joe2017
Goto Top

Frage zu Routing an die Experten

Schönen guten Morgen zusammen,

ich hätte mal an eine Frage an die Experten. Ich habe derzeit folgendes Szenario.

Client/Server/Printer sind alle in einem Switch angeschlossen
Netz: 192.168.1.0/24
Der Gateway Server hat folgende interne IP Adressen:
192.168.1.1 (Verbindung zu internem Switch)
172.16.0.2 (Verbindug zu zweitem Gateway)


Meinen zweiten Gateway verwende ich für Applicationen welche über das Internet (VPN) kommunizieren.
Netz: 172.16.0.0/16
Dieser Gateway Server hat folgende interne IP Adressen:
172.16.0.1 (Verbindug zu erstem Gateway)

Mittels Routing funktioniert bislang auch alles bestens.

Jetzt möchte ich meine Drucker aus dem Netz (192.168.1.0/24) separieren und mittels Routing aus beiden Netzten (192.168.1.0/24, 172.16.0.0/16) ansprechen.
Printer Netz: 10.0.0.0/8

Hierfür würde ich folgende Gateway IP Adresse verwenden:
10.0.0.1

Jetzt bin ich mir nicht ganz sicher, wem ich die neue Gateway Adresse geben muss?
Die Drucker bleiben im aktuellen Switch angeschlossen und bekommen lediglich neue IP Adressen aus dem Netz (10.0.0.0/8) und den neuen Gateway (10.0.0.1).

Ich habe als Beispiel drei unterschiedliche private Netze verwendet, damit es etwas deutlicher wird.
Wäre toll wenn mir jemand weiterhelfen könnte.

Content-ID: 653897

Url: https://administrator.de/contentid/653897

Ausgedruckt am: 21.11.2024 um 17:11 Uhr

Doskias
Doskias 19.02.2021 um 10:08:41 Uhr
Goto Top
Keine Ahnung ob ich ein Experte bin, aber ich gebe dir nicht die Lösung. ich gebe dir nur einen Hinweis.

ich habe das Gefühl, du hast du Funktion eines Gateways nicht ganz verstanden. Überlege/Recherchiere noch einmal kurz was das Gateway macht und wann es benötigt wird. Dann solltest du von alleine auf die Lösugn kommen.

Auch wenn Freitag ist, möchte ich auf so eine Frage nicht die Lösung hier posten sondern dich dazu bewegen selbst auf sei zu kommen.
NordicMike
NordicMike 19.02.2021 um 10:13:35 Uhr
Goto Top
Den Drucker zu separieren bringt nichts, wenn sie sich im gleichen Netz aufhalten. Das ist das Gleiche, als, wenn du ihn gleich im alten IP Bereich lässt. Wenn du ihn wirklich "richtig" separieren möchtest, benötigt er ein eigenes VLAN.

Die Route zu 10.0.0.0/24 muss auf beiden Gateways eingestellt werden.
Auf dem Gateway des Netzes, in dem sich der Drucker befindet (ich nenne es mal Gateway 1), muss als Ziel die Netzwerkkarte eingetragen werden, über welches der Drucker erreichbar ist. Auf dem Gateway 2 (des entfernten Netzes) muss als Ziel das Gateway 1 eingetragen werden.
joe2017
joe2017 19.02.2021 um 10:17:37 Uhr
Goto Top
Hi und danke für deine Rückmeldung.

Meine beiden Gateway erfüllen natürlich auch noch den Zweck, Pakete in das internet zu Routen.
Ich habe nicht die gesamte Konfiguration gepostet, da dies ja nichts mit meinem Problem zu tun hat.

Mir geht es lediglich darum, dass ich ein Routing zu meinen Druckern einrichten will.
NordicMike
NordicMike 19.02.2021 aktualisiert um 10:19:56 Uhr
Goto Top
Dann lass den Drucker im alten Netz und spare dir das Routing vom Gateway 1.
joe2017
joe2017 19.02.2021 um 10:22:56 Uhr
Goto Top
Ich weiß, dass ich die Drucker nicht wirklich separiere. Jedoch müssen auf entfernten Rechnern außerhalb meines Netzwerkes Drucker installiert werden. Und ich wollte diesen nicht meine IP Adressen aus meinem Netz mitteilen. Daher der ganze Aufwand.

