kugelschreiber
Goto Top

LAN und WLAN trennen

Hallo Miteinander,

ich habe bereits mehrere Einträge zu diesem Thema hier gelesen, doch entweder nicht das auf mich passende gefunden oder wenn angewendet hat es nicht geholfen.

Erklärung:

Ich habe ein internes kabelgebundenes Windows Netzwerk mit folgenden Clients:
  • 1 Laptop (ADMIN als Webserver eingerichtet)
  • 3 weitere Laptops (Alle Windows 7 Pro mit statischer IP) die auf den Laptop 1 zugreifen (Webseite anzeigen, MySQL Remotezugriff usw.)
  • 1 PC (statische IP)
  • 1 Netzwerkdrucker (per DHCP) und
  • 1 Router, (Netgear - welcher nicht mit dem Internet verbunden ist)

Demnach haben die Clients auch kein Internet => logisch.
Der Router verteilt als DHCP Server Adressen im Netz 192.168.178.0/24 (192.168.178.100-192.168.178.199).
Die Laptops und der PC haben jedoch statische IP Adressen (192.168.178.200-192.168.178.210)
Wie auch immer, für einen Laptop benötige ich nun Internetzugang.
Da wir aber vor Ort (und der Ort wechselt auch einmal im Monat) kein kabelgebundenes Internet vorliegen haben, wollte ich diesen einen Laptop 1 per WLAN mit einem Handy (als Hotspot) verbinden, so dass eben nur dieser Laptop ins Netz kann.

Alle statisch eingerichteten Clients haben die IP des Routers (192.168.178.1) als DNS Server und als Standard Gateway eingetragen.
Die Laptops können so miteinander kommunizieren. Auf dem besagten Laptop, der ins Internet soll, läuft wie erwähnt ein Apache Webserver (MySQL,Apache) auf den die anderen Laptops zugreifen können. (Per selbst gebauter Windows Applikationen oder eben nur zum Anzeigen einer Webseite, die auf Laptop 1 gehostet wird)
Daher Namensauflösung, PING und die jeweiligen Applikationen an den anderen Clients funktionieren tadellos in dieser Konstellation.

Netzwerkplan:
screenshot


Problem:
Wenn ich aber nun den einen Laptop mit dem Handy per WLAN verbinde, bekommt er ja nun ebenfalls eine IP, DNS und Gateway vom Handy.
Dies ist kontraproduktiv, da ja 2 Gateways an einem Laptop "nicht wirklich gut sind".

Da ich ja aber das Gateway an den Clients im lokalen Netzwerk nicht benötige, habe zunächst einmal die entsprechende IP Adresse fürs Gateway in den Einstellungen für das lokale Netz einfach leer gelassen (DNS Server IP des Routers aber gelassen). Den Laptop 1 aber noch nicht mit dem Handy per WLAN verbunden.

PING a la (ping computername) funktioniert immer noch. Jedoch können die Clients nun nicht mehr auf die Applikationen und auf die Webseite auf Laptop 1 zugreifen.
Trage ich das Gateway nur am LAPTOP 1 wieder ein, geht es.

Kann mir jemand sagen, woran das liegen kann?

Vielen Dank!

Content-ID: 342647

Url: https://administrator.de/forum/lan-und-wlan-trennen-342647.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

chiefteddy
chiefteddy 06.07.2017 aktualisiert um 11:36:16 Uhr
Goto Top
Hallo,

das Standardgateway zeigt den Netzwerkgeräten den Weg aus dem eigenem Subnetz. Da alle deine Geräte im gleichen Subnetz liegen (192.168.178.0/24), muß kein Datenpaket dieses Subnetz verlassen --> Standardgateway ist ohne Belang. Der Netgear-Router arbeitet auch nicht als Router; du nutzt nur den integrierten Switch. Der Eintrag seiner IP als Standardgateway hat keinerlei Bedeutung, da über ihn ja das eigene Subnetz nicht verlassen werden kann.

Darüber hinaus nutzt du den im Router integrierten DHCP- und DNS-Server, was aber mit der Routing-Funktion des Netgear nichts zu tun hat.

