6
Erreichen von einem zweiten Netzwerk via Router
Hallo Zusammen,
aus Sicherheitsgründen möchte ich unser Netzwerk in mehrerer Segmente aufteilen. Zur Vorbereitung auf dieses Splitten des Netzwerkes möchte ich zum Test ein zweites unabhängiges Netzwerk erreichen.
Meine Ausgangslage:
IP Bereich bestehendes Netzwerk: 192.168.9.0/24
Sophos FW 192.168.9.254
Bintec Router 192.168.9.15
IP Bereich zweites zu erreichendes Netzwerk: 192.168.10.0/24
Konfigurierter Port für das zweite Netzwerk 192.168.10.10
Ich habe hier eine Sophos Firewall am laufen auf der ich eine statische Route gesetzt habe. Zielnetzwerk 192.168.10.0 erreichbar via Router 192.168.9.15
Dem Bintec Router habe ich an einem Port die Ip Adresse 192.168.10.10 verpasst, diesen kann ich auch anpingen und bekomme rückmeldung. Wenn ich jedoch hinter diesem Port an dem Netz 192.168.10.0 einen Host setzte z.B.- Notebook mit der IP 192.168.10.50 komm eich mit dem Ping nicht bis dahin durch.
Wenn mir her jemand weiterhelfen könnte währe ich echt dankbar.
aus Sicherheitsgründen möchte ich unser Netzwerk in mehrerer Segmente aufteilen. Zur Vorbereitung auf dieses Splitten des Netzwerkes möchte ich zum Test ein zweites unabhängiges Netzwerk erreichen.
Meine Ausgangslage:
IP Bereich bestehendes Netzwerk: 192.168.9.0/24
Sophos FW 192.168.9.254
Bintec Router 192.168.9.15
IP Bereich zweites zu erreichendes Netzwerk: 192.168.10.0/24
Konfigurierter Port für das zweite Netzwerk 192.168.10.10
Ich habe hier eine Sophos Firewall am laufen auf der ich eine statische Route gesetzt habe. Zielnetzwerk 192.168.10.0 erreichbar via Router 192.168.9.15
Dem Bintec Router habe ich an einem Port die Ip Adresse 192.168.10.10 verpasst, diesen kann ich auch anpingen und bekomme rückmeldung. Wenn ich jedoch hinter diesem Port an dem Netz 192.168.10.0 einen Host setzte z.B.- Notebook mit der IP 192.168.10.50 komm eich mit dem Ping nicht bis dahin durch.
Wenn mir her jemand weiterhelfen könnte währe ich echt dankbar.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 323626
Url: https://administrator.de/contentid/323626
Ausgedruckt am: 17.11.2024 um 17:11 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
welches OS hat der zu erreichende Laptop installiert?
Windows blockt in diesem Fall von sich aus ICMP Requests über die interne Windows Firewall.
Gruß
welches OS hat der zu erreichende Laptop installiert?
Windows blockt in diesem Fall von sich aus ICMP Requests über die interne Windows Firewall.
Gruß
Dieses Tutorial beantwortet alle Fragen zu dem Thema:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Ansonsten wie immer die Winblows Firewall des Hosts die ICMP (Ping) blockt ab Win 7:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Notebook mit der IP 192.168.10.50 komm eich mit dem Ping nicht bis dahin durch.
Dieser Host muss logischerweise natürlich die .10.10 (Bintec) als Default Gateway gesetzt haben. Ist das so ?Ansonsten wie immer die Winblows Firewall des Hosts die ICMP (Ping) blockt ab Win 7:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Moin,
Abgesehen von der lokalen Firewall der Nodes, hast Du auf dem Bintec Firewall-regeln aktiv?
lks
Abgesehen von der lokalen Firewall der Nodes, hast Du auf dem Bintec Firewall-regeln aktiv?
lks
Hallo Zusammen, vielen Dank erstmal für Eure Hilfe.
Also zu den Fragen:
Das Notebook hat WIN 10 am laufen. Auf diesem ist als Gateway auch die IP des Bintec Routers eingetragen.
