1882297803
Feb 10, 2022, updated at Feb 11, 2022 (UTC)
3136
17
0
Kein Internetzugriff innerhalb eines Subnetzes
Hallo,
Wir standen vor der Wahl das unser Schulnetz ungenutzt zu lassen oder uns selbst darum zu kümmern. Professionelle Hilfe war nicht zu bekommen. Über die Gründe will ich hier nichts schreiben, weil ich nicht weiss, wie die Boardsoftware mit Schimpfworten umgeht. Wie auch immer. Wir verwenden eine Digitalisierungsbox Premium hinter der ein Netzwerk mit Unifi Technik (USG und WLan AP Pro) hängt. Soweit funktioniert alles wie gewollt. Nur habe ich bei der Einrichtung ein Netzwerk mit dem Adressbereich 192.168.0.1/24 eingerichtet. Das wird nun zu eng. Ich habe also im DHCP Server des USG unter Networks bei Gateway IP/Subnet den Eintrag "192.168.0.3/24" in "192.168.0.3/16" geändert. Den DHCP Bereich habe ich auf 192.168.1.1 bis 192.168.5.100 beschränkt. Zwar brauchen wir (noch) nicht so viele Adressen. Es hätte also auch ein /20 gereicht. Aber 255.255.0.0 ist für die wenigen Geräte, bei denen der Eintrag einer festen IP und der Subnetzmaske nötig ist, leichter zu merken als 255.255.240.0, Bei der Digibox und dem USG habe ich die Subnetzmaske entsprechend geändert.
Das Problem besteht nun darin, das der DHCP Server zwar korrekt Adressen vergibt. Also zum Beispiel 192.168.1.10. Aber die Geräte kommen nicht ins Internet. Stelle ich wieder die /24 ein, ist der Zugang wieder da. Ich habe das bei meiner heimischen Fritzbox probiert. Die hat die IP 192.168.2.1 Die Subnetzmaske habe ich auf 255.255.0.0 und als DHCP Bereich habe ich die 192.168.3.1 bis 192.168.5.250 eingetragen. Und ich kann mit allen Geräten, die eine Adresse aus diesem Bereich bezogen haben problemlos ins Netz. Mir ist klar, das zwischen USG und der Fritzbox Unterschiede bestehen. Aber wo liegen die?
Wir standen vor der Wahl das unser Schulnetz ungenutzt zu lassen oder uns selbst darum zu kümmern. Professionelle Hilfe war nicht zu bekommen. Über die Gründe will ich hier nichts schreiben, weil ich nicht weiss, wie die Boardsoftware mit Schimpfworten umgeht. Wie auch immer. Wir verwenden eine Digitalisierungsbox Premium hinter der ein Netzwerk mit Unifi Technik (USG und WLan AP Pro) hängt. Soweit funktioniert alles wie gewollt. Nur habe ich bei der Einrichtung ein Netzwerk mit dem Adressbereich 192.168.0.1/24 eingerichtet. Das wird nun zu eng. Ich habe also im DHCP Server des USG unter Networks bei Gateway IP/Subnet den Eintrag "192.168.0.3/24" in "192.168.0.3/16" geändert. Den DHCP Bereich habe ich auf 192.168.1.1 bis 192.168.5.100 beschränkt. Zwar brauchen wir (noch) nicht so viele Adressen. Es hätte also auch ein /20 gereicht. Aber 255.255.0.0 ist für die wenigen Geräte, bei denen der Eintrag einer festen IP und der Subnetzmaske nötig ist, leichter zu merken als 255.255.240.0, Bei der Digibox und dem USG habe ich die Subnetzmaske entsprechend geändert.