Aber dann benötigen beide Gateways eine Adresse aus dem Netz 10.0.0.0/24 oder?
Meine Drucker benötigen ja eine Gateway Adresse (10.0.0.1). Wie erreichen die Drucker diese Adresse und wo wird diese mittels Netzwerkkabel verbunden?
Doskias
Doskias 19.02.2021 aktualisiert um 10:29:51 Uhr
Goto Top
Meine beiden Gateway erfüllen natürlich auch noch den Zweck, Pakete in das internet zu Routen.
Ich habe nicht die gesamte Konfiguration gepostet, da dies ja nichts mit meinem Problem zu tun hat.
Nein, aber es ist dennoch wichtig die Gesamte Situation zu kennen.

Zum Gateway direkt und Platt ausgedrückt: Das Gateway wird immer dann genutzt wenn eine Verbindung außerhalb des Netzes aufgebaut wird. Wenn du also deine Drucker in ein neues Netz packst, dann brauchst du ein Gateway im Netzbereich der Drucker. Das Gateway der Clients muss dann natürlich auch das Gateway der Drucker kennen. Kann man machen, aber welchen Mehrwert erhoffst du dir von deiner Konstellation?

Zitat von @NordicMike:
Dann lass den Drucker im alten Netz und spare dir das Routing vom Gateway 1.
Würde ich auch so sehen.

Wenn es dir nur darum geht, dass es "aufgeräumter" sein soll, dann nimm 192.168.x.y und mach n Hypernetz (16 Netz) draus oder gleich 172.16.x.y wobei x für (1=Server, 2=Clients, 3 Drucker) steht und y einfach durchnummeriert wird.
Lochkartenstanzer
Lochkartenstanzer 19.02.2021 um 10:29:55 Uhr
Goto Top
Zitat von @joe2017:

Client/Server/Printer sind alle in einem Switch angeschlossen
Netz: 192.168.1.0/24
Der Gateway Server hat folgende interne IP Adressen:
192.168.1.1 (Verbindung zu internem Switch)
172.16.0.2 (Verbindug zu zweitem Gateway)



Hat der auch zwei Beine und sind die beiden Netze physikalisch oder per VLAN segmentiert?


Jetzt möchte ich meine Drucker aus dem Netz (192.168.1.0/24) separieren und mittels Routing aus beiden Netzten (192.168.1.0/24, 172.16.0.0/16) ansprechen.
Printer Netz: 10.0.0.0/8

Hierfür würde ich folgende Gateway IP Adresse verwenden:
10.0.0.1

Jetzt bin ich mir nicht ganz sicher, wem ich die neue Gateway Adresse geben muss?
Die Drucker bleiben im aktuellen Switch angeschlossen und bekommen lediglich neue IP Adressen aus dem Netz (10.0.0.0/8) und den neuen Gateway (10.0.0.1).

Prinzipiell kann man zwar "auf demselben Kabel" mehrere IP-netze betreiben, aber das ist garantiert ncihts für leute, die erst solche fragen stellen müssen.

Üblicherweise segmentiert man verschiedene IP-netze entweder physikalisch, indem man sie an getrennte switche hängt, die per Router verbunden sind oder per VLAN. Ansonsten bekomtm man des öfteren Probleme. (@aqui wird Dir da garantiert noch die Leviten lesen).

Wenn man zwei Netze auf demselben Kabel betreibt, mußt natürlich der Router, der dazwischen routen soll auch zwei IP-Adressen auf demselben Interface haben. Manche Laien behelfen sich damit, daß sie zwei Beinchen des Routers an denselben Switch hängen und diesen beiden dann die verschiedenen IP-Adressen vergeben. DAS IST NICHT DAS WAS Du MACHEN SOLLTEST! Du solltest Dir ein VLN-fähigen (ggf. L3-Switch) holen und das damit lösen!


lks
NordicMike
NordicMike 19.02.2021 um 10:30:14 Uhr
Goto Top
Aber dann benötigen beide Gateways eine Adresse aus dem Netz 10.0.0.0/24 oder?
Ja, wie ich es bereits oben geschrieben habe.

Wie erreichen die Drucker diese Adresse
Gateway 2 erreicht es, indem es die Anfragen zu Gateway 1 schickt. Gateway 1 benötigt eine zusätzliche 10.0.0.0/24 IP Adresse auf einen der vorhandenen Netzwerkkarten (die mit dem Drucker verbunden ist), oder eine neue Netzwerkkarte (die mit dem Drucker verbunden ist).
joe2017
joe2017 19.02.2021 um 10:35:36 Uhr
Goto Top
Deshalb meine Frage.

ich habe selbstverständlich für jede IP Adresse ein eigenes Interface.
Ich habe mir auch fast gedacht das ich hierfür unterschiedliche VLANS im Switch aufbauen muss.

