12
Die Subnetzmasken
Hi zusammen,
nachdem ich bereits viele meiner Probleme über die Recherche auf administrator.de lösen konnte, möchte ich nun die Gelegenheit nutzen und meine erste Frage an euch Profis stellen. Zu aller Erst: Ich konzentriere mich eher auf die Entwicklung von Websites, von daher sind Administrationsaufgaben wie Netzwerkverwaltung eher Neuland für mich! Das alles ist reines Hobby und ist mit keinem Beruf oder dergleichen verbunden!
Ich möchte mehrere Standorte mit einem VPN-Tunnel und pfSense miteinander verbinden. Doch zunächst möchte ich für jeden Standort ein übersichtliches und sinnvolles Netzwerkkonzept erstellen. Ich stoße da immer wieder auf den Begriff der Subnetzmaske. Ich hab zwar bereits einige Beiträge im Internet gefunden, die sich mit diesem Thema beschäftigen, dennoch sind etliche Fragezeichen in meinem Kopf hängen geblieben (an dieser Stelle, eine Linkempfehlung: http://www.subnetmask.info/ ).
Um meine Fragen etwas präziser stellen zu können, habe ich mir folgende Netzwerklandschaft ausgedacht:
Folgende Fragen treten an dieser Stelle auf:
In jedem Standort wird sich in jedem Subnetz nur eine überschaubare Anzahl an Geräten tummeln, z.B. 10 Netzwerkteilnehmer pro Subnetz. Um es einfach zu beschreiben: 10 Client-Computer, 10 Server, 10 Drucker, 10x VoIP pro Standort (mit Ausnahme von Remote B, der nur 10 Client Rechner haben wird).
Lohnt es sich aus z.B. Gründen der sauberen Trennung und Übersichtlichkeit, Geräte nach Kategorien (Client, Server, VoIP) in eigene Subnetze zu trennen? Oder sollte man die Kirche im Dorf lassen und bei so wenigen Geräten alles in ein Subnetz packen? Ich meine mich zu erinnern, dass die Trennung in verschiedene Subnetze auch Vorteile bietet. Beispielsweise, der Einschränkung von Zugriffen in das VoIP-Subnetz (nur Internetzugriff, kein Zugriff ins Netzwerk).
Mit dieser Frage käme ich dann auch gleich zur zweiten Frage:
(Sofern hier irgendein Denkfehler drin ist, wäre ich dankbar, wenn ihr mich darauf hinweisen könntet!)
Angenommen, ich betreibe in einem Netzwerk einen Computer (x.x.37.x) und einen Server (x.x.53.x), und möchte nun von dem Computer auf den Server zugreifen; Beispiel:
Beispiel A
Zwei getrennte Subnetze mit Subnetzmaske /24.
Computer: 10.2.37.10/24
Server: 10.2.53.10/24
Wenn ich es richtig verstehe, kann in diesem Fall der Computer nicht auf den Server zugreifen, da dieser sich in einem anderen Subnetz befindet, richtig? Sofern er zugreifen möchte, benötigt er einen Router (Gateway), der die Pakete richtig zustellt bzw. weiterleitet?
Beispiel B
Zwei getrennte Subnetze mit Subnetzmaske /16.
Computer: 10.2.37.10/16
Server: 10.2.53.10/16
Die IP-Adressen sind zwar die gleichen, aber die Subnetzmaske wurde von 255.255.255.0 auf 255.255.0.0 geändert. Ich frage mich, ob in diesem Fall ein Computer auf einen Server in einem anderen Subnetz zugreifen kann - ohne die zu Hilfenahme eines Routers? Hilft eventuell die Subnetzmaske von /16 eine direkte Verbindung zwischen den Clients und Servern auch ohne Router (Gateway) herzustellen?
Ich frage mich aber an dieser Stelle: Wenn es so wäre, wann wäre dann eine Subnetzmaske von /16 sinnvoll? Den Vorteil des "routen" des Traffics über den Router würde ich mir damit ja zu Nichte machen, sprich jegliche Kontrollmöglichkeiten oder Filtermöglichkeiten über den Datenverkehr würden verloren gehen? Hmm.. auf der anderen Seite denke ich mir, dass es bestimmt durchaus Unternehmen gibt, denen 253 Rechner pro Subnetz nicht ausreichen und deswegen evtl. damit eine einfache Möglichkeit kriegen, deutlich mehr Rechner in verschiedene Subnetze zu "verteilen" und dennoch untereinander "ansprechbar" zu halten. - Korrigiert mich bitte, wenn hier ein Denkfehler drin ist!
Zu Guter Letzt:
In jedem Standort soll der pfSense Router quasi das Netzwerk des jeweiligen Standortes "überdachen". Folgende Frage stelle ich mir hier:
Angenommen, alle Subnetze sind mit einer Subnetzmaske von /24 konfiguriert. => Welche Subnetzmaske bräuchte dann der Router?
Ist eine Konfiguration a la ...
10.1.100.1/24 - Router
10.1.37.0/24 - Client Rechner
10.1.53.0/24 - Server
... korrekt?
