Frage zu Routing an die Experten
Schönen guten Morgen zusammen,
ich hätte mal an eine Frage an die Experten. Ich habe derzeit folgendes Szenario.
Client/Server/Printer sind alle in einem Switch angeschlossen
Netz: 192.168.1.0/24
Der Gateway Server hat folgende interne IP Adressen:
192.168.1.1 (Verbindung zu internem Switch)
172.16.0.2 (Verbindug zu zweitem Gateway)
Meinen zweiten Gateway verwende ich für Applicationen welche über das Internet (VPN) kommunizieren.
Netz: 172.16.0.0/16
Dieser Gateway Server hat folgende interne IP Adressen:
172.16.0.1 (Verbindug zu erstem Gateway)
Mittels Routing funktioniert bislang auch alles bestens.
Jetzt möchte ich meine Drucker aus dem Netz (192.168.1.0/24) separieren und mittels Routing aus beiden Netzten (192.168.1.0/24, 172.16.0.0/16) ansprechen.
Printer Netz: 10.0.0.0/8
Hierfür würde ich folgende Gateway IP Adresse verwenden:
10.0.0.1
Jetzt bin ich mir nicht ganz sicher, wem ich die neue Gateway Adresse geben muss?
Die Drucker bleiben im aktuellen Switch angeschlossen und bekommen lediglich neue IP Adressen aus dem Netz (10.0.0.0/8) und den neuen Gateway (10.0.0.1).
Ich habe als Beispiel drei unterschiedliche private Netze verwendet, damit es etwas deutlicher wird.
Wäre toll wenn mir jemand weiterhelfen könnte.
ich hätte mal an eine Frage an die Experten. Ich habe derzeit folgendes Szenario.
Client/Server/Printer sind alle in einem Switch angeschlossen
Netz: 192.168.1.0/24
Der Gateway Server hat folgende interne IP Adressen:
192.168.1.1 (Verbindung zu internem Switch)
172.16.0.2 (Verbindug zu zweitem Gateway)
Meinen zweiten Gateway verwende ich für Applicationen welche über das Internet (VPN) kommunizieren.
Netz: 172.16.0.0/16
Dieser Gateway Server hat folgende interne IP Adressen:
172.16.0.1 (Verbindug zu erstem Gateway)
Mittels Routing funktioniert bislang auch alles bestens.
Jetzt möchte ich meine Drucker aus dem Netz (192.168.1.0/24) separieren und mittels Routing aus beiden Netzten (192.168.1.0/24, 172.16.0.0/16) ansprechen.
Printer Netz: 10.0.0.0/8
Hierfür würde ich folgende Gateway IP Adresse verwenden:
10.0.0.1
Jetzt bin ich mir nicht ganz sicher, wem ich die neue Gateway Adresse geben muss?
Die Drucker bleiben im aktuellen Switch angeschlossen und bekommen lediglich neue IP Adressen aus dem Netz (10.0.0.0/8) und den neuen Gateway (10.0.0.1).
Ich habe als Beispiel drei unterschiedliche private Netze verwendet, damit es etwas deutlicher wird.
Wäre toll wenn mir jemand weiterhelfen könnte.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 653897
Url: https://administrator.de/forum/frage-zu-routing-an-die-experten-653897.html
Ausgedruckt am: 22.12.2024 um 10:12 Uhr
25 Kommentare
Neuester Kommentar
Keine Ahnung ob ich ein Experte bin, aber ich gebe dir nicht die Lösung. ich gebe dir nur einen Hinweis.
ich habe das Gefühl, du hast du Funktion eines Gateways nicht ganz verstanden. Überlege/Recherchiere noch einmal kurz was das Gateway macht und wann es benötigt wird. Dann solltest du von alleine auf die Lösugn kommen.
Auch wenn Freitag ist, möchte ich auf so eine Frage nicht die Lösung hier posten sondern dich dazu bewegen selbst auf sei zu kommen.
ich habe das Gefühl, du hast du Funktion eines Gateways nicht ganz verstanden. Überlege/Recherchiere noch einmal kurz was das Gateway macht und wann es benötigt wird. Dann solltest du von alleine auf die Lösugn kommen.
Auch wenn Freitag ist, möchte ich auf so eine Frage nicht die Lösung hier posten sondern dich dazu bewegen selbst auf sei zu kommen.
