johannes-meyer
Goto Top

Ip-Forwarding zur Netzwerkkopplung

Guten Tag,

ich steh vor folgender Herausforderung:
Ich soll mehrere TCP/IP- Netze in einer automatisierten Produktionsstraße an ein Fernwartungssystem anschließen. Es gibt mehrere kleine Netze (Maschinennetze), über die die Steuerungsrechner miteinader kommunizieren. Es gibt ein übergeordnetes "EDV-Netzwerk". Ein Fernwartungsserver steht im übergeordneten EDV-Netzwerk. Er soll mit alle Steuerungsrechnern kommunizieren können. Ich würde jedem Steuerungsrechner eine statische IP im EDV-Netz zuordnen. Ein Router soll nun die an diese IP-Adresse adressierten Pakete an die richtige IP-Adresse im jeweiligen Maschinennetz weiterleiten. Dabei werden nur die Pakete, die vom Fernwartungsserver kommen weitergeleitet. Desweiteren ist die Kommunikation auf bestimmte Ports beschränkt.
Kurz:
Ich suche eine Möglichkeit ein Paket, das im einen Netz an eine IP adressiert ist im anderen Netz an eine andere weiterzuleiten.

Von den Router aus dem privaten Bereich kenn ich das Port-Forwarding, aber das reicht ja hier nicht.
Gibt es Hardwarerouter, die das können?
Der Softwarerouter fil4l auf einem PC mit zwei Netzwerkkarten müsste eine weitere Möglichkeit sein, oder?
Gibt es solche Routingdienste für Windows?
Oder ist mein Ansatz umständlich?

Danke schon mal für alle Beiträge.

Content-ID: 104268

Url: https://administrator.de/contentid/104268

Ausgedruckt am: 16.11.2024 um 01:11 Uhr

aqui
aqui 17.12.2008 um 11:38:19 Uhr
Goto Top
Nein, eigentlich ist das sehr einfach zu lösen...
Normalerweise benötigst du das Port Forwarding gar nicht wenn der Fernwartungsrechner im EDV Netz einen gerouteten Zugang in die Maschinennetze hat.

Deine Beschreibung ist leider etwas oberflächlich, denn es bleibt vollkommen unklar ob derzeit ein Routing Zugang vom EDV Netz in die Maschinennetze besteht oder nicht bzw. ob das noch eingerichtet werden muss ??
Weitere Frage: Wieviel Maschinennetze gibt es denn ??? Grund der Frage: ob ein Router mit mehren PC Netzwerkkarten noch Sinn macht ober ob du besser einen Layer 3 IP Switch dafür einsetzt ??
johannes-meyer
johannes-meyer 17.12.2008 um 12:51:02 Uhr
Goto Top
Danke für die Antwort.

Ergänzung:
Die Maschinennetze arbeiten zur Zeit vollkommen unabhängig voneinander. Sie sind weder durch Router noch sonst irgendetwas verbunden. Es soll ein Routing-Zugang aus dem EDV-Netz auf die Maschinennetze eingerichtet werden. Die Maschinennetze sind örtlich so voneinader getrennt, dass ich pro Maschinennetz jeweils einen Router/ PC mit zwei Netzwerkkarten benötige.
Ich hab z.B. fünf Maschinennetze, die alle den IP-Bereich 192.168.1.0 (Subnetzmaske: 255.255.255.0) haben. In einem Maschinennetz ist der Anlagenserver. Dieser hat eine zweite Netzwerkkarte, die ans EDV-Netz angeschlossen ist. Über dieses kommuniziert er ins Internet. Ich möchte über dieses EDV-Netz in alle anderen Maschinennetze routen, denn einen Zugang zu diesem ist überall realisierbar.

Ich hoff, ich bin jetzt etwas verständlicher.

