Mehrere Subnetze (ca 50) einfachste Config mit Gateway
Hallo zusammen,
ich möchte explizit getrennte Subnetze aufbauen und möchte aber nur ein Port auf dem Router als Gateway verschwenden...
Im Windowsumfeld kann man tatsächlich ein Gateway außerhalb des jeweiligen Subnetze angeben und es funktioniert wunderbar, nur haben wir auch zum Teil Linuxbüchsen mit dran und
dann funzt das nicht mehr.
Aber eigentlich will ich vermeiden 50 VLANs auf dem Router und den Switchen anzulegen.
Kennt jemand eine Möglichkeit das möglichst einfach zu lösen?
Bsp:
Netz A 10.0.0.0 /24
Netz B 10.0.1.0 /24
GW 10.0.255.254 /16
Hintergrund ist, Netz A und Netz B enthalten Maschinen(-PCs) von verschiedenen Herstellern, die sich nicht sehen sollen. Die Hersteller sollen aber Fernwartung auf den PCs machen können.
Danke im Voraus
ich möchte explizit getrennte Subnetze aufbauen und möchte aber nur ein Port auf dem Router als Gateway verschwenden...
Im Windowsumfeld kann man tatsächlich ein Gateway außerhalb des jeweiligen Subnetze angeben und es funktioniert wunderbar, nur haben wir auch zum Teil Linuxbüchsen mit dran und
dann funzt das nicht mehr.
Aber eigentlich will ich vermeiden 50 VLANs auf dem Router und den Switchen anzulegen.
Kennt jemand eine Möglichkeit das möglichst einfach zu lösen?
Bsp:
Netz A 10.0.0.0 /24
Netz B 10.0.1.0 /24
GW 10.0.255.254 /16
Hintergrund ist, Netz A und Netz B enthalten Maschinen(-PCs) von verschiedenen Herstellern, die sich nicht sehen sollen. Die Hersteller sollen aber Fernwartung auf den PCs machen können.
Danke im Voraus
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 309215
Url: https://administrator.de/forum/mehrere-subnetze-ca-50-einfachste-config-mit-gateway-309215.html
Ausgedruckt am: 28.04.2025 um 17:04 Uhr
10 Kommentare
Neuester Kommentar
Moin,
Wenn Du das so machst, wirst Du mehr zeit mit fehlersuche verbringen als das, was Du an Zeit sparst.
Du nimmst einafch eine Layer-3-switch und trennst die Subnetze durch VLANs. fertig.
lks
Wenn Du das so machst, wirst Du mehr zeit mit fehlersuche verbringen als das, was Du an Zeit sparst.
Du nimmst einafch eine Layer-3-switch und trennst die Subnetze durch VLANs. fertig.
lks
Hallo,
einfach eine Firewall und dort virtuelle Interfaces als VLAN anlegen.
Dann ein Kabel zum Switch und dort zu jedem Port das VLAN definieren.
Schwubs und einfach.
Stefan
einfach eine Firewall und dort virtuelle Interfaces als VLAN anlegen.
Dann ein Kabel zum Switch und dort zu jedem Port das VLAN definieren.
Schwubs und einfach.
Stefan
Im Windowsumfeld kann man tatsächlich ein Gateway außerhalb des jeweiligen Subnetze angeben und es funktioniert wunderbar,
Das ist IP routingtechnischer Blödsinn, sorry aber wie soll das logisch gehen ? Oder du hast das hier jetzt falsch ausgedrückt. Kann es ein das du alle Subnetze auf einem und demselben Draht sprich Layer 2 Domain fährst.Das wäre so oder so fatal und ein laienhafter Designfehler der so außerhalb jeglichen Standards ist und nicht supportet ist.
Ein Next Hop Gateway muss logischerweise immer in dem Subnetz sein worin sich auch das Endgerät befindet.
Alles andere ist Blödsinn !
Wie sollte auch sonst ein Endgerät zu einem Gateway kommen das in einem IP Netz liegt was es (das Endgerät) gar nicht selber kennt sondern eben nur über ein Gateway im eigenen Subnetz ?!
Wie willst du die getrennten Subnetze denn sonst aufbauen wenn nicht über VLANs ??
Du willst ver vermutlich wohl nicht 50 einzelne Switches kaufen pro Subnetz einen und die zusammenstecken, oder ?
Kollege LKS hat ja schon alles dazu gesagt. Alles andere ist IP technischer Unsinn
Die Fragestellung ist zugegeben etwas wirr...
Moin,
Um es nochmal deutlich zu machen:
Wenn Du vorhast, auf demselben LAN-Segment mehrere IP-Subnetze zu betreiben, so funktioniert das unter Linux deutlich besser als mit Windows, wenn Du die Konfiguration richtig machst. Wie aqui in diesem Forum an sehr vielen Stellen schon hingewiesen hat, ist das aber ein design, daß man entweder im Vollsuff macht, oder aber ganz bewußt in Kenntniss aller Fallstricke, weil man eben genau diese Fallstricke kennt udn daher weiß, wie man verhindert, das man gegen eine Wand fährt. Das scheint bei Dir aber nicht der Fall zu sein.
