Avatar billede der_kommandant Praktikant
15. januar 2015 - 11:29 Der er 14 kommentarer og
1 løsning

Dobbelt hjemme netværk

Hej Eksperter

Afledt af den megen snak om sårbarheder i de adskillige elektroniske devices jeg har i mit hjem, og som mange af dem er på nettet, går jeg med tanker om at oprette 2 netværk derhjemme. 

På det ene netvæk kan ungerne koble alle deres elektroniske apparater op på, vores mobiltelefoner samt fungere som gæstenetvæk i huset.

Det andet netværk skal være mere lukket, og kun tillade adgang til "fars" computer, vores NAS samt andre enheder der fungerer som "trustede devices" på netværket.

Jeg har med interesse læst denne artikel om Cascading - http://www.tomshardware.co.uk/forum/33700-42-ultimate-modem-router-setup-thread

Vil høre om nogen herinde har nogle gode praktiske erfaringer med ovenstående??
Avatar billede bdf Mester
15. januar 2015 - 11:35 #1
Hejsa :-)

Køb en router som har funktionen "gæstenetværk" f.eks. http://www.proshop.dk/Netvaerk-router-og-firewall/ASUS-RT-AC68U-Dual-Band-AC-router-Nordic-2452396.html

Jeg har selv overstående router og bruger "gæstenetværk" til gæster og trådløse enheder som ikke skal ha adgang til min NAS, videoovervågning og lign.

M.v.h.
Avatar billede der_kommandant Praktikant
15. januar 2015 - 12:23 #2
->bdf
Tak for forslaget. Bruger allerede funktionen med "gæstenetværk" i min nuværende netværksopsætning, men det er ikke lige det jeg søger.

Jeg har behov for at der bliver lavet et form for dobbelt netværk, hvor det ene netværk er "secure" og det andet er til alle de andre devices.

Jeg har cat. 6 kabling i alle rum i huset, så de fleste computere/Xbox osv. er forbundet via kabel til routeren.
Avatar billede CRKrogh Ekspert
15. januar 2015 - 13:26 #3
Hej.

  Lav det som et stort IP-segment, f.eks. [10.0.0.0/23], så har du reelt to subnet med 255 IP#, der kan routes gennem samme gateway uden det store ståhej.

  Netværket definerer du på routeren (hvis vi nu antager, at den selv hedder [10.0.0.1], så den ved at trafikken kan komme fra både [10.0.0.0/24] og [10.0.1.0/24].

DHCP-serveren lader du dele adresser ud i det nederste segment som [10.0.0.0/24] med routeren som default gateway.

Dine øvrige devices lægger du så "manuelt" i det øverste segment som [10.0.1.0/23], også med routeren som default gateway.

På denne måde får enheder, der selv spørger efter IP#, en adresse fra DHCP, der giver adgang til internet, men ikke routes internt udenfor sit eget subnet, og enheder med statisk IP# kan se alle enheder.

De bedste hilsner
Avatar billede der_kommandant Praktikant
15. januar 2015 - 14:53 #4
-> CRKrogh

Tak for dit svar. Det er lige præcis det du beskriver, som jeg gerne vil implementere.

Når jeg kigger på din løsning, er det så korrekt antaget, at jeg skal bruge 3 routere for at få det til at fungere? (1 som gateway, og 1 for hvert subnet/segment der kan uddele DHCP?

Denne del af dit svar forstår jeg ikke
På denne måde får enheder, der selv spørger efter IP#, en adresse fra DHCP, der giver adgang til internet, men ikke routes internt udenfor sit eget subnet, og enheder med statisk IP# kan se alle enheder.

Håber du vil uddybe dit svar :-)
Avatar billede CRKrogh Ekspert
15. januar 2015 - 15:43 #5
Hej igen.

  Nej, blot den ene trådløse router, der i forvejen er gateway i dit netværk.

  Det, der er trylleriet i det hele, er din subnet mask:

På det nedre subnet [10.0.0.0/24] kan enhederne så kun se andre enheder på samme subnet (subnet mask kommer jo til at hedde [255.255.255.0]).

