Unser ODL-Netzwerk
Geschrieben von Ingo Kasch am 2. Mai 2013 - Keine Kommentare
Wie in den letzten Tagen hier und da leise angekündigt, möchte ich heute unsere Erfahrungen beim Aufbau der Netzwerk-Infrastruktur unseres ODL mit Euch teilen. Ich kann mir gut vorstellen, dass der eine oder andere ODL-Betreiber mit denselben Herausforderungen umgehen muss, vielleicht stecken hier also ein paar Anregungen drin.
Zielsetzung: Zwei private Netzwerke mit geteilter Internetverbindung
Beim Aufbau der Netzwerk-Infrastruktur unseres Open Device Labs standen wir vor der Frage:
»Wie können wir die bestehende Internetverbindung unser Agentur für unsere Geräte nutzen, gleichzeitig aber die Netzwerke für das ODL und die Agentur getrennt und vor allem auch geschützt voreinander halten?«
Auf diese Frage sind mehrere Antworten möglich, die u.a. auch verschiedene Anforderungen an die Hardware stellen. Für uns waren die folgenden Punkte ausschlaggebend:
- Zuverlässige Abschottung der Netzwerke untereinander
- Kostengünstige Lösung, möglichst Nutzung vorhandener Hardware
- Keine Änderung der IP-Adressen oder Subnetze
- Je ein eigenständiges WLAN für die Agentur und das ODL
In der Praxis ergeben sich zwei Ansätze, die wir im folgenden beleuchten und unsere Wahl erläutern möchten:
- Aufbau von Virtual LANs (VLAN) für Agentur und ODL
- Aufbau getrennter LANs mit Hilfe mehrerer Router (Hardware)
Möglichkeit 1: Aufbau von »Virtual LANs« (VLAN) für Agentur und Open Device Lab
Ein Netzwerk in verschiedene VLANs zu trennen ist eine sehr einfache, effektive und vor allem Hardware sparende Möglichkeit, Netzwerke gegeneinander »unsichtbar« zu machen. Es wird nur ein Router oder Switch benötigt – der allerdings VLAN-fähig sein muss.
Bei einem »Port-based-VLAN« weist man einem LAN-Port auf dem Router / Switch eine VLAN-ID zu. Alle an diesem Port angeschlossenen Geräte können sich zwar miteinander unterhalten, eine Kommunikation über die eigene VLAN-ID hinaus ist jedoch nicht möglich. In unserem Fall könnte das Agentur-Netzwerk die VLAN-ID »1« und das ODL-Netzwerk die VLAN-ID »2« auf den jeweiligen Ports eingestellt haben.
Damit wären die beiden Netzwerke auf jeden Fall schon einmal voreinander geschützt. Wie bereits angesprochen, muss der Router oder Switch hierfür VLAN-fähig sein, was gerade bei den meisten Standard-Routern (z.B. Speedport der Telekom) nicht der Fall ist.
In unserem Fall haben wir zusätzlich die Anforderung, auch zwei getrennte WLAN-Netze zu erhalten, da die ODL-Geräte in erster Linie per WLAN verbunden werden müssen, wir aber auch im Agenturbetrieb eine entsprechende Anbindung benötigen. Viele moderne Router beherrschen zwar den Betrieb mehrerer paralleler WLAN-Netze, allerdings fehlt hier häufig die Möglichkeit, diese WLAN-Netze durch VLANs (analog zum LAN-Setup) voneinander zu trennen. Geräte, die dies beherrschen sind leider sehr teuer und scheiden somit für uns direkt aus.
Ein weiterer Punkt, der für uns gegen VLANs spricht, ist die Tatsache, dass wir für beide Netzwerke einen gemeinsamen IP-Adress-Pool verwenden müssten. Wie eingangs erwähnt wollten wir nach Möglichkeit an der bestehenden Agentur-Netzwerk-Konfiguration nichts ändern, da hier mehrere recht konfigurationsintensive Komponenten beteiligt sind (Server, Netzwerkdrucker usw.). Selbst wenn unser Router alle notwendigen Hardwarevoraussetzungen erfüllen würde, hätten wir schlussendlich ein Netzwerk gemischt aus Agentur- und ODL-Geräten. All diese Geräte greifen auf denselben IP-Adress-Pool zu. Nachdem in einem Klasse C-Netzwerk (Netzmaske 255.255.255.0) maximal 254 IP-Adressen vergeben werden können, könnte auch dies über kurz oder lang zu einem Problem führen.
