwei verschiedene Subnetze folgendermaßen verbinden?

Und, wenn ja, kann man von Subnetz "a" über einen Router auf Subnetz "b" zugreifen, oder könnten sich beide nur über den Router ins Internet verbinden?

Router Port 1) Netz a: 192.168.1.0/24

Router Port 2) Netz b: 192.168.2.0/24

Router: 192.168.0.0/16

Alternativen wüsste ich einige, es interessiert mich nur, ob dies auch so gehen könnte.

Gruß, Letavino

[dgr243]

Wenn ich dich wörtlich nehme, kann das gar nicht gehen.

Du kannst auf Port 1 keine IP 192.168.1.0/24 vergeben, da das die Netz ID des Netzes ist.

Selbiges natürlich für 192.168.2.0/24 auf Port 2.

Falls du -wo ich von ausgehe- etwas anderes gemeint hast, würde ich vorschlagen etwas genauer zu formulieren

[Crash2001]

Hi,

klar kannst du einem Router mit 2 Interfaces IP-Adressen auf den von dir genannten IP-Netzen vergeben. Wenn 192.168.1.0/24 oder 192.168.2.0/24 dein Netz ist, das zum Router geht, dann kannst du auch beiden den Internetzugang ermöglichen, sowie auch die Kommunikation untereinander.

Ich verstehe nur nicht so ganz, was du mit dem Netz 192.168.0.0/16 meinst.

Ob die Netze sich untereinander unterhalten können sollen, oder ob nicht, oder z.B. nur der Internetzugang erlaubt ist, kann (zumindest bei besseren Routern) per Access-Lists festgelegt werden. Diese werden einfach an ein Interface gebunden und regeln dann die Zugriffsberechtigungen für die diversen Netze. Das ganze kann bei Routern anhand von IP-Adressen, MAC-Adressen, Ports oder eine Kombination festgelegt werden.

[Letavino]

Natürlich meinte ich mit 192.168.1.0/24 bzw. 192.168.2.0/24 die Netze, die an diesem Port angeschlossen sein sollen.

Sorry, wenn das nicht so ganz verständlich war.

Ich dachte eben daran, den Router auf das Netz 192.168.0.0/16 zu stellen, denn dann würden ja sowohl die IP's des ersten, als auch die IP's des zweiten Netzes im IP Bereich des Routers liegen. Oder habe ich da einen Denkfehler drin?

Ps: Der Router ist ein schlechter 0815 Router, ohne besondere Funktionalität oder Firewall, ect.

[Crash2001]

Also wenn du das Netz 192.168.0.0/16 nutzen wollen würdest, dann würdest du keinen Router zwischen den Netzen benötigen, sondern ein Switch würde vollkommen ausreichen. Nur zum Internet hin würde dann ein Rouzter benötigt werden.

[Letavino]

Da hast du recht.

Der Hintergrund ist, dass ein Accesspoint eingerichtet werden soll. Geräte, die von außen auf diesen Zugreifen, sollen nur ins Internet kommen und nicht auf andere Geräte des internen Netzes.

Ist das so möglich oder gibt es da (zb. sicherheitstechnische) Schwachstellen?

[axxis]

Das würde dann in Richtung ACLs respektive Paketfilter/Firewall gehen. Ob das mit dem 0815-Teil möglich ist, musst du herausfinden

[Letavino]

Eine Firewall zu benutzen wäre auch meine erste Wahl gewesen.

Nun soll ich aber herausfinden, ob es auch nur mit Subnetting möglich wäre, wobei ich eher skeptisch bin.

Der Router unterstützt keine besonderen Funktionen, keine Firewall und auch keine ACLs.

[dgr243]

Nein wird nicht gehen.

Der Router kennt seine angeschlossenen Netze und verrouted entsprechend, wenn es nicht explizit verboten wird. Da du mangels dieser "darfste nicht" Funktion das nicht verbieten kannst, werden die Netze also verrouted.

[Letavino]

Ok, vielen Dank für eure Antworten!

Jetzt ist mir das ganze ein wenig klarer.

Dann muss ich wohl eine andere Lösung anstreben.

Vielen dank euch allen nochmal!

[Eleu]

Da hast du recht.

Der Hintergrund ist, dass ein Accesspoint eingerichtet werden soll. Geräte, die von außen auf diesen Zugreifen, sollen nur ins Internet kommen und nicht auf andere Geräte des internen Netzes.

Ist das so möglich oder gibt es da (zb. sicherheitstechnische) Schwachstellen?

Ich habe das noch nicht kapiert.

Soll 192.168.0.0/16 der default gateway Eintrag im Router sein ?

[Letavino]

192.168.0.0/16 sollte das Netz sein, also zb:

Router IP:

192.168.0.1

Subnetzmaske:

255.255.0.0

[axxis]

Mal der Reihe nach:

Möchtest du nun zwei /24 Netze oder ein /16 Netz? Ich vermute schmeißt ein paar Dinge in einen Topf, die nicht zusammengehören.

[Crash2001]

Mit einem /16er Netz kann man es nicht sinnvoll verbieten, dass die Accesspoints keinen Zugang zum Internet oder zum internen Netz haben.

Mit zwei /24er Netzen und Accesslists hingegen schon.

Was natürlich auch noch bei einigen geht ist, dass zwei vlans gebildet werden, oder aber dass die WLAN-User nicht mit den LAN-Usern kommunizieren dürfen und teilweise auch ein seperater IP-Adressbereich dafür genutzt werden kann.

Wäre sinnvoll zu wissen, was für Router du zur Verfügung hast, damit wir dir zu etwas raten können.