Moin!

Ja, das war es auch was mich bisher hat scheitern lassen. Ich habe jetzt 2 getrennte IP-Netze angelegt:
A) PC1 DSL-Modem
B) PC1 PC2 PC3 & die Drucker

(den AP lass ich jetzt erst mal weg)

PC2 PC3 haben feste IPs aus B), ohne Standardgateway und DNS-Servereintrag.
(Können also drucken, untereinander austauschen und zu PC1 verbinden)

PC1 hat "2 Netz-Karten", eine IP aus B), ohne Gateway- und DSN-Servereintrag, und eine aus Netz A), in dem auch der DSL-Router zu erreichen ist. Hier ist die Router-IP als Gateway und DSN-Server eingetragen. Auf PC1 läuft u.a. ein Hamster-Mailserver (die lokalen Server jetzt an die IP aus Netz B) gebunden)

Zu diesem Abschnitt habe ich mehrere Bemerkungen...

Erstens mal eine Begriffsklärung: Was genau meinst du denn jetzt mit der Begriffskombi "DSL-Modem" oder "DSL-Router"? Ein Modem ist ein Gerät, an das man ein Netzwerkkabel steckt, die Software für den Internetzugang muß man aber auf dem angeschlossenen Rechner ausführen. Ein Router ist ein eigenständiger Embedded-Computer, der den Zugang herstellt, ohne dass auf dem PC spezielle Software ausgeführt wird.

Hast du "nur" ein Modem, ist natürlich alles, was durch das daran angeschlossene Netzwerkkabel "reinkommt", das pure böse Internet, und das muß natürlich abgeschirmt werden.

Aber hättest du einen Router, dann wäre genau der dafür zuständig und nimmt die Abschirmung größtenteils schon vor - Details wären im Konfigurationsdialog der zweifelsfrei integrierten Firewall einzustellen.

Wenn aber ein Router schon existiert, dann wäre genau DER verantwortlich für jegliche Art von Internet-Sicherheit. Nagut, selbstverständlich sind auch internet-nutzende Clientprogramme wie Browser, Mailclients etc. für die Sicherheit zuständig, also hinsichtlich Updates etc., aber was die nicht freiwillig aus dem Netz anfordern, läßt der DSL-Router halt gar nicht erst durch. Sehr praktisch, sowas.

Zweite Bemerkung zum Hamster-Mailserver: Ja, Server allgemein und auch Mailserver im speziellen selbst zu betreiben ist nett, ich werde aber nicht müde zu wiederholen, dass der direkte Mailversand von dynamischen IP-Adressen, wie sie bei DSL-Anschlüssen verbreitet sind, nur noch sehr selten funktioniert wegen der vielen Spammer. Kurz gesagt: Funzt nur mit "Smarthost", also einem externen, realen Mailserver mit fixer IP, über den der gesamte Mailverkehr läuft. Ich hoffe, du hast das so eingerichtet.

Und es ist sowieso eine blöde Idee, ggf. "Sicherheit" als Grund anzuführen, die sich darauf verlassen muß, dass der Netzteilnehmer sich "brav" verhält und einfach nur "sein" VLAN auswertet, und nicht die Daten, die er sonst noch abbekommt.

Ähm? Netzwerk-Sniffing? Oder noch Schlimmeres?

Es ist doch so, das PC2 + PC3 jetzt nicht mehr ins Internet kommen und von dort dann auch nicht erreichbar sind, aber trotzdem Mailen können, wenn PC1 online ist. Und das bringt nichts an Sicherheit?

Ich frage mich, was es bringen soll, einen PC nicht ins Internet zu lassen. Und gerade aus Sicherheitsaspekten sind regelmäßige Updates, über die dich der PC ja mit Auto-Update-Funktion nur informiert, wenn er online gehen kann, ja eigentlich unabdingbar.

Sprich: Ein PC, der nicht beliebig online kann, aber Mails empfängt, ist deutlich anfälliger, als einer, der auf dem neuesten Softwarestand gehalten wird.

Dein initialer Gedanke, das System von "bösem" fernzuhalten, hält es nicht komplett fern, sondern nur sehr halbherzig - dummerweise aber komplett von "gutem", so dass unter dem Strich ein Minus an Sicherheit entsteht.

Deine Überlegung ist, dass, wenn ein böses Programm auf einem der abgeschotteten PCs ausgeführt würde, es dann wenigstens nicht online kommt. Dieser Gedanke setzt zu spät an. Wenn ein böses Programm auf dem Rechner gestartet wurde, ist sowieso alles zu spät, und der Schutz "kann nicht online" ist wirklich nur eine sehr kleine Hürde.

Also, es ist ja so, das ich die PCs mit niemandem teilen muß. Es sind auch 'Gott sei Dank' nicht immer alle an. Deshalb ist hier ein braves Verhalten (von mir) gegeben ;-)

Aber es kommt ja doch das Thema "Accesspoint" wieder ins Spiel. Und da sind Rechner angeschlossen, die nicht 100% unter deiner Kontrolle stehen. Und sowieso weiß man ja nicht, ob sich nicht jemand mal mit einem Kabel wo anstöpselt, sofern's zugänglich ist.

Ok, soweit ich das jetzt verstehe, ist das aber anders, wenn ich in Netz A) auch noch den WLan-AP einhänge. Hierfür ein eigenes Netz geht so nicht, weil der DSL-Router ja nur eine IP hat. Also sind PC1 und der AP dann immer im selben Netz :(

Die Linksys WRT54G (oder GL) haben, obwohl in der Standard-Firmware nicht flexibel nutzbar, ebenfalls einen VLAN-Switch intern eingebaut (andere Dinger vermutlich auch, weiß ich aus dem Kopf nicht). Mit der passenden Firmware (DD-WRT oder OpenWRT etc.) kann man das Teil aber komplett flexibel konfigurieren. Dann hast du DSL-Router, WLAN und vier weitere LAN-Buchsen, die du im Prinzip beliebig auf VLANs verteilen könntest. Logischerweise ist dann auch konfigurierbar, dass das WLAN nur ins Internet darf, dass LAN-Buchse 1 zwei VLANs (eins ins Internet und eins für intern) kriegt (der angeschlossene PC muß dann die zwei VLANs ebenfalls auseinanderhalten), und die restlichen Buchsen kriegen nur das interne Netz. Dürfte insgesamt auch kaskadierbar sein mit deinem jetzt vorhandenen Switch, VLAN ist ja IEEE-Standard.

Aber der Kernpunkt dabei ist, dass diese Abschottung oder "Sicherheit" kein Feature von VLAN ist, sondern von "Routing". Ohne passend konfigurierten Router (der zwingenderweise Kontakt zu allen Subnetzen, egal ob per VLAN oder Kabel "getaggt", benötigt) kriegst du die Datenströme nicht korrekt weitervermittelt.

- Sven Rautenberg