07.08.2014

5287

Mehrere Netzsegmente mit eigenen Gateways zusammenschalten

Hallo die Runde.

Ich habe folgendes Szenario:

Es gibt 3 Netze, die jeweils aus mehreren (Windows) PC's und diversen Servern bestehen, jedes besitzt einen eigenen Internetzugang.
(Server wären z.B Printserver, NAS, Mediaserver).

Die Aufgabe ist nun alle drei Netze zusammen zu schalten, ohne das die inet-Gateways/Router kollidieren, speziell die DHCP-Server.

Jedes Segment läuft quasi im selben Netz (197.168.1.0/24) allerdings besitzt jedes eine eigene Range.
Netz1: 192.168.1.1-100
Netz2: 192.168.1.130-170
Netz3: 192.168.1.180-250

die I-net router liegen bei:
Netz1: 192.168.1.1
Netz2: 192.168.1.150
Netz3: 192.168.1.200

Die Idee dahinter ist, dass interne Anwendungen wie SMB, DLNA Clients&Server, die NAS oder auch Spiele per Broadcast gefunden werden, ohne das man immer die direkte Adressen eingeben muss, was auch nicht immer möglich ist.

Für diese Aufgabe liegt mir nun ein Mikrotik RouterBOARD 750GL vor.
(default config. 1-WLan und 4 LAN ports)

Von der Konfiguration her müssten alle Schnittstellen alle Nachrichten auf ihre Nachbarn weiterleiten, mit der Ausnahme der DHCP-Requests (UDP-Port 67), die nur innerhalb der einzelnen Segmente verarbeitet werden dürfen, d.h. der Mikrotik muss diese Nachrichten blocken.

Da ich mit dem Router keine große Erfahrung habe, wächst mir trotz der netten Oberfläche die Konfiguration über den Kopf und somit wäre ich für Hilfe sehr dankbar.

Mein Ansatz wäre so das die 4 Ports als normaler Switch zusammen gefasst werden und eine Regel die DHCP-Request weitergabe unterdrückt.

Grüße

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 245819

Url: https://administrator.de/forum/mehrere-netzsegmente-mit-eigenen-gateways-zusammenschalten-245819.html

Ausgedruckt am: 13.04.2025 um 01:04 Uhr

43 Kommentare

Neuester Kommentar

Hi,

habt ihr die Netze Physisch getrennt oder per VLan, nur interessehalber. Dein Mikrotik kann Firewalling? Ich kenn mich mit den Geräten nicht genau aus, aber eigentlich ist das ne stinknormale Firewall die dir halt alles durch lässt außer den Port, oder du machst ne MAC Bindung, ist aber eher unsauber. Mal was anderes . Dein Rechner macht das ganze doch sowieso mit nem ARP Broadcast, wird der überhaupt vom Mikrotik verwertet?

Gruß
PJM

PS: Frage mit dem ARP zurückgezogen, Kopf eingeschaltet!

Moin,

Drei gleiche IP-Netze und Routing funktioniert nicht.

Ich würde Dir eher empehlen alle drei Netze direkt mit einem swicth zusammenzuschalten und den Microtik als Multiwan-Router an die dreit Internet-Router zu hängen, was imho das sinnvollere wäre,

Aber wenn Du es so wie oben beschrieben durchführen willst, wäre meien Empfehlung statt dem Microtik Dir ein Alix-Board mit mindestens 3 Interfaces zu holen, da drauf linux oder BSD zu klatchen, die Interfaces per bridge zusammenzuhängen udn dann per iptables 6 co. alles DHCP rauszufiltern.

Das sollte als Krücke funktionieren.

lks

PS: Du könntest einen lokalen zentralen DNS-Server betreiben udn alle drei Netze per Routing zusammenhängen. Würde deutlich weniger Probleme machen.

Drei gleiche IP-Netze und Routing funktioniert nicht.

Er hat doch die Segmentierung schon,

dann sollte er lieber ein x.x.x.x / 26 draus machen, das wäre doch die sauberste Lösung und da es ja schon DHCP Server gibt auch relativ einfach umgesetzt.

Gruß
PJM

Zitat von @fisi-pjm:

> Drei gleiche IP-Netze und Routing funktioniert nicht.

Er hat doch die Segmentierung schon,

dann sollte er lieber ein x.x.x.x / 26 draus machen, das wäre doch die sauberste Lösung und da es ja schon DHCP Server
gibt auch relativ einfach umgesetzt.

Er will die drei DHCP-Server beibehalten udn jeder soll für "sein" Netz zuständig bleiben. das funktioniert nciht, wenn man alles per swicth zusammenklatscht. Udmn wenn man routen will funktioniert es nciht, wenn der Router das gleiche netz auf beiden seiten hat. Und /26 funktioniert auch nciht, weil er die Netze dezimal ausgerichtet hat und nicht binär, wie sich das gehören würden (1-00, 130-170, 180-250 statt 0-63, 65-127, 128-191, 192-255).

