Statisches Intranet einrichten, nicht alle PCs sollen Internetzugang haben

Jonass

New member
Hallo,

ich möchte ein kleines Netzwerk einrichten, in dem ca. 20 PCs verbunden sind. Nur ein Teil der PCs soll Internetzugriff haben, ein anderer Teil aber nicht. Meine Idee wäre statische IP-Adressen für alle Geräte zu vergeben und dann keine Standardgateway-Adresse bei TCP/IP für die "LAN only" Rechner einzutragen. Dazu ein paar Fragen:

1. Ist dies das normale Vorgehen, oder gibt es da noch elegantere Wege?
2. Wie sicher sind die nicht Internetfähigen PCs wenn sie im Intranet mit internetfähigen sind.
3. Macht es Sicherheitstechnisch überhaupt einen Unterschied, oder könnten dann auch einfach alle Rechner Internetzugriff haben? (alle Internetfähigen Rechner haben lizensierten aktuellen Virenschutz, die nicht jedoch aber nicht)
4. Muss ich IPv6 auch beachten oder kann ich das für kleine LAN-Netzwerke ignorieren?

Es würde mich freuen, wenn mir ein erfahrener User diese Fragen beantworten könnte. Vielen Dank.
 

azrael783

Active member
Ich bin zwar kein Netzwerk Spezialist, habe aber mal von jemandem hier gelernt, dass Rechner innerhalb eines Netzwerkes direkt miteinander kommunizieren, ohne über den Router oder die Firewall zu gehen. In deinem Fall würde das also kein höhere Sicherheit bringen, wenn einer der Internet fähigen Rechner sich etwas einfängt kann er es auch auf die anderen nicht Internet fähigen verteilen.
Ich denke, dass man sowas nur sauber mit einer Firewall und einem Vlan fähigen Switch realisieren kann. Dann bekommen die Internet fähigen Rechner ein Vlan und die anderen eine anderes Vlan. Über die Firewall Regeln erlaubst, bzw. verbietest du dann das Internet ;)
 

tiermutter

Well-known member
Es ist für mich erstmal die große Frage, warum die Rechner kein Internet haben sollen.
a) damit das Personal nicht rumdaddelt
b) aus Sicherheitsgründen

Bei b) wäre dann ein VLAN interessant, mit dem man diese Rechner noch weiter abkapseln kann.
Bei a) wäre der angedachte, schmutzige Weg einfach das Gateway wegzunehmen allenfalls eine Lösung für daheim (mache ich bei meinem Fernseher so), aber nicht für die Arbeit. Hier wäre auch ein VLAN charmanter, alternativ würde ich auf MAC Basis jenen Rechnern, die Internet haben dürfen, dies erlauben und grundsätzlich für alle anderen sperren.

Muss ich IPv6 auch beachten oder kann ich das für kleine LAN-Netzwerke ignorieren?
IPv6 darf niemals ignoriert werden, die Größe eines Netzwerks spielt keine Rolle. v6 ist nur dann uninteressant, wenn man es im gesamten Netzwerk nicht verwendet, ansonsten übergeht v6 einfach sämtliche Restriktionen die für v4 geschaffen wurden.
 

tiermutter

Well-known member
Je nach Gegebenheit muss es übrigens nicht unbedingt ein VLAN sein, sondern kann auch ein echtes, zweites LAN sein.
 

the other

Well-known member
Moinsen und willkommen,
wie so oft im Leben kommt es darauf an: was will ich eigentlich erreichen oder vermeiden (wie @tiermutter bereits geschrieben hatte)?
Wenn du uns verraten kannst, was du mit deinem Vorhaben bezweckst, dann können wir da auch eher was zu sagen. :)

IPv6 kannst du natürlich weiterhin weglassen und ausblenden (und dann auf allen Geräten deaktivieren), so machen das vermutlich die meisten. Wenn deine Netzwerk Topologie erstmal steht, dann wäre es imho allerdings ratsam, sich mal mit dem IPv6 Thema auseinanderzusetzen, denn das geht nicht weg.

