IP Subnetting auf 2 Nodes und Firewall als Gateway
Hallo zusammen
Hätte da einmal ein Problem zum Thema Subnetting. Ich habe folgende momentane IP zuordnung.
Router: 172.16.32.254/24
PC1: 172.16.32.13/24 Gateway:172.16.32.254
PC2: 172.16.32.1 Gateway:172.16.32.254
und noch andere Rechner
Also mein Problem ist, dass kein Rechner auf den anderen Zugreiffen kann. Jeder Rechner muss jedoch auf das Internet können sprich Verbidnung zum Router.
Nach miner Überlegung, hätte ich die Subnetze so gebildet, dass möglichst wenig Nodes in einem Subnetz sind damit ich möglichs viele Rechner isolieren kann (Anzahl Subnetze)
Daher hätte ich die Subnetzmaske auf 255.255.255.252 gesetzt.
Theoretisch bedeutet dies jedoch, dass die Router IP nun ausserhalb des IP Ranges liegt und ich so nicht mehr mit dem Router kommunizieren kann bzw. mein Rechner nicht mehr vom WEB ansprech bar ist.
Ich muss dazu sagen, dass ich nicht die Möglichkeit hatte es auzuprobieren daher sind es reine theoretische Überlegungen. Gibt es eine Möglichkeit mein Problem zu lösen? Sind mine Überlegungen richtig?
Nochmals in Kürze: Wie definier ich ein Subnetz im IP Range 172.16.32.x, damit ich möglichst viele Subnetze habe und jeder Rechner im eigenen Subnetz nur mit dem Router kommunizieren kann nicht aber mit en anderen Rechnern, welche sich in andere Sunetze befinden?
Ich bin schon mal auf die Antworten gespannt!
Gruss und Danke
Hätte da einmal ein Problem zum Thema Subnetting. Ich habe folgende momentane IP zuordnung.
Router: 172.16.32.254/24
PC1: 172.16.32.13/24 Gateway:172.16.32.254
PC2: 172.16.32.1 Gateway:172.16.32.254
und noch andere Rechner
Also mein Problem ist, dass kein Rechner auf den anderen Zugreiffen kann. Jeder Rechner muss jedoch auf das Internet können sprich Verbidnung zum Router.
Nach miner Überlegung, hätte ich die Subnetze so gebildet, dass möglichst wenig Nodes in einem Subnetz sind damit ich möglichs viele Rechner isolieren kann (Anzahl Subnetze)
Daher hätte ich die Subnetzmaske auf 255.255.255.252 gesetzt.
Theoretisch bedeutet dies jedoch, dass die Router IP nun ausserhalb des IP Ranges liegt und ich so nicht mehr mit dem Router kommunizieren kann bzw. mein Rechner nicht mehr vom WEB ansprech bar ist.
Ich muss dazu sagen, dass ich nicht die Möglichkeit hatte es auzuprobieren daher sind es reine theoretische Überlegungen. Gibt es eine Möglichkeit mein Problem zu lösen? Sind mine Überlegungen richtig?
Nochmals in Kürze: Wie definier ich ein Subnetz im IP Range 172.16.32.x, damit ich möglichst viele Subnetze habe und jeder Rechner im eigenen Subnetz nur mit dem Router kommunizieren kann nicht aber mit en anderen Rechnern, welche sich in andere Sunetze befinden?
Ich bin schon mal auf die Antworten gespannt!
Gruss und Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 57777
Url: https://administrator.de/contentid/57777
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
7 Kommentare
Neuester Kommentar
Die .252er Subnetzmaske ist schon richtig. Da hast du dann immer 2 Hosts pro Subnetz. Faktisch aber immer nur einen, denn die freie 2te Adresse brauchst du ja für dein Gateway Zugang.
Die Lösung ist aber gelinde gesagt großer Blödsinn, denn wie willst du diese Anzahl von Subnetzen auf einen Internetrouter bringen ??? Der müsste pro Subnet ein Interface haben oder wenn er 802.1q fähig ist bräuchtest du n Subinterfaces um das alles wieder zusammenzurouten.
Sowas löst man elegant mit einem Switch der sog. private VLANs supportet. Das ist eine Funktion die Broadcasts nicht auf alle Ports flutet sondern nur an ein definierten Uplink Port.
Dadurch ist eine any to any Kommunikation der PCs an diesem Switch nicht mehr möglich und nur mit dem Internetrouter, der dann an diesem Uplink Port hängt.
So gut wie alle mehr oder minder guten Switches supporten sowas problemlos !
Die Lösung ist aber gelinde gesagt großer Blödsinn, denn wie willst du diese Anzahl von Subnetzen auf einen Internetrouter bringen ??? Der müsste pro Subnet ein Interface haben oder wenn er 802.1q fähig ist bräuchtest du n Subinterfaces um das alles wieder zusammenzurouten.
