43
2 getrennten Netzwerke - zugriff auf Netzwerkdrucker Netzwerk 1 wie möglich?
Hallo,
wir haben zwei Netzwerke, eines mit 5 PC's (NET1), dass nur zum surfen da ist. Das andere mit 7 PC's (NET2), auf dem Bürosoftware, ect. läuft. An diesem Netzwerk (NET2) hängt ein Netzwerk-Multifunktionsfarblaserkopierer. Diese diente zu Drucken der Dokumente, insbesondere Bilder.
Nun sind wir auf eine andere Software umgestiegen, die einen Internetzugang benötigt. 2 von den 7 PC (NET2) kommen jetzt an das Netzwerk (NET1) mit Internet. Diese müßen aber wie die aus NET2 nun auch auf dem Netzwerk-Multifunktionsfarblaserkopierer zugreifen können. Jedes Netzwerk verfügt über einen seperaten Switch.
Wie kann ich es lösen, dass nun aus beiden Netzwerken dieser Netzwerk-Multifunktionsfarblaserkopierer genutzt werden kann, ohne dass ein Datenaustasch von den Rechner im NET1 zu NET2 möglich ist und das NET2 nach wie vor sicher ist - im NET2 laufen alle PC's on AV!
Gruß
wir haben zwei Netzwerke, eines mit 5 PC's (NET1), dass nur zum surfen da ist. Das andere mit 7 PC's (NET2), auf dem Bürosoftware, ect. läuft. An diesem Netzwerk (NET2) hängt ein Netzwerk-Multifunktionsfarblaserkopierer. Diese diente zu Drucken der Dokumente, insbesondere Bilder.
Nun sind wir auf eine andere Software umgestiegen, die einen Internetzugang benötigt. 2 von den 7 PC (NET2) kommen jetzt an das Netzwerk (NET1) mit Internet. Diese müßen aber wie die aus NET2 nun auch auf dem Netzwerk-Multifunktionsfarblaserkopierer zugreifen können. Jedes Netzwerk verfügt über einen seperaten Switch.
Wie kann ich es lösen, dass nun aus beiden Netzwerken dieser Netzwerk-Multifunktionsfarblaserkopierer genutzt werden kann, ohne dass ein Datenaustasch von den Rechner im NET1 zu NET2 möglich ist und das NET2 nach wie vor sicher ist - im NET2 laufen alle PC's on AV!
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 138779
Url: https://administrator.de/contentid/138779
Ausgedruckt am: 26.11.2024 um 00:11 Uhr
43 Kommentare
Neuester Kommentar
Drucker in eigenes Subnetz packen und Firewall richtig konfigurieren?
Die beiden Netzwerke haben ja unterschiedliche Subnetze, in einem davon hängt ja der Drucker. Benötigt man da noch einen Router oder Switch den ich dann vor den Drucker hänge oder wie soll das gehen?
Hallo,
das kommt auf deine HArdware und dein Budget an.
Wenn deine beiden Switche managebar sind und VLANs unterstützen packst du die Clients in je ein Subnetz und den Drucker in ein eigenes VLAN und routest zwischen den Netzen.
Was für Switche und was füt eine Router setzt ihr den ein?
brammer
das kommt auf deine HArdware und dein Budget an.
Wenn deine beiden Switche managebar sind und VLANs unterstützen packst du die Clients in je ein Subnetz und den Drucker in ein eigenes VLAN und routest zwischen den Netzen.
Was für Switche und was füt eine Router setzt ihr den ein?
brammer
Du steckst in einen der Rechner einfach für 4 Euro eine 2te Netzwerkkarte und aktivierst dort das Routing wie es in diesem Tutorial erklärt ist:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Das wäre die einfachste Lösung die dich schnell zum Ziel führt.
Allerdings hat diese Lösung den nachteil, das dieser rechner mit den 2 NICs immer laufen muss damit du auch drucken kannst aus dem anderen Netz ! Ggf. also eher den Server mit 2 NICs ausstatten, der so oder so immer rennt.
Technisch besser ist es einen kleinen billigen DSL Router mit abschaltbarem NAT (Adress Translation) zu verwenden wie z. B. einen Linksys WRT54 mit DD-WRT Firmware oder einen Edimax-6214K oder GetNet_GR-154 oder andere billige 2 Port Router ohne NAT.
Damit kannst du dann für nicht mehr als 20 Euro beide netze koppen und problemlos mit allen Clients auf dem Drucker drucken !
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Das wäre die einfachste Lösung die dich schnell zum Ziel führt.
Allerdings hat diese Lösung den nachteil, das dieser rechner mit den 2 NICs immer laufen muss damit du auch drucken kannst aus dem anderen Netz ! Ggf. also eher den Server mit 2 NICs ausstatten, der so oder so immer rennt.
Technisch besser ist es einen kleinen billigen DSL Router mit abschaltbarem NAT (Adress Translation) zu verwenden wie z. B. einen Linksys WRT54 mit DD-WRT Firmware oder einen Edimax-6214K oder GetNet_GR-154 oder andere billige 2 Port Router ohne NAT.
Damit kannst du dann für nicht mehr als 20 Euro beide netze koppen und problemlos mit allen Clients auf dem Drucker drucken !
@ Brammer...diese Switche verwenden wir:
http://www.nwlab.net/netzwerktechnik/TRENDnet-TEG-224WSplus-256.html
Sind managebar und unterstützen meines wissens Vlan. Aber wie mache ich das. Die Rechner bekommen je von einem Gateway-Rechner die IP und auch die DHCP. Der Drucker hat eine feste IP.
Gruß
http://www.nwlab.net/netzwerktechnik/TRENDnet-TEG-224WSplus-256.html
Sind managebar und unterstützen meines wissens Vlan. Aber wie mache ich das. Die Rechner bekommen je von einem Gateway-Rechner die IP und auch die DHCP. Der Drucker hat eine feste IP.
Gruß
Ach ja, der Router ist von O2 um halt ins Internet zu kommen...
Kann aber auch noch einen kaufen, die kosten ja nicht die Welt...
Kann aber auch noch einen kaufen, die kosten ja nicht die Welt...
So ist es ! Die o.a. Koppelrouter kosten 20 Euronen. Du musst allerdings zwingend darauf achten das das NAT Feature abschaltbar ist und das die Router keine integrierten DSL Modems haben. Die o.a. Router supporten diese Voraussetzung !
Du musst extern zwischen den beiden Netzen routen, denn deine Switches supporten KEIN Layer 3 Switching also Routing im Switch selber.
Wenn du alles richtig gemacht hast sieht dein Netz dann so aus:
Deine Switches sind auch VLAN fähig !! Wenn du deine beiden Netze Netz-1 und netz-2 auf 2 VLANs auf den Switches verteilt hast kannst du auch mit einem VLAN fähigen Router zwischen beiden Routen.
Wie das z.B. genau geht beschreibt dir dieses Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Alle drei Lösungen führen dich zum Erfolg bzw. zum Drucken !
Du musst extern zwischen den beiden Netzen routen, denn deine Switches supporten KEIN Layer 3 Switching also Routing im Switch selber.
Wenn du alles richtig gemacht hast sieht dein Netz dann so aus:
Deine Switches sind auch VLAN fähig !! Wenn du deine beiden Netze Netz-1 und netz-2 auf 2 VLANs auf den Switches verteilt hast kannst du auch mit einem VLAN fähigen Router zwischen beiden Routen.
Wie das z.B. genau geht beschreibt dir dieses Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Alle drei Lösungen führen dich zum Erfolg bzw. zum Drucken !
Hi,
sind die o.a. Router auch VLAN fähig?
D.h. ich komme nicht daran vorbei, VLAN's zuerstellen?
Durch den Router ist es aber nicht möglich vom VLAN2 in das Inet zu gehen oder? Das darf auf jeden Fall nicht sein.
ICh werde mir mal die Anelitung durchlesen, danke, hoffe ich versteht das!
GRuß
sind die o.a. Router auch VLAN fähig?
D.h. ich komme nicht daran vorbei, VLAN's zuerstellen?
Durch den Router ist es aber nicht möglich vom VLAN2 in das Inet zu gehen oder? Das darf auf jeden Fall nicht sein.
ICh werde mir mal die Anelitung durchlesen, danke, hoffe ich versteht das!
GRuß
Nein, dann hast du es falsch verstanden oder nicht richtig gelesen:
Nein, VLANs benötigst du nicht, wäre nur eine Option !
Die Zeichnung oben zeigt dir ja wie es ganz normal ohne VLANs mit deinem beiden Switches und einem 20 Euro Router funktioniert...oder eben mit 2 NICs in einem PC !
Wenn du VLAN hast (oder hättest) wäre auch die o.a. Lösung mit der kostenlosen Monowall oder PFSENSE und VLANs möglich !
Nein, VLANs benötigst du nicht, wäre nur eine Option !
Die Zeichnung oben zeigt dir ja wie es ganz normal ohne VLANs mit deinem beiden Switches und einem 20 Euro Router funktioniert...oder eben mit 2 NICs in einem PC !
Wenn du VLAN hast (oder hättest) wäre auch die o.a. Lösung mit der kostenlosen Monowall oder PFSENSE und VLANs möglich !
Grobe Beispielkonfiguration für einen MikroTik Router Mikrotik RB750 - Quick Review (portbasiert):
Monowall/pfsense sind in der Firewall-Konfiguration noch etwas leichter.
/int eth
set 0 name=ether1-internet comment="Netz mit dem Internet-Router"
set 1 name=ether2-lan1 comment="Netz mit Internet-Clients"
set 2 name=ether3-lan2 comment="Netz mit anderen Clients"
set 3 name=ether4-common comment="Drucker etc."
/ip addr
add int=ether1 addr=192.168.0.2/24
add int=ether2 addr=192.168.33.1/24
add int=ether3 addr=192.168.34.1/24
add int=ether4 addr=192.168.35.1/24
/ip route
add dst=0.0.0.0/0 gatew=192.168.0.254
/ip fire nat
add chain=srcnat out-interf=ether1 action=masq comment="Traffic zum Upstream-Router NATten, damit wir keine Rueckrouten brauchen"
/ip dns
set allow-remote=yes
/ip fire filter
add chain=forward connection-sate=invalid action=drop
add chain=forward connection-state=established action=accept comment="Conntrack: bestehend"
add chain=forward connection-state=related action=accept comment="Conntrack: related"
add chain=forward in-interf=ether2 out-interf=ether1 action=allow comment="Internet-Zugriff fuer NET1 zulassen"
add chain=forward in-interf=ether2 out-interf=ether4 action=allow comment="Zugriff auf Drucker aus NET1 zulassen"
add chain=forward in-interf=ether3 out-interf=ether4 action=allow comment="Zugriff auf Drucker aus NET2 zulassen"
add chain=forward action=drop comment="Last rule: Alles verwerfen" Monowall/pfsense sind in der Firewall-Konfiguration noch etwas leichter.
Ok,
dann habe ich es falsch verstanden.
D.h. der MikroTik Router würde damit funktionieren? Dann bestell ich den mal, da die Konfiguration auch schon so schön hier steht. Oder gibt es einen besseren und leichter zu konfigurierbaren Router?
add int=ether1 addr=192.168.0.2/24 -> was bedeutet die /24 eigentlich? Ist das eine IP range?
dann habe ich es falsch verstanden.
D.h. der MikroTik Router würde damit funktionieren? Dann bestell ich den mal, da die Konfiguration auch schon so schön hier steht. Oder gibt es einen besseren und leichter zu konfigurierbaren Router?
add int=ether1 addr=192.168.0.2/24 -> was bedeutet die /24 eigentlich? Ist das eine IP range?
und leichter zu konfigurierbaren Router?
Leichter zu konfigurieren auf jeden Fall (wie aqui schon sagte monowall/pfsense).
RouterOS kann für Anfänger ziemlich einschüchternd sein.
was bedeutet die /24 eigentlich? Ist das eine IP range?
/24 bedeutet, dass die ersten 24 Bit der Subnetzmaske (von links) auf 1 stehen.Dezimal dargestellt ergibt sich dann
255.255.255.0
Naja ich denke dann kann man mit Eurer Hilfe hier schon hin bekommen, ist ja kein Netzwerk mit 100 Rechner...
Ich besorg das Teil und schau mal wie weit ich komm.
Die Ip des LAN1 sind ja
192.168.0.33
192.168.0.34
192.168.0.35
wie gebe ich diese ein?
add int=ether1 addr=192.168.0.33/24
add int=ether1 addr=192.168.0.34/24
add int=ether1 addr=192.168.0.35/24
so?
Den Rest deiner Konfiguration kann ich ja so übernehmen oder muss noch was geändert werden ausser der IP's?
Kann ich diese Einstellungen auch über die Webbox machen oder geht das nur über den Terminal?
Ich besorg das Teil und schau mal wie weit ich komm.
Die Ip des LAN1 sind ja
192.168.0.33
192.168.0.34
192.168.0.35
wie gebe ich diese ein?
add int=ether1 addr=192.168.0.33/24
add int=ether1 addr=192.168.0.34/24
add int=ether1 addr=192.168.0.35/24
so?
Den Rest deiner Konfiguration kann ich ja so übernehmen oder muss noch was geändert werden ausser der IP's?
Kann ich diese Einstellungen auch über die Webbox machen oder geht das nur über den Terminal?
add int=ether1 addr=192.168.0.33/24
add int=ether1 addr=192.168.0.34/24
add int=ether1 addr=192.168.0.35/24
add int=ether1 addr=192.168.0.34/24
add int=ether1 addr=192.168.0.35/24
Das passt nicht.
Die IPs sind ja alle im selben Subnetz.
Eine mögliche Konfiguration wäre
add int=ether1 addr=192.168.33.1/24
add int=ether1 addr=192.168.34.1/24
add int=ether1 addr=192.168.35.1/24Kann ich diese Einstellungen auch über die Webbox machen
Webbox würde ich meiden.
Es ist ein relativ grundsätzliches Interface was viele Einstellungen automatisch macht und damit nicht unbedingt gut funktioniert wenn man andere Einstellungen von Hand setzt.
Ok,
ich dachte immer man ändert für jedes Netzwerk die letzte Range - versteh ich jetzt nicht?!
192.168.1.X
D.h. dann, ich änder die IPs aller Rechner wie folgt ab
192.168.XXX.1
und adde die dann nach einander in dem Router, wobei ich jedem Rechner differenziert ether1 oder 2 zuweise?
ich dachte immer man ändert für jedes Netzwerk die letzte Range - versteh ich jetzt nicht?!
192.168.1.X
D.h. dann, ich änder die IPs aller Rechner wie folgt ab
192.168.XXX.1
und adde die dann nach einander in dem Router, wobei ich jedem Rechner differenziert ether1 oder 2 zuweise?
Jetzt komme ich nicht mit.
Diese Einstellung weist dem Router auf Port 2 die IP-Adresse 192.168.33.1 und die Subnetzmaske 255.255.255.0 zu.
Alle anderen Rechner, die irgendwie (über Switch, Hub, etc.) an diesem Port hängen müssen dann eine IP zwischen 192.168.33.2 und 192.168.33.254 haben.
Gleiches Spielchen für das nächste Interface
Diese Einstellung weist dem Router auf Port 3 die IP-Adresse 192.168.34.1 und die Subnetzmaske 255.255.255.0 zu.
Alle anderen Rechner, die irgendwie (über Switch, Hub, etc.) an diesem Port hängen müssen dann eine IP zwischen 192.168.34.2 und 192.168.34.254 haben.
usw.
In meinem Beispiel oben habe ich 4 Interfaces/Subnetze konfiguriert:
Natürlich könnte man den bisherigen DSL-Router auch rauswerfen und das direkt mit dem Mikrotik machen, aber dann werden die Firewall-Regeln noch komplizierter, weshalb ich das mal gelassen habe.
add int=ether2 addr=192.168.33.1/24 Diese Einstellung weist dem Router auf Port 2 die IP-Adresse 192.168.33.1 und die Subnetzmaske 255.255.255.0 zu.
Alle anderen Rechner, die irgendwie (über Switch, Hub, etc.) an diesem Port hängen müssen dann eine IP zwischen 192.168.33.2 und 192.168.33.254 haben.
Gleiches Spielchen für das nächste Interface
add int=ether3 addr=192.168.34.1/24 Alle anderen Rechner, die irgendwie (über Switch, Hub, etc.) an diesem Port hängen müssen dann eine IP zwischen 192.168.34.2 und 192.168.34.254 haben.
usw.
In meinem Beispiel oben habe ich 4 Interfaces/Subnetze konfiguriert:
- 1: Ein Subnetz in dem sich nur der DSL-Router und der Mikrotik-Router befinden
- 2: Ein Subnetz mit den Clients die ins Internet kommen
- 3: Ein Subnetz mit den Clients die nicht ins Internet kommen
- 4: Ein Subnetz mit dem Drucker
Natürlich könnte man den bisherigen DSL-Router auch rauswerfen und das direkt mit dem Mikrotik machen, aber dann werden die Firewall-Regeln noch komplizierter, weshalb ich das mal gelassen habe.
+----------+ NET1
| Internet | |
+----------+ |
| 192.168.33.0/24
| |
| |
+------------+ +----------+
| DSL-Router |-- 192.168.0.0/24 --| MikroTik |-- 192.168.35.0/24 -- Drucker
+------------+ +----------+
|
|
192.168.34.0/24
|
|
NET2
Ok, ich glaub jetzt habe ich es geschnallt - habe zu weit gedacht...
Also fasse ich mal zusammen:
Ich habe den SWITCH für LAN1. Diesem Switch gebe ich die IP 192.168.33.1/24
Alle Rechner in diesem LAN1 bekommen die IP 192.168.33.X
Ich habe den SWITCH für LAN2. Diesem Switch gebe ich die IP 192.168.34.1/24
Alle Rechner in diesem LAN2 bekommen die IP 192.168.34.X
Der Drucker bekommt die IP 192.168.35.1/24
Und der Router bekommt die IP 192.168.1.1/24 (ist schon so eingestellt)
Stimmt das so?
Also fasse ich mal zusammen:
Ich habe den SWITCH für LAN1. Diesem Switch gebe ich die IP 192.168.33.1/24
Alle Rechner in diesem LAN1 bekommen die IP 192.168.33.X
Ich habe den SWITCH für LAN2. Diesem Switch gebe ich die IP 192.168.34.1/24
Alle Rechner in diesem LAN2 bekommen die IP 192.168.34.X
Der Drucker bekommt die IP 192.168.35.1/24
Und der Router bekommt die IP 192.168.1.1/24 (ist schon so eingestellt)
Stimmt das so?
Nicht ganz.... Hier nochmals die Zeichnung von dog mit den entsprechenden IP Adressen:
Daraus sollte klar sein wo welche IP hinkommt und auch welche IP der Mikrotik_Router bekommt !
Rein praktisch könntest du dir das separate Netzwerk mit dem Drucker sparen und den Multifunktionsdrucker in Netz-2 belassen.
Das bedeutet dann aber im Endeffekt das über den Router alle Benutzer aus Netz-1 Zugriff auf Netz-2 haben.
Das ist ggf. nicht gewollt, deshalb der korrekte Vorschlag von dog dem MF-Drucker ein separates Segment zu geben über das alle aus Netz-1 und -2 zugreifen können aber sich in ihren eigenen Netzen nicht sehen !
Sicherheitstechnisch ist dogs Design also etwas besser sofern die Netze 1 und 2 isoliert sein sollen !
Daraus sollte klar sein wo welche IP hinkommt und auch welche IP der Mikrotik_Router bekommt !
Rein praktisch könntest du dir das separate Netzwerk mit dem Drucker sparen und den Multifunktionsdrucker in Netz-2 belassen.
Das bedeutet dann aber im Endeffekt das über den Router alle Benutzer aus Netz-1 Zugriff auf Netz-2 haben.
Das ist ggf. nicht gewollt, deshalb der korrekte Vorschlag von dog dem MF-Drucker ein separates Segment zu geben über das alle aus Netz-1 und -2 zugreifen können aber sich in ihren eigenen Netzen nicht sehen !
Sicherheitstechnisch ist dogs Design also etwas besser sofern die Netze 1 und 2 isoliert sein sollen !
Phu,
jetzt Blick ich es langsam nicht mehr. Also ich bleibe bei dem Bild von Dog, da ich definitiv die Netz trennen will und muss. Nur einem Netz soll INET zur verfügung stehen...
Wieso sind in deinem Bild bei 192.168.0.0 zwei Clients?
Dann mache ich es so?
Ich habe den SWITCH für LAN1. Diesem Switch gebe ich die IP 192.168.33.0/24
Alle Rechner in diesem LAN1 bekommen die IP 192.168.33.X und Gateway 192.168.33.1
Ich habe den SWITCH für LAN2. Diesem Switch gebe ich die IP 192.168.34.0/24
Alle Rechner in diesem LAN2 bekommen die IP 192.168.34.X und Gateway 192.168.34.1
Der Drucker bekommt die IP 192.168.35.0/24 und Gateway 192.168.35.1
Und der O2-Router bekommt die IP 192.168.0.254/24
Sorry das ich mich da so anstelle....
jetzt Blick ich es langsam nicht mehr. Also ich bleibe bei dem Bild von Dog, da ich definitiv die Netz trennen will und muss. Nur einem Netz soll INET zur verfügung stehen...
Wieso sind in deinem Bild bei 192.168.0.0 zwei Clients?
Dann mache ich es so?
Ich habe den SWITCH für LAN1. Diesem Switch gebe ich die IP 192.168.33.0/24
Alle Rechner in diesem LAN1 bekommen die IP 192.168.33.X und Gateway 192.168.33.1
Ich habe den SWITCH für LAN2. Diesem Switch gebe ich die IP 192.168.34.0/24
Alle Rechner in diesem LAN2 bekommen die IP 192.168.34.X und Gateway 192.168.34.1
Der Drucker bekommt die IP 192.168.35.0/24 und Gateway 192.168.35.1
Und der O2-Router bekommt die IP 192.168.0.254/24
Sorry das ich mich da so anstelle....
Wieso sind in deinem Bild bei 192.168.0.0 zwei Clients?
Kann man machen oder es auch lassen
Ich habe den SWITCH für LAN1. Diesem Switch gebe ich die IP 192.168.33.0/24
Alle Rechner in diesem LAN1 bekommen die IP 192.168.33.X und Gateway 192.168.33.1
Alle Rechner in diesem LAN1 bekommen die IP 192.168.33.X und Gateway 192.168.33.1
192.168.33.0/24 ist keine IP sondern die Aussage, dass sich hier ein Netzwerk befindet, dass von 192.168.33.1 bis 192.168.33.254 geht.
Dem Switch kannst du dann eine IP ala 192.168.33.250 (Subnetzmaske: 255.255.255.0) geben.
Was der genau hat ist eigentlich auch egal, denn dass ist ja nur relevant, damit du auf die Oberfläche des Switches kommst. Für den Netzbetrieb selbst ist das egal.
Der Drucker bekommt die IP 192.168.35.0/24 und Gateway 192.168.35.1
Selbiges wie oben.
Dem Drucker musst du eine IP zwischen 192.168.35.2 und 192.168.35.254 geben (Subnetzmaske: 255.255.255.0)
Und der O2-Router bekommt die IP 192.168.0.254
LAN-seitig, ja.
Ich hab meine Beispielkonfiguration mal angepasst.
Zitat von @dog:
> Wieso sind in deinem Bild bei 192.168.0.0 zwei Clients?
Kann man machen oder es auch lassen
Ich lass es > Wieso sind in deinem Bild bei 192.168.0.0 zwei Clients?
Kann man machen oder es auch lassen
> Ich habe den SWITCH für LAN1. Diesem Switch gebe ich die IP 192.168.33.0/24
> Alle Rechner in diesem LAN1 bekommen die IP 192.168.33.X und Gateway 192.168.33.1
192.168.33.0/24 ist keine IP sondern die Aussage, dass sich hier ein Netzwerk befindet, dass von 192.168.33.1 bis 192.168.33.254
geht.
Dem Switch kannst du dann eine IP ala 192.168.33.250 (Subnetzmaske: 255.255.255.0) geben.
Was der genau hat ist eigentlich auch egal, denn dass ist ja nur relevant, damit du auf die Oberfläche des Switches kommst.
Für den Netzbetrieb selbst ist das egal.
> Der Drucker bekommt die IP 192.168.35.0/24 und Gateway 192.168.35.1
Selbiges wie oben.
Dem Drucker musst du eine IP zwischen 192.168.35.2 und 192.168.35.254 geben (Subnetzmaske: 255.255.255.0)
> Und der O2-Router bekommt die IP 192.168.0.254
LAN-seitig, ja.
Ich hab meine Beispielkonfiguration mal angepasst.
Ich glaub jetzt habe ich es geschnallt, man muss nicht die einzelnen Rechner in dem Router adden sondern nur die Netze?D.h. ich kann deine Konfiguration 1:1 übernehmen und muss nur die IPs der Rechner, dem entsprechenden Netz anpassen?
D.h. ich kann deine Konfiguration 1:1 übernehmen und muss nur die IPs der Rechner, dem entsprechenden Netz anpassen?
Theoretisch ja (du musst natürlich die richtigen Ports verwenden)
Ok, ich denke in der Anleitung wird schon stehen wie das Gerät technisch aufgebaut ist und wo welcher Port sitzt?
Ist gar nicht so einfach das Teil zu bekommen, die meisten Händler können nicht liefern...
Ist gar nicht so einfach das Teil zu bekommen, die meisten Händler können nicht liefern...
Hier gibts ihn:
http://www.mikrotik-store.eu/product_info.php/info/p126_MikroTik-Router ...
http://www.mikrotik-shop.de/product_info.php?info=p516_MikroTik-RB750.h ...
ansonsten kannst du immer das Nachflogemodel denn 750G nehmen der hat GiG Interfaces ist sonst identisch:
http://shop.meconet.de/artikelueber.php?wgruppeid=162&wgruppe_offen ...
http://www.mikrotik-shop.de/product_info.php?info=p536_MikroTik-RouterB ...
http://www.mikrotik-store.eu/product_info.php/info/p126_MikroTik-Router ...
http://www.mikrotik-shop.de/product_info.php?info=p516_MikroTik-RB750.h ...
ansonsten kannst du immer das Nachflogemodel denn 750G nehmen der hat GiG Interfaces ist sonst identisch:
http://shop.meconet.de/artikelueber.php?wgruppeid=162&wgruppe_offen ...
http://www.mikrotik-shop.de/product_info.php?info=p536_MikroTik-RouterB ...
@ DOG:
Ich glaub Dir ist bei der Konfiguration ein kleiner Fehler unterlaufen?!
Muss es nicht in der 26.,27. und 28. Zeile statt ALLOW, ACCEPT heißen? Denn allow nimmt er mir nicht als Befehl an und den finde ich auch nirgends in der Docu....
Den Rest habe ich mal so über Telnet rein gehackt. Morgen werde ich den Router mal an die Netzwerke anschließen.
Stimmt die IP Config so? Vorallem die erste Zeile?
http://img163.imageshack.us/img163/3765/83900315.jpg
http://img709.imageshack.us/img709/6076/firehk.jpg
Kann man eigentlich die IP der Routers ändern, bzw. in eines der beiden Netzwerke verlegen, denn die 192.168.88.1 ist unpassen...?!
Ich glaub Dir ist bei der Konfiguration ein kleiner Fehler unterlaufen?!
Muss es nicht in der 26.,27. und 28. Zeile statt ALLOW, ACCEPT heißen? Denn allow nimmt er mir nicht als Befehl an und den finde ich auch nirgends in der Docu....
Den Rest habe ich mal so über Telnet rein gehackt. Morgen werde ich den Router mal an die Netzwerke anschließen.
Stimmt die IP Config so? Vorallem die erste Zeile?
http://img163.imageshack.us/img163/3765/83900315.jpg
http://img709.imageshack.us/img709/6076/firehk.jpg
Kann man eigentlich die IP der Routers ändern, bzw. in eines der beiden Netzwerke verlegen, denn die 192.168.88.1 ist unpassen...?!
Sorry, ja, accept wäre es gewesen.
Außerdem solltest du mal
ausführen.
Das löscht die gesamte Konfiguration, was in deinem Fall notwendig ist.
Außerdem solltest du mal
/sys reset-conf skip-def=yes no-back=yesDas löscht die gesamte Konfiguration, was in deinem Fall notwendig ist.
Hi,
und dann muss ich alles nochmal eingeben? Wieso ist das nötig, woran erkennst du das?
und dann muss ich alles nochmal eingeben? Wieso ist das nötig, woran erkennst du das?
Weil ich die Standardkonfiguration von MT kenne und die hilft dir hier nix
Allerdings musst du bedenken, dass du in dem Moment wo du die Konfiguration löschst ihn nicht mehr über IP ansprechen kannst.
Lad dir dafür http://demo.mt.lv/winbox/winbox.exe runter und klicke da auf "..." das findet den Router und dann klickst du auf die MAC-ID um dich zu verbinden.
Danach kannst du da im Terminal die Befehle ausführen.
Allerdings musst du bedenken, dass du in dem Moment wo du die Konfiguration löschst ihn nicht mehr über IP ansprechen kannst.
Lad dir dafür http://demo.mt.lv/winbox/winbox.exe runter und klicke da auf "..." das findet den Router und dann klickst du auf die MAC-ID um dich zu verbinden.
Danach kannst du da im Terminal die Befehle ausführen.
--> muss skip-b und no-def heißen...
Konfiguration habe ich drauf, werde es morgen mal testen.
Man muss aber hoffentlich keine Ports oder irgendwas anderes noch einstellen z.B. für Emailverkehr der LAN1?
Hallo "dog",
das nenne ich mal eine Spitzenhilfestellung. Ich habe ein ähnliches Problem:
Zwei Netze, ein gemeinsamer Drucker und ein gemeinsamer Router "Speedport W503V", d.h. beide Netze sollen ins Internet.
Zusätzlich habe ich in einem Netz (nennen wir es "Netz mit Server") einen Windows-Server, auf den ich mich momentan mittels PPTP einwähle (Ports 1723 + GRE Protokoll). Bei mir käme also noch Port-Forwarding dazu.