Den Drucker zu separieren bringt nichts, wenn sie sich im gleichen Netz aufhalten. Das ist das Gleiche, als, wenn du ihn gleich im alten IP Bereich lässt. Wenn du ihn wirklich "richtig" separieren möchtest, benötigt er ein eigenes VLAN.
Die Route zu 10.0.0.0/24 muss auf beiden Gateways eingestellt werden.
Auf dem Gateway des Netzes, in dem sich der Drucker befindet (ich nenne es mal Gateway 1), muss als Ziel die Netzwerkkarte eingetragen werden, über welches der Drucker erreichbar ist. Auf dem Gateway 2 (des entfernten Netzes) muss als Ziel das Gateway 1 eingetragen werden.
Die Route zu 10.0.0.0/24 muss auf beiden Gateways eingestellt werden.
Auf dem Gateway des Netzes, in dem sich der Drucker befindet (ich nenne es mal Gateway 1), muss als Ziel die Netzwerkkarte eingetragen werden, über welches der Drucker erreichbar ist. Auf dem Gateway 2 (des entfernten Netzes) muss als Ziel das Gateway 1 eingetragen werden.
Meine beiden Gateway erfüllen natürlich auch noch den Zweck, Pakete in das internet zu Routen.
Ich habe nicht die gesamte Konfiguration gepostet, da dies ja nichts mit meinem Problem zu tun hat.
Nein, aber es ist dennoch wichtig die Gesamte Situation zu kennen.Ich habe nicht die gesamte Konfiguration gepostet, da dies ja nichts mit meinem Problem zu tun hat.
Zum Gateway direkt und Platt ausgedrückt: Das Gateway wird immer dann genutzt wenn eine Verbindung außerhalb des Netzes aufgebaut wird. Wenn du also deine Drucker in ein neues Netz packst, dann brauchst du ein Gateway im Netzbereich der Drucker. Das Gateway der Clients muss dann natürlich auch das Gateway der Drucker kennen. Kann man machen, aber welchen Mehrwert erhoffst du dir von deiner Konstellation?
Würde ich auch so sehen.
Wenn es dir nur darum geht, dass es "aufgeräumter" sein soll, dann nimm 192.168.x.y und mach n Hypernetz (16 Netz) draus oder gleich 172.16.x.y wobei x für (1=Server, 2=Clients, 3 Drucker) steht und y einfach durchnummeriert wird.
Zitat von @joe2017:
Client/Server/Printer sind alle in einem Switch angeschlossen
Netz: 192.168.1.0/24
Der Gateway Server hat folgende interne IP Adressen:
192.168.1.1 (Verbindung zu internem Switch)
172.16.0.2 (Verbindug zu zweitem Gateway)
Client/Server/Printer sind alle in einem Switch angeschlossen
Netz: 192.168.1.0/24
Der Gateway Server hat folgende interne IP Adressen:
192.168.1.1 (Verbindung zu internem Switch)
172.16.0.2 (Verbindug zu zweitem Gateway)
Hat der auch zwei Beine und sind die beiden Netze physikalisch oder per VLAN segmentiert?
Jetzt möchte ich meine Drucker aus dem Netz (192.168.1.0/24) separieren und mittels Routing aus beiden Netzten (192.168.1.0/24, 172.16.0.0/16) ansprechen.
Printer Netz: 10.0.0.0/8
Hierfür würde ich folgende Gateway IP Adresse verwenden:
10.0.0.1
Jetzt bin ich mir nicht ganz sicher, wem ich die neue Gateway Adresse geben muss?
Die Drucker bleiben im aktuellen Switch angeschlossen und bekommen lediglich neue IP Adressen aus dem Netz (10.0.0.0/8) und den neuen Gateway (10.0.0.1).
Printer Netz: 10.0.0.0/8
Hierfür würde ich folgende Gateway IP Adresse verwenden:
10.0.0.1
Jetzt bin ich mir nicht ganz sicher, wem ich die neue Gateway Adresse geben muss?
Die Drucker bleiben im aktuellen Switch angeschlossen und bekommen lediglich neue IP Adressen aus dem Netz (10.0.0.0/8) und den neuen Gateway (10.0.0.1).
Prinzipiell kann man zwar "auf demselben Kabel" mehrere IP-netze betreiben, aber das ist garantiert ncihts für leute, die erst solche fragen stellen müssen.
