12
Netzwerk trennen, 2 Internet Anschlüsse, ein Server
Hi Leute!
Ich habe schon viel gesucht (hier und dort und überall) aber ich vestehe es noch nicht so ganz.
Die Problematik ist das im Moment 2 Firmen ein Netzwerk und einen Internet Anschluss benutzen. Nun sollen die Firmen einen eigenen Internet Zugang bekommen. Zusätzlich für eine Firma wird noch Voip konfiguriert. Der Server sowie die Ressourcen sollen jedoch für beide Firmen erreichbar
bleiben.
Der Server ist ein Windows 2003 SBS mit einer Netzwerkarte,
Dienste:DHCP,AD,Exchange,Fileserver
Es werden 2x48 1000 bzw. 100MB/s Linksys managed switche benutzt.
2 One Access (QSC) Kabel Router sind vorhanden.
Es soll nicht die Domäne oder sonstiges getrennt werden nur der Physikalische Zugang.
Im Kopf schwirren mir nun mehrere Möglichkeiten.
Erste per Mac Adresse den DHCP zu steuern so dass nur der Gateway je nach Firma geändert wird (einbau zweiter Netzwerkkarte) dies ist mir aber zu undynamisch da neue Rechner erst eingebunden werden müssen.
Von den anderen beiden Möglichkeiten Vlan und Subnetting habe ich noch nicht die Ahnung und es erschließt sich mir nichts konkretes. Gibt es noch eine andere Lösung oder kann mir jemand bei den anderen beiden Möglichkeiten helfen? Ich blicke da nicht so ganz durch :hmm:
Vielen Dank schonmal,
gruß h.c
Ich habe schon viel gesucht (hier und dort und überall) aber ich vestehe es noch nicht so ganz.
Die Problematik ist das im Moment 2 Firmen ein Netzwerk und einen Internet Anschluss benutzen. Nun sollen die Firmen einen eigenen Internet Zugang bekommen. Zusätzlich für eine Firma wird noch Voip konfiguriert. Der Server sowie die Ressourcen sollen jedoch für beide Firmen erreichbar
bleiben.
Der Server ist ein Windows 2003 SBS mit einer Netzwerkarte,
Dienste:DHCP,AD,Exchange,Fileserver
Es werden 2x48 1000 bzw. 100MB/s Linksys managed switche benutzt.
2 One Access (QSC) Kabel Router sind vorhanden.
Es soll nicht die Domäne oder sonstiges getrennt werden nur der Physikalische Zugang.
Im Kopf schwirren mir nun mehrere Möglichkeiten.
Erste per Mac Adresse den DHCP zu steuern so dass nur der Gateway je nach Firma geändert wird (einbau zweiter Netzwerkkarte) dies ist mir aber zu undynamisch da neue Rechner erst eingebunden werden müssen.
Von den anderen beiden Möglichkeiten Vlan und Subnetting habe ich noch nicht die Ahnung und es erschließt sich mir nichts konkretes. Gibt es noch eine andere Lösung oder kann mir jemand bei den anderen beiden Möglichkeiten helfen? Ich blicke da nicht so ganz durch :hmm:
Vielen Dank schonmal,
gruß h.c
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 83536
Url: https://administrator.de/contentid/83536
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
12 Kommentare
Neuester Kommentar
Soll also nur der Internetzugang und das VOIP über einen anderen Gateway laufen? Dann müsstest du einfach die Rechner der einen Firma mit dem Standardgateway des 1. Routers austatten und die anderen Rechner mit dem Standardgateway des 2. Routers....
Habe ich das soweit richtig verstanden? Die sollen einfach nur nen anderen Zugang zum Netz haben?
Du brauchst auch keine 2. Netzwerkkarte. Einfach den DHCP in 2 Bereiche aufteilen und dort per MAC-Adresse die Rechner im jeweiligen Bereich registrieren.... in den Bereichen kannst du ja dann den Standardgateway ändern
Habe ich das soweit richtig verstanden? Die sollen einfach nur nen anderen Zugang zum Netz haben?