Mit welchen Konsequenzen wäre zu rechnen, wenn ich beispielsweise nur ein Subnetz mit einer anderen Subnetzmaske ausstatte, z.B.?
10.1.100.1/16 - Router
10.1.37.0/24 - Client Rechner
10.1.53.0/24 - Server
Oder wäre soetwas sogar notwendig, da der Router ja als zentrales Gateway zwischen den Subnetzen arbeiten soll? Hier auch noch mal die Frage, was geschehen würde, wenn die Subnetze alle auf /16 umgestellt werden, also:
10.1.100.1/16 - Router
10.1.37.0/16 - Client Rechner
10.1.53.0/16 - Server
So, das wären erst mal meine Gedanken, die sich in Bezug zu der Subnetzthematik ergeben haben. Ich hoffe, ihr müsst nicht die Hände über den Kopf zusammenschlagen beim Lesen meines Postings, bedanke mich für eure Zeit und wünsche euch noch ein schönes Wochenende!
Viele Grüße!
Scampi
nachdem ich bereits viele meiner Probleme über die Recherche auf administrator.de lösen konnte, möchte ich nun die Gelegenheit nutzen und meine erste Frage an euch Profis stellen. Zu aller Erst: Ich konzentriere mich eher auf die Entwicklung von Websites, von daher sind Administrationsaufgaben wie Netzwerkverwaltung eher Neuland für mich! Das alles ist reines Hobby und ist mit keinem Beruf oder dergleichen verbunden!
Ich möchte mehrere Standorte mit einem VPN-Tunnel und pfSense miteinander verbinden. Doch zunächst möchte ich für jeden Standort ein übersichtliches und sinnvolles Netzwerkkonzept erstellen. Ich stoße da immer wieder auf den Begriff der Subnetzmaske. Ich hab zwar bereits einige Beiträge im Internet gefunden, die sich mit diesem Thema beschäftigen, dennoch sind etliche Fragezeichen in meinem Kopf hängen geblieben (an dieser Stelle, eine Linkempfehlung: http://www.subnetmask.info/ ).
Um meine Fragen etwas präziser stellen zu können, habe ich mir folgende Netzwerklandschaft ausgedacht:
Folgende Fragen treten an dieser Stelle auf:
In jedem Standort wird sich in jedem Subnetz nur eine überschaubare Anzahl an Geräten tummeln, z.B. 10 Netzwerkteilnehmer pro Subnetz. Um es einfach zu beschreiben: 10 Client-Computer, 10 Server, 10 Drucker, 10x VoIP pro Standort (mit Ausnahme von Remote B, der nur 10 Client Rechner haben wird).
Lohnt es sich aus z.B. Gründen der sauberen Trennung und Übersichtlichkeit, Geräte nach Kategorien (Client, Server, VoIP) in eigene Subnetze zu trennen? Oder sollte man die Kirche im Dorf lassen und bei so wenigen Geräten alles in ein Subnetz packen? Ich meine mich zu erinnern, dass die Trennung in verschiedene Subnetze auch Vorteile bietet. Beispielsweise, der Einschränkung von Zugriffen in das VoIP-Subnetz (nur Internetzugriff, kein Zugriff ins Netzwerk).
Mit dieser Frage käme ich dann auch gleich zur zweiten Frage:
(Sofern hier irgendein Denkfehler drin ist, wäre ich dankbar, wenn ihr mich darauf hinweisen könntet!)
Angenommen, ich betreibe in einem Netzwerk einen Computer (x.x.37.x) und einen Server (x.x.53.x), und möchte nun von dem Computer auf den Server zugreifen; Beispiel:
Beispiel A
Zwei getrennte Subnetze mit Subnetzmaske /24.
Computer: 10.2.37.10/24
Server: 10.2.53.10/24
Wenn ich es richtig verstehe, kann in diesem Fall der Computer nicht auf den Server zugreifen, da dieser sich in einem anderen Subnetz befindet, richtig? Sofern er zugreifen möchte, benötigt er einen Router (Gateway), der die Pakete richtig zustellt bzw. weiterleitet?
Beispiel B
Zwei getrennte Subnetze mit Subnetzmaske /16.
Computer: 10.2.37.10/16
Server: 10.2.53.10/16
Die IP-Adressen sind zwar die gleichen, aber die Subnetzmaske wurde von 255.255.255.0 auf 255.255.0.0 geändert. Ich frage mich, ob in diesem Fall ein Computer auf einen Server in einem anderen Subnetz zugreifen kann - ohne die zu Hilfenahme eines Routers? Hilft eventuell die Subnetzmaske von /16 eine direkte Verbindung zwischen den Clients und Servern auch ohne Router (Gateway) herzustellen?