Üblicherweise segmentiert man verschiedene IP-netze entweder physikalisch, indem man sie an getrennte switche hängt, die per Router verbunden sind oder per VLAN. Ansonsten bekomtm man des öfteren Probleme. (@aqui wird Dir da garantiert noch die Leviten lesen).
Wenn man zwei Netze auf demselben Kabel betreibt, mußt natürlich der Router, der dazwischen routen soll auch zwei IP-Adressen auf demselben Interface haben. Manche Laien behelfen sich damit, daß sie zwei Beinchen des Routers an denselben Switch hängen und diesen beiden dann die verschiedenen IP-Adressen vergeben. DAS IST NICHT DAS WAS Du MACHEN SOLLTEST! Du solltest Dir ein VLN-fähigen (ggf. L3-Switch) holen und das damit lösen!
lks
Aber dann benötigen beide Gateways eine Adresse aus dem Netz 10.0.0.0/24 oder?
Ja, wie ich es bereits oben geschrieben habe.Wie erreichen die Drucker diese Adresse
Gateway 2 erreicht es, indem es die Anfragen zu Gateway 1 schickt. Gateway 1 benötigt eine zusätzliche 10.0.0.0/24 IP Adresse auf einen der vorhandenen Netzwerkkarten (die mit dem Drucker verbunden ist), oder eine neue Netzwerkkarte (die mit dem Drucker verbunden ist).
Die Beschreibung ist für ein finales Verstandnis der IP Adressierung etwas wirr. Es hört sich irgendwie nach einer Router_Kaskade an wo der 2te kaskadierte Router die VPN Verbindung bedient.
Das ist aber auch erstmal nur im freien Fall geraten weil das etwas undurchsichtig ist.
Hilfreich wäre eine kleine Skizze für ein besseres Verständnis und eine zielgerichtete Lösung.
Es fehlt außerdem auch noch das verwendete VPN Protokoll.
Ohne das zu kennen und dessen Routing Option ist eine Antwort eh unmöglich.
Das ist aber auch erstmal nur im freien Fall geraten weil das etwas undurchsichtig ist.
Hilfreich wäre eine kleine Skizze für ein besseres Verständnis und eine zielgerichtete Lösung.
Es fehlt außerdem auch noch das verwendete VPN Protokoll.
Ohne das zu kennen und dessen Routing Option ist eine Antwort eh unmöglich.
Entweder per separaten VLAN oder separater IP auf einen der Netzwerkkarten des Gateways 1, alles oben bereits beschrieben. Du kannst aber auch ein NAT bauen. Dann behält der Drucker seine alte IP und für das Remotenetzwerk wird auf Gateway1 eine neue IP nur für den Drucker eingerichtet. z.B. 10.0.0.7 wird vom NAT zur Verfügung gestellt und routet den Port weiter auf die 192.168.1.x des Druckers.
Wenn das mit nat funktioniert kann ich die Drucker direkt in das 172.16.0.0/16 installieren.
Nein !Wozu NAT wenn dein VPN Netz 172.16.x.y ist dann hat der Client ja eine IP in dem Netz und ist von überall erreichbar. Der VPN Router kennt dann doch dieses IP Netz und kann das im gesamten IP Netz sauber routen.
Die VPN Clients bekommen vom VPN Router die Routen ins .1.0er Netz automatisch bei Tunnelaubau in die Routing Tabelle injiziert und "wissen" somit das sie Traffic ins 192.168.1.0er Netz auch in den Tunnel routen müssen.
Simples Standard Verhalten bei jedem VPN...!
Kannst du auch bei aktivem Client immer selber checken mit route print (Winblows) oder netstat -r -n (unixoide OS).
Die hiesigen VPN Tutorials für die unterschiedlichen VPN Protokolle weisen auch explizit immer darauf hin !
Wozu also überflüssiges NAT ? Braucht man im eigenen internen IP Netzwerk niemals.
Ich habe auch noch einen Denkfehler gemacht.
Deshalb ja die Bitte um eine Skizze deines Netzwerk Designs damit wir alle genau wissen worum es geht !Ich habe den externen PC mit einem Netz (private) welches ich nicht kenne! Dieser steht hinter meinem Gateway (172.16.0.1).
Du meinst irgendwo im Internet, richtig ?Ode rist damit gemein er ist im lokalen LAN "hinter" deinem Gateway. Aber dann wäre seine IP ja bekannt. Verwirrend...
