2 Router 2(?) Netzwerke oder wie realisier ich das am Besten?

Mitglied: dai

dai (Level 1) - Jetzt verbinden

30.05.2006, aktualisiert 06.06.2006, 6184 Aufrufe, 10 Kommentare

Mir fehlt irgendwie der Durchblick :-/ face-confused

Also folgendes Problem:

Wir haben hier ein Netzwerk von 20 PCs (10.0.0.x) hinter einem DSL-Router von LanCOM (LANCOM 821 ADSL/ISDN) 2
Generell ein Super Gerät (und auch nicht ganz billig...)

Jetzt will mein Chef einen Zugang zu einem Citrix-Server, der unsere Anfragen (Datenpakete) aber nicht akzeptiert, weil Kollege LanCom mit "VPN over NAT" nicht klar kommt, bzw. "anders" verschlüsselt ...

Neueste Firmware bringt da gar nix, sodass wir uns entschlossen haben, auf einen anderen Routr zu wechseln!
(soviel zur Vorgeschichte...)

Jetzt will ich mich aber ungern von dem guten LanCOM-GErät Trennen, weil der so viele Einstellmöglichkeiten hat (die man einfach nimmer missen möchte) und dachte daran, einen etwas günstigeren DSL-Router (z.B. den DG834B von Netgear) ZUSÄTZLICH ins Netz zu hängen, wo dann
a) 1 PC mit dem Novel-Border-Manager für den Citrix-Server an einem Port hängt
b) der LanCOM-Router + restl. Netzwerk an dem anderne Port.

(Der o.g. Netgear war schonmal zu Testzwecken angeschlossen und konnte Prima mit dem Citrix-Server kommunizieren...)

Jetzt soll der "einzelne" PC aber auch mit dem restl. LAN kommunizieren können und umgekehrt (Domäne vorh.)

wie kann ich das am Besten realisieren?
z.Zt. Server + Clients 10.0.0.x, LanCOm bei 10.0.0.254


Ich raff das irgendwie nicht :-( face-sad

Danke schonmal!



PS: Wir wollen demnächst von NT4 Server (SBS) auf 2003 + neue Hardware umsteigen, also sollte das Ganze möglichst OHNE die Server realisierbar sein! (ging ja bisher auch und 2 Router sind ja auch vorh.)
Mitglied: meinereiner
30.05.2006 um 16:09 Uhr
ich kenne den LanCom Router jetzt nicht und weiß daher nicht ob meine Idee hinhaut. Prinzipiell würde ich es aber so machen:

Netgear Router - Transfrenetz 192.168.0.x mit Citrix Server - LanCom Router - "Normale" 10.10.10.x Netz.

Der LanCom Router muss dabei den Traffic sauber filtern können.
Bitte warten ..
Mitglied: dai
31.05.2006 um 07:00 Uhr
ich kenne den LanCom Router jetzt nicht und
weiß daher nicht ob meine Idee
hinhaut. Prinzipiell würde ich es aber
so machen:

Netgear Router - Transfrenetz 192.168.0.x
mit Citrix Server - LanCom Router -
"Normale" 10.10.10.x Netz.

Der LanCom Router muss dabei den Traffic
sauber filtern können.

Moin Moin!
Erstmal Danke! ;-) face-wink

Heisst das nun, den Netgear + den einen PC (der auf den Citrix kommen soll...) in das 192.168.0.x und den LanCom mit dem Rest der PCs ins 10.10.10.x ?

oder wie?

Sorry aber ich hab auch noch nie mit 2 Routern/2 Netzen gearbeitet :-( face-sad
Bitte warten ..
Mitglied: meinereiner
31.05.2006 um 08:06 Uhr
Heisst das nun, den Netgear + den einen PC
(der auf den Citrix kommen soll...) in das
192.168.0.x und den LanCom mit dem Rest der
PCs ins 10.10.10.x ?

