Ip-Forwarding zur Netzwerkkopplung
Guten Tag,
ich steh vor folgender Herausforderung:
Ich soll mehrere TCP/IP- Netze in einer automatisierten Produktionsstraße an ein Fernwartungssystem anschließen. Es gibt mehrere kleine Netze (Maschinennetze), über die die Steuerungsrechner miteinader kommunizieren. Es gibt ein übergeordnetes "EDV-Netzwerk". Ein Fernwartungsserver steht im übergeordneten EDV-Netzwerk. Er soll mit alle Steuerungsrechnern kommunizieren können. Ich würde jedem Steuerungsrechner eine statische IP im EDV-Netz zuordnen. Ein Router soll nun die an diese IP-Adresse adressierten Pakete an die richtige IP-Adresse im jeweiligen Maschinennetz weiterleiten. Dabei werden nur die Pakete, die vom Fernwartungsserver kommen weitergeleitet. Desweiteren ist die Kommunikation auf bestimmte Ports beschränkt.
Kurz:
Ich suche eine Möglichkeit ein Paket, das im einen Netz an eine IP adressiert ist im anderen Netz an eine andere weiterzuleiten.
Von den Router aus dem privaten Bereich kenn ich das Port-Forwarding, aber das reicht ja hier nicht.
Gibt es Hardwarerouter, die das können?
Der Softwarerouter fil4l auf einem PC mit zwei Netzwerkkarten müsste eine weitere Möglichkeit sein, oder?
Gibt es solche Routingdienste für Windows?
Oder ist mein Ansatz umständlich?
Danke schon mal für alle Beiträge.
ich steh vor folgender Herausforderung:
Ich soll mehrere TCP/IP- Netze in einer automatisierten Produktionsstraße an ein Fernwartungssystem anschließen. Es gibt mehrere kleine Netze (Maschinennetze), über die die Steuerungsrechner miteinader kommunizieren. Es gibt ein übergeordnetes "EDV-Netzwerk". Ein Fernwartungsserver steht im übergeordneten EDV-Netzwerk. Er soll mit alle Steuerungsrechnern kommunizieren können. Ich würde jedem Steuerungsrechner eine statische IP im EDV-Netz zuordnen. Ein Router soll nun die an diese IP-Adresse adressierten Pakete an die richtige IP-Adresse im jeweiligen Maschinennetz weiterleiten. Dabei werden nur die Pakete, die vom Fernwartungsserver kommen weitergeleitet. Desweiteren ist die Kommunikation auf bestimmte Ports beschränkt.
Kurz:
Ich suche eine Möglichkeit ein Paket, das im einen Netz an eine IP adressiert ist im anderen Netz an eine andere weiterzuleiten.
Von den Router aus dem privaten Bereich kenn ich das Port-Forwarding, aber das reicht ja hier nicht.
Gibt es Hardwarerouter, die das können?
Der Softwarerouter fil4l auf einem PC mit zwei Netzwerkkarten müsste eine weitere Möglichkeit sein, oder?
Gibt es solche Routingdienste für Windows?
Oder ist mein Ansatz umständlich?
Danke schon mal für alle Beiträge.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 104268
Url: https://administrator.de/forum/ip-forwarding-zur-netzwerkkopplung-104268.html
Ausgedruckt am: 05.01.2025 um 13:01 Uhr
13 Kommentare
Neuester Kommentar
Nein, eigentlich ist das sehr einfach zu lösen...
Normalerweise benötigst du das Port Forwarding gar nicht wenn der Fernwartungsrechner im EDV Netz einen gerouteten Zugang in die Maschinennetze hat.
Deine Beschreibung ist leider etwas oberflächlich, denn es bleibt vollkommen unklar ob derzeit ein Routing Zugang vom EDV Netz in die Maschinennetze besteht oder nicht bzw. ob das noch eingerichtet werden muss ??
Weitere Frage: Wieviel Maschinennetze gibt es denn ??? Grund der Frage: ob ein Router mit mehren PC Netzwerkkarten noch Sinn macht ober ob du besser einen Layer 3 IP Switch dafür einsetzt ??
Normalerweise benötigst du das Port Forwarding gar nicht wenn der Fernwartungsrechner im EDV Netz einen gerouteten Zugang in die Maschinennetze hat.
Deine Beschreibung ist leider etwas oberflächlich, denn es bleibt vollkommen unklar ob derzeit ein Routing Zugang vom EDV Netz in die Maschinennetze besteht oder nicht bzw. ob das noch eingerichtet werden muss ??
