aspin
Goto Top

Private IP und C-Class Probleme

Clients über DHCP haben schlechte Performance. Netzwerk Zugriff wird teilweise unterbrochen.

Wir haben einen Domaincontroller der gleichzeitig ein DHCP ist. Zusätzlich einen DNS 2 Server mit Cisco Router und Switch. Der DHCP vergibt ohne Probleme private IPs im Range 192.168.1.20-xxx. Der Cisco Router ist Gateway und mit der IP x.x.x.40 sowie 192.168.1.1 konfiguriert worden, weil wir private und C-Class Adressen haben. Nun möchte ich, dass C-Class Adressen nur noch die Server haben dürfen/können und Clients, Drucker etc. eine private DHCP Adresse zugewiesen bekommen.
Soweit so gut.

Client Unterbruch Netzwerk Verbindungen
Wenn ein Client auf den Domänencontroller oder anderen Server zugreifen möchte, dauert die Suche über Arbeitsplatz oder Netzwerk des entsprechenden Servers bis zu 2 Minuten. Teilweise wird der Server gar nicht gefunden.

Client Zugriff auf Internet
Wenn ich über eine Client WS ein tracert (Verfolgung) zu 192.168.0.1 mache, so endet die Suche im Internet Nirvana. Also hier ist nicht klar, dass der Client NICHT im Internet suchen soll, sondern im Intranet der Firma.

Client Programm Zugriff über Server
Wenn ein Client ein Programm auf dem Server startet, so fällt die Verbindung ungewollt nach ein paar Minuten aus. Eine neue Netzwerkverbindung muss gemacht werden und das Programm muss neu gestartet werden.

Gemischtes Netzwerk
Einzelne Clients haben C-Class Adressen (x.x.x.33-46) und private IPs (192.168.1.xx). Die C-Class Clients können dann nicht auf private Clients zugreifen trotz PING Antwort.

Wer hier eine Lösung hat, bekommt dies vergütet.

Gruss, Marcel

Content-ID: 58951

Url: https://administrator.de/contentid/58951

Ausgedruckt am: 08.11.2024 um 14:11 Uhr

aqui
aqui 14.05.2007 um 14:47:15 Uhr
Goto Top
Dein Netzwerkdesign ist etwas diffus aber anhand der Beschreibung kann man sagen das du sehr wahrscheinlich ein IP Designfehler gemacht hast und zwar einen erheblichen, was dir diese erheblichen Probleme verursacht !
Leider hast du die Router Konfig nicht gepostet so das man etwas raten muss.

Nach deiner Zeichnung sieht es so aus als ob die Clients am Router unterschiedliche Adressen aus den öffentlichen 62.x.x.x Bereich und aus dem RFC 1918 Bereich 192.168.0.x haben. Allein das ist schon sehr problematisch und eigentlich nicht machbar.
Folgende Fragen sind noch offen:

1.) Nach deiner Zeichnung sind am DC-1 2 IP Segmente dran. Es ist aber aus der Zeichnung nicht klar ob der NS2/DNS-2 dieses Segment routet oder ebenfalls im 62.x.x.x Segment ist. Also ob es so

(Firewall)----FW-LAN---(DC1)---CrossoverLAN---(DS2/DNS2)---CrossoverLAN---(CiscoRouter)--Cl

oder so

(Firewall)----FW-LAN---(DC1 und DS2/DNS2 im 62.x.x.x)---CrossoverLAN---(CiscoRouter)--Client

aussieht ???

2.) Ist dem so welches IP Segment ist dann das Firewall LAN wenn DC1 zwei NICs hat ??

3.) Oben schreibst du dein Cisco hat die 192.168.1.1 ! Davon ist unten aber nicht mehr die Reden denn plötzlich ist das Netz die 192.168.0.0/24. Was stimmt denn nun oder hast du noch mehr als diese beiden IP Segmente auf dem Router, was die Sache noch chaotischer machen würde !