Ja.
Wobei der Lancom natürlich im 10.10.10.x und im 192.168.0.x Netz steht. Es soll ja routen.


Sorry aber ich hab auch noch nie mit 2
Routern/2 Netzen gearbeitet :-( face-sad
Wurde hier schon ein paar mal beschrieben. ;-) face-wink

Mit der von mit beschiebenen Anordnung hast du dann eine DMZ aufgebaut. Die auch genau für so Zwecke wie du sie planst da ist.
Bitte warten ..
Mitglied: dai
31.05.2006 um 08:27 Uhr
Ah jetzt ja ...

Ok, dann hab ich das doch richtig verstanden!

Wobei ne richtige DMZ solls ja nicht werden .. ;-) face-wink


...wie gesagt, ist für mich Neuland und da muss ich mich dann jetzt mal "reinlesen" ;-) face-wink

Dann sag ich erstmal DANKE!!!!
Bitte warten ..
Mitglied: dai
31.05.2006 um 14:16 Uhr
Mir raucht der Schädel....

Wenn ich mit dem LanCOm + LAN (10.0.0.0/24) ÜBER den Netgear (192.168.0.0/24) ins Internet will UND der PC in der "DMZ" soll aber auch mit dem LAN HINTER dem LanCOM-Router kommunizieren, was muss ich denn da für statische Routen festlegen?

Irgendwie raff ich das nicht:

am Lancom-Router (10.0.0.254)
IP-Adresse | SubnetMask | Gateway
192.168.0.0 | 255.255.255.0 | 10.0.0.254 *für den Zugriff auf die DMZ!?
10.0.0.0 | 255.255.255.0 | 10.0.0.254 *für den Zugriff auf das LAN!?
0.0.0.0 | 0.0.0.0 | 192.168.0.1 *für den zugriff des LAN aufs Internet!?

am Netgear-Router (192.168.0.1)
IP-Adresse | SubnetMask | Gateway
10.0.0.0 | 255.255.255.0 | 192.168.0.1 *für den Zugriff auf das LAN!?
192.168.0.0 | 255.255.255.0 | 192.168.0.1 *für den Zugriff auf die DMZ!?
0.0.0.0 | 0.0.0.0 | 192.168.0.1 *für den zugriff des LAN aufs Internet?!


Da fehlt doch was, oder?
Können die so untereinander kommunizieren und ins Internet?
(Zugriffe von "draussen" (Remote)auf das LAN muss auch funktionieren)

denk ich zu kompliziert oder hab ich mich da irgendwo festgefahren?
(Ich brauch evtl. nur mal ne pause vom "Routing" *Augenreib*)

Trotzdem schonmal Danke!
Bitte warten ..
Mitglied: meinereiner
31.05.2006 um 19:00 Uhr
so muss es sein

Jeder Router hat zwei IPs. Die sind jeweils in dem Netz wo der Router mit der Schnittstelle auch drin steht.

Also der Netgear hat eine WAN Schnittstelle, da hat er eine öffentliche IP. Die zweite Schnittstelle liegt geht ins 192.168.0.x Netz und hat z.B. die IP 192.168.0.1 . Beim Lancom ist es ähnlich. Die Seite die im 192.168.0.x steht bekommt da z.B. die 192.168.0.2 die Seite die im 10.10.10.x hängt zB die 10.10.10.1.

Der Netgear bekommt sein Standardgateway vom Internet Provider. Dazu bekomt er eine statische Route ins 10.10.10.x Netz. Das Gateway ist dabei die IP vom LanCom, die im 192.168.0.x Netz hängt. Also im Beispiel die 192.168.0.1. Der Lancam bekommt als Standardgateway die ip des Netgears, die im 192.168.0.X Netz hängt. Im Beispiel also die 192.168.0.1. Alle Clients bekommen die IP des LanCom in ihrem Netz als Gateway. Im Beispiel also die 10.10.10.1.

