4
Gateway-Problem 2 Netzwerke verbinden
Hallo zusammen - ich habe ein Problem mit 2 Netzwerken - vielleicht könnt ihr mir helfen!
In unserer Firma gibt es 2 Netzwerke:
172.16.3.x und 172.16.2.x
Jedes Netz hat nen eigenen Domänen-Server (W2003)
172.16.3.11 und 172.16.2.11
172.16.3.4 ist der Internet-Router
dieser kann nicht konfiguriert werden (vorkonfiguriert und Eigentum vom Provider)
und kennt nur das 172.16.3er Netz (wahrscheinlich Subnetzmaske 255.255.255.0)
als Gateway um vom 2er Netz ins 3er Netz + Internet zu kommen, wird der
Domänen-Server (W2003) aus dem 2er Netz verwendet (2 Netzwerkkarten im PC im jeweiligen Netz
172.16.2.11 und 172.16.3.22)
Dieser ist nur leider total unzuverlässig und es gibt ab und zu Probleme mit der Verbindung.
(Ping vom 2er ins 3er Netz funktioniert, aber der Rückweg klappt nicht)
Ich würde diesen Gateway-PC lieber durch ne andere zuverlässige Hardware ersetzen
Was muss man da nehmen und wie müssen die PCs dann konfiguriert werden?
Hab zu Hause noch ne alte Fritz-Box 3xxxx rumliegen, aber der kann ich ja nur eine IP-Adresse geben
und die hat auch nur einen WAN und einen LAN Port. Kann man die vielleicht irgendwie verwenden?
Da ich mich mit dem Routing nur sehr oberflächlich auskenne, hoffe ich auf eure Hilfe
In unserer Firma gibt es 2 Netzwerke:
172.16.3.x und 172.16.2.x
Jedes Netz hat nen eigenen Domänen-Server (W2003)
172.16.3.11 und 172.16.2.11
172.16.3.4 ist der Internet-Router
dieser kann nicht konfiguriert werden (vorkonfiguriert und Eigentum vom Provider)
und kennt nur das 172.16.3er Netz (wahrscheinlich Subnetzmaske 255.255.255.0)
als Gateway um vom 2er Netz ins 3er Netz + Internet zu kommen, wird der
Domänen-Server (W2003) aus dem 2er Netz verwendet (2 Netzwerkkarten im PC im jeweiligen Netz
172.16.2.11 und 172.16.3.22)
Dieser ist nur leider total unzuverlässig und es gibt ab und zu Probleme mit der Verbindung.
(Ping vom 2er ins 3er Netz funktioniert, aber der Rückweg klappt nicht)
Ich würde diesen Gateway-PC lieber durch ne andere zuverlässige Hardware ersetzen
Was muss man da nehmen und wie müssen die PCs dann konfiguriert werden?
Hab zu Hause noch ne alte Fritz-Box 3xxxx rumliegen, aber der kann ich ja nur eine IP-Adresse geben
und die hat auch nur einen WAN und einen LAN Port. Kann man die vielleicht irgendwie verwenden?
Da ich mich mit dem Routing nur sehr oberflächlich auskenne, hoffe ich auf eure Hilfe
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 132763
Url: https://administrator.de/contentid/132763
Ausgedruckt am: 23.11.2024 um 21:11 Uhr
4 Kommentare
Neuester Kommentar
Dieses Tutorial beantwortet alle Fragen zu deinem Szenario. Da du kein Routing auf dem Internet Router konfigurieren kannst kann der Gateway Rechner nur NAT machen um das 172.16.2.0er Netzwerk erreichbar zu machen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
In der Tat ist ein unabhängiger Router da besser.
Die Fritzbox kannst du nehmen wenn die kein integriertes Modem hat. Alle DSL Router ohne integriertes Modem würde gehen. Da du zum Internet zwangsweise NAT machen muss mit dem 172.16.2.0er Netzwerk ist die Abschaltbarkeit der NAT Firewall daher kein Thema.
Allerdings ist damit dann kein transparentes Routing möglich...das ist klar.
Router die NAT abschaltbar haben ist z.B. Limnksys WRT54 mit dd-wrt Firmware oder die kostenfreien Firewall Router Monowall und Pfsense die man auch auf Minimainbords installiert bekommt:
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html
oder eben auf einem alten ausrangierten PC. Wenn du dem einen IDE CF Flash Adapter als Festplatte verpasst:
http://www.reichelt.de/?;ACTION=3;LA=2;GROUP=M79;GROUPID=3784;ARTICLE=5 ...
oder eben mit einem USB Stick hast du dort keine beweglichen Teile mehr für den Dauerbetrieb.
