Hi Zusammen ! Ich will morgen Netzwerkleitung im Rohbau verlegen und da keimt langsam ein grosses Fragezeichen in mir auf: Ich möchte ein Heimnetzwerk (PC, Notebook, DVD-Recorder, ext.HDD, etc...) aufbauen und alles soll bei Bedarf per DSL ins Internet gelangen können. Das ist wohl der Standartfall und wird so auch funktionieren. Nun möchte ich eine Netzwerkdose (also ein Anschluß des Switches) zeitweise auch so konfigurieren können das von dort aus nur eine Kommunikation mit meinem PC möglich ist (Beispiel: Kumpel kommt zum Netzwerkzocken - er soll dann natürlich ne Verbindung mit meinem PC zustande bekommen, hat aber nichts im übrigen Heimnetzwerk verloren). Ist dies so möglich? Benötige ich einen speziellen Switch dafür? Oder muss ich um sicher zu gehen eine vom Netzwerk getrennte Leitung zu ner 2. Netzwerkkarte ziehen? thx & greetz Danny
Das geht beispielsweise mit einem Switch mit Support für VLANs. Damit kannst du mehrere logisch getrennte Netze (virtual LAN = VLAN) in einem physikalischen Netz betreiben. Die Dose deines PCs ist in beiden VLANs konfiguriert, der Rest vom Heimnetz im einen und dein Freund im anderen. Ob allerdings unter den Billig-Switches welche sind, die VLANs können, weiss ich nicht.
@A.K.: Danke für die Antwort... kann man generell sagen (vorausgesetzt man hat einen VLAN-fähigen Switch) dass es immer möglich ist bei diesem einen Port doppelt zu "adressieren" ? thx & greetz Danny
Ich kenne nicht alle Switches ;-). Aber jeden Port individuell auch in mehrere VLANs konfigurieren zu können, gehört m.E. zur Grundvoraussetzung. Ist zudem technisch nicht weiter schwierig. Wenn dein Kumpel allerdings zur Gattung "Hacker" gehört, wird das freilich interessanter. Denn in manchen Switches lassen sich VLAN-Grenzen überwinden, wenn die MAC-Adresse des Zielsystems bekannt ist. Dieser Schwachstelle kann man auch bei grossen Namen wie Cabletron/Enterasys begegnen.
@A.K.: nochmals vielen Dank, denn kann ich nun meine Leitungen in die Wand prügeln :D zum thema hacken: oki, 100% sicher kann man nie sein... aber ich wär ja eh in der nähe... es soll halt nur nicht auf den ersten blick alles offen darliegen. thx & greetz Danny
> nochmals vielen Dank, denn kann ich nun meine Leitungen > in die Wand prügeln Du willst die aber nicht ohne Leerrohre verlegen, oder etwa doch? Wenn ja, gut gemeinter Rat: Gib das Geld für Leerrohre aus... Ansonsten: Alle Netzwerkdosen sterförmig in einem Raum, z.B. irgendein grumpliger Kellerraum, ziehen. Später kommt dort dann der Switch rein. Für das Trennen zwischen den beiden Netzwerksegmenten würde ich mich nicht auf so ein 14,50 Euro Switch verlassen, sondern würde einen kleinen Router hinstellen, der die Netze auf IP-Ebene trennt. Dann ist alles exakt einstellbar.
Ich weiß nicht, aber ich halte VLANs und so weiter wie oben beschrieben, in diesem Fall für zu hoch gegriffen. Jeder Router hat auch einige Funktionen zum Filtern von Paketen drin. dem sagst du dann einfach, das (beispielsweise) dynamisch vergebene IPs bzw. unbekannte Macs nur Zugriff auf deinen Rechner und das Internet haben und sonst alles geblockt wird. Gut, ist nicht ganz so sicher wie VLANs, aber man sollte sich fragen, ob es im Heim-Netzwerk-Bereich nicht doch ausreicht.