Also: führ doch mal aus, was du eigentlich willst, warum einige Rechner KEIN Internet sollen, in welchem Umfeld du das einrichten willst...
 

blurrrr

Well-known member
1. Ist dies das normale Vorgehen, oder gibt es da noch elegantere Wege?
Vernünftige Firewall mit VLAN wäre der übliche Weg, zumal dort auch alles zentral gesteuert ist.
2. Wie sicher sind die nicht Internetfähigen PCs wenn sie im Intranet mit internetfähigen sind.
Nicht sonderlich sicher, aber zumindestens können die User keine "bösen Dinge" im Internet anklicken (bei den Rechnern ohne Internetzugriff), aber s. dazu noch Punkt 3
3. Macht es Sicherheitstechnisch überhaupt einen Unterschied, oder könnten dann auch einfach alle Rechner Internetzugriff haben? (alle Internetfähigen Rechner haben lizensierten aktuellen Virenschutz, die nicht jedoch aber nicht)
Das kommt darauf an, was Du mit der Gateway-Sperre überhaupt erreichen willst (und nein "kein Internet" ist keine Antwort). Zudem hast Du automatisch das Problem, dass es keine AV-Pattern- und Windows-Updates mehr für die internetlosen Rechner gibt, ist somit auch keine Lösung. Die Windows-Updates "könnten" sie sich noch durch diese Updates-im-LAN-von-anderen-Clients-ziehen-Nummer besorgen, aber sonderlich toll ist das auch nicht. Einen WSUS werdet ihr sicherlich auch nicht haben und Updates manuell einspielen ist auch weniger schön.
4. Muss ich IPv6 auch beachten oder kann ich das für kleine LAN-Netzwerke ignorieren?
Du kannst bei einem Haus mit 2 offenen Eingängen nicht hingehen, vor einen eine Stahltür mit 50 Schlössern packen und den anderen einfach offen lassen.... Macht dann eher weniger Sinn... ;)
 

Jonass

New member
Vielen Dank für die vielen guten Antworten.
Ich hatte schon im Gefühl, dass das mit der Sicherheit mit meiner Methode nicht wirklich gewährleistet sein würde. Ich habe es aus Unwissenheit unklar formuliert, daher hier noch mal ein kurzes was ich will und warum:
Ich arbeite in einer kleinen Firma in der wir einige PCs haben, die nicht ins Internet sollen, weil sie ausschließlich Messdaten speichern sollen sowie Messgeräte ansteuern können sollen. Die PCs brauchen kein Internet und ich dachte mir kein Internet = weniger Gefahr den PC neu aufsetzen zu müssen. Das wäre ärgerlich weil die Einrichtung dieser Messgeräte z.T. sehr aufwändig ist und nur durch teure Techniker vorgenommen werden kann. Die offline-PCs sollen nur als Netzwerkordner für schnellen Datenzugriff zur Verfügung stehen, zur Steigerung des Komforts. Eure Antworten hier ergeben aus meiner Laiensicht viel Sinn, danke dafür.
Wir sind eine kleine Firma mit wenig IT-Anspruch. Dementsprechend werde ich die anfangs von mir vorgeschlagene Lösung ausprobieren. Nebenbei schaue ich mir mal an wie man ein V-LAN einrichtet und ob sich das für uns lohnt.
 

the other

Well-known member
Moinsen,
na, wenn das ganz nicht im privaten Umfeld laufen soll...hui.
Ich selber würde dann mal etwas Geld in die Hand nehmen und einen Router inkl. Firewall besorgen. Ist nicht so teuer, vernünftige Hardware und dann was gescheites (pfsense, opensense) drauf. Eure IT Abteilung sollte da eigentlich was zu gehört haben (bist du die IT Abt.?)...

Dann euer eines großes LAN mal in verschieden Subnetze oder VLANs unterteilen, da die Zugriffsrechte sauber setzen. Dann ermöglicht das auch VPN Zugänge von extern usw usw.