Firewall habe ich auf Grund des ersten Tipps ausgeschaltet was jedoch nicht zur Lösung des Problems führte.
Also Regeln habe ich auf dem Router keine.
Die Konfiguration welche ich auf dem Bintec durchgeführt habe ist lediglich die Schnittstelle mit der IP des zu erreichenden Netzt zu versehen also die 192.168.10.10
Unter dem Punkt Routen sind eben die beiden Netzsegmente bekannt mit folgenden Angaben:
Ziel IP 192.168.9.0 MASK 255.255.255.0 GW 192.168.9.15 Schnittstelle 1 Typ Netwerkroute via Schnittstelle
und
Ziel IP 192.168.10.0 MASK 255.255.255.0 GW 192.168.10.10 Schnittstelle 4 Typ Netwerkroute via Schnittstelle
Ich denke auch, dass es etwas mit einer Regel zu tun haben muss oder einer fehlenden Routeninfo.
Denn in meinem primären Netzwerk habe ich ja auf der Firewall eine Statische Route eingetragen die dem Paket die Info gibt, wenn du in das Netz 10.0 möchtest dann gehe über die 9.15 welche der Router ist, der wiederum kennt das zweite Netz da konfigurierte Schnittstelle vorhanden. Aber woher weiß z.B. das Notebook, dass wenn es in das 9.0 er Netz möchte er über die 10.10 laufen muss? Ich glaube mir fehlt da noch irgend etwas und ich habe dasd nicht zuende konfiguriert. Mir ist nur nicht ganz klar wo ind was das ist.
Um weitere Tipps bin ich dankbar.
Also zu den Fragen:
Das Notebook hat WIN 10 am laufen. Auf diesem ist als Gateway auch die IP des Bintec Routers eingetragen.
Firewall habe ich auf Grund des ersten Tipps ausgeschaltet was jedoch nicht zur Lösung des Problems führte.
Also Regeln habe ich auf dem Router keine.
Die Konfiguration welche ich auf dem Bintec durchgeführt habe ist lediglich die Schnittstelle mit der IP des zu erreichenden Netzt zu versehen also die 192.168.10.10
Unter dem Punkt Routen sind eben die beiden Netzsegmente bekannt mit folgenden Angaben:
Ziel IP 192.168.9.0 MASK 255.255.255.0 GW 192.168.9.15 Schnittstelle 1 Typ Netwerkroute via Schnittstelle
und
Ziel IP 192.168.10.0 MASK 255.255.255.0 GW 192.168.10.10 Schnittstelle 4 Typ Netwerkroute via Schnittstelle
Ich denke auch, dass es etwas mit einer Regel zu tun haben muss oder einer fehlenden Routeninfo.
Denn in meinem primären Netzwerk habe ich ja auf der Firewall eine Statische Route eingetragen die dem Paket die Info gibt, wenn du in das Netz 10.0 möchtest dann gehe über die 9.15 welche der Router ist, der wiederum kennt das zweite Netz da konfigurierte Schnittstelle vorhanden. Aber woher weiß z.B. das Notebook, dass wenn es in das 9.0 er Netz möchte er über die 10.10 laufen muss? Ich glaube mir fehlt da noch irgend etwas und ich habe dasd nicht zuende konfiguriert. Mir ist nur nicht ganz klar wo ind was das ist.
Um weitere Tipps bin ich dankbar.
Nein, mit einer fehlenden Routing Info hat es ganz sicher nichts zu tun, das kannst du zu 100% ausschliessen.
Beide Netzwerke sind ja lokal am Bintec angeschlossen, der "kennt" also per se dadurch beide Netze und kann diese ohne jede Routing Info routen.
Dort steht (hoffentlich) die 192.168.10.10 was ja die Bintec Gateway IP ist.
Wenn der Laptop nun eine Anforderung hat im 192.168.9.0er netz, sendet er (da es ja nicht sein lokales Netz ist) an den Bintec.
Der hat das .9.0er netz direkt dran und forwardet das an das dortige Endgerät.