Sowas löst man elegant mit einem Switch der sog. private VLANs supportet. Das ist eine Funktion die Broadcasts nicht auf alle Ports flutet sondern nur an ein definierten Uplink Port.
Dadurch ist eine any to any Kommunikation der PCs an diesem Switch nicht mehr möglich und nur mit dem Internetrouter, der dann an diesem Uplink Port hängt.
So gut wie alle mehr oder minder guten Switches supporten sowas problemlos !
OK, das erklaert dies etwas sehr spezielle Design wenn man es so nennen will. Dein Problem wird aber sein das du auch je einen VPN Prozess in diesem Subnetz haben musst und daran duerfte die Subnetting Loesung scheitern...
Eine denkbare Loesung waere alle virtuellen Adapter ueber eine transparente Bridge zu koppeln und auf ihnen ein 802.1q tagging zu fahren je Host. Virtuelle Adapter koennen das. Damit kannst du dann jeden Host in ein separates VLAN legen die sich nicht untereinander sehen. Die fasst du auf einem L3 Switch zusammen und in ein separates VLAN setzt du deinen zentralen VPN Router. Das sollte klappen...
Eine denkbare Loesung waere alle virtuellen Adapter ueber eine transparente Bridge zu koppeln und auf ihnen ein 802.1q tagging zu fahren je Host. Virtuelle Adapter koennen das. Damit kannst du dann jeden Host in ein separates VLAN legen die sich nicht untereinander sehen. Die fasst du auf einem L3 Switch zusammen und in ein separates VLAN setzt du deinen zentralen VPN Router. Das sollte klappen...
Nein, in der Tat, da bleibt sehr wenig Spielraum bei den speziellen Anforderungen. Dadurch das es ja virtuelle Maschinen sind, die an einem einzigen Switchport hängen bist du auf sowas letztlich festgenagelt.
Du könntest auch mit allen unterschiedlichen Netzen pro Host auf einem Link fahren und dann einen Switch (oder Router) einsetzen der sog. secondary interfaces supportet, also mehrfache IP Adressen pro Interface (Cisco kann sowas). Der routet dann immer auf demselben Kabel. Davon kann man aber nur abraten, denn solche Szenarion sind IP technisch vom Protokollhandling nicht supportet und lediglich für IP Migrationszwecke gedacht. (Probleme mit dem ICMP Handling). In Produktivumgebungen ist das ein absolutes Tabu will man sich nicht eine immerwährende Baustelle schaffen
Besser ist in jedem Falle mit dem .1q Tagging zu arbeiten, das skaliert erheblich besser und bewirkt ein saubers fehlerfreies IP Design ! Erfordert zwar einen L3 fähigen Switch aber das ist ja heutzutage auch im Low Budget Bereich kein Problem mehr.
Ohne diesen Switch benötigst du als Alternative mindestens einen VLAN (802.1q) tagging fähigen Layer 2 Switch aber einen Router der pro VLAN Tag ID dann ein virtuelles Subnetz Interface bedienen kann auf einem physischen Ethernet Interface. Auch das kann z.B. ein Cisco Router ab Modell 1700 leisten. Das ist letztlich die Auslagerung des Routings auf einen externen Router statt es im Switch abzuhandeln. Ist etwas umständlicher, geht aber auch.
Du brauchst nur zwingend diese Funktionen. In der einen oder in der anderen Variante !
Du könntest auch mit allen unterschiedlichen Netzen pro Host auf einem Link fahren und dann einen Switch (oder Router) einsetzen der sog. secondary interfaces supportet, also mehrfache IP Adressen pro Interface (Cisco kann sowas). Der routet dann immer auf demselben Kabel. Davon kann man aber nur abraten, denn solche Szenarion sind IP technisch vom Protokollhandling nicht supportet und lediglich für IP Migrationszwecke gedacht. (Probleme mit dem ICMP Handling). In Produktivumgebungen ist das ein absolutes Tabu will man sich nicht eine immerwährende Baustelle schaffen
Besser ist in jedem Falle mit dem .1q Tagging zu arbeiten, das skaliert erheblich besser und bewirkt ein saubers fehlerfreies IP Design ! Erfordert zwar einen L3 fähigen Switch aber das ist ja heutzutage auch im Low Budget Bereich kein Problem mehr.
Ohne diesen Switch benötigst du als Alternative mindestens einen VLAN (802.1q) tagging fähigen Layer 2 Switch aber einen Router der pro VLAN Tag ID dann ein virtuelles Subnetz Interface bedienen kann auf einem physischen Ethernet Interface. Auch das kann z.B. ein Cisco Router ab Modell 1700 leisten. Das ist letztlich die Auslagerung des Routings auf einen externen Router statt es im Switch abzuhandeln. Ist etwas umständlicher, geht aber auch.
Du brauchst nur zwingend diese Funktionen. In der einen oder in der anderen Variante !