32610
Goto Top

Nach Routeranschluss kein Internet/Netzwerk für die Clientechner

Moin, moin.

Seit dem Hinzufügen eines Routers (Netgear RT314) zur Ursprungskonfiguration (LAN1 direkt an DSL-Modem), können die Clientrechner nicht mehr auf das INet zugreifen.
Ich las nun, daß die LAN-Karten in verschiedenen Bereichen (192.168.1.xxx & 192.168.2.xxx) liegen sollten und daß dann durch Routing die Prioritäten gesetzt werden. Leider fand ich aber keinerlei Anleitungen wie das geschehen soll, eine für einen Router-Neuling etwas undurchsichtige Sache.
Kann mir bitte jemand erklären warum diese Konstellation mit Router nicht mehr arbeitet? Ein oder zwei Hinweise zur Herstellung der richtigen Verbindung wären nett...
Zur Erläuterung des IST-Zustandes (wecher nicht funktioniert; es sei denn, ich deaktiviere LAN2 am Server [XP Pro SP2]), habe ich eine Skizze zugefügt.

IST-Zustand

Ich bedanke mich im Voraus

A. R.

Content-ID: 36176

Url: https://administrator.de/contentid/36176

Ausgedruckt am: 22.11.2024 um 09:11 Uhr

22010
22010 17.07.2006 um 17:55:53 Uhr
Goto Top
Ich hoffe, die clients können untereinander komunizieren!!!

Du musst bei allen clients den Standartgateway auf die Router IP setzten, damit diese wissen, wo sie die Pakete herbekommen
32610
32610 17.07.2006 um 18:01:29 Uhr
Goto Top
Ja. Die Clienten kommunizieren miteinander aber nicht mit mehr dem INet.
In der skizzierten Konstellation läuft das interne Netzwerk. Dieses kann aber nicht nach "draußen". Sobald ich LAN2 des Servers aktiviere, kommt der Server nicht mehr in's INet...

Der SGW wurde jetzt auf die IP des Router gesetzt. Keine Besserung...
Okies
Okies 17.07.2006 um 18:04:52 Uhr
Goto Top
Hallo,

Ich las nun, daß die LAN-Karten in
verschiedenen Bereichen (192.168.1.xxx &
192.168.2.xxx) liegen sollten und daß
dann durch Routing die Prioritäten
gesetzt werden. Leider fand ich aber
keinerlei Anleitungen wie das geschehen
soll, eine für einen Router-Neuling
etwas undurchsichtige Sache.

Naja, wir wollen damit ja Geld verdienen, oder? Muß schon etwas kompliziert sein face-wink Der Hinweis mit den unterschiedlichen Netzen ist richtig, das ist der sauberste Weg hier etwas Ordnung zu schaffen.

Kann mir bitte jemand erklären warum
diese Konstellation mit Router nicht mehr
arbeitet? Ein oder zwei Hinweise zur
Herstellung der richtigen Verbindung
wären nett...

Okay... erstmal, laut Skizze könnte es da für die Clients schon Probleme geben das Standard-GW zu erreichen, 192.168.1.102 ist da evtl. etwas besser.

Der saubere Weg ist, LAN1 und den Netgear z.B. unter 192.168.2.101 und 192.168.2.1 laufen zu lassen, 192.168.1.102 als Standard-GW für die Clients zu nutzen und LAN2 bekommt 192.168.2.101 als Standard-GW. LAN1 bekommt 192.168.2.1 als Standard-GW. Probier das mal!

Grüße, Oliver.
32610
32610 17.07.2006 um 18:06:18 Uhr
Goto Top
Bin drüber. Moment.
Dieter-56
Dieter-56 17.07.2006 um 18:16:16 Uhr
Goto Top
hallo,

wenn du deine konstellation nicht verändert hast, verstehe ich nicht wozu du überhaupt einen router eingebaut hast.
der ist so eigentlich überflüssig (lt. zeichnung).
da du nun einen router hast, warum schließt du deine netze nicht alle direkt an den router.

und zur lösung deines I-Net-Problems: schau mal in deine anleitung vom router, was da über deinen adressbereich gesagt wird. könnte es vielleicht sein, dass deine netze nicht im adressbereich deines routers ihre adressen haben ????

noch eins, berichtige mich, aber was soll ein modem mit ner ip oder soll das die ip vom isp sein, die du kriegst.

gruss

dieter
32610
32610 17.07.2006 um 18:34:00 Uhr
Goto Top
@Okies: Klappt nicht.

