2 Netze an 1 DSL

Hallo zusammen,

ich suche gerade eine „Lösung“ für folgendes „Problem“: Ich möchte einen DSL Anschluss einmal mit einem kleinen Netzwerk (IP-Range z.B. 192.168.0.x ) und mit einem 2. Netz (IP-Range z.B. 10.10.10.x) nutzen. Die Netze sollen sich logischerweise nicht sehen, müssen also getrennt sein (ok, ergibt sich teils ja duch die IPs, aber der Router…?!)

Frage also: Gibt es einen Router (welcher?) der sozusagen schon 2mal DHCP onboard hat (idalerweise) und somit beide so verwalten/trennen kann oder hänge ich am einfachsten 2 kleine DSL-Router hintereinander? Ich habe von Allnet nur einen Router mit 2mal WAN (aber nach wie vor einmal DHCP) entdeckt.
Wäre es denkbar (besser?) an einen Router einen managebaren Switch zu hängen, der dann die Netze auftrennt? Irgendwie hab ich da jetzt bestimmt nen gedanklichen Knoten, aber vielleicht kann mir mal jemand weiterhelfen :wink:

Gruß
h.

oder hänge ich am einfachsten 2 kleine
DSL-Router hintereinander?

Das wird wohl nicht gehen.

Ich würde hinter den DSL-Router einen PC ins Netz stellen, der drei Netzwerkkarten hat (eine für 10.x.x.x, die zweite für 192.168.x.x, die dritte geht an den vorhandenen DSL-Router). Der PC ist gleichzeitig DHCP-Server für die beiden internen Netze. Möglicherweise kannst du ja fli4l einsetzen und verzichtest dann ganz auf den jetzigen DSL-Router.

Stefan

Hi,

ich suche gerade eine „Lösung“ für folgendes „Problem“: Ich
möchte einen DSL Anschluss einmal mit einem kleinen Netzwerk
(IP-Range z.B. 192.168.0.x ) und mit einem 2. Netz (IP-Range
z.B. 10.10.10.x) nutzen. Die Netze sollen sich logischerweise
nicht sehen, müssen also getrennt sein (ok, ergibt sich teils
ja duch die IPs, aber der Router…?!)

Kein Problem…

Frage also: Gibt es einen Router (welcher?) der sozusagen
schon 2mal DHCP onboard hat (idalerweise) und somit beide so
verwalten/trennen kann

Klar: http://www.freebsd.org/

oder hänge ich am einfachsten 2 kleine DSL-Router hintereinander?

Um genau was zu erreichen? Damit stellst Du doch immer noch nicht eine Leitung zwei Netzen zur Verfügung.

Wäre es denkbar (besser?) an einen Router einen managebaren
Switch zu hängen, der dann die Netze auftrennt?

Ein (Layer 2-)Switch versteht doch nichts von IP-Netzen… Du könntest zwar trotzdem die Netze damit trennen, aber über den Router - der sie immer noch beiden kennen müsste - würden sie sich dann doch wieder sehen.

Solch ein Szenario ist eine klassische Anwendung für eine Firewall - das Trennen von Netzen ist ihre originäre Aufgabe, dafür ist sie da und das kann sie gut. Ich würde dafür einen kleinen PC mit drei NICs nehmen, *BSD draufzimmern, DSL und das NAT/Routing einrichten und dann einen Paketfilter so konfigurieren, daß eben nur Inside1/Outside und Inside2/Outside miteinander sprechen dürfen. Aufwand vielleicht ein halber Tag mit allem drum und dran. Je nachdem wie groß die Netze sind (bei einer DSL-Leitung scheinen die eher klein zu sein) reicht dafür ein lüfterloser PC mit einer kleinen Platte und drei Marken-NICs. Soll ich Dir ein Angebot schreiben? :wink:

Gruß,

Malte.

