10
2 Router 2(?) Netzwerke oder wie realisier ich das am Besten?
Mir fehlt irgendwie der Durchblick 
Also folgendes Problem:
Wir haben hier ein Netzwerk von 20 PCs (10.0.0.x) hinter einem DSL-Router von LanCOM (LANCOM 821 ADSL/ISDN) 1
Generell ein Super Gerät (und auch nicht ganz billig...)
Jetzt will mein Chef einen Zugang zu einem Citrix-Server, der unsere Anfragen (Datenpakete) aber nicht akzeptiert, weil Kollege LanCom mit "VPN over NAT" nicht klar kommt, bzw. "anders" verschlüsselt ...
Neueste Firmware bringt da gar nix, sodass wir uns entschlossen haben, auf einen anderen Routr zu wechseln!
(soviel zur Vorgeschichte...)
Jetzt will ich mich aber ungern von dem guten LanCOM-GErät Trennen, weil der so viele Einstellmöglichkeiten hat (die man einfach nimmer missen möchte) und dachte daran, einen etwas günstigeren DSL-Router (z.B. den DG834B von Netgear) ZUSÄTZLICH ins Netz zu hängen, wo dann
a) 1 PC mit dem Novel-Border-Manager für den Citrix-Server an einem Port hängt
b) der LanCOM-Router + restl. Netzwerk an dem anderne Port.
(Der o.g. Netgear war schonmal zu Testzwecken angeschlossen und konnte Prima mit dem Citrix-Server kommunizieren...)
Jetzt soll der "einzelne" PC aber auch mit dem restl. LAN kommunizieren können und umgekehrt (Domäne vorh.)
wie kann ich das am Besten realisieren?
z.Zt. Server + Clients 10.0.0.x, LanCOm bei 10.0.0.254
Ich raff das irgendwie nicht
Danke schonmal!
PS: Wir wollen demnächst von NT4 Server (SBS) auf 2003 + neue Hardware umsteigen, also sollte das Ganze möglichst OHNE die Server realisierbar sein! (ging ja bisher auch und 2 Router sind ja auch vorh.)
Also folgendes Problem:
Wir haben hier ein Netzwerk von 20 PCs (10.0.0.x) hinter einem DSL-Router von LanCOM (LANCOM 821 ADSL/ISDN) 1
Generell ein Super Gerät (und auch nicht ganz billig...)
Jetzt will mein Chef einen Zugang zu einem Citrix-Server, der unsere Anfragen (Datenpakete) aber nicht akzeptiert, weil Kollege LanCom mit "VPN over NAT" nicht klar kommt, bzw. "anders" verschlüsselt ...
Neueste Firmware bringt da gar nix, sodass wir uns entschlossen haben, auf einen anderen Routr zu wechseln!
(soviel zur Vorgeschichte...)
Jetzt will ich mich aber ungern von dem guten LanCOM-GErät Trennen, weil der so viele Einstellmöglichkeiten hat (die man einfach nimmer missen möchte) und dachte daran, einen etwas günstigeren DSL-Router (z.B. den DG834B von Netgear) ZUSÄTZLICH ins Netz zu hängen, wo dann
a) 1 PC mit dem Novel-Border-Manager für den Citrix-Server an einem Port hängt
b) der LanCOM-Router + restl. Netzwerk an dem anderne Port.
(Der o.g. Netgear war schonmal zu Testzwecken angeschlossen und konnte Prima mit dem Citrix-Server kommunizieren...)
Jetzt soll der "einzelne" PC aber auch mit dem restl. LAN kommunizieren können und umgekehrt (Domäne vorh.)
wie kann ich das am Besten realisieren?
z.Zt. Server + Clients 10.0.0.x, LanCOm bei 10.0.0.254
Ich raff das irgendwie nicht
Danke schonmal!
PS: Wir wollen demnächst von NT4 Server (SBS) auf 2003 + neue Hardware umsteigen, also sollte das Ganze möglichst OHNE die Server realisierbar sein! (ging ja bisher auch und 2 Router sind ja auch vorh.)