Möglichkeit 2: Aufbau getrennter LANs mit Hilfe mehrerer Routern
Nachdem ein VLAN-Netzwerk durch unsere definierten Voraussetzungen nicht umsetzbar war, haben wir uns für den zweiten Ansatz entschieden. Skizziert sieht das Ergebnis so aus:
Für unser Setup nutzen wir weiterhin unseren bestehenden VDSL-Router (Telekom Speedport W723V, in der Skizze ROUTER 1) für die Internetverbindung. Neu hinzukommen zwei Router zum Aufbau voneinander getrennter Netzwerke für den Agenturbetrieb (ROUTER 2) und das ODL (ROUTER 3). Die beiden Netzwerke teilen sich die Internetverbindung und sind voreinander durch die routerinternen Firewalls geschützt (siehe unten).
Der Internet-Router (ROUTER 1) stellt über seinen WAN-Port die Internetverbindung her und teilt diese per LAN mit allen angeschlossenen Geräten. Wichtig ist, dass hier außer den beiden inneren Routern keine weiteren Geräte angeschlossen werden, und auch eine etwaige WLAN-Funktion des Routers sollte deaktiviert werden. Geräte, die zusätzlich an den Internet-Router angeschlossen werden, können von beiden dahinterliegenden Netzwerken angesprochen werden, was unter Umständen zu Sicherheitsproblemen führen könnte. Interessant wäre dies allenfalls z.B. für einen Netzwerk-Drucker, der aus beiden Netzen genutzt werden soll.
Nun kommen wir zum eigentlichen »Trick« des ganzen Setups: Die Router für das Agentur- und das ODL-Netzwerk werden jeweils über ihren WAN-Port mit einem LAN-Port des Internet-Routers verbunden. So wird es bequem möglich, die integrierten Firewalls der ROUTER 2 und 3 über den Netzwerkverkehr wachen zu lassen. Die beiden Router beziehen dabei ihre IP-Adresse entweder jeweils automatisch von ROUTER 1 (hierfür muss DHCP auf ROUTER 1 aktiviert sein), oder aber wir vergeben die IP-Adressen manuell und statisch.
In diesem Moment haben wir bereits zwei eigenständige, voneinander getrennte Netzwerke. Die beiden teilen sich zwar die Internetverbindung über ROUTER 1, durch entsprechende Konfiguration der Firewalls auf ROUTER 2 und 3 verhindern wir jedoch, dass die beiden direkt miteinander kommunizieren dürfen.
Im nächsten Schritt sind die beiden Netzwerke an sich einzurichten. Da sich die Gegebenheiten für unseren Agenturbetrieb unter'm Strich nicht ändern sollten, haben wir einfach die bisherige Netzwerk-Konfiguration (ehem. auf dem Speedport) 1:1 auf den neuen ROUTER 2 übertragen. Vor allem verwenden wir weiterhin denselben IP-Adressraum (z.B. 192.168.2.x) und haben auch das WLAN auf dem neuen Agentur-Router mit demselben Namen (SSID) eingerichtet.
Das neue Netzwerk für das ODL haben wir entsprechend Lab-Anforderungen inklusive WLAN und DHCP eingerichtet. Welchen IP-Adressraum dieses Netzwerk verwendet ist eigentlich egal, solange sich dieser von den beiden bestehenden Netzwerken unterscheidet, in unserem Fall:
- ROUTER 1: 192.168.0.x
- ROUTER 2: 192.168.1.x
Um in einer logischen Folge zu bleiben, verwenden wir für ROUTER 3 also 192.168.2.x.
An diesem Punkt sind wird auch schon fertig mit unserem Netzwerk-Setup. Unser Ziel, zwei sicher voneinander getrennte Netze einzurichten, haben wir erreicht. Der Schutz der Netze untereinander wird durch die integrierten Firewalls der Router implementiert und ist somit »wartungsfrei« und zuverlässig. Am Netzwerk unserer Agentur hat sich oberflächlich nichts geändert – zwar verwenden wir einen neuen Router, dieser ist aber auf denselben IP-Adressraum wie zuvor konfiguriert, und auch das WLAN trägt denselben Namen (schon früher per WLAN verbundene Geräte müssen sich allenfalls einmalig neu am neuen WLAN authentifizieren). Im ODL haben wir ebenfalls ein eigenständiges Netzwerk mit LAN und WLAN.
Vorher / Nachher und die konkret eingesetzten Geräte
VORHER
- Telekom Speedport W723V als Modem und Router an einem VDSL-Anschluss.
- Der Speedport verwaltete die IP-Adressen des Agentur-Netzwerks (192.168.1.x / 255.255.255.0) und weist neuen Geräten Adressen per DHCP zu.