Hallo,

Klar: http://www.freebsd.org/

Oder in diesem Fall noch viel besser:
http://www.openbsd.org

SCNR,
deconstruct

Hallo,

Klar: http://www.freebsd.org/

Oder in diesem Fall noch viel besser:
http://www.openbsd.org

Das „viel“ würde ich so nicht unterschreiben wollen… Du kannst Dir vielleicht denken, daß mir die unterschiedlichen Konzepte der BSDs bekannt sind, und ich kann aus meinen Beobachtungen der letzten 1 1/2 Jahre nicht unbedingt sagen, daß da sicherheitstechnisch ein riesen Unterschied besteht. Zumal hier die einzigen Dienste ja dhcp und ssh sind, und da können beide dieselbe Software verwenden. Schwächen in den Implementationen von Routing und Firewalling sind mir ebenfalls nicht bekannt, so daß ich da keine Vorteil sehe, eher einen (subjektiven) Nachteil in der Administrierbarkeit von OpenBSD :smile:

Gruß,

Mal „OS-Flamewar“ te

Hallo,

Klar: http://www.freebsd.org/

Oder in diesem Fall noch viel besser:
http://www.openbsd.org

War doch nur a bisserl Werbung :wink: Meine File/Webserver laufen auch unter FreeBSD, mein Router aber unter OpenBSD.

Das „viel“ würde ich so nicht unterschreiben wollen…

Naja, ich schon. Ein einziges Remote-Hole in satten 7 Jahren ist schon eine beachtliche Leistung. Auch hat OpenBSD IMO die deutlich besseren Sicherheitskonzepte (Ständiges Source-Auditing, Stack-Protection, usw), die dich auch bei eventuell noch auftretenden Sicherheitslücken vor deren Ausnutzung schützen können.

Du
kannst Dir vielleicht denken, daß mir die unterschiedlichen
Konzepte der BSDs bekannt sind, und ich kann aus meinen
Beobachtungen der letzten 1 1/2 Jahre nicht unbedingt sagen,
daß da sicherheitstechnisch ein riesen Unterschied besteht.

Naja, die Stack-Protection und ähnliche Dinge sind schon ein beachtlicher Sicherheitsfortschritt gewesen. V.a. auf i386-Basis findest du sowas defaultmäßig so gut wie nirgends, höchstens in SE Linux oder so Sachen.

Und da du die verschiedenen BSDs kennst, dürfte dir ja auch sicher das Ziel von OpenBSD bekannt sein, nämlich Sicherheit, Sicherheit, Sicherheit, Sicherheit. Und daher IMO für einen Router/Firewall angebrachter.

Zumal hier die einzigen Dienste ja dhcp und ssh sind, und da
können beide dieselbe Software verwenden. Schwächen in den
Implementationen von Routing und Firewalling sind mir
ebenfalls nicht bekannt, so daß ich da keine Vorteil sehe,

Naja, „proactive Security“ :wink:

Für einen reinen Router/Firewall spielt nur die Sicherheit eine Rolle, und von daher bevorzuge ich für meine Router OpenBSD.

eher einen (subjektiven) Nachteil in der Administrierbarkeit
von OpenBSD :smile:

Naja, der Administrationsaufwand bei meinem Router neigt sich sehr stark gegen 0, so dass das eigentlich kein wirkliches Argument ist.

Mal „OS-Flamewar“ te

Yeah *gg*

Wobei ich FreeBSD am Server wesentlich schöner finde. Ich würde sagen: Jedem OS das Gebiet, in dem es gut ist. Und OpenBSD ist nun mal in Sachen Router/Firewall prädestiniert.

mfg
deconstruct

Hallo,

Das „viel“ würde ich so nicht unterschreiben wollen…

Naja, ich schon. Ein einziges Remote-Hole in satten 7 Jahren
ist schon eine beachtliche Leistung. Auch hat OpenBSD IMO die
deutlich besseren Sicherheitskonzepte (Ständiges
Source-Auditing, Stack-Protection, usw), die dich auch bei
eventuell noch auftretenden Sicherheitslücken vor deren
Ausnutzung schützen können.

Hm, das einzig interessante bei einem Gateway sind ja die Dienste, die es anbietet - und das sind hier

  • Routing
  • NAT
  • Firewalling
  • DHCP

Das war’s. Der IP-Stack ist auch noch interessant.

Du
kannst Dir vielleicht denken, daß mir die unterschiedlichen
Konzepte der BSDs bekannt sind, und ich kann aus meinen
Beobachtungen der letzten 1 1/2 Jahre nicht unbedingt sagen,
daß da sicherheitstechnisch ein riesen Unterschied besteht.

Naja, die Stack-Protection und ähnliche Dinge sind schon ein
beachtlicher Sicherheitsfortschritt gewesen. V.a. auf
i386-Basis findest du sowas defaultmäßig so gut wie nirgends,
höchstens in SE Linux oder so Sachen.

