20
Mikrotik: Routing zwischen Interfaces mit Geräten ohne Gateway
Hallo zusammen,
ich komme aus dem Veranstaltungstechnik Bereich und habe zwei Netze um verschiedene Hardware zu Remoten.
CONTROL1 192.168.1.0/24
CONTROL2 192.168.2.0/24
Mit dem Mikrotik Router Gerätschaften von eine Netz in das andere zu erreichen klappt per Default problemlos. Aber nur solange bei den Geräten die Mikrotik Interface IP des jeweiligen Netzes als Gateway eingetragen ist.
Leider gibt es im immerwieder Geräte in die sich kein Gateway eintragen lässt.
Wie kann ich denn nun aber aus dem CONTROL1 Netz auf ein Gerät ohne Gateway in dem CONTROL2 Netz zugreifen?
ich komme aus dem Veranstaltungstechnik Bereich und habe zwei Netze um verschiedene Hardware zu Remoten.
CONTROL1 192.168.1.0/24
CONTROL2 192.168.2.0/24
Mit dem Mikrotik Router Gerätschaften von eine Netz in das andere zu erreichen klappt per Default problemlos. Aber nur solange bei den Geräten die Mikrotik Interface IP des jeweiligen Netzes als Gateway eingetragen ist.
Leider gibt es im immerwieder Geräte in die sich kein Gateway eintragen lässt.
Wie kann ich denn nun aber aus dem CONTROL1 Netz auf ein Gerät ohne Gateway in dem CONTROL2 Netz zugreifen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 371677
Url: https://administrator.de/contentid/371677
Printed on: April 30, 2024 at 13:04 o'clock
20 Comments
Latest comment
Ohne Gateway - gar nicht weil das Gerät nicht weiss wohin mit dem Paket was nich in das eigene Netz gehört... Allerdings hat der Hersteller dann auch das Protokoll falsch implementiert -> verdeckter Mangel, Gerät zurückgeben bzw. Nachbesserung verlangen.
Zitat von @TonLichtVideo:
Wie kann ich denn nun aber aus dem CONTROL1 Netz auf ein Gerät ohne Gateway in dem CONTROL2 Netz zugreifen?
Wie kann ich denn nun aber aus dem CONTROL1 Netz auf ein Gerät ohne Gateway in dem CONTROL2 Netz zugreifen?
Nur mit NAT auf dem Router, weil ansonsten das Zielgerät nicht weiß, wo die Antwortpakete hin sollen.
Das führt dann aber ggf. zu anderen Problemen.
lks
Hallo,
Wie bitte soll das den gehen?
Ohne Gateway weiss das Endgerät nicht wohin es die Antwort schicken soll... da kommt keine Antwort.
Brammer
Nur mit NAT auf dem Router
Wie bitte soll das den gehen?
Ohne Gateway weiss das Endgerät nicht wohin es die Antwort schicken soll... da kommt keine Antwort.
Brammer
Zitat von @brammer:
Hallo,
Wie bitte soll das den gehen?
Ohne Gateway weiss das Endgerät nicht wohin es die Antwort schicken soll... da kommt keine Antwort.
Hallo,
Nur mit NAT auf dem Router
Wie bitte soll das den gehen?
Ohne Gateway weiss das Endgerät nicht wohin es die Antwort schicken soll... da kommt keine Antwort.
Das Endgerät braucht kein Gateway, wenn der Router per NAT die Absender-Adresse in ein lokale Adresse im selben Netzwerk des Endgerätes übersetzt. ob das durch statisches 1:1-NAT oder durch Masquerading passiert ist egal, solange nicht das Endgerät die Kommunikation startet. Ansonsten muß man ggf. noch Portforwarding bei Masquerading dazunehmen.
Das Endgerät sieht nur ein lokale IP-Adresse und da weiß es normalerweise, wie man dazu Kontakt aufnimmt.
Und wenn beide Endgeräte kein Gateway können, muß man bidirektionales NAT machen. Aber dann könnte man die Geräte auch gleich in dasselbe Netz stecken.
lks
PS: Dioden kann man such anders herum einbauen.
Zitat von @TonLichtVideo:
Hallo zusammen,
ich komme aus dem Veranstaltungstechnik Bereich und habe zwei Netze um verschiedene Hardware zu Remoten.
CONTROL1 192.168.1.0/24
CONTROL2 192.168.2.0/24
Hallo zusammen,
ich komme aus dem Veranstaltungstechnik Bereich und habe zwei Netze um verschiedene Hardware zu Remoten.
CONTROL1 192.168.1.0/24
CONTROL2 192.168.2.0/24
Warum steckst Du nicht einfach alles in dasselbe Netzwerk, wenn die Endgeräte keine Gateways können.
lks
auf ein Gerät ohne Gateway in dem CONTROL2 Netz zugreifen?
