16
Adressraum IP-Adressen erweitern
Hallo,
wir haben ein privates C-Klasse Netz (192.168.100.xxx) mit Subnetzmaske 255.255.255.0. Jetzt werden die IP-Adressen knapp und ich möchte weitere IP-Adressen zur DHCP-Vergabe ermöglichen.
Im Hintergrund werkelt eine Securepoint-Firewall, die auch fürs Routing zuständig ist. Im Netz befinden sich zwei Windows 2003-DHCP-Server, auf einem 2008er würde ich einen weiteren Server mit den "neuen" Adressen einrichten. Internes Gateway ist die FW mit 192.168.100.4.
Jetzt stehe ich maximal auf dem Schlauch, habe schon einiges nachgelesen, hilft aber alles nur minimal weiter, für mich zumindest.
Frage ich einfach mal so in den Raum:
Kann ich ohne Änderung der Subnetzmaske weitere Adressen vergeben?
Muss die Firewall nachkonfiguriert werden?
Welches Gateway würde dann als Standard für alle Clients im Netz gelten?
Wenn ich manuell einem Windows-Client beispielsweise die 192.168.10.79 vergebe, kann ich das interne Gateway anpingen. Nicht jedoch andere Clients im Netz.
Sind wahrscheinlich ziemlich blöde Fragen, sorry. Leider sind Netzwerke nicht so mein Fachgebiet, bitte also um Nachsicht!
wir haben ein privates C-Klasse Netz (192.168.100.xxx) mit Subnetzmaske 255.255.255.0. Jetzt werden die IP-Adressen knapp und ich möchte weitere IP-Adressen zur DHCP-Vergabe ermöglichen.
Im Hintergrund werkelt eine Securepoint-Firewall, die auch fürs Routing zuständig ist. Im Netz befinden sich zwei Windows 2003-DHCP-Server, auf einem 2008er würde ich einen weiteren Server mit den "neuen" Adressen einrichten. Internes Gateway ist die FW mit 192.168.100.4.
Jetzt stehe ich maximal auf dem Schlauch, habe schon einiges nachgelesen, hilft aber alles nur minimal weiter, für mich zumindest.
Frage ich einfach mal so in den Raum:
Kann ich ohne Änderung der Subnetzmaske weitere Adressen vergeben?
Muss die Firewall nachkonfiguriert werden?
Welches Gateway würde dann als Standard für alle Clients im Netz gelten?
Wenn ich manuell einem Windows-Client beispielsweise die 192.168.10.79 vergebe, kann ich das interne Gateway anpingen. Nicht jedoch andere Clients im Netz.
Sind wahrscheinlich ziemlich blöde Fragen, sorry. Leider sind Netzwerke nicht so mein Fachgebiet, bitte also um Nachsicht!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 131512
Url: https://administrator.de/forum/adressraum-ip-adressen-erweitern-131512.html
Ausgedruckt am: 11.04.2025 um 07:04 Uhr
16 Kommentare
Neuester Kommentar
Wenn ich manuell einem Windows-Client beispielsweise die 192.168.10.79 vergebe, kann ich das interne Gateway anpingen.
nein, kannst du nicht, solange die SubNet in deinem Fall auf 255.255.255.0 steht.
[quote]
Muss die Firewall nachkonfiguriert werden?
[/quote]
Wenn du änderungen am IP-Bereich vornimmst kann man mit zimlicher Sicherheit (und ohne genau zu wissen was du hast) sagen: JA, die muss angepasst werden!
Muss die Firewall nachkonfiguriert werden?
[/quote]
Wenn du änderungen am IP-Bereich vornimmst kann man mit zimlicher Sicherheit (und ohne genau zu wissen was du hast) sagen: JA, die muss angepasst werden!
wir haben ein privates C-Klasse Netz (192.168.100.xxx) mit Subnetzmaske 255.255.255.0.
Vergiss mal das Class C - das ist irrelevant.