Das Problem besteht nun darin, das der DHCP Server zwar korrekt Adressen vergibt. Also zum Beispiel 192.168.1.10. Aber die Geräte kommen nicht ins Internet. Stelle ich wieder die /24 ein, ist der Zugang wieder da. Ich habe das bei meiner heimischen Fritzbox probiert. Die hat die IP 192.168.2.1 Die Subnetzmaske habe ich auf 255.255.0.0 und als DHCP Bereich habe ich die 192.168.3.1 bis 192.168.5.250 eingetragen. Und ich kann mit allen Geräten, die eine Adresse aus diesem Bereich bezogen haben problemlos ins Netz. Mir ist klar, das zwischen USG und der Fritzbox Unterschiede bestehen. Aber wo liegen die?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1882367763
Url: https://administrator.de/contentid/1882367763
Printed on: April 27, 2024 at 04:04 o'clock
17 Comments
Latest comment
Moin,
auf ein 16er-Netz zu gehen ist irgendwie.... Mist. Sei es drum
Hast du die Firewall-Regeln an der USG/ DigiBox geprüft?
Stimmen die NAT-Regeln überall?
Stimmen etwaige Routing-Einträge überall?
Wie weit kommst du von einem Client, wenn di ein traceroute-Befehl absetzt?
Gruß
em-pie
auf ein 16er-Netz zu gehen ist irgendwie.... Mist. Sei es drum
Hast du die Firewall-Regeln an der USG/ DigiBox geprüft?
Stimmen die NAT-Regeln überall?
Stimmen etwaige Routing-Einträge überall?
Wie weit kommst du von einem Client, wenn di ein traceroute-Befehl absetzt?
Gruß
em-pie
Hi,
achte darauf, dass überall die Maske mit geändert wird, sonst wird das nichts.
Hast du z.b. 192.168.3.1 als Router IP mit einer /24 Maske, so kann dann 192.168.5.3 mit einer /16 Maske nicht darüber kommunizieren. Die Netzte sind unterschiedlich.
Gruß
achte darauf, dass überall die Maske mit geändert wird, sonst wird das nichts.
Hast du z.b. 192.168.3.1 als Router IP mit einer /24 Maske, so kann dann 192.168.5.3 mit einer /16 Maske nicht darüber kommunizieren. Die Netzte sind unterschiedlich.
Gruß
Moin..
also das /16 netz war eine blöde idee!
besser du nutzt Vlans...
Frank
also das /16 netz war eine blöde idee!
besser du nutzt Vlans...
Frank
Also über die /16 lasse ich gerne mit mir reden. ;) Die Firewallregeln sind nur die Standardregeln die das USG und ggf. die Digibox ab Werk mitbringt. Das gleiche gilt für das NAT. Danach habe ich nicht geschaut. Die kann man ja ohnehin nicht ändern oder löschen. Zumal es ja mit dem /24 Eintrag klappt. Ich vermute ja, dass ich das falsch verstehe. Eine IP Adresse hat 32 Bits. Der Suffix definiert, wie viele Bits davon die Netzmaske belegt. Der Rest definiert dann den Host. Und Hosts in einem Subnetz müssten sich doch problemlos sehen können. Blöderweise hatte ich nur IPads zur Verfügung. Da ist das mit dem Traceroute nicht ganz einfach. Es gibt zwar Apps. Aber die kann man auf den Geräten nicht so einfach installieren. die sind für die Schüler und deshalb sehr eingeschränkt. Ich teste das morgen mal mit einem Notebook.
VLans einzurichten ist schwierig. Das Problem dabei ist folgendes. Fast alle Geräte sind IPads. Die unterliegen Einschränkungen die von JAMF gesteuert werden. Das bedeutet das der Schüler sein IPad auspackt, mit dem WLan zu Hause verbindet und bekommt dann alle Schulapps, die Einschränkungen, die Bücher und Dokumente und eben auch die WLan Einstellungen der Schule übermittelt. Kommt das Gerät in die Schule, verbindet sich das Gerät automatisch mit dem WLan ohne das man da Hand anlegen müsste oder gar das WLan Passwort preisgeben muss. Mir fällt kein praktikabler Weg ein, wie ich dafür sorgen soll, das die Geräte gleichmäßig auf die verschiedenen Vlan aufgeteilt werden sollen. Ich könnte zwar die Geräte manuell aufteilen und ihnen verschiedene VLan zuweisen. Aber das würde die Verwaltung der Apps, und all der anderen Sachen zu einem Alptraum machen. Spätestens zum Beginn des nächsten Schuljahren hätte ich dann alles in dreifacher Ausfertigung zu pflegen. Wenn es nicht anders geht muss ich wohl in den sauren Apfel beissen. Aber ich würde das gerne vermeiden.