Das ist ohne ein Gateway natürlich sehr schwierig, denn wie soll das Gerät wissen wo es seine Pakete hinschicken soll die NICHT für das eigene Netzwerk gedacht sind !Das es tatsächlich noch Geräte geben soll die ohne Gateway Eintrag sind ist heutzutage fast nicht zu glauben wo fast alles remote bedient wird und da ist ein Gateway natürlich Pflicht ! Lernt man in der IP Routing Grundschule
Es gibt aber eine sehr einfache Lösung und die Kollegen oben irren hier ein wenig. Freitags kann (und darf) das ja aber mal passieren
Die Lösung heisst Proxy ARP !
Das kann auch der Mikrotik. Du musst hier etwas "spielen" mit den IP Subnetzmasken und dann kannst du auch so ein Geräte ohne Gateway ins andere Netz routen.
Dieses HowTo von Mikrotik erklärt dir alle Details:
https://wiki.mikrotik.com/wiki/Manual:IP/ARP#Proxy_ARP
Bezogen auf dein obiges Beispiel haben dann ALLE Endgeräte die Gateway fähig sind inklusive der Router IP Adressen eine 24 Bit Maske (255.255.255.0) aber die Geräte die KEIN Gateway haben (und NUR die !) müssen dann eine 22 Bit Maske haben (255.255.252.0).
Die /22 Maske inkludiert beide IP Netze 192.168.1.0 /24 und .2.0 /24 und damit können dann diese Gateway "losen" Endgeräte auch das andere IP Netz erreichen mit Hilfe der Proxy ARP Funktion des Mikrotik solange du auf beiden beteiligten Interfaces
arp=proxy-arp konfiguriert hast !
Der Mikrotik Router antwortet dann auf die Hosts ARP Requests dieser Geräte nach den anderen Geräten und routet diese dann ins andere Netz.
Ganz einfache Lösung also
Nachteil:
Die gerouteten IP Netze müssen sich in einem subnetfähigen Bereich befinden. Du bist also nicht mehr ganz frei in der Wahl deiner Subnetze.
Wenn du Netze mit 10er, 172er und 192.168er Mix auf dem Router hast wird es entsprechend schwierig !
Aber einen Wermutstropfen muss sowas ja haben
Das ist natürlich eine weitere Lösung, die ich aus gutem Grund nicht erwähnt habe:
Bezogen auf dein obiges Beispiel haben dann ALLE Endgeräte die Gateway fähig sind inklusive der Router IP Adressen eine 24 Bit Maske (255.255.255.0) aber die Geräte die KEIN Gateway haben müssen dann eine 22 Bit Maske haben (255.255.252.0).
Das wird zur Verwirrung des TO und auch anderer führen und vor allem sind die beiden Netze dann nicht mehr autark funktionsfähig, wenn sie mal an verschiedenen Standorten ohne Router dazwischen aufgebaut werden, denn der TO schrieb:
ich komme aus dem Veranstaltungstechnik Bereich
Happy Friday
lks
Hallo,
okay, das ist dann ein Lösungsweg den ich bisher ausgeblendet habe....
Alternativ kann man bei den Geräten die einen Gateway Eintrag nicht können auch prüfen ob sie wenigstens mit DHCP umgehen können und man den Geräten per DHCP ein Gateway unterschieben kann.
brammer
okay, das ist dann ein Lösungsweg den ich bisher ausgeblendet habe....
Alternativ kann man bei den Geräten die einen Gateway Eintrag nicht können auch prüfen ob sie wenigstens mit DHCP umgehen können und man den Geräten per DHCP ein Gateway unterschieben kann.
brammer
Wäre auch mal einen Versuch wert.
Nun ist der TO wieder dran mit einem Feedback...
Nun ist der TO wieder dran mit einem Feedback...
Juhu ihr lieben
ich habe mal auf dem Mikrotik ein srcnat mit masquerading und dem Out-Interface CONTROL2.
Wenn ich für den Test einen Rechner ohne Gateway im CONTROL2 Netz hinstelle und Wireshark an mache sehe ich dass die Source IP korrekt umgeschrieben wurde allerdings schlägt das Ganze trotzdem fehl wie mir scheint :/
ich habe mal auf dem Mikrotik ein srcnat mit masquerading und dem Out-Interface CONTROL2.
Wenn ich für den Test einen Rechner ohne Gateway im CONTROL2 Netz hinstelle und Wireshark an mache sehe ich dass die Source IP korrekt umgeschrieben wurde allerdings schlägt das Ganze trotzdem fehl wie mir scheint :/
Vergiss NAT ! Das ist Quatsch in diesem Umfeld. Proxy ARP oder der DHCP Versuch ist der richtige Weg !
Das blöde an dem ARP Proxy ist nur dass ich bei den Geräten nicht mal die Subnetzmaske verändern kann. Der Hersteller hat ne Remotesoftware geschrieben die im festen IP Raster (192.168.1.1 192.168.1.11 192.168.1.21 192.168.1.31 ....) die Geräte anspricht.
Aber müssten nicht beim NAT der Router die Ping Antwort korrekt weiterleiten können wenn der Testrechner (192.168.2.123) im CONTROL2 es an die Interface IP vom Router 192.168.2.1 schickt? Ping ging von einem Rechner im CONTROL1 aus und vom Mikrotik selbst.