Dass das Netzwerk funktioniert, hast du ja mit dem Ping bewiesen. Das der Rest nicht sauber funktioniert, liegt an der eigenwilligen Interpretation des IP-Protokoll-Stacks durch Microsoft (zB: Wenn kein Gateway da ist, bist du in einem "öffentlichen Netz" und die Firewall macht die Schotten dicht).

Hast du mal versucht als Standard-Gateway bei allen Geräten außer LAPTOP1 dessen IP einzutragen? (Dein Router ist ja eigentlich kein Router, sondern nur ein Switch und damit natürlich auch kein Standard-Gateway).

Jürgen
kugelschreiber
kugelschreiber 06.07.2017 um 13:15:34 Uhr
Goto Top
Hallo Jürgen,

erst einmal vielen Dank für Deine schnelle Nachricht.
Habe mal den die eigene IP als StandardGateway an den Clients eingegeben.
Es bleibt aber dasselbe Resultat. Die Webseite ist im Browser nicht erreichbar.
Aber per PING (ping laptop1.domain.de) wird sie in die korrekte IP (x.x.x.203 => Laptop 1) umgewandelt und ist innerhalb von 1ms in allen 4 Paketen erreichbar.
Trage ich wiederum die IP des Routers in das GateWays am Laptop1 ein, kann ich die Webseite wieder normal erreichen.

Ich habe alternativ auch mal nur einen Switch hergenommen und nur den Laptop1 (ADMIN) und den Laptop2 (WORK) (beide ohne Gateway) drangeklemmt. Auch da geht es nicht.

Ist für mich momentan nicht erklärbar.
kugelschreiber
kugelschreiber 06.07.2017 um 14:20:55 Uhr
Goto Top
Habe es nun hinbekommen.
Aus noch nicht erklärbaren Gründen hat sich das Netzwerk (nur am LAPTOP1) nachdem ich das Gateway aus den IP Einstellungen entfernt habe, als "Nicht identifizierbars Netzwerk" mit der Deklaration "öffentlich" eingestellt.
(Dies habe ich aber erst nach einem Neustart im Netzwerk- und FreigabeCenter gesehen.)
Ich habe es dann als "privates" Netzwerk deklariert. Schwupps hatte ich Zugriff von Laptop 2 auf Laptop1
Ich teste nun noch mal alles durch und melde mich, wenn ich noch Hilfe benötige.
Anderenfalls werde ich diesen Thread hier dann schließen.

Vielen Dank erst einmal!

VG
chiefteddy
chiefteddy 06.07.2017 um 14:32:10 Uhr
Goto Top
Hallo,

das hatte ich in meinem obigen Tred doch auch als "microsofteigene Interpretation des IP-Stacks" dargelegt.

MS hat in Windows mindestens ab Vers. 7 das "Feature" implementiert, dass wenn kein Gateway zum Internet erreichbar ist, das Netzwerk als "nicht identifizierbar" bzw. "öffentlich" eingestuft wird. Und damit macht die Firewall dicht und nichts geht mehr.