@dieter_56: Jugendclub mit INetcafe + Verwaltung. Forderung war: Baue mit vorhandenen Mitteln (Limes gg. NULL) ein Netzwerk welches allen gestattet in INet zu kommen - aber über einen Server! Dieser muß die Rechner "Jugendliche" mittels passender Software, wie im INet-Cafe üblich, abrechenbar machen. Des weiteren liegen die zentralen Daten auf dem Server um mit der Hauptstelle abgeglichen zu werden. Nun muß noch "Jugendliche", von "Verwaltung" getrennt, das interne Netzwerk nutzen können... Und das ganze ohne die Anwesenheit von irgend wem. Da die automatische Einwahl von XP nur fehlerhaft und relativ unkontrollierbar abläuft (wenn überhaupt) --> Router zur Einwahl.
Die IP vom Modem wurde mir vom passenden Programm als Fix IP der Modem-Charge genannt und soll nur als Platzhalter dienen.
x-window
x-window 17.07.2006 um 18:49:01 Uhr
Goto Top
Hallöchen,

das ist alles etwas unübersichtlich.

Du hast einen Server mit 2 Karten. Klar muss sein, dass beide Karten Ipadressen in unterschiedlichen Subnetzen haben MÜSSEN !
Deshalb geht auch das Inet nicht mehr - woher soll der Server dann wissen über welche Karte er den Router errichen soll ...

Dann sollte man klären, waum er 2 netze hat ? Spielt er auch noch Firewall ? Willst du die Drucker vom LAN trennen ..... ? Fragen über Fragen ...

Wenn ja(Firewall), würde ich das nicht meinen Produktivserver, sondern den Router oder eine dedizierte Maschine machen lassen. Des Weiteren müsste dann der Server als GW für die Clients fungieren - nicht der Router:


ROUTER -(LAN1)- Server -(LAN2)- Clients und Drucker

=> etwas komplexer: auf dem Router muss eine statische Route für LAN2 mit der IP des Servers in LAN1 gesetzt werden und auf dem Server eine derfault-route auf den Router; die Clients benutzen den Server als def-gw)


Wenn nein - na dann spar dir doch die zweite Karte:


Router -(LAN)- --- Server
|--- Drucker /Clients

Alle das selbe Subnetz und den Router als GW (ist vielleicht für den Anfang einfacher face-smile) )

gruss
olli
32610
32610 17.07.2006 um 18:58:38 Uhr
Goto Top
ZITAT: - woher soll der Server dann wissen über welche Karte er den Router errichen soll ...
Wie sag' ich's meinem Kinde?

ZITAT: Willst du die Drucker vom LAN trennen .....
Nein.

Firewall == ZAP auf Server.

ZITAT: => etwas komplexer: auf dem Router muss eine statische Route für LAN2 mit der IP des Servers in LAN1 gesetzt werden und auf dem Server eine derfault-route auf den Router; die Clients benutzen den Server als def-gw)
Da zielt meine Frage hin! Wenn Du jetzt noch die passende Antwort...

Ich zitiere mich noch mal selber: "...für einen Router-Neuling etwas undurchsichtige Sache." Wobei das Neuling in pt24 Bold Kursiv steht...
x-window
x-window 17.07.2006 um 19:00:16 Uhr
Goto Top
Nun wirds besser - die Beiträge haben sich jetzt überschnitten.

OK - Wir haben also nun noch mehr Segmente in dem Netz:

- Verwaltung (1)
- Online-Cafe (2)
- Internet-DMZ (3)
und evtl. die Drucker (4), wenn diese gemischt genutzt werden.

Dann wäre eine FW doch die beste Lösung -- oder ein Router der VLANs kann oder genug Interfaces hat. und mit der/dem man dann Access-Listen konfigurieren kann, von welchem Subnetz man wohin Zugreifen kann und mit welchem Dienst.

Wie immer: Security tut weh und kostet. Jetzt stellt sich nur die Frage des Aufwandes und wie dann noch das Abrechnungssystem läuft .....

Vielleicht wäre es an der Zeit erst einmal ein Anforderungskonzept zu machen ....

