Homeserver Forum

wenn du im ersten post sofort eine GUI erwähnt hättest dann hätten wir uns einige posts schenken können

http://www.netzwelt.de/download/15198-netsend-gui.html

Hallo Roland

Hallo!

"Ich sehe zwar keinen Grund DHCP zu verweigern, es stellt aber in dem Zusammenhang überhaupt keinen Unterschied dar.
(Ach ja, und MAC-Filter ist nur eine Abschreibaufgabe für den Admin, aber in keiner Form ein Sicherheitsgewinn!)"

Nenn es paranoid, aber ohne DHCP bekommt ein Fremder auch nicht zufällig eine Adresse zugewiesen und die Mac-Filterung ist von außen schon ein Sicherheitsgewinn, da per WLAN nur die Geräte akzeptiert werden, deren Mac-Adressen hinterlegt sind.
Ich bin der "Administrator" des Servers, aber ohne die Zugangsdaten des Routers vom anderen Netz, bekomme ich aber nichts gelesen, wenn ich auch noch so gut schreiben kann...

"Ich komme aber frühestens morgen abends dazu (fahre morgen aus dem Urlaub nach Hause )."

Das werde ich gerade noch so überleben...

"Am einfachsten bitte ALLE IP-Adressen (Router1 und Router2, jeweils WAN und LAN, W920V LAN, alle Subnetmasks und Gateways) angeben. Die Konfiguration des WHS würde mich ausch insteressieren.
Eventuell auch Modellbezeichenung von den beiden Routern."

Router1:

IP-Bereich: 192.178.098.170 - 192.178.098.200 Sub: 255.255.255.0 Gatew: 192.178.098.099
WAN: 192.178.100.120

Router 2:

IP-Bereich: 192.178.088.170 - 192.178.088.200 Sub: 255.255.255.0 Gatew: 192.178.088.099
WAN: 192.178.100.110

W920V (WLAN abgeschaltet) fungiert nur als "DSL-Modem" - Am abgeschalteten DSL-Port kommt die Funkantenne rein und unsere Router sind an LAN1 und LAN2 angestöpselt

Konfiguration des WHS steht in der Signatur. Die jeweilige Netzwerkkarte ist auf die letzte freigegebene Adresse fest eingestellt, obwohl das ja recht uninteressant sein dürfte, da Du ja den Server eh nicht wolltest...

MfG

IRATA

Auch wenn das ein bischen off-Topic ist, aber...

IRATA hat geschrieben:Nenn es paranoid, aber ohne DHCP bekommt ein Fremder auch nicht zufällig eine Adresse zugewiesen und die Mac-Filterung ist von außen schon ein Sicherheitsgewinn, da per WLAN nur die Geräte akzeptiert werden, deren Mac-Adressen hinterlegt sind.

Sorry, das ist Unsinn und schreckt allenfalls Anfänger ab - z.B. meinen Sohn (12) dem noch nicht klar ist, dass ich zwar das WLAN an- und abschalte, das gelbe Kabel aber immer an ist...
Ein richtiger Hacker gibt sich selbst eine geeignete Adresse und verwendet ggfs. auch eine bekannte MAC-Adresse. Ich hoffe Du hast keinen ungeschützt zugänglichen Ethernetport und im WLAN WPA2 und vernünftige Passwörter - das bringt wirlich Sicherheit, der Verzicht auf DHCP etc. hingegen erhöht nur Deinen Administrationsaufwand...

IRATA hat geschrieben:Ich bin der "Administrator" des Servers, aber ohne die Zugangsdaten des Routers vom anderen Netz, bekomme ich aber nichts gelesen, wenn ich auch noch so gut schreiben kann...