Kann ich ohne Änderung der Subnetzmaske weitere Adressen vergeben?
Ohne Änderung bei den Clients? Ja
Ohne Änderung am Server? Nur wenn du die Clients abwechselnd benutzt
Dabei gilt natürlich folgende Regel:
- Clients müssen nicht untereinander kommunizieren
- Alle müssen mit dem Server kommunizieren
- Der Server muss mit allen kommunizieren
Die bisherigen Clients behalten /24, die Server bekommen /16 und die neuen Clients eine Maske bei der sie im selben Subnet wie die Server sind.
Grüße
Max
Das ging aber fix, danke!
Was ich vergessen hab: Alle Rechner im privaten Netz sind im Netz 192.168.100.1/16. Genug Adressen sind also da.
Vielleicht habe ich das Ausmaß meiner Dummheit noch nicht deutlich genug rübergebracht, deshalb noch mal gezieltere Fragen:
- Welchen IP-Kreis kann ich am Einfachsten ohne Änderung der Subnetzmaske verwenden? 192.168.10.x?
- Was muss ich dann an der Firewall-Konfiguration ändern? Zusätzliche IP auf das GW-Interface?
- Welches Gateway trage ich dann auf den Windows-Clients ein? Was gilt für die internen DNS-Server?
Was ich vergessen hab: Alle Rechner im privaten Netz sind im Netz 192.168.100.1/16. Genug Adressen sind also da.
Vielleicht habe ich das Ausmaß meiner Dummheit noch nicht deutlich genug rübergebracht, deshalb noch mal gezieltere Fragen:
- Welchen IP-Kreis kann ich am Einfachsten ohne Änderung der Subnetzmaske verwenden? 192.168.10.x?
- Was muss ich dann an der Firewall-Konfiguration ändern? Zusätzliche IP auf das GW-Interface?
- Welches Gateway trage ich dann auf den Windows-Clients ein? Was gilt für die internen DNS-Server?
Hallo Coreknabe,
Folgende Konfig sollte klappen:
IP-Adressen der Clients: 192.168.100.xxx und 192.168.101.xxx
Keine Änderung an der Firewall
Gateway bleibt für alle Rechner (auch die neuen) gleich
Alle Rechner hängen im gleichen physikalischen Netz (also nicht durch die Firewall geroutet)
wie Dog geschrieben hat:
Die bisherigen Clients behalten /24, die Server bekommen /16 und die neuen Clients
eine Maske bei der sie im selben Subnet wie die Server sind.
D.h.: Die Subnetzmaske der Server wird geändert: von 255.255.255.0 auf 255.255.0.0
So habe ich es verstanden, vielleicht ist aber auch meine Ahnungslosigkeit grenzenlos
Gruß
Thomas
Folgende Konfig sollte klappen:
IP-Adressen der Clients: 192.168.100.xxx und 192.168.101.xxx
Keine Änderung an der Firewall
Gateway bleibt für alle Rechner (auch die neuen) gleich
Alle Rechner hängen im gleichen physikalischen Netz (also nicht durch die Firewall geroutet)
wie Dog geschrieben hat:
Die bisherigen Clients behalten /24, die Server bekommen /16 und die neuen Clients
eine Maske bei der sie im selben Subnet wie die Server sind.
D.h.: Die Subnetzmaske der Server wird geändert: von 255.255.255.0 auf 255.255.0.0
So habe ich es verstanden, vielleicht ist aber auch meine Ahnungslosigkeit grenzenlos
Gruß
Thomas
Hi Thomas,
so habe ich das auch versucht. Resultat: Die FW lässt sich vom Client anpingen, ich komme mit dem Client aber weder ins lokale Netz, also kein Kontakt zu anderen Clients, Internet funktioniert auch nicht. Und: Ist ein Windows 7-Client, wenn ich die Änderung vornehme, meckert er:
Warnung - Mehrere Standardgateways bieten Redundanz für ein einzelnes Netzwerk (wie z.B. ein Intranet oder das Internet). Die Standardgateways funktionieren nicht richtig, wenn sie sich auf zwei separaten Netzwerken befinden (ein Gateway im Intranet und das andere im Internet). Soll diese Konfiguration gespeichert werden?
