20
Brauche Hilfe bei Vernetzung von 2 Standorten
Hallo zusammen,
ich arbeite bei einem Versicherungsbüro mit zwei Standorten. Standort A (hier arbeiten 5 Leute) soll nun mit Standort B (3 Leute) verbunden werden,damit der Standort B den Domänencontroller und das NAS sowie SQL Server vom Hauptstandort A mitbenutzen kann.
Ich habe das ganze auch schon einmal wie folgt aufgebaut: Standort A hat intern die IP-Adresse 10.0.0.0 mit der Subnetzmaske 255.0.0.0 und Standort B (Ursprünglich auch 10.0.0.0) hat nun die 9.0.0.0 mit der Subnetzmaske 255.0.0.0, da es wohl nicht möglich zu sein scheint dort den gleichen Raum zu benutzen.
(Mein Wunsch wäre es allerdings, dass sich alle Geräte im Raum 10.0.0.0 befinden, damit auf unnötiges und leider auch kompliziertes Routing verzichtet werden kann!)
Soweit so gut, Vorbereitungen getroffen, nun ging es an die Umsetzung. Das Setup schaut wie folgt aus:
Netzwerk-A 10.0.0.0
I
Ui-EdgeRouter-A
Intern: 10.0.0.1
Extern: Öffentliche feste IP A
I
Kabel-Modem-A
I
Internet
I
I
Fritz!Box-B
Intern: 192.168.178.1
Extern: Öffentliche feste IP B(mit Exposed Host zeigend auf 192.168.178.20)
I
Ui-Edgerouter-B
Intern1: 192.168.178.20
Intern2: 9.0.0.1
I
Netzwerk-B 9.0.0.0
Nun habe ich auf Edgerouter-A folgende Route eingetragen:
Netz=9.0.0.0 Maske=255.0.0.0 Gateway=Öffentliche feste IP B
Und auf Edgerotuer-B folgende Route:
Netz=10.0.0.0 Maske=255.0.0.0 Gateway=Öffentliche feste IP A
Aber leider funktioniert die Verbindung zwischen den Standorten noch nicht.
Ich erreiche weder von Standort B Geräte von Standort A, noch umgekehrt.
Die Firewalls an den Edgeroutern sind deaktiviert, weshalb es eigentlich klappen müsste.
Ich vermute fast, dass das mit dem Exposed Host an der Fritzbox nicht ganz so klappt.
Gibt es irgendwie eine Möglichkeit, die FritzBox 7490 als „reines DSL-Modem“ zu betreiben, sodass der Ui-Edgerouter-B die Öffentliche feste IP von Standort B trägt?
Besten Dank und Gruß
Robert
ich arbeite bei einem Versicherungsbüro mit zwei Standorten. Standort A (hier arbeiten 5 Leute) soll nun mit Standort B (3 Leute) verbunden werden,damit der Standort B den Domänencontroller und das NAS sowie SQL Server vom Hauptstandort A mitbenutzen kann.
Ich habe das ganze auch schon einmal wie folgt aufgebaut: Standort A hat intern die IP-Adresse 10.0.0.0 mit der Subnetzmaske 255.0.0.0 und Standort B (Ursprünglich auch 10.0.0.0) hat nun die 9.0.0.0 mit der Subnetzmaske 255.0.0.0, da es wohl nicht möglich zu sein scheint dort den gleichen Raum zu benutzen.
(Mein Wunsch wäre es allerdings, dass sich alle Geräte im Raum 10.0.0.0 befinden, damit auf unnötiges und leider auch kompliziertes Routing verzichtet werden kann!)
Soweit so gut, Vorbereitungen getroffen, nun ging es an die Umsetzung. Das Setup schaut wie folgt aus:
Netzwerk-A 10.0.0.0
I
Ui-EdgeRouter-A
Intern: 10.0.0.1
Extern: Öffentliche feste IP A
I
Kabel-Modem-A
I
Internet
I
I
Fritz!Box-B
Intern: 192.168.178.1
Extern: Öffentliche feste IP B(mit Exposed Host zeigend auf 192.168.178.20)
I
Ui-Edgerouter-B
Intern1: 192.168.178.20
Intern2: 9.0.0.1
I
Netzwerk-B 9.0.0.0
Nun habe ich auf Edgerouter-A folgende Route eingetragen:
Netz=9.0.0.0 Maske=255.0.0.0 Gateway=Öffentliche feste IP B
Und auf Edgerotuer-B folgende Route:
Netz=10.0.0.0 Maske=255.0.0.0 Gateway=Öffentliche feste IP A
Aber leider funktioniert die Verbindung zwischen den Standorten noch nicht.
Ich erreiche weder von Standort B Geräte von Standort A, noch umgekehrt.
Die Firewalls an den Edgeroutern sind deaktiviert, weshalb es eigentlich klappen müsste.
Ich vermute fast, dass das mit dem Exposed Host an der Fritzbox nicht ganz so klappt.