Im Firmenumfeld sind die (auch rechtlichen) Anforderungen nun doch etwas anders, und wohin ein falsches Sparen führen kann sieht mensch in diesem Beitrag unseres Forums:

Also: mal in Ruhe einen Plan malen, überlegen, was wer wie wohin von wo Dinge im Netzwerk darf, dann Schrittweise umsetzen...
 

tiermutter

Well-known member
Das wäre ärgerlich weil die Einrichtung dieser Messgeräte z.T. sehr aufwändig ist und nur durch teure Techniker vorgenommen werden kann.
Für sowas bieten sich bare-metal-sicherungen an. Ich klone zB die SSD solcher Systeme um im Ernstfall einen zwar älteren, aber funktionsfähigen Stand zu haben. Noch geiler sind VM, von denen man dann einfach Snapshots macht :)
 

blurrrr

Well-known member
Das wäre ärgerlich weil die Einrichtung dieser Messgeräte z.T. sehr aufwändig ist und nur durch teure Techniker vorgenommen werden kann.
Da gibt es etwas, das nennt sich "Backup"... 😉

Wir sind eine kleine Firma mit wenig IT-Anspruch
Der Gedanke ist schon grundsätzlich "falsch". Erstens fängt es mit der Definition von "klein" (1 PC? 10 PCs? Bei 5000 PCs kann man auch von "klein" sprechen, wenn man es mit einer Firma wie Amazon vergleicht, das ist also mal gar kein Maßstab).

Dazu kommt, dass ihr wohl schlichtweg die letzten Jahre (Jahrzehnte) verpennt habt. Zu "IT" gehören nicht "nur" die "PCs", sondern auch alles andere. Grade im gewerblichen Umfeld (und der Art der Daten und Datenverarbeitung) gehört da noch "einiges" mehr zu. Dazu gesellt sich noch der Umstand: Bist Du als IT-Fachkraft angestellt und hast das nötige Knowhow, oder bist Du diese "typische" Person in einer Firma, die sich einfach nur besser mit Computern auskennt als der Rest? Unterläuft Dir ein Fehler in den Konfigurationen und es entsteht ein Datenverlust/-diebstahl, etc. wird dafür keine Versicherung aufkommen. Bei 20 Computern (und einigen Angestellten) wäre es durchaus im finanziellen Rahmen, sich entsprechendes Fachpersonal (intern/extern) einzukaufen und so wird auch die Versicherung argumentieren. Es wäre also - sofern Du "nur" die "typische" Person in eurer Firma bist - durchaus ratsam, sich darüber mal Gedanken zu machen. Das aber nur als kleinen Hinweis am Rande, könnt natürlich machen wie ihr lustig seid 🙃
 

the other

Well-known member
Moinsen,
bin da ganz bei @blurrrr : eure Entscheidung.
Aber es gibt da eben so einige rechtliche Dinge im "business" Setting zu beachten...rechtlich, versicherungstechnisch, etc.

Was da ggf. vorhanden ist bzgl. regelmäßiger backup Konzepte, Netzwerksicherheit intern und extern, Aufbewahrungsfristenregelungen...das weißt du selber (oder eben der IT Beauftragte) am Besten.
Mit einem 08/15 Router a la Fritzbox sicher schwierig.
Daher: bitte nicht als mimimi verstehen, sondern das ist absolut konstruktiv und freundlich gemeinte "Kritik".
Und ja, es ist eben heutzutage ein sehr komplexer Kram, viel IT-Wissen, juristisches Wissen und Verständnis der Chefetage wird benötigt. Sonst ist das alles fies und für den/die Verantwortliche schnell nicht mehr machbar.
 