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 33265
Url: https://administrator.de/contentid/33265
Ausgedruckt am: 26.11.2024 um 14:11 Uhr
10 Kommentare
Neuester Kommentar
ich kenne den LanCom Router jetzt nicht und weiß daher nicht ob meine Idee hinhaut. Prinzipiell würde ich es aber so machen:
Netgear Router - Transfrenetz 192.168.0.x mit Citrix Server - LanCom Router - "Normale" 10.10.10.x Netz.
Der LanCom Router muss dabei den Traffic sauber filtern können.
Netgear Router - Transfrenetz 192.168.0.x mit Citrix Server - LanCom Router - "Normale" 10.10.10.x Netz.
Der LanCom Router muss dabei den Traffic sauber filtern können.
ich kenne den LanCom Router jetzt nicht und
weiß daher nicht ob meine Idee
hinhaut. Prinzipiell würde ich es aber
so machen:
Netgear Router - Transfrenetz 192.168.0.x
mit Citrix Server - LanCom Router -
"Normale" 10.10.10.x Netz.
Der LanCom Router muss dabei den Traffic
sauber filtern können.
weiß daher nicht ob meine Idee
hinhaut. Prinzipiell würde ich es aber
so machen:
Netgear Router - Transfrenetz 192.168.0.x
mit Citrix Server - LanCom Router -
"Normale" 10.10.10.x Netz.
Der LanCom Router muss dabei den Traffic
sauber filtern können.
Moin Moin!
Erstmal Danke!
Heisst das nun, den Netgear + den einen PC (der auf den Citrix kommen soll...) in das 192.168.0.x und den LanCom mit dem Rest der PCs ins 10.10.10.x ?
oder wie?
Sorry aber ich hab auch noch nie mit 2 Routern/2 Netzen gearbeitet
Heisst das nun, den Netgear + den einen PC
(der auf den Citrix kommen soll...) in das192.168.0.x und den LanCom mit dem Rest der
PCs ins 10.10.10.x ?
Ja.
Wobei der Lancom natürlich im 10.10.10.x und im 192.168.0.x Netz steht. Es soll ja routen.
Sorry aber ich hab auch noch nie mit 2
Routern/2 Netzen gearbeitet
Wurde hier schon ein paar mal beschrieben. Routern/2 Netzen gearbeitet
Mit der von mit beschiebenen Anordnung hast du dann eine DMZ aufgebaut. Die auch genau für so Zwecke wie du sie planst da ist.
Ah jetzt ja ...
Ok, dann hab ich das doch richtig verstanden!
Wobei ne richtige DMZ solls ja nicht werden ..
...wie gesagt, ist für mich Neuland und da muss ich mich dann jetzt mal "reinlesen"
Dann sag ich erstmal DANKE!!!!
Ok, dann hab ich das doch richtig verstanden!
Wobei ne richtige DMZ solls ja nicht werden ..
...wie gesagt, ist für mich Neuland und da muss ich mich dann jetzt mal "reinlesen"
Dann sag ich erstmal DANKE!!!!
Mir raucht der Schädel....
Wenn ich mit dem LanCOm + LAN (10.0.0.0/24) ÜBER den Netgear (192.168.0.0/24) ins Internet will UND der PC in der "DMZ" soll aber auch mit dem LAN HINTER dem LanCOM-Router kommunizieren, was muss ich denn da für statische Routen festlegen?
Irgendwie raff ich das nicht:
am Lancom-Router (10.0.0.254)
IP-Adresse | SubnetMask | Gateway
192.168.0.0 | 255.255.255.0 | 10.0.0.254 *für den Zugriff auf die DMZ!?
10.0.0.0 | 255.255.255.0 | 10.0.0.254 *für den Zugriff auf das LAN!?
0.0.0.0 | 0.0.0.0 | 192.168.0.1 *für den zugriff des LAN aufs Internet!?
am Netgear-Router (192.168.0.1)
IP-Adresse | SubnetMask | Gateway
10.0.0.0 | 255.255.255.0 | 192.168.0.1 *für den Zugriff auf das LAN!?
192.168.0.0 | 255.255.255.0 | 192.168.0.1 *für den Zugriff auf die DMZ!?
0.0.0.0 | 0.0.0.0 | 192.168.0.1 *für den zugriff des LAN aufs Internet?!
Da fehlt doch was, oder?