Ich frage mich aber an dieser Stelle: Wenn es so wäre, wann wäre dann eine Subnetzmaske von /16 sinnvoll? Den Vorteil des "routen" des Traffics über den Router würde ich mir damit ja zu Nichte machen, sprich jegliche Kontrollmöglichkeiten oder Filtermöglichkeiten über den Datenverkehr würden verloren gehen? Hmm.. auf der anderen Seite denke ich mir, dass es bestimmt durchaus Unternehmen gibt, denen 253 Rechner pro Subnetz nicht ausreichen und deswegen evtl. damit eine einfache Möglichkeit kriegen, deutlich mehr Rechner in verschiedene Subnetze zu "verteilen" und dennoch untereinander "ansprechbar" zu halten. - Korrigiert mich bitte, wenn hier ein Denkfehler drin ist!
Zu Guter Letzt:
In jedem Standort soll der pfSense Router quasi das Netzwerk des jeweiligen Standortes "überdachen". Folgende Frage stelle ich mir hier:
Angenommen, alle Subnetze sind mit einer Subnetzmaske von /24 konfiguriert. => Welche Subnetzmaske bräuchte dann der Router?
Ist eine Konfiguration a la ...
10.1.100.1/24 - Router
10.1.37.0/24 - Client Rechner
10.1.53.0/24 - Server
... korrekt?
Mit welchen Konsequenzen wäre zu rechnen, wenn ich beispielsweise nur ein Subnetz mit einer anderen Subnetzmaske ausstatte, z.B.?
10.1.100.1/16 - Router
10.1.37.0/24 - Client Rechner
10.1.53.0/24 - Server
Oder wäre soetwas sogar notwendig, da der Router ja als zentrales Gateway zwischen den Subnetzen arbeiten soll? Hier auch noch mal die Frage, was geschehen würde, wenn die Subnetze alle auf /16 umgestellt werden, also:
10.1.100.1/16 - Router
10.1.37.0/16 - Client Rechner
10.1.53.0/16 - Server
So, das wären erst mal meine Gedanken, die sich in Bezug zu der Subnetzthematik ergeben haben. Ich hoffe, ihr müsst nicht die Hände über den Kopf zusammenschlagen beim Lesen meines Postings, bedanke mich für eure Zeit und wünsche euch noch ein schönes Wochenende!
Viele Grüße!
Scampi
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 325781
Url: https://administrator.de/contentid/325781
Ausgedruckt am: 26.11.2024 um 03:11 Uhr
12 Kommentare
Neuester Kommentar
Moin,
habe dein Post noch nicht komplett gelesen, allerdings würde ich an den Verschiedenen Bereichen nen die gleichen Adressen vergeben auch wenn das unterschiedliche Subnetze sind. Da bekommst dann Probleme mit doppelten IPs.
Ich werde mir später alles durchlesen. Sorry
Gruß Spirit
habe dein Post noch nicht komplett gelesen, allerdings würde ich an den Verschiedenen Bereichen nen die gleichen Adressen vergeben auch wenn das unterschiedliche Subnetze sind. Da bekommst dann Probleme mit doppelten IPs.
Ich werde mir später alles durchlesen. Sorry
Gruß Spirit
Hi Scampicfx,
Du bastelst hier mit /16 Subnetzen herum und hast am Ende 2PC im LAN hängen.
Vergib /24 er Subnetzmasken zu den privaten IP-Netzen und trenne diese sauber. So das bei einer Fehlersuche auf einen Blick klar wird, hier ist LAN, hier VPN, hier remote 1 bzw. remote 2.
Du machst es Dir nur unnötig schwer. Oder fährst Du Auto mit einer Brille 4+ Dioptrin obwohl Du eigentlich keine Brille brauchst?
Gruß orcape
Das alles ist reines Hobby und ist mit keinem Beruf oder dergleichen verbunden!
Wenn dem so ist, wie Du schreibst, dann frage ich mich doch ernsthaft, was das für privat für ein "riesiges Netz" werden soll?Du bastelst hier mit /16 Subnetzen herum und hast am Ende 2PC im LAN hängen.
Vergib /24 er Subnetzmasken zu den privaten IP-Netzen und trenne diese sauber. So das bei einer Fehlersuche auf einen Blick klar wird, hier ist LAN, hier VPN, hier remote 1 bzw. remote 2.
Du machst es Dir nur unnötig schwer. Oder fährst Du Auto mit einer Brille 4+ Dioptrin obwohl Du eigentlich keine Brille brauchst?
Gruß orcape
Guten Morgen,
Daran erkennen die Geräte, ob das Ziel im lokalen Netz ist (in dem Fall hier, ja) und dann nicht die Daten an das Standardgateway weitergeben müssen.
Das Standardgateway muss immer im gleichen Subnetz liegen, damit die Geräte darauf zu greifen können.
Das Standardgateway entscheidet dann wie es weiter geht.
Ja, kann man machen wenn man mehr als 254 (!) Geräte pro Subnetz braucht. Und ob du das filtern möchtest, hängt von mehreren Faktoren ab..
Wie soll der PC oder der Server zum Router kommen?
Wäre aber Quatsch dafür ein /16 zu verbraten, denn soviele PC hast du nicht.