Gibt es irgendwie eine Möglichkeit, die FritzBox 7490 als „reines DSL-Modem“ zu betreiben, sodass der Ui-Edgerouter-B die Öffentliche feste IP von Standort B trägt?
Besten Dank und Gruß
Robert
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 600813
Url: https://administrator.de/forum/brauche-hilfe-bei-vernetzung-von-2-standorten-600813.html
Ausgedruckt am: 10.04.2025 um 20:04 Uhr
20 Kommentare
Neuester Kommentar
Moin,
in deinem Sinne: LASS ES und hole dir jemand der das kann!
a) Du hast für die handvoll Rechner nen 10er Netz? Da würde nen /24er ja locker reichen -> könnte man ja anpassen...
b) Wenn du nen 10/8 haben willst dann wird es halt nix mit beides in einem 10/er netz - oder du musst host-routen setzen und DAS willst du nicht
c) Exposed Host ist immer eine ganz besch... Idee wenn man nich weiss was das tut. Denn da hast du dann mal alles freigemacht was geht.
WENN du schon so arbeiten willst würde ich die UniFi einfach direkt ans Netz hängen und fertig, dann brauchst die Fritte auch nich mehr (ggf. falls nötig durch nen 08/15-Modem ersetzen). Das geht so mit der Fritte glaub ich nicht - aber so teuer is nen Modem auch nich...
Nur: Nochmal: Lass das jemand machen der sich damit auskennt. Sonst gibt es hier irgendwann den nächsten Thread "jemand hat mein netz geknackt" oder "habe alles platt gemacht". Das ganze sollte für jemand mit Grundkenntnissen nicht länger als 15 Min dauern (und da is noch ne Tasse Kaffee mit eingerechnet).
in deinem Sinne: LASS ES und hole dir jemand der das kann!
a) Du hast für die handvoll Rechner nen 10er Netz? Da würde nen /24er ja locker reichen -> könnte man ja anpassen...
b) Wenn du nen 10/8 haben willst dann wird es halt nix mit beides in einem 10/er netz - oder du musst host-routen setzen und DAS willst du nicht
c) Exposed Host ist immer eine ganz besch... Idee wenn man nich weiss was das tut. Denn da hast du dann mal alles freigemacht was geht.
WENN du schon so arbeiten willst würde ich die UniFi einfach direkt ans Netz hängen und fertig, dann brauchst die Fritte auch nich mehr (ggf. falls nötig durch nen 08/15-Modem ersetzen). Das geht so mit der Fritte glaub ich nicht - aber so teuer is nen Modem auch nich...
Nur: Nochmal: Lass das jemand machen der sich damit auskennt. Sonst gibt es hier irgendwann den nächsten Thread "jemand hat mein netz geknackt" oder "habe alles platt gemacht". Das ganze sollte für jemand mit Grundkenntnissen nicht länger als 15 Min dauern (und da is noch ne Tasse Kaffee mit eingerechnet).
Zitat von @maretz:
a) Du hast für die handvoll Rechner nen 10er Netz? Da würde nen /24er ja locker reichen -> könnte man ja anpassen...
a) Du hast für die handvoll Rechner nen 10er Netz? Da würde nen /24er ja locker reichen -> könnte man ja anpassen...
Seit der Erfindung von CIDR Anfang der 1990er kannst du auch /24 für 10er-Netz nehmen.
Was mir viel mehr Sorgen macht ist, dass der TO versucht, ein Netz 9.0.0.0/8 zu verwenden, da zieht es mir die Schuhe aus.
Er soll einfach am einen Standort 10.10.0.0/24 und am anderen Standort 10.9.0.0/24 nehmen und fertig ist das Gartenhäuschen.
Aber insgesamt: Ja, er sollte sich lieber jemanden holen, der sich damit auskennt. Da fehlen zu viele fundamentale Netzwerk-Kenntnisse
Richtig ! Der TO sollte in der Tat dringenst mal etwas Nachhilfe in Sachen Subnetzmaske bzw. CIDR nehmen:
https://de.wikipedia.org/wiki/Netzmaske
https://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing
Eine 8er Prefix zu verwenden bei 3 Leuten zeugt eher von wenig IP Wissen.
10.10.1.0 /24 = Standort 1
10.10.2.0 /24 = Standort 2
wäre weit sinvoller.
Den bösen NoGo mit dem ihm nicht gehörenden 9er Netz mal gar nicht zu erwähnen...
Tips zur Adressfindung bei VPN Designs auch hier:
VPNs einrichten mit PPTP
Dann das ganze IP Adress technisch nochmal überdenken, neu konfigurieren und entsprechend sinnvoll gestalten von der IP Adressierung !
Eigentlich eine simple Allerwelts Konfig die in 20 Minuten erledigt ist.
Zur Standort Kopplung und Grundlagenwissen dazu gibt es hier genügend Tutorials:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
OpenVPN - Erreiche Netzwerk hinter Client nicht
usw.