Du brauchst auch keine 2. Netzwerkkarte. Einfach den DHCP in 2 Bereiche aufteilen und dort per MAC-Adresse die Rechner im jeweiligen Bereich registrieren.... in den Bereichen kannst du ja dann den Standardgateway ändern
Hi,
ich glaube es ist das beste, wenn du dir zwei kleine Server anschaffst, und dort einen Linux Proxy (Squid) installierst und jeder "Firma" einen anderen Proxy zur Verfügung stellst.
Alles andere ist AFAIK kompliziert (AD Server und zwei Netze - das wurde mir beim MCSE eingetrichtert, wäre nicht wirklich "sauber")
Aber mein Wissenstand ist nunmehr auch schon 9 Jahre alt, vielleicht ist das heutzutage nicht mehr problematisch.
Edit sagt zum Lutz, warum einfach, wenns auch kompliziert geht und nehme meine Aussage hiermit zurück
Im Fall, das jede Firma einen eigenen Switch hat, wärs noch einfacher, aber dann doch mit zwei Karten im gleichen Bereich.
192.168.0.1 für Firma A DHCP Bereich 0-127
192.168.0.128 für Firma B DHCP Bereich 128-254
Ihm gehts wohl genau darum, die MAC Adressen NICHT eintragen zu müssen???
Auf jeden Fall würde ich dann den DHCP vom AD Server wegnehmen und DHCP Server auf einer separaten Maschine.
Edith² - ähh CelineHagbard und ich gebe Ihm Tipps???
ich glaube es ist das beste, wenn du dir zwei kleine Server anschaffst, und dort einen Linux Proxy (Squid) installierst und jeder "Firma" einen anderen Proxy zur Verfügung stellst.
Alles andere ist AFAIK kompliziert (AD Server und zwei Netze - das wurde mir beim MCSE eingetrichtert, wäre nicht wirklich "sauber")
Aber mein Wissenstand ist nunmehr auch schon 9 Jahre alt, vielleicht ist das heutzutage nicht mehr problematisch.
Edit sagt zum Lutz, warum einfach, wenns auch kompliziert geht und nehme meine Aussage hiermit zurück
Im Fall, das jede Firma einen eigenen Switch hat, wärs noch einfacher, aber dann doch mit zwei Karten im gleichen Bereich.
192.168.0.1 für Firma A DHCP Bereich 0-127
192.168.0.128 für Firma B DHCP Bereich 128-254
Ihm gehts wohl genau darum, die MAC Adressen NICHT eintragen zu müssen???
Auf jeden Fall würde ich dann den DHCP vom AD Server wegnehmen und DHCP Server auf einer separaten Maschine.
Edith² - ähh CelineHagbard und ich gebe Ihm Tipps???
Abend @all,
schau dir mal auf www.gruppenrichtlinien.de das Feature "WPAD" an. Dort hast du die Möglichkeit je IP-Adresse und aufrufende Domain jeweils ein anderen Proxy (Router) anzugeben. Sollte somit bei dir auch funktionieren. Einfach mal das Howto durchspielen....
Somit brauchst du nur definieren, welche IP-Bereich welche Rechner haben (zur Not einfach statische DHCP-Einträge) und gut ist.
Grüße
Dani
schau dir mal auf www.gruppenrichtlinien.de das Feature "WPAD" an. Dort hast du die Möglichkeit je IP-Adresse und aufrufende Domain jeweils ein anderen Proxy (Router) anzugeben. Sollte somit bei dir auch funktionieren. Einfach mal das Howto durchspielen....
Somit brauchst du nur definieren, welche IP-Bereich welche Rechner haben (zur Not einfach statische DHCP-Einträge) und gut ist.
Grüße
Dani
Die Lösung ist doch ganz einfach:
Für 10 Euro eine 2te Netzwerkkkarte in den Server. Ein neues IP Netz definieren per DHCP im Server und je einen Switch für die Firma 1 und 2 verwenden.
Gateways dann entsprechend per DHCP auf den Router Firma 1 und analog auf Firma 2 per DHCP vergeben.