Dieser soll auf dem Drucker (192.168.1.100) ausdrucken können.
Der remote VPN Client also der "irgendwo" im Internet steht oder besser gesagt in einem anderen IP Netz mit Anbindung ins Internet soll auf diesem Drucker in deinem lokalen LAN drucken, richtig ?Dieser muss lokal auf dem externen PC installiert werden.
Was ?? der Druckertreiber der dann drucken soll ??Der externe PC soll aber nichts von der IP Adresse (192.168.1.100) wissen.
Das ist technisch unmöglich wenn dieser "externe" PC sich mit einem VPN Client bei dir einwählt. Er bekommt dann immer durch den VPN Client vom VPN Router (also deinem VPN Router) automatisch eine Route ins 192.168.1.0er Netz injiziert. Logich, denn sonst könnte er ja niemals den Drucker IP technisch erreichen über den VPN Tunnel.Dieser Routing Tabellen eintrag ist aber immer nur solange gültig wie der VPN Tunnel steht und wird dann automatisch wieder entfernt. Sprich nur mit aktivem VPN Tunnel hat man diesen Routing Tabellen Eintrag im Client wovon der Client User aber selber nichts mitbekommt. Er "sieht" diesen automatischen Eintrag nicht.
Somit installiere ich am externen PC einen Drucker mit der IP 172.16.0.100.
Das ist auch leider wieder missverständlich.....Du meinst du installierst dort statisch einen Drucker der unter der Ziel IP 172.16.0.100 zu erreichen ist oder wie ist das zu verstehen ?
Das kann man machen ist aber unsinnig, denn dein VPN Netz und das lokale netz ist am Client ja so oder so immer durch den Automatismus oben bekannt.
NAT ist also generell überflüssig.
Man kann es aber machen wenn man sich das Leben schwermachen will. Du musst dann nur dafür sorgen das auch das 172.16er Netz in den Tunnel geroutet wird was problemlos möglich ist.
Der VPN Router muss dann aber gesagt bekommen das der 172.16er Ziel IP Traffic aus dem VPN IP mit einem 1:1 NAT oder PAT auf eine 192.168.1.0er IP umgesetzt wird.
Das geht natürlich auch ist aber eigentlich komplett überflüssig und verkompliziert dein VPN Setup. Machbar ist es aber natürlich.
Die ToDos hängen sehr stark vom verwendeten VPN Protokoll ab was du uns ja leider noch nicht in der Lage warst zu nennen...
Es ist eine Idee, wenn du die echte IP verschleiern möchtest.
Ich hätte den Drucker im lokalen Netzwerk gelassen und einfach ein Routing für eine IP eingerichtet, oder für den ganzen 24er Bereich und dann die restlichen IPs per Firewall dicht gemacht.
In einem großen Netzwerk sind die Drucker bei uns in einem eigenen VLAN.
Ich hätte den Drucker im lokalen Netzwerk gelassen und einfach ein Routing für eine IP eingerichtet, oder für den ganzen 24er Bereich und dann die restlichen IPs per Firewall dicht gemacht.
In einem großen Netzwerk sind die Drucker bei uns in einem eigenen VLAN.
OK, das Design ist dann recht einfach und ein simpler VPN Klassiker. Leider hast du es immer noch nicht geschafft das verwendete VPN Protokoll zu benennen.
Deine ToDos sind recht simpel und schnell gemacht:
Nebenbei: Die Wahl eines millionenfachen Router Allerwelts Default IP Netzes von 192.168.1.0 in einem VPN Umfeld ist nicht gerade sehr intelligent. Warum, das kannst du z.B. HIER nachlesen.
Deine ToDos sind recht simpel und schnell gemacht:
- Statische Route in Router 1 auf das interne VPN Client IP Netz via next Hop Router 2
- Statische Route in Router 2 auf das lokale Drucker IP LAN Netz via next Hop Router 1
- VPN Router muss lokales Drucker LAN 192.168.1.0er Netz an die remoten VPN Clients beim Tunnelaufbau in deren Routing Tabelle injizieren (z.B. "push 192.168.1.0..." Kommando bei OpenVPN)
Nebenbei: Die Wahl eines millionenfachen Router Allerwelts Default IP Netzes von 192.168.1.0 in einem VPN Umfeld ist nicht gerade sehr intelligent. Warum, das kannst du z.B. HIER nachlesen.