Nimm /24 Netze und fertig. Macht es auch einfacher zu verstehen, da du nur die Zahl hinter dem letzten . beachten musst
VG,
Deepsys
Zitat von @Scampicfx:
Lohnt es sich aus z.B. Gründen der sauberen Trennung und Übersichtlichkeit, Geräte nach Kategorien (Client, Server, VoIP) in eigene Subnetze zu trennen? Oder sollte man die Kirche im Dorf lassen und bei so wenigen Geräten alles in ein Subnetz packen?
Da würde ich nichts trennen, wenn du nichts von außen erreichbar machen möchtest, Stichwort: DMZLohnt es sich aus z.B. Gründen der sauberen Trennung und Übersichtlichkeit, Geräte nach Kategorien (Client, Server, VoIP) in eigene Subnetze zu trennen? Oder sollte man die Kirche im Dorf lassen und bei so wenigen Geräten alles in ein Subnetz packen?
Zwei getrennte Subnetze mit Subnetzmaske /24.
Computer: 10.2.37.10/24
Server: 10.2.53.10/24
Wenn ich es richtig verstehe, kann in diesem Fall der Computer nicht auf den Server zugreifen, da dieser sich in einem anderen Subnetz befindet, richtig? Sofern er zugreifen möchte, benötigt er einen Router (Gateway), der die Pakete richtig zustellt bzw. weiterleitet?
Korrekt, da nicht im selben Subnetz, muss hier irgendwas routenComputer: 10.2.37.10/24
Server: 10.2.53.10/24
Wenn ich es richtig verstehe, kann in diesem Fall der Computer nicht auf den Server zugreifen, da dieser sich in einem anderen Subnetz befindet, richtig? Sofern er zugreifen möchte, benötigt er einen Router (Gateway), der die Pakete richtig zustellt bzw. weiterleitet?
Beispiel B
Zwei getrennte Subnetze mit Subnetzmaske /16.
Computer: 10.2.37.10/16
Server: 10.2.53.10/16
Die IP-Adressen sind zwar die gleichen, aber die Subnetzmaske wurde von 255.255.255.0 auf 255.255.0.0 geändert. Ich frage mich, ob in diesem Fall ein Computer auf einen Server in einem anderen Subnetz zugreifen kann - ohne die zu Hilfenahme eines Routers? Hilft eventuell die Subnetzmaske von /16 eine direkte Verbindung zwischen den Clients und Servern auch ohne Router (Gateway) herzustellen?
Genau dafür ist die Subnetzmaske da Zwei getrennte Subnetze mit Subnetzmaske /16.
Computer: 10.2.37.10/16
Server: 10.2.53.10/16
Die IP-Adressen sind zwar die gleichen, aber die Subnetzmaske wurde von 255.255.255.0 auf 255.255.0.0 geändert. Ich frage mich, ob in diesem Fall ein Computer auf einen Server in einem anderen Subnetz zugreifen kann - ohne die zu Hilfenahme eines Routers? Hilft eventuell die Subnetzmaske von /16 eine direkte Verbindung zwischen den Clients und Servern auch ohne Router (Gateway) herzustellen?
Daran erkennen die Geräte, ob das Ziel im lokalen Netz ist (in dem Fall hier, ja) und dann nicht die Daten an das Standardgateway weitergeben müssen.
Das Standardgateway muss immer im gleichen Subnetz liegen, damit die Geräte darauf zu greifen können.
Das Standardgateway entscheidet dann wie es weiter geht.
Ich frage mich aber an dieser Stelle: Wenn es so wäre, wann wäre dann eine Subnetzmaske von /16 sinnvoll?
Kommt drauf an Ja, kann man machen wenn man mehr als 254 (!) Geräte pro Subnetz braucht. Und ob du das filtern möchtest, hängt von mehreren Faktoren ab..
Zu Guter Letzt:
Ist eine Konfiguration a la ...
10.1.100.1/24 - Router
10.1.37.0/24 - Client Rechner
10.1.53.0/24 - Server
... korrekt?
Warum das nicht klappt, solltest du anhand meines obigen Textes nun verstehen ....Ist eine Konfiguration a la ...
10.1.100.1/24 - Router
10.1.37.0/24 - Client Rechner
10.1.53.0/24 - Server
... korrekt?
Mit welchen Konsequenzen wäre zu rechnen, wenn ich beispielsweise nur ein Subnetz mit einer anderen Subnetzmaske ausstatte, z.B.?
10.1.100.1/16 - Router
10.1.37.0/24 - Client Rechner
10.1.53.0/24 - Server
Damit das es nicht funktioniert 10.1.100.1/16 - Router
10.1.37.0/24 - Client Rechner
10.1.53.0/24 - Server
Wie soll der PC oder der Server zum Router kommen?
Oder wäre soetwas sogar notwendig, da der Router ja als zentrales Gateway zwischen den Subnetzen arbeiten soll? Hier auch noch mal die Frage, was geschehen würde, wenn die Subnetze alle auf /16 umgestellt werden, also:
10.1.100.1/16 - Router
10.1.37.0/16 - Client Rechner
10.1.53.0/16 - Server
Dann würde mal funktionieren 10.1.100.1/16 - Router
10.1.37.0/16 - Client Rechner
10.1.53.0/16 - Server
Wäre aber Quatsch dafür ein /16 zu verbraten, denn soviele PC hast du nicht.