Gruss
Olli
32610
32610 17.07.2006 um 19:16:37 Uhr
Goto Top
Also: Vorher hatten die hier einen direkten Zugang zum DSL-Modem. Das brachte Probleme: Jeder der einen Rechner irgendwo im Haus anschaltete konnte immer ins INet und immer auf die Rechner der "Anderen". Letzteres wurde duch Rechtevergabe und konsequente Durchsetzung von NTFS etc. geregelt. Ersteres wurde durch den Einsatz einer Konstellation von JanaServer und direkter Verwaltungssoftware für INet-Cafes gelöst. Der Abrechnungsfaktor ist irrelevant, da es sich um ein Projekt der Stadt handelt. Er ist mehr moralisch zu sehen und kann vernachlässigt werden.
Somit bleibt der technische Faktor: Mit direkter Einwahl ging es, mit Router geht es nur bedingt. Ich bin offen für Experimente (im Rahmen!) muß aber gleich sagen, daß ich auf die Umgebungsvariablen kaum Einfluß nehmen kann.
Das skizzierte Netz ist der IST-Zustand, viel Toleranzraum habe ich nicht, ich suche nur nach einer Lösung... ...also was für Bastler(?).

Und es gilt immer noch: Ich habe mich in diese Problematik auch erst einarbeiten müssen und somit fast keine Ahnung. Somit wird: ZITAT: "Wenn ja(Firewall), würde ich das nicht meinen Produktivserver, sondern den Router oder eine dedizierte Maschine machen lassen." für mich zur Hürde.

Eigentlich ist das Einzige was nicht funktioniert, die Kommunikation zwischen LAN1 & LAN2 am Server. Da muß es doch eine etwas einfachere Lösung dazu geben...?
x-window
x-window 17.07.2006 um 19:16:52 Uhr
Goto Top
so - hier zu diskutieren ist etwas schlecht -ich mach jetzt einfach mal einen Vorschlag:

mach mal folgendes:

Ich gehe davon aus, dass die Verwaltung nicht abgerechnet wird und auch die Drucker benutzt.

router: 192.168.1.1
Server LAN1: 192.168.1.10 (def-gw: 192.168.1.1)

Clients Verwaltung z.B. 192.168.1.50 .. 51 ..52 .. (def-gw: 192.168.1.1)
Drucker z.B. 192.168.200 ... 201 ..202 ...... (def-gw: 192.168.1.1)

somit ist der Server, Router und alle Geräte der Verwaltung in LAN1 - das sollte erst einmal gehen.

Dann LAN 2:

Server: 192.168.2.10

InetCafe PCs und Drucker z.B. 192.168.2.50 .. 51 .. 52 / 200..201.. (JETZT GW: 192.168.2.10)

Somit gehen die Cafe-User über den Server !!
Frage ist nur die Abrechnung -- es gibt ja keinen Einwahl.Dienst mehr auf dem Server face-sad
Das kann dann nur eine FW-ähnliche Lösung sein, die der User mit einem Account freischaltet.

Es fehlen dann aber noch eine statische Route auf dem Router

Ziel Mask GW evtl. Metric
192.168.2.0 255.255.255.0 192.168.1.10 1

Hoffe ich konnte dir damit etwas helfen -- ansonsten wirds jetzt schwierig

Jetzt muss man der FW auf dem Server nur noch verbieten, dass Benutzer mit IP-Adressen 192.168.2.x (Cafe) auf 192.168.1.x Zugreifen können - aber da muss man das Manual der FW lesen ....

Gruss
Olli
32610
32610 17.07.2006 um 19:26:05 Uhr
Goto Top
@x-window: Das ist ein Ansatz! Dummerweise (Nach 12 Stunden hier kann man getrost ein dickes Smiley setzen) habe ich in 7 min Feierabend. bin aber morgen 7:30 Uhr wieder hier. Dann die Rückmeldung.

Bis dahin: Danke für die Antworten und die rege Diskussion.

mfg

A.R.
aqui
aqui 17.07.2006 um 19:36:23 Uhr
Goto Top
Die Lösung deines Problems ist recht einfach, allerdings befindet sich ein schlimmer IP Design Fehler in deiner Zeichnung was hier zur allgemeinen Verwirrung beigetragen hat !
Fakt ist auf alle Fälle das dein LAN-2 NICHT in dem gleichen IP Subnetz sein darf wie LAN-1 ! Hier MUSS auf alle Fälle ein anderes IP Segment konfiguriert werden !
Der Server hat also folgende Konfiguration (gilt für angeschlossenen Router auf der 192.168.1.1 im LAN1):

LAN1
IP: 192.168.1.101
Maske: 255.255.255.0
Gateway: 192.168.1.1
DNS: 192.168.1.1 (denn der Router ist DNS Cache bzw. Proxy)

