Q-DSL Support  

Zurück   Q-DSL Support > Die Hardware-Abteilung > Sonstiges zum Thema Q-DSL + Netzwerk

Sonstiges zum Thema Q-DSL + Netzwerk QSC Hardware allgemein / Hardware- Software- Router / DDNS / Netzwerkkarten / usw.

Antwort
 
Themen-Optionen Thema bewerten Ansicht
Alt 24. December 2006, 11:52   #1
John Deere
Noch ziemlich neu hier
 
Registriert seit: 12/2006
Beiträge: 7
PC im Netzwerk trotz IN-Zugang isolieren-möglich?

Hallo,
ich habe hier ein kabelgebundenes Netzwerk über meinen neuen Router der T-Com "Speedport W 77 V" aufgebaut.
Mein Sohn soll nun in seinem Zimmer seinen eigenen PC erhalten mit IN-Zugang über WLan des Routers.
Momentan drei andere PC über Kabel an einem Switch, dieser geht an den 1. Port des Routers. 4. PC geht über Kabel an den 2. Port des Routers.
WLan soll später erst zugeschaltet werden.
Das zur Konfiguration - alles läuft bestens!

Nun zum Problem:
Ich möchte den PC meines Sohnes nun im Netzwerk isolieren, jedoch IN-Zugang erlauben. Da er sich manchmal auf fragwürdige Seiten herumklickt und virengefährdet sein könnte, möchte ich trotz Virenprogramms und eingestellter Firewall nicht einen Trojaner oder Virus von seinem PC ins Netzwerk bekommen und damit die anderen Pc gefährden.

Ich bin völliger Laie hinsichtlich Einstellungen, aber vielleicht ist hier jemand, der mir gut solche Einstellungen erklären kann und ob es überhaupt möglich ist.

Netter Gruß aus Schleswig-Holstein
John Deere
John Deere ist offline   Mit Zitat antworten
Alt 24. December 2006, 17:07   #2
Desert
Fleißiger Schreiber
 
Registriert seit: 01/2002
Ort: Gosutown
Beiträge: 439
AW: PC im Netzwerk trotz IN-Zugang isolieren-möglich?

hmmm mit einem draytek vigor router kann man einzelne pc´s in ein sogenannten vlan stecken damit kann man den zugriff aufs internet erlauben und auch den zugriff aufs interne netzwerk verbieten...allerdings auch nur über die ports des routers und nicht über wlan...hmm..vielleicht kann man im speedport den zugang über die mac addresse regeln...aber ich bin mir im moment nicht mal sicher ob man bei dem speedport den zugriff aufs interne netzwerk verhindern/einschränken kann
Desert ist offline   Mit Zitat antworten
Alt 24. December 2006, 17:11   #3
John Deere
Noch ziemlich neu hier
 
Registriert seit: 12/2006
Beiträge: 7
AW: PC im Netzwerk trotz IN-Zugang isolieren-möglich?

.....nagut, wenn es mit dem Abschotten über WLan nicht so gut klappt, dann schließe ich den Sohn-PC an einen Port über Kabel an den Router an.
Geht es dann besser?

Gruß
John Deere
John Deere ist offline   Mit Zitat antworten
Alt 24. December 2006, 22:40   #4
5v3n!
Moderator
 
Benutzerbild von 5v3n!
 
Registriert seit: 07/2001
Ort: Berlin / Köpenick
Beiträge: 2.220
AW: PC im Netzwerk trotz IN-Zugang isolieren-möglich?

Hi,

also mit einfachen Mittel dürftes du das so nicht hinbekommen.

Das oben erwähnte VLAN stellte eine Möglichkeit dar, besser wäre eine echte physikalische Trennung via 2. Port am Router und dann sowas in Richtung DMZ (wobei natürlich NICHT der gesamte Internettraffic an die DMZ umgeleitet wird ).

In jedem Fall muss deine Hardware das eine oder andere unterstützen - und ich fürchte da scheiters dann bei "normalen" Home Office Komponenten.

Alternativ geht natürlich auch ein Linux Server (entsprechende Kenntisse vorausgesetzt) oder was "fertiges" wie IPCop oder M0n0wall - ggf. auch was auf Basis von OpenWRT.

MfG.
5v3n! ist offline   Mit Zitat antworten
Alt 25. December 2006, 02:17   #5
Desert
Fleißiger Schreiber
 
Registriert seit: 01/2002
Ort: Gosutown
Beiträge: 439
AW: PC im Netzwerk trotz IN-Zugang isolieren-möglich?

