sicheres Netzwerk mit Internetzugang?

I

inley

Aktives Mitglied
Thread Starter
Dabei seit
23.05.2006
Beiträge
196
Reaktionspunkte
0
Hallo,
wie ich zwei Macs übers Netzwerk verbinden kann, habe ich schon herausgefunden. Da noch andere Personen das gleiche Netzwerk (wegen Internetzugang) verwenden, möchte ich das private Netzwerk als sichere Verbindung einrichten. Nur wie mache ich das am besten? Gibt's irgendwo eine Anleitung dazu?
 
Geht es dir um die Verbindung zweier Macs?
Meinst du mit "privates Netzwerk" das lokale Netz?

Offene Fragen, aber ich versuche mal, pauschal zu antworten:

Variante 1: Falls dein Router die Möglichkeit bietet, dann pack den oder die Macs in ein anderes Subnetz als die restlichen Clients und verbiete im Router die Kommunikation der Subnetze untereinander.

Variante 2: Stell eine VPN-Verbindung zwischen den beiden Macs her. Das geht sowohl übers Internet als auch im lokalen Netz. OpenVPN eignet sich sich dafür sehr gut.
Im Internet gibt es Anleitungen für die Einrichtung eines OpenVPN-Server auf dem Mac, Google hilft ;) und in der ct 9/2007 stand auch ein howto, was es gegen ein paar Cent zum download gibt. Als OpenVPN-Client gibt es z.B. Tunnelblick.
 
Vielen Dank für die Antwort. Es geht hauptsächlich um die Verbindung zweier Macs. Die beiden Macs sind an einem Router (wird als Switch verwendet) angeschlossen. Dieser Router ist mit einem zweiten Router mit Internetzugang verbunden.

Nun möchte ich den ersten Router und auch die beiden Macs so konfiguieren, dass man über den zweiten Router nicht auf das private Netzwerk (mit den zwei Macs) zugreifen kann und trotzem Zugang zum Internet hat.

Welche Variante käme dafür in Frage?
 
Variante 3. :D
Double NAT heißt das Zauberwort.
Hinter dem Router für den Internet Zugang steht dein Router, der eine weitere NAT-Ebene hinzufügt, und dadurch die dahinter stehenden Rechner, also deine beiden Macs, vom Rest des lokalen Netzes abschirmt.
Dazu musst du den WAN-Port deines Routers an einen internen Port des Internet Routers anschliessen, NAT aktivieren und das interne Netz (für deine Macs) in einem getrennten Subnetz, also in einer anderen IP-range ansiedeln.
 
Also muss der WAN-Port meines Routers an einem LAN-Port des Internetrouters angeschlossen werden? Was muss ich eingeben, nachdem ich NAT aktiviert habe? Vielleicht kannst du kurz erklären, was mit IP-range gemeint ist.
 
Angenommen, dein lokales Netz hinter dem Internet Router hat Adressen aus dem Bereich 192.168.20.x, dann wählst du für das Netz deiner Macs irgendeines der anderen für private IP-Adressen festgelegten Adressbereiche, z.B. 192.168.5.x oder 10.0.200.x usw.
 
Dann muss ich an jedem Macs eine feste IP-Adresse zuweisen? Oder wird sie von meinem Router automatisch vergeben (die dann im festgelegten Adressbereich liegen)?
 
Hier ist eine Beispielkonfiguration:

Internet Router, LAN Seite:
IP-Adresse: 192.168.20.1
Subnetz Maske: 255.255.255.0

anderer Router, WAN Seite:
IP-Adresse: 192.168.20.55
Subnetz Maske: 255.255.255.0
Router: 192.168.20.1
DNS: 192.168.20.1

anderer Router, LAN Seite:
IP-Adresse: 10.0.200.1
Subnetz Maske: 255.255.255.0

einer der Macs:
IP-Adresse: 10.0.200.100
Subnetz Maske: 255.255.255.0
Router: 10.0.200.1
DNS: 192.168.20.1

gutes Gelingen :)
 
Kann denn der erste Router VLANs einrichten? Denn dann brauchst Du keinen zweiten Router.
 
Man könnte auch zwischen den beiden Mac ein VPN einrichten.
z.B. mit OpenVPN. Anleitungen gibt es u.a. auf der openvpn.net Webseite.
Das würde grundsätzlich mit jedem Router funktionieren, der einen integrierten Switch hat, und ist absolut sicher.

Die Trennung in unterschiedliche logische Netze halte ich persönlich nicht für ausreichend sicher. Einer der "anderen" muss sich ja nur selbst eine Adresse aus dem selben logischen Netz geben und schon kann er den gesamten Netzwerkverkehr abhören. Bei einem echten Switch geht es nicht ganz so einfach, ist aber ebenfalls möglich.
 