--> Ja
Folgendes habe ich eingetragen: IP 192.168.101.79, GW 192.168.100.4, DNS1 192.168.100.12, DNS2 192.168.100.3. Netz ist FW-seitig für alle Clients inkl. Server 192.168.100.1/16
so habe ich das auch versucht. Resultat: Die FW lässt sich vom Client anpingen, ich komme mit dem Client aber weder ins lokale Netz, also kein Kontakt zu anderen Clients, Internet funktioniert auch nicht. Und: Ist ein Windows 7-Client, wenn ich die Änderung vornehme, meckert er:
Warnung - Mehrere Standardgateways bieten Redundanz für ein einzelnes Netzwerk (wie z.B. ein Intranet oder das Internet). Die Standardgateways funktionieren nicht richtig, wenn sie sich auf zwei separaten Netzwerken befinden (ein Gateway im Intranet und das andere im Internet). Soll diese Konfiguration gespeichert werden?
--> Ja
Folgendes habe ich eingetragen: IP 192.168.101.79, GW 192.168.100.4, DNS1 192.168.100.12, DNS2 192.168.100.3. Netz ist FW-seitig für alle Clients inkl. Server 192.168.100.1/16
Zitat von @Coreknabe:
Folgendes habe ich eingetragen: IP 192.168.101.79, GW 192.168.100.4, DNS1 192.168.100.12, DNS2 192.168.100.3. Netz ist FW-seitig
für alle Clients inkl. Server 192.168.100.1/16
Folgendes habe ich eingetragen: IP 192.168.101.79, GW 192.168.100.4, DNS1 192.168.100.12, DNS2 192.168.100.3. Netz ist FW-seitig
für alle Clients inkl. Server 192.168.100.1/16
damit meinst du sicher das Subnetz steht auf 255.255.255.0, oder?
zweite Frage: Hat die Firewall auch die passende Einrichtung, oder ist dort eine andere Subnetzmaske eingerichtet?
Ist richtig, Subnetz 255.255.255.0, Firewall gibt dies vor.
Hab jetzt mal auf dem Client mit der neuen IP im Firefox die FW als Proxy eingetragen, was vorher nicht nötig war. Ich komme jetzt mit diesem Rechner ins Internet... Ist aber als transparenter Proxy auf der FW eingerichtet, daran dürfte das doch also eigentlich nicht scheitern?!?
Hab jetzt mal auf dem Client mit der neuen IP im Firefox die FW als Proxy eingetragen, was vorher nicht nötig war. Ich komme jetzt mit diesem Rechner ins Internet... Ist aber als transparenter Proxy auf der FW eingerichtet, daran dürfte das doch also eigentlich nicht scheitern?!?
Mmmhhh, eins ist nicht ganz klar oben gibst du an du hast eine 24 Bit Subnetzmaske und unten dann mit einmal eine 16 Bit Maske.
Klar kann man mit CIDR dem klassischen Class C Netz eine 16 Bit Maske überstülpen aber oft ist das gefährlich da diverse Endgeräte mit solchen CIDR masken nicht umgehen können und du bekommst noch erheblich mehr Probleme.
Diesen Weg solltest du eher vergessen.
Mit 2 unterschiedlichen IP Adressen auf einem Draht zu arbeiten ist auch kontraproduktiv, da du so immer auf dem selben kabel routen müsstest und langfristig mit ICMP Probleme bekommst.
Fazit: Nun wirst du von einem dummen Planungs- und Designfehler eingeholt weil du vermutlich vorher nicht nachgedacht hast.
Der RFC 1918 der uns die privaten_IP_Netze bietet, wie du sicherlich selber weisst, mit den 172er Adressblöcken diverser Class B Netze und ein 10er Netz Class A Netz, was mit einer 16er Maske z.B. auch als Class B z.B. subnetbar ist.