Physikalisch angeschlossen muss das Ganze so sein.
Kabel vom Internet in WAN Port Netgear. Der andere Port vom Netgear geht zu einem Switch. Da hängt der Citrix Server und ein Bein vom Lancom dran. Der zweite Port vom Lancom geht an einen zweiten Switch an dem die Clients mit angeschlossen sind.



BTW: Die erste und letzte IP in einem Bereich dürfen nicht an devices vergeben werden. Im 192.168.0.x Netz z.B. sind die 192.168.0.0 und die 192.168.0.255 von der Vergabe auszuschliessen.
Bitte warten ..
Mitglied: aqui
01.06.2006 um 00:40 Uhr
Was aus deiner Beschreibung nicht hervorgeht ist von WO dieser Zugang auf den Citrix Server passieren soll ???
Von außen (Internet) auf den Lancom oder über ein VPN ??? Wenn VPN welche Art von VPN und soll das VPN auf dem Router oder dem Server terminiert werden ???
Alles Fragen die unklar sind....
Soll die Verbindung direkt passieren dann steht es im Lancom Handbuch auf Seite 130 wie es mit inverse Masquerading geht. Das ist dann nichts anderes als ein IP Forwarding der Cirtix TCP Ports auf den Server. Soll das über PPTP direkt auf den Server gehen d.h. die Citix Verbindungen in einer PPTP Verbindung laufen ist es nicht einfach, da dann in der Tat der Router ein PPTP Passthrough supporten muss. Das betrifft in der regel ein Forwarding eines GRE Tunnels. Das klappt bei einem Router meist nur mit einer einzigen Session sofern es überhaupt supportet ist. Allerdings kann ich mi das bei LanCom nicht vorstellen. Ggf. ist das ein Feature und kann mit einem Update implementiert werden. Was NetGear kann sollten die dann eigentlich allemal können. Ein Anruf bei deren Hotline oder Email sollte das schnell klären.
Ggf. kannst du so auf das o.a. abenteuerliche Routerkonstrukt ganz verzichten...
Bitte warten ..
Mitglied: dai
01.06.2006 um 07:53 Uhr
@meinereiner
THX erstmal ... muss mir das erstmal bei nem Kaffe verinnerlichen!
;-) face-wink


@meinereiner & aqui
Muss das mit dem Citrix nochmal kurz klar stellen:
Der Citrix-Server steht NICHT bei uns im LAN. sondern wir wollen lediglich mit 1 Client darauf über VPN (Novell Border Manager + Citrix Client) auf den Citrix eines Unternehmens zugreifen um dort Daten abzurufen!

Dabei macht der LanCom halt Probleme, weil er bei "VPN over NAT" eine andere "Verschlüsselung" vornimmt als andere Router (wie u.a. auch der Netgear) und somit von der FW des Citrix-Servers geblockt wird.

Ich will (nur) einen einzigen CLient an einen Port des Netgears hängen (in eine DMZ) und den Lancom (mit seinen tollen Funktionen) + die restlichen Clients an den anderen Port des Netgears... Netgear soll Gateway vom 10.x.x.x Netz ins 192.x.x.x.x Netz und umgekehrt sein, sowie Gateway für ALLE ins WWW.
Bitte warten ..
Mitglied: aqui
05.06.2006 um 14:30 Uhr
OK, das klärt das Szenario. Das sieht nach einem NAT Problem aus. Die große Frage ist was der Border Manager für ein Protokoll verwendet ?? Wenn dies IPsec ist dann kann das in der Tat Probleme bereiten. Der Router ist dabei übrigens außen vor. Sofern er nicht selber eine VPN Verbindung aufbaut verschlüsselt er nie selber....
D wenn der Lancom kein VPN Passthrough supportet dann sieht es schlecht aus. Ggf. kannst du dann noch ein statisches Portforwarding mit UDP 500 (IKE) und ESP (Protokoll 51) versuchen. Kann der LanCom auch kein ESP forwarden siehts schlecht aus. Auch wenn ers denn könnte kannst du mit Passthrough oder eben dem statischen Forwarding nur einen einzigen festen Client bedienen, da der Traffic ja immer nur an genau diesen geforwardet wird :-( face-sad
Benutzt die Novell VPN SW sogar IPsec mit AH (Authentication Header) hast du gar keine Chance denn das ist über NAT nicht übertragbar !
Also erster Step ist herauszubekommen wie die Novell SW kommuniziert....
Bitte warten ..
Mitglied: dai
06.06.2006 um 07:13 Uhr
Hallo aqui!