Und selbst wenn es passen würde, hätte er sein Problem mit dem Finden der andren Netzteilnehmer über Namen nicht gelöst.

daher mein Vorschalg (s.o.)

Drei disjunkte Netze definieren.
Microtik dazwischenhängen als Router.
Microtik als DNS einrtagen
In Microtik A-records für die gemeinsam genutzen systeme einrtagen.

lks

Was die Kopplung dieser Netze anbetrifft erklären dir diese Forumstutorials welche Lösungsoptionen du hast:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
und
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ideal wäre natürlich ein Layer 3 Switch aber wenn der nicht vorhanden ist greifen die beiden o.a. Tutorials !

Er will die drei DHCP-Server beibehalten udn jeder soll für "sein" Netz zuständig bleiben. das funktioniert
nciht, wenn man alles per swicth zusammenklatscht.

Hab ich ja auch mit keiner Silbe erwähnt, mein Vorschlag war von Anfang an Mikrotik als ROUTER (Firewall) einzusetzen. Und wenn der die DNS Funktionalität mit übernimmt hat er auch kein DNS Problem.

Das das Netz Dezimal und nicht Bit weise getrennt ist lässt sich ja, wie auch bereits genannt, durch den Umstand das er in jedem Segment aktuell einen DHCP betreibt einfach lösen.

Gruß
PJM

Die Netze sind physikalisch getrennt und zur besseren Darstellung hier noch eine genauere Erklärung.
Es handelt sich um drei Familien mit jeweils einer eigenen Wohnungen im selben Haus; deswegen auch die drei getrennten Internet-Router, da jede Familie somit ihren eigenen Verantwortungbreich bzw. Zuständigkeit hat.
Bei mir liegen von den beiden anderen Wohnungen jeweils Kabel vor, die ich mit dem Mikrotik verbinden soll/möchte.

Da die drei inet-Router in den jeweiligen Wohnungen stehen, gehts das nicht und wäre wohl auch nicht die benötigte Lösung.

Welche Lösung?

Er will die drei DHCP-Server beibehalten udn jeder soll für "sein" Netz zuständig bleiben. das funktioniert
nciht, wenn man alles per swicth zusammenklatscht. Udmn wenn man routen will funktioniert es nciht, wenn der Router das gleiche
netz auf beiden seiten hat. Und /26 funktioniert auch nciht, weil er die Netze dezimal ausgerichtet hat und nicht binär, wie
sich das gehören würden (1-00, 130-170, 180-250 statt 0-63, 65-127, 128-191, 192-255).

Wenn die zusätzliche (binäre) Segemntierung eine Lösung gewesen wäre, hätte ich auch gleich auf komplette /24'er Netze umstellen können (z.B. 192.168.1.0/24 & .2.0/24 und .3.0/24, deshalb habe ich den "ungehörigen" Weg gewählt und die Trennung dezimal vorgenommen.
Sobald ich aber deratig getrennte (Sub-)Netzte einrichte, bekommt auch jedes Netz einen eigene Broadcast-Bereich, somit sehen einige Anwendungen die Serverdienste der anderen Netze nicht mehr und das gilt es zu verhindern.

Und selbst wenn es passen würde, hätte er sein Problem mit dem Finden der andren Netzteilnehmer über Namen nicht
gelöst.

Das ist einer der springende Punkte

Zitat von @fisi-pjm:

Welche Lösung?

die von Lochkartenstanzer vorgeschlagene

Zitat von @fisi-pjm:

Hab ich ja auch mit keiner Silbe erwähnt, mein Vorschlag war von Anfang an Mikrotik als ROUTER (Firewall) einzusetzen. Und

Wenn der Mikrotik als Router eingesetzt wird, lauf ich doch Gefahr alle nicht routbaren Nachricht/Broadcast zu verlieren, deshalb kam ich auf den Ansatz mit dem Switch-Mode plus DHCP-Filter.

wenn der die DNS Funktionalität mit übernimmt hat er auch kein DNS Problem.

DNS ist ja auch kein Problem, da bei jedem DHCP Server auch der eigene DNS-Dienst mitgegeben wird und sie sich somit nicht in die Quere kommen.

Da die drei inet-Router in den jeweiligen Wohnungen stehen, gehts das nicht und wäre wohl auch nicht die benötigte Lösung.

Äääh was wäre denn nun genau die "...nicht benötigte Lösung" ???
Verwirrung komplett !!!

Das du die 3 Netze aber mit dem Mikrotik oder einer kleinen Firewall verbinden willst aber schon, oder ??
Oder meinetst du das jetzt nur auf die DNS Fragestellung bezogen...??
Wie gesagt nun ist die Verwirrung komplett

Zitat von @pagefault:

> Zitat von @fisi-pjm:
>
> Welche Lösung?

die von Lochkartenstanzer vorgeschlagene

Welche von den vielen?

lks

Dann wäre VLAN wohl am "einfachsten". (LAYER 3 Switch)
Oder du lässt den DHCP auf dem Mikrotik brummen und machst ne MAC Adressbindung auf 3 Unterschiedliche Bereiche die jeweils den Inetanschluss der einzelnen Geräte verteilen. Weis nicht ob sowas vielleicht auch portbezogen geht.
Und wie gesagt DNS auf dem Mikrotik dann klappts auch mit den Namen.