Gruß Johannes
datasearch
datasearch 17.12.2008 um 14:05:12 Uhr
Goto Top
Hallo Johannes,

du hast also 5 kleine Physisch getrennte Netzwerke die alle das IP-Netzwerk 192.168.1.0/24 verwenden.

Erste Frage, überschneiden sich die IP-Adressen in den einzelnen Segmenten oder sind diese zb. fortlaufend?

Du möchtest nun einen oder mehrere Router einsetzen, um die Maschinen fern zu warten.

Wenn die Adressen der einzelnen Maschinen sich überschneiden, musst du ein weiteres Subnetz als Transport einrichten und an jedem der LAN´s einen Router mit DNAT einrichten. Die Maschienen der einzelnen Segmente erreichst du dann unter der IP des Routers im transportnetz und dem definiertem Port. Der Router leitet in diesem Fall weiter.

Sollten sich die IP-Adressen nicht überschneiden, reicht ein Router mit einem Interface das über einen Switch an die Maschinennetze angebunden ist. Der Router arbeitet dann als Bridge zwischen den Segmenten und sollte jede Maschiene direkt erreichen. Vom Verwaltungsnetz lassen sich alle Maschienen dann direkt ansprechen.

Zweite Frage, kannst du die Netzwerke der Machinennetze ändern?
Am einfachsten währe es, jedem Maschienennetz ein eigenes Subnetz im Bereich 192.168.1.0/24 zu geben. 5 Netze, da bietet sich pro Segment ein /27er bereich an. Diese können an einem Router an jeweils einem Interface verbunden werden und das sechste Segment zum Transport verwendet werden.

Such dir etwas aus face-smile
johannes-meyer
johannes-meyer 17.12.2008 um 16:57:19 Uhr
Goto Top
Hallo datasearch,

Die IP-Adressen überschneiden sich. Ein eigenes Subnetz bzw. fortlaufende IP-Adressen bedeuten, dass ich die Netzwerkteilnehmer umkonfigurieren muss. Da diese von verschiedenen Maschinenbauern kommen, die Konfiguration der Teilnehmer (Automatisierungsgeräte) sehr umständlich ist und die Situation keinen Einzelfall darstellt, ist das keine Lösung.

Das mit dem DNAT geht in die Richtung, aber ein DNAT-Router würde bedeuten, das jede Komponente im Transportnetz (ich hab es bisher EDV-Netz genannt) eine statische IP bekommt, über die sie angesprochen wird. Das ist auch schwierig zu realisieren, weil ich keinen Einfluss auf dieses Netz hab. Ich kann ein paar statische Adressen organisieren, aber nicht hunderte (alle Teilnehmer aus den Maschinennetzen zusammengezählt).

Ich bringe mal eine neue Variante ins Spiel:
VPN. Ich installiere auf dem Fernwartungsserver einen VPN-Server und in den einzelnen Maschinennetzen stelle ich jeweils einen PC auf, der sowohl auf das Maschinennetz, als auch auf das Transportnetz zugriff hat. Auf diesen PCs wird jeweils ein VPN-Client installiert, der sich mit dem VPN-Server auf dem Fernwartungsserver verbindet.
Gibt es eine Möglichkeit Client und Server so zu konfigurieren, dass der Server über den Client in das Maschinennetz routen kann? Ich müsste dann im virtuellen Netz für jeden Teilnehmer eines Maschinennetze eine IP erstellen. Der Client wandelt dann die zu ihm gehörenden IP-Adressen des virtuellen Netzes jeweils in die entsprechenden IP-Adresse des lokalen Netzes um.
So bräuchte ich im Transportnetz nur eine statische IP-Adresse, nämlich die des Servers und die Sicherheit durch die VPN-Verschlüsselung ist auch ein Vorteil. Ich habe sowas in der Praxis noch nie realisiert. Ist das realistisch?

