php-resource




Archiv verlassen und diese Seite im Standarddesign anzeigen :
Netzwerk: was hab ich eigentlich gemacht ?


 
MaxP0W3R
27-07-2005, 15:10 
 
Hi

Folgende Situation:

Ich wohne in einem Studentenwohnheim, und habe eine LAN Leitung


Ich habe einen PC und einen Laptop, sowie einen Router mit integriertem Switch


ich hab den Router mit der LAN Buchse verbunden, den PC über LAN mit dem Router und den Laptop per LAN auch an den Router


dem Router hab ich ne IP aus dem Bereich des Netzes zugewiesen (hier: 172.17.7.250)

beide Rechner sind mit einem VPN Clienten gleichzeitig im Internet (verschiedene interne ip )


dem router hab ich halt ne ip mit der hand zugewiesen, normal kriegt man aber per DHCP ne IP die sich alle paar Monate wohl mal ändert

kann man das etwas eleganter lösen ?

eogentlich wollte ich den router NUR als switch verwenden, ist ein Netgear DG38

is das jetzt alles richtig so ? weil der router hat ja ne feste ip und im unglücksfall könnts ja ne kollision geben, falls echt einer mal diese ip kriegt, oder merkt der dhcp das die ip nun belegt is ?



mein pc soll als normale workstation benutzt werden und der laptop wird ein server, entweder debian linux oder windows 2003 server, im moment is da windows xp drauf...

edit: also was mich im grunde nur stört, is, dass der router ne eigene ip hat, ich wollte den router 100% passiv haben, weiss nur nicht ob das geht (hat ein switch auch ne ip ? )

weil ne ip selber holen kann der router anscheinend nur per DSL

 
jahlives
27-07-2005, 23:50 
 
(hat ein switch auch ne ip ? )
Nö soviel isch weiss nicht. Ist ja wie ein Hub und der hat auch keine IP.
Wenn ich das richtig verstehe, dann hast du das Modem am WAN Anschluss des Routers. Diese IP kannst du nicht beeinflussen, kommt ja vom Provider.
Der LAN Schnittstelle des Routers kannst du jede beliebige IP Adresse zuweisen. Bei mir 192.168.0.1. Dann am einfachsten allen Clients basierend auf MAC Adresse die IP's vergeben --> DHCP kannst du dann deaktivieren.
So sollte es zu keinen Kollisionen kommen,solange du darauf achtest, dass keiner der Clients die IP des Routers verpasst bekommt (die kannst du ja in den LAN Eigenschaften der Clients fest einstellen)

Hoffe das hilft ein wenig

Gruss

tobi

 
MaxP0W3R
28-07-2005, 00:31 
 
Sry, hab mich vielleicht unklar ausgedrückt.


Ein netzwerkkabel geht ans LAN der uni, und 2 kabel gehen an meine pc

der dsl anschluss ist nicht eingesteckt (hab ja gar keinen hier)


hab ja die ip selber per hand eintragen müssen damit der router/switch im selben netz is wie der rest der fh

 
jahlives
28-07-2005, 04:33 
 
Ein netzwerkkabel geht ans LAN der uni, und 2 kabel gehen an meine pc
Die Uni wird doch sicher DHCP Server haben, die Euch Studies jeweils die sozusagen öffentliche (fürs Uni LAN) IP zuteilt. Oder kannst du als IP schlicht alles nach Lust und Laune eintragen ?

Nochmals zum rekapitulieren: Der WAN Anschluss des Routers geht ins Uni LAN und an den LAN Anschlüssen des Routers hängen deine Kisten ?
Oder hast du alle Kabel an der LAN Seite des Routers angehängt ?
Ich würde auf jeden Fall die erste Variante bevorzugen damit WAN und LAN getrennt sind. Bedeuted zwar etwas mehr Aufwand, weil du den Router so konfigurieren musst, dass er die LAN notwendigen Ports durchschleift (Netbios und das Zeugs). Du kannst dann ja eine Regel erstellen, dass diese Dienste nur für Adressen aus dem Uni LAN Bereich erlaubt sind.

Gruss

tobi


Wenn die Leutz von aussen (innerhalb des Uni LANs) nicht auf deine Kisten zugreifen dürfen, dann musst du die Netbios Ports nur für ausgehende Verbindungen erlauben. Falls auch andere auf deine Freigaben zugreifen sollen, dann brauchst du auch eine Inbound Regel für diese Services

 
asp2php
28-07-2005, 08:47 
 
@jahlives, natürlich müssen switches IP haben, wie willst du sie sonst administrieren ;)

@Max, wenn du dieses Gerät als Switch betreiben willst, dann rührt den WAN-Anschluss nich an, sondern steck alle 3 Netzwerkkabel vorne(hinten/daneben? auf jeden Fall die Anschlüsse für stink normale Verbindung) rein. Die Uni hat mit Sicherheit DHCP-Server und somit wird keine Kollision auftreten. An den PC stellst du:

- IP-Adresse automatisch beziehen
- DNS-Serveradresse automatisch beziehen

dann bist du drin ;)

Die IP des Switch kannst du auch per DHCP holen lassen, und wenn du den Switch nie abschaltet, dann wird die Leasdauer automatisch verlängern, dass die IP-Adresse sich niemals ändert. Du kannst aber auch selbst festlegen. Wenn du feste IP im gleichen Subnetz verwenden willst, musst du den Admin von der Uni fragen, damit du eine IP außerhalb der Vergabebereich des DHCP-Servers bekommst. Ansonstens kannst du einfach eine IP außerhalb des LAN-Netz der Uni vergeben, denn diese ist wirklich nur für administrative Zwecke notwendig, doch wenn du das tutst, kannst du nicht ohne weiteres auf den Switch zugreifen, da wahrscheinlich der Router der Uni ihn nicht kennt und deine Anfrage somit nicht dahin weiterleitet. In diesem Fall entweder PC-IP so ändern, dass PC und Switch im gleichen Netz sind, oder Routereintrag in der Uni beantragen (was bestimmt sehr schwierig wird).