Nimm /24 Netze und fertig. Macht es auch einfacher zu verstehen, da du nur die Zahl hinter dem letzten . beachten musst
VG,
Deepsys
1
Moin,
Die frfage ist doch, von wie vielen Geräten an den jeweiligen Standorten wir reden? Wenn das nur einige wenige sind (deutlich unter 100 pro Standort), würde ich mir keine so großen Kopf machen udneinfach für ejden Standort ein /24-netz nehmen und die Strukturierung einfacher gestalten.
Ansonsten soltest Du Dir auch überlegen, an den Standorten selbst Subnetze mit /24-er masken anzulegen, um duie Netzlast in geordnete Bahnen zu lenken. Auch
lks
Die frfage ist doch, von wie vielen Geräten an den jeweiligen Standorten wir reden? Wenn das nur einige wenige sind (deutlich unter 100 pro Standort), würde ich mir keine so großen Kopf machen udneinfach für ejden Standort ein /24-netz nehmen und die Strukturierung einfacher gestalten.
Ansonsten soltest Du Dir auch überlegen, an den Standorten selbst Subnetze mit /24-er masken anzulegen, um duie Netzlast in geordnete Bahnen zu lenken. Auch
lks
Hey,
vielen Dank für eure Antworten!
Danke!
Ich glaube, ja ;) Aber zur Sicherheit versuch ich das dennoch kurz zu rekapitulieren:
Der (beispielsweise 10.1.37.123) Client-Rechner kann in diesem Beispiel keine Verbindung zum Router (10.1.100.1/24) herstellen, da beide in unterschiedlichen Subnetzen liegen. Der Client-Rechner könnte nur dann eine Verbindung herstellen, wenn der Router die IP 10.1.37.1/24 hätte, also beide im gleichen Subnetz liegen, korrekt?
Oder alternativ: Alle Geräte (Router, Client-Rechner, etc.) statte ich mit einer /16 Subnetzmaske aus (Sinnhaftigkeit fraglich ;))?
Aber ihr habt vollkommen Recht: allein aus Gründen des Overheads wäre es arg übetrieben, ein kleines Privatnetzwerk mit einer /16 Subnetzmaske auszustatten und damit Dinge nur unnötig kompliziert zu machen. Dennoch bleibt eine Frage übrig: Wie wäre es im Fall einer DMZ?
Eine DMZ würde es ja notwendig machen, ein eigenes Subnetz zu erstellen. Sprich, angenommen, aufgrund der geringen Anzahl an Geräten pro Standort (z.B. nur 5 Stück), erhält jeder Standort ein /24 Subnetz, in dem sich alle Geräte tummeln (also Drucker, Computer, Server, etc):
Jeder Standort soll nun aber zusätzlich mit einer DMZ ausgestattet werden. Im Falle des Hauptstandorts würde das bedeuten:
10.2.100.0/24: Computer, Server, Router
10.2.234.0/24: DMZ
In einem anderen Thread auf Administrator.de habe ich folgende Abbildung entdeckt:
![a41bef3018e03f1a10c08fb5954bb988[1]](/images/c/2017/01/08/c30fce35b7c6e734bf74db5a4fd49e1b.jpg "a41bef3018e03f1a10c08fb5954bb988[1] - c30fce35b7c6e734bf74db5a4fd49e1b - Klicke auf das Bild, um es zu vergrößern")
Wenn ich es richtig interpretiere:
Sowohl für das Haupt-Netz 10.2.100.0/24 als auch die DMZ 10.2.234.0/24 wäre in meinem Fall jeweils /24 zu verwenden. Denn: Es sollen ja die Subnetze nicht untereinander kommunzieren können (DMZ!). Würde man die Subnetzmaske jeweils auf /16 ändern (sprich: 10.2.100.0/16 und 10.2.234.0/16), wäre eine Kommunikation unter den Netzen möglich und der Sinn einer DMZ damit eigentlich zerstört, oder?
Wie würde aber in diesem Fall ein Gerät aus der DMZ den Router erreichen? Die DMZ wäre ja in diesem Fall nicht mehr im gleichen Subnetz wie der Router und gemäß dem, was ich am Anfang des Postings gelernt habe (Router muss im gleichen Subnetz sein wie der Client ;)), frage ich mich, wie hier vorzugehen wäre?
Oder wird hier ein zweites Gateway auf dem Router eingerichtet, mit einem zusätzlichen NIC, der z.B. mit 10.2.234.1/24 konfiguriert ist und der ausschließlich für das DMZ verantwortlich ist?
Sprich also, dass der Router zwei Adressen hätte:
Vielen Dank!
vielen Dank für eure Antworten!
Das Standardgateway muss immer im gleichen Subnetz liegen, damit die Geräte darauf zu greifen können.
Danke!
Zu Guter Letzt:
Ist eine Konfiguration a la ...