Gruß
PJM

Zitat von @pagefault:

DNS ist ja auch kein Problem, da bei jedem DHCP Server auch der eigene DNS-Dienst mitgegeben wird und sie sich somit nicht in die
Quere kommen.

Und wie finden die dann nasxyz?

lks

Dann wäre VLAN wohl am "einfachsten". (LAYER 3 Switch)

Nein, das wäre zwar technisch nicht falsch aber mit einem größeren materielen und finanziellem Aufwand verbunden und eigentlich unsinnig weil mit Kanonen auf Spatzen...

Zitat von @aqui:

> Dann wäre VLAN wohl am "einfachsten". (LAYER 3 Switch)
Nein, das wäre zwar technisch nicht falsch aber mit einem größeren materielen und finanziellem Aufwand verbunden
und eigentlich unsinnig weil mit Kanonen auf Spatzen...

Deswegen stehst ja in Anführungszeichen

Zitat von @pagefault:
Wenn der Mikrotik als Router eingesetzt wird, lauf ich doch Gefahr alle nicht routbaren Nachricht/Broadcast zu verlieren, deshalb
kam ich auf den Ansatz mit dem Switch-Mode plus DHCP-Filter.

http://wiki.mikrotik.com/wiki/Bridge_Filter_-_Blocking_DHCP_Traffic sollte ein guter Start sein.

lks

Zitat von @aqui:

> Da die drei inet-Router in den jeweiligen Wohnungen stehen, gehts das nicht und wäre wohl auch nicht die benötigte
Lösung.
Äääh was wäre denn nun genau die "...nicht benötigte Lösung" ???
Verwirrung komplett !!!

Ja, sorry, ich habe am Anfang das Forum falsch bedient d.h. Kommentar statt Zitat.

Mein "Kommentar" bezog sich auf dasd hier:

Ich würde Dir eher empehlen alle drei Netze direkt mit einem swicth zusammenzuschalten und den Microtik als Multiwan-Router an die dreit Internet-Router zu hängen, was imho das sinnvollere wäre,

Das du die 3 Netze aber mit dem Mikrotik oder einer kleinen
Firewall
verbinden willst aber schon, oder ??
Oder meinetst du das jetzt nur auf die DNS Fragestellung bezogen...??
Wie gesagt nun ist die Verwirrung komplett

Das zusammen Schalten der drei Netze mit dem Mikrotik ist weiterhin aktuell.

OK, so macht es dann wieder Sinn

Zitat von @fisi-pjm:

Dann wäre VLAN wohl am "einfachsten". (LAYER 3 Switch)
Oder du lässt den DHCP auf dem Mikrotik brummen und machst ne MAC Adressbindung auf 3 Unterschiedliche Bereiche die jeweils
den Inetanschluss der einzelnen Geräte verteilen. Weis nicht ob sowas vielleicht auch portbezogen geht.

Ein lokaler DHCP-Server mit MAC-Adressbindung hätte ein Folgeproblem -> neue Geräte bzw. Gastzugänge.
Angenommen einer der Teilnehmer schließt ein neues/unbekanntes Netzgerät an, dann wäre die DHCP Zuweisung erst mal zufällig.
Dies könnte zwar später wieder korrigiert werden, setzt aber voraus, dass ich es zum einen mitbekomme und zum anderen auch da sein müsste.
Desweiteren gibt es auch noch Wireless-Gast-Netzwerke, deren Besucher dann ebenfalls wilde Zuweisungen bekommen würden.

Gäste hält man mit einem Captive_Portal in Schach, was der MT übrigens auch supportet.
Sollte man wegen der in D wirksamen Störerhaftung auch unbedingt machen.
Was die DHCP Adressierung angeht siehst du das alles richtig. Ein Mac Adress basiertes DHCP bedingt das du alle neuen Geräte kennen und vorab authentisieren musst.

Ein lokaler DHCP-Server mit MAC-Adressbindung hätte ein Folgeproblem -> neue Geräte bzw. Gastzugänge.
Angenommen einer der Teilnehmer schließt ein neues/unbekanntes Netzgerät an, dann wäre die DHCP Zuweisung erst mal
zufällig.
Dies könnte zwar später wieder korrigiert werden, setzt aber voraus, dass ich es zum einen mitbekomme und zum anderen
auch da sein müsste.
Desweiteren gibt es auch noch Wireless-Gast-Netzwerke, deren Besucher dann ebenfalls wilde Zuweisungen bekommen würden.