Das eigentliche Problem aber ist der Cisco Router bzw. dessen Konfig !!!
Wie ist es möglich das du das 62.x.x.x Segment sowohl auf der Seite der DC1/DS2 Seite hast und auch auf der Client Seite ???
Damit wird ja der Router ad absurdum geführt wenn du auf beiden Seiten ein und dasselbe IP Netzwerk hast ??? Oder hast du den 62.x.x.x Bereich weiter in Subnetzs unterteilt und das sauber routingtechnisch getrennt ??? Aus Layer 3 Sicht kannst du ja niemals dasgleiche IP Segment auf beiden Routerseiten haben...wie soll das gehen ?
Auch hier ist deine Beschreibung mehr als unklar !!

Aber auch wenn dem so wäre, müsstest du dann ja in jedem Falle mit secondary Adressen auf dem Cisco fahren was natürlich in einem Cisco Umfeld tödlich ist, denn damit zwingst du den Router ins sog. Process Switching was bedeutet das sämtliches Packet Frowarding nur noch über die CPU funktioniert. Von ICMP Problemen mal ganz abgesehen, die noch dazukommen.
Das Resultat davon sollte dir klar sein. Sehr schlechte Perfromance und keinerlei Skalierbarkeit !

So wie es nach deiner doch etwas oberflächlichen Beschreibung und den daraus resultierenden Vermutungen aussieht, hast du ein erhebliches Designproblem UND sehr wahrscheinlich auch ein Konfig Problem in deinem Netz.
Was soll das genau bedeuten ...der Cisco ist so konfiguriert das er alle Packete durchlässt...?? Ist er Router ??? Ist er Bridge ???

Solange du die o.a. Fragen nicht sicher klärst und genau die Konfig des Routers beschreibst wird ein Troubleshooting deines Netzes sehr schwierig per remote !!!
Eine saubere Lösung sollte aber problemlos möglich sein wenn du diese Fragen klären kannst !
Aspin
Aspin 14.05.2007 um 16:12:50 Uhr
Goto Top
Hallo Aqui

Erstmal vielen Dank dass Du dir die Mühe nimmst! Werde mich bei einer Lösung erkenntlich zeigen. Habe das Netzwerk so übernommen mit der Begründung dass der Cisco Router vom ISP (Cablecom) nicht konfiguriert werden kann. Egal – Lösung muss her.

Die Zeichnung ist nur eine kurze Übersicht. Richtig ist:

Internet ---- Cisco Router ISP (x.x.x.33) ----- Firewall (x.x.x.35) ----- Switch 1 ----- DC1 (x.x.x.34) ----- NS2 (x.x.x.41) ----- Backoffice Server (x.x.x.45)
Dann vom Switch 1 ------ einen 1 GB Faden zum ------ Cisco 2600 (x.x.x.40/192.168.1.2) ins Backoffice Büro. An diesem Cisco 2600 hängen zwei Switchs für die C-Classen und die DHCP Client Verteilung.

Zu Deinen Fragen.

1.) Der DC1 hat zwar zwei NICs aber nur eine aktiviert. IP Einstellungen: x.x.x.34 / 255.255.255.240 / GW: x.x.x.40 (Also den Cisco Switch). Ist momentan der Domaincontroller und DHCP Server.

2.) IP Segment hat ‚nur’ C-Class Range: x.x.x.34-46 / 255.255.255.240 sowie das private DHCP Segment 192.168.1.0 – xx. Keine weiteren Segmente mehr.

3.) Wie oben beschrieben, kann der Router von Cablecom nicht konfiguriert werden. Wie auch immer – ich setze einen neuen Domaincontroller SBS Premium auf – ersetzt dann den DC1 wie oben (x.x.x.34). Bei dieser Arbeit möchte ich natürlich das Netzwerk endlich auch mit DHCP Clients/Drucker zum laufen bringen. Gerne sende ich Dir über PM Zugang zum Cisco, damit du dir ein Bild machen kannst. Bin leider kein CISCO Guru.
Die drei Server: DC1 / NS2 / Backoffice sowie Cisco von Cablecom und Firewall haben dann noch eine C-Class – Ende.