Mfg
Johannes
datasearch
datasearch 17.12.2008 um 17:15:18 Uhr
Goto Top
Okey, VPN ist auch eine Möglichkeit. Allerdings hast du immernoch das Routingproblem mit den gleichen IP-Netzen in den verschiedenen Segmenten. Das sich IP-Adressen wirklich auch überschneiden, also die selbe IP zb. 192.168.1.55 in allen Netzen vorhanden ist, ist ein Problem. Ich weiß aber nicht wie du das Routing an die VPN-Server hinbekommen möchtest.

Um das Transportnetz (IP-Netz!) wirst du nicht herumkommen. Sonst sind deine VPN-Server wieder nicht erreichbar. Hm, kompliziert. Einzige Chance die ich sehe, isoliertes Netz zb. 192.168.2.0/24 einrichten, in dieses Netz stellst du 5 Rechner mit je 2 Netzwerkkarten und einem VPN-Dienst. Du kannst auf jeden der VPN-Router verbinden, da diese ja im Transportnetz sauber geroutet werden können. Verbindest du dich nun mit zb. Router2 muss dieser über die VPN die Route in das Netz 192.168.1.0/24 bereitstellen. Router 3 usw. genauso.

Somit hätte man immer vollen Zugriff in das jeweilige Maschinennetz. Je nachdem auf welchem Gateway man gerade per VPN sitzt.

Anders wird es leider nicht funktionieren. Du müsstest dazu die einzelnen Segmente direkt verbinden, was aber Adresskonflikte verursachen würde. Also fällt ein einzelner VPN-Server weg. Auch über einen einzelnen mit mehreren Interfaces wird es scheitern. Das System wird nicht wissen welche der doppelt vergebenen IP´s in welchen LAN nun angesprochen werden soll. Auch wenn du in jedem Netz eine andere IP vergeben hast. Es bleibt das selbe Subnet aus sicht des Routers.

Eine Möglichkeit währe aber virtuelle Router in einem größerem Router einzurichten und gegenseitig zu isolieren. Das denke ich aber wird dein Budget sprengen da du bei der Hardware 5-stellige Preise hat.

Wenn du noch Fragen hast, immer raus damit face-smile
aqui
aqui 18.12.2008 um 18:45:06 Uhr
Goto Top
Unter den Voraussetzungen musst du dich von einem Routing gleich komplett verabschieden !!!
So viel ist schonmal sicher...

Routing kann ja nur funktionieren wenn du eindeutige IP Netzwerke hast. In deiner Konstellation mit mehreren getrennten LANs die aber mit ein und derselben IP Netzwerk Adresse arbeiten in denen es dann auch noch gleiche Hostadressen gibt ist Routing völlig unmöglich und illusorisch !

Der Kardinalsfehler ist schon vorher passiert indem vermutlich ein IP Netzunkundiger solch ein IP Adressdesign den Maschinenherstellern vorgegeben hat oder zugelassen hat...

Nichtmal mehr NAT oder auch VPN ist in so einem verkorksten IP Netzdesign mehr möglich...leider.

Einzige Chance ist nur noch wie datasearch richtig sagt eine 2 Netzkarte in einer der PCs in den Maschinennetzen und kein Routing zu aktivieren.
Das zweite Bein ist dann in einem Transfernetz und über diese IPs kann man sich dann von aussen per RDP oder was auch immer auf diese PCs anmelden und von diesen PCs dann die Komponenten in den einzelnen Maschinennetzen fernsteuern...

Andere Möglichkeiten bleiben dir bei den o.a. Voraussetzungen so nicht !!

Viel besser ist es natürlich die IP Netze anzupassen und ein sauberes Routing aufzusetzen aber das ist dir ja zu umständlich...
johannes-meyer
johannes-meyer 19.12.2008 um 11:32:14 Uhr
Goto Top
Wenn ich hinter dem VPN- Endpunkt eine DNAT-Funktionalität einfüge, z.B. durch das Programm Netfilter auf Linux, müsste es, so wie ich es im Moment überschauen kann, schon gehen. Jedes Gerät bekommt eben eine IP im virtuellen Netz, die dann jeweils in die lokale umgewandelt wird.

