Internet über zweiten Router = Problem
Problem: Ein Netzwerk ist über einen Router mit dem Internet verbunden und stellt diesem dasselbige zur verfügung. Nun befindet sich in diesem LAN ein weiterer Router, der einem weiteren Netzwerk zugriff auf das Internet gewehren soll. Und hier liegt das Problem:
Hallo,
dies hier war der ursprüngliche Zustand:
1----INTERNET
1
draytek2900G----------------------------FireboxSHO6tc------LAN2
1
1----LAN1
(ich hoffe meine kleine ASCII-Zeichnung kann man entziffern)
Beschreibung, falls Skizze nicht ausreicht:
Der Draytek-Router ist ans Internet angebunden. An ihm befinden sich zahlreiche weitere Clients und Server(LAN1) unter anderm ein weitere Router, der einem weiteren Netzwerk (LAN2) das Internet vom Draytekrouter zur verfügung stellen soll.
Das hatte auch alles proma geklappt!
Jetzt habe ich die Firebox gegen eine Sonicwall ausgetauscht und es geht nicht mehr richtig!?
Einstellungen SONICWALL:
- Firewall: alles in beiden richtungen durchlassen
- WAN IF: IP im LAN1 mit Draytek-IP als Gateway
- LNA IF: IP per DHCP an Clients (Gateway = SONICWALL)
Der Witz an der Geschichte ist folgender:
Ich kann auf das Webinterface des Drayteks zugreifen aber auf keine andere IP im LAN1. Wenn ich einen tracert oder ping auf bsp. http://www.google.de mache wird auf die richtige IP der name aufgelöst. Aber die ICMP-Pakete bekommen keine Antwort! Cry
Kann mir jemand helfen? Da ich problemlos per Port 80 auf das Webinterface des Draytek-Routers zugreifen kann aber sonst keine weitere Adresse erreiche und die DNS-Namen korrekt aufgelöst werden, weiß ich nicht mehr weiter. Vielleicht habe ich ja auch nur etwas klitzekleines irgendwo außer Acht gelassen... aber wo
Achja: Es ist keine statische Route auf der Sonicwall gesetzt!
Vielen Danks schonmal für eure Hilfe,
Gruß, Holly
Hallo,
dies hier war der ursprüngliche Zustand:
1----INTERNET
1
draytek2900G----------------------------FireboxSHO6tc------LAN2
1
1----LAN1
(ich hoffe meine kleine ASCII-Zeichnung kann man entziffern)
Beschreibung, falls Skizze nicht ausreicht:
Der Draytek-Router ist ans Internet angebunden. An ihm befinden sich zahlreiche weitere Clients und Server(LAN1) unter anderm ein weitere Router, der einem weiteren Netzwerk (LAN2) das Internet vom Draytekrouter zur verfügung stellen soll.
Das hatte auch alles proma geklappt!
Jetzt habe ich die Firebox gegen eine Sonicwall ausgetauscht und es geht nicht mehr richtig!?
Einstellungen SONICWALL:
- Firewall: alles in beiden richtungen durchlassen
- WAN IF: IP im LAN1 mit Draytek-IP als Gateway
- LNA IF: IP per DHCP an Clients (Gateway = SONICWALL)
Der Witz an der Geschichte ist folgender:
Ich kann auf das Webinterface des Drayteks zugreifen aber auf keine andere IP im LAN1. Wenn ich einen tracert oder ping auf bsp. http://www.google.de mache wird auf die richtige IP der name aufgelöst. Aber die ICMP-Pakete bekommen keine Antwort! Cry
Kann mir jemand helfen? Da ich problemlos per Port 80 auf das Webinterface des Draytek-Routers zugreifen kann aber sonst keine weitere Adresse erreiche und die DNS-Namen korrekt aufgelöst werden, weiß ich nicht mehr weiter. Vielleicht habe ich ja auch nur etwas klitzekleines irgendwo außer Acht gelassen... aber wo
Achja: Es ist keine statische Route auf der Sonicwall gesetzt!
Vielen Danks schonmal für eure Hilfe,
Gruß, Holly
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 49624
Url: https://administrator.de/contentid/49624
Ausgedruckt am: 26.11.2024 um 11:11 Uhr
1 Kommentar
Von WO aus kannst du denn auf das Web Interface des Draytek zugreifen ??? Das das aus dem LAN 1 funktioniert ist ja sonnenklar ! Deine Angaben dazu sind etwas dürftig....
Eine statische Route (wenn es nicht eine statische default Route ist ?!) musst du auf der Sonicwall auch nicht setzen, sondern nur ein default Gateway, das braucht sie ohne Zweifel !
Wir gehen in den weiteren Ausführungem mal davon aus das du auf der Sonicwall KEIN NAT oder PAT ins LAN 1 machst, also das LAN 2 auch mit seinen IP Adressen so am Router auftaucht...