Da auf beiden Seiten zusätzlich Router Kaskaden mit doppeltem NAT eingesetzt werden kann auch ein Blick in die dafür zwingend notwendigen Konfig ToDos sicher nicht schaden wenn es schon an solch einfachen Dingen wie einer sinnvollen IP Adressierung scheitert:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
https://de.wikipedia.org/wiki/Netzmaske
https://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing
Eine 8er Prefix zu verwenden bei 3 Leuten zeugt eher von wenig IP Wissen.
10.10.1.0 /24 = Standort 1
10.10.2.0 /24 = Standort 2
wäre weit sinvoller.
Den bösen NoGo mit dem ihm nicht gehörenden 9er Netz mal gar nicht zu erwähnen...
Tips zur Adressfindung bei VPN Designs auch hier:
VPNs einrichten mit PPTP
Dann das ganze IP Adress technisch nochmal überdenken, neu konfigurieren und entsprechend sinnvoll gestalten von der IP Adressierung !
Eigentlich eine simple Allerwelts Konfig die in 20 Minuten erledigt ist.
Zur Standort Kopplung und Grundlagenwissen dazu gibt es hier genügend Tutorials:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
OpenVPN - Erreiche Netzwerk hinter Client nicht
usw.
Da auf beiden Seiten zusätzlich Router Kaskaden mit doppeltem NAT eingesetzt werden kann auch ein Blick in die dafür zwingend notwendigen Konfig ToDos sicher nicht schaden wenn es schon an solch einfachen Dingen wie einer sinnvollen IP Adressierung scheitert:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Moin,
Du darfst kein Netz 9.*.*.* nutzen. Das sind öffentliche IPs, die vergeben sind.
Bei dem, was Du vor hast, ist das Routing weder unnötig noch ist es kompliziert.
Versuchst Du hier eine direkte Verbindung durch das Internet hindurch? Ich vermisse in Deinem Beitrag das Kürzel VPN.
Liebe Grüße
Erik
Zitat von @Robbi754:
ich arbeite bei einem Versicherungsbüro mit zwei Standorten. Standort A (hier arbeiten 5 Leute) soll nun mit Standort B (3 Leute) verbunden werden,damit der Standort B den Domänencontroller und das NAS sowie SQL Server vom Hauptstandort A mitbenutzen kann.
Ich habe das ganze auch schon einmal wie folgt aufgebaut: Standort A hat intern die IP-Adresse 10.0.0.0 mit der Subnetzmaske 255.0.0.0 und Standort B (Ursprünglich auch 10.0.0.0) hat nun die 9.0.0.0 mit der Subnetzmaske 255.0.0.0, da es wohl nicht möglich zu sein scheint dort den gleichen Raum zu benutzen.
ich arbeite bei einem Versicherungsbüro mit zwei Standorten. Standort A (hier arbeiten 5 Leute) soll nun mit Standort B (3 Leute) verbunden werden,damit der Standort B den Domänencontroller und das NAS sowie SQL Server vom Hauptstandort A mitbenutzen kann.
Ich habe das ganze auch schon einmal wie folgt aufgebaut: Standort A hat intern die IP-Adresse 10.0.0.0 mit der Subnetzmaske 255.0.0.0 und Standort B (Ursprünglich auch 10.0.0.0) hat nun die 9.0.0.0 mit der Subnetzmaske 255.0.0.0, da es wohl nicht möglich zu sein scheint dort den gleichen Raum zu benutzen.
Du darfst kein Netz 9.*.*.* nutzen. Das sind öffentliche IPs, die vergeben sind.
(Mein Wunsch wäre es allerdings, dass sich alle Geräte im Raum 10.0.0.0 befinden, damit auf unnötiges und leider auch kompliziertes Routing verzichtet werden kann!)
Bei dem, was Du vor hast, ist das Routing weder unnötig noch ist es kompliziert.
Nun habe ich auf Edgerouter-A folgende Route eingetragen:
Netz=9.0.0.0 Maske=255.0.0.0 Gateway=Öffentliche feste IP B
Und auf Edgerotuer-B folgende Route:
Netz=10.0.0.0 Maske=255.0.0.0 Gateway=Öffentliche feste IP A
Netz=9.0.0.0 Maske=255.0.0.0 Gateway=Öffentliche feste IP B
Und auf Edgerotuer-B folgende Route:
Netz=10.0.0.0 Maske=255.0.0.0 Gateway=Öffentliche feste IP A
Versuchst Du hier eine direkte Verbindung durch das Internet hindurch? Ich vermisse in Deinem Beitrag das Kürzel VPN.
Liebe Grüße
Erik
Zitat von @erikro:
Versuchst Du hier eine direkte Verbindung durch das Internet hindurch? Ich vermisse in Deinem Beitrag das Kürzel VPN.
Versuchst Du hier eine direkte Verbindung durch das Internet hindurch? Ich vermisse in Deinem Beitrag das Kürzel VPN.
Vermisse ich auch. Also: wenn Du nirgendwo was eingerichtet hast, das mit VPN beschriftet ist, ziehst Du bitte jetzt sofort den Stecker an allen 4 Routern.
