Wie kann ich Routing in bestimmte Netze verhindern?
Nehmen wir mal an, ich habe ein Netzwerk, wo sich mein PC und ein entsprechender WAN-Router befindet. Dieses Netz hat die 192.168.2.0/24. Dieser Router bezieht seinen Internetzugang über ein anderes Netzwerk, in dem er eine IP hat und über das er dann den Internetzugang bereitstellt, dieses Netz ist 192.168.1.0/24.
Wenn ich nun ins Internet navigiere wird die Verbindung von meinem PC an den WAN-Router geleitet, welcher sie dann ins 192.168.1.0-Netz routet, von dort werden sie dann mittels Internet-Router entsprechend ins Internet geroutet.
Nun kann ich ja aus meinem 192.168.2.0-Netz auch auf Geräte im 192.168.1.0-Netz zugreifen. Gibt es dafür eine Möglichkeit dem WAN-Router, dass wenn Anfragen ans 192.168.1.0-Netz direkt gestellt werden, dass diese verweigert werden?
Sinn und Zweck davon soll es sein, dass dass 2. Netzwerk, welches ja hinter dem 1. Netzwerk ist keinen Zugang auf dieses hat, sondern halt nur auf dem Router, damit es ins Internet gehen kann, z.B. 192.168.1.1, aber keine anderen Geräte wie 192.168.1.12 oder andere. In die andere Richtung ist dies ja durch das Deaktivierte IPv4-Routing möglich (vom 1. ins 2. Netz) aber andersrum funktioniert das leider nicht.
Wichtig ist, dass das 1. Netzwerk davon nicht betroffen sein soll, also dort sich alle Geräte weiterhin unterhalten sollen, genauso wie im 2. Netz intern auch.
2 Antworten
Das ist völlig simpel. Auf dem WAN-Router muss an dem Interface, an welchem der PC angeschlossen ist, eine Access Control List konfiguriert werden. Diese verbietet den Zugriff auf 192.168.1.0/24.
So wie ich das verstanden habe, geht das mit deiner Anordnung auch nicht.
Du musst in dem Fall die 2 Subnetze nicht "hintereinander", sondern "nebeneinander" anordnen. Dazu brauchst du einen Router mit 2 Interfaces, sodass du die beiden Subnetze physisch getrennt anhängen kannst.
Eine andere Möglichkeit wären VLANs, da ist die Konfiguration aber nochmals komplizierter resp. brauchst du einen entsprechenden Router, der das kann....
Wie wird verhindert, dass Geräte aus dem 2-er Subnetz auch Geräte aus dem 1-er Subnetz sehen können?
Wie ich in meiner Antwort schrieb: Mit einer Access Control List.
Ich muss Dir da widersprechen. Natürlich funktioniert die Anordnung:
Wo ist das Problem? Klar, mit haushaltsüblichen Geräten wird es schwierig, weil man in der Regel z.B. NAT nicht abschalten kann.