Nicht wenn das ganze "Netzwerk Port" bezogen gelöst werden kann. Sprich:
alles über eth1 = DHCP Range 1
alles über eth2 = DHCP Range 2
alles über eth3 = DHCP Range 3

Das hab ich allerdings noch nicht getestet bzw. weis nicht ob Mikrotik sowas unterstützt
Dann fungieren deine Einzelnen Fritz..,Speed.., und was weis ich noch für boxen fast schon nur noch als dummer Accesspoint, und bevors hier wieder ein Riesen beschiss wegen DNS uns CO gibt. 1. DNS Eigener Internet Router 2. DNS Mikrotik gerät ferdsch.

Gruß
PJM

Hallo zusammen,

Es gibt 3 Netze, die jeweils aus mehreren (Windows) PC's und diversen Servern bestehen,

Das ist ein einziges Netz mit mehreren IP Adressen aus ein und dem selben Adressbereich.

jedes besitzt einen eigenen Internetzugang. (Server wären z.B Printserver, NAS, Mediaserver).

Sind dort wirklich dfrei unterschiedliche Internetzugänge vorhanden?

Die Aufgabe ist nun alle drei Netze zusammen zu schalten, ohne das die
inet-Gateways/Router kollidieren, speziell die DHCP-Server.

Man kann das auf zwei unterschiedliche Weisen lösen
- Routing
- VLANs

Jedes Segment läuft quasi im selben Netz (197.168.1.0/24) allerdings
besitzt jedes eine eigene Range.
Netz1: 192.168.1.1-100
Netz2: 192.168.1.130-170
Netz3: 192.168.1.180-250

Wäre hier nicht besser ein Multi WAN Router angebracht?
Ein Lancom, ein MikroTik, eine pfSense oder ein Draytek VIGOR3900
Und dann entweder drei VLANs oder aber über einfaches Routing die Sache
lösen.

die I-net router liegen bei:
Netz1: 192.168.1.1
Netz2: 192.168.1.150
Netz3: 192.168.1.200

Die Idee dahinter ist, dass interne Anwendungen wie SMB, DLNA Clients&Server, die
NAS oder auch Spiele per Broadcast gefunden werden, ohne das man immer die
direkte Adressen eingeben muss, was auch nicht immer möglich ist.

Ich sage jetzt einmal Du machst einen Denkfehler oder willst es unbedingt komplizieren
was nun genau kannst nur Du wissen. Aber ich würde es wie folgt erledigen wollen.
- Multi WAN Router besorgen
- Eine Load Balancing Methode auswählen (Session based, Service based oder Policy Based Routing)
- VLANs anlegen und jedem VLAN einen eigenen IP Adressbereich vergeben, fertig!

Alternativ:
- Multi WAN Router besorgen
- Eine Load Balancing Methode auswählen (Session based, Service based oder Policy Based Routing)
- Jedem LAN Port des Routers einen eigenen IP Adressbereich vergeben, also z.B.
- Eth0 = WAN Port 1
- Eth1 = WAN Port 2
- Eth2 = WAN Port 3
- Eth3 = 192.168.1.0/24
- Eth4 = 192.168.2.0/24
- Eth5 = 192.168.3.0./24

Für diese Aufgabe liegt mir nun ein Mikrotik RouterBOARD 750GL vor.
(default config. 1-WLan und 4 LAN ports)

Einen MikroTik Router würde ich auch benutzen wollen nur eben entweder einen der
genug Ports von vorne herein mitbringt oder aber zusammen mit einem VLAN fähigen
Switch. Beide von mir genannten Möglichkeiten kann der MikroTik Router erledigen.

Da ich mit dem Router keine große Erfahrung habe, wächst mir trotz der netten Oberfläche die
Konfiguration über den Kopf und somit wäre ich für Hilfe sehr dankbar.

Eventuell wäre auch einfach ein anderer Multi WAN Router eine Überlegung wert!
pfSense, mOnOwall, IPFire, ZeroShell, fli4l, DD-WRT, OpenWRT,.....

Mein Ansatz wäre so das die 4 Ports als normaler Switch zusammen gefasst werden
und eine Regel die DHCP-Request weitergabe unterdrückt.

Würde ich so nicht machen wollen.

Gruß
Dobby

Zitat von @108012:

Hallo zusammen,

> Es gibt 3 Netze, die jeweils aus mehreren (Windows) PC's und diversen Servern bestehen,
Das ist ein einziges Netz mit mehreren IP Adressen aus ein und dem selben Adressbereich.

Es sind drei physikalisch getrennte Netze, ich habe ihnen nur IP-Adressen aus dem selben Addressraum gegeben, um dem angesprochenen Problemen mit nicht routbaren Diensten vorzubeugen.

> jedes besitzt einen eigenen Internetzugang. (Server wären z.B Printserver, NAS, Mediaserver).
Sind dort wirklich dfrei unterschiedliche Internetzugänge vorhanden?

Ja, sind sie; um genau zu sein ist es ein 50'erVDSL der Telekom mit einem Speedport-Router, ein 16'erDSL von Vodafone mit einem Netgear-Router und ein 100'er Kabelanschluß von Unitymedia un technicolor-Router.