Ihr habt aber recht, die Konfiguration wäre viel zu Aufwendig. Vielleicht läuft es dann doch auf seperate Netzsegmente hinaus.
Dazu noch eine Frage:
Angenommen, wir haben fünf IP-Maschinen-Netze mit Subnetzmaske 255.255.0.0:
1. 172.16.0.0
2. 172.17.0.0
3. 172.18.0.0
4. 172.19.0.0
5. 172.20.0.0

Jetz möchte ich diese Netze Koppeln. Von der Theorie her betrachtet, brauche ich dazu einen Router mit mindestens fünf konfigurierbaren Ports.
Die Produkte, dich unter dem Begriff Router finde, sind aber alle für Internetanbindung gedacht und haben nur zwei konfigurierbare Ports.
Also hab ich unter Layer-3-Switch gesucht. Dort find ich aber nur welche, die mit 16 und mehr Ports und einer wahrscheinlich sehr komplizierten Bedienung, etwas überdimensioniert sind. Gibt es da auch was dazwischen, vielleicht sogar mit Plug and Play Funktionalität, so dass grundsätzlich die Kommunikation in alle Richtungen möglich ist und nach Bedarf eingeschränkt werden kann?

VLAN wäre ja auch eine Möglichkeit oder? Alle Maschienennetze erhalten untagged Zugänge. Der Anlagenserver erhält einen tagged Zugang womit er als einziger in alle Netze kommunizieren kann. Dann bleibt nur die Ungewissheit mit der VLAN-Unterstützung der Netzwerkkarte im Anlagenserver, denn das Betriebssystem dort ist Win XP Pro.
aqui
aqui 19.12.2008 um 11:57:52 Uhr
Goto Top
Mit einem VLAN Switch bist du auf dem richtigen Weg !
Bei soviel Ports macht es keinen Sinn ein Gerät zu nehmen was 5, 6 oder mehr Ports hat.

Was du oben schreibst das das sehr kompliziert ist ist aber Unsinn.
Hier hast du mal ein Beispiel wie so eine Konfig für einen HP Layer 3 Switch aussieht. Deine IP Adressierung mal etwas angepasst:
1. 172.16.1.0 /24 (255.255.255.0)
2. 172.16.2.0
3. 172.16.3.0
4. 172.16.4.0
5. 172.16.5.0

Hier die Switchkonfig:

vlan 1
name "Maschine-1"
untagged 1-3
ip address 172.16.1.254 255.255.255.0
exit
vlan 2
name "Maschine-2"
untagged 4-6
ip address 172.16.2.254 255.255.255.0
exit
vlan 4
name "Maschine-3"
untagged 7-9
ip address 172.16.3.254 255.255.255.0
exit
vlan 4
name "Maschine-4"
untagged 10-12
ip address 172.16.4.254 255.255.255.0
exit
vlan 5
name "Maschine-5"
untagged 13-15
ip address 172.16.4.254 255.255.255.0
exit


Was bitte ist an so einer banalen Konfig kompliziert ??
Scheinbar ist dein Verständnis von VLANs und IP Routing da etwas lückenhaft.
Alle Geräte haben so in ihren VLANs die .254 als Gateway und so ist eine uneingeschränkte Kommunikation möglich.

Mit einem einfachen VLAN Switch ohne Layer 3 (Routing) Funktion ist aber auch ein Sparversion möglich mit einem PC der einen VLAN fähige Netzwerkkarte hat.

Wie das geht kannst du hier sehen:


Auch diese Lösung funktionier problemlos bei dir hat aber den Nachteil das zum Routing immer ein PC laufen muss. Wenn eh immer einer angeschaltet ist ist das kein Thema und letztere Lösung ist preiswerter.