Leider bist du wie so viele hier dem banalen 192.168er Class C Wahn verfallen ohne mal etwas über den Tellerrand zu schauen...
Um das Elend abzukürzen: Generell kann man dir nur empfehlen den Sprung ins kalte Wasser zu machen und z.B. übers Wochenende dein IP Netz umzustellen auf z.B. eine Class C Netz wie 172.32.0.0 /24 z.B.
Gerade wenn du den Clients IPs per DHCP verteilst ist das eine schnelle Sache und mit ein paar Mausklicks erledigt..
Kannst du das nicht aus welchem Grund auch immer, solltest du ein neues IP Netzsegement mit einem Router oder Layer 3 Switch ankoppeln. Wenn du VLAN fähige Switches hast ist das im Handumdrehen eingerichtet. Viele Routing HowTos wie diese helfen dir dabei:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ggf. nutzt du einen Layer 3 fähigen Switch dafür, dann kannst du ein weiteres Subnez problemlos ohne großen Aufwand in dein vorhandenes IP Netz integrieren.
Klar kann man mit CIDR dem klassischen Class C Netz eine 16 Bit Maske überstülpen aber oft ist das gefährlich da diverse Endgeräte mit solchen CIDR masken nicht umgehen können und du bekommst noch erheblich mehr Probleme.
Diesen Weg solltest du eher vergessen.
Mit 2 unterschiedlichen IP Adressen auf einem Draht zu arbeiten ist auch kontraproduktiv, da du so immer auf dem selben kabel routen müsstest und langfristig mit ICMP Probleme bekommst.
Fazit: Nun wirst du von einem dummen Planungs- und Designfehler eingeholt weil du vermutlich vorher nicht nachgedacht hast.
Der RFC 1918 der uns die privaten_IP_Netze bietet, wie du sicherlich selber weisst, mit den 172er Adressblöcken diverser Class B Netze und ein 10er Netz Class A Netz, was mit einer 16er Maske z.B. auch als Class B z.B. subnetbar ist.
Leider bist du wie so viele hier dem banalen 192.168er Class C Wahn verfallen ohne mal etwas über den Tellerrand zu schauen...
Um das Elend abzukürzen: Generell kann man dir nur empfehlen den Sprung ins kalte Wasser zu machen und z.B. übers Wochenende dein IP Netz umzustellen auf z.B. eine Class C Netz wie 172.32.0.0 /24 z.B.
Gerade wenn du den Clients IPs per DHCP verteilst ist das eine schnelle Sache und mit ein paar Mausklicks erledigt..
Kannst du das nicht aus welchem Grund auch immer, solltest du ein neues IP Netzsegement mit einem Router oder Layer 3 Switch ankoppeln. Wenn du VLAN fähige Switches hast ist das im Handumdrehen eingerichtet. Viele Routing HowTos wie diese helfen dir dabei:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ggf. nutzt du einen Layer 3 fähigen Switch dafür, dann kannst du ein weiteres Subnez problemlos ohne großen Aufwand in dein vorhandenes IP Netz integrieren.
Wenn die Firewall das so vorgibt, ist der von aqui beschreibene Weg sicher der beste (wenn auch aufwendigere).
Schönes Wochenende
Thomas
Schönes Wochenende
Thomas
Vielen Dank, aqui!
Um Deine Verwirrung etwas zu lüften: Ne, ich habe nirgends behauptet, dass ich ne 24 Bit-Maske habe, das waren die freundlichen Helfer hier :-P
Das ganze Netzwerk habe ich hier so übernommen, das haben clevere Planer eingerichtet. Aber wie gesagt, ich bin nicht der Netzwerkprofi, so dass ich das wenig beurteilen kann. Was ich an Deinem Vorschlag nicht ganz verstehe, was ändert es, wenn ich ein anderes Netz als das 192.168.x verwende? Kannst Du mir das bitte näher erläutern?