Dein fertiges Netzwerk sieht dann so aus:
Aufwand max. eine halbe Stunde !
Für 10 Euro eine 2te Netzwerkkkarte in den Server. Ein neues IP Netz definieren per DHCP im Server und je einen Switch für die Firma 1 und 2 verwenden.
Gateways dann entsprechend per DHCP auf den Router Firma 1 und analog auf Firma 2 per DHCP vergeben.
Dein fertiges Netzwerk sieht dann so aus:
Aufwand max. eine halbe Stunde !
Danke erstmal für eure Antworten!
Die Möglichkeit von Timo und aqui klingt ja nicht schlecht, doch wo kann man die IP Adressen vergabe nach Netzwerkkarten am DHCP einstellen?
Ein anderer Server kommt leider nicht in Frage.
Wpad klingt auch nicht schlecht, nur über welche Internet Leitung (Gateway) gehen dann die anderen Programme (FTP, etc), möchte eigentlich schon eine Saubere trennung haben.
Denke ich werde es über die 2te Netzwerkkarte und die getrennten switche machen (Die switche untereinander werden dann nicht verbunden? Und die von mir vergessene Firewall (Netgear VPN Firewall FVX538 mit 2xWAN und 8 Lan) lasse ich einfach zwischen den Routern und Switches (geht das überhaupt, da sich die Switche ja bei der Firwall "treffen")
Danke schonmal und nächste Woche werde ich berichten.
Gruß und schönen Abend,
h.c
P.s: h.c kennt sich gut mit alten KGB Sachen aus, aber nicht mit dem neuem Kram^^
Die Möglichkeit von Timo und aqui klingt ja nicht schlecht, doch wo kann man die IP Adressen vergabe nach Netzwerkkarten am DHCP einstellen?
Ein anderer Server kommt leider nicht in Frage.
Wpad klingt auch nicht schlecht, nur über welche Internet Leitung (Gateway) gehen dann die anderen Programme (FTP, etc), möchte eigentlich schon eine Saubere trennung haben.
Denke ich werde es über die 2te Netzwerkkarte und die getrennten switche machen (Die switche untereinander werden dann nicht verbunden? Und die von mir vergessene Firewall (Netgear VPN Firewall FVX538 mit 2xWAN und 8 Lan) lasse ich einfach zwischen den Routern und Switches (geht das überhaupt, da sich die Switche ja bei der Firwall "treffen")
Danke schonmal und nächste Woche werde ich berichten.
Gruß und schönen Abend,
h.c
P.s: h.c kennt sich gut mit alten KGB Sachen aus, aber nicht mit dem neuem Kram^^
Hi,
wegen meines Edits, da hab ich mich leider getäuscht, sorry.
Hab grad mal nachgesehen, leider kannst du die "Bindings" (auf welche Karte "hört" der DHCP Dienst) doch nur global für den Server einstellen, nicht für den Netzbereich.
Sorry für den "Schnellschuss"
wegen meines Edits, da hab ich mich leider getäuscht, sorry.
Hab grad mal nachgesehen, leider kannst du die "Bindings" (auf welche Karte "hört" der DHCP Dienst) doch nur global für den Server einstellen, nicht für den Netzbereich.
Sorry für den "Schnellschuss"
...doch wo kann man die IP Adressen vergabe nach Netzwerkkarten am DHCP einstellen?...
Das ist ganz einfach: Du machst einfach einen 2ten Scope (IP Bereich) im DHCP Server auf für die 2te Firma und trägst dort alle Daten ein.
http://support.microsoft.com/?scid=kb%3Bde%3B139904&x=11&y=13
Jeder PC im Segment bekommt nun auch die richtigen IPs. An bestimmte Karten muss man den DHCP nicht binden, das ist Unsinn ! Der Server merkt ja von welchem Segment der DHCP request kommt und verteilt dann auch die richtigen IPs !