Aber würde das auch in einem VLAN funktionieren?
NordicMike
NordicMike 19.02.2021 um 10:36:40 Uhr
Goto Top
Du kannst aber auch die IP des Druckers im alten Netzwerk lassen und der Gateway 1 Firewall einstellen, dass nur diese IP Adresse durchgelassen wird.
joe2017
joe2017 19.02.2021 aktualisiert um 10:38:43 Uhr
Goto Top
Ja das mit der Firewall ist natürlich auch klar. Das hätte ich so oder so eingestellt.
Aber ich wollte die IP Adressen aus meinem Netz nicht bekannt geben. Daher das extra Netz für meine Drucker.
aqui
aqui 19.02.2021 aktualisiert um 10:41:43 Uhr
Goto Top
Die Beschreibung ist für ein finales Verstandnis der IP Adressierung etwas wirr. Es hört sich irgendwie nach einer Router_Kaskade an wo der 2te kaskadierte Router die VPN Verbindung bedient.
Das ist aber auch erstmal nur im freien Fall geraten weil das etwas undurchsichtig ist.
Hilfreich wäre eine kleine Skizze für ein besseres Verständnis und eine zielgerichtete Lösung.
Es fehlt außerdem auch noch das verwendete VPN Protokoll.
Ohne das zu kennen und dessen Routing Option ist eine Antwort eh unmöglich.
NordicMike
Lösung NordicMike 19.02.2021 um 10:43:30 Uhr
Goto Top
Entweder per separaten VLAN oder separater IP auf einen der Netzwerkkarten des Gateways 1, alles oben bereits beschrieben. Du kannst aber auch ein NAT bauen. Dann behält der Drucker seine alte IP und für das Remotenetzwerk wird auf Gateway1 eine neue IP nur für den Drucker eingerichtet. z.B. 10.0.0.7 wird vom NAT zur Verfügung gestellt und routet den Port weiter auf die 192.168.1.x des Druckers.
joe2017
joe2017 19.02.2021 aktualisiert um 10:57:56 Uhr
Goto Top
Wenn ich das jetzt richtig verstanden habe, könnte alles bleiben wie es ist und nur mittels NAT gelöst werden.

Client/Server/Printer sind alle in einem Switch angeschlossen
Netz: 192.168.1.0/24
Der Gateway Server hat folgende interne IP Adressen:
192.168.1.1 (Verbindung zu internem Switch)
172.16.0.2 (Verbindug zu zweitem Gateway)


Meinen zweiten Gateway verwende ich für Applicationen welche über das Internet (VPN) kommunizieren.
Netz: 172.16.0.0/16
Dieser Gateway Server hat folgende interne IP Adressen:
172.16.0.1 (Verbindug zu erstem Gateway)

Auf dem entfernten PC welcher über VPN mit dem zweiten Gateway kommuniziert wird ein Drucker mit Bsp. 10.1.0.100 installiert.
Dieser wird mittels NAT auf Bsp. die richtige IP Adresse 192.168.1.100 weitergeleitet.

Bzw. könnte ich die Drucker in dem Netz 172.16.0.0/16 belassen.
Auf dem entfernten PC welcher über VPN mit dem zweiten Gateway kommuniziert wird ein Drucker mit Bsp. 172.16.0.100 installiert.
Dieser wird mittels NAT auf Bsp. die richtige IP Adresse 192.168.1.100 weitergeleitet.
aqui
aqui 19.02.2021 aktualisiert um 12:15:29 Uhr
Goto Top
Wie ist es möglich das ein remoter VPN PC eine 10.1.0.100er IP hat wenn du selber schreibst dein VPN arbeitet mit einer 172.16.0.0/16er Adressierung. Ein VPN Client muss ja dann eine 172.16er IP haben und niemals eine 10er IP.
Da stimmt ja dann irgendwas nicht ?!
joe2017
joe2017 19.02.2021 aktualisiert um 12:37:46 Uhr
Goto Top
Deswegen habe ich das korrigiert. Ich wollte ursprünglich meine Drucker in ein drittes Netz (10.1.0.0/8) packen.
Das ist ja nicht mehr notwendig. Wenn das mit nat funktioniert kann ich die Drucker direkt in das 172.16.0.0/16 installieren.