Jaaaaa ist schon nett, ohne Frage. Wie hoch ist das notwendige Wissen, um das fachgerecht nutzen zu können? (Ernsthaft, ich hab mich OpenBSD nur mal nebenbei beschäftigt…)

Und da du die verschiedenen BSDs kennst, dürfte dir ja auch
sicher das Ziel von OpenBSD bekannt sein, nämlich Sicherheit,
Sicherheit, Sicherheit, Sicherheit. Und daher IMO für einen
Router/Firewall angebrachter.

Stimmt schon. Ich schrieb ja auch in meiner Antwort „*BSD draufzimmern“, um mich da nicht unbedingt festzulegen.

Zumal hier die einzigen Dienste ja dhcp und ssh sind, und da
können beide dieselbe Software verwenden. Schwächen in den
Implementationen von Routing und Firewalling sind mir
ebenfalls nicht bekannt, so daß ich da keine Vorteil sehe,

Naja, „proactive Security“ :wink:

Das ist so ein Schlagwort, das die OpenBSDler immer gerne benutzen, ja… Mir ist Theo de Raadt ein wenig zu egozentrisch, das hat mich von OpenBSD bisher ferngehalten.

Für einen reinen Router/Firewall spielt nur die Sicherheit
eine Rolle, und von daher bevorzuge ich für meine Router
OpenBSD.

Darfst Du ja auch :smile: Ich stelle lediglich den faktischen Sicherheitsvorteil in Frage. Also so ganz praktisch gesehen.

eher einen (subjektiven) Nachteil in der Administrierbarkeit
von OpenBSD :smile:

Naja, der Administrationsaufwand bei meinem Router neigt sich
sehr stark gegen 0, so dass das eigentlich kein wirkliches
Argument ist.

Machst Du keine Updates?
Okay, wenn die Kiste nur Gateway ist, ist das selten nötig, sobald da Server drauf laufen wie bei mir (ich hatte einfach keinen Bock mehr auf den Lärm von vier Rechnern in meiner Büroküche) ist das schonmal nötig oder gewollt, und da zeigt sich dann schon die Stärke von FreeBSD. Mein System ist Desktop-PC, Server und Gateway für mein Notebook zugleich, und da ist ein funktionierendes Update-Konzept Gold wert. Wie machen denn die OpenBSDler das? Auch „einfach“ cvsup -> make world? Gibt’s da auch portupgrade?

Wobei ich FreeBSD am Server wesentlich schöner finde. Ich
würde sagen: Jedem OS das Gebiet, in dem es gut ist. Und
OpenBSD ist nun mal in Sachen Router/Firewall prädestiniert.

Okay, gewonnen. Für Little h.'s Anwendungszweck wäre es OpenBSD. Kann er auch ein Angebot für von mir bekommen :smile: (Wobei, mir fällt doch noch was ein: Kann OpenBSD traffic shaping? Womit machen die das? Ist das im Grundsystem mit dabei? Bei zwei Netzen kann Priorisierung durchaus Sinn machen…)

Gruß,

Malte.

Hi,

Hm, das einzig interessante bei einem Gateway sind ja die
Dienste, die es anbietet - und das sind hier

  • Routing
  • NAT
  • Firewalling
  • DHCP
    Das war’s. Der IP-Stack ist auch noch interessant.

Jepp, und in vielen Fällen wohl auch noch DNS.

Naja, die Stack-Protection und ähnliche Dinge sind schon ein
beachtlicher Sicherheitsfortschritt gewesen. V.a. auf
i386-Basis findest du sowas defaultmäßig so gut wie nirgends,
höchstens in SE Linux oder so Sachen.

Jaaaaa ist schon nett, ohne Frage. Wie hoch ist das notwendige
Wissen, um das fachgerecht nutzen zu können? (Ernsthaft, ich
hab mich OpenBSD nur mal nebenbei beschäftigt…)

Du brauchst gar kein Wissen darüber. Die Binaries sind bereits so kompiliert und der GCC ist standardmäßig so gepatcht, dass die Stack Protection automatisch aktiviert ist.

Dann gibts seit OpenBSD 3.4 auch endlich für i386 den W^X buffer overflow Schutz, der verhindert, dass jemand einfach mal ausführbaren Code in irgendwelche Speicherbereiche schreiben kann. Damit ist den ganzen Buffer Overflow Exploits schon mal ein ganz schöner Brocken in den Weg gelegt worden.

Und sämtliche Daemons laufen standardmäßig alle in chroots.

Das ist find ich auch das schöne an OpenBSD. Die Standard-Installation ist halt schon komplett auf Sicherheit eingerichtet. Bis du da z.B. ein Linux System so umbaust, vergehen Tage und Wochen und das wälzen vieler man-pages.