Können die so untereinander kommunizieren und ins Internet?
(Zugriffe von "draussen" (Remote)auf das LAN muss auch funktionieren)
denk ich zu kompliziert oder hab ich mich da irgendwo festgefahren?
(Ich brauch evtl. nur mal ne pause vom "Routing" *Augenreib*)
Trotzdem schonmal Danke!
Wenn ich mit dem LanCOm + LAN (10.0.0.0/24) ÜBER den Netgear (192.168.0.0/24) ins Internet will UND der PC in der "DMZ" soll aber auch mit dem LAN HINTER dem LanCOM-Router kommunizieren, was muss ich denn da für statische Routen festlegen?
Irgendwie raff ich das nicht:
am Lancom-Router (10.0.0.254)
IP-Adresse | SubnetMask | Gateway
192.168.0.0 | 255.255.255.0 | 10.0.0.254 *für den Zugriff auf die DMZ!?
10.0.0.0 | 255.255.255.0 | 10.0.0.254 *für den Zugriff auf das LAN!?
0.0.0.0 | 0.0.0.0 | 192.168.0.1 *für den zugriff des LAN aufs Internet!?
am Netgear-Router (192.168.0.1)
IP-Adresse | SubnetMask | Gateway
10.0.0.0 | 255.255.255.0 | 192.168.0.1 *für den Zugriff auf das LAN!?
192.168.0.0 | 255.255.255.0 | 192.168.0.1 *für den Zugriff auf die DMZ!?
0.0.0.0 | 0.0.0.0 | 192.168.0.1 *für den zugriff des LAN aufs Internet?!
Da fehlt doch was, oder?
Können die so untereinander kommunizieren und ins Internet?
(Zugriffe von "draussen" (Remote)auf das LAN muss auch funktionieren)
denk ich zu kompliziert oder hab ich mich da irgendwo festgefahren?
(Ich brauch evtl. nur mal ne pause vom "Routing" *Augenreib*)
Trotzdem schonmal Danke!
so muss es sein
Jeder Router hat zwei IPs. Die sind jeweils in dem Netz wo der Router mit der Schnittstelle auch drin steht.
Also der Netgear hat eine WAN Schnittstelle, da hat er eine öffentliche IP. Die zweite Schnittstelle liegt geht ins 192.168.0.x Netz und hat z.B. die IP 192.168.0.1 . Beim Lancom ist es ähnlich. Die Seite die im 192.168.0.x steht bekommt da z.B. die 192.168.0.2 die Seite die im 10.10.10.x hängt zB die 10.10.10.1.
Der Netgear bekommt sein Standardgateway vom Internet Provider. Dazu bekomt er eine statische Route ins 10.10.10.x Netz. Das Gateway ist dabei die IP vom LanCom, die im 192.168.0.x Netz hängt. Also im Beispiel die 192.168.0.1. Der Lancam bekommt als Standardgateway die ip des Netgears, die im 192.168.0.X Netz hängt. Im Beispiel also die 192.168.0.1. Alle Clients bekommen die IP des LanCom in ihrem Netz als Gateway. Im Beispiel also die 10.10.10.1.
Physikalisch angeschlossen muss das Ganze so sein.
Kabel vom Internet in WAN Port Netgear. Der andere Port vom Netgear geht zu einem Switch. Da hängt der Citrix Server und ein Bein vom Lancom dran. Der zweite Port vom Lancom geht an einen zweiten Switch an dem die Clients mit angeschlossen sind.
BTW: Die erste und letzte IP in einem Bereich dürfen nicht an devices vergeben werden. Im 192.168.0.x Netz z.B. sind die 192.168.0.0 und die 192.168.0.255 von der Vergabe auszuschliessen.
Jeder Router hat zwei IPs. Die sind jeweils in dem Netz wo der Router mit der Schnittstelle auch drin steht.
Also der Netgear hat eine WAN Schnittstelle, da hat er eine öffentliche IP. Die zweite Schnittstelle liegt geht ins 192.168.0.x Netz und hat z.B. die IP 192.168.0.1 . Beim Lancom ist es ähnlich. Die Seite die im 192.168.0.x steht bekommt da z.B. die 192.168.0.2 die Seite die im 10.10.10.x hängt zB die 10.10.10.1.