Schlussendlich bringt es nichts gross nach Fehlern zu suchen. Ziel ist das korrekte Netzwerk Design aufzustellen. Wenn ich schon daran bin einen neuen Domaincontroller zu installieren und ALLE Clients/Drucker neu an die Domäne zu nehmen, so ist ein vorheriges, korrektes Netzwerk Design von Vorteil face-smile
aqui
aqui 14.05.2007 um 16:50:29 Uhr
Goto Top
OK, das macht das ganze schon etwas klarer... (Kleiner Tip: Die 62er Adressen der Server (unter Punkt 1) solltest du mit dem "x" wieder wegeditieren damit hier niemand auf dumme Gedanken kommt face-wink )

Also vereinfacht sieht das Diagramm dann so aus:

Internet---(Cisco ISP(.33)---- FW(.35)---Switch1_LAN62.x.198.0----- (2600(.41)-----LAN_192.168.1.0

Die Zentrale Frage ist jetzt was willst du mit dem Netz erreichen ???

Ich verstehe das jetzt so das du öffentliche IPs bekommen hast und damit eine DNS Domain oder DMZ etc. beteibst die im öffentlichen Bereich hinter dem ISP Router bzw. Firewall stehen und alle über Switch-1 verbunden sind.
Frage: Sind in diesem Segment auch noch Clients ??

Vermutlich nicht und die Server in diesem öffentlichen Segment haben als default Gateway mit Sicherheit die FW IP Adresse 62.x.198.35 (Eine fehlt da in deinem Bild denn eine FW hat ja mindestens immer 2 Interfaces !) eingestellt. Bzw. die FW dann selber als default Gateway den ISP Router, richtig ???
Also dein öffentliches Serversegment ist sowas wie eine DMZ... ?!

Als weitere Frage die sich dann gleich stellt: Wenn du auf dem Server eine Windows Domain (also keine DNS Domain) erstellen willst, ihn als DHCP Server laufen lassen willst usw. sind das ja eigentlich Funktionen die hinter den 2ten Router (2600) gehören ins Backoffice und niemals in ein öffentliches IP Segment !
Mal ganz abgesehen von der Tatsache einen Windows Office Server offen im Internet zu exponieren...eigentlich keine wirklich gute Idee wenn er hauptsächlich für Funktionen im Office benutzt wird das im 192.168.1.0er Netz arbeitet !!!

OK, gesetzt den Fall das ist so: Im DMZ Segment keine Clients und alle Clients sind hinter dem Router im 192.168.1.0er Segment und sollen nur intern arbeiten und auf diese Server bzw. ins Internet. Einfach gesehen so:

(Internet)---(ISP-Router)---(FW)---62.x.198.0----(Router)---192.168.1.0---Client

Die Frage ist jetzt noch ob du willst das deine 192.168.1er Adressen noch im Serversegment auftauchen sollen ??? Wenn ja musst du eine statische Route auf der Firewall installieren die alle Packete in dies Netz auf den 2600er Router schickt. Die FW sollte ausgehen ins Internet aber natürlich alle 192.168.er RFC1918 Netz blocken.

Besser ist es natürlich wenn du noch Hostadressen aus dem 62.x.198.0er Bereich frei hast direkt auf dem 2600er Cisco ein statisches NAT der Clientadressen auf 62er Adressen zu machen. Hast du zuwenig Adressen löst das eine PAT (Port Adress Translation) Konfiguration auf dem 2600er, der dann das gesamte 192.168.1.0er Netz auf eine 62er IP am 2600er Router umsetzt (Prinzip eines jeden DSL Consumerrouters !) Dein Backoffice Netz taucht dann also immer mit öffentlichen IPs hinter dem 2600er Router auf.
Das setzt allerdings voraus das du den Server nicht für Windows File- und Druckersharing benutzt, sonst bleibt dir nur das Routen mit der Route auf der FW.
Die NAT Lösung ist erheblich sicherer ! Ebenso den DHCP auf dem Server einzurichten ist keine gute Idee. Als Gesamtlösung ist es dann besser diesen Server mit ins 192.168.1.0er Segment zu verlegen.
Geht es dir nur ums DHCP fürs Clientsegment kann das auch der 2600er Cisco erledigen, denn der hat einen DHCP Server an Board und muss nur dafür konfiguriert werden !
Generell gilt alles an Office Funktionen sollte direkt ins 192.168.1.0er Segment verlegt werden.