På det øvre subnet [10.0.1.0/23] kan enheder se andre enheder med IP# fra 10.0.0.1 til 10.0.1.254 da subnet mask jo nu er [255.255.254.0].

Default gateway er den samme for de to subnets. For det nedre leverer du den bare via DHCP og for den øvre som et statisk entry i din netkortsopsætning.

/Carsten
Avatar billede tryltryl Juniormester
15. januar 2015 - 15:46 #6
CRKrogh, hvor er sikkerheden i det setup? :-)
Avatar billede CRKrogh Ekspert
15. januar 2015 - 17:02 #7
Den findes i at de enheder, der modtager IP# via DHCP ikke umiddelbart vil være klar over, at der rent faktisk eksisterer et andet subnet. Skulle en enhed blive inficeret med noget snask, der rent faktisk kan finde ud af at lave et sweep, vil det stadig ske indenfor samme subnet.
Avatar billede tryltryl Juniormester
15. januar 2015 - 19:30 #8
Sikkerheden er med andre ord kosmetisk. Jeg tror også at det er de færreste hjemmeroutere du kan lave den opsætning på
Avatar billede CRKrogh Ekspert
15. januar 2015 - 19:34 #9
Tja, bortset fra stort set alt, jeg er stødt på de sidste 5-8 år, men pyt nu også med det.

Er der andet, du mener, tror og gætter på? ;-)
Avatar billede tryltryl Juniormester
15. januar 2015 - 22:33 #10
Selvom routeren rent fatisk kan uddele et subnet som er forskelligt fra det faktiske, så ville jeg aldrig bruge den løsning, hvis det skal være sikkert :o
Avatar billede CRKrogh Ekspert
16. januar 2015 - 07:44 #11
Læs nu lige, hvad der bliver skrevet, inden du kommenterer:

Routerens egen IP# skal være 10.0.0.1/23, altså bliver dens eget netværk defineret som 10.0.0.0/23 og routerens DHCP skal så uddele subnet 10.0.0.0/24 - altså det nedre subnet.

Det øvre subnet[10.0.1.0], som jo så også er et /23 allokeres som statiske adresser.

Jeg vil hjertens gerne diskutere sikkerhed med dig på et helt andet plan, men mon ikke vi skal holde det ude af denne tråd?
Avatar billede tryltryl Juniormester
16. januar 2015 - 10:33 #12
Du har to "netværk", som er adskilt af en subnet-maske. Kald lige dét sikkerhed en gang til.

Jeg har i øvrigt læst dit indlæg. Jeg synes ikke det er normalt for en hjemmerouter, at dens dhcp-server kan uddele en subnetmaske som er forskellig for den faktiske.
Avatar billede der_kommandant Praktikant
16. januar 2015 - 12:40 #13
-> CRKrogh

Tror jeg har forstået princippet i dit forslag. jeg sad igår og kiggede på min TP-link wdr3500 flashed med nyeste DD-WRT firmware, og jeg kan simpelthen ikke finde et sted hvor jeg kan opsætte 2 subnet.

Please, Hjælp....
Avatar billede CRKrogh Ekspert
16. januar 2015 - 13:12 #14
Du skal kun have den til at håndtere et subnet på denne måde:

Routeren giver du f.eks. adressen [10.0.0.1] med subnet mask enten [/23] eller [255.255.254.0], alt afhængig af hvordan den skal have det. Det betyder, at routeren kan se ét stort subnet på 512 IP#'s.

Det, der er interessant er, om du kan sætte subnet mask for DHCP. Kan den det, sætter du f.eks. DHCP til at uddele adresser [10.0.0.32-10.0.0.64] med subnet mask [/24] eller [255.255.255.0].

Hvis den blot følger routerens eget subnet, kan du enten vælge at benytte DHCP fra en anden enhed i det lave subnet, eller det kan laves med en separat routere til hvert segment.

Den sidste er at foretrække, men kræver jo så en ekstra kasse.
Avatar billede der_kommandant Praktikant
14. juli 2015 - 08:09 #15
lukker
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester