terrano
Goto Top

Kann 2 Netzwerke nicht verbinden

Ich weiss dass das Thema hier schon ganz oft aufgetaucht ist, aber ich finde keine Lösung, hab etliche Tutorials ausprobiert, vielleicht kann mir jemand helfen.

Hallo, folgende Netzwerkkonfiguration habe ich:

Cisco ASA 5505 IP 192.168.153.99 Subnetz 255.255.255.0 (T-DSL 6000 mit fester IP)
Windows Server 2003 IP NIC1 192.168.153.100 NIC2 10.0.0.75 beide mit Subnetz 255.255.255.0
2 WS mit IP 192.168.153.2 und 192.168.153.3

Cisco Linksys W-Lan Router mit IP 10.0.0.1 Subnetz 255.255.255.0 (T-DSL 16000 mit fester IP) der auch als Gateway für eine per WDS verbundene Kette von 9 W-Lan Antennen Internet bereitstellt. (Alle Antennen haben eine feste IP)

Einen zweiten Windows Server 2003 mit der IP 10.0.0.80 der am W-Lan in einem anderen Gebäude auf unserem Grundstück steht.

Vom ersten Server kann ich den 2. Server problemlos pingen und Netzlaufwerke verbinden, von den Workstations (z.B. 192.168.153.2) kann ich nicht auf die 10.0.0.80 zugreifen. Ich brauche aber (vorrübergehend) ein Netzlaufwerk dorthin.

0a55bd1ff92bef94df1c70d219e07daf-schema1

Mit IP Forwarding kenne ich mich nicht aus, hab alles probiert was ich hier gefunden habe, aber ich bekomme es nicht zum laufen.

Vielen Dank für eurer Hilfe.

Content-Key: 126400

Url: https://administrator.de/contentid/126400

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: aqui
aqui 04.10.2009, aktualisiert am 18.10.2012 um 18:39:32 Uhr
Goto Top
Was grundsätzlich zu beachten ist in so einem Szenario steht in diesem Tutorial:

Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

Da du im Windows Netz selber keine verbindungsprobleme hast ist die Ursache vermutlich an der ASA Konfig zu sehen.
Hier muss eine statische Route eingetragen sein !!
ip route 10.0.0.0 255.255.255.0 192.168.153.100

Die Default Route des Servers zeigt vermutlich ja sowieso auf die ASA mit der 192.168.153.99 ?!
Ein Gateway auf dem 10er Segment des Servers muss dort nicht eingetragen werden !!
Diese Routing Einträge sind zwingend notwendig damit das Routing klappt.

Vermutlich musst du auf der ASA noch eine Accessliste konfigurieren, je nachdem ob du dort eine Firewall Konfig nutzt oder nur normales Routing.
Leider schreibst du da gar nichts zu und aufgrund dieser fehlenden Information kann man leider nur raten face-sad

Mach eine Traceroute (tracert) oder pathping, dann siehst du immer genau wo es klemmt in diesem Szenario !

Wenn du alles richtig gemacht hast sieht dein Netzwerk so aus:

2b0bf54f4436b0c2c402687be12336d0-servernetz
Mitglied: Sonnenscheinhasser
Sonnenscheinhasser 04.10.2009 um 14:58:30 Uhr
Goto Top
Tja, du brauchst eine Route aus dem 192er in das 10er Netz.
Du wirst dich zwangsweise mit dem Routing beschäftigen müssen, da führt kein Weg dran vorbei.
Routen muss der Server 2003, denn der hat ein Bein in beiden Netzen.
Entweder trägst du auf den XP-Clients eine Route ein, dass das 10er Netz über den Server 2003 zu erreichen ist oder du sagst dem Cisco-Router, wie er in das 10er Netz findet.

Schwarze Grüße,
Tom
Mitglied: terrano
terrano 04.10.2009 um 15:09:34 Uhr
Goto Top
Hallo aqui, vielen Dank erst einmal für die Antwort. Die ASA läuft als Firewall und wird von aussen verwaltet.
Mitglied: terrano
terrano 04.10.2009 um 15:12:09 Uhr
Goto Top
Hallo Sonnenscheinhasser, danke für die Antwort, ich habe versucht dem Server beizubringen dass er die Netzwerke routen soll, hab jede Menge Zeug davon hier gelesen, ausprobiert und verstehe trotzdem nur Bahnhof ;o(
Mitglied: aqui
aqui 04.10.2009, aktualisiert am 18.10.2012 um 18:39:32 Uhr
Goto Top
Hast du keinen Zugriff auf die ASA ???

Dann hast du keine Chance mit einem sauber gerouteten Design, denn dafür musst du zwingend die statische Route auf der ASA eingeben und dann bleibt dir nur NAT / ICS zu machen auf dem Server mit den 2 NICs.

Es gibt aber einen einfachen Workaround !!
Wenn du nur die Clients im 192.168.153er Segment erreicen musst und KEINE Netze hiter der ASA brauchst du einfach nur die Gateway Adressen der Clients im 192.168.153er Segment auf den Server zu legen wie hier zu sehen:

da10b5636ccfc6db020680e968bf22c3-servernetz2

Damit ist die Erreichbarkeit wieder gegeben. Allerdings Netze die HINTER der ASA liegen bleiben damit unerreichbar für dich, dafür ist die statische Route auf der ASA erforderlich !