Weitere Hinweise zu so einer Installation gibt dir auch dieses Tutorial:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
In der Tat ist ein unabhängiger Router da besser.
Die Fritzbox kannst du nehmen wenn die kein integriertes Modem hat. Alle DSL Router ohne integriertes Modem würde gehen. Da du zum Internet zwangsweise NAT machen muss mit dem 172.16.2.0er Netzwerk ist die Abschaltbarkeit der NAT Firewall daher kein Thema.
Allerdings ist damit dann kein transparentes Routing möglich...das ist klar.
Router die NAT abschaltbar haben ist z.B. Limnksys WRT54 mit dd-wrt Firmware oder die kostenfreien Firewall Router Monowall und Pfsense die man auch auf Minimainbords installiert bekommt:
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html
oder eben auf einem alten ausrangierten PC. Wenn du dem einen IDE CF Flash Adapter als Festplatte verpasst:
http://www.reichelt.de/?;ACTION=3;LA=2;GROUP=M79;GROUPID=3784;ARTICLE=5 ...
oder eben mit einem USB Stick hast du dort keine beweglichen Teile mehr für den Dauerbetrieb.
Weitere Hinweise zu so einer Installation gibt dir auch dieses Tutorial:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Danke für die schnelle Antwort.
Das mit dem LinkSys Router hört sich schon mal sehr interessant an.
Was genau meinst du mit "kein transparentes Routing möglich"?
Was ich noch nicht erwähnt habe:
Der "Internet-Router" 172.16.3.4 bietet nicht nur Internet sondern auch eine Anbindung an das Firmennetzwerk z.B. 172.18.0.x
Nach außen haben alle Firmen nur eine gemeinsame öffentliche IP-Adresse
Funktioniert der Zugriff vom Netz 172.16.2.x (mit der von dir vorgeschlagenen Routerlösung)
auch auf 172.16.3.x
und Internet
und alle anderen Firmennetzwerke z.B. 172.18.0.x ?
Das ist wichtig, da wir aus dem 172.16.2.x Netzwerk die Fernwartung für alle anderen PCs in der Firmengruppe machen.
Das mit dem LinkSys Router hört sich schon mal sehr interessant an.
Was genau meinst du mit "kein transparentes Routing möglich"?
Was ich noch nicht erwähnt habe:
Der "Internet-Router" 172.16.3.4 bietet nicht nur Internet sondern auch eine Anbindung an das Firmennetzwerk z.B. 172.18.0.x
Nach außen haben alle Firmen nur eine gemeinsame öffentliche IP-Adresse
Funktioniert der Zugriff vom Netz 172.16.2.x (mit der von dir vorgeschlagenen Routerlösung)
auch auf 172.16.3.x
und Internet
und alle anderen Firmennetzwerke z.B. 172.18.0.x ?
Das ist wichtig, da wir aus dem 172.16.2.x Netzwerk die Fernwartung für alle anderen PCs in der Firmengruppe machen.
Lies dir das Tutorial oben durch speziell den Abschnitt zu NAT/ICS dann verstehst du es !!!
Normale DSL Router machen immer NAT vom LAN zum WAN.
Wenn du nun den WAN Port in dein 172.16.3.0 /24er Netz bringst dann setzt ein NAT Router der auf der anderen Seite 172.16.2.0 /24 hat dieses gesamte Netz auf eine 172.16.3.0er IP Adresse um nämlich die die der Router am WAN Port hat.
Diese NAT Firewall lässt aber nur Traffic von .3.0 nach .2.0 durch bei einer bestehenden NAT Session.
Willst du so eine Verbindung von .3.0 nach .2.0 aufbauen geht das nicht, da die NAT Firewall das blockt. Das Routing ist also gewissermaßen eine Einbahnstrasse und nicht transparent also von beiden Seiten gleichermassen.... Das war damit gemeint !!
Wenn du transparent routen willst musst du dem Internet Router eine statische Route mitteilen ala:
ip route 172.16.2.0 255.255.255.0 <ip_adresse_koppelrouter>
Ohne die geht es nicht.
Da du das aber nicht kannst durch den fehlenden Admin Zugriff auf den Internet Router, musst du zwangsweise NAT machen und dein 172.16.2.0er Netz hinter einem NAT verstecken so das der Router (Internet) denkt das kommt alles aus dem 172.16.3.0er Netz. Dafür hat er hat er ja alle Routen in die restlichen Firmennetze.
Um NAT kommst du also nicht drumrum !
Du kannst dann immer vom 172.16.2.0er Netz überallhin aber nicht von überall ins 172.16.2.0er Netz !