Des weiteren ist es so, daß selbst wenn man mehrere verschiedene Subnetze auf dem selben Boradcast-Segment benutzt, man trotzdem immer ein Gateway zu nehmen hat, das im selben Subnetz liegt. Notfalls muß man dem Router halt mehrere IP-Adressen auf demselben Interface verpassen. Daß Du mit Windows irgendetwas hinbekommen hast, heißt eigentlich nur, daß der TCP-Stack von Windows buggy ist und das beim nächsten Update schon ganz anders aussehen kann.
Weiterhin ist es so, daß Du wenn Du nur Subnetze auf derselben Broadcast-domain zum Trennen nimmst, das mitnichten dazu führt, daß die Geräte sich nicht sehen. Die sehen mindestens die Brodcast-Pakete und wenn Du Pech hast vieles mehr. Und wenn die Admins der Kisten nicht auf den Kopf gefallen sind, sehen die sogar alles auf dem LAN. Von daher kann der eine Hersteller durchaus dem anderen hersteller in die Suppe spucken, um einen Konkurrenten auszuschalten!
Um es nochmal zu sagen: So wie Du es beschrieben hast, ist das einfachste, einen layer-3-Switch zu nehmen und das Ganze per VLAN zu segmentieren und zu routen. Und die verschiedenen Hersteller trennst Du, indem Du die "Einwahl" per VPN machen läßt und abhängig vom Client entsprechende Routen setzt. die den Zugriff nur auf das Segment dieses herstellers zulassen.
Vielleicht soltlest Du hier einfach ein paar Infos mehr posten, damit wir Dir vielleicht sinnvollere Vorschläge machen können.
lks
Um es nochmal deutlich zu machen:
Wenn Du vorhast, auf demselben LAN-Segment mehrere IP-Subnetze zu betreiben, so funktioniert das unter Linux deutlich besser als mit Windows, wenn Du die Konfiguration richtig machst. Wie aqui in diesem Forum an sehr vielen Stellen schon hingewiesen hat, ist das aber ein design, daß man entweder im Vollsuff macht, oder aber ganz bewußt in Kenntniss aller Fallstricke, weil man eben genau diese Fallstricke kennt udn daher weiß, wie man verhindert, das man gegen eine Wand fährt. Das scheint bei Dir aber nicht der Fall zu sein.
Des weiteren ist es so, daß selbst wenn man mehrere verschiedene Subnetze auf dem selben Boradcast-Segment benutzt, man trotzdem immer ein Gateway zu nehmen hat, das im selben Subnetz liegt. Notfalls muß man dem Router halt mehrere IP-Adressen auf demselben Interface verpassen. Daß Du mit Windows irgendetwas hinbekommen hast, heißt eigentlich nur, daß der TCP-Stack von Windows buggy ist und das beim nächsten Update schon ganz anders aussehen kann.
Weiterhin ist es so, daß Du wenn Du nur Subnetze auf derselben Broadcast-domain zum Trennen nimmst, das mitnichten dazu führt, daß die Geräte sich nicht sehen. Die sehen mindestens die Brodcast-Pakete und wenn Du Pech hast vieles mehr. Und wenn die Admins der Kisten nicht auf den Kopf gefallen sind, sehen die sogar alles auf dem LAN. Von daher kann der eine Hersteller durchaus dem anderen hersteller in die Suppe spucken, um einen Konkurrenten auszuschalten!
Um es nochmal zu sagen: So wie Du es beschrieben hast, ist das einfachste, einen layer-3-Switch zu nehmen und das Ganze per VLAN zu segmentieren und zu routen. Und die verschiedenen Hersteller trennst Du, indem Du die "Einwahl" per VPN machen läßt und abhängig vom Client entsprechende Routen setzt. die den Zugriff nur auf das Segment dieses herstellers zulassen.
Vielleicht soltlest Du hier einfach ein paar Infos mehr posten, damit wir Dir vielleicht sinnvollere Vorschläge machen können.
lks
so funktioniert das unter Linux deutlich besser als mit Windows, wenn Du die Konfiguration richtig machst.
Man sollte aber noch einmal recht deutlich wiederholen das das NICHT standardkonform ist und TCP/IP dafür nicht designed worden ist.Der Hinweiss vom Kollegen LKS mit dem "Vollsuff" ist drastisch, entspricht aber voll den Tatsachen.
Gerade mit ICMP Kontrollpacketen gibt es da massive Schwierigkeiten. Eine saubere VLAN Trennung ist da zweifelsohne immer die richtige Wahl.