Als Router kannst du auch betreiben, aber dann musst du anders vorgehen. Melde dich, wenn du als Router einsetzen willst.

 
MaxP0W3R
28-07-2005, 11:00 
 
wenn du dieses Gerät als Switch betreiben willst, dann rührt den WAN-Anschluss nich an, sondern steck alle 3 Netzwerkkabel vorne(hinten/daneben? auf jeden Fall die Anschlüsse für stink normale Verbindung) rein.

Genau das habe ich gemacht :)


Es funktioniert ja alles, nur habe ich im Router-Config Menü nirgends die Option gefunden, dass er sich per LAN die IP automatisch holt.

Habe ihm mal ne 250er IP gegeben, ich denke mal es wird nie kollisionen geben, und der DHCP der FH merkt, dass die IP belegt ist.

Habe nur dieses Menü:

http://www.geiler-server.de/router.jpg


Und noch etwas: Wir benutzen einen Cisco VPN Clienten, um ins Internet zu kommen, und damit scheidet der Router als Gerät für die Internetverbindung aus...

Edit: die IP meines Rechners und meines Laptops kam natürlich per DHCP der FH

 
Payne_of_Death
28-07-2005, 13:30 
 
Original geschrieben von asp2php
@jahlives, natürlich müssen switches IP haben

Müssen Sie nicht......

Switche fallen in 3 Kategorien....

Standard/billig Switch
1.) Layer 2 Switch (Data Link) gemäß OSI-Modell ist dort PDU Frame sprich MAC-Adresse......Der Switch lernt die Source MAC Adress und speichert diese im CAM....Der Router schaut lediglich nach ob die IP Adresse für seine Subnetze bestimmt sind oder nicht und ändert die Target MAC Adresse ab.....Sofern er die MAC Adresse des Ziel Gerätes nicht kennt jagt er ein ARP Request am entsprechenden Subnetz raus und sämtliche Layer 2 Geräte flooten diesen Frame an alle Ports weiter. Das Gerät dem diese IP gehört wird dann mit seiner MAC Adresse antworten....Router nimmt das zur Kenntnis und tauscht die Ziel MAC mit der neuen Information aus....

Und der Layer 2 Switch wird in seiner CAM nachschauen und das Frame an den richtigen Port lediglich weiterleiten

Netter Switch
2.) Layer 3 Switch (Network) dort ist PDU Paket sprich Datenpaket.....
Ein Router operiert auch von Layer 1-3 und demnach besitzt dieser Switch i.d.R. auch eine IP-Adresse.....

Teurer Switch (Catalyst Switche von Cisco)
3.) Layer 3 Switch mit VTP Unterstützung.....einzelne Ports können durch die Software zu einer eigenen Broadcastdomäne zusammengeschlossen werden....So ist es möglich das Port 1, Port 5 nicht sehen kann usw.
Diese Bereiche bekommen natürlich eine sogenannte VLAN IP.....

 
jahlives
28-07-2005, 23:00 
 
Genau das habe ich gemacht
Willst du denn wirklich, dass alle deine Ports gegen das LAN der FH offen sind ? Dann kann jeder aus dem LAN der Uni Anfragen an alle Ports deiner Kisten schicken.
Was spricht denn dagegen nur auf dem WAN Port eine Verbindung zur Uni zuzulassen ? Nur so kannst du mit dem bestimmt auf dem Router verbauten Packetfilter die Verbindungen kontrollieren. Und der Router spricht doch sicherlich auch NAT.
Also vom sicherheitstechnischen Standpunkt würde ich das LAN nicht so einrichten.

Gruss

tobi

 
MaxP0W3R
29-07-2005, 01:06 
 
nun gut, vorher war der rechner eh direkt im LAN, der Router soll ja keine zusätzliche sicherheit bringen...

Hab hier halt ganz normal ne Sygate Firewall...



das problem is, dass der router halt kein VPN kann und so kann er nicht ins VPN netz und ne ip kriegen usw usw

 
jahlives
29-07-2005, 01:17 
 
der Router soll ja keine zusätzliche sicherheit bringen...
Dem würde ich jetzt nicht so uneingeschränkt beipflichten. Die Sicherheit die der Router bringt ist, dass die Pakete bereits vorgelagert verworfen werden können und nicht erst wenn sie deinen Compi erreicht haben ( wie mit einer Pers FW). Schafft es ein Schädling deine FW abzuschiessen (und das ist nicht so schwierig wie sich das anhört :eek: ), dann hat er freien Handlungsspielraum auf deiner Kiste.
das problem is, dass der router halt kein VPN kann und so kann er nicht ins VPN netz und ne ip kriegen usw usw
In diesem Falle kannst du mal nach einem Firmware Update suchen (vllt kann er's dann). Ansonsten würde ich mir einen VPN fähigen Router anschaffen.
Wie gesagt dies rein vom Sicherheitsaspekt her. Du kannst es auch so machen wie du es jetzt hast. Musst dann allerdings damit leben, dass deine Ports (sofern nicht von der Pers FW verrammlet) für jeden aus dem LAN sichtbar und somit angreifbar sind.

Gruss

tobi

- -

Alle Zeitangaben in WEZ +2. Es ist jetzt 15:04 Uhr.