Frage an die Netzwerker: Verbindung begrenzen auf ein anderes Gerät

  • Folgendes Szenario:

    Intranet- und Internet-PC (und deren Drucker) sind komplett getrennt (zwei Kabelkreise mit eigenen Switches).

    Nun würde ich gerne von einem Internet-PC gerne für bestimmte Druckvorgänge einen Drucker aus dem Intranet nutzen. Zweite Netzwerkkarte rein mit IP-Range des Intranets, anstöpseln an Intranet-Switch und schon steht die Verbindung.

    Aber ich möchte sicherstellen, dass vom Internet-PC ausschließlich Verbindungen zum Drucker im Intranet möglich sind. Kann man dafür Regeln definieren?

    Nehmen wir an, wir haben folgende IP

    PC Internet: 192.168.178.25

    PC Internet, Adapter für Intranet: 10.10.1.25

    Drucker Intranet: 10.10.1.230

    Wie müsste ich hier Regeln definieren - und wo? (Win 7, evtl. Win 10)


    Danke schon mal für eure Mühe.

  • Hallo Bugfix!


    Hat jeder PC einen eigenen Switch? Wie sind das diese phyiskalisch Verbunden? Oder willst Du quer durchs Internet drucken?


    Wenn Du zwei PCs mit jeweils einen eigenen IP-Bereich hast und am Switch wieder zusammenführst ist das eh nicht getrennt. Dann ist die Sache gar nicht so schwierig: Du musst nur den einen PC zwei IP-Adressen geben und schon kannst Du auf das andere Netz zugreifen. Ist meiner Meinung nach aber alles andere als sicher (der Schwachpunkt ist der PC an dem die Netze zusammen kommen).

    Wenn das jetzt mit der Windowsfirewall absichern möchtetst muss Du das "fremde" Netz mal dicht machen (Profile auf öffentlich) und dann nur das Printservice und den Port ausgehend aufmachen. Leider ist das mit den Boardmittel nicht so lustig.


    Ich verwende von Binisoft die Windows Firewall Controll https://www.binisoft.org/wfc. Damit geht die Configuration deutlich leichtert. Einstellungen von <-> nach auf IP-Adressen/Bereiche und was wo hin darf ist deutlich besser zu erkennen und zu setzten.

    Am Anfang ist es ein bisschen mühsam da man mal alles durchsuchen muss, aber wenn Du mal ein gutes Grundsetting hast (kann man auch wegspeichern) willst Du das nicht mehr missen!


    Eine weiter Möglichkeit wäre wenn Du das ganze von einem Netz auf eine anders routen willst. Dazu brauchst Du aber Hardware: Ich habe das mal mit zwei billigen Router und DD-WRT Software gemacht. Anleitungen dazu wie man verschiedene Netz hier verbindet gibt es wie Sand am Meer!


    lg

    Racer

  • 2 Switche? Ist die das Konzept VLAN bekannt?
    Hiermit könntest zig getrennte Netze haben und alle auf der selben Infrastruktur betreiben ohne alles mehrfach zu verkabeln.

    Vor allem umgehst du damit, dass bei dir der Client für die Zugriffsberechtigungen in die Netze zuständig ist anstatt einem zentralen Router z.b.


    Ein ähnliches Szenario habe ich hier bei mir.

    Ich betreibe 3 Netze:

    • VLAN 1: das normale private Netz mit allen Geräten die untereinander kommunizieren und ins Netz kommen dürfen.
    • VLAN 3: abgeschottetes Gästenetz für Gäste-Geräte und paar IoT-Geräte. Dort können die Geräte nur ins Netz - sonst nix. Auch die Kommunikation untereinander ist eingeschränkt - wenn auch nicht vollständig.
    • VLAN 4: Tor-Netz - alle Geräte die dort reinrutschen werden nach außen komplett über das Tor-Netzwerk geschleust. Hintergrund bei mir: Will man mal ganz unsichere Geräte wie irgendwelcher Chinaschrott testen dann will ich nicht nur dass das Zeug von den anderen Geräten komplett abgeschottet läuft sondern ich will auch noch nicht mal, dass die rausfinden welche öffentliche IP ich habe - kurz: die Dinger sollen nicht wissen wo sie laufen. Außerdem ist es ganz hilfreich bei der Bestellung von Auftragsmorden.

    So - wie kommen die Geräte nun in die jeweiligen Netze?
    Entweder sie werden direkt am Switch an die jeweiligen Ports angesöpselt. Im Switch kann man Ports bestimmten VLANs zuweisen (untagged VLAN).
    Dann wird er Kommunikation nur noch mit Ports mit gleicher VLAN-ID durchlassen - die Netze sind also getrennt.

    Oder: Die Geräte gehen per WLAN in das entsprechende VLAN.

    Bei mir habe ich 3 SSIDs: mein normales, ein InternetOnly und ein tor-WLAN.
    Die Netze und Frequenzen sind die gleichen - sie haben lediglich eine andere SSID und Passwort.
    Daher vermüllt auch nicht das Funkspektrum durch die zusätzlichen SSIDs (nur 2 Beacons mehr pro Frequenz - das ist aber absolut vernachlässigbar).

    Was passiert nun wenn sich ein Gerät in das WLAN "tor" einwählt?
    Der Access-Point nimmt die Pakete entgegen und pappt denen noch ein zusätzliches Feld in das Ethernet-Frame - nämlich die VLAN-ID 4 und schickt die Pakete auf die Reise zum Switch. Der AP selbst ist im Switch als tagged-VLAN Port eingetragen und der Switch weiß daher, dass er dort schauen muss welche VLAN-ID die Pakete haben.
    In dem Fall wüsste er: Ach das ist ein Paket mit der ID 4 - also darf ich es nur an die Ports weitergeben die auch im VLAN 4 stecken.