Weitere Frage: Wieviel Maschinennetze gibt es denn ??? Grund der Frage: ob ein Router mit mehren PC Netzwerkkarten noch Sinn macht ober ob du besser einen Layer 3 IP Switch dafür einsetzt ??
Hallo Johannes,
du hast also 5 kleine Physisch getrennte Netzwerke die alle das IP-Netzwerk 192.168.1.0/24 verwenden.
Erste Frage, überschneiden sich die IP-Adressen in den einzelnen Segmenten oder sind diese zb. fortlaufend?
Du möchtest nun einen oder mehrere Router einsetzen, um die Maschinen fern zu warten.
Wenn die Adressen der einzelnen Maschinen sich überschneiden, musst du ein weiteres Subnetz als Transport einrichten und an jedem der LAN´s einen Router mit DNAT einrichten. Die Maschienen der einzelnen Segmente erreichst du dann unter der IP des Routers im transportnetz und dem definiertem Port. Der Router leitet in diesem Fall weiter.
Sollten sich die IP-Adressen nicht überschneiden, reicht ein Router mit einem Interface das über einen Switch an die Maschinennetze angebunden ist. Der Router arbeitet dann als Bridge zwischen den Segmenten und sollte jede Maschiene direkt erreichen. Vom Verwaltungsnetz lassen sich alle Maschienen dann direkt ansprechen.
Zweite Frage, kannst du die Netzwerke der Machinennetze ändern?
Am einfachsten währe es, jedem Maschienennetz ein eigenes Subnetz im Bereich 192.168.1.0/24 zu geben. 5 Netze, da bietet sich pro Segment ein /27er bereich an. Diese können an einem Router an jeweils einem Interface verbunden werden und das sechste Segment zum Transport verwendet werden.
Such dir etwas aus
du hast also 5 kleine Physisch getrennte Netzwerke die alle das IP-Netzwerk 192.168.1.0/24 verwenden.
Erste Frage, überschneiden sich die IP-Adressen in den einzelnen Segmenten oder sind diese zb. fortlaufend?
Du möchtest nun einen oder mehrere Router einsetzen, um die Maschinen fern zu warten.
Wenn die Adressen der einzelnen Maschinen sich überschneiden, musst du ein weiteres Subnetz als Transport einrichten und an jedem der LAN´s einen Router mit DNAT einrichten. Die Maschienen der einzelnen Segmente erreichst du dann unter der IP des Routers im transportnetz und dem definiertem Port. Der Router leitet in diesem Fall weiter.
Sollten sich die IP-Adressen nicht überschneiden, reicht ein Router mit einem Interface das über einen Switch an die Maschinennetze angebunden ist. Der Router arbeitet dann als Bridge zwischen den Segmenten und sollte jede Maschiene direkt erreichen. Vom Verwaltungsnetz lassen sich alle Maschienen dann direkt ansprechen.
Zweite Frage, kannst du die Netzwerke der Machinennetze ändern?
Am einfachsten währe es, jedem Maschienennetz ein eigenes Subnetz im Bereich 192.168.1.0/24 zu geben. 5 Netze, da bietet sich pro Segment ein /27er bereich an. Diese können an einem Router an jeweils einem Interface verbunden werden und das sechste Segment zum Transport verwendet werden.
Such dir etwas aus
Okey, VPN ist auch eine Möglichkeit. Allerdings hast du immernoch das Routingproblem mit den gleichen IP-Netzen in den verschiedenen Segmenten. Das sich IP-Adressen wirklich auch überschneiden, also die selbe IP zb. 192.168.1.55 in allen Netzen vorhanden ist, ist ein Problem. Ich weiß aber nicht wie du das Routing an die VPN-Server hinbekommen möchtest.
Um das Transportnetz (IP-Netz!) wirst du nicht herumkommen. Sonst sind deine VPN-Server wieder nicht erreichbar. Hm, kompliziert. Einzige Chance die ich sehe, isoliertes Netz zb. 192.168.2.0/24 einrichten, in dieses Netz stellst du 5 Rechner mit je 2 Netzwerkkarten und einem VPN-Dienst. Du kannst auf jeden der VPN-Router verbinden, da diese ja im Transportnetz sauber geroutet werden können. Verbindest du dich nun mit zb. Router2 muss dieser über die VPN die Route in das Netz 192.168.1.0/24 bereitstellen. Router 3 usw. genauso.
Somit hätte man immer vollen Zugriff in das jeweilige Maschinennetz. Je nachdem auf welchem Gateway man gerade per VPN sitzt.