Zitat:
Zitat von John Deere Beitrag anzeigen
.....nagut, wenn es mit dem Abschotten über WLan nicht so gut klappt, dann schließe ich den Sohn-PC an einen Port über Kabel an den Router an.
Geht es dann besser?

Gruß
John Deere
naja...wie sven schon schrieb muss dein speedport das eine oder andere unterstützen, je nachdem was für möglichkeiten im menü des speedports vorhanden sind kannst du den sohnemann mehr oder weniger oder eben auch gar nicht aus dem internen netzwerk ausschliessen...dazu müsste im handbuch des speedports die möglichkeit erklärt werden oder im menü des routers irgendwo auftauchen (sollte es zumindest, wenn denn überhaupt vorhanden)

man kann leider nicht mit allen geräten alles machen, der draytek vigor 2900v unterstützt diese funktion und ist dort auch sehr einfach einzurichten (hatte ich selber mal im betrieb daher soll er hier als beispiel dienen)

Geändert von Desert (25. December 2006 um 02:26 Uhr)
Desert ist offline   Mit Zitat antworten
Alt 25. December 2006, 11:03   #6
AlexZ
† 28.02.2007
 
Registriert seit: 05/2005
Beiträge: 1.008
AW: PC im Netzwerk trotz IN-Zugang isolieren-möglich?

- kann der router eine 2. ip bekommen ? also standard is ja zbsp. 192.168.1.0 ... als 2. ip dann dem router zbsp. 192.168.2.0 und den SohnPC dahin leiten

- ansonsten bei windows einfach ne andere arbeitsgruppe festlegen, so duerften die pc sich auch net finden , in der wlan bzw lan verbindung alle protokolle ausser tcp/ip aushaken :-)

AlexZ ist offline   Mit Zitat antworten
Alt 25. December 2006, 12:52   #7
John Deere
Noch ziemlich neu hier
 
Registriert seit: 12/2006
Beiträge: 7
AW: PC im Netzwerk trotz IN-Zugang isolieren-möglich?

Hallo und ein frohes Weihnachtsfest.

Da ich Laie bin, habe ich mich noch zusätzlich in anderen Foren zu diesem selben Thema eingeschrieben. Hier nun mal 2 Antworten, die ich Euch a) zur Info, jedoch b) zum Überarbeiten mal mitteilen möchte.

Also ich bin gerne bereit mir auch einen neuen Router zuzulegen, der dieses Ausmaskieren beherrscht, dieser sollte jedoch die Geschwindigkeit 6000 erfüllen und auch in deutsch konfigurierbar sein.

Hier nun Antwort 1:

Also das Vorhaben sollte sich mit einem zweiten Router realisieren lassen. Da Du die WLAN Funktion des Speedport für den drahtlosen Zugang Deines Sohnes benutzen möchtest, würde ich Dir einen günstigen Hauptrouter ohne WLAN empfehlen.

Das mögliche neue Szenario könnte dann in etwa so aussehen:

Der neue Router 1 (IP z.B. 192.168.0.1) ohne WLAN baut die gemeinsame Internetverbindung auf. An diesen werden nun alle kabelgebundenen Computer angeschlossen und zusätzlich der WAN bzw. DSL Port des Speedport (wenn nötig den LAN Port Bedarf durch einen Switch erweitern).

Im Speedport wird nun nicht PPPOE als Zugangsart genutzt, sondern statisches Routing. Dort trägst Du nun als IP Adresse z.B. die 192.168.0.2 (Subnetmaske 255.255.255.0) ein. Als Gateway und ersten DNS Server wird jeweils die IP von Router 1 eingetragen, also die 192.168.0.1 .
Jetzt vergibst Du dem Speedport für das lokale Netzwerk noch einen anderen IP Bereich, z.B. 192.168.1.1 . Der Rechner Deines Sohnes würde dann die 192.168.1.2 bekommen.

Das wars schon und Du hast 2 getrennte Netzwerke, mit gemeinsamen Internetzugang.

Hier nun Antwort 2:

Hallöle,

stand mal vor einem ähnlichen Problem (ebenfalls mit Sohnemann). Am Router habe ich aber nichts verändert. Habe nur in den Benutzerkonten (über die Systemsteuerung) die Schreibrechte eingeschränkt.


