15. januar 2015 - 11:29Der er
14 kommentarer og 1 løsning
Dobbelt hjemme netværk
Hej Eksperter
Afledt af den megen snak om sårbarheder i de adskillige elektroniske devices jeg har i mit hjem, og som mange af dem er på nettet, går jeg med tanker om at oprette 2 netværk derhjemme.
På det ene netvæk kan ungerne koble alle deres elektroniske apparater op på, vores mobiltelefoner samt fungere som gæstenetvæk i huset.
Det andet netværk skal være mere lukket, og kun tillade adgang til "fars" computer, vores NAS samt andre enheder der fungerer som "trustede devices" på netværket.
Lav det som et stort IP-segment, f.eks. [10.0.0.0/23], så har du reelt to subnet med 255 IP#, der kan routes gennem samme gateway uden det store ståhej.
Netværket definerer du på routeren (hvis vi nu antager, at den selv hedder [10.0.0.1], så den ved at trafikken kan komme fra både [10.0.0.0/24] og [10.0.1.0/24].
DHCP-serveren lader du dele adresser ud i det nederste segment som [10.0.0.0/24] med routeren som default gateway.
Dine øvrige devices lægger du så "manuelt" i det øverste segment som [10.0.1.0/23], også med routeren som default gateway.
På denne måde får enheder, der selv spørger efter IP#, en adresse fra DHCP, der giver adgang til internet, men ikke routes internt udenfor sit eget subnet, og enheder med statisk IP# kan se alle enheder.
Tak for dit svar. Det er lige præcis det du beskriver, som jeg gerne vil implementere.
Når jeg kigger på din løsning, er det så korrekt antaget, at jeg skal bruge 3 routere for at få det til at fungere? (1 som gateway, og 1 for hvert subnet/segment der kan uddele DHCP?
Denne del af dit svar forstår jeg ikke På denne måde får enheder, der selv spørger efter IP#, en adresse fra DHCP, der giver adgang til internet, men ikke routes internt udenfor sit eget subnet, og enheder med statisk IP# kan se alle enheder.
Nej, blot den ene trådløse router, der i forvejen er gateway i dit netværk.
Det, der er trylleriet i det hele, er din subnet mask:
På det nedre subnet [10.0.0.0/24] kan enhederne så kun se andre enheder på samme subnet (subnet mask kommer jo til at hedde [255.255.255.0]).
På det øvre subnet [10.0.1.0/23] kan enheder se andre enheder med IP# fra 10.0.0.1 til 10.0.1.254 da subnet mask jo nu er [255.255.254.0].
Default gateway er den samme for de to subnets. For det nedre leverer du den bare via DHCP og for den øvre som et statisk entry i din netkortsopsætning.
Den findes i at de enheder, der modtager IP# via DHCP ikke umiddelbart vil være klar over, at der rent faktisk eksisterer et andet subnet. Skulle en enhed blive inficeret med noget snask, der rent faktisk kan finde ud af at lave et sweep, vil det stadig ske indenfor samme subnet.
Selvom routeren rent fatisk kan uddele et subnet som er forskelligt fra det faktiske, så ville jeg aldrig bruge den løsning, hvis det skal være sikkert :o
Læs nu lige, hvad der bliver skrevet, inden du kommenterer:
Routerens egen IP# skal være 10.0.0.1/23, altså bliver dens eget netværk defineret som 10.0.0.0/23 og routerens DHCP skal så uddele subnet 10.0.0.0/24 - altså det nedre subnet.
Det øvre subnet[10.0.1.0], som jo så også er et /23 allokeres som statiske adresser.
Jeg vil hjertens gerne diskutere sikkerhed med dig på et helt andet plan, men mon ikke vi skal holde det ude af denne tråd?
Du har to "netværk", som er adskilt af en subnet-maske. Kald lige dét sikkerhed en gang til.
Jeg har i øvrigt læst dit indlæg. Jeg synes ikke det er normalt for en hjemmerouter, at dens dhcp-server kan uddele en subnetmaske som er forskellig for den faktiske.
Tror jeg har forstået princippet i dit forslag. jeg sad igår og kiggede på min TP-link wdr3500 flashed med nyeste DD-WRT firmware, og jeg kan simpelthen ikke finde et sted hvor jeg kan opsætte 2 subnet.
Du skal kun have den til at håndtere et subnet på denne måde:
Routeren giver du f.eks. adressen [10.0.0.1] med subnet mask enten [/23] eller [255.255.254.0], alt afhængig af hvordan den skal have det. Det betyder, at routeren kan se ét stort subnet på 512 IP#'s.
Det, der er interessant er, om du kan sætte subnet mask for DHCP. Kan den det, sætter du f.eks. DHCP til at uddele adresser [10.0.0.32-10.0.0.64] med subnet mask [/24] eller [255.255.255.0].
Hvis den blot følger routerens eget subnet, kan du enten vælge at benytte DHCP fra en anden enhed i det lave subnet, eller det kan laves med en separat routere til hvert segment.
Den sidste er at foretrække, men kræver jo så en ekstra kasse.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