Technisch ist immer die eines L3 Switches am besten...
datasearch
datasearch 19.12.2008 um 12:31:36 Uhr
Goto Top
@aqui OT: Huch geht das bei dir schön einfach face-smile. Was ist das für ein OS? ProCurve?

Möchte ich ein VLAN mit 2 access-ports und einem L3 Interface konfigurieren benötige ich mind. die Befehle:
vlan 2
vlan-2>desc Segment-2
vlan-2>exit
int range gi0/3-4
if-range>switchport access vlan 2
if-range>switchport mode access
if-range>desc PHY-Interface VL 2
if-range>exit
int vlan 2
config-if>ip address 172.16.2.254 255.255.255.0
config-if>desc L3-interface VL 2
config-if>exit

Bei 3com habe ich auch nicht viel weniger zu tippen. Ist da HP wirklich so simpel gehalten? Ich glaube die muss ich mir mal genauer anschauen. Oder mache ich mir das zu kompliziert???


@Johannes
Wieso hast du denn jetzt doch getrennte IP-Netze die du verbinden möchtest? Oder ist das nur ein Demo-Szenario um grundlegende Dinge zu klären?

Währen deine Maschienennetze so organisiert, hättest du keinerlei Probleme face-smile Aber immer diese Prozessleitmenschen...alles gleich konfigurieren, routing, wer braucht das schon.

Bei aqui´s config macht der Switch das Routing. Du kannst immer mit je 2 Ports auf den jeweiligen Segmentswitch (vorher Etherchannel bauen!). Am Server oder was auch immer benötigst du keinen vlan-trunk (tagged vlan´s am port xy). Diesen Server kannst du in ein extra VLAN zb. vlan6 mit einem extra IP-Netz zb. 172.16.5.0/16 setzen. Der Switch wird als router verwendet und sorgt für den Rest.
aqui
aqui 19.12.2008 um 12:35:06 Uhr
Goto Top
@datasearch
Ja, bei Cisco, HP, Foundry u.a. ist das so einfach.. face-wink
johannes-meyer
johannes-meyer 19.12.2008 um 13:50:32 Uhr
Goto Top
Erstmal danke für die umfangreichen Antworten,

@aqui: Sorry, mein Erfahrung mit VLAN und ähnlichem ist 0.00. Ich kenn nur die Theorie. face-wink

@datasearch:
Ich suche einfach nach der Besten Lösung. Ich wollte eigentlich den Aufwand, die Netze umkonfigurieren zu müssen vermeiden. Aber das umkonfigurieren scheint so doch die einfachere Variante zu sein. Deshalb geh ich jetzt von getrennten IP-Netzen aus.

Ich werd mich nochmal intensiver mit den verschiedenen Layer-3-Switchen und VLAN-Switchen auf dem Markt beschäftigen

Gruß Johannes
aqui
aqui 19.12.2008 um 14:29:55 Uhr
Goto Top
dann wird es aber dringend Zeit sich auch mal mit der Praxis auseinanderzusetzen !!!
Gute Grundlageninfos findest du noch hier:

http://www.heise.de/netze/VLAN-Virtuelles-LAN--/artikel/77832
datasearch
datasearch 19.12.2008 um 16:36:38 Uhr
Goto Top
Alles klar. Also, wenn du die Netze rekonfigurierst kannst du alles sauber verwalten. Mit den "proxy´s" pro Segment musst du dich immer erst am jeweiligem Proxy anmelden um die Verwaltung zu starten. Das nimmt dir natürlich jede Möglichkeit, mit spezieller Verwaltungssoftware aus anderen Netzen zuzugreifen. Das wird aber ein harter Brocken diese ganzen Prozesssysteme zu rekonfigurieren. Aber das packst du schon face-smile

Was den Switch angeht, hier gilt, Markengeräte von Cisco, HP, 3COM usw. sind Pflicht. Netgear &co können zwar auch meistens mit VLAN´s umgehen, du wirst aber nicht lange freude an so einem Gerät haben.