Danke für Deinen Einsatz bezgl. des NAT-Problems aber ich kann Dir auch sagen, dass ich diese Möglichkeite(en) auschließen kann, da ich die schon ausprobiert habe!
Selbst der LANCOM-Support hat dies seinerzeit schriftl. (per mail) bestätigt! ;-) face-wink
Bitte warten ..
Heiß diskutierte Inhalte
Microsoft
Mitteilung an alle bei Störungen in der IT
gelöst David.B2D45Vor 1 TagFrageMicrosoft31 Kommentare

Hallo Forum, ich bin auf der Suche nach einem Programm / Tool mit dem ich Text (Laufschrift) auf allen (gewünschten) PC's / Benutzer im ...

Exchange Server
Exchange Zero Day Hack - Wie entfernen?
gelöst mtaiitVor 21 StundenFrageExchange Server30 Kommentare

Hallo, bei mir hat es einige Kundenserver getroffen Weiß einer wie ich diese WebShells wieder loswerde? Das löschen der betroffenen .aspx Dateien wird wohl ...

E-Mail
Kann man mit SPF Mails für eine Domäne vollständig verbieten?
gelöst StefanKittelVor 1 TagFrageE-Mail17 Kommentare

Hallo, viele Firmen haben ja zusätzliche Domänen. Als Web- und oder Mail-weiterleitung. Es werden also niemals Emails damit gesendet werden. kann man mit einem ...

Server-Hardware
Firmware-Updates auf Servern
redhorseVor 1 TagFrageServer-Hardware8 Kommentare

Guten Morgen, die Server-Hersteller stellen bekanntlich regelmäßig Firmware- und Treiberupdates für deren Serverhardware bereit, diese können z.B. bei Dell als Dell EMC Server Update ...

Linux
Windows auf Dualbootrechner entfernen und Linux die komplette Platte zur Verfügung stellen
N8chtfalterVor 1 TagFrageLinux6 Kommentare

Hallo Linux Profis, ich habe einen Laptop auf dem ursprünglichen Windows 10 installiert war, und ist, ich habe vor einem Jahr Ubuntu testhalber als ...

Windows Server
Domänenadmin kann kein Zertifikat anfordern
noodellsVor 1 TagFrageWindows Server6 Kommentare

Hallo Zusammen, ich habe ein Problem beim Finden einer Einstellung. Zuerst einmal der Stand: Es gibt eine Windows CA und Domaincontroller und alles funktionierte ...

Router & Routing
Routing öffentliche IP-Adresse-Traffic per BGP im internal-Network
gelöst jescheroVor 1 TagFrageRouter & Routing2 Kommentare

Guten Abend alle zusammen, ich habe ein kleines Problem beim Routing in pfSense. Mein aktuelles Aufbau ist folgenden: Ich habe eine pfSense-VM und zwei ...

Exchange Server
Windows Server 2019 + Exchange Server 2019 (Probleme mit Pop3)
gelöst aristonVor 1 TagFrageExchange Server4 Kommentare

Hallo zusammen, ich habe gerade angefangen, mit dem Exchange Server 2019 in der Demoversion zu arbeiten und folge Schritt für Schritt bei der notwendigen ...