Danach gehst Du zu einem IT-Dienstleister Deiner Wahl, alternativ in einen gut sortierten Buchladen. Das Zauberwort heißt in beiden Fällen VPN.
Grüße
lcer
Hallo Robert,
Das ist ja kein besonderes Projekt, aber dennoch solltest du das nicht ohne Partner (offensichtlich) angreifen. Wenn du einen solchen noch nicht gefunden hast darfst du gerne bei mir anklopfen.
Viele Grüße,
Christian
Certifiedit.net
Das ist ja kein besonderes Projekt, aber dennoch solltest du das nicht ohne Partner (offensichtlich) angreifen. Wenn du einen solchen noch nicht gefunden hast darfst du gerne bei mir anklopfen.
Viele Grüße,
Christian
Certifiedit.net
Hallo,
Danke für eure Antworten.
Zwischenzeitlich habe ich versucht mich ein Bisschen zu informieren und habe einen Kollegen gefragt.
Könnte es hier evtl. Helfen das Protokoll "BGP" einzuschalten? Mein Kollege meinte dass der eine Router den anderen sonst nicht findet.
Ich denke lieber das Netzwerk ein Bisschen zu groß als hinterher zu klein. Es kann ja vorkommen dass noch mehr Mitarbeiter hier anfangen?
Warum dem "nicht gehörenden" Netz? In meinem Netzwerk kann ich doch tun und lassen was ich will. Schließlich hat meine Firma auch für die Switche gezahlt!
Bis auf die Fritzbox ist keiner der Router im NAT. An den beiden EdgeRoutern ist IP-Weiterleitung konfiguriert ohne Maskerade.
VPN haben wir schonmal benutzt nur ist das ein Leistungsfresser und Performance-Bremser auf den wir hier gerne verzichten würden. Auch ist es ziemlich umständlich an Standort B immer mit dem VPN verbinden zu müssen an jedem Rechner, bevor die Netzlaufwerke da sind.
Gruß
Robert
Danke für eure Antworten.
Zwischenzeitlich habe ich versucht mich ein Bisschen zu informieren und habe einen Kollegen gefragt.
Könnte es hier evtl. Helfen das Protokoll "BGP" einzuschalten? Mein Kollege meinte dass der eine Router den anderen sonst nicht findet.
a) Du hast für die handvoll Rechner nen 10er Netz? Da würde nen /24er ja locker reichen -> könnte man ja anpassen...
Ich denke lieber das Netzwerk ein Bisschen zu groß als hinterher zu klein. Es kann ja vorkommen dass noch mehr Mitarbeiter hier anfangen?
Den bösen NoGo mit dem ihm nicht gehörenden 9er Netz mal gar nicht zu erwähnen...
Warum dem "nicht gehörenden" Netz? In meinem Netzwerk kann ich doch tun und lassen was ich will. Schließlich hat meine Firma auch für die Switche gezahlt!
Da auf beiden Seiten zusätzlich Router Kaskaden mit doppeltem NAT eingesetzt werden.
Bis auf die Fritzbox ist keiner der Router im NAT. An den beiden EdgeRoutern ist IP-Weiterleitung konfiguriert ohne Maskerade.
Versuchst Du hier eine direkte Verbindung durch das Internet hindurch? Ich vermisse in Deinem Beitrag das Kürzel VPN.
VPN haben wir schonmal benutzt nur ist das ein Leistungsfresser und Performance-Bremser auf den wir hier gerne verzichten würden. Auch ist es ziemlich umständlich an Standort B immer mit dem VPN verbinden zu müssen an jedem Rechner, bevor die Netzlaufwerke da sind.
Gruß
Robert
Könnte es hier evtl. Helfen das Protokoll "BGP" einzuschalten?
Nein ! Wäre totaler Quatsch, denn das ist ein dynamisches Provider Routing Protokoll. Löst dein Problem nicht und wäre völliger Overkill. Zumal ja dein Wissen schon bei IP Adressen aufhört. Wie willst du denn da BGP meistern ?!Ich denke lieber das Netzwerk ein Bisschen zu groß als hinterher zu klein.
Ist auch Unsinn, denn jeder Netzwerker weiss das man niemals mehr als max. 150 Clients in eine Layer 2 Collision Domain nimmt. In Bezug darauf bist du also mit einer klassischen /24 bestens bedient. Zumal du ja nur popelige 3 bis 5 User hast.Warum dem "nicht gehörenden" Netz? In meinem Netzwerk kann ich doch tun und lassen was ich will.
Nein !Das 9er Netz ist von der IANA fest zugewiesen:
https://whois.domaintools.com/9.0.0.0
Es gehört der US Regierung !!! Da lässt man also dann ganz besonders besser die Finger davon.
Der RFC 1918 Standard bietet dir ja nun auch genug und reichlich Auswahl.
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
Alles andere wäre Unsinn.
An den beiden EdgeRoutern ist IP-Weiterleitung konfiguriert ohne Maskerade.