Ist es die /16 die meine Idee blöde erscheinen lässt weil sie zu 65.534 Adressen führt oder würde das auch für, sagen wir mal, /22 mit dann 1022 Adressen gelten?
VLans einzurichten ist schwierig. Das Problem dabei ist folgendes. Fast alle Geräte sind IPads. Die unterliegen Einschränkungen die von JAMF gesteuert werden. Das bedeutet das der Schüler sein IPad auspackt, mit dem WLan zu Hause verbindet und bekommt dann alle Schulapps, die Einschränkungen, die Bücher und Dokumente und eben auch die WLan Einstellungen der Schule übermittelt. Kommt das Gerät in die Schule, verbindet sich das Gerät automatisch mit dem WLan ohne das man da Hand anlegen müsste oder gar das WLan Passwort preisgeben muss. Mir fällt kein praktikabler Weg ein, wie ich dafür sorgen soll, das die Geräte gleichmäßig auf die verschiedenen Vlan aufgeteilt werden sollen. Ich könnte zwar die Geräte manuell aufteilen und ihnen verschiedene VLan zuweisen. Aber das würde die Verwaltung der Apps, und all der anderen Sachen zu einem Alptraum machen. Spätestens zum Beginn des nächsten Schuljahren hätte ich dann alles in dreifacher Ausfertigung zu pflegen. Wenn es nicht anders geht muss ich wohl in den sauren Apfel beissen. Aber ich würde das gerne vermeiden.
Ist es die /16 die meine Idee blöde erscheinen lässt weil sie zu 65.534 Adressen führt oder würde das auch für, sagen wir mal, /22 mit dann 1022 Adressen gelten?
Kann die Digibox überhaupt /16 ? Hast du es da richtig auf /16 einstellen können?
Was spricht eigentlich gegen das /16er Netz? Muss doch theoretisch auch funktionieren...
Was spricht eigentlich gegen das /16er Netz? Muss doch theoretisch auch funktionieren...
Das sollte sie können. Zumindest kann man die Subnetzmaske entsprechend anpassen.
sollte? kann?
Hast du es auch gemacht?
Hast du es auch gemacht?
Moin,
macht die USG NAT? Ansonsten muss man in0 der be.ip (Digitalisierungsbox) nämlich die korrekte statische Route eintragen, was vermutlich vergessen wurde.
lks
macht die USG NAT? Ansonsten muss man in0 der be.ip (Digitalisierungsbox) nämlich die korrekte statische Route eintragen, was vermutlich vergessen wurde.
lks
Hallo,
192.168.0.1/24 usw. sind IP-Adressen und keine Netze?!?
Die o.G. IP liegt z.B. im Netz 192.168.0.0/24
Gruß,
Jörg
192.168.0.1/24 usw. sind IP-Adressen und keine Netze?!?
Die o.G. IP liegt z.B. im Netz 192.168.0.0/24
Gruß,
Jörg
Zitat von @NordicMike:
Hast du es auch gemacht?
Ja, habe ich. Das war wohl etwas missverständlich.
Zitat von @Lochkartenstanzer:
macht die USG NAT?
Ja, das macht es. Und weil die Digibox das auch tut, hatte ich den Verdacht, dieses doppelte Nat würde die Ursache sein. Nach allem was ich mir angelesen und erfragt habe ist diese doppelte NAT nur bei Portweiterleitungen ein Problem, weil die Konfiguration doppelt angelegt werden muss.
Zitat von @1882297803:
Ja, habe ich. Das war wohl etwas missverständlich.
Ja, das macht es. Und weil die Digibox das auch tut, hatte ich den Verdacht, dieses doppelte Nat würde die Ursache sein. Nach allem was ich mir angelesen und erfragt habe ist diese doppelte NAT nur bei Portweiterleitungen ein Problem, weil die Konfiguration doppelt angelegt werden muss.
Zitat von @NordicMike:
Hast du es auch gemacht?