Ich würde mich freuen, wenn Du mir folgende Fragen beantworten würdest:
1. Kann die Konfiguration von oben mit den 4 Netzen und dem Router beibehalten werden oder sollte dann der Microtik sowohl die Interneteinwahl als auch das interne Routing übernehmen? Eventuell würden hier auch nur 3 Netze einen Sinn machen:
192.168.3.1/24 = Netz mit Server
192.168.4.1/24= Zweites Netz
192.168.5.1/24= Netz mit Drucker + Speedport-Router
2. Wie müsste meine Konfiguration im Microtik-Router aussehen und welche Einstellungen müsste ich im Speedort-Router machen, damit er den Server mit bspw. der IP "192.168.3.2" findet, wenn weiterhin der Speedport die Einwahl übernimmt.
3. Weißt Du, ob der Microtik-Router auch für jedes VLAN einen eigenen DHCP-Server bereitstellen kann oder benötige ich ggf. in den Netzen noch einen separaten DHCP-Server.
Vielen Dank schon mal vorab für Deine Unterstützung. Ich kann mir vorstellen, dass Du hier nicht für alle Microtik-Besitzer die Konfiguration schreiben möchtest. Würde mich aber trotzdem über Deine Unterstützung freuen!
FishersFritz
das nenne ich mal eine Spitzenhilfestellung. Ich habe ein ähnliches Problem:
Zwei Netze, ein gemeinsamer Drucker und ein gemeinsamer Router "Speedport W503V", d.h. beide Netze sollen ins Internet.
Zusätzlich habe ich in einem Netz (nennen wir es "Netz mit Server") einen Windows-Server, auf den ich mich momentan mittels PPTP einwähle (Ports 1723 + GRE Protokoll). Bei mir käme also noch Port-Forwarding dazu.
Ich würde mich freuen, wenn Du mir folgende Fragen beantworten würdest:
1. Kann die Konfiguration von oben mit den 4 Netzen und dem Router beibehalten werden oder sollte dann der Microtik sowohl die Interneteinwahl als auch das interne Routing übernehmen? Eventuell würden hier auch nur 3 Netze einen Sinn machen:
192.168.3.1/24 = Netz mit Server
192.168.4.1/24= Zweites Netz
192.168.5.1/24= Netz mit Drucker + Speedport-Router
2. Wie müsste meine Konfiguration im Microtik-Router aussehen und welche Einstellungen müsste ich im Speedort-Router machen, damit er den Server mit bspw. der IP "192.168.3.2" findet, wenn weiterhin der Speedport die Einwahl übernimmt.
3. Weißt Du, ob der Microtik-Router auch für jedes VLAN einen eigenen DHCP-Server bereitstellen kann oder benötige ich ggf. in den Netzen noch einen separaten DHCP-Server.
Vielen Dank schon mal vorab für Deine Unterstützung. Ich kann mir vorstellen, dass Du hier nicht für alle Microtik-Besitzer die Konfiguration schreiben möchtest. Würde mich aber trotzdem über Deine Unterstützung freuen!
FishersFritz
Kann die Konfiguration von oben mit den 4 Netzen und dem Router beibehalten werden oder sollte dann der Microtik sowohl die Interneteinwahl als auch das interne Routing übernehmen?
Deine Entscheidung. Beides ist möglich.
Wenn du einen MT direkt ans Internet hängst musst du dich aber auch mit der Firewall-Konfiguration auskennen, da die Standardkonfiguration nicht für DSL geeignet ist (Es ist halt ein "echter" Router).
Wie müsste meine Konfiguration im Microtik-Router aussehen und welche Einstellungen müsste ich im Speedort-Router machen
Das hängt von deiner Konfiguration ab.
Du kannst entweder mit NAT oder mit Routen arbeiten, wobei ich grade nicht weiß, ob der Speedport statische Routen unterstützt.
Beispielkonfiguration MT mit Routing:
/int eth
set 1 name=ether1-uplink comment="Zum Speedport"
set 2 name=ether2-lanA comment="Erstes Netz mit Server"
set 3 name=ether3-lanB comment="Zweites Netz"
/ip addr
add addr=192.168.5.2/24 int=ether1 comment="IP Speedport-Netz"
add addr=192.168.3.1/24 int=ether2 comment="GW-IP Erstes LAN"
add addr=192.168.4.1/24 int=ether3 comment="GW-IP Zweites LAN"
/ip route
add dst-addr=0.0.0.0/0 gatew=192.168.5.1
[... firewall konfiguration nach wunsch...]Beispielkonfiguration MT mit NAT (Port-Forwarding vom Speedport auf die IP des MT):
/int eth
set 1 name=ether1-uplink comment="Zum Speedport"
set 2 name=ether2-lanA comment="Erstes Netz mit Server"
set 3 name=ether3-lanB comment="Zweites Netz"
/ip addr
add addr=192.168.5.2/24 int=ether1 comment="IP Speedport-Netz"
add addr=192.168.3.1/24 int=ether2 comment="GW-IP Erstes LAN"
add addr=192.168.4.1/24 int=ether3 comment="GW-IP Zweites LAN"
/ip route
add dst-addr=0.0.0.0/0 gatew=192.168.5.1
/ip firewall nat
add chain=srcnat out-interf=ether1 action=masq comment="SNAT nach Aussen"
[... firewall + port forwarding konfiguration nach wunsch...]3. Weißt Du, ob der Microtik-Router auch für jedes VLAN einen eigenen DHCP-Server bereitstellen kann
Soweit ich es im Kopf habe, ja.
@dog
Vielen Dank für Deine schnelle Hilfe
Ich weiß zwar ein paar Dinge über IP-Adressen, Ports und Port-Forwarding, jedoch ist mir eine "echte" bzw. komplette Firewallkonfiguration too much und so würde ich den einfachsten Weg gehen, also Port-Forwarding mit Speedport.
Leider sind die Speedports etwas "dumme" Kisten. Echte Routen werden keinesfalls unterstützt. Sogar bei Port-Forwarding kann ich nur Regeln für Geräte eingeben, die der Router automatisch im Netz findet.
Wenn ich es mit dem Port-Forwarding richtig interpretiere, dann müsste ich im Speedport (192.168.5.1) die gewünschten Ports auf den Microlink (192.168.5.2) forwarden und im Microlink wiederum sagen, dass er diese Ports auf den Server (192.168.3.2) weiterleitet.