Somit hat mein 1. Gateway die Adressen:
192.168.1.1 (Verbindung zu internem Switch)
172.16.0.2 (Verbindug zu zweitem Gateway)

Mein 2. Gateway die Adresse:
172.16.0.1 (Verbindug zu erstem Gateway)

Mein interner Drucker hinter dem 1. Gateway die Adresse:
192.168.1.100

Der installierte Drucker hinter dem 2. Gateway (VPN) hat die Adresse:
172.16.0.100 (virtuell)

172.16.0.100 wird mit nat/snat zu 192.168.1.100

Es handelt es sich im übrigen nicht nur um ein Drucker sondern um ca. 50.
aqui
aqui 19.02.2021 aktualisiert um 12:48:43 Uhr
Goto Top
Wenn das mit nat funktioniert kann ich die Drucker direkt in das 172.16.0.0/16 installieren.
Nein !
Wozu NAT wenn dein VPN Netz 172.16.x.y ist dann hat der Client ja eine IP in dem Netz und ist von überall erreichbar. Der VPN Router kennt dann doch dieses IP Netz und kann das im gesamten IP Netz sauber routen.
Die VPN Clients bekommen vom VPN Router die Routen ins .1.0er Netz automatisch bei Tunnelaubau in die Routing Tabelle injiziert und "wissen" somit das sie Traffic ins 192.168.1.0er Netz auch in den Tunnel routen müssen.
Simples Standard Verhalten bei jedem VPN...!
Kannst du auch bei aktivem Client immer selber checken mit route print (Winblows) oder netstat -r -n (unixoide OS).
Die hiesigen VPN Tutorials für die unterschiedlichen VPN Protokolle weisen auch explizit immer darauf hin !
Wozu also überflüssiges NAT ? Braucht man im eigenen internen IP Netzwerk niemals.
joe2017
joe2017 19.02.2021 aktualisiert um 12:57:27 Uhr
Goto Top
Nochmal von vorne... Vielleicht reden wir aneinander vorbei. Ich habe auch noch einen Denkfehler gemacht.
Mir geht es aktuell rein um den Drucker.

Ich habe einen Drucker im 192.168.1.0/24 Netz installiert.
Drucker IP: 192.168.1.100

Ich habe den externen PC mit einem Netz (private) welches ich nicht kenne!
Dieser steht hinter meinem Gateway (172.16.0.1).
Dieser soll auf dem Drucker (192.168.1.100) ausdrucken können.
Dieser muss lokal auf dem externen PC installiert werden.
Der externe PC soll aber nichts von der IP Adresse (192.168.1.100) wissen.
Somit installiere ich am externen PC einen Drucker mit der IP 172.16.0.100.
Wenn der Drucker (172.16.0.100) vom externen PC angesprochen wird soll dieser auf dem Drucker (192.168.1.100) ausdrucken.

Hierfür war der NAT Vorschlag.
Jedoch habe ich ca. 50 Drucker welche auf dem externen PC installiert werden.

Mein Fehler.
aqui
aqui 19.02.2021 um 13:22:16 Uhr
Goto Top
Ich habe auch noch einen Denkfehler gemacht.
Deshalb ja die Bitte um eine Skizze deines Netzwerk Designs damit wir alle genau wissen worum es geht !
Ich habe den externen PC mit einem Netz (private) welches ich nicht kenne! Dieser steht hinter meinem Gateway (172.16.0.1).
Du meinst irgendwo im Internet, richtig ?
Ode rist damit gemein er ist im lokalen LAN "hinter" deinem Gateway. Aber dann wäre seine IP ja bekannt. Verwirrend...
Dieser soll auf dem Drucker (192.168.1.100) ausdrucken können.
Der remote VPN Client also der "irgendwo" im Internet steht oder besser gesagt in einem anderen IP Netz mit Anbindung ins Internet soll auf diesem Drucker in deinem lokalen LAN drucken, richtig ?
Dieser muss lokal auf dem externen PC installiert werden.
Was ?? der Druckertreiber der dann drucken soll ??
Der externe PC soll aber nichts von der IP Adresse (192.168.1.100) wissen.
Das ist technisch unmöglich wenn dieser "externe" PC sich mit einem VPN Client bei dir einwählt. Er bekommt dann immer durch den VPN Client vom VPN Router (also deinem VPN Router) automatisch eine Route ins 192.168.1.0er Netz injiziert. Logich, denn sonst könnte er ja niemals den Drucker IP technisch erreichen über den VPN Tunnel.
Dieser Routing Tabellen eintrag ist aber immer nur solange gültig wie der VPN Tunnel steht und wird dann automatisch wieder entfernt. Sprich nur mit aktivem VPN Tunnel hat man diesen Routing Tabellen Eintrag im Client wovon der Client User aber selber nichts mitbekommt. Er "sieht" diesen automatischen Eintrag nicht.
Somit installiere ich am externen PC einen Drucker mit der IP 172.16.0.100.
Das ist auch leider wieder missverständlich.....
Du meinst du installierst dort statisch einen Drucker der unter der Ziel IP 172.16.0.100 zu erreichen ist oder wie ist das zu verstehen ?
Das kann man machen ist aber unsinnig, denn dein VPN Netz und das lokale netz ist am Client ja so oder so immer durch den Automatismus oben bekannt.
NAT ist also generell überflüssig.
Man kann es aber machen wenn man sich das Leben schwermachen will. Du musst dann nur dafür sorgen das auch das 172.16er Netz in den Tunnel geroutet wird was problemlos möglich ist.
Der VPN Router muss dann aber gesagt bekommen das der 172.16er Ziel IP Traffic aus dem VPN IP mit einem 1:1 NAT oder PAT auf eine 192.168.1.0er IP umgesetzt wird.
Das geht natürlich auch ist aber eigentlich komplett überflüssig und verkompliziert dein VPN Setup. Machbar ist es aber natürlich.
Die ToDos hängen sehr stark vom verwendeten VPN Protokoll ab was du uns ja leider noch nicht in der Lage warst zu nennen...
joe2017
joe2017 19.02.2021 um 14:46:47 Uhr
Goto Top
Ich schau das ich am Wochenende noch mal etwas mehr schreibe.
Ich bin gerade zeitlich etwas eingespannt und muss noch mal mit einem klaren Kopf an die Sache ran.