Jürgen
kugelschreiber
kugelschreiber 06.07.2017 um 14:41:48 Uhr
Goto Top
Ich hatte das schon gelesen. Doch hat MS dies erst nach dem Neustart gezeigt. Daher konnte ich es nicht sehen.
aqui
Lösung aqui 06.07.2017 aktualisiert um 16:13:13 Uhr
Goto Top
Dies ist kontraproduktiv, da ja 2 Gateways an einem Laptop "nicht wirklich gut sind".
Richtig ! Deshalb gibst du dem Interface sinnigerweise eine statische IP und lässt den Gateway Eintrag weg.
Bei Winblows gilt bei 2 Gateways wie immer die Bindungsreihenfolge der Interfaces im System: Nach dem Motto wer zuerst kommt mahlt zuerst.
Adresse fürs Gateway in den Einstellungen für das lokale Netz einfach leer gelassen
Der richtige Schritt...
DNS Server IP des Routers aber gelassen
Eigentlich Unsinn, denn ohne Internet hast du auch keinen DNS, denn der Router spielt nur Proxy DNS, cacht also nur Namen. Ohne Internet ist aber der Cache leer.
Besser ist du löässt das auch weg, denn sonst fragt der Rechner den DNS und rennt dann in ein Timeout was dann unnötigerweise in Wartezeiten und Timeouts resultiert.
PING a la (ping computername) funktioniert immer noch
Klar, denn das basiert im Winblows Netz auf einem Name Service Broadcast wenn man keinen DNS Server hat wie du. Der Router ist KEIN DNS Server im eigentlichen Sinne. Eigentlich ist der Router völlig überflüssig in deinem Umfeld, denn du nutzt ihn ja nur als dummen L2 Switch und DHCP Server vermutlich, richtig ?!
Dein Fehler ist ein Windows spezifischer...
Windows versucht über das Gateway die Art des Netzes zu erkennen was insbesondere für das Firewall Profil erforderlich ist.
Ohne ein Gateway nimmt Windows an das du in einem öffentlichen Netz bist und macht an der lokalen Firewall alle Schotten dicht. Damit ist dann ein Zugriff von außen unmöglich !
Genau das was du also siehst.
Setzt du das Gateway erkennt Winblows daraus ein privates Netz mit entsprechedem Firewall Profil durch die RFC 1918 IP und öffnet damit die Firewall für das lokale Netz und der Zugriff klappt wieder.
So simpel und einfach ist das und sollte man als Windows Knecht eigentlich wissen..?! face-wink
108012
108012 09.07.2017 um 00:03:17 Uhr
Goto Top
Hallo,

einfach einen VLAN fähigen Switch kaufen und dann diesen das Netzwerk in VLANs aufteilen lassen
alternativ kann man auch einen kleinen MikroTik Router dazu benutzen oder einen MikroTik Switch!

Man kann auch einen kleinen Raspberry PI 3.0 mit Linux und USB Stick Modem an den einen PC oder
Laptop anschließen der in das Internet soll und gut ist es.

Man kann auch einen zentralen WLAN Router benutzen und nur den einen PC oder das eine Laptop ins
Internet lassen, das ginge auch und wäre zusammen mit einem VLAN fähigen Switch sogar die sauberste
Lösung!

Gruß
Dobby
kugelschreiber
kugelschreiber 10.07.2017 um 12:00:08 Uhr
Goto Top
Hi

Danke für den Vorschlag, aber ich denke hier ist es etwas komplizierter. Denn für unser Event selbst, brauchen wir kein Internet. Daher auch sie statischen Einträge. Den Router nehme ich - wie Aqui schon richtig vermutet hat - lediglich als DHCP Server für den Drucker und als Switch.
Ein USB Modem kommt hier nicht in Frage, da wir auf verschiedenen Events verschiedene Netze (O2,Eplus,D1,D2) benutzen, um mit dem ADMIN Laptop ins Netz zu gelangen. Daher kam die Idee eben nur diesen mit einem Handy (als Hotspot) zu benutzen. Das geht aber dann eben nur, wenn das interne LAN kein Gate benutzt.
kugelschreiber
kugelschreiber 10.07.2017 um 12:11:00 Uhr
Goto Top
Hallo Aqui

Ich habe nun das interne LAN nun als privates Netzwerk festlegen können.
Somit sperrt die Firewall nichts mehr und die "Grundfunktion" unseres internen Netzwerkes ist wieder hergestellt.
Die Rechner können also wieder miteinander "kommunizieren".

Verbinde ich das Handy (per Hotspot) mit dem WLAN am ADMIN Laptop geht dies in der Regel ganz gut.
Jedoch kommt es manchmal beim ersten Verbindungsaufbau (oder nach längerer Nichtbenutzung) zu Verbindungsabbrüchen.
(Habe aber am Handy LTE)

Ein PING auf administrator.de brachte:
...Zielhost nicht erreichbar
...Zeitüberschreitung...
Antwort von ....23ms
Antwort von ....23ms

Ein erneuter (gleich danach ausgeführter) PING läuft dann aber sauber durch.
Strate ich den PING request nach ca 2 Minuten erneut, erhalte ich ähnliche Ausgaben wie beim ersten PING

DNS und GATE sind im LAN alle NICHT eingetragen. WAN zieht sich die Adressen ja dynamisch vom HANDY.

Ist das ein Problem, welches mit diesem hier zu tun hat? Oder hat dies andere Ursachen?