Zuletzt bearbeitet:

blurrrr

Well-known member
Btw bevor das falsch rüber kommt... man kann schon einiges selber machen, so ist es nicht. Man sollte dabei nur mit einem ordentlichen Plan an die Sache gehen (die Planung frisst dabei übrigens i.d.R. die meiste Zeit, die Umsetzung ist normalerweise relativ zügig erledigt) :)
 

Jonass

New member
Danke für die lieben Tipps! Ich verstehe das nicht als mimimi, ganz im Gegenteil. Ich bin total verzückt von diesem Forum und sehe keine unnötige Profilierung :)
Ich finde auch es sollte mehr Geld für ein ordentliches Netzwerk in die Hand genommen werden. Wir haben keine IT-Abteilung, ich bin nur der PC-affinste (richtig geraten) aber eine externe IT-Firma berät uns und hat weit vor meiner Zeit hier alles eingerichtet (da waren die offline Rechner aber noch nicht am Netz). Vielleicht sollte ich mich erst noch mal mit denen unterhalten.
Zur Datensicherung haben wir gute Systeme, soweit ich das beurteilen kann (Acronis an den Workstations und wöchentlicher Tausch der Server-Backup-Kassetten). Ich denke mal der Chef wird es auch einsehen noch mal ein paar Taler zu investieren, wenn man es ihm schmackhaft macht.
Ich habe mich schon etwas dumm ausgedrückt, die Grundsätze von Datensicherung und "IT" sind mir (so denke ich) schon klar, nur wird/wurde da bisher sehr wenig wert drauf gelegt in diesem Unternehmen.
(Das mit dem Backup zur Wiederherstellung der Messrechner ist zwar prinzipiell richtig, aber bei diesen Geräten und der Software dazu ist ein einfaches Backup z.T. nicht ausreichend, um das Gerät wieder in Betrieb nehmen zu können, fragt mich nicht warum).
 

blurrrr

Well-known member
Vielleicht sollte ich mich erst noch mal mit denen unterhalten.
Richtige Einstellung! (y):)
Zur Datensicherung haben wir gute Systeme, soweit ich das beurteilen kann (Acronis an den Workstations und wöchentlicher Tausch der Server-Backup-Kassetten).
Einfach nur "machen" reicht da übrigens nicht aus, man sollte zumindestens mal "stichprobenartig" auch kontrollieren, ob die Backups auch "funktionieren". Zudem sollte man gewisse Backups ggf. auch offline/ausser Haus lagern (zumindestens ein Vollbackup, z.B. monatlich, wo alles wirklich "wichtige" dabei ist, je nach Kritizität und Schaden ggf. auch in kürzeren Intervallen).
nur wird/wurde da bisher sehr wenig wert drauf gelegt in diesem Unternehmen.
So ist das leider in vielen Firmen, wobei die meisten "sehen", dass "ohne die IT" meistens garnichts mehr läuft (und das geht dann auch richtig ins Geld, da in solchen Situationen auch gern blind irgendwelche Schnellschüsse getätigt werden). Deswegen ja auch immer "mit Plan" ("Notfallplan" wäre da auch so ein Stichwort), gehört also schon so einiges zu...

Die Idee mit dem externen Unternehmen zu sprechen ist sicherlich nicht verkehrt... Denke, die initiale Frage könnte schon lauten: "Angenommen wir würden alles richtig und vernünftig machen wollen, was bräuchten wir wirklich?" Da muss dann aber auch nochmal unterschieden werden zwischen "zwingend" nötig (Aufrechterhaltung der Infrastruktur, Sicherheit, Datenschutz, usw.) vs. "nice2have".

Ich sag einfach mal... wird schon schief gehen und toi toi toi! ☺️
 

RichardB

Active member
Wir sind eine kleine Firma mit wenig IT-Anspruch. Dementsprechend werde ich die anfangs von mir vorgeschlagene Lösung ausprobieren. Nebenbei schaue ich mir mal an wie man ein V-LAN einrichtet und ob sich das für uns lohnt.
Kleine Firma, wenig IT-Anspruch. Ja, ja. Wenn einige Rechner wirklich nur interne Funktionen erfüllen, richte doch einfach ein eigenes Sub-Net (ohne WWW) dafür ein (Nachteil: die bekommen keine direkten Updates). Ich würde das aus Komfort-Gründen nicht machen. Nur bei 20 Rechnern MUSS jemand, der weiß, was er tut, für die IT zuständig sein, das geht gar nicht anders.

