10
NAT zwischen 2 internen Netzen?
Hi,
ich muss für einen unserer Kunden eine NAT-Funktion zwischen 2 internen Netzwerken aufbauen. Die Frage ist: wie realisiert man das am besten? Kann mir da jemand helfen?
Erstmal zu den Eckdaten.
Der Kunde hat ein /27 Netzwerk das nicht mehr geändert werden kann. Der Bereich wurde vom Konzern fest vorgegeben. Leider reicht der Addressraum nun nicht mehr für diese Zweigstelle aus. Die IT des Konzerns fordert daher den Aufbau eines 2. internen Netzwerks das mittels NAT an das /27er Netz angehängt wird.
Für das neue Netz steht außerdem ein Win 2008 r2 zur Verfügung. Ich plane dort ein klassisches class c Netz einzusetzten.
Frage Nr.1: Sollte das am besten über den Server (Routing & RAS) realisiert werden oder besser einen zusätzlichen Router anschaffen?
Frage Nr.2: Wie mach ich das am geschicktesten?
Schonmal danke!
Mit freundlichen Grüßen
Taly
ich muss für einen unserer Kunden eine NAT-Funktion zwischen 2 internen Netzwerken aufbauen. Die Frage ist: wie realisiert man das am besten? Kann mir da jemand helfen?
Erstmal zu den Eckdaten.
Der Kunde hat ein /27 Netzwerk das nicht mehr geändert werden kann. Der Bereich wurde vom Konzern fest vorgegeben. Leider reicht der Addressraum nun nicht mehr für diese Zweigstelle aus. Die IT des Konzerns fordert daher den Aufbau eines 2. internen Netzwerks das mittels NAT an das /27er Netz angehängt wird.
Für das neue Netz steht außerdem ein Win 2008 r2 zur Verfügung. Ich plane dort ein klassisches class c Netz einzusetzten.
Frage Nr.1: Sollte das am besten über den Server (Routing & RAS) realisiert werden oder besser einen zusätzlichen Router anschaffen?
Frage Nr.2: Wie mach ich das am geschicktesten?
Schonmal danke!
Mit freundlichen Grüßen
Taly
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 184141
Url: https://administrator.de/contentid/184141
Ausgedruckt am: 23.11.2024 um 11:11 Uhr
10 Kommentare
Neuester Kommentar
Hi
Dir ist aber schon bewusst, dass du alle Clients/Server hinter dem Nat dann aus dem ursprünglichen Netz nicht direkt erreichen kannst ? Ich stell mir das zum administrieren etwas schwierig vor (Fernwartung etc)
Ich würde einen eigenen Router nehmen.
Könntest du die Frage 2 etwas konkretisieren ?
LG
Dir ist aber schon bewusst, dass du alle Clients/Server hinter dem Nat dann aus dem ursprünglichen Netz nicht direkt erreichen kannst ? Ich stell mir das zum administrieren etwas schwierig vor (Fernwartung etc)
Ich würde einen eigenen Router nehmen.
Könntest du die Frage 2 etwas konkretisieren ?
LG
Wieso kann ich die nicht mehr erreichen? Das Natting funktioniert doch in beide Richtungen?
Die 2. Frage bezog sich darauf wie die Routen bzw Regeln für diese Netzwerke am besten aufgebaut sein sollten.
Die 2. Frage bezog sich darauf wie die Routen bzw Regeln für diese Netzwerke am besten aufgebaut sein sollten.
Beim Nat werden alle internen Adressen durch eine oder mehrer Externe Adressen in den IP Paketen ersetzt. Somit kommst du ohne Port Forwarding nicht mehr an die Clients hinter dem Nat
Google mal nach Nat bzw eigentlich Pat und mach dich mal schlau
Google mal nach Nat bzw eigentlich Pat und mach dich mal schlau
es gibt mehrere Arten von NAT:
mehrere Adressen ==> 1 Adresse + spezielle Portnummer.
mehrere Adressen ==> mehrere Adressen in einem fremden IP-Bereich aber das wird wohl noch weniger helfen, wenn die Adressen aus sind.