"sondern würde einen kleinen Router hinstellen, der die Netze auf IP-Ebene trennt." Nur braucht der dann mindestens 3 Beine (PC, Heimnetzwerk+Internet, Kumpel), Danny darf sich mit der Konfiguration von 3 IP-Netzen und entsprechenden DHCPs herumärgern und muss das gute Stück auch noch zum Port-Forwarding für P2P oder Internet-Gaming überreden. Und wenn das ein Reste-PC ist, dann frisst der reichlich Strom weil wohl permanent eingeschaltet. Wenn nicht, reichlich Geld. Für diesen Job sind VLANs denn doch eine gute Grössenordnung einfacher. Nur halt u.U. nicht ganz wasserdicht.
@Jan: Wenn Kumpel, PC und DVD-Recorder alle im gleichen Netz sind, kannst du an deinen DSL-Router rumkonfigurieren wie du willst, es nützt nichts. Bei der Kommunikation zwischen Kumpel-PC und DVD-Recorder wird der dann überhaupt nicht gefragt, die sieht der nicht einmal. Tatsächlich ist Port-basiertes VLAN sehr viel einfacher als Routing. Ich rede hier ja nicht von VLAN-Trunking wie es in der Wikipedia beschrieben ist, sondern vom klassischen Switchport-basierten VLAN.
@Danny P. Wenn du deinem "Kumpel" nicht soweit vertrauen kannst das du diesen Aufwand treiben mußt dann würde ich ihn erst garnich in die Bude lassen.
Zur Not kannst du ja immer noch überlegen, ob du ihn wieder rausläßt...
@all: danke für die rege Diskussion, ich werde es dann versuchen per VLAN zu realisieren. @Unbekannter: nein, die Leitungen kommen so in die Wand, aber wie du schon beschrieben hast enden alle an einem zentralen Punkt an dem der switch später hängt @Rainer: das hat in meinen augen nix mit "soweit vertrauen" zu tun. wenn ich besuch habe und man möchte files tauschen oder zocken o.ä. soll das bequem per bereits verlegter Leitung geschehen. Weiterhin möchte ich evt. von gleicher stelle mit dem notebook arbeiten (bevor die tips kommen - ich halt nix von wireless LAN) und mal ganz ehrlich: du stöpselst dich an ein netzwerk, siehst andere rechner die alles freigegeben haben; das ist schon ne einladung. vertrauen hin oder her... ein bild was kein anderer sehen soll ist schnell geöffnet... greetz Danny
Vertrauen hin oder her. Egal wie hoch das Vertrauen ist, auf der fremden Kiste kann auch irgendein Wurm oder Virus sein. Genau deswegen ein IP-Router. Dann ist Ruhe.
Natürlich ist das sicherer. Aber zu welchem Preis/Aufwand? Übrigens möchte ich mal den Virus und Wurm sehen, der diesen VLAN-Trick beherrscht. Das fängt schon damit an, dass die MAC Adresse a priori bekannt sein muss, erschnüffeln lässt sich die nicht.
@Danny P. -und mal ganz ehrlich: du stöpselst dich an ein netzwerk, siehst andere -rechner die alles freigegeben haben; das ist schon ne einladung. -vertrauen hin oder her... ein bild was kein anderer sehen soll ist -schnell geöffnet... Das Problem habe ich nicht. Seit NT (Is also auch für W2K,XP und folgende gültig) gibt es bei Windows Accounts und damit Freigaben die Spezifisch sind. (Andere Betriebssystem schon länger und/oder auch) Wenn du mit deinem Rechner in mein Netz kommst dann wirst du eventuell andere Rechner sehen aber das wars dann auch schon weil dein Account keine Berechtigungen hat. Du kannst dir also bei mir kein Schädlich holen oder abladen. Zum Zocken brauchst du keine Dateifreigaben und Dateien die man Tauschen möchte kann man auch über nem einfachen FTP erledigen. Ein Verzeichnis mit Gastfreigabe ist auch machbar. Ich vergebe einfach Berechtigungen wenn was zum Kopieren ansteht. Das dauert nur einige Sekunden bzw. eben 2-3 Minuten wenn man keine Übung hat. Hast du denn einfach alles für jeden freigegeben ? Das ist Risikoreich.