Anders wird es leider nicht funktionieren. Du müsstest dazu die einzelnen Segmente direkt verbinden, was aber Adresskonflikte verursachen würde. Also fällt ein einzelner VPN-Server weg. Auch über einen einzelnen mit mehreren Interfaces wird es scheitern. Das System wird nicht wissen welche der doppelt vergebenen IP´s in welchen LAN nun angesprochen werden soll. Auch wenn du in jedem Netz eine andere IP vergeben hast. Es bleibt das selbe Subnet aus sicht des Routers.
Eine Möglichkeit währe aber virtuelle Router in einem größerem Router einzurichten und gegenseitig zu isolieren. Das denke ich aber wird dein Budget sprengen da du bei der Hardware 5-stellige Preise hat.
Wenn du noch Fragen hast, immer raus damit
Um das Transportnetz (IP-Netz!) wirst du nicht herumkommen. Sonst sind deine VPN-Server wieder nicht erreichbar. Hm, kompliziert. Einzige Chance die ich sehe, isoliertes Netz zb. 192.168.2.0/24 einrichten, in dieses Netz stellst du 5 Rechner mit je 2 Netzwerkkarten und einem VPN-Dienst. Du kannst auf jeden der VPN-Router verbinden, da diese ja im Transportnetz sauber geroutet werden können. Verbindest du dich nun mit zb. Router2 muss dieser über die VPN die Route in das Netz 192.168.1.0/24 bereitstellen. Router 3 usw. genauso.
Somit hätte man immer vollen Zugriff in das jeweilige Maschinennetz. Je nachdem auf welchem Gateway man gerade per VPN sitzt.
Anders wird es leider nicht funktionieren. Du müsstest dazu die einzelnen Segmente direkt verbinden, was aber Adresskonflikte verursachen würde. Also fällt ein einzelner VPN-Server weg. Auch über einen einzelnen mit mehreren Interfaces wird es scheitern. Das System wird nicht wissen welche der doppelt vergebenen IP´s in welchen LAN nun angesprochen werden soll. Auch wenn du in jedem Netz eine andere IP vergeben hast. Es bleibt das selbe Subnet aus sicht des Routers.
Eine Möglichkeit währe aber virtuelle Router in einem größerem Router einzurichten und gegenseitig zu isolieren. Das denke ich aber wird dein Budget sprengen da du bei der Hardware 5-stellige Preise hat.
Wenn du noch Fragen hast, immer raus damit
Unter den Voraussetzungen musst du dich von einem Routing gleich komplett verabschieden !!!
So viel ist schonmal sicher...
Routing kann ja nur funktionieren wenn du eindeutige IP Netzwerke hast. In deiner Konstellation mit mehreren getrennten LANs die aber mit ein und derselben IP Netzwerk Adresse arbeiten in denen es dann auch noch gleiche Hostadressen gibt ist Routing völlig unmöglich und illusorisch !
Der Kardinalsfehler ist schon vorher passiert indem vermutlich ein IP Netzunkundiger solch ein IP Adressdesign den Maschinenherstellern vorgegeben hat oder zugelassen hat...
Nichtmal mehr NAT oder auch VPN ist in so einem verkorksten IP Netzdesign mehr möglich...leider.
Einzige Chance ist nur noch wie datasearch richtig sagt eine 2 Netzkarte in einer der PCs in den Maschinennetzen und kein Routing zu aktivieren.
Das zweite Bein ist dann in einem Transfernetz und über diese IPs kann man sich dann von aussen per RDP oder was auch immer auf diese PCs anmelden und von diesen PCs dann die Komponenten in den einzelnen Maschinennetzen fernsteuern...
Andere Möglichkeiten bleiben dir bei den o.a. Voraussetzungen so nicht !!
Viel besser ist es natürlich die IP Netze anzupassen und ein sauberes Routing aufzusetzen aber das ist dir ja zu umständlich...
So viel ist schonmal sicher...
Routing kann ja nur funktionieren wenn du eindeutige IP Netzwerke hast. In deiner Konstellation mit mehreren getrennten LANs die aber mit ein und derselben IP Netzwerk Adresse arbeiten in denen es dann auch noch gleiche Hostadressen gibt ist Routing völlig unmöglich und illusorisch !
Der Kardinalsfehler ist schon vorher passiert indem vermutlich ein IP Netzunkundiger solch ein IP Adressdesign den Maschinenherstellern vorgegeben hat oder zugelassen hat...
Nichtmal mehr NAT oder auch VPN ist in so einem verkorksten IP Netzdesign mehr möglich...leider.
Einzige Chance ist nur noch wie datasearch richtig sagt eine 2 Netzkarte in einer der PCs in den Maschinennetzen und kein Routing zu aktivieren.