Ja, habe ich. Das war wohl etwas missverständlich.
Zitat von @Lochkartenstanzer:
macht die USG NAT?
Ja, das macht es. Und weil die Digibox das auch tut, hatte ich den Verdacht, dieses doppelte Nat würde die Ursache sein. Nach allem was ich mir angelesen und erfragt habe ist diese doppelte NAT nur bei Portweiterleitungen ein Problem, weil die Konfiguration doppelt angelegt werden muss.
Mal am besten mal ein Bild mit den Kisten und schreib an einzelne Verbindungen IP-Adressen und Netze dran. Dann kann man vielleicht sehen, wo der Hase im Pfeffer liegen könnte.
ist diese doppelte NAT nur bei Portweiterleitungen ein Problem, weil die Konfiguration doppelt angelegt werden muss.
Um das zu verhindern werden im ersten NAT keine einzelne Port Weiterleitungen eingerichtet, sondern es wird ein Exposed Host eingetragen, wohin der gesamte Traffic durchgereicht wird, also zum zweiten NAT.
und was bekommen die Clients genau für eine Einstellung ? Was steht in der Maske und was für ein GW erhalten sie?
Ist das GW auch im entsprechenden SN?
Gibt's vielleicht einen NAT Eintrag in diesem GW? Also sowas die ein S-NAT, mit dem man sagt welches Netz nach aussen mit welcher IP genatted wird
Ist das GW auch im entsprechenden SN?
Gibt's vielleicht einen NAT Eintrag in diesem GW? Also sowas die ein S-NAT, mit dem man sagt welches Netz nach aussen mit welcher IP genatted wird
Zuerst einmal Danke für die Mühe an alle.
Der Client bekommt eine IP aus dem im USG eingetragenen DHCP Bereich. Als Subnetzmaske wird die 255.255.0.0 übermittelt. Für DNS und Gateway wird die Adresse des USG eingetragen.
Es gibt keine "offizielle" Möglichkeit das NAT des USG zu konfigurieren.
Ich werde da morgen noch einmal hinfahren und versuchen die anderen Fragen zu beantworten.
Der Client bekommt eine IP aus dem im USG eingetragenen DHCP Bereich. Als Subnetzmaske wird die 255.255.0.0 übermittelt. Für DNS und Gateway wird die Adresse des USG eingetragen.
Es gibt keine "offizielle" Möglichkeit das NAT des USG zu konfigurieren.
Ich werde da morgen noch einmal hinfahren und versuchen die anderen Fragen zu beantworten.
Ist das Netz zwischen der Digibox und dem USG im selben Bereich, wie das Netz hinter dem USG? Die zwei Bereiche dürfen sich nicht überschneiden, sonst weiss das USG nicht wohin es routen soll. Wenn das Netz hinter dem USG 192.168.0.0/16 hat, darf die Digibox keine IP haben, die mit 192.168.x.x beginnt.
Spielt die Digibox nur das Modem für das USG? Dann stelle sie auf einen Bereich ausserhalb 192.168.x.x ein. z.B. auf 172.16.0.1 und Maske 255.255.255.0
DHCP Server in der Digibox einschalten, damit die WAN Schnittstelle vom USG auch eine IP in diesem Bereich bekommt, z.B. die 172.16.0.2
Spielt die Digibox nur das Modem für das USG? Dann stelle sie auf einen Bereich ausserhalb 192.168.x.x ein. z.B. auf 172.16.0.1 und Maske 255.255.255.0
DHCP Server in der Digibox einschalten, damit die WAN Schnittstelle vom USG auch eine IP in diesem Bereich bekommt, z.B. die 172.16.0.2
Mal aufmalen?! Wenn kein PPT (oder Konsorten) zur Hand auf Papier/Flipchart und abfotografieren.
So. Nun funktioniert alles.