Und diese Bastellösungen funktionieren nicht ewig. Eine kleine Änderung und man beginnt von vorne.
Gruß
Netman
mehrere Adressen ==> 1 Adresse + spezielle Portnummer.
mehrere Adressen ==> mehrere Adressen in einem fremden IP-Bereich aber das wird wohl noch weniger helfen, wenn die Adressen aus sind.
Und diese Bastellösungen funktionieren nicht ewig. Eine kleine Änderung und man beginnt von vorne.
Gruß
Netman
Jeder hat ein bischen Recht, wobei Kollege Netman schon auf dem richtigen Weg ist.....
Da du festgenagelt bist auf dein /27er Netzwerk kannst du dich auch nur strikt in diesem Netzwerk bewegen mit deinen IP Adressen. Du musst also überlegen wie du das am pfiffigsten löst um mit den 30 möglichen IP Adressen hauszuhalten.
Vorweg: Mit dem Server kannst du schon mal leicht vergessen, denn der bietet dir nicht die Möglichkeiten dazu.
1:1 NAT löst dir dein Problem logischerweise nicht, denn das bildet einen IP Aus dem alten Netzwerk im neuen ab...damit hast du also rein gar nichts gewonnen.
Kollege brammer hat hier also Recht denn das ist wirklich Unsinn und hilft nicht. PAT ist das Zauberwort hier.
Was du machen musst ist PAT, Port Adress Translation !
Du nimmst also eine deiner 30 Adressen und NATest darauf das gesamte neue Netzwerk der Zeigstelle so wie jeder beliebige DSL Router es macht.
Leider bist du mit deiner Beschreibung etwas oberflächlich so das man Teile raten muss, denn noch besser ist eine andere Lösung mit der du in der Zweigstelle beide Netze transparent routest ohne NAT und erst am Zweigstellen Router nur die IPs aus dem neuen Netz NATest auf das Firmennetz.
Das hat den Vorteil das die Kollegen in der Zeigstelle völlig transparent kommunizieren können über beide Netze was mit der ersteren Lösung nicht möglich ist, da es sonst eine lokale Einbahnstrasse ist (NAT Firewall).
Wichtig wäre dazu zu wissen ob die Kommunikation in der Zentrale eher zentralisiert auf einen Server geschieht oder ob es any zu any untereinander gibt in beiden Netzen.
Die Option 1 sähe dann so aus:
Hier ist da Nachteil das einen Kommunikation VOM alten /27er Netz INS neue Netz nicht möglich ist da die NAT Firewall im Router das verhindert. Durch die NAT Firewall des Routers hat man hier gewissermaßen eine Einbahnstrasse.
Arbeiten alle im neuen Netz eh nur in Richtung altes Netz oder Firmennetz dann kann man das ignorieren und dann ist diese Option mit einem kleinen 40 Euro Router (oder 2 NICs im Server) in 15 Minuten umgesetzt:
Option 2 sieht ähnlich aus verzichtet aber auf das NAT im lokalen Router:
Damit ist dann eine transparente Kommunikation im Zweigstellen Netzwerk gewährleistet allerdings muss der Zweigstellenrouter dann selektiv mit den neuen IP Adressen als Absender NAT auf die Firmennetz IP machen.
Auch das ist problemlos möglich und in 30 Minuten umgesetzt sofern man die richtige Router Hardware hat oder eben die "2 NIC Lösung" im Server.
Details zur 2 NIC Lösung findest du HIER.
Router wäre technisch vorzuziehen, der der Netzbetrieb dann unabhängig von der Verfügbarkeit des Servers funktioniert. Beide Szenarien lösen aber dein Problem.
Such dir also das für dich sinnvollste Szenario raus. Beides sind banale Standard Szenarien für diese immer wiederkehrende klasssiche IP Adress Fehlplanungen.
Beides ist im Handumdrehen mit wenig finanziellen und technischen Aufwand realisierbar.