OK, dann hast du auf beiden Seiten einen NAT Router davor. Das erfordert dann aber zwingend statische Routen in diesen Routern zu den IP Netzen hinter den UBQT Gurken ! Hast du das bedacht ??Siehe dazu auch hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
VPN haben wir schonmal benutzt nur ist das ein Leistungsfresser und Performance-Bremser auf den wir hier gerne verzichten würden.
Das ist natürlich laienhafter Quatsch ! Sorry, aber das hängt einzig und allein von der VPN Router/Firewall Performance bzw. Hardware ab. Solche banalen Zusammenhänge kennst du aber auch (hoffentlich) selber ?!Auch ist es ziemlich umständlich an Standort B immer mit dem VPN verbinden zu müssen
Auch das ist ja kompletter Unsinn.Deine VPN Router halten ja den Tunnel zw. den beiden Standorten permanent aktiv. Mit einer VPN Standort zu Standort Kopplung hast du dann sowas wie eine "Standleitung" zwischen den beiden Standorten und User können transparent auf das eine und das andere Netz permanent und ohne jegliches zutun zugreifen.
Genau DAS ist ja auch der tiefere Sinn eines Standort VPNs ! Du solltest also wirklich noch einmal deine Hausaufgaben machen oder dir jemanden an die Hand nehmen der wirklich weiss was er da tut...?! Was jetzt nicht böse gemeint ist aber man merkt deine Defizite sowas umsetzen zu können schon um es mal vorsichtig zu formulieren.
Moin,
Janeee, is klar. Bei derzeit acht Mitarbeitern ist natürlich damit zu rechnen, dass es bald mehr als 254 (192er) oder 65.534 (172er) werden. Da muss man schon ein 10er (ca. 16,7 Mio.) nehmen, damit es sicher reicht.
Warum dem "nicht gehörenden" Netz? In meinem Netzwerk kann ich doch tun und lassen was ich will. Schließlich hat meine Firma auch für die Switche gezahlt!
Nein, Du kannst nicht machen was Du willst. Wir sind hier in der realen Welt und nicht im Wunschkonzert. Wenn Du Dein 9er-Netz nimmst, kannst Du mit erheblichen Störungen rechnen. Evtl. kommt auch mal Dein Provider oder gar die Staatsanwaltschaft um die Ecke.
Und was das damit zu tun hat, dass die Firma die Switche bezahlt hat, ist mir vollkommen schleierhaft.
Bis auf die Fritzbox ist keiner der Router im NAT. An den beiden EdgeRoutern ist IP-Weiterleitung konfiguriert ohne Maskerade.
Ehm? Hinter den beiden Edges ist kein LAN
VPN haben wir schonmal benutzt nur ist das ein Leistungsfresser und Performance-Bremser auf den wir hier gerne verzichten würden.
Ahja. Datenschutz und Sicherheit sind also irrelevant? Wenn man die richtige HW dafür nimmt, dann ist der Performance-Verlust außerdem durchaus erträglich. Aber mach ruhig ohne VPN. Die Aufsichtsbehörde will ja auch was zu tun haben. Und bis zu 20Mio Strafe sind ja für einen Achtmannbetrieb geradezu ein Schnäppchen.
??? Wieso sollte das notwendig sein? Das VPN wird zwischen zwei Gateways dauerhaft aufgebaut und gut ist.
Liebe Grüße
Erik
Zitat von @Robbi754:
Ich denke lieber das Netzwerk ein Bisschen zu groß als hinterher zu klein. Es kann ja vorkommen dass noch mehr Mitarbeiter hier anfangen?
a) Du hast für die handvoll Rechner nen 10er Netz? Da würde nen /24er ja locker reichen -> könnte man ja anpassen...
Ich denke lieber das Netzwerk ein Bisschen zu groß als hinterher zu klein. Es kann ja vorkommen dass noch mehr Mitarbeiter hier anfangen?
Janeee, is klar. Bei derzeit acht Mitarbeitern ist natürlich damit zu rechnen, dass es bald mehr als 254 (192er) oder 65.534 (172er) werden. Da muss man schon ein 10er (ca. 16,7 Mio.) nehmen, damit es sicher reicht.
Den bösen NoGo mit dem ihm nicht gehörenden 9er Netz mal gar nicht zu erwähnen...
Warum dem "nicht gehörenden" Netz? In meinem Netzwerk kann ich doch tun und lassen was ich will. Schließlich hat meine Firma auch für die Switche gezahlt!
Nein, Du kannst nicht machen was Du willst. Wir sind hier in der realen Welt und nicht im Wunschkonzert. Wenn Du Dein 9er-Netz nimmst, kannst Du mit erheblichen Störungen rechnen. Evtl. kommt auch mal Dein Provider oder gar die Staatsanwaltschaft um die Ecke.
Und was das damit zu tun hat, dass die Firma die Switche bezahlt hat, ist mir vollkommen schleierhaft.
Da auf beiden Seiten zusätzlich Router Kaskaden mit doppeltem NAT eingesetzt werden.