Richtig auch sein Hinweis mit dem Gateway auf dem selben Draht. Router oder L3 Switches zwingt man hier so gut wie immer in den CPU Mode, sprich das L3 Forwarding kann nicht in Hardware erfolgen wie in einem VLAN Design sondern ist CPU switched mit entsprechend gruseliger Performance.
Das üble Broadcast Verhalten wie oben richtig angesprochen besorgt dann den Rest...
Fazit: Es hat schon einen triftigen Grund warum man solcherlei "Vollsuff" Designs eben NICHT macht !
Mehr muss man zu einem VLAN Design wohl auch nicht sagen. Für "richtige" Netzwerker gibts da eh keinerlei Diskussion über solchen obigen Unsinn.
Hallo nochmal,
sorry für die Verwirrung bei der Frage...
Auf jeden Fall habe ich die Antwort bekommen, die ich wollte.
Eine kleine Zusatzfrage, da es hier tatsächlich um Fernwartung (von außen) geht, sprich der meiste Verkehr geht sowieso übers Gateway (=Firewall), auch wenn ich auf dem Switch route, macht es dann überhaupt Sinn das Routing über den Switch laufen zu lassen oder dann doch lieber gleich alles vom Gateway routen zu lassen?
Die VLANs muss ich ja sowieso, hin wie her, auf dem Switch und dem Gateway anlegen....
sorry für die Verwirrung bei der Frage...
Auf jeden Fall habe ich die Antwort bekommen, die ich wollte.
Eine kleine Zusatzfrage, da es hier tatsächlich um Fernwartung (von außen) geht, sprich der meiste Verkehr geht sowieso übers Gateway (=Firewall), auch wenn ich auf dem Switch route, macht es dann überhaupt Sinn das Routing über den Switch laufen zu lassen oder dann doch lieber gleich alles vom Gateway routen zu lassen?
Die VLANs muss ich ja sowieso, hin wie her, auf dem Switch und dem Gateway anlegen....
Welche genau wolltest Du denn?
Eine kleine Zusatzfrage, da es hier tatsächlich um Fernwartung (von außen) geht, sprich der meiste Verkehr geht sowieso übers Gateway (=Firewall), auch wenn ich auf dem Switch route, macht es dann überhaupt Sinn das Routing über den Switch laufen zu lassen oder dann doch lieber gleich alles vom Gateway routen zu lassen?
Im Prinzip ist das Jacke wie Rock. Solange die Subnetze nich tuntereinander kommunizieren müssen, ist es egal. Wenn viel Kommnikation zwischen den Subnetzen ist, soltle es der layer-3-Switch machen.
Wenn die Firewall/das Gateway das Routing macht, reicht auch ein VLAN-fähiger Layer-2-switch. Wenn Du einen Layer-3-swicth machst, brauchst du auf der Firewall selbst keine VLAns anzhulegen, sondern machst einfach nur ein Tranfernetz.
Solltest Du allerdings die Kommunikation zwicshen den Subnetzen einschränken wollen, ist die Firwall selbst als gateway angebracht.
lks
lks
Das VLANs die Wahl ist um die Netze sauber zu trennen und die Kommunikation einzuschränken.
Die "Vollsuff"-Config werde ich ad acta legen und mir das nächste Mal noch ein paar Gedanken im Voraus machen anstatt Schnellschüsse....
Die Subnetze brauchen definitv nicht miteinander zu kommunizieren. Layer-3-Switch wäre gegeben und das mit dem Transfernetz muss ich mir überlegen, wäre eventuell schicker als alle VLANs auf der Firewall zu haben.
Vielen Dank für die Wegweiser
Die "Vollsuff"-Config werde ich ad acta legen und mir das nächste Mal noch ein paar Gedanken im Voraus machen anstatt Schnellschüsse....
Zitat von @Lochkartenstanzer:
Im Prinzip ist das Jacke wie Rock. Solange die Subnetze nich tuntereinander kommunizieren müssen, ist es egal. Wenn viel Kommnikation zwischen den Subnetzen ist, soltle es der layer-3-Switch machen.
Im Prinzip ist das Jacke wie Rock. Solange die Subnetze nich tuntereinander kommunizieren müssen, ist es egal. Wenn viel Kommnikation zwischen den Subnetzen ist, soltle es der layer-3-Switch machen.
Die Subnetze brauchen definitv nicht miteinander zu kommunizieren. Layer-3-Switch wäre gegeben und das mit dem Transfernetz muss ich mir überlegen, wäre eventuell schicker als alle VLANs auf der Firewall zu haben.
Vielen Dank für die Wegweiser
Immer gerne wieder... 
Bitte dann auch Wie kann ich einen Beitrag als gelöst markieren? nicht vergessen.
Bitte dann auch Wie kann ich einen Beitrag als gelöst markieren? nicht vergessen.
Dafür hat leider die Pause nicht mehr gereicht , das nächste mal achte ich darauf, sorry.
, das nächste mal achte ich darauf, sorry.