Der Netgear bekommt sein Standardgateway vom Internet Provider. Dazu bekomt er eine statische Route ins 10.10.10.x Netz. Das Gateway ist dabei die IP vom LanCom, die im 192.168.0.x Netz hängt. Also im Beispiel die 192.168.0.1. Der Lancam bekommt als Standardgateway die ip des Netgears, die im 192.168.0.X Netz hängt. Im Beispiel also die 192.168.0.1. Alle Clients bekommen die IP des LanCom in ihrem Netz als Gateway. Im Beispiel also die 10.10.10.1.
Physikalisch angeschlossen muss das Ganze so sein.
Kabel vom Internet in WAN Port Netgear. Der andere Port vom Netgear geht zu einem Switch. Da hängt der Citrix Server und ein Bein vom Lancom dran. Der zweite Port vom Lancom geht an einen zweiten Switch an dem die Clients mit angeschlossen sind.
BTW: Die erste und letzte IP in einem Bereich dürfen nicht an devices vergeben werden. Im 192.168.0.x Netz z.B. sind die 192.168.0.0 und die 192.168.0.255 von der Vergabe auszuschliessen.
Was aus deiner Beschreibung nicht hervorgeht ist von WO dieser Zugang auf den Citrix Server passieren soll ???
Von außen (Internet) auf den Lancom oder über ein VPN ??? Wenn VPN welche Art von VPN und soll das VPN auf dem Router oder dem Server terminiert werden ???
Alles Fragen die unklar sind....
Soll die Verbindung direkt passieren dann steht es im Lancom Handbuch auf Seite 130 wie es mit inverse Masquerading geht. Das ist dann nichts anderes als ein IP Forwarding der Cirtix TCP Ports auf den Server. Soll das über PPTP direkt auf den Server gehen d.h. die Citix Verbindungen in einer PPTP Verbindung laufen ist es nicht einfach, da dann in der Tat der Router ein PPTP Passthrough supporten muss. Das betrifft in der regel ein Forwarding eines GRE Tunnels. Das klappt bei einem Router meist nur mit einer einzigen Session sofern es überhaupt supportet ist. Allerdings kann ich mi das bei LanCom nicht vorstellen. Ggf. ist das ein Feature und kann mit einem Update implementiert werden. Was NetGear kann sollten die dann eigentlich allemal können. Ein Anruf bei deren Hotline oder Email sollte das schnell klären.
Ggf. kannst du so auf das o.a. abenteuerliche Routerkonstrukt ganz verzichten...
Von außen (Internet) auf den Lancom oder über ein VPN ??? Wenn VPN welche Art von VPN und soll das VPN auf dem Router oder dem Server terminiert werden ???
Alles Fragen die unklar sind....
Soll die Verbindung direkt passieren dann steht es im Lancom Handbuch auf Seite 130 wie es mit inverse Masquerading geht. Das ist dann nichts anderes als ein IP Forwarding der Cirtix TCP Ports auf den Server. Soll das über PPTP direkt auf den Server gehen d.h. die Citix Verbindungen in einer PPTP Verbindung laufen ist es nicht einfach, da dann in der Tat der Router ein PPTP Passthrough supporten muss. Das betrifft in der regel ein Forwarding eines GRE Tunnels. Das klappt bei einem Router meist nur mit einer einzigen Session sofern es überhaupt supportet ist. Allerdings kann ich mi das bei LanCom nicht vorstellen. Ggf. ist das ein Feature und kann mit einem Update implementiert werden. Was NetGear kann sollten die dann eigentlich allemal können. Ein Anruf bei deren Hotline oder Email sollte das schnell klären.
Ggf. kannst du so auf das o.a. abenteuerliche Routerkonstrukt ganz verzichten...
@meinereiner
THX erstmal ... muss mir das erstmal bei nem Kaffe verinnerlichen!
@meinereiner & aqui
Muss das mit dem Citrix nochmal kurz klar stellen:
Der Citrix-Server steht NICHT bei uns im LAN. sondern wir wollen lediglich mit 1 Client darauf über VPN (Novell Border Manager + Citrix Client) auf den Citrix eines Unternehmens zugreifen um dort Daten abzurufen!