Und: Nein ! die Switches darfst du NICHT direkt verbinden, denn wie du sehen kannst arbeiten beide in unterschiedlichen IP Netzen die über den Server geroutet werden. Eine direkte Verbindung der Switches auf Layer 2 (Mac Adress) Basis verbietet sich somit zwingend !!
Das ist ganz einfach: Du machst einfach einen 2ten Scope (IP Bereich) im DHCP Server auf für die 2te Firma und trägst dort alle Daten ein.
http://support.microsoft.com/?scid=kb%3Bde%3B139904&x=11&y=13
Jeder PC im Segment bekommt nun auch die richtigen IPs. An bestimmte Karten muss man den DHCP nicht binden, das ist Unsinn ! Der Server merkt ja von welchem Segment der DHCP request kommt und verteilt dann auch die richtigen IPs !
Und: Nein ! die Switches darfst du NICHT direkt verbinden, denn wie du sehen kannst arbeiten beide in unterschiedlichen IP Netzen die über den Server geroutet werden. Eine direkte Verbindung der Switches auf Layer 2 (Mac Adress) Basis verbietet sich somit zwingend !!
Moin aqui,
das funktioniert sehr schön, außer wenn der z.B. RIS auf dem Server läuft. Dann dürfte der DHCP vom Server nicht mehr ausreichen.
Grüße
Dani
das funktioniert sehr schön, außer wenn der z.B. RIS auf dem Server läuft. Dann dürfte der DHCP vom Server nicht mehr ausreichen.
Grüße
Dani
Danke erstmal für eure Hilfe!
Die Konfiguration hat sich etwas geändert von daher bin ich fast wieder bei 0. Behalte mir aber die 2 Netzwerkarten konfiguration als Notfall im Kopf.
Es sind nun 3 Linksys SRW2048 Switche vorhanden
Die Firewall von Netgear FVX538 ist auch gleichzietig Router und hat 2 WAN eingänge welche im load balancing verfahren betrieben werden können.
Ich habe ein großes Loch was VLAN angeht und weiß nicht wirklich wie das konfiguriert wird.
Ich erstelle auf den Switches 2 VLANs:
Internet
Voip
Die jeweils obenren 24 Ports werden dem VLAN Internet zugeordnet
die anderen VOIP.
Bis hierhin kann ich Folgen, nur wie vergebe ich jetz die IP Adressen, wo muss ich am Server was einstellen? Ich erstelle einen zweiten IP Bereich auf dem DHCP Server der alle Telefone bedienen soll. Wo konfiguriere ich die Verbindung zwischen switch und Server und woher weiß der Server das eine Anfrage aus dem VOIP Netz kommt? Und wie stelle ich ein das die Telefone aus dem VLAN "VOIP" immer über die zweite WAN verbindung der Firewall gehen?
Ich bin ziemlich verwirrt was an der momentanen Arbeits Situation liegen kann und wäre dankbar wenn sich einer mal erbarmt mir das zu erklären?
Gruß h.c.
Die Konfiguration hat sich etwas geändert von daher bin ich fast wieder bei 0. Behalte mir aber die 2 Netzwerkarten konfiguration als Notfall im Kopf.
Es sind nun 3 Linksys SRW2048 Switche vorhanden
Die Firewall von Netgear FVX538 ist auch gleichzietig Router und hat 2 WAN eingänge welche im load balancing verfahren betrieben werden können.
Ich habe ein großes Loch was VLAN angeht und weiß nicht wirklich wie das konfiguriert wird.
Ich erstelle auf den Switches 2 VLANs:
Internet
Voip
Die jeweils obenren 24 Ports werden dem VLAN Internet zugeordnet
die anderen VOIP.
Bis hierhin kann ich Folgen, nur wie vergebe ich jetz die IP Adressen, wo muss ich am Server was einstellen? Ich erstelle einen zweiten IP Bereich auf dem DHCP Server der alle Telefone bedienen soll. Wo konfiguriere ich die Verbindung zwischen switch und Server und woher weiß der Server das eine Anfrage aus dem VOIP Netz kommt? Und wie stelle ich ein das die Telefone aus dem VLAN "VOIP" immer über die zweite WAN verbindung der Firewall gehen?
