Hallo,
ich habe ein vielleicht nicht ganz alltägliches Problem. In der Grafik ist es hoffentlich noch besser als in folgendem Text nachzuvollziehen:
Aufgrund einer Umstellung beim Provider (movistar Spanien) bekomme ich einen neuen Router (3g/4G statt Kabel).
1.) Dieser RouterNEU kann dummerweise keine Port Ranges (was im Zusammenspiel mit nur wenigen möglichen Einträgen ein Mengenproblem darstellt) und
2.) er offeriert auch keinen Adminzugriff aus dem Internet und nicht die gewünschten DDNS Funktionen.
3.) Ausserdem muß er, wegen der Funkabdeckung, an einer anderen Stelle (Position2, roter Kasten) stehen als der bisherige Kabel-Router (der neben MasterSwitch steht) an Position1 - blauer Kasten. Beide Positionen sind
räumlich weit auseinander.
Wegen 1.) und 2.) soll/muß zwischen den RouterNEU und den MasterSwitch ein Router2 gesetzt werden. Dieser soll, aus weiteren Gründen, an derselben Position wie der MasterSwitch stehen.
An der Position2 (von RouterNeu) stehen bereits zwei weitere Netzwerk-Geräte (IP-Cam und Musik-Streamer), die Stand heute über Cat7 Kabel IN DER WAND an den Masterswitch (via Patchfeld) angebunden sind.
PROBLEM / FRAGESTELLUNG:
Um den neuen Router mit dem MasterSwitch über den zweiten Router zu verbinden, muß ein Kabel (rot) verlegt werden, was ein Problem darstellt. Diese "Saubere" Variante ist als "Situation 1" in der Skizze dargestellt.
Nun ist die Idee entstanden, kurzerhand den Switch in RouterNEU "doppelt" zu benutzen, mit zwei verschiedenen IP-Ranges, indem die in der Wand verlegten Kabel genutzt werden, um einerseits den RouterNEU mit Router2 zu verbinden und andererseits das Intranet auf diesen Switch auszudehnen und daran die beiden Netzwerkgeräte anzuschließen - Siehe Skizze Situation 2.
Damit wären aber sowohl auf dem Switch von RouterNEU als auch auf dem MasterSwitch (und auch dem Switch von Router2) BEIDE IP-Bereiche vorhanden.
Auf dem RouterNEU wird die DMZ zur Anbindung des Router2 mit der Addresse 192.168.8.99 verwendet. Nun liegt natürlich auf allen Ports des Switch in RouterNEU der IP Bereich 192.168.8.nnn an, eine Aufteilung in VLANS ist nach Kenntnis im RouterNEU NICHT möglich. Auch kann die DMZ nicht auf einen einzelnen Port beschränkt werden.
Frage: Stellt das ein Sicherheitsproblem dar? Eigentlich sollte es doch keines darstellen, denn wenn RouterNEU ausreichende Port-Forwarding-Kapazitäten hätte und ein Router2 nicht nötig wäre, und ein REchner als DMZ benutztwerden sollte, wäre ja dieselbe Situation vorhanden, eben nur mit einem IP Bereich?
jwlj Gast |