> Die Aufgabe ist nun alle drei Netze zusammen zu schalten, ohne das die
> inet-Gateways/Router kollidieren, speziell die DHCP-Server.
Man kann das auf zwei unterschiedliche Weisen lösen
- Routing
- VLANs

> Jedes Segment läuft quasi im selben Netz (197.168.1.0/24) allerdings
> besitzt jedes eine eigene Range.
> Netz1: 192.168.1.1-100
> Netz2: 192.168.1.130-170
> Netz3: 192.168.1.180-250
Wäre hier nicht besser ein Multi WAN Router angebracht?
Ein Lancom, ein MikroTik, eine pfSense oder ein Draytek VIGOR3900
Und dann entweder drei VLANs oder aber über einfaches Routing die Sache
lösen.

> die I-net router liegen bei:
> Netz1: 192.168.1.1
> Netz2: 192.168.1.150
> Netz3: 192.168.1.200
Ok

> Die Idee dahinter ist, dass interne Anwendungen wie SMB, DLNA Clients&Server, die
> NAS oder auch Spiele per Broadcast gefunden werden, ohne das man immer die
> direkte Adressen eingeben muss, was auch nicht immer möglich ist.
Ich sage jetzt einmal Du machst einen Denkfehler oder willst es unbedingt komplizieren
was nun genau kannst nur Du wissen. Aber ich würde es wie folgt erledigen wollen.

Wenn da ein Denkfehler ist, wäre ich für einen Hinweis sehr dankbar und ich war der Meinung, dass der Ansatz mit "Switch-Mode mit DHCP-Sperre" genau das Gegenteil von kompliziert wäre.

- Multi WAN Router besorgen
- Eine Load Balancing Methode auswählen (Session based, Service based oder Policy Based Routing)
- VLANs anlegen und jedem VLAN einen eigenen IP Adressbereich vergeben, fertig!

Alternativ:
- Multi WAN Router besorgen
- Eine Load Balancing Methode auswählen (Session based, Service based oder Policy Based Routing)
- Jedem LAN Port des Routers einen eigenen IP Adressbereich vergeben, also z.B.
- Eth0 = WAN Port 1
- Eth1 = WAN Port 2
- Eth2 = WAN Port 3
- Eth3 = 192.168.1.0/24
- Eth4 = 192.168.2.0/24
- Eth5 = 192.168.3.0./24

Drei Netze bedeutet auch drei Broadcast Zonen, somit gehen diese durch das Routing doch verloren, oder liege ich da falsch?
Und wie oben schon beschrieben, ist jeder Router in einer anderen Wohnung stationiert, von daher kommt ein gemeinsamer Multi-WAN-Router nicht an alle Anschlüsse und wenn ich die Verbindungskabel hernehme, habe ich keine Rückleitung für die jeweiligen Netzte mehr.
Load-Balancing ist bisher keine Thema, da jede Familie ja ihren eigenen Anschluß hat und damit zurecht kommen muß.
Ein zukünftiges Fallback wäre denkbar ... aber erst mal ein Problem klären, bevor ein Neues generiert wird.

Grüßle

Es sind drei physikalisch getrennte Netze, ich habe ihnen nur IP-Adressen aus dem selben Addressraum gegeben, um dem angesprochenen Problemen mit nicht routbaren Diensten vorzubeugen.

Ist ja auch kein Thema wenn die Netzwerk Maske dieser 3 Netze entsprechend ist und sie 3 unterschiedliche IP Netze sind !!
Mit einer 26 Bit Maske 255.255.255.192 ist das ja alles sauber und korrekt !

Wenn da ein Denkfehler ist, wäre ich für einen Hinweis sehr dankbar

Nein, alles richtig gedacht.
Die IP Adressierung musst du allerdings zwingend mit der 26 Bit Maske anpassen damit das 3 separate IP Netze werden sonst kannst du sie nicht routen !!! Weisst du aber ja sicher auch selber. Die dürfen NICHT alle im gleichen IP Netz liegen mit einer 24 Bit Maske !!
Beispiel mit 26 Bit Maske 255.255.255.192:
Netz 1: 192.168.1.0 /26, Host-IPs von: 192.168.1.1 bis: 192.168.1.62
Netz 2: 192.168.1.64. /26, Host-IPs von: 192.168.1.65 bis: 192.168.1.126
Netz 3: 192.168.1.128 /26, Host-IPs von: 192.168.1.129 bis: 192.168.1.190
Oder du vergibst alternativ 24 Bit Masken.
Beispiel mit 24 Bit Maske 255.255.255.0:
Netz 1: 192.168.1.0 /24, Host-IPs von: 192.168.1.1 bis: 192.168.1.254
Netz 2: 192.168.2.0 /24, Host-IPs von: 192.168.2.1 bis: 192.168.2.254
Netz 3: 192.168.3.0 /24, Host-IPs von: 192.168.3.1 bis: 192.168.2.254
Du kannst dich da völlig frei im Rahmen der privaten IP Adressen RFC 1918 bewegen und dir die schönsten IPs aussuchen:
http://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche

Drei Netze bedeutet auch drei Broadcast Zonen, somit gehen diese durch das Routing doch verloren, oder liege ich da falsch?