Ich bin ziemlich verwirrt was an der momentanen Arbeits Situation liegen kann und wäre dankbar wenn sich einer mal erbarmt mir das zu erklären?
Gruß h.c.
Du hast das alles schon sehr richtig erkannt und verstanden...
.."Ich erstelle einen zweiten IP Bereich auf dem DHCP Server der alle Telefone bedienen soll. .."
Ja, das ist richtig !
.."Wo konfiguriere ich die Verbindung zwischen Switch und Server und woher weiß der Server das eine Anfrage aus dem VOIP Netz kommt?...
Du musst einen Port auswählen der ein sog. Tagged Port ist auf dem Switch an diesem Port werden beide VLANs mit einer VLAN Information (VLAN ID Tag) an den Server übertragen. Der Server kann diese dann lesen und wieder intern auf seiner Karte dem richtigen VLAN zuordnen.
In diesem Tutorial wird das alles sehr genau beschrieben:
Damit ersparst du dir dann auch die 2 Netzwerkkarten, die dann virtuell abgebildet werden.
Damit deine VLAN Kenntnisse etwas aufgefrischt werden solltest du dir folgenden Artikel durchlesen:
http://www.heise.de/netze/Fiktive-Netzwerke--/artikel/77832
.."und woher weiß der Server das eine Anfrage aus dem VOIP Netz kommt?..."
Das ist ja oben schon erklärt. Die Packete der Telefon tragen auf dem Link zum Server einen sog. VLAN Tag der das VLAN identifiziert. So weiss der Server sofort woher diese Packete kommen !
"...Und wie stelle ich ein das die Telefone aus dem VLAN "VOIP" immer über die zweite WAN verbindung der Firewall gehen?..."
Das ist jetzt sehr einfach, denn dein VoIP Netz hat ja eine andere IP Netzadresse. Alle Load Balancer Router können so eingestellt werden, das Packete aus dem IP Netz x.x.x.x über den WLAN Anschluss Y gehen. Ist Y mal ausgefallen nimmt so ein Router automatisch den 2ten Anschluss damit dein VoIP Netz nicht ausfällt sollte der Link
Das kann man im Setup des Routers sehr einfach einstellen.. !
.."Ich erstelle einen zweiten IP Bereich auf dem DHCP Server der alle Telefone bedienen soll. .."
Ja, das ist richtig !
.."Wo konfiguriere ich die Verbindung zwischen Switch und Server und woher weiß der Server das eine Anfrage aus dem VOIP Netz kommt?...
Du musst einen Port auswählen der ein sog. Tagged Port ist auf dem Switch an diesem Port werden beide VLANs mit einer VLAN Information (VLAN ID Tag) an den Server übertragen. Der Server kann diese dann lesen und wieder intern auf seiner Karte dem richtigen VLAN zuordnen.
In diesem Tutorial wird das alles sehr genau beschrieben:
Damit ersparst du dir dann auch die 2 Netzwerkkarten, die dann virtuell abgebildet werden.
Damit deine VLAN Kenntnisse etwas aufgefrischt werden solltest du dir folgenden Artikel durchlesen:
http://www.heise.de/netze/Fiktive-Netzwerke--/artikel/77832
.."und woher weiß der Server das eine Anfrage aus dem VOIP Netz kommt?..."
Das ist ja oben schon erklärt. Die Packete der Telefon tragen auf dem Link zum Server einen sog. VLAN Tag der das VLAN identifiziert. So weiss der Server sofort woher diese Packete kommen !
"...Und wie stelle ich ein das die Telefone aus dem VLAN "VOIP" immer über die zweite WAN verbindung der Firewall gehen?..."
Das ist jetzt sehr einfach, denn dein VoIP Netz hat ja eine andere IP Netzadresse. Alle Load Balancer Router können so eingestellt werden, das Packete aus dem IP Netz x.x.x.x über den WLAN Anschluss Y gehen. Ist Y mal ausgefallen nimmt so ein Router automatisch den 2ten Anschluss damit dein VoIP Netz nicht ausfällt sollte der Link
Das kann man im Setup des Routers sehr einfach einstellen.. !