LAN 2
IP: 192.168.2.101
Maske: 255.255.255.0
Gateway: 192.168.1.1
DNS: 192.168.1.1

So, das wäre der erste Schritt. Du musst nur bedenken, das der Router auch (normalerweise) DHCP Server ist im LAN 1. DHCP Requests bzw. Replies gehen aber NICHT ins LAN 2, da UDP Broadcasts ! Deshalb musst du hier deinen Server DHCP spielen lassen oder statische Adressen an die angeschlossenen Endgeräte im LAN-2 verteilen.
ACHTUNG: Im LAN1 dürfen keine 2 DHCP Server sein, deshalb wenn du hier auch DHCP machen willst, auf alle Fälle den Server DHCP Seitig hier abschalten (Konfig) ! Da du nicht viele Adressen hast im LAN 1 kannst du hier auch statisch vergeben und nur im LAN2 DHCP machen...das ist aber eher eine kosmetische Entscheidung.

So, nun musst du deinem Server auch noch das Routen beibringen, denn er muss ja nun zwischen 2 IP Segmenten (LAN1 und LAN2) routen. Bei XP oder 2000 ist das ein Eingriff in die Registry

www.microsoft.com/windows2000/de/server/help/default.asp?url=/windows2000/de/server/help/sag_TCPIP_pro_EnableForwarding.htm

bei 2003 ist es nur ein Häkchen setzen im TCP/IP Setup. Wenn du Linux hast musst du "ip_forwarding" im Systemsetup einschalten. (Leider schreibst du nicht was für einen Server du hast)
Alle Clients die im LAN 2 sitzen bekommen damit die Serveradresse ihres Segments als Gateway Adresse, denn es ist ja ihr next Hop Gateway um über das LAN1 zum Internet zu kommen. D.h. auf den Clients (hier einer als Beispiel) im LAN2 muss folgendes eingestellt sein:

IP Adr.: 192.168.2.100
Maske: 255.255.255.0
Gateway: 192.168.2.101
DNS: 192.168.1.1

So, das wars.... fast. Das Problem ist nun nur noch das dein NetGear als Router natürlich nicht weiss das sich das 192.168.2.0er Netz hinter deinem Server auf LAN-2 verbirgt. Woher sollte er das auch ohne dynamisches Routingprotokoll wissen ??!!
Aber das kannst du ihm natürlich statisch beibringen ! Einfach ins Setup vom Router gehen und in der Routing Tabelle folgendes eintragen:

Zielnetz: 192.168.2.0 Maske:255.255.255.0 Gateway: 192.168.1.101

Das wars, denn nun solltest du fröhlich mit allen Clients in allen Segmenten im Internet surfen können.
Statische Routen auf dem Server sind natürlich NICHT erforderlich denn ER kennt ja alle Netze im Gegensatz zum Router, da sie an ihm ja selber angeschlossen sind.

Ein zusätzlicher Blick in Attis Tutorial kann nicht schaden:

www.administrator.de/Zwei_Netze_%FCber_WLAN_miteinander_verbinden.html

Es ist das gleiche Szenario, denk dir nur das WLAN als dein LAN2.
Achtung: Du solltest immer die Routing Variante bevorzugen. Ich würde niemals bridgen um den Server nicht durch Broadcast Floodings zu überlasten. Es gilt der goldene Grundsatz: "Route where you can, bridge where you must..!"
32610
32610 18.07.2006 um 11:02:12 Uhr
Goto Top
Erstmal der IST-Zustand:

1

Das interne Netz funktioniert komplett. Der Server kommt mit aktiver LAN2 in's INet. Aber die Clienten nicht! Der Fehler wird wohl in der Routerconfig liegen. Aber mit den oben genannten Parametern (Beitrag von aqui) wird es nichts: Der Server kommt dann wiederum nicht in's INet.

Zur weiteren Erläuterung route print vom Server:
2

und von Office2
3

Frage 1: Muß in der oben gezeigten Konstellation der Client den Router pingen können?
Frage 2: Wenn ich nur 2 Netzwerke hätte und diese aus 2 unterschiedlichen Teilnetzen bestehen. Wie sage ich dem Rechner, daß er die Daten von 192.168.111.101 nach 192.168.222.101 weiterleiten kann/soll?