    Kurz: Man hat also vom WLAN bis hin zu allen Geräten abgeschottete Netze und nutzt dennoch für alle Netze die selbe Infrastruktur.


    Wie geht es nun weiter wenn man z.b. nur einen Drucker vom einen Netz im anderen bekannt machen will?

    Nun der Router ist ebenso per tagged VLAN am Switch angeschlossen.
    Der Router hat hier unterschiedliche Konfigurationen für jedes VLAN. Sprich: Am Router laufen alle Netze an einem Punkt zusammen.
    Z.B. hat er unterschiedliche DHCP-Konfigs für jedes VLAN und die Firewall-Einstellungen sind auch unterschiedlich.
    In dem Fall würde er für das Gästenetz z.B. nur das Routing ins Internet ermöglichen, einen DNS- und DHCP-Dienst bereitstellen und sonst nichts weiter machen.
    Nun würde man lediglich im Router eine Firewallregel hinzufügen die, die Kommunikation aus der Zone Gäste zu der IP des Druckers im Hauptnetz (und auch wieder zurück) zulässt. Dann könnten Gästegeräte ohne Probleme mit dem Drucker kommunizieren und alle andere Kommunikation ist nicht möglich.
    Also genau das was du haben willst + weniger Hardware.


    Jetzt kommt es natürlich darauf an was deine bisherige Hardware hergibt. Der Switch muss VLAN unterstützen (genauer 802.1q damit auch tagged vlan klappt). Das können im Grunde alle Managed-Switches. Der Router muss natürlich auch mehrere Netze verwalten können. Die Fritten können das meines Wissens nach nicht.
    Bei mir läuft unter anderem deshalb alles auf Open-WRT-Basis. Mein Router ist z.B. ein Raspberry Pi 4 wo Open-WRT darauf läuft (da hab ich auch mit SQM und Wireguard überhaupt keine Probleme meine 250er Leitung zu befeuern - der ist also schon fast overdosed). Auch die Access-Points laufen auf OpenWRT (alles ganz günstige Geräte: Xiaomi Mi3G, Xiaomi Redmi AC2100 und Xiaomi AX3600).


    Das war jetzt ganz lange Rede und sicherlich bin ich beim Schreiben ab und an geistig abgeschwiffen, aber die Quintessenz sollte im Grunde lauten: Beschäftige dich mal mit VLANs - das sollte einiges in deinen Anwendungsfällen vereinfachen.

  • @AspirinJunkie: Erstklassig erklärt :klatschen: Nur die meinsten kleinen Switches können kein VLan.....leider!


    Zum Keinenleren kann man sich auch ein paar virtelle Maschinen erstellen und damit herumspielen und testen - das kostet nichts und wenn was in die Hose geht ist es auch schnell zurückgestellt. DD-WRT oder OpenWRT gibt es auch für X86, Wenn Du Schmerzbereit bist kannst Dich auch mir dem RAS-Server beschäftigen....


    AspirinJunkie: Hast Du keine Performanceproblme mit dem Router (Raspberry) ohne HardwareNAT? DD-WRT versagt bei ca. 100Mbit egal auf welcher Hardware!


    lg

    Racer

  • Hast Du keine Performanceproblme mit dem Router (Raspberry) ohne HardwareNAT?

    Nicht mal ansatzweise. Der SoC vom Pi4 ist im Vergleich zu üblicher Routerhardware (und auch etwas anspruchsvollere) dermaßen stärker, dass dieser im Grunde abseits von x86-Hardware das Gerät mit der höchsten Routing-Performance mit OpenWRT-Unterstützung ist.

    Die Router von den ISPs schaffen die Gigabit ja - wie du sagtest - nur durch Hardware-Offloading.
    Da dies in der Regel propritär ist, bekommt man dies in OpenWRT nicht zum laufen und man hat nur Software-Offloading zur Verfügung (da wird die Firewall für nachfolgende Pakete nach den initialen Paketen umgangen).

    Beim Pi4 ist das aber im Grunde wurscht, da der SoC genügend Power hat um auch ohne Hardware-Offloading genügend Durchsatz zu erreichen.
    Und man hat halt dennoch die ganzen Vorteile, die die ISP-Kisten nicht haben wie z.B. SQM.


    Ich selbst habe keine Gigabit-Leitung, kenne aber aus dem OpenWRT-Forum welche, wo ohne SQM mit dem Pi 940 Mbit/s erreicht werden (also das Maximum) und mit aktivierten SQM immer noch ~700 Mbit/s - und das ist ne Ansage.

    Extra eine lokale Config mit Routing einzurichten um das auch bei mir zu benchmarken ist mir zu aufwendig.


    Bei mir hab ich meine 250er mit konstant 10ms Ping (da SQM) und der Pi gähnt dabei nur müde. Und dabei habe ich sogar Software-Offloading abgeschaltet da in der aktuellen Version ein Bug mit IPv6 steckt.
    Zum Vergleich: Der Redmi AC2100 (MT7621 SoC) hat bei mir die 250er auch problemlos geroutet - aber sobald SQM im Spiel war, war bei 120 Mbit/s Schluss.

    Mein AX3600 (IPQ8071A SoC) wäre da auf dem Papier deutlich besser aufgestellt aber an den Pi kommt auch der lange nicht ran.

    Kurz: Willst du Routing-Performance unter OpenWRT in günstig und ohne X86, dann gibt es nicht viele Alternativen zum Pi4.


    Edit Racer : Hier mal zwei aktuelle Speed+Bufferbloat-Tests bei mir. Einmal >>ohne SQM<< und einmal >>mit SQM<<.