Das hat vermutlich wiederum den dortigen Router als Gateway, der aber eine statische Route ala:
Ziel: 192.168.10.0, Maske: 255.255.255.0, Gateway: 192.168.9.15
eingetragen hat um das Paket ins richtige Netz zu schicken.
Routingtechnsich stimmt also alles bei dir perfekt sofern du dich nirgendwo vertippt hast
Für die Grundlagen sieh ins oben zitierte Tutorial !
Testen tust du das imemr mit Traceroute (tracert) oder pathping !
Es kann also einzig nur sein das der Bintec auf einem der Interfaces eine Firewall Accessliste definiert hat oder NAT (IP Adresstranslation) aktiviert hat. Eins oder beide dieser Funktion würde den Paket Flow blockieren und wäre natürlich eine Fehlkonfiguration des Bintec.
Das du die lokalen Firewalls der PCs anpasst insbesondere bei Ping (ICMP) sollte klar sein.
Am besten pingt man hier logischerweise immer die LAN IP Adresse des Internet Routers 192.168.9.254 sofern diese natürlich ein Pingen (ICMP) als Firewall zulässt.
Hier lauert übrigens noch ein Knackpunkt da dies eine Firewall ist:
Diese hat natürlich auch entsprechende Firewall Regeln auf ihren Ports !!!
Du musst hier sicherstellen das die Sophos Gurke eingehende Pakete aus dem 192.168.10.0er Netz erlaubt !!
Ebenso solltest du sicherstellen das die Sophos ICMP generell aus beiden Netzen erlaubt.
Das ist in sofern für dein Konstrukt essentiell wichtig, da die FW ein ICMP Redirect (Typ 5) schicken muss !
https://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Sie dir den oben beschriebenen Paket Flow an wenn ein .9.0er Endgerät mit konfiguriertem Gateway auf die Sophos auf ein IP Paket aus dem .10.0er Netz antworten muss.
Normal bei einem Router würde dieser ein ICMP Redirekt Typ 5 an das Endgerät schicken das dem damit sagt:
"Hey, hör mal her das Gateway ins .10.0er IP Netz erreichts du über die .9.15 direkt !"
Das Endgerät wird seine Antwortpakete dann immer direkt auf die .9.15 schicken OHNE Umwegschleife über die Sophos.
Blockt die Sophos aber ICMP am LAN und natürlich auch inbound .10.0er Zugriff mit ihren Regeln am LAN Port gibts immer die Umwegschleife oder .10.0er Pakete werden gar nicht beantwortet.
Überprüfe das also in der Firewall bzw. deren Regelwerk und passe das ggf. an !
Eine Firewall ist eben etwas anders als ein Router. Im Zweifel immer den Test vom Kollegen BirdyB unten machen mit einem Testrechner der als Gateway eben den Bintec eingetragen hat. Damit hebelt man dann Firewall Probleme erstmal testweise aus.
Beide Netzwerke sind ja lokal am Bintec angeschlossen, der "kennt" also per se dadurch beide Netze und kann diese ohne jede Routing Info routen.
Aber woher weiß z.B. das Notebook, dass wenn es in das 9.0 er Netz möchte er über die 10.10 laufen muss?
Das hat doch einen Default Gateway Eintrag in der NIC Konfiguration !!!Dort steht (hoffentlich) die 192.168.10.10 was ja die Bintec Gateway IP ist.
Wenn der Laptop nun eine Anforderung hat im 192.168.9.0er netz, sendet er (da es ja nicht sein lokales Netz ist) an den Bintec.
Der hat das .9.0er netz direkt dran und forwardet das an das dortige Endgerät.
Das hat vermutlich wiederum den dortigen Router als Gateway, der aber eine statische Route ala:
Ziel: 192.168.10.0, Maske: 255.255.255.0, Gateway: 192.168.9.15
eingetragen hat um das Paket ins richtige Netz zu schicken.
Routingtechnsich stimmt also alles bei dir perfekt sofern du dich nirgendwo vertippt hast
Für die Grundlagen sieh ins oben zitierte Tutorial !
