7
IP Subnetting auf 2 Nodes und Firewall als Gateway
Hallo zusammen
Hätte da einmal ein Problem zum Thema Subnetting. Ich habe folgende momentane IP zuordnung.
Router: 172.16.32.254/24
PC1: 172.16.32.13/24 Gateway:172.16.32.254
PC2: 172.16.32.1 Gateway:172.16.32.254
und noch andere Rechner
Also mein Problem ist, dass kein Rechner auf den anderen Zugreiffen kann. Jeder Rechner muss jedoch auf das Internet können sprich Verbidnung zum Router.
Nach miner Überlegung, hätte ich die Subnetze so gebildet, dass möglichst wenig Nodes in einem Subnetz sind damit ich möglichs viele Rechner isolieren kann (Anzahl Subnetze)
Daher hätte ich die Subnetzmaske auf 255.255.255.252 gesetzt.
Theoretisch bedeutet dies jedoch, dass die Router IP nun ausserhalb des IP Ranges liegt und ich so nicht mehr mit dem Router kommunizieren kann bzw. mein Rechner nicht mehr vom WEB ansprech bar ist.
Ich muss dazu sagen, dass ich nicht die Möglichkeit hatte es auzuprobieren daher sind es reine theoretische Überlegungen. Gibt es eine Möglichkeit mein Problem zu lösen? Sind mine Überlegungen richtig?
Nochmals in Kürze: Wie definier ich ein Subnetz im IP Range 172.16.32.x, damit ich möglichst viele Subnetze habe und jeder Rechner im eigenen Subnetz nur mit dem Router kommunizieren kann nicht aber mit en anderen Rechnern, welche sich in andere Sunetze befinden?
Ich bin schon mal auf die Antworten gespannt!
Gruss und Danke
Hätte da einmal ein Problem zum Thema Subnetting. Ich habe folgende momentane IP zuordnung.
Router: 172.16.32.254/24
PC1: 172.16.32.13/24 Gateway:172.16.32.254
PC2: 172.16.32.1 Gateway:172.16.32.254
und noch andere Rechner
Also mein Problem ist, dass kein Rechner auf den anderen Zugreiffen kann. Jeder Rechner muss jedoch auf das Internet können sprich Verbidnung zum Router.
Nach miner Überlegung, hätte ich die Subnetze so gebildet, dass möglichst wenig Nodes in einem Subnetz sind damit ich möglichs viele Rechner isolieren kann (Anzahl Subnetze)
Daher hätte ich die Subnetzmaske auf 255.255.255.252 gesetzt.
Theoretisch bedeutet dies jedoch, dass die Router IP nun ausserhalb des IP Ranges liegt und ich so nicht mehr mit dem Router kommunizieren kann bzw. mein Rechner nicht mehr vom WEB ansprech bar ist.
Ich muss dazu sagen, dass ich nicht die Möglichkeit hatte es auzuprobieren daher sind es reine theoretische Überlegungen. Gibt es eine Möglichkeit mein Problem zu lösen? Sind mine Überlegungen richtig?
Nochmals in Kürze: Wie definier ich ein Subnetz im IP Range 172.16.32.x, damit ich möglichst viele Subnetze habe und jeder Rechner im eigenen Subnetz nur mit dem Router kommunizieren kann nicht aber mit en anderen Rechnern, welche sich in andere Sunetze befinden?
Ich bin schon mal auf die Antworten gespannt!
Gruss und Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 57777
Url: https://administrator.de/contentid/57777
Printed on: April 24, 2024 at 13:04 o'clock
7 Comments
Latest comment
Die .252er Subnetzmaske ist schon richtig. Da hast du dann immer 2 Hosts pro Subnetz. Faktisch aber immer nur einen, denn die freie 2te Adresse brauchst du ja für dein Gateway Zugang.
Die Lösung ist aber gelinde gesagt großer Blödsinn, denn wie willst du diese Anzahl von Subnetzen auf einen Internetrouter bringen ??? Der müsste pro Subnet ein Interface haben oder wenn er 802.1q fähig ist bräuchtest du n Subinterfaces um das alles wieder zusammenzurouten.
Sowas löst man elegant mit einem Switch der sog. private VLANs supportet. Das ist eine Funktion die Broadcasts nicht auf alle Ports flutet sondern nur an ein definierten Uplink Port.