Eine andere Chance hast du nicht es sei denn du verlegst dein default Gateway im 172.16.3.0er Netz auf einen anderen Router wie einen L3 Switch o.ä. !
Das ist sowieso mehr als sinnvoll, denn kein normaler und verantwortungsvoller Admin eines Netzes legt das default Gateway auf ein unbekanntes System was er nicht selbst administrieren kann !!
Denn fällt das aus fällt auch das lokale Netz aus... sowas macht nur einer der nix von IP Design versteht !
Normale DSL Router machen immer NAT vom LAN zum WAN.
Wenn du nun den WAN Port in dein 172.16.3.0 /24er Netz bringst dann setzt ein NAT Router der auf der anderen Seite 172.16.2.0 /24 hat dieses gesamte Netz auf eine 172.16.3.0er IP Adresse um nämlich die die der Router am WAN Port hat.
Diese NAT Firewall lässt aber nur Traffic von .3.0 nach .2.0 durch bei einer bestehenden NAT Session.
Willst du so eine Verbindung von .3.0 nach .2.0 aufbauen geht das nicht, da die NAT Firewall das blockt. Das Routing ist also gewissermaßen eine Einbahnstrasse und nicht transparent also von beiden Seiten gleichermassen.... Das war damit gemeint !!
Wenn du transparent routen willst musst du dem Internet Router eine statische Route mitteilen ala:
ip route 172.16.2.0 255.255.255.0 <ip_adresse_koppelrouter>
Ohne die geht es nicht.
Da du das aber nicht kannst durch den fehlenden Admin Zugriff auf den Internet Router, musst du zwangsweise NAT machen und dein 172.16.2.0er Netz hinter einem NAT verstecken so das der Router (Internet) denkt das kommt alles aus dem 172.16.3.0er Netz. Dafür hat er hat er ja alle Routen in die restlichen Firmennetze.
Um NAT kommst du also nicht drumrum !
Du kannst dann immer vom 172.16.2.0er Netz überallhin aber nicht von überall ins 172.16.2.0er Netz !
Eine andere Chance hast du nicht es sei denn du verlegst dein default Gateway im 172.16.3.0er Netz auf einen anderen Router wie einen L3 Switch o.ä. !
Das ist sowieso mehr als sinnvoll, denn kein normaler und verantwortungsvoller Admin eines Netzes legt das default Gateway auf ein unbekanntes System was er nicht selbst administrieren kann !!
Denn fällt das aus fällt auch das lokale Netz aus... sowas macht nur einer der nix von IP Design versteht !
Vielen Dank für deine Hilfe!
Das Routing klappt nur endlich, wie ich mir das vorgestellt habe.
Wir haben uns für folgende Lösung entschieden:
Linksys Router WRT54GL mit transparentem Routing (kein NAT)
ging alles mit der Standardfirmware von Linksys (sehr einfach zu konfigurieren)
LAN-seitig IP-Adresse im 172.16.2.0/24 Netz Mask 255.255.255.0
WAN-seitig IP-Adresse im 172.16.3.0/24 Netz Mask 255.255.255.0 Gateway: IP-Adresse des Internet-Routers
Im Reiter "Erweitertes Routing" muss die Routerfunktion von "Gateway" auf "Router" umgestellt werden.
Unser Internet-/Firmennetz-Provider hat in seine Router die entsprechenden statischen Routen eingetragen
Nur über die Sicherheit müssen wir uns jetzt noch Gedanken machen, da unser Firmennetz jetzt nicht mehr über NAT "geschützt" ist.
(jeder kann überall hin)
Und so nebenbei hab bei diesem ganzen Prozedere einiges übers Routen erfahren
Das Routing klappt nur endlich, wie ich mir das vorgestellt habe.
Wir haben uns für folgende Lösung entschieden:
Linksys Router WRT54GL mit transparentem Routing (kein NAT)
ging alles mit der Standardfirmware von Linksys (sehr einfach zu konfigurieren)
LAN-seitig IP-Adresse im 172.16.2.0/24 Netz Mask 255.255.255.0
WAN-seitig IP-Adresse im 172.16.3.0/24 Netz Mask 255.255.255.0 Gateway: IP-Adresse des Internet-Routers
Im Reiter "Erweitertes Routing" muss die Routerfunktion von "Gateway" auf "Router" umgestellt werden.
Unser Internet-/Firmennetz-Provider hat in seine Router die entsprechenden statischen Routen eingetragen
Nur über die Sicherheit müssen wir uns jetzt noch Gedanken machen, da unser Firmennetz jetzt nicht mehr über NAT "geschützt" ist.
(jeder kann überall hin)
Und so nebenbei hab bei diesem ganzen Prozedere einiges übers Routen erfahren
