Zwei Netze an einem VDSL-Anschluss trennen?

[fullspeed]

Hallo!

Szenario:

Ort A:
Netzwerk A im IP-Bereich 192.168.70.x, Fritzbox 7270 (mit 1194 Portweiterleitung an die DS) an DSL-Anschluss, daran DS213+ mit openVPN-Server (IP-Bereich 10.70.0.x)
Netzwerk A ist nur von Relevanz, da von Netzwerk C aus per openVPN auf die DS in Netzwerk A über DSL zugegriffen werden soll.

Ort B:
Netzwerke B im IP-Bereich 192.168.25.x, Fritzbox 7370 an VDSL-Anschluss
Netzwerk C im IP-Bereich 192.168.80.x, TP-Link-WR1043ND-Router hängt an der Fritzbox des 1. Netzwerks, daran hängen mehrere andere Endgeräte wie z.B. Notebooks

Nun zur eigentlichen Frage:

Ich möchte gerne das Netzwerk C nicht von Netzwerk B aus erreichbar/sichtbar ist. Schön wäre, wenn man einfach dem Router für Netzwerk C sagen könnte "keine Zugriffe von Geräten im Netzwerk B". Trotzdem soll das Internet für Netzwerk C weiterhin von Netzwerk B bezogen werden.

Wichtig zu erwähnen ist auch noch, dass auf der DS, wie auch auf mehreren Win7-PC`s in Netzwerk C locale Webserver laufen.
Auch diese sollten nicht aus Netzwerk B erreichbar sein. Das wäre zur Not auch per .htaccess zu erreichen, ein anderer absoluterer Weg (auf Netzwerkebene) wäre mir aber lieber.

Ich habe natürlich schon einiges gelesen, dort war oft die Rede von zwei Subnetzen, evtl. mit zwei unterschiedlichen Subnetzmasken.
Da ich mich aber nicht so gut mit Netzwerktechnik auskenne bitte ich um Eure Hilfe.

Danke!

 

[jahlives]

Ich möchte gerne das Netzwerk C nicht von Netzwerk B aus erreichbar/sichtbar ist.

dann droppe auf dem Gateway von Netzwertk C doch einfach allen Traffic mit Source aus Subnetz B

 

[fullspeed]

dann droppe auf dem Gateway von Netzwertk C doch einfach allen Traffic mit Source aus Subnetz B

Äh, danke, aber kannst Du das noch mal in Worten für einen Laien sagen?
Bzw. was muss wo eingestellt werden?
Und wird dann nicht auch der Internet-Traffic auf Port 80 "gedroppt"?

 

[goetz]

Hallo,
wie sehen denn die Weiterleitungsregeln auf dem TP-Link aus? In der Standardeinstellung dürfte von hause aus niemand aus B auf C kommen.

Gruß Götz

 

[jahlives]

du musst ja nicht alles droppen, sondern nur Traffic mit source aus dem Netz von dem aus kein Zugriff erfolgen soll. Was du konkret und wo du es einstellen musst, ist schwierig zu sagen. Grundsätzlich würde ich aber meinen, dass die erste Anlaufstation der Router sein sollte, der den Zugang zu Netz C kontrolliert

 

[fullspeed]

wie sehen denn die Weiterleitungsregeln auf dem TP-Link aus? In der Standardeinstellung dürfte von hause aus niemand aus B auf C kommen.

Bisher habe ich keine Regeln angelegt.
Auf jeden Fall sehe ich welche Geräte noch in Netzwerk B also angeschlossen sind (z.B. 192.168.25.22). Deshalb habe ich vermutet von Haus aus kann man in beide Richtungen von beiden Netzwerken aus auf das andere zugreifen. Allerdings habe ich es noch nicht probiert, würde es aber auch gerne vermeiden probieren zu müssen.

 

[matt_s]

Was spricht gegen den Versuch? Geht ja nichts dabei kaputt.

Über die Fritzbox (vermutlich ne 7390, eine 7370 gibt's nicht) dürfte das nicht gehen, außer du konfigurierst den Weg zu 192.168.25.0/24 durch eine statische Route kaputt. Eine Möglichkeit wäre, auf den TP-Link openwrt drauf zu knallen und das ganze über iptables zu lösen:

iptables -I INPUT -s 192.168.25.0/24 -j DROP

 

[goetz]

Hallo,
TP-Link mit WAN-Anschluß an die Fritzbox und standardmäßig geht nur C->B, C->Internet. B->C geht nicht, jeder Homerouter blockt doch Zugriffe vom WAN-Anschluß Richtung LAN wenn nicht Weiterleitungsregeln eingerichtet sind, für ihn sind B und Fritzbox schon "Internet".

Gruß Götz

 

[fullspeed]

TP-Link mit WAN-Anschluß an die Fritzbox und standardmäßig geht nur C->B, C->Internet. B->C geht nicht, jeder Homerouter blockt doch Zugriffe vom WAN-Anschluß Richtung LAN wenn nicht Weiterleitungsregeln eingerichtet sind, für ihn sind B und Fritzbox schon "Internet".

Ok, dann verstehe ich es richtig, dass ich alles so lassen kann und von Netzwerk B (Fritzbox) aus standardmäßig kein Zugriff auf Netzwerk C (TP-Link) möglich ist, also auch kein Webserver in Netzwerk C über Port 80 in Netzwerk B erreichbar ist?

Unabhängig von der bisherigen Konstelation muss ich meine DS evtl. räumlich bedingt an die Fritzbox in Netzwerk B hängen.
Wäre es trotzdem möglich sie nur für Netzwerk C sichbar zu machen?

 

[matt_s]

also auch kein Webserver in Netzwerk C über Port 80 in Netzwerk B erreichbar ist?

Das kommt drauf an, wie du das konfiguriert hast. Wenn die Webserver von außen erreichbar sind, dann sind sie das auch aus Netzwerk B, halt nicht über die internen IPs, aber über die externen.

Unabhängig von der bisherigen Konstelation muss ich meine DS evtl. räumlich bedingt an die Fritzbox in Netzwerk B hängen.
Wäre es trotzdem möglich sie nur für Netzwerk C sichbar zu machen?

Je nach Aufwand, den du in Router-, Firewall- und Switchhardware stecken willst, ja.