Das nat war auch nicht meine Idee sondern von NordicMike.
NordicMike
NordicMike 19.02.2021 um 14:49:01 Uhr
Goto Top
Es ist eine Idee, wenn du die echte IP verschleiern möchtest.

Ich hätte den Drucker im lokalen Netzwerk gelassen und einfach ein Routing für eine IP eingerichtet, oder für den ganzen 24er Bereich und dann die restlichen IPs per Firewall dicht gemacht.

In einem großen Netzwerk sind die Drucker bei uns in einem eigenen VLAN.
joe2017
joe2017 19.02.2021 um 15:36:51 Uhr
Goto Top
Also ich habe jetzt doch eine kleine Skizze erstellt.

Es sind zwei unterschiedliche Gateway Server welche unterschiedliche Aufgaben übernehmen.

Der Gateway 2 stellt eine VPN Verbindung zu einem Router bereit. Alles was sich hinter dem Router verbirgt ist mir nicht bekannt.
Der Client hinter dem Router muss jedoch auf Druckern in meinem 192.168.1.0/24 Netz drucken können. Dieser Drucker wir mittels Treiber auf einem Windows Client als Netzwerkdrucker installiert. Die hier installierte IP XYZ muss auf dem Drucker 192.168.1.100 ausdrucken können.

Ich wollte ein VLAN vermeiden, da ich sonst dutzende Switch konfigurieren und alle Drucker neu patchen muss.
routing
aqui
aqui 20.02.2021, aktualisiert am 21.02.2021 um 11:35:29 Uhr
Goto Top
OK, das Design ist dann recht einfach und ein simpler VPN Klassiker. Leider hast du es immer noch nicht geschafft das verwendete VPN Protokoll zu benennen. face-sad
Deine ToDos sind recht simpel und schnell gemacht:
  • Statische Route in Router 1 auf das interne VPN Client IP Netz via next Hop Router 2
  • Statische Route in Router 2 auf das lokale Drucker IP LAN Netz via next Hop Router 1
  • VPN Router muss lokales Drucker LAN 192.168.1.0er Netz an die remoten VPN Clients beim Tunnelaufbau in deren Routing Tabelle injizieren (z.B. "push 192.168.1.0..." Kommando bei OpenVPN)
Hast du das alles richtig gemacht sieht das dann aus Layer 3 Routing Sicht so aus:

2drucker

Nebenbei: Die Wahl eines millionenfachen Router Allerwelts Default IP Netzes von 192.168.1.0 in einem VPN Umfeld ist nicht gerade sehr intelligent. Warum, das kannst du z.B. HIER nachlesen.
joe2017
joe2017 26.02.2021 um 16:49:34 Uhr
Goto Top
Das mit den verwendeten private Netzen ist schon klar das diese nicht sinnig sind. Das sind auch nicht meine richtigen IP Netze. Das war nur als Beispiel gedacht, damit man das einfacher auseinander halten kann.

Ich hab das ganze jetzt mit nat prerouting gelöst. Funktioniert alles bestens. Danke für den Tipp.
aqui
aqui 26.02.2021 um 16:53:20 Uhr
Goto Top
👍