1 DSL-Anschluss / 2 Netzwerke

Shadow92_042cf3 · 11. November 2019 um 21:27

Hallo,

nach langer erfolgloser Suche (nur ähnliche Probleme, aber nicht das gleiche) melde ich mich nun hier.

Problem:

Derzeit haben wir einen DSL-Anschluss und nutzen den Speedport W 701V.
Um alle Anwendungen von mir nutzen zu können, müsste ich Ports freischalten. Dies verbietet mir mein Vater. Auch das Port-Forwarding genügt ihm nicht, er verlangt zwei getrennte Netzwerke.

Zur Verfügung hätte ich einen Switch und noch einen Router (Digitus DN-7015).

Den Switch nach dem Splitter anzuschließen, und an diesen die beiden Router funktioniert meines Wissens nach nicht, oder?

Gibt es eine andere Möglichkeit zwei getrennte Netzwerke aufzubauen?

Wie sicher wäre es, in dem Speedport die Ports freizugeben (das wäre dann mein Netzwerk) und an den Speedport dann den Digitus zu hängen (das wäre dann das Netzwerk von meinem Vater, in welchem die Ports dann noch blockiert sind).

Mein Vater ist der Meinung das dann in meinem Netzwerk ein Sniffer installiert werden könnte und damit auch seine Daten abgefangen werden könnten. Dies ist meiner Meinung nach nicht möglich. Wie seht ihr das?

Ich bedanke mich schonmal für eure hilfe.

Mit freundlichen Grüßen
Shadow92

Hajo_631101 · 11. November 2019 um 21:27

Hallo,
wenn jemand schon an dem DSL-Anschuß vorbei in euer Netzwerk
rein kommt, dann ist es auch egal ob dort alles in einem oder
mehreren Netzwerken aufgeteilt wird. Ohne Portforwarding wird
es auch mit zwei Netzwerken nicht gehen.

mfg

Hajo

Stefan_Schustereit · 11. November 2019 um 21:27

Um alle Anwendungen von mir nutzen zu können, müsste ich
Ports freischalten. Dies verbietet mir mein Vater. Auch das
Port-Forwarding genügt ihm nicht, er verlangt zwei getrennte
Netzwerke.

Gute Idee.

Zur Verfügung hätte ich einen Switch und noch einen Router
(Digitus DN-7015).

Hinter den Speedport muss ein Ethernet-Router gestellt werden. An diesen wird das Netzwerk deines Vaters gehängt und über diesen Router kann man schon den Traffic deines Netzes ausschließen. Dein Netz hängt weiterhin am Speedport.

Danach beginnt ein fleißiges Netzwerkkonfigurieren nach allen Regeln der Kunst. An deinem Netz muss nix gemacht werden, hängt ja am Speedport wie immer. Das Netz deines Vaters bedarf etwas mehr Kümmern.

Nehmen wir an, der Speedport hat die interne IP 192.168.1.1. Dein PC hat 192.168.1.2. Am Speedport hängt der Ethernet-Router mit der IP 192.168.1.3 (als seine externe IP). Intern hat der Ethernet-Router die IP 192.168.200.1, und der PC deines Vaters hat 192.168.200.2.

Der Speedport muss eine statische Route bekommen, dass alle Pakete an 192.168.200.2 (Vater-PC) geroutet werden müssen an 192.168.1.3 (externe IP des Ethernet-Routers). Damit sollte es dann schon klappen. Wenn der Speedport sowas kann.

Der Ethernet-Router kann dann als Firewall dienen, indem er keine Port-Weiterleitung erlaubt und keine Pakete annimmt von 192.168.1.2 (dein PC). Oder besser: nur Pakte von 192.168.1.1 (dem Speedport).

Den Switch nach dem Splitter anzuschließen, und an diesen die
beiden Router funktioniert meines Wissens nach nicht, oder?

Nö.

Wie sicher wäre es, in dem Speedport die Ports freizugeben
(das wäre dann mein Netzwerk) und an den Speedport dann den
Digitus zu hängen (das wäre dann das Netzwerk von meinem
Vater, in welchem die Ports dann noch blockiert sind).