Testen tust du das imemr mit Traceroute (tracert) oder pathping !
Es kann also einzig nur sein das der Bintec auf einem der Interfaces eine Firewall Accessliste definiert hat oder NAT (IP Adresstranslation) aktiviert hat. Eins oder beide dieser Funktion würde den Paket Flow blockieren und wäre natürlich eine Fehlkonfiguration des Bintec.
Das du die lokalen Firewalls der PCs anpasst insbesondere bei Ping (ICMP) sollte klar sein.
Am besten pingt man hier logischerweise immer die LAN IP Adresse des Internet Routers 192.168.9.254 sofern diese natürlich ein Pingen (ICMP) als Firewall zulässt.
Hier lauert übrigens noch ein Knackpunkt da dies eine Firewall ist:
Diese hat natürlich auch entsprechende Firewall Regeln auf ihren Ports !!!
Du musst hier sicherstellen das die Sophos Gurke eingehende Pakete aus dem 192.168.10.0er Netz erlaubt !!
Ebenso solltest du sicherstellen das die Sophos ICMP generell aus beiden Netzen erlaubt.
Das ist in sofern für dein Konstrukt essentiell wichtig, da die FW ein ICMP Redirect (Typ 5) schicken muss !
https://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Sie dir den oben beschriebenen Paket Flow an wenn ein .9.0er Endgerät mit konfiguriertem Gateway auf die Sophos auf ein IP Paket aus dem .10.0er Netz antworten muss.
Normal bei einem Router würde dieser ein ICMP Redirekt Typ 5 an das Endgerät schicken das dem damit sagt:
"Hey, hör mal her das Gateway ins .10.0er IP Netz erreichts du über die .9.15 direkt !"
Das Endgerät wird seine Antwortpakete dann immer direkt auf die .9.15 schicken OHNE Umwegschleife über die Sophos.
Blockt die Sophos aber ICMP am LAN und natürlich auch inbound .10.0er Zugriff mit ihren Regeln am LAN Port gibts immer die Umwegschleife oder .10.0er Pakete werden gar nicht beantwortet.
Überprüfe das also in der Firewall bzw. deren Regelwerk und passe das ggf. an !
Eine Firewall ist eben etwas anders als ein Router. Im Zweifel immer den Test vom Kollegen BirdyB unten machen mit einem Testrechner der als Gateway eben den Bintec eingetragen hat. Damit hebelt man dann Firewall Probleme erstmal testweise aus.
Also:
Der Laptop in 192.168.10.0/24 hat als Standardgateway die 192.168.10.10(Bintec), dieser weiß, dass er an seiner WAN-Schnittstelle das Netz 192.168.9.0/24. Daher sollte dieser Weg ohne weitere Konfiguration funktionieren.
In deinem Sophos-Netz gibt es ja auch die passende Route, dass alles was an 192.168.10.0/24 geht über die 192.168.9.15 versendet wird.
Du könntest zum weiteren Test mal einem Rechner im 192.168.9.0/24 als Gateway die 192.168.9.15 geben und es erneut testen, damit könnten wir Probleme an der Sophos ausschließen.
Ansonsten: Kann es sein, dass der Bintec RFC1918-Netze an der WAN-Schnittstelle standardmäßig blockt?
Der Laptop in 192.168.10.0/24 hat als Standardgateway die 192.168.10.10(Bintec), dieser weiß, dass er an seiner WAN-Schnittstelle das Netz 192.168.9.0/24. Daher sollte dieser Weg ohne weitere Konfiguration funktionieren.
In deinem Sophos-Netz gibt es ja auch die passende Route, dass alles was an 192.168.10.0/24 geht über die 192.168.9.15 versendet wird.
Du könntest zum weiteren Test mal einem Rechner im 192.168.9.0/24 als Gateway die 192.168.9.15 geben und es erneut testen, damit könnten wir Probleme an der Sophos ausschließen.
Ansonsten: Kann es sein, dass der Bintec RFC1918-Netze an der WAN-Schnittstelle standardmäßig blockt?
