getrennte Netzwerke mittels DMZ(Zyxel 652R-I) und PC als Router

#1 Meine Idee ist diese:

Ich habe einen 652R-I Router/Firewall/DMZ installiert. Es läuft eine Win2003 Domäne mit 23 Clients. Der Router sorgt für den ADSL-Internetzugang und ist mit einem Gigalan 8-Port Switch (3Com 3cc16477) verbunden. Woran die Server und über einen weiteren Switch (48-Port 3Com) mit den restlichen Arbeitsstationen verbunden ist.

Jetzt das Problem/die Idee:

Ich wollte nun eine DMZ einrichten, die vom restlichen Netzerk getrennt ist. In dieser DMZ soll ein Computer stehen, der keinerlei Zugriff auf das Netzwerk der Firma hat, aber Zugriff auf das Internet. Ich habe nun 2 Lan Karten in die Kiste eingebaut. Die eine Karte wurde mit dem DMZ Port des Routers verbunden, die zweite mit einem Sepparaten Switch(älteres 3Com Modell). Das Ziel wäre, dass dieser PC über einen DHCP-Dienst IP's verteilt, ohne aber Konflikte mit dem DHCP der Domäne auszulösen. Weiter müsste er als Router funktionieren, damit man Kunden PC's schnell an den älteren Switch anschlissen kann, diese eine IP erhalten und damit auf das Internet zugreiffen können(z.b: zum download von Sicherheitsupdates). Es muss jedoch garantiert sein, dass keiner dieser Kundencomputer auf das Netzwerk zugreiffen kann, oder auf diesem Weg Viren ins Firmen Netzwerk einschleust.

Ich habe nun auf dem Router, die DMZ informationen ausgefüllt.
IP 192.168.5.1
Subnet 255.255.255.0

Weiter habe ich konfiguriert, dass die DMZ zugriff auf das WAN erhält aber nicht auf das LAN. Auch die Verbindung vom LAN in die DMZ habe ich gesperrt.
schliesse ich nun aber den PC am DMZ Port an, erhält er immer eine IP des Domänen DHCP's(192.168.1.x)... (sollte ja gesperrt sein.)wenn ich die IP manuell auf 192.168.5.1 konfiguriere, wird mir ein IP Konlikt gemeldet.


Nun die Fragen:

1. Ist meine Überlegung grundsätzlich richtig? Ist es Möglich die DMZ in dieser Weise zu nutzen? oder mache ich einen Denkfehler in der IP vergabe?

2. Hat jemand bereits eine DMZ auf dem Router 652R eingerichtet?

3. Kennt jemand eine DHCP Software? (am besten natürlich Freeware)

4. Benötige ich eine Spezielle Software, um die Kunden Computer über den RouterPC(der mit 2NIC's) auf das Internet zu schleusen? Kennt wer eine solche Software?

5. Hat jemand eine bessere Lösung?


So das wärs. Ich danke allen für Ihre Antworten und Anstrengungen. Ich bin über jeden Teilbeitrag dankbar.

Schönen Tag euch allen

#2 kann dir nur zu 3. helfen:
http://home.t-online.de/home/hanewin/dhcp-e.htm

#3 1. hmm zwei DHCP's im selben Subnetz? Funktioniert das überhaupt? Ich denke mal das sowohl 192.168.1.0 als auch 192.168.5.0 in 255.255.255.0 Subnetz sind - nimm doch für 192.168.5.0 ein anderes, um ganz sicher zu gehen. Oder noch besser warum nicht gleich für die DMZ ein A klasse netz? Wenn der Client DHCP nutzt wird er die Broadcast Adresse abfragen: 192.168.5.255 also - wird keine Probleme machen solange sicher gestellt ist das es nur einen DHCP Server gibt, ich weiß nicht was bei zweien passiert - da wird er sich bestimmt den erst besten greifen.

2. Nein.

3. Nicht für windows.

4. Ein einfacher Paketfilter der NAT beherscht reicht.

5. GNU/Linux (... oder ein anderes UNIX/POSIX falls das nicht schon der fall ist)

Ich denke aber dein Hauptproblem hat was mit der 1. zu tuen
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#4 1. Prinzipiell ja! DHCP Dienst nur auf den Adapter zum Switch konfigurieren
3. Windows 2000/2003 Server
4. entweder du routest auf dem Rechner ganz normal und nattest auf dem Router oder installierst einen Proxy
5. pass schon

r.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...