Bis auf die Fritzbox ist keiner der Router im NAT. An den beiden EdgeRoutern ist IP-Weiterleitung konfiguriert ohne Maskerade.
Ehm? Hinter den beiden Edges ist kein LAN
Versuchst Du hier eine direkte Verbindung durch das Internet hindurch? Ich vermisse in Deinem Beitrag das Kürzel VPN.
VPN haben wir schonmal benutzt nur ist das ein Leistungsfresser und Performance-Bremser auf den wir hier gerne verzichten würden.
Ahja. Datenschutz und Sicherheit sind also irrelevant? Wenn man die richtige HW dafür nimmt, dann ist der Performance-Verlust außerdem durchaus erträglich. Aber mach ruhig ohne VPN. Die Aufsichtsbehörde will ja auch was zu tun haben. Und bis zu 20Mio Strafe sind ja für einen Achtmannbetrieb geradezu ein Schnäppchen.
Auch ist es ziemlich umständlich an Standort B immer mit dem VPN verbinden zu müssen an jedem Rechner, bevor die Netzlaufwerke da sind.
??? Wieso sollte das notwendig sein? Das VPN wird zwischen zwei Gateways dauerhaft aufgebaut und gut ist.
Liebe Grüße
Erik
Zitat von @Robbi754:
Hallo,
Danke für eure Antworten.
Zwischenzeitlich habe ich versucht mich ein Bisschen zu informieren und habe einen Kollegen gefragt.
Könnte es hier evtl. Helfen das Protokoll "BGP" einzuschalten? Mein Kollege meinte dass der eine Router den anderen sonst nicht findet.
Hallo,
Danke für eure Antworten.
Zwischenzeitlich habe ich versucht mich ein Bisschen zu informieren und habe einen Kollegen gefragt.
Könnte es hier evtl. Helfen das Protokoll "BGP" einzuschalten? Mein Kollege meinte dass der eine Router den anderen sonst nicht findet.
Uff - und dein Kollege ist was? Möbelpacker? Bäcker? Drogenkonsument? Zumindest die Antwort lässt letzteres vermuten...
a) Du hast für die handvoll Rechner nen 10er Netz? Da würde nen /24er ja locker reichen -> könnte man ja anpassen...
Ich denke lieber das Netzwerk ein Bisschen zu groß als hinterher zu klein. Es kann ja vorkommen dass noch mehr Mitarbeiter hier anfangen?
"Ein bisschen"? In nem /24er Netz hast du ca. 250 Rechner, du brauchst 10 bei dir... wieviel Reserve planst du ein? Dann würde ich allerdings gleich auch auf IPv6 umsteigen, nich das dir noch die IPs in deinem Heimnetz ausgehen!
Den bösen NoGo mit dem ihm nicht gehörenden 9er Netz mal gar nicht zu erwähnen...
Warum dem "nicht gehörenden" Netz? In meinem Netzwerk kann ich doch tun und lassen was ich will. Schließlich hat meine Firma auch für die Switche gezahlt!
Klar - du kannst natürlich bei dir intern jedes Netz verwenden. Das ist genauso wie das du mit nem Auto auf deinem Privatgrundstück machen kannst was du willst - wenn du Lustig bist kannst du dir auch auf deinem Privatgrundstück ne Einbahnstrasse bauen und den ganzen tag entgegengesetzt da fahren. Da sagt keiner was ... NUR: Wenn du dann versuchst in den öffentlichen Verkehr zu gehen DANN wirst du merken das es dort andere Regeln gibt die du besser befolgst oder es wird unschön. Auf dein Konzept genommen: Du kannst dir natürlich nen 9er Netz bauen - ich würde dann aber wenigstens konsequent nen 8.0.0.0/8 nehmen. Das wird bei dir auch funktionieren. Nur blöd wenn du dann den Google-DNS (8.8.8.8) ansprechen willst - da dein Netz dann keinen Grund hat den hinterm Router zu suchen und somit wird es den einfach nicht finden. Das 10/8-Netz ist genauso wie div. andere eben genau DAFÜR gemacht -> du wirst keinen Internet-Server finden der die öffentliche IP 192.168.x.y hat... oder eben keinen der ne öffentliche IP mit 10.x.y.z hat....
Da auf beiden Seiten zusätzlich Router Kaskaden mit doppeltem NAT eingesetzt werden.
Bis auf die Fritzbox ist keiner der Router im NAT. An den beiden EdgeRoutern ist IP-Weiterleitung konfiguriert ohne Maskerade.
Versuchst Du hier eine direkte Verbindung durch das Internet hindurch? Ich vermisse in Deinem Beitrag das Kürzel VPN.
VPN haben wir schonmal benutzt nur ist das ein Leistungsfresser und Performance-Bremser auf den wir hier gerne verzichten würden. Auch ist es ziemlich umständlich an Standort B immer mit dem VPN verbinden zu müssen an jedem Rechner, bevor die Netzlaufwerke da sind.