Auch das stimmt jetzt nur weil alle Router und moderne Bridges/Switches den Verkehr nur auf der Leitung (einschließlich WLAN) senden für den er bestimmt ist. Sonst kannst Du (oder ein einigemaßen begabter Hacker) Deinen Server oder dessen MAC-Adresse (ist ja wohl bekannt) zum Hacken benutzen und mit großer Wahrscheinlichkeit alles relevante (von MAC Adressen bis Passwörtern - wer verwendet denn schon https zum Router konfigurieren?) belauschen...
Gruß Joachim

Hallo!

IRATA hat geschrieben:(Ach ja, und MAC-Filter ist nur eine Abschreibaufgabe für den Admin, aber in keiner Form ein Sicherheitsgewinn!)"

Nenn es paranoid, aber ohne DHCP bekommt ein Fremder auch nicht zufällig eine Adresse zugewiesen und die Mac-Filterung ist von außen schon ein Sicherheitsgewinn, da per WLAN nur die Geräte akzeptiert werden, deren Mac-Adressen hinterlegt sind.

Sorry, wie schon geschrieben, das ist nur mehr Aufwand für den Admin, sonst nichts.

Um die MAC-Filterung auszuhebeln, genügt es ein einziges Paket mitzuhören! Das war es dann mit Sicherheit.
Und die IPs von Sender und Empfänger werden mit diesem einen Paket gleich frei Haus mitgeliefert.
Als potentieller Angreifer versuch ich es dann eben mit einer anderen IP, um keine IP-Konflikte zu provozieren.

Als Sicherheit einzig sinnvoll ist eine starke Verschlüsselung, nach heutigen Erkenntnissen mindestens WPA, besser WPA2.

Router1:

IP-Bereich: 192.178.098.170 - 192.178.098.200 Sub: 255.255.255.0 Gatew: 192.178.098.099
WAN: 192.178.100.120

Ok, IP-Bereich stimmt nicht mit Subnetmask überein, kann mir aber vorstellen, was du meinst (oder der Router ).
Und dann bitte bei IP-Adressen keine führende 0 schreiben. in der üblichen Notation bedeutet das nämlich eine Oktalzahl! Versuch einmal einen Ping ohne führenden Nullen, und dann mit...
Aber auch da, ich weiß, was du meinst.

W920V (WLAN abgeschaltet) fungiert nur als "DSL-Modem" - Am abgeschalteten DSL-Port kommt die Funkantenne rein und unsere Router sind an LAN1 und LAN2 angestöpselt

Das hingegen ist mir völlig unverständlich.
An den abgeschalteten Port wird was angeschlossen?!
Auch egal, ich interpretiere das so, wie in meiner gestrigen Zeichnung dargestellt.

Also mein Lösungsvorschlag:

Da alles private IP-Bereiche sind, die nicht geroutet werden, müssen jeweils statische Routen dafür gesetzt werden.

Im Router1 (dessen Modell du leider nicht angegeben hast und ich so nicht schauen konnte, ob das der Router kann) folgendes:
Die Windows- (und ich glaub auch fast die Linux-) Schreibweise wäre Also nach Schema Zielnetz - Subnetmask - weiterleitendes Interface

Analog dazu im Router2: Und im W920V: Also wenn du von LAN1 ein Paket ans LAN2 absendest, würde der Router1 das Paket verwerfen, da private IP. So aber sendet er es auf dem WAN-Port weiter.
Der W920V fühlt sich zuständig und (da nicht im 192.168.100.0-Netz) sendet es (anstatt ins Internet) aufs WAN-Interface des Routers2
Der verteilt es dann in seinem Zielnetz direkt an den Empfänger.

(Bitte nochmals selbst überdenken, mein Hirn ist noch etwas auf der Straße... )

Konfiguration des WHS steht in der Signatur. Die jeweilige Netzwerkkarte ist auf die letzte freigegebene Adresse fest eingestellt, obwohl das ja recht uninteressant sein dürfte, da Du ja den Server eh nicht wolltest...

Tja, nicht so wichtig, hätte mich nur interessiert, wie du das Standardgateway gelöst hast.


Roland