In LAN 1 und LAN 2 hast du ja 2 unterschiedliche IP Netze. Als Beispiel nehmen wir mal an ist LAN-1: 172.16.1.0/24 und LAN-2: 172.16.2.0/24. und die Sonicwall hat jeweils die .254 in jedem Segment und der Draytek die .1.253.
Dann haben alle Clients im LAN-2 als default Gateway die .2.254 (Sonic) und als DNS Server die .1.243 (Der Virgor ist DNS Proxy !). Ob sie das jetzt statisch oder per DHCP bekommen ist kosmetisch !
Die Sonicwall selber hat ein default Gateway oder default Route auf die .1.253 (Vigor). DNS Server Konfig in der Sonicwall sollte auch auf die .1.253 konfiguriert sein. Ist aber fürs forwarding nicht so wild.
Alle Clients im LAN-1 haben als default Gateway die .1.253 (Vigor) und auch diese IP Adresse als DNS Server. Ob statisch oder per DHCP ist wieder unerheblich.
Der Einzige der jetzt noch fehlt ist der Vigor, denn der kennt dein Netz LAN-2 hinter der Sonicwall ja nicht. Woher auch ?!!
Das muss man ihm jetzt mit einer statischen Route bekannt machen und zwar ala:
Zielnetz: 172.16.2.0, Maske: 255.255.255.0, Gateway: 172.16.1.254 (Sonic)
Dies ist essentiell wichtig, denn sonst könnte der Vigor keine Packete in das LAN-2 routen und würde sie verwerfen oder mangels Routeeintrag versuchen ins Internet zu routen wo sie dann spätestens am Carrier Router verworfen werden da RFC 1918 Adressen !
Damit ist dann das Routing konsitent und sollte problemlos funktionieren. Alles was jetzt nicht geht sind Accesslisten die Packete blocken auf der Sonicwall oder den internen Firewalls der Rechner selber (sofern sie welche haben...)
Machst du NAT oder PAT von LAN-2 ins LAN-1 über die Sonicwall, dann musst du diese zusätzliche Route im Vigor auf das .2.0er Netz natürlich nicht eingeben, denn dies LAN-2 Netz würde dann über LAN-1 Adressen genattet.
Sehr wohl braucht die Sonicwall aber in jedem Falle eine default Gateway oder def. Route auf den Vigor !
Eine statische Route (wenn es nicht eine statische default Route ist ?!) musst du auf der Sonicwall auch nicht setzen, sondern nur ein default Gateway, das braucht sie ohne Zweifel !
Wir gehen in den weiteren Ausführungem mal davon aus das du auf der Sonicwall KEIN NAT oder PAT ins LAN 1 machst, also das LAN 2 auch mit seinen IP Adressen so am Router auftaucht...
In LAN 1 und LAN 2 hast du ja 2 unterschiedliche IP Netze. Als Beispiel nehmen wir mal an ist LAN-1: 172.16.1.0/24 und LAN-2: 172.16.2.0/24. und die Sonicwall hat jeweils die .254 in jedem Segment und der Draytek die .1.253.
Dann haben alle Clients im LAN-2 als default Gateway die .2.254 (Sonic) und als DNS Server die .1.243 (Der Virgor ist DNS Proxy !). Ob sie das jetzt statisch oder per DHCP bekommen ist kosmetisch !
Die Sonicwall selber hat ein default Gateway oder default Route auf die .1.253 (Vigor). DNS Server Konfig in der Sonicwall sollte auch auf die .1.253 konfiguriert sein. Ist aber fürs forwarding nicht so wild.
Alle Clients im LAN-1 haben als default Gateway die .1.253 (Vigor) und auch diese IP Adresse als DNS Server. Ob statisch oder per DHCP ist wieder unerheblich.
Der Einzige der jetzt noch fehlt ist der Vigor, denn der kennt dein Netz LAN-2 hinter der Sonicwall ja nicht. Woher auch ?!!
Das muss man ihm jetzt mit einer statischen Route bekannt machen und zwar ala:
Zielnetz: 172.16.2.0, Maske: 255.255.255.0, Gateway: 172.16.1.254 (Sonic)
Dies ist essentiell wichtig, denn sonst könnte der Vigor keine Packete in das LAN-2 routen und würde sie verwerfen oder mangels Routeeintrag versuchen ins Internet zu routen wo sie dann spätestens am Carrier Router verworfen werden da RFC 1918 Adressen !
Damit ist dann das Routing konsitent und sollte problemlos funktionieren. Alles was jetzt nicht geht sind Accesslisten die Packete blocken auf der Sonicwall oder den internen Firewalls der Rechner selber (sofern sie welche haben...)
Machst du NAT oder PAT von LAN-2 ins LAN-1 über die Sonicwall, dann musst du diese zusätzliche Route im Vigor auf das .2.0er Netz natürlich nicht eingeben, denn dies LAN-2 Netz würde dann über LAN-1 Adressen genattet.
Sehr wohl braucht die Sonicwall aber in jedem Falle eine default Gateway oder def. Route auf den Vigor !