P.S.: Seit gestern 12:30 Uhr war es nicht mehr möglich auf Administrator.de zuzugreifen. Zeitüberschreitung. Egal an welchem Rechner ich saß. Daher die späte Antwort.
aqui
aqui 21.07.2006 um 14:07:30 Uhr
Goto Top
Du hast noch einen Fehler im Router mit der Konfiguration der statischen Route !!!
Du hast dort eine Hostroute angegeben (Route auf den Host .222.101 und nicht aufs Netzwerk .222.0 !!) und deshalb klappt es vermutlich nicht !
Richtig muss die statische Route im Router lauten:

Zielnetz: 192.168.222.0 Maske: 255.255.255.0 Gateway: 192.168.111.101 Metric: 1

Dann sollte das Problemlos klappen. Alle Endgeräte im .222.0er Netz sollten den Router mit der 192.168.111.1 pingen können das zu deiner Frage 1.) Falls es nicht geht kannst du auch mit "tracert 192.168.111.1" sehen wie weit der ping kommt. Immer sollte ein Ping auf die Server NIC 192.168.111.101 funktionieren aus dem .222 Segment !

Frage 2.): Da musst du dem Rechner gar nichts sagen, denn er kennt ja beide Netze da sie an ihm selber angeschlossen sind ! Bekommt der Rechner ein Packet mit dem Zielnetz 192.168.222.x auf dem 192.168.111.x Segment weiss er automatisch das er das an die entsprechende NIC weiterleitet.
Grundvoraussetzung bei XP ist allerdings das du das IP Forwarding nach:

www.microsoft.com/windows2000/de/server/help/default.asp?url=/windows2000/de/server/help/sag_TCPIP_pro_EnableForwarding.htm

aktiviert hast, sonst klappt das natürlich nicht !!!
Statische Routen müssen in diesem Szenario ausschliesslich auf dem Router konfiguriert werden NICHT auf dem Server !
32610
32610 21.07.2006 um 14:35:29 Uhr
Goto Top
Das IP-Forwarding ist aktiv. Leider arbeite ich heute in einem anderen Betriebsteil und kann erst morgen die evt. nötigen Umstellungen vornehmen.

Was mich im "route print-Protokoll (Server)" stutzig macht, ist , daß die Schnittstellen sich selbst als Gateway definieren. Das ist in der TCP/IP Config der jeweiligen Karte so nicht eingestellt (mehrfach überprüft).
Weiterhin: Ich kann von jedem Client aus bis 222.101 pingen. Weiter nicht. Offensichtlich ist der Weg ab da unterbrochen, denn zu 111.101. komme ich nicht. Da der Router aber an letzteren angeschlossen ist: Wie soll denn das Paket geroutet werden, wenn es gar nicht zum Entscheidungsträger kommt? Müsste es nicht noch einen Eintrag (über route add -p) in der Form: Ziel: 192.168.111.101 NWM: 255.255.255.0 Schnittst. 192.168.222.101 geben?
aqui
aqui 21.07.2006 um 22:56:54 Uhr
Goto Top
Nein, das wäre sinnlos denn dein Server mit den beiden Karten kennt ja beide Netze ! Sie sind ja direkt an ihm angeschlossen und so dem Rechner durch die darauf konfigurierten Adressen bekannt. Du siehst das auch eindeutig am route -print Output des Servers !

Wichtig ist es für deinen Router, denn der kennt ja nicht das .222.0er Netzwerk was hinter dem Server hängt. Der braucht also zwingend diese statische Route und zwar wie geschrieben auf eine Netzwerkadresse (0 im Hostteil der Adresse) !!!
Eigentlich sollte die 111.101 am Server pingbar sein aus dem .222.x Segment. Wenn es nicht geht gibt es mehrere Gründe:

1.) Das IP Forwarding ist nicht eingeschaltet (siehe MS URL oder Attis Tutorial)

2.) Auf dem .111.101 Adapter ist eine Firewall aktiv die ICMP echo filtert. Zum Testen solltest du erstmal alle Firewalls auf den Adaptern ausschalten um dir hier nicht ein Bein zu stellen.

Das MS seine eigenen Adapter für die jeweiligen Netze als Gateways bezeichnet ist mehr oder minder normal. MS war noch nie bekannt für logische Netzwerkbezeichnungen face-wink
32610
32610 24.07.2006 um 09:36:33 Uhr
Goto Top
Habe alles nochmal sauber durchgearbeitet und war nun erfolgreich! Es funktioniert alles, wie es geplant war.
Danke an alle die mich tatkräftig unterstützt haben!

4

THX

mfg

A. R - Leipzig