Ja, das ist TCP/IP Standard und bringt das Routing so mit sich ! Aber warum sollte das ein Problem sein. Genau DAS will man ja trennen damit nicht jeder gleichen jeden anderen sieht und auf dessen Rechner rumhacken kann.
Das Routing über einen zentralen Router stellt ja auch wieder die völlige Transparenz her !

von daher kommt ein gemeinsamer Multi-WAN-Router nicht an alle Anschlüsse

Wär auch Blödsinn, denn über den Koppelrouter kann man auch andere Ausfallszenarien realisieren !

da jede Familie ja ihren eigenen Anschluß hat

Ist auch besser so denn in D lauert immer das rechtliche Schwert der Störerhaftung !!

Mein Ansatz wäre so das die 4 Ports als normaler Switch zusammen gefasst werden und eine Regel die DHCP-Request weitergabe unterdrückt.

Ja genau... für gemeinsame Ressourcen wäre dann ein DNS Server nicht schlecht...

Das ist eine ACL auf Layer 2
können auch die einfachen TP-Link Geräte, hast du den mikrotik schon gekauft?

Zitat von @hcfel1:

können auch die einfachen TP-Link Geräte, hast du den mikrotik schon gekauft?

Du willst doch nicht ernsthaft vorschlagen, daß man statt einem Microtik einen TP-Link einsetzt. Preislich ist da wenig Unterschied, aber qualitativ sind da Welten dazwischen.

lks

> Drei Netze bedeutet auch drei Broadcast Zonen, somit gehen diese durch das Routing doch verloren, oder liege ich da falsch?
Ja, das ist TCP/IP Standard und bringt das Routing so mit sich ! Aber warum sollte das ein Problem sein. Genau DAS will man ja
trennen damit nicht jeder gleichen jeden anderen sieht und auf dessen Rechner rumhacken kann.

Aber genau das will ich ja erreichen, nicht verhindern!

> da jede Familie ja ihren eigenen Anschluss hat
Ist auch besser so denn in D lauert immer das rechtliche Schwert der Störerhaftung !!

Das 1. Etappenziel ist die Erstellung EINES internen Netzes unter Beibehaltung der jeweiligen Internetzugänge.
Die jeweiligen DHCP-Server der Router leisten ja diese Anforderung ... insofern man sie getrennt bekommt.
Somit hat jede Familie ihren eigenen Zugang und kann ihn auch nutzen.

Das 2. Etappenziel wäre die Abschottung der Gateways gegen die anderen beiden Netze.
Das heißt es gilt zu verhindern, dass unsere Junginformatiker mal eben schnell die Konfigurationen von Hand abändern und durch fremde Gateways surfen.

Das 3. Etappenziel wäre ein Fallback bei Störungen bzw. Totalausfall.
Das muss noch nicht mal automatisch passieren, vor allem, da es EZ 2 widerspricht.

Grüßle

Zitat von @hcfel1:

können auch die einfachen TP-Link Geräte, hast du den mikrotik schon gekauft?

Ja, ist vorhanden und wartet auf die passende Konfiguration.

Zitat von @pagefault:

> Zitat von @hcfel1:

> können auch die einfachen TP-Link Geräte, hast du den mikrotik schon gekauft?

Ja, ist vorhanden und wartet auf die passende Konfiguration.

hast Du Dir mal den obigen Link auf das Mikrotik-Wiki angeschaut, den ich Dir genannt habe. Du muß die dortigen Angaben nur auf Dein Szenario anpassen.

lks

hast Du Dir mal den obigen
Link auf das Mikrotik-Wiki angeschaut, den ich Dir genannt
habe. Du muß die dortigen Angaben nur auf Dein Szenario anpassen.

lks

Oh, stimmt, den habe ich mir sogar schon angeschaut und habe dann vor lauter Reagieren vergessen Dir zu Antworten.

Es wird ja genau der DHCP-Port abgefangen und das ganze im Bridge-Mode.
Da bleibt nur die Frage übrig ob Bridge- oder Switch-Mode für den Mikrotik einen Unterschide macht?
D.h aber vom Gefühl her, ist es das, was meiner Grundidee am nächsten kommt, von daher schon mal vielen Dank ... jetzt muß ich nur noch zusehen wie ich es für meine Zwecke ummodel und integriert bekomme.

Für Etappenziel 2 wäre es ja der gleiche Ansatz. nur eben nicht Port- sondern IP-basierend um den segmentübergreifenden Zugriff auf die Nachbar-Gateways zu verhindern.

Zitat von @pagefault:

Da bleibt nur die Frage übrig ob Bridge- oder Switch-Mode für den Mikrotik einen Unterschide macht?