Stimmt schon. Ich schrieb ja auch in meiner Antwort „*BSD
draufzimmern“, um mich da nicht unbedingt festzulegen.

Irgendwo muss die OpenSource-Gemeinde ja auch zusammenhalten :wink:

(Proactive Security) :wink:

Das ist so ein Schlagwort, das die OpenBSDler immer gerne
benutzen, ja… Mir ist Theo de Raadt ein wenig zu
egozentrisch, das hat mich von OpenBSD bisher ferngehalten.

Naja, ob er egozentrisch ist, weiß ich nicht. Interessiert mich als Anwender allerdings eigentlich auch nicht. Aber was mir an OpenBSD gefällt, ist, dass man nicht einfach wartet, bis irgendwo eine Lücke auftritt, sondern dass man die schon im Vorfeld beseitigt oder bekämpft. Meist wenn irgendwo ein Loch auftritt kann man dann lesen: „Das wurde in OpenBSD schon vor 6 Monaten behoben“ :wink:

eher einen (subjektiven) Nachteil in der Administrierbarkeit
von OpenBSD :smile:

Naja, der Administrationsaufwand bei meinem Router neigt sich
sehr stark gegen 0, so dass das eigentlich kein wirkliches
Argument ist.

Machst Du keine Updates?
Okay, wenn die Kiste nur Gateway ist, ist das selten nötig,

Richtig, bist jetzt wars erst einmal unmittelbar nötig, als es die Schwachstelle in OpenSSH gab *seufz*.
Ansonsten sind die Lücken bei OpenBSD eher sehr selten und wenn dann nur lokal ausnutzbar, so dass ich nicht sofort reagieren muss. Und das patchen ist eigentlich kein großer Aufwand und immer dieselbe Prozedur. Und wenn die Lücke nicht gerade im Kernel ist, dann ists eh trivial.

sobald da Server drauf laufen wie bei mir (ich hatte einfach
keinen Bock mehr auf den Lärm von vier Rechnern in meiner
Büroküche) ist das schonmal nötig oder gewollt, und da zeigt
sich dann schon die Stärke von FreeBSD. Mein System ist
Desktop-PC, Server und Gateway für mein Notebook zugleich, und
da ist ein funktionierendes Update-Konzept Gold wert.

Das ist wahr. Am Desktop kann ich mich von meinem Debian deshalb gar nicht trennen :wink: Und aufm Notebook hab ich mir inzwischen Gentoo installiert, was eigentlich saugeil ist. V.a. ist das so schön FreeBSD-like, übersichtliche zentrale Konfiguration, Portage-Tree usw.

Mit NetBSD hab ich noch nicht viel gemacht, aber FreeBSD ist vom Administrationsaufwand wirklich sehr hübsch.

Wie
machen denn die OpenBSDler das? Auch „einfach“ cvsup ->
make world?

Also wenn du nur einen Patch einspielen willst, dann lädst du den am besten runter, spielst ihn ein und machst ein „make obj && make depend && make && sudo make install“. Das wars

Willst du’s ganze System updaten, dann aktualisier ich erstmal mit CVS meine Sourcen am Rechner und bau die Sys-Apps dann einfach mit

# cd /usr/src
# rm -r /usr/obj/\*
# make obj && make build

Ist also nicht ganz so bequem wie bei FreeBSD, aber es ist auch eine Sache von wenigen Befehlen.

Gibt’s da auch portupgrade?

AFAIK nicht, unter OpenBSD werden die Packages aus dem Ports-Tree üblicherweise als Binary heruntergeladen und installiert.
Du kannst aber auch ganz normal den Portstree über CVS aktualisieren und dann die Pakete kompilieren, macht aber wenig Sinn.
Aber mit dem Portstree hatte ich noch nicht viel am Hut, hab nur mal der Neugierde wegen damit rumgespielt.

(Wobei, mir fällt doch noch was ein: Kann OpenBSD traffic
shaping? Womit machen die das? Ist das im Grundsystem mit
dabei? Bei zwei Netzen kann Priorisierung durchaus Sinn
machen…)

Ja, kann es. Schimpft sich altq, und ist eine regelbasierte Bandbreiten-Kontrolle die man einfach in die pf.conf reinschreibt. Ist ganz nett, ich nutz es nur, damit mein eMule nicht zuviel Bandbreite braucht :wink:

mfg
deconstruct