Full ack. Ich bin auch so ein schräger Vogel, der zu Hause unter Windows mit einem non-Admin User arbeitet. Allerdings stehe ich damit erfahrungsgemäss auch unter IT Kollegen ziemlich allein da. Insofern ist der Tip gut aber etwas surreal. Aber ich denke dass wir uns mittlerweile meilenweit von der Dimension von Dannys Frage ins prinzipielle wegbewegt haben.
>Aber ich denke dass wir uns mittlerweile meilenweit von der Dimension >von Dannys Frage ins prinzipielle wegbewegt haben Wieso, wer ein VLAN einrichtet aber selbst auf einem Rechner ständig als Administrator arbeitet und alles freigibt, das ist so als würde ich beim aus dem Haus gehen die 3 Schlösser an der Wohnungstür zuschliessen und das Fenster sperrangelweit offenlassen.
Weil selbst viele Leute, die um das Risiko wissen, aus Bequemlichkeit nicht bereit sind, den eigenen Rechner entsprechend abzusichern. Es ging ihm bei der Frage nicht so sehr darum, seinen PC abzusichern, als vielmehr den Rest des Heimnetzes, muss der Kumpel ja wissen, was man da alles an Filmchen draufhat. Und auf die Sicherheitsphilosophie eines DVD-Rekorders hat man nur begrenzt Einfluss (und wenn doch, dann schlägt man wieder die Bequemlichkeit zu). VLANs retten ihm also nicht seinen PC, wohl aber den Rest vom Netz.
@Wolfram: da stimme ich A.K. 100%ig zu. Nicht alle Geräte die am Netzwerk hängen sind konfigurierbar wie ein Windows NT/XP Betriebssystem. Und falls doch um so besser. Aber mit VLAN wäre ich zunächst mal auf der sicheren Seite, vor allem weil ich ja heute noch nicht abschätzen kann/will was in 3 Jahren tatsächlich mal am Netz bummelt. greetz Danny
Ist das mit dem managbarem Switch nicht ein bißchen überdimensioniert? Warum ziehst du alle Dosen nicht auf ein Patchfeld, um im Fall der Fälle (Kumpel zu Besuch) umpatchen zu können, und nur eine Verbindung von deinem PC zu dem deines Kumpels zu erstellen? Oder bei einer "ganzen" Lanparty, kannst du ja auch einfach einen kleinen billigen Switch nehmen, und nur die spielenden PCs an diesem Switch direkt am Patchfeld anbinden. Du kannst dann zwar währendessen nicht ins Internet, aber beides gleichzeitig ist ja auch nicht unbedingt nötig. Aber ich muss schon sagen, dass du meinen vollen Respekt hast, wenn du wirklich in einem modernem Haus ohne Leerrohre arbeitest, und sogar eine komplette Netzwerkverkabelung einputzen willst! Bis dann guelcki
@guelcki: Es ist evt. unmodern geworden... aber nenn mir doch bitte mal Gründe Netzwerk zwingend in Rohren zu verlegen (ausser "kann kaputtgehen" etc.). Ich kann dir aber mal meine "Gegen"-Gründe nennen: Altbau: Der Schlitz in der Wand für die entsprechend dimensionierten Leerohre ist etwa 3 bis 4 mal so groß... und wofür? Ich habe jedenfalls keine Lust mir die ganzen (alten) Wände zu zerkloppen um nen 16er Rohr statt ner 4er Leitung zu legen. Bei mehr als 2 Ecken bekommst du eh keine Leitung mehr durchgezogen, es sei denn du hast Biegeradien die im Altbau nicht realisierbar sind. und kaputt geht da nischt... oder wie oft hast du schon deine Telefonleitung erneuert? Ich habe pro Raum eine Stelle vorgesehen in der ein Leerrohr gerade hoch in die Abseite (Kniestock des DG) läuft. Nachziehen von irgendwelchem modernen Schnickschnack ist also noch möglich. Meinungen??? greetz Danny
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.