Situation: CAT5-Netzwerk in einem Pflegeheim, welches über beispielsweise 192.168.10.10 einen DHCP Server mit Internet-Router anbietet. Es befinden sich weitere Teilnehmer im Netzwerk, über die man nichts weiss und von denen man auch nichts wissen will. 192.168.10.10 ermöglicht keinen Zugriff per Browser, gibt sich nicht zu erkennen und über das Netzwerk ist insgesamt nichts in Erfahrung zu bringen. Die Teilnahme innerhalb eines unbekannten Netzwerkes ist mir absolut suspekt, ich möchte daher aus Sicherheitsgründen eine Firewall zwischen dem Netzwerk und dem Mac installieren. Eine Konfiguration auf der Mac-Seite ist aus Support-Gründen nicht praktikabel, ich möchte daher eine Hardware einsetzen, an die auch weitere Netzwerkteilnehmer angeschlossen werden können.

Meine Idee: Einen herkömmlichen DSL Router so konfigurieren, dass er die "Internetverbindung" über 192.168.10.10 aufbaut und über seinen integrierten DHCP Server ein Netzwerk 192.168.20.xxx aufspannt. Teilnehmer in Netz 192.168.10.xxx sehen dann nur den Router und keine weiteren Teilnehmer im Netz 192.168.20.xxx.

Ist mein Plan ein Schuss in den Ofen oder könnte man so vorgehen? Wer kennt einen Router mit guter Firewall, dem ich statt der PPoE Einwahl eine feste IP vorgeben kann, über die er ins Web gehen kann?

Habe das mit meinem Airport Extreme schon versucht - klappt auch, wenn ich ihm sage, er soll eine "öffentliche IP" nehmen. Dummerweise ist aber keine Firewall vorhanden und der DCHP Dienst erlaubt nur weitere Adressen im Bereich 192.168.10.xxx und nicht die Bereitstellung eines Netzes 192.168.20.xxx

Ich möchte auf jeden Fall vermeiden, dass aus dem mir unsicher erscheinenden Netz 192.168.10.xxx jemand in das 20er Netz reinschauen kann. Andererseits soll aus dem 20er Netz heraus nur und ausschließlich die 192.168.10.10 vom Router angesprochen werden, die dann dem Router auch die IP im 10er Netz zuweist. Ich hoffe, ich habe mich nicht zu kompliziert ausgedrückt.

Danke für eure Ratschläge.

Hi.
Guck dir einmal diese Seite an:


Gruß
honett

Einen ordentlichen managbaren Switch mit VLAN-fähigkeit (haben hier z.b. Cisco Catalyst 3750g) sollte das alles können.

@ honett
Wie heisst denn die Funktion, auf die ich achten muss bei der Fritzbox? Ich sehe da den Wald vor lauter Bäumen nicht.

@ derchris
Das Teil ist mit 3.500 € einfach zu teuer.

Gibt es Alternativen?

Wenn du auf der AirPort "Eine öffentliche IP gemeinsam nutzen" oder so auswählst, dann macht die AP einfach ein weiteres NAT, genau das was du anscheinend willst. Als Adressbereich verwendet die AP normalerweise 192.168.1.xxx, kann man aber auch auf 10.0.0.xxx oder 172.16.0.xxx umstellen. Sollte für dich aber genügen. Das fremde Netzwerk stöpselst du dann einfach an die WAN Schnittstelle an und fertig. Solang du keine Portweiterleitung/Standardhost(DMZ) oder UPnP (was bei doppeltem NAT ohnehin nicht viel Sinn macht) verwendest, kann vom fremden Netz auch keiner auf deine internen Computer zugreifen, da bringt auch eine Firewall nicht mehr...

Wir haben hier in der Agentur einen Draytek 2820n ...
der macht so ziemlich alles, was Du willst.

"Kann viel" heißt aber auch immer, dass viel eingestellt werden kann (muss).

Einen Überblick kannst Du Dir auf der Produktseite verschaffen - dort gibt es eine Live-Demo vom Konfigurations-Interface:

Wenn ich heute neu kaufen müsste, würde ich aber wohl den 2930n (neueres Modell) vorziehen.

Infos dazu auch bei TKR:

Ahhh - langsam komme ich dahinter! Offenbar brauche ich einen Router mit einem zweiten WAN Port. Beim Draytec könnte ich den WAN1 deaktivieren und WAN2 in Physical Mode "Ethernet" setzen und dann in den WAN IP Network Settings die IP vom Gateway und DNS Server eintragen.

Nicht zwangsläufig ... es gibt auch viele Modelle ohne integr. DSL-Modem - die lassen sich meist ohne weiteres für "static IP address" konfigurieren.

Aber Du wolltest ja außerdem eine konfigurierbare Firewall - da kann der Draytek schon 'ne Menge.

Danke - das war der entscheidende Hinweis! habe eben in der Bucht einen DRAYTEK Vigor 2200Eplus Router geschossen. Der kann am WAN-Port als DHCP Klient eingestellt werden.