- Zusätzlich wurde die integrierte WLAN-Funktion (WPA / WPA2-Verschlüsselung) für das Agentur-WLAN genutzt.
NACHHER
ROUTER 1
- Wir verwenden weiterhin den Speedport W723V als Modem und Router und stellen über diesen die Verbindung ins Internet über unseren VDSL-Anschluss her.
- Der vom Speedport zu verwaltende IP-Adressbereich wird von 192.168.1.x auf 192.168.0.x geändert. Dies ist notwendig, damit wir unseren bestehenden IP-Adressbereich auf den neuen Agentur-Router umziehen können.
- DHCP bleibt auch weiterhin auf dem Speedport aktiv, allerdings wird das WLAN auf dem Speedport deaktiviert.
ROUTER 2
- Für unser Agentur-Netzwerk nutzen wir nun einen DLINK DIR-615 Router.
- Dieser übernimmt ab sofort die Verwaltung des IP-Adressbereichs 192.168.1.x / 255.255.255.0 (diesen hatten wir zuvor auf dem Speedport »freigegeben«) und auch die Verwaltung der DHCP-Clients.
- Zusätzlich versorgt er unsere Agentur auch mit WPA / WPA2-verschlüsseltem WLAN.
ROUTER 3
- Für unser ODL-Netzwerk haben wir uns nach etwas Recherche für einen »ASUS RT-N66U N900 Black Diamond« aka »Dark Knight« entschieden (natürlich nicht nur wegen dem coolen Namen). Laut Tests hat dieser Router einen besonders starken Datendurchsatz und ermöglicht es, sehr viele gleichzeitige Verbindungen aufrecht zu erhalten. Zusätzlich verfügt er über eine stattliche WLAN-Sendeleistung und bietet ein stabiles Signal für alle Geräte. Generell würde es aber auch hier ein einfacherer Router tun.
- Der ODL-Router verwaltet den IP-Adressbereich 192.168.2.x / 255.255.255.0 und versorgt die Geräte per DHCP mit IP-Adressen.
- Beim WLAN für das ODL haben wir uns vorläufig für die Verschlüsselungsmethode »WEP« entschieden.
An dieser Stelle ist der Hinweis wichtig, dass die WEP-Verschlüsselung nach aktuellem Stand sehr (sehr) unsicher ist. Durch »Mithören« des Netzwerkverkehrs ist es im Regelfall innerhalb weniger Minuten möglich, das Kennwort zu berechnen und sich somit Zutritt zum Netzwerk zu verschaffen.
Trotzdem haben wir uns für diese Verschlüsselung entschieden, weil es nach wie vor ältere Geräte am Markt gibt, die mit dem aktuellen Standard WPA / WPA2 nicht umgehen können und somit keine Verbindung zu unserem WLAN herstellen könnten. Da wir jedoch auch solche Geräte im ODL haben und auch auf diesen testen können möchten, mussten wir eine Verschlüsselung nutzen, die für alle Geräte funktioniert. Wir minimieren das damit Risiko, das mit dieser Entscheidung einhergeht, indem wir das ODL-WLAN in Leerlaufzeiten deaktivieren. Es wird nur aktiviert, wenn aktiv getestet wird. Sicher besteht in dieser Zeit trotzdem das Risiko, dass sich jemand unbefugt Zugang zum Netzwerk verschafft. Allerdings bleiben die sensiblen Daten unserer Agentur durch unsere beschriebene Netzwerkkonfiguration weiterhin vor Übergriffen geschützt.
Zusätzliche Informationen
- Portfreigaben (Portforwarding) müssen bei diesem Netzwerk-Setup immer doppelt gepflegt werden. Alle Portfreigaben müssen sowohl im jeweiligen Subnetzwerk-Router (ROUTER 2 oder ROUTER 3) und zusätzlich im Internet-Router (ROUTER 1) eingetragen werden.
- Beim Betrieb mehrerer WLAN-Netzwerke ist es von Vorteil, diese auf verschiedene Kanäle zu legen (z.B. 1, 5 oder 1, 6, 11 bei drei WLAN-Netzwerken). Alle Netzwerke sollten auch unterschiedliche Namen (SSID) tragen.
Und sonst?
Wir sind uns darüber im Klaren, dass unser Setup nur ein mögliches von vielen darstellt. Vor dem Hintergrund unserer Voraussetzungen stellt es für uns eine praktikable Lösung dar. Solltet ihr Anregungen oder Korrekturen haben, dann gebt uns bitte einfach Bescheid oder schreibt einen entsprechenden Kommentar. Natürlich freuen wir uns auch sehr über ein einfaches Feedback, und wünschen euch viel Erfolg beim Umsetzen Eures Setups.