Das zweite Bein ist dann in einem Transfernetz und über diese IPs kann man sich dann von aussen per RDP oder was auch immer auf diese PCs anmelden und von diesen PCs dann die Komponenten in den einzelnen Maschinennetzen fernsteuern...
Andere Möglichkeiten bleiben dir bei den o.a. Voraussetzungen so nicht !!
Viel besser ist es natürlich die IP Netze anzupassen und ein sauberes Routing aufzusetzen aber das ist dir ja zu umständlich...
Mit einem VLAN Switch bist du auf dem richtigen Weg !
Bei soviel Ports macht es keinen Sinn ein Gerät zu nehmen was 5, 6 oder mehr Ports hat.
Was du oben schreibst das das sehr kompliziert ist ist aber Unsinn.
Hier hast du mal ein Beispiel wie so eine Konfig für einen HP Layer 3 Switch aussieht. Deine IP Adressierung mal etwas angepasst:
1. 172.16.1.0 /24 (255.255.255.0)
2. 172.16.2.0
3. 172.16.3.0
4. 172.16.4.0
5. 172.16.5.0
Hier die Switchkonfig:
vlan 1
name "Maschine-1"
untagged 1-3
ip address 172.16.1.254 255.255.255.0
exit
vlan 2
name "Maschine-2"
untagged 4-6
ip address 172.16.2.254 255.255.255.0
exit
vlan 4
name "Maschine-3"
untagged 7-9
ip address 172.16.3.254 255.255.255.0
exit
vlan 4
name "Maschine-4"
untagged 10-12
ip address 172.16.4.254 255.255.255.0
exit
vlan 5
name "Maschine-5"
untagged 13-15
ip address 172.16.4.254 255.255.255.0
exit
Was bitte ist an so einer banalen Konfig kompliziert ??
Scheinbar ist dein Verständnis von VLANs und IP Routing da etwas lückenhaft.
Alle Geräte haben so in ihren VLANs die .254 als Gateway und so ist eine uneingeschränkte Kommunikation möglich.
Mit einem einfachen VLAN Switch ohne Layer 3 (Routing) Funktion ist aber auch ein Sparversion möglich mit einem PC der einen VLAN fähige Netzwerkkarte hat.
Wie das geht kannst du hier sehen:
Auch diese Lösung funktionier problemlos bei dir hat aber den Nachteil das zum Routing immer ein PC laufen muss. Wenn eh immer einer angeschaltet ist ist das kein Thema und letztere Lösung ist preiswerter.
Technisch ist immer die eines L3 Switches am besten...
Bei soviel Ports macht es keinen Sinn ein Gerät zu nehmen was 5, 6 oder mehr Ports hat.
Was du oben schreibst das das sehr kompliziert ist ist aber Unsinn.
Hier hast du mal ein Beispiel wie so eine Konfig für einen HP Layer 3 Switch aussieht. Deine IP Adressierung mal etwas angepasst:
1. 172.16.1.0 /24 (255.255.255.0)
2. 172.16.2.0
3. 172.16.3.0
4. 172.16.4.0
5. 172.16.5.0
Hier die Switchkonfig:
vlan 1
name "Maschine-1"
untagged 1-3
ip address 172.16.1.254 255.255.255.0
exit
vlan 2
name "Maschine-2"
untagged 4-6
ip address 172.16.2.254 255.255.255.0
exit
vlan 4
name "Maschine-3"
untagged 7-9
ip address 172.16.3.254 255.255.255.0
exit
vlan 4
name "Maschine-4"
untagged 10-12
ip address 172.16.4.254 255.255.255.0
exit
vlan 5
name "Maschine-5"
untagged 13-15
ip address 172.16.4.254 255.255.255.0
exit
Was bitte ist an so einer banalen Konfig kompliziert ??
Scheinbar ist dein Verständnis von VLANs und IP Routing da etwas lückenhaft.
Alle Geräte haben so in ihren VLANs die .254 als Gateway und so ist eine uneingeschränkte Kommunikation möglich.
Mit einem einfachen VLAN Switch ohne Layer 3 (Routing) Funktion ist aber auch ein Sparversion möglich mit einem PC der einen VLAN fähige Netzwerkkarte hat.
Wie das geht kannst du hier sehen:
Auch diese Lösung funktionier problemlos bei dir hat aber den Nachteil das zum Routing immer ein PC laufen muss. Wenn eh immer einer angeschaltet ist ist das kein Thema und letztere Lösung ist preiswerter.
Technisch ist immer die eines L3 Switches am besten...
@aqui OT: Huch geht das bei dir schön einfach . Was ist das für ein OS? ProCurve?