Da du festgenagelt bist auf dein /27er Netzwerk kannst du dich auch nur strikt in diesem Netzwerk bewegen mit deinen IP Adressen. Du musst also überlegen wie du das am pfiffigsten löst um mit den 30 möglichen IP Adressen hauszuhalten.
Vorweg: Mit dem Server kannst du schon mal leicht vergessen, denn der bietet dir nicht die Möglichkeiten dazu.
1:1 NAT löst dir dein Problem logischerweise nicht, denn das bildet einen IP Aus dem alten Netzwerk im neuen ab...damit hast du also rein gar nichts gewonnen.
Kollege brammer hat hier also Recht denn das ist wirklich Unsinn und hilft nicht. PAT ist das Zauberwort hier.
Was du machen musst ist PAT, Port Adress Translation !
Du nimmst also eine deiner 30 Adressen und NATest darauf das gesamte neue Netzwerk der Zeigstelle so wie jeder beliebige DSL Router es macht.
Leider bist du mit deiner Beschreibung etwas oberflächlich so das man Teile raten muss, denn noch besser ist eine andere Lösung mit der du in der Zweigstelle beide Netze transparent routest ohne NAT und erst am Zweigstellen Router nur die IPs aus dem neuen Netz NATest auf das Firmennetz.
Das hat den Vorteil das die Kollegen in der Zeigstelle völlig transparent kommunizieren können über beide Netze was mit der ersteren Lösung nicht möglich ist, da es sonst eine lokale Einbahnstrasse ist (NAT Firewall).
Wichtig wäre dazu zu wissen ob die Kommunikation in der Zentrale eher zentralisiert auf einen Server geschieht oder ob es any zu any untereinander gibt in beiden Netzen.
Die Option 1 sähe dann so aus:
Hier ist da Nachteil das einen Kommunikation VOM alten /27er Netz INS neue Netz nicht möglich ist da die NAT Firewall im Router das verhindert. Durch die NAT Firewall des Routers hat man hier gewissermaßen eine Einbahnstrasse.
Arbeiten alle im neuen Netz eh nur in Richtung altes Netz oder Firmennetz dann kann man das ignorieren und dann ist diese Option mit einem kleinen 40 Euro Router (oder 2 NICs im Server) in 15 Minuten umgesetzt:
Option 2 sieht ähnlich aus verzichtet aber auf das NAT im lokalen Router:
Damit ist dann eine transparente Kommunikation im Zweigstellen Netzwerk gewährleistet allerdings muss der Zweigstellenrouter dann selektiv mit den neuen IP Adressen als Absender NAT auf die Firmennetz IP machen.
Auch das ist problemlos möglich und in 30 Minuten umgesetzt sofern man die richtige Router Hardware hat oder eben die "2 NIC Lösung" im Server.
Details zur 2 NIC Lösung findest du HIER.
Router wäre technisch vorzuziehen, der der Netzbetrieb dann unabhängig von der Verfügbarkeit des Servers funktioniert. Beide Szenarien lösen aber dein Problem.
Such dir also das für dich sinnvollste Szenario raus. Beides sind banale Standard Szenarien für diese immer wiederkehrende klasssiche IP Adress Fehlplanungen.
Beides ist im Handumdrehen mit wenig finanziellen und technischen Aufwand realisierbar.
@Taly2k
Wenns das denn nun war oder du kein Interesse mehr an einer Lösung hast bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Wenns das denn nun war oder du kein Interesse mehr an einer Lösung hast bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Hi,
danke erst mal für die ausführliche Erklärung.
Ich probier das ganze Anfang nächster Woche aus. je nachdem wie es ausgeht schließe ich das Thema und berichte kurz ob es geklappt hat.
Gruß
Taly
danke erst mal für die ausführliche Erklärung.
Ich probier das ganze Anfang nächster Woche aus. je nachdem wie es ausgeht schließe ich das Thema und berichte kurz ob es geklappt hat.
Gruß
Taly
Da sind wir wie immer auf ein Feedback gespannt. Wird aber sicher klappen so....