Dabei macht der LanCom halt Probleme, weil er bei "VPN over NAT" eine andere "Verschlüsselung" vornimmt als andere Router (wie u.a. auch der Netgear) und somit von der FW des Citrix-Servers geblockt wird.
Ich will (nur) einen einzigen CLient an einen Port des Netgears hängen (in eine DMZ) und den Lancom (mit seinen tollen Funktionen) + die restlichen Clients an den anderen Port des Netgears... Netgear soll Gateway vom 10.x.x.x Netz ins 192.x.x.x.x Netz und umgekehrt sein, sowie Gateway für ALLE ins WWW.
THX erstmal ... muss mir das erstmal bei nem Kaffe verinnerlichen!
@meinereiner & aqui
Muss das mit dem Citrix nochmal kurz klar stellen:
Der Citrix-Server steht NICHT bei uns im LAN. sondern wir wollen lediglich mit 1 Client darauf über VPN (Novell Border Manager + Citrix Client) auf den Citrix eines Unternehmens zugreifen um dort Daten abzurufen!
Dabei macht der LanCom halt Probleme, weil er bei "VPN over NAT" eine andere "Verschlüsselung" vornimmt als andere Router (wie u.a. auch der Netgear) und somit von der FW des Citrix-Servers geblockt wird.
Ich will (nur) einen einzigen CLient an einen Port des Netgears hängen (in eine DMZ) und den Lancom (mit seinen tollen Funktionen) + die restlichen Clients an den anderen Port des Netgears... Netgear soll Gateway vom 10.x.x.x Netz ins 192.x.x.x.x Netz und umgekehrt sein, sowie Gateway für ALLE ins WWW.
OK, das klärt das Szenario. Das sieht nach einem NAT Problem aus. Die große Frage ist was der Border Manager für ein Protokoll verwendet ?? Wenn dies IPsec ist dann kann das in der Tat Probleme bereiten. Der Router ist dabei übrigens außen vor. Sofern er nicht selber eine VPN Verbindung aufbaut verschlüsselt er nie selber....
D wenn der Lancom kein VPN Passthrough supportet dann sieht es schlecht aus. Ggf. kannst du dann noch ein statisches Portforwarding mit UDP 500 (IKE) und ESP (Protokoll 51) versuchen. Kann der LanCom auch kein ESP forwarden siehts schlecht aus. Auch wenn ers denn könnte kannst du mit Passthrough oder eben dem statischen Forwarding nur einen einzigen festen Client bedienen, da der Traffic ja immer nur an genau diesen geforwardet wird
Benutzt die Novell VPN SW sogar IPsec mit AH (Authentication Header) hast du gar keine Chance denn das ist über NAT nicht übertragbar !
Also erster Step ist herauszubekommen wie die Novell SW kommuniziert....
D wenn der Lancom kein VPN Passthrough supportet dann sieht es schlecht aus. Ggf. kannst du dann noch ein statisches Portforwarding mit UDP 500 (IKE) und ESP (Protokoll 51) versuchen. Kann der LanCom auch kein ESP forwarden siehts schlecht aus. Auch wenn ers denn könnte kannst du mit Passthrough oder eben dem statischen Forwarding nur einen einzigen festen Client bedienen, da der Traffic ja immer nur an genau diesen geforwardet wird
Benutzt die Novell VPN SW sogar IPsec mit AH (Authentication Header) hast du gar keine Chance denn das ist über NAT nicht übertragbar !
Also erster Step ist herauszubekommen wie die Novell SW kommuniziert....
Hallo aqui!
Danke für Deinen Einsatz bezgl. des NAT-Problems aber ich kann Dir auch sagen, dass ich diese Möglichkeite(en) auschließen kann, da ich die schon ausprobiert habe!
Selbst der LANCOM-Support hat dies seinerzeit schriftl. (per mail) bestätigt!
Danke für Deinen Einsatz bezgl. des NAT-Problems aber ich kann Dir auch sagen, dass ich diese Möglichkeite(en) auschließen kann, da ich die schon ausprobiert habe!
Selbst der LANCOM-Support hat dies seinerzeit schriftl. (per mail) bestätigt!