Ansonsten bleibt dir dann nur NAT ICS auf dem Server mit den 2 Netzwerkkarten !
Dann bitte genau alles lesen was im o.a. Tutorial steht dazu !!
Du musst dann mit NAT/ICS im Server umsetzten auf die IP Adresse des Servers im 192.168.153er IP Netz also die .100 !
Die Limitierung auf das 192.168.0er Netz wie im Tutorial unter ICS beschrieben ist nur relevant bei XP nicht bei Win Server !
Mitglied: terrano
terrano 04.10.2009 um 16:08:53 Uhr
Goto Top
Hallo aqui,
danke für die schnelle Antwort, das finde ich echt super dass einem hier so schnell geholfen wird. Deine 2. Zeichnung entspricht genau meiner Konfiguration, bis auf die Tatsache dass die 10.0.0.1 der Linksys Router ist, der auch als Gateway für die User im W-Lan die Internetverbindung bereitstellt. Ich brauche das Netzlaufwerk von 10.0.0.80 (freigegebener Ordner) auf die 192.168.153.2. Alle Rechner sind Mitglied in einer Domäne aber im netzwerk tacht der 10.0.0.80 (Server 2) nur auf Server 1 mit den 2 Nic´s auf. Die Netzwerke hinter der ASA brauche ich für diesen Zweck nicht, das Toturial habe ich bereits gelesen aber vielleicht habe ich auch einen Fehler gemacht. Frage: Muss ich NAT/ICS im Server umsetzten obwohl ich die Konfiguration so wie in der Zeichnung habe?
Mitglied: aqui
aqui 05.10.2009 um 12:15:50 Uhr
Goto Top
Die Antwort lautet NEIN !! NAT/ICS ist dann kontraproduktiv, denn damit ist ein Erreichen der Netzlaufwerke der Clients im 192.168.153er Netz nicht möglich, da die die NAT Firewall so nicht überwinden könnten !
NAT/ICS wäre nur relevant wenn du Netze hinter der ASA erreichen müsstest. Da das nicht der Fall ist.... NAT/ICS vergessen !!
Fazit: Kein Adresstranslation sondern ganz normales Routing auf dem Server mit den 2 NICs !!!

Wichtig ist dein Hinweis oben mit dem Linksys Router !!!
Hier ist nun eine angepasste Zeichnung die hoffentlich so deinem Design entspricht ?!:

058e23b542735c31cb1a24d22c156c32-servernetz3

Du schreibst jetzt hier "...der Linksys Router ist, der auch als Gateway für die User im W-Lan die Internetverbindung bereitstellt..."
Das ist insofern sehr wichtig, da der Server mit der 10.0.0.80 ja auch per WLAN angebunden ist und somit in dem Sinne auch ein WLAN Client ist !!
Hier ist es allerdings, wie du dir denken kannst, natürlich fatal wenn der als Standardgateway dann auch die 10.0.0.1 des Linksys eingetragen hat ! Denn dann werden logischerweise alle Verbindungen ins 192.168.153er IP Netz auch an den Linksys geschickt (statt an den 2 NIC Server) und dort am Linksys verschwinden sie dann im Nirvana !
Du musst dem Linksys also sagen das er Packete ins 192.168.153er netz bitte NICHT ins Internet zu schicken hat sondern an den 2 NIC Server mit der 10.0.0.75 !!
Hier hast du jetzt genau 2 Optionen:
1.) Der Server muss nicht ins Internet und wird nur lokal genutzt
Ist das der Fall kannst du das Standardgateway des Servers fest auf die 10.0.0.75 (2 NIC Server) eintragen und gut ist !
2.) Der Server muss ins Internet über den Linksys Router
Dann musst du zwingend auf dem Linksys Router eine zusätzliche statische und permanente IP Route eintragen ins 192.168.153er Netz über den 2 NIC Server, der ja hier dafür auch als Router fungiert !
Das geschieht im Websetup des Routers. Dort ist eine Einstellung für zusätzliche IP Routen:

Zielnetz: 192.168.153.0 Maske: 255.255.255.0 Gateway: 10.0.0.75

Damit finden dann Pakete wieder den Weg ins 192.168.153er Netz !!
Falls der Linksys keine statischen Routen supporten sollte (tut er aber ganz sicher da er zur etwas besseren Kategorie der DSL Router gehört !!) könnte man zur Not auch die statische Route in der Eingabeaufforderung des Servers mit der 10.0.0.80 konfigurieren !
route add 192.168.153.0 mask 255.255.255.0 10.0.0.75 -p
Wichtig ist hier unter Winblows dann das -p (wie permanent) denn ohne das ist diese Route nach dem nächsten Reboot des Servers wieder weg !!
Du solltest aber IMMER die Variante der Route im Router selber bevorzugen. Die Server Variante NUR wenn es gar nicht anders geht und der Router keine statischen Routen supporten sollte !

Nun solltest du erstmal mit dem Client im 192.168.153er Netz die IP Verbindung mit einem Ping zum Server testen: ping 10.0.0.80
Der Server sollte dann dem 192.168.153er Client problemlos antworten !!
Diese Voraussetzung MUSS gegebensein bevor du weitermachst !

Ist das der Fall, kannst du eine Verbindung auf ein Netzlaufwerk des Servers versuchen mit Start -> Ausführen -> \\10.0.0.80 oder über den Dateiexplorer.

Das sollte dann problemlos klappen !
Mitglied: terrano
terrano 05.10.2009 um 20:48:09 Uhr
Goto Top
Super, tausend Dank für die ausführliche Beschreibung. jetzt klappt es, ich kann das Netzlaufwerk jetzt über die IP verbinden. Das ganze muss nur 3 Wochen laufen, dann bekomme ich eine Richtfunkverbindung über W-LAN im 5GHz Bereich zwischen den Servern und klammere das öffentliche Netz aus. Für einen Testlauf funktioniert das ersteinmal super. Der 2 Server hat auch übrigends auch 2 Netzwerkkarten, an der zweiten Karte hängen 50 Kontrollpunkte die Werte in eine Datei schreiben auf die ich zugreifen muss. Tolles Forum hier, ich hoffe ich kann auch mal jemandem helfen.