Dadurch ist eine any to any Kommunikation der PCs an diesem Switch nicht mehr möglich und nur mit dem Internetrouter, der dann an diesem Uplink Port hängt.
So gut wie alle mehr oder minder guten Switches supporten sowas problemlos !
Die Lösung ist aber gelinde gesagt großer Blödsinn, denn wie willst du diese Anzahl von Subnetzen auf einen Internetrouter bringen ??? Der müsste pro Subnet ein Interface haben oder wenn er 802.1q fähig ist bräuchtest du n Subinterfaces um das alles wieder zusammenzurouten.
Sowas löst man elegant mit einem Switch der sog. private VLANs supportet. Das ist eine Funktion die Broadcasts nicht auf alle Ports flutet sondern nur an ein definierten Uplink Port.
Dadurch ist eine any to any Kommunikation der PCs an diesem Switch nicht mehr möglich und nur mit dem Internetrouter, der dann an diesem Uplink Port hängt.
So gut wie alle mehr oder minder guten Switches supporten sowas problemlos !
Danke erst mal! Ja, an VLAN hab ich auch gedacht das Problem ist nur folgendes:
Die Rechner sind alle virtuell, sprich die hängen am glciehn Netzwerkkabel und somit am gleichen Switch Port. Am Switch hängt ebenfalls ein VPN fähiger Router. Jede bestimmte VPN Verbindung hat seinen eigenen virtuellen PC.
Da alle VPN End-Punkte eine fixe IP haben, wird mann anhand der IP von welcher das VPN aufgebaut wird mittels einer Route auf den eigenen virtuellen PC im 172.26.32.x Range weitergeleidet. Nun besteht das Problem, dass die persönlichen PC's sich unter einandern "sehen", da alle im selben Range sind. Dies möchte ich verhindern. Aufgrund der virtualität scheint mir das VLAN etwas schwer. Daher dachte ich an Subnetting. Hat jemand eine Idee wie ich dies lösen kann?
Die Rechner sind alle virtuell, sprich die hängen am glciehn Netzwerkkabel und somit am gleichen Switch Port. Am Switch hängt ebenfalls ein VPN fähiger Router. Jede bestimmte VPN Verbindung hat seinen eigenen virtuellen PC.
Da alle VPN End-Punkte eine fixe IP haben, wird mann anhand der IP von welcher das VPN aufgebaut wird mittels einer Route auf den eigenen virtuellen PC im 172.26.32.x Range weitergeleidet. Nun besteht das Problem, dass die persönlichen PC's sich unter einandern "sehen", da alle im selben Range sind. Dies möchte ich verhindern. Aufgrund der virtualität scheint mir das VLAN etwas schwer. Daher dachte ich an Subnetting. Hat jemand eine Idee wie ich dies lösen kann?
OK, das erklaert dies etwas sehr spezielle Design wenn man es so nennen will. Dein Problem wird aber sein das du auch je einen VPN Prozess in diesem Subnetz haben musst und daran duerfte die Subnetting Loesung scheitern...
Eine denkbare Loesung waere alle virtuellen Adapter ueber eine transparente Bridge zu koppeln und auf ihnen ein 802.1q tagging zu fahren je Host. Virtuelle Adapter koennen das. Damit kannst du dann jeden Host in ein separates VLAN legen die sich nicht untereinander sehen. Die fasst du auf einem L3 Switch zusammen und in ein separates VLAN setzt du deinen zentralen VPN Router. Das sollte klappen...
Eine denkbare Loesung waere alle virtuellen Adapter ueber eine transparente Bridge zu koppeln und auf ihnen ein 802.1q tagging zu fahren je Host. Virtuelle Adapter koennen das. Damit kannst du dann jeden Host in ein separates VLAN legen die sich nicht untereinander sehen. Die fasst du auf einem L3 Switch zusammen und in ein separates VLAN setzt du deinen zentralen VPN Router. Das sollte klappen...
HeHe dacht mir schon, dass dies speziell werden wird 
Aber deine Antwort hört sich recht gut an, ich werd dies mal ausprobieren
Aber Netzwerkdesign technisch kann man da ja keine grosse veränderungen machen oder?
Denn es werden immer virtuelle Server bleiben und es wird immer ein Internetgateway sein, auf welchen die verschiedenen "Clients" das VPN aufbauen und auf ihren Hosted Server wollen. Oder siehst du da eine grundlegende andere Möglichkeit?