Höchtsnes in der Latenz, weobei ich nciht glaube, daß die Mirotik das überhaupt getrennt handhabt, denn technisch machen bridges und switches das gleiche.

Und da es heutztage kaum noch cut-through-switches gibt, sondern alle mehr oder weniger store-and-forward machen, ist es sogar faktisch das gleiche.

Es kan natürlich sein, daß die Firmware des Mikrotik sich andres verhält, je nachdem, welchen Modus man wählt.

lks

Das 1. Etappenziel ist die Erstellung EINES internen Netzes unter Beibehaltung der jeweiligen Internetzugänge.

Das ist technisch unmöglich !! Jedenfalls was die Definition "EINES internen Netzes" anbetrifft !
Es kann, wenn man die Etappenziele 2 und 3 mit einbezieht, einzig nur die Routing Option geben die aber bedingt das alle 3 Netze eigenständige und unterschiedliche IP Netze sind die routebar sind.
Dieses Routing der 3 Netze macht der MT oder ne Firewall !!

Ohne das hast du dann alle Komponenten zusammen in einer Brodcast Domain mit entsprechendem Chaos ! Eine Trennung der Gateways, DHCPs und DNS ist unmöglich.
Denkbar wäre eine Trennung in 3 VLANs aber dann hast du keinerlei Chance die netze zu verbinden, da gleiche IP Netzadresse. Die VLANs müssten so immer total getrennt bleiben.
Ein gemeinsames Netz und gemeinsame Kommunikation ist dann unter der Voraussetzung ein gemeinsames IP Netz ferne Utopie !!
So kommst du niemals zum Ziel ! 4 Port Bridge usw. ist also völliger Unsinn in dem Umfeld.
Das Ziel kann (und muss) nur Routing sein !

Das Ziel kann (und muss) nur Routing sein !

Danke! Meine Worte

hier muss ich wiedersprechen!

wenn DHCP Requests gefiltert werden ist ein Layer 2 netz mit 192.168.1.0/24 sehr wohl möglich!

Das ist ja auch das Ziel, damit sich die games mit den L2 Broadcasts finden...

Du kannst auch die gateway IPs komplett blockieren auf dem Mikrotik, dann kommt keiner auf ein anderes gateway...

@lks

Wir reden hier von einem Privathaushalt, hast du schonmal TP-Link probiert? für diesen Einsatzzweck ausreichend
oder kannst du mir etwas negatives Berichten, außer das Herstellerland?

Zitat von @hcfel1:

Wir reden hier von einem Privathaushalt, hast du schonmal TP-Link probiert? für diesen Einsatzzweck ausreichend
oder kannst du mir etwas negatives Berichten, außer das Herstellerland?

Ich hatte schon einige TP-Links in den Fingern, die Blinker gespielt haben:

Geht - geht nicht - geht - geht nicht - geht ...

und zwar so, daß es indeterministisch war und nicht ersichtlich, was der Grund war.

lks

wenn DHCP Requests gefiltert werden ist ein Layer 2 netz mit 192.168.1.0/24 sehr wohl möglich!

Ja, theoretisch stimmt das aber dann kannst du DHCP auch gleich ganz abschalten denn keiner der 3 Teilnehmer darf dann mehr IPs dynamisch bekommen sondern muss sie statisch definieren da es ja 3 unterschiedliche Internet Gateways gibt.
Zusätzlich kommt dann noch ein separates Gäste Netz dazu was dann so oder so Routing erzwingt.
Die gesamte L2 Frickelei ist sinnfreier Blödsinn in so einem Design und erfordert zig Bastelmassnahmen um das in den Griff zu bekommen. Wozu das also. Abgesehen davon bräuchte man dann keinen Mikrotik und ein simpler Switch würde reichen.

Fazit: 3 Netze (oder 4 mit Gästen) ein Router, jeder kann so mit jedem kommunizieren, Kontrolle ist da und...fertig ist der Lack !
Einfacher gehts ja nun nicht.

Zitat von @aqui:

> wenn DHCP Requests gefiltert werden ist ein Layer 2 netz mit 192.168.1.0/24 sehr wohl möglich!
Ja, theoretisch stimmt das aber dann kannst du DHCP auch gleich ganz abschalten denn keiner der 3 Teilnehmer darf dann mehr IPs
dynamisch bekommen sondern muss sie statisch definieren da es ja 3 unterschiedliche Internet Gateways gibt.

Auch wenn ich der Routing-version den Vorzug geben würde:

Ein Layer-2-Filter der einfach keine DHCP-Pakete durchläßt, würde es schon ermöglichen, daß ale drei Segmente wie bisher weiterfunktionieren. Man müßte ggf noch ICMP-pakete passend filtern, damit da kein Unsinn passiert.

lks

PS: Mit L2-Paketfiltern auf programmierbaren bridges haben wir damals (TM) Mitte der 80er unsere ersten Firewalls am Institut aufgebaut Auch damals lief auf "beiden Seiten" das gleiche IP-Netz.