So, kurzes Feedback.
Es hat sich alles geklärt. Freitag abend kamen die switche, welche ich dann (natürlich mit 14 überstunden und Wochendarbeiten) folgendermaßen konfiguriert habe:
Switch 1 war schon vorhanden, dieser war per default VLAN im Daten Netz.
Switch zwei und drei habe ich 2 neue Vlans verpasst, VLAN 2 VOIP, VLan 3 daten. Die unteren Ports im VLAN 2 als untagged markiert. Die oberen bei VLAN 3 als untagged. Ebenfalls auf beiden switchen 2 Trunk Ports eingerichtet, welche jeweils vollen Zugriff auf Netze 2 und 3 haben. (2 TP's an jedem switch weil man zur konfiguration einen port braucht der auf alle Netze zugreifen kann.) den anderen TP an Switch 2 und 3 verbunden. Switch 1 einfach ohne TP in einen der Daten VLan Ports gesteckt.
Es gibt nun eine Daten Leitung von QSC und eine VOIP Leitung von QSC. Beide Leitungen können nur für ihre jeweilige Funktion genutzt werden und können nicht geteilt werden. Somit hat sich das VLAN am Router einstellen erledigt. Auch die 2te Netzwerkkarte wird nicht benötigt.
Die 3x48er Switche sind etwas überdimensioniert, aber ich hoffen mal das hier noch vollperpacht wird und somit jeder User direkt an den Switch kommt, momentan habe ich noch pro Raum zwei kleine 8fach Switche (VOIP/Daten).
Das die Leitung nicht mal priorisiert (eingestellt) war am Freitag, das Voip nicht aktiviert worden war und somit die Telefone noch über die alte Leitung gingen bis heute morgen war dann chefins schuld. Das würde ich demnächst selber überprüfen (kurzer anruf beim Anbieter) bevor ich auf meine Kollegen oder chefin höre
Vielen Dank euch allen!!
Gruß, h.c
Es hat sich alles geklärt. Freitag abend kamen die switche, welche ich dann (natürlich mit 14 überstunden und Wochendarbeiten) folgendermaßen konfiguriert habe:
Switch 1 war schon vorhanden, dieser war per default VLAN im Daten Netz.
Switch zwei und drei habe ich 2 neue Vlans verpasst, VLAN 2 VOIP, VLan 3 daten. Die unteren Ports im VLAN 2 als untagged markiert. Die oberen bei VLAN 3 als untagged. Ebenfalls auf beiden switchen 2 Trunk Ports eingerichtet, welche jeweils vollen Zugriff auf Netze 2 und 3 haben. (2 TP's an jedem switch weil man zur konfiguration einen port braucht der auf alle Netze zugreifen kann.) den anderen TP an Switch 2 und 3 verbunden. Switch 1 einfach ohne TP in einen der Daten VLan Ports gesteckt.
Es gibt nun eine Daten Leitung von QSC und eine VOIP Leitung von QSC. Beide Leitungen können nur für ihre jeweilige Funktion genutzt werden und können nicht geteilt werden. Somit hat sich das VLAN am Router einstellen erledigt. Auch die 2te Netzwerkkarte wird nicht benötigt.
Die 3x48er Switche sind etwas überdimensioniert, aber ich hoffen mal das hier noch vollperpacht wird und somit jeder User direkt an den Switch kommt, momentan habe ich noch pro Raum zwei kleine 8fach Switche (VOIP/Daten).
Das die Leitung nicht mal priorisiert (eingestellt) war am Freitag, das Voip nicht aktiviert worden war und somit die Telefone noch über die alte Leitung gingen bis heute morgen war dann chefins schuld. Das würde ich demnächst selber überprüfen (kurzer anruf beim Anbieter) bevor ich auf meine Kollegen oder chefin höre
Vielen Dank euch allen!!
Gruß, h.c
Bitte, bitte...dafür ist ein Forum ja da
Dann bitte auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Dann bitte auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