Der Digitus ist aber ein DSL-Router. Mit dem wird das schon mal nicht gehen.

Mein Vater ist der Meinung das dann in meinem Netzwerk ein
Sniffer installiert werden könnte und damit auch seine Daten
abgefangen werden könnten. Dies ist meiner Meinung nach nicht
möglich. Wie seht ihr das?

Da hat er völlig recht, wenn die Netze nicht getrennt sind. Mit der skizzierten Lösung wird er sicher sein vor deiner Schüssel, aber da diese Lösung auch sehr einfach ist, wird er weder auf deinen PC zugreifen können noch du auf seinen.

Gruß,
Stefan

X_Strom · 11. November 2019 um 21:28

Derzeit haben wir einen DSL-Anschluss und nutzen den
Speedport W 701V.

Um alle Anwendungen von mir nutzen zu können, müsste ich
Ports freischalten. Dies verbietet mir mein Vater. Auch das
Port-Forwarding genügt ihm nicht, er verlangt zwei getrennte
Netzwerke.

Schau mal, ob Du nicht einen Lancom Router bei ebay bekommst.
Einige, vielleicht sogar alle, unterstützen mehrere vollkommen getrennte Netzwerke.
(Besser mal bei Lancom anfragen, bevor Du Müll kaufst)
((Achtung, Profi Ware. Teuer, selbst gebraucht. Und selbst mit den Wizards nicht ganz leicht einzurichten))

Scorpion_c · 11. November 2019 um 21:28

Hallo,

Um alle Anwendungen von mir nutzen zu können, müsste ich
Ports freischalten. Dies verbietet mir mein Vater. Auch das
Port-Forwarding genügt ihm nicht, er verlangt zwei getrennte
Netzwerke.

du könntest im Einzelfall einen Rechner dazwischen hängen der DHCP und Routing übernimmt auf den Router. Der Router ist dann nur noch für das Routen des Internet zuständig. Der Rechner routet dann zwischen euren beiden Netzwerken und dem Internet hin und her. Damit umgeht man schonmal den Streß mit dem Router/Switch gedöns und muss keinen Cisco Router kaufen.

Das würde dann so aussehen WAN -> Router(192.168.1.1/30)->Router (PC/192.168.1.2/30) -> Routing von 192.168.0.1/25 und 192.168.0.129/25. Damit hast du dann zwei Netzwerke die logisch voneinander getrennt sind. Das ganze nennt sich dann Subneting.

Alternativ würde evtl. auch ein VPN gehen. Oder du stellst deinen Rechner in die DMZ mit fester IP. Bei der Lösung muss trotzdem alles durch das Netzwerk.

Wie sicher wäre es, in dem Speedport die Ports freizugeben
(das wäre dann mein Netzwerk) und an den Speedport dann den
Digitus zu hängen (das wäre dann das Netzwerk von meinem
Vater, in welchem die Ports dann noch blockiert sind).

Dann fehlt dir der dritte Router der beide Netze zusammen bringt.

Mein Vater ist der Meinung das dann in meinem Netzwerk ein
Sniffer installiert werden könnte und damit auch seine Daten
abgefangen werden könnten. Dies ist meiner Meinung nach nicht
möglich. Wie seht ihr das?

Solange kein Hub dazwischen hängt ist das eher nicht zu erwarten. Denn dafür müsste der Sniffer die MAC Adresse deines Rechners so ändern das er eine Man-In-the-Middle Attacke fahren könnte. Denn die Verteilungsebene von Switches ist nunmal Osi-2 und da sind IP Adressen völlig egal.

Dazu muss man wissen das Switches sich die MAC Adressen des PCs merken und anhand dieser die Pakete verteilen. Man in the Middle ist deshalb sehr einfach da man lediglich die MAC Adresse ändern muss um Daten abgreifen zu können die nicht für einen bestimmt sind.

Ich bedanke mich schonmal für eure hilfe.

Mit freundlichen Grüßen

Shadow92