Gruss und Danke für diene Super Hilfe
Aber deine Antwort hört sich recht gut an, ich werd dies mal ausprobieren
Aber Netzwerkdesign technisch kann man da ja keine grosse veränderungen machen oder?
Denn es werden immer virtuelle Server bleiben und es wird immer ein Internetgateway sein, auf welchen die verschiedenen "Clients" das VPN aufbauen und auf ihren Hosted Server wollen. Oder siehst du da eine grundlegende andere Möglichkeit?
Gruss und Danke für diene Super Hilfe
Nein, in der Tat, da bleibt sehr wenig Spielraum bei den speziellen Anforderungen. Dadurch das es ja virtuelle Maschinen sind, die an einem einzigen Switchport hängen bist du auf sowas letztlich festgenagelt.
Du könntest auch mit allen unterschiedlichen Netzen pro Host auf einem Link fahren und dann einen Switch (oder Router) einsetzen der sog. secondary interfaces supportet, also mehrfache IP Adressen pro Interface (Cisco kann sowas). Der routet dann immer auf demselben Kabel. Davon kann man aber nur abraten, denn solche Szenarion sind IP technisch vom Protokollhandling nicht supportet und lediglich für IP Migrationszwecke gedacht. (Probleme mit dem ICMP Handling). In Produktivumgebungen ist das ein absolutes Tabu will man sich nicht eine immerwährende Baustelle schaffen
Besser ist in jedem Falle mit dem .1q Tagging zu arbeiten, das skaliert erheblich besser und bewirkt ein saubers fehlerfreies IP Design ! Erfordert zwar einen L3 fähigen Switch aber das ist ja heutzutage auch im Low Budget Bereich kein Problem mehr.
Ohne diesen Switch benötigst du als Alternative mindestens einen VLAN (802.1q) tagging fähigen Layer 2 Switch aber einen Router der pro VLAN Tag ID dann ein virtuelles Subnetz Interface bedienen kann auf einem physischen Ethernet Interface. Auch das kann z.B. ein Cisco Router ab Modell 1700 leisten. Das ist letztlich die Auslagerung des Routings auf einen externen Router statt es im Switch abzuhandeln. Ist etwas umständlicher, geht aber auch.
Du brauchst nur zwingend diese Funktionen. In der einen oder in der anderen Variante !
Du könntest auch mit allen unterschiedlichen Netzen pro Host auf einem Link fahren und dann einen Switch (oder Router) einsetzen der sog. secondary interfaces supportet, also mehrfache IP Adressen pro Interface (Cisco kann sowas). Der routet dann immer auf demselben Kabel. Davon kann man aber nur abraten, denn solche Szenarion sind IP technisch vom Protokollhandling nicht supportet und lediglich für IP Migrationszwecke gedacht. (Probleme mit dem ICMP Handling). In Produktivumgebungen ist das ein absolutes Tabu will man sich nicht eine immerwährende Baustelle schaffen
Besser ist in jedem Falle mit dem .1q Tagging zu arbeiten, das skaliert erheblich besser und bewirkt ein saubers fehlerfreies IP Design ! Erfordert zwar einen L3 fähigen Switch aber das ist ja heutzutage auch im Low Budget Bereich kein Problem mehr.
Ohne diesen Switch benötigst du als Alternative mindestens einen VLAN (802.1q) tagging fähigen Layer 2 Switch aber einen Router der pro VLAN Tag ID dann ein virtuelles Subnetz Interface bedienen kann auf einem physischen Ethernet Interface. Auch das kann z.B. ein Cisco Router ab Modell 1700 leisten. Das ist letztlich die Auslagerung des Routings auf einen externen Router statt es im Switch abzuhandeln. Ist etwas umständlicher, geht aber auch.
Du brauchst nur zwingend diese Funktionen. In der einen oder in der anderen Variante !
Hei super! Danke vielmals für deine detalierten Antworten. Ich werde nächste Woche mal schauen, was sich da machen läst (Berücksichtigung der zur verfügungstehenden Resourcen und Meinung des Hauptverantwortlichen). Aber die Lösung mit dem Layer3 Switch hört sich serh gut an.
Nochmals Danke und noch ein schönes Weekend
Nochmals Danke und noch ein schönes Weekend
Bei dem Wetter, kein Problem
Wenns das war, bitte Thread oben als gelöst markieren !
Wenns das war, bitte Thread oben als gelöst markieren !