Bspw. Internet:1723 (0.0.0.0/0:1723) --> Microlink :1723 (192.168.5.2/24:1723) --> Server:1723 (192.168.3.2:1723)
Ist dies so richtig? Und würdest Du mir dafür noch die Regeln mitteilen (auch für die Weiterleitung des GRE-Protokolls).
Wenn ich nicht richtig liege, dann würde ich nochmals auf Dich zukommen, sobald das Gerät da ist. Wenn es für Dich o.k. ist.
Einen schönen Sonntagabend wünscht Dir
FishersFritz
Vielen Dank für Deine schnelle Hilfe
Deine Entscheidung. Beides ist möglich.
Wenn du einen MT direkt ans Internet hängst musst du dich aber auch mit der Firewall-Konfiguration auskennen, da die >Standardkonfiguration nicht für DSL geeignet ist (Es ist halt ein "echter" Router).
Wenn du einen MT direkt ans Internet hängst musst du dich aber auch mit der Firewall-Konfiguration auskennen, da die >Standardkonfiguration nicht für DSL geeignet ist (Es ist halt ein "echter" Router).
Ich weiß zwar ein paar Dinge über IP-Adressen, Ports und Port-Forwarding, jedoch ist mir eine "echte" bzw. komplette Firewallkonfiguration too much und so würde ich den einfachsten Weg gehen, also Port-Forwarding mit Speedport.
Leider sind die Speedports etwas "dumme" Kisten. Echte Routen werden keinesfalls unterstützt. Sogar bei Port-Forwarding kann ich nur Regeln für Geräte eingeben, die der Router automatisch im Netz findet.
Wenn ich es mit dem Port-Forwarding richtig interpretiere, dann müsste ich im Speedport (192.168.5.1) die gewünschten Ports auf den Microlink (192.168.5.2) forwarden und im Microlink wiederum sagen, dass er diese Ports auf den Server (192.168.3.2) weiterleitet.
Bspw. Internet:1723 (0.0.0.0/0:1723) --> Microlink :1723 (192.168.5.2/24:1723) --> Server:1723 (192.168.3.2:1723)
Ist dies so richtig? Und würdest Du mir dafür noch die Regeln mitteilen (auch für die Weiterleitung des GRE-Protokolls).
Wenn ich nicht richtig liege, dann würde ich nochmals auf Dich zukommen, sobald das Gerät da ist. Wenn es für Dich o.k. ist.
Einen schönen Sonntagabend wünscht Dir
FishersFritz
Ist dies so richtig? Und würdest Du mir dafür noch die Regeln mitteilen (auch für die Weiterleitung des GRE-Protokolls).
Ja.
/ip firewall nat
add chain=dstnat in-interf=ether1 proto=udp dst-port=1723 action=dst-nat to-addr=192.168.3.2 comment="PPTP Aushandlung forwarden"
add chain=dstnat in-interf=ether1 proto=gre action=dst-nat to-addr=192.168.3.2 comment="PPTP Daten forwarden" Wenn du die Kommunikation zwischen LAN-A und LAN-B verhindern willst brauchst du z.B. folgende Firewall-Regeln:
/ip firewall filter
#Die Regeln erstellen eine SPI-Firewall (leichtere Konfiguration)
add chain=forward connection-state=established action=accept comment="SPI: Established"
add chain=forward connection-sate=related action=accept comment="SPI: Related"
add chain=forward connection-sate=invalid action=drop comment="SPI: Invalid"
#Wenn es in Richtung Internet geht ist es OK
add chain=forward out-interf=ether1 action=accept comment="Allen Traffic Richtung Internet erlauben"
#der Rest nicht
add chain=forward action=drop comment="Standardregel: Verweigern"
Klasse, das ist genau die Lösung, die ich brauche.
Bin mir auch sicher, dass ich alleine kaum darauf gekommen wäre
Dank' Dir nochmals herzlich
Wenn du die Kommunikation zwischen LAN-A und LAN-B verhindern willst brauchst du z.B. folgende Firewall-Regeln..
Bin mir auch sicher, dass ich alleine kaum darauf gekommen wäre
Dank' Dir nochmals herzlich
Hi dog,
jetzt muss ich doch nochmals auf Dich zurückkommen:
Deine Anleitung bzw. Skript hat wunderbar geklappt, soweit ich das testen konnte. Witzigerweise hat das Routing am Interface ether1 mit der Adresse 192.168.51 auch in einem anderen Netz geklappt. Ich habe ether1 mit einem Router verbunden, der eigentlich im Netz 192.168.1.0 arbeitet und er hat die Arbeit gleich aufgenommen. Ich vermute, dass ein DHCP-Client an dieser Schnittstelle aktiv ist.
Nun aber zu meiner Frage. Der Router wird an einem anderen Standort betrieben und ich möchte sichergehen, dass er dort reibungslos in Betrieb genommen werden kann. Ich bin mir nicht sicher, wie die DNS-Konfiguration nachher aussehen muss, damit die IPs im Internet (ether1 0.0.0.0/0) richtig aufgelöst werden.
An der Schnittstelle ether2 (192.168.3.0/24) läuft auf dem Mikrotik ein DHCP-Server, den ich als DNS-Adresse die IP 192.168.3.1 vergeben lassen. Ebenso vergibt er an ether3 (192.168.4.0/24) die DNS-Adresse 192.168.4.1, also jeweils die IP-Adresse des Mikrotik-Routers im jeweiligen Netz.
Im Router selbst kann ich ja den DNS-Server pflegen und Weiterleitungsadressen hinterlegen, dort habe ich dann die IP 192.168.5.254 (die Adresse des künftigen Speedport-Routers) hinterlegt. Ist das so richtig oder hätte ich die Adresse 192.168.5.254 (Speedport) direkt den Clients in beiden Netzen (ether2 und ether3) zuweisen sollen?
Würde mich über Deine Unterstützung freuen.
jetzt muss ich doch nochmals auf Dich zurückkommen:
Deine Anleitung bzw. Skript hat wunderbar geklappt, soweit ich das testen konnte. Witzigerweise hat das Routing am Interface ether1 mit der Adresse 192.168.51 auch in einem anderen Netz geklappt. Ich habe ether1 mit einem Router verbunden, der eigentlich im Netz 192.168.1.0 arbeitet und er hat die Arbeit gleich aufgenommen. Ich vermute, dass ein DHCP-Client an dieser Schnittstelle aktiv ist.