Ich habe keinen Plan von der Verkabelung. Das ist gebaut und dann mehrfach "erweitert" aber nicht vollständig beschriftet worden. Also habe ich mir die nötigen Schlüssel besorgt und mir das gestern und heute mal alles angesehen. Es sah so aus,
Lan Port Digibox -> Switch. Von da über den Glasfaserbackbone zu einem anderen Switch. Und von da in den Wan Port des USG. und vom Lan Port des USG wieder in den Switch zurück. An beiden Switchen hingen verschiedenste Geräte. Vom Drucker bis zum WLan AP
Von diesem zweiten Switch wusste ich nichts. Ich hatte angenommen, die Buchse A4 geht an die vierte Buchse des oberen Patchfeldes in dem Schrank den ich kannte. Das in der Rumpelkammer hinter abgestelltem Krempel noch ein kleiner Schrank mit einem Patchfeld "A" und einem Switch steht wusste ich nicht. Und da alle Buchsen auch am Switch angeschlossen waren, ist das Ding nie auffällig geworden.
Das habe ich nun geändert. Es ist kein Gerät mehr zwischen Digibox und USG.
Digibox Premium
IP 172.16.1.1/20 (war vorher 192.168.2.1/24) DHCP Bereich 172.16.1.10 - 176.16.1.20
Lan von der Digibox in Wan Port vom USG Lan Port vom USG in den Switch
USG Wan Port auf DHCP gestellt
IP des Lan Ports des USG 192.168.0.3/20
DHCP Bereich im Unifi Controller 192.168.1.1 - 192.168.15.254
Alle Geräte beziehen eine IP aus diesem Bereich und kommen ins Internet.
In den nächsten Ferien werde ich mich daranmachen das Netzwerk zu dokumentieren. Sowas darf nicht noch einmal passieren.
Das einzige merkwürdige ist eine Anzeige im Unifi Controller. Da steht sinngemäß: "Network: Bad" and "Your Setup Needs Attention" obwohl alles tadellos funktioniert. Als Lösung wird in einem Forum angeboten "Have a Beer. It’s cosmetic."
Das werde ich dann wohl mal machen müssen.
Nochmal Danke an alle die geholfen haben.
Ich habe keinen Plan von der Verkabelung. Das ist gebaut und dann mehrfach "erweitert" aber nicht vollständig beschriftet worden. Also habe ich mir die nötigen Schlüssel besorgt und mir das gestern und heute mal alles angesehen. Es sah so aus,
Lan Port Digibox -> Switch. Von da über den Glasfaserbackbone zu einem anderen Switch. Und von da in den Wan Port des USG. und vom Lan Port des USG wieder in den Switch zurück. An beiden Switchen hingen verschiedenste Geräte. Vom Drucker bis zum WLan AP
Von diesem zweiten Switch wusste ich nichts. Ich hatte angenommen, die Buchse A4 geht an die vierte Buchse des oberen Patchfeldes in dem Schrank den ich kannte. Das in der Rumpelkammer hinter abgestelltem Krempel noch ein kleiner Schrank mit einem Patchfeld "A" und einem Switch steht wusste ich nicht. Und da alle Buchsen auch am Switch angeschlossen waren, ist das Ding nie auffällig geworden.
Das habe ich nun geändert. Es ist kein Gerät mehr zwischen Digibox und USG.
Digibox Premium
IP 172.16.1.1/20 (war vorher 192.168.2.1/24) DHCP Bereich 172.16.1.10 - 176.16.1.20
Lan von der Digibox in Wan Port vom USG Lan Port vom USG in den Switch
USG Wan Port auf DHCP gestellt
IP des Lan Ports des USG 192.168.0.3/20
DHCP Bereich im Unifi Controller 192.168.1.1 - 192.168.15.254
Alle Geräte beziehen eine IP aus diesem Bereich und kommen ins Internet.
In den nächsten Ferien werde ich mich daranmachen das Netzwerk zu dokumentieren. Sowas darf nicht noch einmal passieren.
Das einzige merkwürdige ist eine Anzeige im Unifi Controller. Da steht sinngemäß: "Network: Bad" and "Your Setup Needs Attention" obwohl alles tadellos funktioniert. Als Lösung wird in einem Forum angeboten "Have a Beer. It’s cosmetic."
Das werde ich dann wohl mal machen müssen.
Nochmal Danke an alle die geholfen haben.