Ich denke mal das ist im Groben was du willst oder hab ich was übersehen ???
Aspin
Aspin 14.05.2007 um 22:12:21 Uhr
Goto Top
Hi Aqui

Vielen Dank für den Security Hinweis. Habe die C-IPs angepasst.

---
Also vereinfacht sieht das Diagramm dann so aus:

Internet---(Cisco ISP(.33)---- FW(.35)---Switch1_LAN62.x.198.0----- (2600(.41)-----LAN_192.168.1.0

---

Und detailiert dann so face-smile

Internet---(Cisco ISP(.33)----FW(.35)....(Switch1_LAN62.x.x.x(Server1-3))----(2600(.40)+(192.168.1.1)Gateway))---(Switch2_LAN(192.168.1.xxx)Clients DHcP))----(Switch3_Lan(62.x.x.xx)Clients C-Class))


Was ich mit dem Netz erreichen will:

1.) Die Server stehen 50 Meter vom Backoffice (Clients) in einem Serverraum. Die Server erhalten ausschliesslich C-Adressen. Wegen Mailserver, Messenger Server, Groupware usw. - ausser der Backoffice Server.
2.) Die Clients auf Switch 2/3 zusammen nehmen und auf DHCP private IPs legen. Weil ich keine C-Class IPs mehr habe - sniff. Habe nur 16 davon. Und das Unternehmen wächst und wächst.
3.) Die Domäne (.ch / offiziell registriert bei Switch ändern auf lokale, private Domäne (Domänenname.local)
4.) So sind die Clients vom bösen Internet geschützt und ich muss mich nur mit den Servern rumplagen.
5.) Der neue Domänencontroller (Bei nic.ch registrierter DNS Domain!!) hält als DC, DNS1, Mailserver und evtl. DHCP hin. Wir können keine Server im Backoffice platzieren - leider. Dem Backoffice Server möchte ich am liebsten eine priv. IP zuweisen, keine C-Class. Aber DC1/DNS1 und DNS2 müssen doch eine C-Class haben - oder bin ich da falsch gewickelt. Du gehst wahrscheinlich von Windows DNS aus. Jedoch laufen dort Zone Files. Die müssen über NIC.CH erreichbar sein.
6.) Windows File- und Druckersharing sowie Fax laufen über den Backoffice Server. Den ich am liebsten wie gesagt über DHCP laufen lassen möchte. Der muss von aussen nicht erreichbar sein.


---
Ich verstehe das jetzt so das du öffentliche IPs bekommen hast und damit eine DNS Domain oder DMZ etc. beteibst die im öffentlichen Bereich hinter dem ISP Router bzw. Firewall stehen und alle über Switch-1 verbunden sind.
Frage: Sind in diesem Segment auch noch Clients ??

---
Ja - genau. Server 1/2 sind Primary/Secondary Server (ich weiss, sollte nicht im gleichen IP-Netz sein. Werde noch ein 3. DNS ausserhalb aufnehmen). Die Server laufen wie oben beschrieben über den Switch 1.
In diesem Segment sind keine Clients. Nur im Backoffice Bereich ab Switch 2/3 wie oben dargestellt.

---

CISCO und DHCP
Das der Cisco 2600 ein DHCP integriert hat, wusste ich nicht. Aber den zu konfigurieren - tzzz. Ein Buch mit sieben Siegeln - zumindest für mich. Wäre natürlich viel besser. So wäre der DHCP im Backoffice/Client Bereich und nicht noch auf dem DC1.