Ansonsten verschwinde ich jetzt mal ins Wochenende, mir dröhnt etwas die Birne... Euch allen ein schönes Wochenende, ich bin für weitere Anregungen dankbar!
Um Deine Verwirrung etwas zu lüften: Ne, ich habe nirgends behauptet, dass ich ne 24 Bit-Maske habe, das waren die freundlichen Helfer hier :-P
Das ganze Netzwerk habe ich hier so übernommen, das haben clevere Planer eingerichtet. Aber wie gesagt, ich bin nicht der Netzwerkprofi, so dass ich das wenig beurteilen kann. Was ich an Deinem Vorschlag nicht ganz verstehe, was ändert es, wenn ich ein anderes Netz als das 192.168.x verwende? Kannst Du mir das bitte näher erläutern?
Ansonsten verschwinde ich jetzt mal ins Wochenende, mir dröhnt etwas die Birne... Euch allen ein schönes Wochenende, ich bin für weitere Anregungen dankbar!
Lies dir das Wiki hier durch:
http://de.wikipedia.org/wiki/IP-Adresse
bzw.
http://de.wikipedia.org/wiki/Netzklasse was es etwas genauer erklärt !
Dann kannst du deine Frage selber beantworten. Nur soviel:
192.168.x ist eigentlich eine feste Class C IP Adresse durch den festen Präfix 110... in den ersten Bits.
Damit behandeln viele TCP/IP Stacks auf Endgeräten dieses IP Netz immer wie ein Class C Netz.
Wenn du diesem nun zwangsweise eine CIDR Subnetzmakse verpasst von 16 Bits tust du ja so als ob es eine Class B Adresse wäre die aber fest einen Präfix 10... in den ersten Bits hätte. Damit kommen wie gesagt sehr sehr viele Endgeräte nicht klar weil sie eben keine CIDR Masken supporten und du so einen Präfix Mismatch zur verwendeten Subnetzmaske hättest.
Jetzt stell dir das Tohuwabohu bei dir vor von Geräten die es können und die es nicht können wenn du das machst. Wie willst du sowas noch troubleshooten...?? Mehr muss man wohl nicht sagen ?!
http://de.wikipedia.org/wiki/IP-Adresse
bzw.
http://de.wikipedia.org/wiki/Netzklasse was es etwas genauer erklärt !
Dann kannst du deine Frage selber beantworten. Nur soviel:
192.168.x ist eigentlich eine feste Class C IP Adresse durch den festen Präfix 110... in den ersten Bits.
Damit behandeln viele TCP/IP Stacks auf Endgeräten dieses IP Netz immer wie ein Class C Netz.
Wenn du diesem nun zwangsweise eine CIDR Subnetzmakse verpasst von 16 Bits tust du ja so als ob es eine Class B Adresse wäre die aber fest einen Präfix 10... in den ersten Bits hätte. Damit kommen wie gesagt sehr sehr viele Endgeräte nicht klar weil sie eben keine CIDR Masken supporten und du so einen Präfix Mismatch zur verwendeten Subnetzmaske hättest.
Jetzt stell dir das Tohuwabohu bei dir vor von Geräten die es können und die es nicht können wenn du das machst. Wie willst du sowas noch troubleshooten...?? Mehr muss man wohl nicht sagen ?!
CIDR gilt ja nun schon seit 93 und ich habe bisher auch noch kein Gerät gesehen, was damit in irgendeiner Weise Probleme gehabt hätte.
Welche kennst du denn, aqui?
Grüße
Max
Welche kennst du denn, aqui?
Grüße
Max
Ich wieder! 
Hoffe, Ihr hattet ein schönes Wochenende!
Zum Thema CIDR: Bin da recht verunsichert, habe auch mit unserem Firewall-Lieferanten Securepoint gesprochen, dort sind keine entsprechenden Probleme bekannt... Ich will mich da nicht aus dem Fenster lehnen, weil ich da wenig Ahnung von habe. Deshalb mal eine Frage an Alle: Wie sind Eure Erfahrungen / Meinungen?
