alex-tech
Goto Top

Routing über zwei netze mit dhcp

Ich weiß der Titel ist etwas knapp, mir ist aber keine kurze und deutliche Beschreibung eingefallen.

Hallo und schonmal danke für die evtl. Hilfe,

wir haben in der Firma eine Außenstelle, die über VPN an unser Firmennetzwerk angeschlossen ist. Das Firmennetzwerk wird über eine Active Directory verwaltet. In der Außenstelle haben wir außerdem ein Testnetzwerk (einfachen Windows-netzwerk ohne Internetzugang).

Hier mal eine Netzübersicht:
d62103e692dd0c4a445534e7040fde4e

Ich habe keine Möglichkeit etwas im Firmennetz zu verändern, lediglich auf den eingezeichneten Switch und das Testnetzwerk habe ich Zugriff. Meine Kollegen und ich möchten mit unseren Firmenrechnern (Laptops) auf das Testnetzwerk zugreifen, gleichzeitig aber auch im Firmennetz und Internet aktiv sein. Die IP und Gateway bekommen wir von einem DHCP im Firmennetz.


Ist es möglich ganznormal in dem Firmennetz zu arbeiten und durch Austausch des Switches durch einen Router oder Layer-3-Switch trotzdem auf das Testnetz zugreifen zu können. Was benötige ich dafür? Router? Managbaren Switch, der nicht nach IP sondern nach MAC geht? Layer-3-Switch?

Bei einem Router stellt sich mir das Problem, das der Rechner Anfragen an das Testnetzwerk ja ersteinmal an das Gateway weiterreicht und das Gateway liegt im Firmennetz.


Hoffentlich habe ich auf die schnelle jetzt nicht zu unverständlich geschrieben.

Danke im Voraus.

Mit freundlichen Grüßen,

alex


Zusatz 22.06.11:

mit Router
751e97d7e4d6e09c1d2ea8481f078841

mit VLAN
ac1dcf9ba08ef68c0db3344d5b513f02

Content-ID: 168202

Url: https://administrator.de/forum/routing-ueber-zwei-netze-mit-dhcp-168202.html

Ausgedruckt am: 23.12.2024 um 12:12 Uhr

aqui
aqui 17.06.2011, aktualisiert am 18.10.2012 um 18:47:17 Uhr
Goto Top
132.15.0.0 ist keine gute und besonders intelligente Wahl für ein Testnetz, es sei denn du sitzt wirklich in Alabama, USA auf den dieses Netzwerk weltweit registriert ist:
NetRange: 132.15.0.0 - 132.15.255.255
CIDR: 132.15.0.0/16
NetName: KADENA-NET
NetType: Direct Assignment
OrgName: 754th Electronic Systems Group
Address: 501 E. Moore Drive
City: MAFB-Gunter Annex
StateProv: AL
PostalCode: 36114
Country: US

Analog das 152.93.er Netzwerk...aber egal ! In der Regel nimmt man für sowas RFC_1918_private_IPs.

Zurück zu deiner Frage:
Relevant ist :
  • Wo zeigt das Default Gateway hin eurer Clients ? (wichtig fürs Routing ins Testnetz)
  • Ist der Switch an dem das "Testnetz " angeschlossen ist ein Layer 3 also ein Routing Switch ? Oder, was schlimm wäre, fährst du wenn er nur L2 ist mit 2 IP Netzen auf einem Draht ??
  • Ist der Switch VLAN fähig ?? Dann wäre ggf. kleinen_Firewall

Diese Fragen solltest du unbedingt noch klären bevor wir hier ins Eingemachte gehen !
brammer
brammer 17.06.2011 um 13:54:43 Uhr
Goto Top
Hallo,

was für einen Switch habt ihr den da stehen?
Evtl kann man mit dem was anfangen.
Das eigentliche Problem wird aber sein dass das Routing für das Testnetz nicht im Tunnel definiert ist.
Außerdem, nur so am Rande, wieso verwendet ihr eine Netz mit öffentlichen IP Adressen als Firmen internes Testnetz?
Und wieso ebenfalls öffentliche IP Adressen für das [Normale Office Netz?
Es gibt doch nun wirklich genug private IP Adressen nach RFC 1918.

brammer
lenny4me
lenny4me 17.06.2011 um 14:09:29 Uhr
Goto Top
Mag sein das ich nicht wirklich verstanden habe was du genau vorhast... Aber entweder löst du das Problem wie aqui geschrieben hat über VLANs.

Was ist nicht ganz verstehe ist folgendes... Wenn du eine Dynamische Route konfigurierst wird doch der gesamte 132.15.x Verkehr über die VPN Router gelenkt. Somit sollte es doch kein Problem sein auf genanntest Testnetzwerk zuzugreifen... Oder übersehe ich das offensichtliche...

Und Warum nur nimmst du öffentliche IP Adressen?!


Grüße Lenny
alex-tech
alex-tech 17.06.2011 um 14:28:45 Uhr
Goto Top
Danke für die Tipps.

Also die IP-Adressen sind nicht die echten, da man über diese wirklich das Unternehmen herauslesen könnte in dem ich arbeite face-wink

Und ja: das Testnetz hat zwar noch einen eigenen Switch, dieser ist aber mit dem eingezeichneten Switch gekoppelt. Also momentan alles sehr kaotisch. Ich muss dazusagen, dass ich das Netz, so wie es montan ist nicht aufgebaut habe face-wink.