Uff - spätestens hier würde ich sagen -> lass es, und hole dir wirklich Leute die sich auskennen. Und auch wenn ich Werbung in nem Forum sicher nicht mag - aber du findest auch hier im Thread schon Personen die es dir angeboten haben. Das ganze kostet nich mal ne Stunde Arbeit und fertig. Das was DU machst ist dagegen eher "russisch Roulett mit ner automatik" -> das kann nur schief gehen! Bei nem sauberen VPN verbindet sich in so einer Umgebung kein Rechner - das nennt sich "site 2 site" und verbindet einfach beide Netze komplett...
Aber ernsthaft -> mit deinen Netzwerkkenntnissen ist das so als wenn ich nem Piloten erklären möchte wie er zu fliegen hat nur weil ich als Passagier schon nen paar mal im Flieger gesessen habe... Da kann ich auch vorne hingehen und sagen "ich drück mal nen bisserl die lustigen Schalter und Hebel" - aber ich glaube irgendwie das keiner dabei mit mir im Flieger sein möchte (und - um ehrlich zu sein - ich selbst möchte da auch nich mit mir im Flieger sein ;) )... Ich frage mich nur grade ernsthaft warum du diese Aufgabe bekommen hast?
Uff - und dein Kollege ist was? Möbelpacker? Bäcker? Drogenkonsument? Zumindest die Antwort lässt letzteres vermuten...
🤣
Okay danke nochmal für euren Input.
Habe nochmal Recherche betrieben und mir sagen lassen dass es vielleicht doch keine so gute Idee ist die privaten Netzwerke durch das Internet zu routen. Ich dachte das wäre heutzutage sicherer geworden. Naja, egal.
Als Alternative zu VPN wurde mir jetzt eine Lösung namens "MPLS" vorgeschlagen. Angeblich ist es dort ohne Verschlüsselung ziemlich sicher und die Performance ist auch nicht ohne.
Hat damit evtl jemand schon Erfahrung gemacht?
Wenn ja, wäre es dort dann möglich dass beide Standorte im 10.0.0.0 255.0.0.0 Bereich sind?
Lieben Dank und Gruß
Robert
Habe nochmal Recherche betrieben und mir sagen lassen dass es vielleicht doch keine so gute Idee ist die privaten Netzwerke durch das Internet zu routen. Ich dachte das wäre heutzutage sicherer geworden. Naja, egal.
Als Alternative zu VPN wurde mir jetzt eine Lösung namens "MPLS" vorgeschlagen. Angeblich ist es dort ohne Verschlüsselung ziemlich sicher und die Performance ist auch nicht ohne.
Hat damit evtl jemand schon Erfahrung gemacht?
Wenn ja, wäre es dort dann möglich dass beide Standorte im 10.0.0.0 255.0.0.0 Bereich sind?
Lieben Dank und Gruß
Robert
Woher holst du dir diese tollen Ideen denn? Und wie willst du das umsetzen?
Nebenbei hängt die VPN geschwindigkeit nie nur von "vpn" ab, sondern von HW, Anbindung usw.
Nebenbei hängt die VPN geschwindigkeit nie nur von "vpn" ab, sondern von HW, Anbindung usw.
Zitat von @certifiedit.net:
Woher holst du dir diese tollen Ideen denn? Und wie willst du das umsetzen?
Woher holst du dir diese tollen Ideen denn? Und wie willst du das umsetzen?
Ich glaube @maretz hat recht. Da müssen Drogen im Spiel sein. MPLS um acht Leuts zu vernetzen. Und den Brühwürfel liefern wir mit einem Lasthubschrauber aus. lol Ich dachte, die Forenregeln erlauben solche Threads nur am Freitag.
@Robbi754, lass uns mal telefonieren, Erstgespräch kost für dich auch nichts, aber in Summe dürfte eine Zusammenarbeit günstiger sein als die Ideen, die dir da gegeben werden...
VG
VG
Hallo zusammen
So einen Quatsch habe ich schon lange nicht mehr gelesen. Hör auf @aqui und die anderen.
Ansonsten hol dir Hilfe von einem Systemhaus usw. Du machst auf mich den Eindruck als ob du
nicht die geringsten Netzwerkkentnisse hast.
Gruss
adminst
So einen Quatsch habe ich schon lange nicht mehr gelesen. Hör auf @aqui und die anderen.
Ansonsten hol dir Hilfe von einem Systemhaus usw. Du machst auf mich den Eindruck als ob du
nicht die geringsten Netzwerkkentnisse hast.
Gruss
adminst
MPLS is am ende auch nicht viel anders als nen VPN (zumindest sollte es für dich annähernd genug so behandelt werden können) - nur das DU eben nich das betreibst...
Und klar - das Internet wird immer sicherer - weil Leute wie du ja die Daten gerne offenlegen wollen brauchts bald keine Hacker mehr, die langweilen sich dann zu Tode.
Mal ernsthaft - in der Zeit wie du hier die tollen Ideen entwickelst hätte dir der 14jährige Realschüler von der nächsten Schule das ding schon mit 2 Fritzboxen zurecht gebaut - allerdings nich solang du meinst dein 10/8er Netz haben zu wollen (wegen der Reserve).