10.1.100.1/24 - Router
10.1.37.0/24 - Client Rechner
10.1.53.0/24 - Server
... korrekt?
Warum das nicht klappt, solltest du anhand meines obigen Textes nun verstehen ....Ist eine Konfiguration a la ...
10.1.100.1/24 - Router
10.1.37.0/24 - Client Rechner
10.1.53.0/24 - Server
... korrekt?
Der (beispielsweise 10.1.37.123) Client-Rechner kann in diesem Beispiel keine Verbindung zum Router (10.1.100.1/24) herstellen, da beide in unterschiedlichen Subnetzen liegen. Der Client-Rechner könnte nur dann eine Verbindung herstellen, wenn der Router die IP 10.1.37.1/24 hätte, also beide im gleichen Subnetz liegen, korrekt?
Oder alternativ: Alle Geräte (Router, Client-Rechner, etc.) statte ich mit einer /16 Subnetzmaske aus (Sinnhaftigkeit fraglich ;))?
Aber ihr habt vollkommen Recht: allein aus Gründen des Overheads wäre es arg übetrieben, ein kleines Privatnetzwerk mit einer /16 Subnetzmaske auszustatten und damit Dinge nur unnötig kompliziert zu machen. Dennoch bleibt eine Frage übrig: Wie wäre es im Fall einer DMZ?
Eine DMZ würde es ja notwendig machen, ein eigenes Subnetz zu erstellen. Sprich, angenommen, aufgrund der geringen Anzahl an Geräten pro Standort (z.B. nur 5 Stück), erhält jeder Standort ein /24 Subnetz, in dem sich alle Geräte tummeln (also Drucker, Computer, Server, etc):
- Hauptstandort: 10.2.100.0/24
- Remote A: 10.1.100.0/24
- Remote B: 10.3.100.0/24
Jeder Standort soll nun aber zusätzlich mit einer DMZ ausgestattet werden. Im Falle des Hauptstandorts würde das bedeuten:
10.2.100.0/24: Computer, Server, Router
10.2.234.0/24: DMZ
In einem anderen Thread auf Administrator.de habe ich folgende Abbildung entdeckt:
Wenn ich es richtig interpretiere:
Sowohl für das Haupt-Netz 10.2.100.0/24 als auch die DMZ 10.2.234.0/24 wäre in meinem Fall jeweils /24 zu verwenden. Denn: Es sollen ja die Subnetze nicht untereinander kommunzieren können (DMZ!). Würde man die Subnetzmaske jeweils auf /16 ändern (sprich: 10.2.100.0/16 und 10.2.234.0/16), wäre eine Kommunikation unter den Netzen möglich und der Sinn einer DMZ damit eigentlich zerstört, oder?
Wie würde aber in diesem Fall ein Gerät aus der DMZ den Router erreichen? Die DMZ wäre ja in diesem Fall nicht mehr im gleichen Subnetz wie der Router und gemäß dem, was ich am Anfang des Postings gelernt habe (Router muss im gleichen Subnetz sein wie der Client ;)), frage ich mich, wie hier vorzugehen wäre?
Oder wird hier ein zweites Gateway auf dem Router eingerichtet, mit einem zusätzlichen NIC, der z.B. mit 10.2.234.1/24 konfiguriert ist und der ausschließlich für das DMZ verantwortlich ist?
Sprich also, dass der Router zwei Adressen hätte:
- einmal die Adresse 10.2.100.1/24 (Gateway) für das Hautpnetz und
- einmal die Adresse 10.2.234.1/24 (Gateway) für das DMZ-Netz?
Vielen Dank!
Moin,
wenn die Subnetze nicht miteinander reden sollen, solltest du aus Sicherheitsgründen auf jeden Fall VLANs einsetzen.
Sonst kann man theoretisch recht einfach die Daten des anderen Subnetzes abgreifen...
Beste Grüße!
Berthold
wenn die Subnetze nicht miteinander reden sollen, solltest du aus Sicherheitsgründen auf jeden Fall VLANs einsetzen.
Sonst kann man theoretisch recht einfach die Daten des anderen Subnetzes abgreifen...
Beste Grüße!
Berthold
Zitat von @Scampicfx:
[...]
Oder wird hier ein zweites Gateway auf dem Router eingerichtet, mit einem zusätzlichen NIC, der z.B. mit 10.2.234.1/24 konfiguriert ist und der ausschließlich für das DMZ verantwortlich ist?
Sprich also, dass der Router zwei Adressen hätte:
[...]
Oder wird hier ein zweites Gateway auf dem Router eingerichtet, mit einem zusätzlichen NIC, der z.B. mit 10.2.234.1/24 konfiguriert ist und der ausschließlich für das DMZ verantwortlich ist?
Sprich also, dass der Router zwei Adressen hätte:
- einmal die Adresse 10.2.100.1/24 (Gateway) für das Hautpnetz und
- einmal die Adresse 10.2.234.1/24 (Gateway) für das DMZ-Netz?
Exakt.