Erweiterte Frage von mir:
Ist schon ein Virusbefall innerhalb des Netzwerkes von PC zu PC unmöglich, wenn die sich im Netzt nicht mehr "sehen" können oder wenn man nur verschiedene Benutzerkonten einrichtet?

Netter Gruß und herzlichen Dank für Eure Hilfe
John Deere
John Deere ist offline   Mit Zitat antworten
Alt 25. December 2006, 13:18   #8
AlexZ
† 28.02.2007
 
Registriert seit: 05/2005
Beiträge: 1.008
AW: PC im Netzwerk trotz IN-Zugang isolieren-möglich?

Zitat:
Zitat von John Deere Beitrag anzeigen
Erweiterte Frage von mir:
Ist schon ein Virusbefall innerhalb des Netzwerkes von PC zu PC unmöglich, wenn die sich im Netzt nicht mehr "sehen" können oder wenn man nur verschiedene Benutzerkonten einrichtet?
Arbeitsgruppe ist das richtige Wort ...



und ja richtig ist auch dem SohnPC nur ein normales Konto einzurichten, das keine administrativen rechte besitzt

SohnPC ggf im Netzwerk verstecken :
a.) xp antispy
b.)
ausfuehren ...
cmd
net config server /hidden:yes
AlexZ ist offline   Mit Zitat antworten
Alt 27. December 2006, 04:02   #9
jever-trinker
vielLeser wenigSchreiber
 
Registriert seit: 08/2005
Ort: Dortmund
Beiträge: 726
AW: PC im Netzwerk trotz IN-Zugang isolieren-möglich?

Wenn der Sohnemann-Rechner nicht unbedingt über WLAN (wenn es denn so ist, dass man bei WLAN nur mit einem Netzwerk arbeiten kann) ins Netz muss, würde ich den aus dem Netzwerk rauslassen und als einzelnen Rechner über Kabel an einem freien Port des Routers anschliessen. Wir haben hier mit einem Draytek zwei Rechner im Internet, die sich untereinander gar nicht kennen. Soll so sein und ist hoffentlich auch wirklich so, man weiß ja nie genau, was da vielleicht noch so im Untergrund passiert, wenn man nicht gerade IT-Profi ist.
jever-trinker ist offline   Mit Zitat antworten
Alt 27. December 2006, 15:19   #10
Arvenius@QSC
QSC-Moderator
 
Registriert seit: 07/2005
Ort: Bremen
Beiträge: 90
Arvenius@QSC eine Nachricht über ICQ schicken
AW: PC im Netzwerk trotz IN-Zugang isolieren-möglich?

Arbeitsgruppen etc. umstellen ist leider nur bedingt sicher. Solange die PCs sich im selben (sub)Netz befinden können sie über TCP/IP auch kommunizieren. Die meisten Würmer nutzen den windows RPC dienst aus (tcp port 135/139 glaub ich) um sich zu verteilen. Da das über einen exploit passiert ist es auch recht egal wer an dem Rechner angemeldet ist und über welche Rechte er verfügt.
Um sich IP-technich vor sowas zu schützen wäre eine DMZ in der tat am sinnvollsten, wenn der Router sowas denn unterstützt. Einen zweiten Router dazuzunehmen und somit doppeltes NAT zu bauen geht theoretisch natürlich auch, verwirrt aber einige Protokolle die Funktionen enthalten über NAT zu kommunizieren (VPN/VoIP/Skype/etc).
Die einfachste Methode sich zu schützen ist einfach eine personal Firewall auf jedem Rechner zu installieren und die IP des Sohn-PCs einfach als "untrustet" zu führen. Dann sollte jedes Datenpaket von dem Rechner wie eines aus dem Internet behandelt werden (RPC calls etc. blockt in dieser Einstellung so gut wie jede Firewall per default).
Oder einfach per Windows-Firewall die entsprechenden Ports auf der Lan-Schnittstelle ganz zumachen. Dann gehen natürlich aber auch die Windows-Shares untereinander nicht mehr.

Die beste Lösung wäre aber natürlich ein Hardware-Router der die Netze trennen kann. Oder für Bastelfreunde eine Linux-Lösung, damit kann man dann so ziemlich jedes erdenkliche Szenario abbilden.