Mein Tipp: Überlege Dir ein Konzept, zeig es jemandem wie z.B. @blurrrr und lass es dann von dem umsetzen (und wenn der Typ gut ist, gleich Wartungsvertrag mitabschließen). Kostet ein wenig, lässt Dich aber als Chef ruhig schlafen.
 

FSC830

Active member
...Das mit dem Backup zur Wiederherstellung der Messrechner ist zwar prinzipiell richtig, aber bei diesen Geräten und der Software dazu ist ein einfaches Backup z.T. nicht ausreichend, um das Gerät wieder in Betrieb nehmen zu können, fragt mich nicht warum...
Aber natürlich fragen wir nach dem warum, denn das ist eigentlich ein No-go für den Einsatz solcher Software!
Ein bare-metal Backup/Restore muss möglich sein, sonst ist man bei einem Ausfall mehr als gekniffen!
Wenn die SW irgenwelche seltsamen Dinge macht, z.B. S/N von Komponenten abfragt, dann wäre ein Austausch der Hardware nicht möglich, so etwas habe ich z.B. beim Austausch von Displays bei Notebooks schon erlebt. Da war es aber so, das eine "einfache" Reparatur Installation alles wieder hergestellt hat (Windows 8.1 war das).
Aber wenn die SW aus einer solchen S/N einen Lizenzkey generiert, der dann nicht mehr passt, dann ist das einfach nicht gut gemacht!
Jemanden dadurch einer Backup Möglichkeit zu berauben ist für mich schon fast Vorsatz.

Gruss
 

the other

Well-known member
Moinsen,
eben: freundlich fragen ergibt meist hilfreiche Antworten. Und wenn die das alles damals eingerichtet haben, ihr ansonsten auch zufrieden seid...dann die wieder mit dazu holen.
Aber bei ner Firma würde ich erstmal pauschal sagen: Segmentierung (und dann eben auch richtig nicht mit zig ollen Fritzboxen kaskadieren :) ) muss eh sein, VPN auch, ggf. noch was Gescheites zum Authentifizieren im Netzwerk...da kommt schon was zusammen an Arbeit. Das kann aber ein gutes Gerät auch leisten. Muss halt wer ran und machen...
;)
 

blurrrr

Well-known member
Kleine Ergänzung am Rande, wo ich eh eine Zeichnung erstellt habe, kannst Dir mal dieses Konzept hier anschauen, da wird ungefähr klar, wie das mit der Segmentierung/Trennung gemeint ist: https://forum.heimnetz.de/threads/probleme-bei-syno-dhcp-und-dns.928/post-13392. Da wird Dir Dein externer Dienstleister aber auch nichts anderes erzählen, Regelset ist bei euch dann ggf. etwas anders ("internetlose" Clients dürfen dann eben nur auf die benötigten Update-Server zugreifen, etc.) 🙃
 

Jonass

New member
Hey vielen Dank für die Skizze! Ich habe jetzt den Internetzugriff der Messrechner über den Router und nicht über das weglassen des Standartgateways deaktiviert (per Kindersicherung Internet gesperrt). Jetzt ist der PC zwar noch im Netzwerk, aber ohne Internet, so wie zunächst gewollt. Allerdings wird der angeschlossene WLAN-Drucker jetzt nicht mehr erkannt. Davor konnte man ihn problemlos ansteuern. Der Druckerzugriff sollte doch eigentlich getrennt vom Internetzugriff sein, oder stell ich mir das wieder zu einfach vor?
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
969
Beiträge
14.044
Mitglieder
500
Neuestes Mitglied
McKay1408
Oben