Mal angenommen, du hast in deinem LAN 5 Subnetze die alle über einen zentralen Router kommunizieren, so müsstes es wie folgt aussehen:
Netz 1 (Clients) : 192.168.101.0 /24 | GW: 192.168.101.1
Netz 2 (Server): 192.168.102.0 /24 | GW: 192.168.102.1
Netz 3 (Printer): 192.168.103.0 /24 | GW: 192.168.103.1
Netz 4 (W-LAN): 192.168.104.0 /24 | GW: 192.168.104.1
Netz 5 (Guests): 192.168.105.0 /24 | GW: 192.168.105.1
Der zentrale Router/ die Firewall müsste dann 5 physische Interfaces oder ein Interface mit VLAN-Funktionalität bereitstellen (und somit 5 "virteulle" Interfaces bereitstellen). Ein reiner Router würde dann erstmal nur die Pakete unter allen Netzen hin und her routen. Mittels einer Firewall bzw. AccessListen könnte man dann noch steuern, welches Subetz/ welche IP in welches andere Subnetz darf (oder halt nicht).
Danke für die wertvollen Informationen!
Würde das auch bedeuten, dass an jedem NIC des Routers wiederum ein eigener Switch angeschlossen werden müsste, an den dann wiederum die ganzen Clients / Printer / etc. angestöpselt sind? Sprich, in dem obigen Beispiel bräuchte ich insgesamt 5 Switches?
Danke!
Netz 1 (Clients) : 192.168.101.0 /24 | GW: 192.168.101.1
Netz 2 (Server): 192.168.102.0 /24 | GW: 192.168.102.1
Netz 3 (Printer): 192.168.103.0 /24 | GW: 192.168.103.1
Netz 4 (W-LAN): 192.168.104.0 /24 | GW: 192.168.104.1
Netz 5 (Guests): 192.168.105.0 /24 | GW: 192.168.105.1
Der zentrale Router/ die Firewall müsste dann 5 physische Interfaces oder ein Interface mit VLAN-Funktionalität bereitstellen (und somit 5 "virteulle" > Interfaces bereitstellen). Ein reiner Router würde dann erstmal nur die Pakete unter allen Netzen hin und her routen. Mittels einer Firewall bzw. AccessListen könnte man dann noch steuern, welches Subetz/ welche IP in welches andere Subnetz darf (oder halt nicht).
Netz 2 (Server): 192.168.102.0 /24 | GW: 192.168.102.1
Netz 3 (Printer): 192.168.103.0 /24 | GW: 192.168.103.1
Netz 4 (W-LAN): 192.168.104.0 /24 | GW: 192.168.104.1
Netz 5 (Guests): 192.168.105.0 /24 | GW: 192.168.105.1
Der zentrale Router/ die Firewall müsste dann 5 physische Interfaces oder ein Interface mit VLAN-Funktionalität bereitstellen (und somit 5 "virteulle" > Interfaces bereitstellen). Ein reiner Router würde dann erstmal nur die Pakete unter allen Netzen hin und her routen. Mittels einer Firewall bzw. AccessListen könnte man dann noch steuern, welches Subetz/ welche IP in welches andere Subnetz darf (oder halt nicht).
Würde das auch bedeuten, dass an jedem NIC des Routers wiederum ein eigener Switch angeschlossen werden müsste, an den dann wiederum die ganzen Clients / Printer / etc. angestöpselt sind? Sprich, in dem obigen Beispiel bräuchte ich insgesamt 5 Switches?
Danke!
Hallo Berthold,
danke! Hast du evtl. hierzu eine Lektüre-Empfehlung? Konkret sind bei mir gerade folgende Fragen im Kopf:
Danke!
wenn die Subnetze nicht miteinander reden sollen, solltest du aus Sicherheitsgründen auf jeden Fall VLANs einsetzen.
Sonst kann man theoretisch recht einfach die Daten des anderen Subnetzes abgreifen...
Sonst kann man theoretisch recht einfach die Daten des anderen Subnetzes abgreifen...
danke! Hast du evtl. hierzu eine Lektüre-Empfehlung? Konkret sind bei mir gerade folgende Fragen im Kopf:
- Kann man mit VLANs auch eigene IP-Adressbereiche erstellen (also quasi genau das gleiche machen wie mit einem Subnetz; bspw. 10.1.234.x = Guest-VLAN)
- kann das alles über einen Level 2+ / Level 3 Switch von statten gehen oder benötigt man für jedes VLAN einen eigenen Switch?
Danke!
Hi,
Nimm dir beispielsweise meine obige Auflistung (Netz 1 (Clients) : 192.168.101.0 /24 | GW: 192.168.101.1), dann wäre z.B. Netz 1 dein VLAN 1, Netz 2 dein VLAN 2, usw. Durch die Trennung verhalten sich die Netze dann als logische, eigenständige Netze, obwohl du das ganze auf ein und der selben Hardware abbildest
Alternativ kann man das auch Layer3 Switche übernehmen lassen. I.d.R. wird das in größeren Netzen auch so gehandhabt (oder sollte zumindest), da die performance von Switchen (sofern es nicht irgendwelche billigst Longshine-Switche sind) deutlich höher ist, als die einer Firewall.