Was du mit "performance" ständig hast - keine Ahnung, aber auf jeden Fall muss der Stoff bei euch auf der Ecke ziemlich gut sein... Wenns wirklich so wichtig ist dann nimmt man nich die Plastik-Box von AvM sondern nen richtigen VPN-Fähigen router, die hauen dir in Echtzeit und ohne Schmerzen auch 250 mBit+ durch, nur eine Frage des Geldes. Bei denen paar Leuten würde ich aber mal vermuten das selbst die Fritte nich mal warm wird.
Also - such dir einfach jemanden der es kann - und wenn du es wirklich stabil haben willst dann soll der das einrichten und dir die Passwörter NICHT geben, denn alles was du tun würdest macht es nur schlimmer. Sorry, aber deine Aussagen lassen nur diesen Schluss zu. Das ist an sich nichts schlimmes - ich kenne deinen Job ja nicht und es kann sein das du in dem Job super bist. Ich würde ja z.B. auch nicht versuchen heute nen Künstler/Maler zu werden nur weil ich nen Strichmännchen zeichnen kann oder nen Musiker weil ich schon mal an ner Gitarre vorbeigelaufen bin... Aber IT ist definitiv nix wo du drin rumtoben solltest ohne vorher noch ne menge zu lernen...
Und klar - das Internet wird immer sicherer - weil Leute wie du ja die Daten gerne offenlegen wollen brauchts bald keine Hacker mehr, die langweilen sich dann zu Tode.
Mal ernsthaft - in der Zeit wie du hier die tollen Ideen entwickelst hätte dir der 14jährige Realschüler von der nächsten Schule das ding schon mit 2 Fritzboxen zurecht gebaut - allerdings nich solang du meinst dein 10/8er Netz haben zu wollen (wegen der Reserve).
Was du mit "performance" ständig hast - keine Ahnung, aber auf jeden Fall muss der Stoff bei euch auf der Ecke ziemlich gut sein... Wenns wirklich so wichtig ist dann nimmt man nich die Plastik-Box von AvM sondern nen richtigen VPN-Fähigen router, die hauen dir in Echtzeit und ohne Schmerzen auch 250 mBit+ durch, nur eine Frage des Geldes. Bei denen paar Leuten würde ich aber mal vermuten das selbst die Fritte nich mal warm wird.
Also - such dir einfach jemanden der es kann - und wenn du es wirklich stabil haben willst dann soll der das einrichten und dir die Passwörter NICHT geben, denn alles was du tun würdest macht es nur schlimmer. Sorry, aber deine Aussagen lassen nur diesen Schluss zu. Das ist an sich nichts schlimmes - ich kenne deinen Job ja nicht und es kann sein das du in dem Job super bist. Ich würde ja z.B. auch nicht versuchen heute nen Künstler/Maler zu werden nur weil ich nen Strichmännchen zeichnen kann oder nen Musiker weil ich schon mal an ner Gitarre vorbeigelaufen bin... Aber IT ist definitiv nix wo du drin rumtoben solltest ohne vorher noch ne menge zu lernen...
Kommt für ein Simpel VPN, was mit jeder FritzBox oder jedem 20 Euro Mikrotik hAP lite in 10 Minuten mit 3 bis 4 Mausklicks im Klicki Bunti Menü erledigt ist, dann auf BGP und final auf MPLS ! Normal würde man sagen: geht's noch ??
Stichwort von oben "hätte dir der 14jährige Realschüler von der nächsten Schule das ding schon mit 2 Fritzboxen oder 20 Euro Mikrotiks zurecht gebaut ..." Und das gänzlich ohne BGP und MPLS.
Wenn es denn schon mit dynamischen Routimng Protokollen sein soll, was ja durchaus legitim ist, dann reicht ja auch OSPF oder noch einfacher RIPv2 völlig aus.
Wie man sowas in 20 Minuten mit einfacher und presiwerter Hardware löst erklärt dir dieses Tutorial:
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Oder doch ein Troll ?!?
Stichwort von oben "hätte dir der 14jährige Realschüler von der nächsten Schule das ding schon mit 2 Fritzboxen oder 20 Euro Mikrotiks zurecht gebaut ..." Und das gänzlich ohne BGP und MPLS.
Wenn es denn schon mit dynamischen Routimng Protokollen sein soll, was ja durchaus legitim ist, dann reicht ja auch OSPF oder noch einfacher RIPv2 völlig aus.
Wie man sowas in 20 Minuten mit einfacher und presiwerter Hardware löst erklärt dir dieses Tutorial:
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Oder doch ein Troll ?!?
Aber dann ein besonders qualifizierter. Schaut Euch an, was für ausführliche Antworten er produziert. Und ein Smiley von aqui als Antwort ist in dieser Kürze ebenfalls bemerkenswert.
Grüße
lcer
ebenfalls bemerkenswert.
Na mal sehen ob wir hier noch zu einem zielführenden Ergebnis kommen. Achtung Smiley !! 