Uffhh - dachte das geht "rucki zucki"...

*g* Marcel
aqui
aqui 16.05.2007 um 23:11:20 Uhr
Goto Top
Ich sehe in deiner Zeichnung oben

...(2600)---Switch2_LAN(192.168.1.xxx)Clients DHcP))----(Switch3_Lan(62.x.x.xx)Clients C-Class))

aber immer noch Clients die im Backoffice Netz 192.168..1.x mit 62er Adressen fahren. Das geht natürlich nicht mehr sofern du sie nicht sauber gesubnettet hast und so vom IP Segment an Switch-1 getrennt hast !!
Oder ist das ein komplettes anderes 62er Subnetz im Backoffice ?!
Ich vermute mal ja, da wie du ja weisst 62.x.x.x eine Class A Adresse ist und wahrscheinlich mit einer Class C Subnetzmaske (24 Bit) das Netz gesubnettet hast.
Ich kann mir aber nicht wirklich vorstellen das du ein komplettes Class A Netz zur freien Verfügung hast, denn soweit gibt es wohl kaum noch öffentliche Class A Netze. Es sei denn du bist selber ein Carrier....
Also das ist noch etwas diffus !

So oder so ist das nur machbar wenn du sauber gesubnettest hast. Dann gibts aber wieder das Problem das du am 2600er Cisco mit secondary IP Adresses arbeiten musst was eigentlich ein Tabu ist denn der IP Standard sieht sowas nicht vor und du handelst dir damit Probleme ein.
Wozu benötigst du im Backoffice 62.x.x.x Adressen wenn du sie am Cisco Problemlos NATten kannst auf 62er Adressen im heissen Bereich an Switch-1 ??? Generell sollten im Backoffice ha immer RFC 1918 eingesetzt werden !!!
So oder so müsstest du dann mit 62er Adresse auch zwangsweise NAT im 26er machen wenn diese 62er Subnetze nicht auf dich registriert sind !!! Ein umso gefährlichers Szenario...
Dieser Punkt ist noch unklar der Rest ist aber soweit ok.

Die DHCP Server Konfig auf dem Cisco sieht so aus:

ip dhcp pool 0
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
dns-server 194.25.2.129

Du musst aber unbedingt Geräte mit statischen Adressen die du nicht vergeben willst bzw. darfst excluden damit es nicht zu einer Doppelvergabe kommt !!!
so geht das:
ip dhcp excluded-address 192.168.1.254
ip dhcp excluded-address 192.168.1.x
ip dhcp excluded-address 192.168.1.x
usw.


Ist doch ganz easy im IOS face-wink
Aspin
Aspin 17.05.2007 um 11:34:03 Uhr
Goto Top
Zu Deiner Feststellung: Immer noch Clients die im Backoffice Netz 192.168.xx mit 62er Adresse fahren:
Das ist im Moment noch so, soll sich jedoch ändern. D.h. Backoffice Clients und Drucker nur noch 192.168.xx.
Der Serverbereich DC1 / NS2 mit öffentlichen IPs anbinden und den Fileserver im 192.168.xxx Bereich w.m.

Die 62er IPs sind A-Class - richtig. Jedoch vom ISP gesubnettet. D.h. wir haben Total 16 öffentliche IPs erhalten. Das grösste Problem erscheint mir, dass ich den CISCO Router (.33) vom ISP nicht konfigurieren kann/darf. Ich habe Dir einmal ein Netzwerkdesign an deine PM gesandt mit ein paar Fragen zur Konfiguration.

NAT muss wohl her, da einzelne private Clients (Backoffice) Remotezugriff auf Ihre PCs haben sollen. Problem hier - nur wenig Ahnung von NAT.