Aber müssten nicht beim NAT der Router die Ping Antwort korrekt weiterleiten können wenn der Testrechner (192.168.2.123) im CONTROL2 es an die Interface IP vom Router 192.168.2.1 schickt? Ping ging von einem Rechner im CONTROL1 aus und vom Mikrotik selbst.
ist nur dass ich bei den Geräten nicht mal die Subnetzmaske verändern kann. D
Das kann man ja fast gar nicht glaubern und ist ja magakrank. Wer macht denn so einen Riesenschwachsinn...sorry aber der mensch hat keinerlei Ahnung von IP Netzen oder Netzen allgemein 
Was haben denn diese Geräte für eine feste Subnetzmaske ?? Ledier machst du hier dummerweise keine Aussage aber das könnte helfen dennoch ein Proxy ARP Konzept zu machen.
Nutzen die denn fest einen 24er Prefix ??
Sind die IP Adressen auch fest eingebrannt oder können die mit einem festen /24er Prefix verändert werden ?
Bei NAT hängt es davon ab ob die Source oder Destination NAT machst. Deshalb kann man die Frage nicht genau beantworten.
Das Grundproblem ist das die IP Implementation der Software und der Endgeräte totaler Schrott ist. Ein triftiger Grund so einen Müll niemals zu kaufen wenn man eine segmentierte Vernetzung hat die so gut wie immer vorkommt.
Ich dachte ich teste erstmal im kleinen Rahmen. Deshalb /24. Die Geräte selber haben 192.168.0.0/16 fest. Die IPs kann ich vielleicht verändern hilft aber nicht wirklich da Software von denen immer das feste Raster abfragt :/
Moin,
ich würde da an den Hersteller rantreten und sagen "dann mach das läuft". Weil: Der Hersteller macht da grad einen Mega-Müll in seinen Geräten. Der könnte dir genausogut sagen das er als IP immer die 127.0.0.1 und die self-assigned nutzt. Wenn du da jetzt rumfummelst und es geht nicht wird der dir das immer wieder vorwerfen. Selbst wenn das Gerät morgen früh Explodiert, in Flammen aufgeht und einen gewaltigen Dimensions-Riss inkl. schwarzem Loch erzeugt -> liegt nur daran das du irgendwas da rumgefummelt hast...
Für mich scheint das eine Gerätschaft aus dem Grabbeltisch-Bereich mit China-Reste-Rampe zu sein...
ich würde da an den Hersteller rantreten und sagen "dann mach das läuft". Weil: Der Hersteller macht da grad einen Mega-Müll in seinen Geräten. Der könnte dir genausogut sagen das er als IP immer die 127.0.0.1 und die self-assigned nutzt. Wenn du da jetzt rumfummelst und es geht nicht wird der dir das immer wieder vorwerfen. Selbst wenn das Gerät morgen früh Explodiert, in Flammen aufgeht und einen gewaltigen Dimensions-Riss inkl. schwarzem Loch erzeugt -> liegt nur daran das du irgendwas da rumgefummelt hast...
Für mich scheint das eine Gerätschaft aus dem Grabbeltisch-Bereich mit China-Reste-Rampe zu sein...
Zitat von @maretz:
Für mich scheint das eine Gerätschaft aus dem Grabbeltisch-Bereich mit China-Reste-Rampe zu sein...
Für mich scheint das eine Gerätschaft aus dem Grabbeltisch-Bereich mit China-Reste-Rampe zu sein...
Die Chinesen sind da inzwuschen deutlich besser als sowas. Ich tippe eher auf europäische Bastlerbude.
lks
Leider ein deutscher Hersteller der sehr gute Boxen baut und auch meint seit Jahren seine eigene Elektronik bauen zu müssen. Man hat so ein bisschen das Gefühl wie beim erwachsen werden seines eigenen Kindes dabei zu sein. Genauso lange dauert das bislang jedenfalls....
Meinse Idee war deshalb ein Control Netz für alles vernünftige zu machen dann im Bereich 10.X.X.X und von dort geroutet in das andere Control Netz mit den komischen Geräten im Bereich 192.168.X.X/16.
Und da kann man mit NAT nichts machen??? Sorry wenn ich damit nerve :D
Und da kann man mit NAT nichts machen??? Sorry wenn ich damit nerve :D
Wenn dir div. Leute sagen das es nich geht bzw. es nich vernünftig laufen wird -> probiere es ;)
Kommt drauf an, mit welchem Protokoll die Geräte angesprochen werden. Du könntest z.B. mit Masquerading arbeitenm, so daß alles was vom 10-er Netz kommt mit der IP-Adresse des Routers aus dem 192-er Netz angesprochen wird.
Ob das aber funktioniert hängt sehr stark vom protokoll ab, das verwendet wird.
Du soltlest lieber Deinen Hersteller nerven, daß der den IP-Stack auf den Geräten ordentlch implementiert.
lks
PS: Du könntest natürlich auch irgendeinen Minibastelrechner mit zwei Netwerkschnittstellen vorschalten, der nicths anders als Proxy für Dein Gerät spielt. und einen ordentlichen Netzwerkstack hat um in Deinem Netz mitzuspielen.