Möchte ich ein VLAN mit 2 access-ports und einem L3 Interface konfigurieren benötige ich mind. die Befehle:
vlan 2
vlan-2>desc Segment-2
vlan-2>exit
int range gi0/3-4
if-range>switchport access vlan 2
if-range>switchport mode access
if-range>desc PHY-Interface VL 2
if-range>exit
int vlan 2
config-if>ip address 172.16.2.254 255.255.255.0
config-if>desc L3-interface VL 2
config-if>exit
Bei 3com habe ich auch nicht viel weniger zu tippen. Ist da HP wirklich so simpel gehalten? Ich glaube die muss ich mir mal genauer anschauen. Oder mache ich mir das zu kompliziert???
@Johannes
Wieso hast du denn jetzt doch getrennte IP-Netze die du verbinden möchtest? Oder ist das nur ein Demo-Szenario um grundlegende Dinge zu klären?
Währen deine Maschienennetze so organisiert, hättest du keinerlei Probleme Aber immer diese Prozessleitmenschen...alles gleich konfigurieren, routing, wer braucht das schon.
Bei aqui´s config macht der Switch das Routing. Du kannst immer mit je 2 Ports auf den jeweiligen Segmentswitch (vorher Etherchannel bauen!). Am Server oder was auch immer benötigst du keinen vlan-trunk (tagged vlan´s am port xy). Diesen Server kannst du in ein extra VLAN zb. vlan6 mit einem extra IP-Netz zb. 172.16.5.0/16 setzen. Der Switch wird als router verwendet und sorgt für den Rest.
Möchte ich ein VLAN mit 2 access-ports und einem L3 Interface konfigurieren benötige ich mind. die Befehle:
vlan 2
vlan-2>desc Segment-2
vlan-2>exit
int range gi0/3-4
if-range>switchport access vlan 2
if-range>switchport mode access
if-range>desc PHY-Interface VL 2
if-range>exit
int vlan 2
config-if>ip address 172.16.2.254 255.255.255.0
config-if>desc L3-interface VL 2
config-if>exit
Bei 3com habe ich auch nicht viel weniger zu tippen. Ist da HP wirklich so simpel gehalten? Ich glaube die muss ich mir mal genauer anschauen. Oder mache ich mir das zu kompliziert???
@Johannes
Wieso hast du denn jetzt doch getrennte IP-Netze die du verbinden möchtest? Oder ist das nur ein Demo-Szenario um grundlegende Dinge zu klären?
Währen deine Maschienennetze so organisiert, hättest du keinerlei Probleme Aber immer diese Prozessleitmenschen...alles gleich konfigurieren, routing, wer braucht das schon.
Bei aqui´s config macht der Switch das Routing. Du kannst immer mit je 2 Ports auf den jeweiligen Segmentswitch (vorher Etherchannel bauen!). Am Server oder was auch immer benötigst du keinen vlan-trunk (tagged vlan´s am port xy). Diesen Server kannst du in ein extra VLAN zb. vlan6 mit einem extra IP-Netz zb. 172.16.5.0/16 setzen. Der Switch wird als router verwendet und sorgt für den Rest.
@datasearch
Ja, bei Cisco, HP, Foundry u.a. ist das so einfach..
Ja, bei Cisco, HP, Foundry u.a. ist das so einfach..
dann wird es aber dringend Zeit sich auch mal mit der Praxis auseinanderzusetzen !!!
Gute Grundlageninfos findest du noch hier:
http://www.heise.de/netze/VLAN-Virtuelles-LAN--/artikel/77832
Gute Grundlageninfos findest du noch hier:
http://www.heise.de/netze/VLAN-Virtuelles-LAN--/artikel/77832
Alles klar. Also, wenn du die Netze rekonfigurierst kannst du alles sauber verwalten. Mit den "proxy´s" pro Segment musst du dich immer erst am jeweiligem Proxy anmelden um die Verwaltung zu starten. Das nimmt dir natürlich jede Möglichkeit, mit spezieller Verwaltungssoftware aus anderen Netzen zuzugreifen. Das wird aber ein harter Brocken diese ganzen Prozesssysteme zu rekonfigurieren. Aber das packst du schon
Was den Switch angeht, hier gilt, Markengeräte von Cisco, HP, 3COM usw. sind Pflicht. Netgear &co können zwar auch meistens mit VLAN´s umgehen, du wirst aber nicht lange freude an so einem Gerät haben.
Was den Switch angeht, hier gilt, Markengeräte von Cisco, HP, 3COM usw. sind Pflicht. Netgear &co können zwar auch meistens mit VLAN´s umgehen, du wirst aber nicht lange freude an so einem Gerät haben.