Vielen Dank für Deine/Eure Hilfe
aqui
aqui 10.07.2017 um 12:14:29 Uhr
Goto Top
Beschaff dir einen kleinen Mikrotik Router mit WLAN Interface wie z.B. den hAP
http://varia-store.com/Wireless-Systeme/MikroTik-RouterBoard/MikroTik-R ...
Mit dem ist die simple Anforderung im Handumdrehen und problemlos umzusetzen.
Oder...
Du konfigurierst die Windows Firewall richtig wie es sein muss ! Siehe oben.. Dann ist das mit einem Mausklick erledigt wenn du keine zusätzlich HW einsetzen willst.
(Im Suchfeld einfach Firewall mit erweiterten Eigenschaften eingeben)
chiefteddy
chiefteddy 10.07.2017 um 14:01:19 Uhr
Goto Top
Hallo,

das Handy als Internetzugang baut bei Bedarf (Anforderung durch Client) eine Internet-Session auf. Das dauert natürlich einige Zeit (Aushandeln der Verbindungsparameter; Authentifizierung usw.). Deshalb ist die Verbindung nicht "sofort" bereit. Ist die Session etabliert, geht der Datenverkehr "schnell". Nach "längerer" Nichtbenutzung wird die Session geschlossen. Eine erneute Anforderung einer Verbindung durch den Client erfordert dann natürlich den erneuten Aufbau einer Session mit der oben erwähnten "Zeitverzögerung".


Im einfachsten Fall läßt Du ein "Dauerping" laufen, das die Session offen hält. Oder Du parametrierst, wenn möglich, die Timing-Parameter.

Jürgen
aqui
aqui 10.07.2017 aktualisiert um 15:21:09 Uhr
Goto Top
Winblows ist so geschwätzig und telefoniert alle Minute übers Internet nach Hause und hält allein damit schon den Link immer offen. Zusätzlich dann nch irgendwelche Anwendungsprogramme die im Hintergrund ständig zu Hause nachfragen ob Updates da sind usw. usw.
Bei insgesamt 4 Rechnern wird der Link deshalb niemals in den Idle Timeout gehen durch diesen permanenten Internet Traffic. Dauerping muss da also dann nicht sein....
chiefteddy
chiefteddy 10.07.2017 um 15:35:46 Uhr
Goto Top
Hallo @aqui,

Versuch macht klug face-wink


Jürgen
kugelschreiber
kugelschreiber 11.07.2017 um 11:04:30 Uhr
Goto Top
Hallo Aqui/chiefteddy

Wenn das so ist, warum bricht dann die Verbindung immer wieder ab?
Die Lösung mit dem Dauerping (wie von chiefteddy empfohlen hatte ich auch schon)
Ich werde versuchen diese mal umzusetzen.

Ansonsten geht momentan alles, so wie es soll.

Vielen Dank für Eure Hilfe.
aqui
aqui 11.07.2017 aktualisiert um 13:01:35 Uhr
Goto Top
Wenn das so ist, warum bricht dann die Verbindung immer wieder ab?
Oha...da gibts mehrere Gründe
  • Schlechter Mobilfunk Provider mit schlechter und überlasteter Infrastruktur
  • Billiger nur Surf Account wo der Provider Tethering intern drosselt
  • Tethering im Smartphone buggy oder schlecht programmiert
  • Tethering Forwarding (NAT Routing) im Smartphone buggy oder schlecht programmiert (Billigphone)
  • Tethering WLAN wird von umliegenden WLANs gestört, da nicht sauber an die aktuelle Kanalsituation (mindestens 4kanaliger Abstand von Nachbar WLAN) angepasst wurde
  • Falscher oder alter Treiber an der WLAN Hardware der Clients
Diese Liste liesse sich beliebig erweitern....
Weiss man aber auch alles selber wenn man mit der Materie arbeitet !
kugelschreiber
kugelschreiber 11.07.2017 um 15:18:06 Uhr
Goto Top
Danke. Ich werde es mal untersuchen, woran es liegt und eventuell in einem anderen Thread posten.
Ihr habt mir alle sehr geholfen. Nochmals vielen Dank!