PPS: Ich würde einfach ein gemeinsames Spielenetz dazunehmen und die drei Netze plus das Gastnetz getrentn routen.

Ich würde da einfach ein separates Spiele-Netz machen, daß von den anderen unabhängig ist und die anderen Netze getrennt routen.

Da bleibt nur die Frage übrig ob Bridge- oder Switch-Mode für den
Mikrotik einen Unterschide macht?

Bridge wenn Du musst, aber route wenn Du kannst

Beispiel mit 24 Bit Maske 255.255.255.0:
Netz 1: 192.168.1.0 /26, Host-IPs von: 192.168.1.1 bis: 192.168.1.254
Netz 2: 192.168.2.0 /26, Host-IPs von: 192.168.2.1 bis: 192.168.2.254
Netz 3: 192.168.3.0 /26, Host-IPs von: 192.168.3.1 bis: 192.168.2.254

Hallo @aqui, muss das denn hier nicht /24 heißen?
Und ist da nicht bis 192.168.3.254 gemeint???

Ich frage nämlich daher, weil ich das genau so gemeint habe!

Es sind drei physikalisch getrennte Netze, ich habe ihnen nur IP-Adressen aus dem selben
Addressraum gegeben, um dem angesprochenen Problemen mit nicht routbaren Diensten
vorzubeugen.

Was bitte genau sind denn die unroutbaren Dienste genau???
Das verstehe ich jetzt nicht so richtig!

Ja, sind sie; um genau zu sein ist es ein 50'erVDSL der Telekom mit einem
Speedport-Router, ein 16'erDSL von Vodafone mit einem Netgear-Router und
ein 100'er Kabelanschluß von Unitymedia un technicolor-Router.

Ich möchte ja jetzt nicht jemandem hier zu nahe treten, aber ich würde
wenn schon denn schon eben einfach versuchen, einen Multi WAN Router zu
benutzen, was der MikroTik ja auch beherrscht.

Drei Netze bedeutet auch drei Broadcast Zonen, somit gehen diese durch
das Routing doch verloren, oder liege ich da falsch?

Über drei WAN Ports hinweg möchtest Du also ein großes Netz schaffen
ist das richtig? Also ich würde sagen vergiss Dein Vorhaben gleich wieder!

Und wie oben schon beschrieben, ist jeder Router in einer anderen Wohnung stationiert,
von daher kommt ein gemeinsamer Multi-WAN-Router nicht an alle Anschlüsse und wenn
ich die Verbindungskabel hernehme, habe ich keine Rückleitung für die jeweiligen Netzte
mehr.

Ok ich hatte das so verstanden, das es sich um eine Firma handelt und dann dort eben
drei Internetanschlüsse vorhanden sind.

Load-Balancing ist bisher keine Thema, da jede Familie ja ihren eigenen Anschluß
hat und damit zurecht kommen muß.

Und wie soll dort dann vor Ort ein großes Netzwerk erstellt werden???
Über das WAN Interface also sprich über das Internet oder sind die Wohnungen
alle in einem Haus und sollen untereinander verbunden werden?

Gruß
Dobby

Das geht nicht nur theoretisch, wenn die DHCP Pakete am Mikrotik gefiltert werden können 3 DHCP Srrver bleiben... Gastnetze bräuchte man ja pro Familie ein eigenes...

Die Sache ist in 10 Minuten konfiguriert und getestet(außer die Mikrotik CLI ist schlecht... Habe noch nie mit der gearbeitet)

@108012 !
Ja ! Du hast natürlich recht...keine Frage und danke für den Hinweis.

In der Aufstellung war leider ein "Cut and Paste Fehler", der aber jetzt korrigiert ist. Danke für den Hinweis !!

Der TO pagefault hat ja sein 192.168.1.er Netz quasi schon segmentiert für die 3 Parteien wie er schreibt.
Intention war jetzt das entsprechend so beizubehalten allerdings mit Subnetz konformen Bereichen die man dann natürlich etwas anpassen muss für die 3 Familien Blöcke.
Korrekt lauten die Segmente dann natürlich so bei einer 26 Bit Maske:
Netz 1: 192.168.1.0 /26, Host-IPs von: 192.168.1.1 bis: 192.168.1.62
Netz 2: 192.168.1.64. /26, Host-IPs von: 192.168.1.65 bis: 192.168.1.126
Netz 3: 192.168.1.128 /26, Host-IPs von: 192.168.1.129 bis: 192.168.1.190

Bei der 24 Bit Option dann entsprechend so:
Netz 1: 192.168.1.0 /24, Host-IPs von: 192.168.1.1 bis: 192.168.1.254
Netz 2: 192.168.2.0 /24, Host-IPs von: 192.168.2.1 bis: 192.168.2.254
Netz 3: 192.168.3.0 /24, Host-IPs von: 192.168.3.1 bis: 192.168.2.254

Frage Sonstige Systeme MikroTik

Heiß diskutiert