Edit: Ob das ganze nun per WLAN oder Kabel vonstatten geht ist ziemlich egal. Wenn es da Beschränkungen mit den Ip-Netzen gibt liegt das am Router bzw. der Firmware nicht an der Übertragungstechnik.
Arvenius@QSC ist offline   Mit Zitat antworten
Alt 4. January 2007, 19:38   #11
John Deere
Noch ziemlich neu hier
 
Registriert seit: 12/2006
Beiträge: 7
AW: PC im Netzwerk trotz IN-Zugang isolieren-möglich?

So da bin ich mal wieder!

Also ich habe mich nun weiter informiert, bin dabei immer wieder auf gleiche Aussagen gestoßen, daß man höchste Sicherheit doch dann erhält, wenn man die Netze virtuell voneinander trennt, da keine physikalische Trennung möglich.

Diese höherwertige Trennung erreiche man durch "End-to-Site-VPN" , wobei die VPN-Lösung immer einen Gegenpart benötigt (Tunnel-Schema).

Die Vlan-Trennung würde diese Trennung schaffen, zumal man dort auch noch andere Rechner einbeziehen kann, die ebenfalls von den 2 privaten "virtuellen Netzten" getrennt werden könnten (z.B. Firmen-PC getrennt von 2 privaten Netzen)
Diese Möglichkeit würde mit größerem Aufwand auch durch hintereinanderschalten verschiedener Router möglich, wäre aber nicht so sicher, dazu noch teurer.

Verschiedene Arbeitsgruppen und Benutzerkonten können zwar unter den Usern zu Sicherheit führen, aber keinesfalls Abschottung gegen Viren sein.
Das ist ja der Beweggrund.

Softwarefirewalls und Kinderschutzprogramme können den Internetzugang erheblich ausbremsen. Zumal er fast 17 Jahre ist und ich ein gewisse Vertrauen voraussetze.

Also hier geht es klar nur um Sicherheit gegen Angriffe von außen.

Sind hier paar VPN-Router mit integriertem Modem (Geschwindigkeit soll schon 6000 erfüllen) und WLan und Kabelanschluss bekannt?

Gruß
John Deere
John Deere ist offline   Mit Zitat antworten
Alt 4. January 2007, 20:52   #12
AlexZ
† 28.02.2007
 
Registriert seit: 05/2005
Beiträge: 1.008
AW: PC im Netzwerk trotz IN-Zugang isolieren-möglich?

6000 adsl von qsc kunde ?

draytek vigor 2900vg
AlexZ ist offline   Mit Zitat antworten
Alt 4. January 2007, 21:15   #13
John Deere
Noch ziemlich neu hier
 
Registriert seit: 12/2006
Beiträge: 7
AW: PC im Netzwerk trotz IN-Zugang isolieren-möglich?

......habe mich jetzt für den

Vigor 2800G

entschieden!

Good night - good fight!
John Deere ist offline   Mit Zitat antworten
Alt 4. January 2007, 21:50   #14
snOOpy
Admin
 
Benutzerbild von snOOpy
 
Registriert seit: 07/2001
Ort: Dresden
Beiträge: 8.374
AW: PC im Netzwerk trotz IN-Zugang isolieren-möglich?

Zitat:
Zitat von AlexZ Beitrag anzeigen
6000 adsl von qsc kunde ?

draytek vigor 2900vg
John Deere nutzt vermutlich kein QSC Produkt ...
snOOpy ist offline   Mit Zitat antworten
Alt 4. January 2007, 22:03   #15
John Deere
Noch ziemlich neu hier
 
Registriert seit: 12/2006
Beiträge: 7
AW: PC im Netzwerk trotz IN-Zugang isolieren-möglich?

Sorry,
verstehe die Antwort nicht!
John Deere ist offline   Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
pc -> ata (direct ip calling) kacyp IPfonie und VoIP 13 25. May 2005 22:09
Netzwerk Kaputt?! mky Sonstiges zum Thema Q-DSL + Netzwerk 2 31. December 2003 08:19
Netzwerk mit PC & Mac möglich? Matzinger Lucent CellPipe 3 8. June 2002 06:47
Netzwerk nur mit 10Mbit trotz 100Mbit Karten Jens13 Siemens/Efficient Networks SpeedStream 5 27. December 2001 21:40
Q-DSL und das optimale Netzwerk »»-MiB-«« Sonstiges zum Thema Q-DSL + Netzwerk 4 30. July 2001 06:39


Alle Zeitangaben in WEZ +2. Es ist jetzt 06:38 Uhr.


Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.