Nun aber zu meiner Frage. Der Router wird an einem anderen Standort betrieben und ich möchte sichergehen, dass er dort reibungslos in Betrieb genommen werden kann. Ich bin mir nicht sicher, wie die DNS-Konfiguration nachher aussehen muss, damit die IPs im Internet (ether1 0.0.0.0/0) richtig aufgelöst werden.
An der Schnittstelle ether2 (192.168.3.0/24) läuft auf dem Mikrotik ein DHCP-Server, den ich als DNS-Adresse die IP 192.168.3.1 vergeben lassen. Ebenso vergibt er an ether3 (192.168.4.0/24) die DNS-Adresse 192.168.4.1, also jeweils die IP-Adresse des Mikrotik-Routers im jeweiligen Netz.
Im Router selbst kann ich ja den DNS-Server pflegen und Weiterleitungsadressen hinterlegen, dort habe ich dann die IP 192.168.5.254 (die Adresse des künftigen Speedport-Routers) hinterlegt. Ist das so richtig oder hätte ich die Adresse 192.168.5.254 (Speedport) direkt den Clients in beiden Netzen (ether2 und ether3) zuweisen sollen?
Würde mich über Deine Unterstützung freuen.
Das ist soweit schon richtig, aber du musst in der DNS-Konfiguration dann die Option "Allow Remote Requests" aktivieren, sonst macht er nichts.
Den DHCP-Client auf dem ether1 Interface würde ich noch löschen.
Den DHCP-Client auf dem ether1 Interface würde ich noch löschen.
Jetzt muss ich schon mehr als 30 Zeichen für ein Dankeschön eingeben
Ich möchte testhalber ein Netzwerk in zwei Subnetzwerke aufteilen. In beiden ist ein T-Home Media Reciver. Leider kann nur auf einem Gerät aufgenommen werden. Das möchte ich versuchen zu unterbinden. Durch die Trennung sollten sich die Geräte nicht mehr "sehen" und ich kann vielleicht jedes Gerät seperat verwenden! Wenn jemand andere Erfahrungen mit der Idee gemacht hat bitte ich auch um ein Feedback.
Brauche bitte Hilfe bei der Konfiguration. Toll wäre ein Screenshot der Notwendigen Einstellungen in WinBox!
Habe den Router laut Anleitung zurückgesetzt. Jetzt fehlt mir das wissen die IP zu setzen und das Subnetz einzurichten.
Hardware MikroTik RB750
Internet -- DSL Router Speedport W503 192.168.178.1 -- Port 1 (an den Router sind noch weitere Geräte über WLAN angeschlossen)
Net 1 192.168.178.0/24 Port 2
Net 2 192.168.2.0/24 Port 3
Vielen, vielen Dank für eure Hilfe!
Brauche bitte Hilfe bei der Konfiguration. Toll wäre ein Screenshot der Notwendigen Einstellungen in WinBox!
Habe den Router laut Anleitung zurückgesetzt. Jetzt fehlt mir das wissen die IP zu setzen und das Subnetz einzurichten.
Hardware MikroTik RB750
Internet -- DSL Router Speedport W503 192.168.178.1 -- Port 1 (an den Router sind noch weitere Geräte über WLAN angeschlossen)
Net 1 192.168.178.0/24 Port 2
Net 2 192.168.2.0/24 Port 3
Vielen, vielen Dank für eure Hilfe!
Hast du VDSL oder nur reguläres DSL?
Ich weiß zwar die das unter VDSL läuft, ob es bei DSL auch so ist kann ich nicht sagen.
VDSL ist technisch ziemlich hässlich, aber mit MT möglich.
Wenn du aber nur verhindern willst, dass die beiden Media Receiver im LAN untereinander kommunizieren sollte das recht einfach gehen:
DSL-Router an ether1
Ein Gerät an ether2
Das andere an ether3
Konfiguration:
Ich weiß zwar die das unter VDSL läuft, ob es bei DSL auch so ist kann ich nicht sagen.
VDSL ist technisch ziemlich hässlich, aber mit MT möglich.
Wenn du aber nur verhindern willst, dass die beiden Media Receiver im LAN untereinander kommunizieren sollte das recht einfach gehen:
DSL-Router an ether1
Ein Gerät an ether2
Das andere an ether3
Konfiguration:
/int bridge add name=bridge1 comment=Media-Bridge
/int bridge port
add port=ether1 bridge=bridge1
add port=ether2 bridge=bridge1 horizon=101
add port=ether3 bridge=bridge1 horizon=101
Vielen Dank. Das hört sich ja sehr einfach an! Ich Teile mir VDSL mit meinem Vater über eine Richtfunkverbindung. Da aber sein Reciver über eine WLan Brigbe angeschlossen ist kommt es bei der Wiedergabe von aufgezeichneten Inhalten bei mir zu Perfomance Probleme (wenn er selber IP TV schaut). Das möchte ich gerne umgehen.
Werde deine Angaben eingeben und entsprechend ankabeln. Hört sich so an als ob ich bei der IP Vergabe gar nichts einstellen muß? Kann alles so bleiben und der Router hält die Geräte Hardwaretechnisch auseinander?
Werde deine Angaben eingeben und entsprechend ankabeln. Hört sich so an als ob ich bei der IP Vergabe gar nichts einstellen muß? Kann alles so bleiben und der Router hält die Geräte Hardwaretechnisch auseinander?
Ist doch nicht so einfach, oder ich mach was falsch. Habe die Kommandos in die Konsole getippt und alles entsprechend verkabelt. Danach waren beide Netzwerk nicht mehr mit dem Internet verbunden! Wo liegt der Fehler?
Ja, aber ich habe gestern nachgelesen und so wie es aussieht passiert die Entscheidung, welches Gerät aufnehmen darf auf den Telekom-Servern.
In so einem Fall hast du keine Chance (außer du bist ein guter Programmierer)
In so einem Fall hast du keine Chance (außer du bist ein guter Programmierer
)
Das bin ich leider nicht! Danke für die Info! Werde das Gerät dann als Switch mißbrauchen, vielleicht brauche ich es doch irgendwann!