Erst mal danke für die Antworten. Kam erst heute zum Ausprobieren.

@MacMännchen: Habe es nun so gemacht, wie du es gesagt hast. Nun möchte ich fragen, ob der Status im Router jetzt ok ist:

Status:
INTERNET
WAN IP: 192.168.20.55
Subnet Mask: 255.255.255.0
Gateway: 192.168.20.1
Primary DNS: 192.168.20.1

GATEWAY
IP-Adress: 10.0.200.1
Subnet Mask: 255.255.255.0
DHCP Server: Enabled
Firewall: Enabled
UPnP: Disabled

Das Problem ist, dass die Internetverbindung jetzt sehr langsam ist, wenn das Kabel im WAN Port angeschlossen ist. Sobald ich es an einen internen Port anschließe ist die Verbindungsgeschwindigkeit wie gewohnt.

Ich habe im Router noch ein Menupunkt für NAT. Da habe ich noch nichts eingetragen. Ist das korrekt oder muss da noch was rein? Was kann man in den Unterpunkten (Address Mapping, Virtual Server, Special Applications) eintragen?

Wie kann ich sehen, ob das private Netzwerk vom anderen abgeschirmt ist? Steht das vielleicht unter DHCP Client Log? Da stehen momentan meine beiden Macs drin.
 
inley schrieb:
@MacMännchen: Habe es nun so gemacht, wie du es gesagt hast. Nun möchte ich fragen, ob der Status im Router jetzt ok ist:
Zum Vergrößern anklicken....
Es sieht so aus.
Wenn INTERNET = WAN Interface bedeutet, und GATEWAY = LAN Interface bedeutet, würde ich sagen: ja.

inley schrieb:
Das Problem ist, dass die Internetverbindung jetzt sehr langsam ist, wenn das Kabel im WAN Port angeschlossen ist. Sobald ich es an einen internen Port anschließe ist die Verbindungsgeschwindigkeit wie gewohnt.
Zum Vergrößern anklicken....
Das ist nicht im Sinne des Erfinders.
Prüf mal, ob du ungewollt Traffic Shaping (oder QoS) aktiviert hast, falls dein Router so eine Funktion hat.
Die Adressumsetzung alleine ist jedenfalls nicht mit einer (derartigen) Geschwindigkeitseinbusse verbunden.

inley schrieb:
Ich habe im Router noch ein Menupunkt für NAT. Da habe ich noch nichts eingetragen. Ist das korrekt oder muss da noch was rein? Was kann man in den Unterpunkten (Address Mapping, Virtual Server, Special Applications) eintragen?
Zum Vergrößern anklicken....
Durch deine manuelle Adressvergabe sollte die NAT-Funktion schon aktiviert sein und eine Eintragung sich an dieser Stelle erübrigen. Es kommt aber auch auf das jeweilige Routermodell an. Welcher Router ist es eigentlich? Was passiert denn, wenn du etwas einträgst?

inley schrieb:
Wie kann ich sehen, ob das private Netzwerk vom anderen abgeschirmt ist? Steht das vielleicht unter DHCP Client Log? Da stehen momentan meine beiden Macs drin.
Zum Vergrößern anklicken....
Das "private" Netz, wie du es nennst, ist insofern vom restlichen Netzwerk abgeschirmt, als dass es NAT-bedingt einen eigenen IP-Bereich hat, und es kein Routing von außen nach innen gibt, wenn du es nicht ausdrücklich eingerichtet hast. Es ist dann normal, dass nur deine beiden Macs in den Client Logs erscheinen.

Um jetzt noch mal auf das Thema Sicherheit zu kommen:
Für jemand, der sich eine IP des "privaten" Netzes verschafft, ist es möglich, den Traffic zwischen den Macs zu sniffen, und wenn dieser nicht verschlüsselt ist, auch zu lesen. Insofern ist wirklich nur eine VPN-Lösung sicher, wie schon in den Posts #2 und #11 angesprochen.
 
Habe gerade nachgeschaut und nichts von Traffic Shaping (oder QoS) gefunden. Es handelt sich hierbei um einen SMC7004VBR Router. Vielleicht hilft das weiter?
 
Das habe ich mir auch schon überlegt, da das Gerät schon etwas älter ist. Kann man es vielleicht herausfinden? Im übrigen habe ich unter WAN als Verbindungsoption eine statistische IP Adresse ausgewählt und die IP-Adresse vom Internetrouter eingetragen. Daran liegt es nicht, oder?
 
Du könntest einen anderen Router testweise einsetzen, falls du einen zur Hand hast.
Die Adressvergabe ist soweit ok. Einen Adresskonflikt (doppelte Vergabe einer Adresse) gibt es nicht?
 
Hmm, glaube ich nicht. Jedenfalls nicht im Netzwerk, sonst würde es nicht gehen.
 
Zurück
Oben Unten