Aktueller Stand ist, dass es mit diesen Einstellungen grundsätzlich funktioniert:
- Keine Änderung an der Firewall
- Vorhandenes Netz intern: 192.168.100.xxx
- Subnetzmaske für alle: 255.255.0.0
- Erweiterung Adressraum auf 192.168.101.xxx
Nun die Einschränkung: Es geht grundsätzlich, bis auf die Tatsache, dass ich bei den alten Adressen 192.168.100.xxx keinen Proxy im Browser einstellen muss, um ins Internet zu gelangen. So weit, so logisch, weil transparenter Proxy auf der FW... Bei den neuen Adressen 192.168.101.xxx hingegen MUSS ich einen Proxy angeben. Nicht gerade praktikabel, wie kann ich das umgehen?
Hoffe, Ihr hattet ein schönes Wochenende!
Zum Thema CIDR: Bin da recht verunsichert, habe auch mit unserem Firewall-Lieferanten Securepoint gesprochen, dort sind keine entsprechenden Probleme bekannt... Ich will mich da nicht aus dem Fenster lehnen, weil ich da wenig Ahnung von habe. Deshalb mal eine Frage an Alle: Wie sind Eure Erfahrungen / Meinungen?
Aktueller Stand ist, dass es mit diesen Einstellungen grundsätzlich funktioniert:
- Keine Änderung an der Firewall
- Vorhandenes Netz intern: 192.168.100.xxx
- Subnetzmaske für alle: 255.255.0.0
- Erweiterung Adressraum auf 192.168.101.xxx
Nun die Einschränkung: Es geht grundsätzlich, bis auf die Tatsache, dass ich bei den alten Adressen 192.168.100.xxx keinen Proxy im Browser einstellen muss, um ins Internet zu gelangen. So weit, so logisch, weil transparenter Proxy auf der FW... Bei den neuen Adressen 192.168.101.xxx hingegen MUSS ich einen Proxy angeben. Nicht gerade praktikabel, wie kann ich das umgehen?
Indem du lokal auf dem Draht zwischen dem .100er und dem .101er Netz rotest wenn du beiden eine 24 Bit Maske gegeben hast.
Wie oben bereits gesagt, das ist eine nicht standardkonforme Frickelei.
Besser du integrierst noch ein separates Segment in der FW oder routest sauber zwischen beiden IP Netzen, dann hast du auch kein Problem mehr mit der Proxy Einstellung...oder entschliesst dich sauber auf ein Class B Netz zu gehen !! Dann sowieso nicht mehr !
Wie oben bereits gesagt, das ist eine nicht standardkonforme Frickelei.
Besser du integrierst noch ein separates Segment in der FW oder routest sauber zwischen beiden IP Netzen, dann hast du auch kein Problem mehr mit der Proxy Einstellung...oder entschliesst dich sauber auf ein Class B Netz zu gehen !! Dann sowieso nicht mehr !
Auch auf die Gefahr hin, dass ich mich wiederhole... Ich habe keine 24 Bit-Maske vergeben, sondern eine 16er... Und ich habe auch nirgends behauptet, dass es eine 24er-Maske ist...
Nachdem mir niemand glaubhaft darlegen konnte, welche Probleme es denn mit dem 192.168.xxx.xxx-Segment geben könnte (Praxis !), lösen wir das jetzt folgendermaßen:
Wie von aqui vorgeschlagen, separates Segment auf FW, plus Routing zwischen beiden Netzen.
Danke an Euch alle!
Nachdem mir niemand glaubhaft darlegen konnte, welche Probleme es denn mit dem 192.168.xxx.xxx-Segment geben könnte (Praxis !), lösen wir das jetzt folgendermaßen:
Wie von aqui vorgeschlagen, separates Segment auf FW, plus Routing zwischen beiden Netzen.
Danke an Euch alle!