Den 2600 mit DHCP konfigurieren ist ja noch relativ easy, wie du beschrieben hast. Aber NAT? Kann dieses doch ältere Gerät CISCO 2600 dies? Weiter muss ich wohl oder übel den Firewall anpassen oder gleich rausschmeissen - yuhuuuu - dann kann ich mir die Goldene verpassen - nur ein Witz face-smile

Bist Du in Deutschland oder der Schweiz domiziliert?
aqui
aqui 18.05.2007 um 00:20:58 Uhr
Goto Top
OK, hab deine Zeichnung gesehen. Ja, so ist der ideale Zustand wie in der Zeichnung und dann ist IP technisch alles sauber und alles sollte problemlos klappen.

NAT oder PAT musst du in jedem Falle machen auf dem 2600er (...und klar kann der das ohne Probleme !!!) denn deine Backoffice Clients wollen ja a.) ins Internet und b.) die Server in der öffentlichen Zone administrieren.
Ausserdem kannst du so problemlos deine vollen 16 Adressen für Endgeräte nutzen in der 62er Zone.

Warum ist das ein Problem das du den Provider Router nicht konfigurieren kannst ??? Der ist doch transparent und an den musst du auch gar nicht ran mit deinem neuen Design...wo ist also das Problem mit diesem Router ?
Aspin
Aspin 18.05.2007 um 08:33:34 Uhr
Goto Top
Die erste Hürde also geschafft. Nun geht es um das umsetzen. Am 28.5. habe ich einen Tag Zeit. Die Server, Clients und Router stehen alle so, wie in der Zeichnung. Der neue DC ist auch aufgesetzt.

Das war das Ziel die vollen 16 öffentlichen IPs zu nutzen und den Clients/Drucker nur noch private IPs zur Verfügung zu stellen.

Wäre wirklich nett, wenn Du die NAT posten könntest. Wenn's klappt poste bitte eine Bankverbindung oder Paypal Adresse. Werde mich erkenntlich zeigen.

Gruss, Marcel
aqui
aqui 18.05.2007 um 12:59:16 Uhr
Goto Top
Nee, nee lass mal stecken das Forum hier ist doch kostenlos face-smile

Eine PAT Konfig auf dem 2600 sieht einfach erstmal so aus. Adressen hab ich jetzt mal geraten, die müsstest du natürlich durch welche von dir ersetzen !
Das ist jetzt erstmal nur eine PAT Konfig, die den Clients im Backoffice Segment generell Internet Zugang und Zugang zu den Servern in der 62er Zone gewährt.

Für einen NAT Zugang von extern müsste man mal wissen wie du den Zugang haben willst. Als dedizierte statische NAT Zuweisung, was dich dann pro Client eine 62er Adresse kostet, oder global, allerdings kann es dann sein, das du dann mit unterschiedlichen Ports pro Anwendung arbeiten musst.
In jedem Fall besser ist es einen zentralen VPN Zugangspunkt für alle Clients haben. Das kostet dich dann lediglich eine Adresse für alle remote Clients. Wenn du eine IOS Crypto Version auf dem 2600er hast kann man das direkt auch gleich da abfackeln. Sonst setzt du dir einen alten PC mit Linux und OpenVPN ins Backoffice und fackelst das zum Nulltarif damit ab face-wink

Hier ist die PAT Konfig für deinen 2600er:

interface Ethernet0
description Local Ethernet Backoffice
ip address 192.168.1.254 255.255.255.0
ip access-group 102 in (Wichtig: Filtert Windows Broadcasts !)
ip nat inside
!
interface Ethernet1
description Ethernet 62er DMZ Zone
ip address 62.100.198.35 255.255.255.248
ip nat outside

ip nat inside source list 101 interface ethernet1 overload

ip route 0.0.0.0 0.0.0.0 62.100.198.x (.x = Adresse der FW !)
no ip http server
no cdp enable
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 102 deny udp any range netbios-ns netbios-ss any
access-list 102 deny tcp any eq 139 any
access-list 102 permit icmp 192.168.1.0 0.0.0.255 any
access-list 102 permit ip any any