Du hättest, wenn das dein Router übernehmen soll, zwei Varianten:
Schaue dir insgesamt aber hierzu mal aquis Wissensbeitrag an:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Zitat von @Scampicfx:
Hallo Berthold,
danke! Hast du evtl. hierzu eine Lektüre-Empfehlung? Konkret sind bei mir gerade folgende Fragen im Kopf:
Hallo Berthold,
wenn die Subnetze nicht miteinander reden sollen, solltest du aus Sicherheitsgründen auf jeden Fall VLANs einsetzen.
Sonst kann man theoretisch recht einfach die Daten des anderen Subnetzes abgreifen...
Sonst kann man theoretisch recht einfach die Daten des anderen Subnetzes abgreifen...
danke! Hast du evtl. hierzu eine Lektüre-Empfehlung? Konkret sind bei mir gerade folgende Fragen im Kopf:
* Kann man mit VLANs auch eigene IP-Adressbereiche erstellen (also quasi genau das gleiche machen wie mit einem Subnetz; bspw. 10.1.234.x = Guest-VLAN)
Das ist sogar verpflichtend, dass du bei VLANs jedem VLAN einen eigenen IP-Kreis gibst.Nimm dir beispielsweise meine obige Auflistung (Netz 1 (Clients) : 192.168.101.0 /24 | GW: 192.168.101.1), dann wäre z.B. Netz 1 dein VLAN 1, Netz 2 dein VLAN 2, usw. Durch die Trennung verhalten sich die Netze dann als logische, eigenständige Netze, obwohl du das ganze auf ein und der selben Hardware abbildest
* kann das alles über einen Level 2+ / Level 3 Switch von statten gehen oder benötigt man für jedes VLAN einen eigenen Switch?
Nein, dazu reichen (Smart-)Managebare Layer2 Switche. Du musst beim EInsatz von Layer2 Switchen nur irgendwo im Netz einen zentralen Router haben, der neben dem Routing auch AccessListen abhandeln kann. Das wäre in deinem fall dann die pfSense / Monowall.Alternativ kann man das auch Layer3 Switche übernehmen lassen. I.d.R. wird das in größeren Netzen auch so gehandhabt (oder sollte zumindest), da die performance von Switchen (sofern es nicht irgendwelche billigst Longshine-Switche sind) deutlich höher ist, als die einer Firewall.
Du hättest, wenn das dein Router übernehmen soll, zwei Varianten:
- Variante 1:
- Deinen Router mit 5 Interfaces ausstatten und jedes Interface als untagged auf dem Switch in das jeweilige VLAN packen
- Vorteil: für jedes VLAN stehen beispielsweise je 1GBit zur Verfügung
- Nachteil: kommen weiteres VLANs hinzu müsste auch immer physikalisch agiert werden / genügend Ports am Switch und der FW frei sein.
- Variante 2:
- Deinen Router mit 1 Interface ausstatten und diese Interface als tagged auf dem Switch in das jeweilige VLAN packen.
- Vorteil: hochgradig flexibel, wenn weitere VLANs hinzukommen
- Nachteil: Die verfügbare Datenrate sinkt mit steigender Anzahl an VLANs (sofern kein QoS eingerichtet ist und aus allen VLANs gleichzeitig volles Rohr "geschossen" wird).
Schaue dir insgesamt aber hierzu mal aquis Wissensbeitrag an:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
1
Super, danke!
Zitat von @BirdyB:
Moin,
wenn die Subnetze nicht miteinander reden sollen, solltest du aus Sicherheitsgründen auf jeden Fall VLANs einsetzen.
Sonst kann man theoretisch recht einfach die Daten des anderen Subnetzes abgreifen...
Moin,
wenn die Subnetze nicht miteinander reden sollen, solltest du aus Sicherheitsgründen auf jeden Fall VLANs einsetzen.
Sonst kann man theoretisch recht einfach die Daten des anderen Subnetzes abgreifen...
Ich habe an meiner pfSense Box einen separaten NIC, an dem ich gerne nun die DMZ einrichten würde. Mit dieser DMZ würde ich den WiFi Zugang ins Internet für Gäste realisieren.
Im pfSense Forum habe ich ein Posting entdeckt, in dem der Betrieb einer DMZ mittels VLAN als "poor man DMZ" dargestellt wird.
Daher möchte ich nachfragen, weshalb hier geraten wird doch VLANs zu verwenden? Oder ist das etwa so zu verstehen, dass beides kombiniert werden soll? Sprich: DMZ auf eigenen NIC legen und das ganze obendrein noch als VLAN deklarieren?
Mit welchen Nachteilen wäre zu rechnen, wenn man das nicht zusätzlich noch als VLAN deklariert?
Wie wäre es möglich die Daten des anderen Subnetzes abzugreifen, sofern das nicht als VLAN deklariert ist? (Wie gesagt: Die DMZ wäre an einem separaten NIC der pfSense Box angeschlossen).
Ich danke euch nochmals!
Viele Grüße,
Scampi