Die VLAN-Lösung ist mir auch schon in den Sinn gekommen. Aber für mich ist immernoch nicht ganz klar, wie ich zwischen den VLANs route. Bzgl. des Default-Gateways weiß ich nur, dass es im Firmennetz liegt, ich weiß nicht, ob es ein Router oder ein Proxy ist.
alex-tech
alex-tech 17.06.2011 um 14:44:52 Uhr
Goto Top
Also wegen der IP´s: diese IP´s habe ich nur so angegeben, aber die echten sind in der Tat auch öffentliche IPs. Das hat aber auch einen Grund. face-wink

Es muss nicht die ganze Firma auf das Testnetzwerk zugreifen, nur der in dem Bild eingezeichnete Firmenrechner (von dem es natürlich mehrerer auf dieser seite gibt.
aqui
aqui 17.06.2011, aktualisiert am 18.10.2012 um 18:47:17 Uhr
Goto Top
Öffentliche IPs in einem internen Netz dzdz... Na ja bald ist eh alles auf IPv6 dann kann man mit v4 Adressen auch weiter so verschwenderisch umgehen....

Du hast leider immer noch nicht die Frage beantwortet ob der Switch auf dem du Zugang hast ggf. Layer 3 also Routing fähig ist.
Ist das der Fall kannst du dir externes Equipment sparen, dann ist das lediglich eine simple Konfig auf dem Switch selber.
Es reicht wenn du wenigstens einmal Hersteller und Modell angeben könntest, dann können wir das sehr gerne für dich nachsehen....sonst drehen wir uns hier weiter im Kreis.
Auch wenn er nicht routen kann ist dann das Routing von VLANs oder dem dedizierten Testnetz ein Kinderspiel !
Dieses Tutorial erklärt wir das haarklein im Detail:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Vermutlich hast du es noch nicht wirklich gelesen, denn sonst hätte sich die Frage erübrigt.
Auch ohne VLANs kannst du das Routing zwischen Testnetz und Firmennetz mit einem simplen 30 Euro Router machen. Als Anhaltspunkt hilft dir sicher dieses Tutorial das WIE zu verstehen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Eine Herausforderung ist dann das Routing mit den Clients, denn wenn ihr fest per DHCP einen IP aus dem Firmennetz mit entsprechendem Default Gateway bekommt das dann keinen Route in euer Testnetz hat ist dann ggf. etwas zusätzliche Handarbeit auf den Clients in Form einer statischen Route ala:
route add 132.15.0.0 mask 255.255.0.0 152.93.x.y -p

erforderlich. Hängt wie gesagt von der Switchhardware ab wo das Testnetz angeflanscht ist oder ob ggf. ein kleiner externer Router oder Firewall zum Einsatz kommt ?! Deshalb die neugierige Frage oben !
Ein Lösung ist aber sehr einfach realisierbar...wenn man denn weiss was man macht !
lenny4me
lenny4me 17.06.2011 um 19:24:17 Uhr
Goto Top
Zitat von @alex-tech:

Das hat aber auch einen Grund. face-wink


Welchen? mir fällt auch nach ein wenig grübeln kein sinnvoller Grund ein so etwas zu tun...
aqui
aqui 17.06.2011 um 21:44:13 Uhr
Goto Top
Nöö, mir auch nicht. Für sein "Problemchen" Testnetz ist das aber völlig Latte, denn das funktioniert natürlich auch mit öffentlichen IPs !
lenny4me
lenny4me 18.06.2011 um 01:52:55 Uhr
Goto Top
Da stimme ich dir zu face-smile
Ne Menge Anleitungen hast du da geschrieben... Respekt
aqui
aqui 18.06.2011 um 11:44:39 Uhr
Goto Top
Wenn man jede Grundlagenfrage hier zum 50ten Male beantwortet hat im Dialog lernt man das Tutorials der einfachere Weg sind face-wink
So, nun ist aber wieder alex-tech an der Reieh zu berichten wir er das nun gelöst hat !
Genug funktionierende Anleitungen hat er ja nun dafür bekommen !!
alex-tech
alex-tech 20.06.2011 um 13:50:06 Uhr
Goto Top
Das bisschen VLAN einrichten und Routing, ist auch nicht mein Problem. Das Problem ist ja, wie bekomme ich dass hin, wenn ich ein festes Gateway vom DHCP bekomme? Das mit dem statischen Routingeintrag könnte funktionieren, das lasse ich mir nochmal durch den Kopf gehen. Die Tutorials scheinen gut zu sein, habe sie aber bisher leider nur überfliegen können und noch nicht wirklich meine Problemlösung darin entdeckt. Werde Sie nochmal ordentlich durchlesen.

Der Switch ist übrigens ein Bay Stack 350t-hd von Bay Networks. Ist wohl ein VLAN-fähiger Layer-2-Switch. Ich muss mal noch nachschauen wie ich ihn parametriere, notfalls über console.

P.S. Das Testnetz ist ein Simulationsnetz, welches in etwa dem unseres Kunden enspricht, nur kleiner. Unser Kunde benötigt für sein Netz einen IP-Bereich der öffentlich geroutet werden kann. Warum weiß ich nicht genau, ist für mich aber unerheblich.
aqui
aqui 21.06.2011 um 17:17:24 Uhr
Goto Top
Das mit dem DHCP ist kein Problem !
Du musst am DHCP Server schlicht und einfach einen 2ten Scope eintragen der dann die entsprechenden IPs für das Testnetz vergibt.
Am einfachsten ist es aber wenn du das Testnetz mit einem kleinen Router oder einer Firewall abtrennst.
Diese Komponenten haben alle am LAN Port einen integrierten DHCP Server der dann die IP Adressen im Testnetz verteilt und das völlig unabhängig und unbehelligt vom Firmennetz. Steht alles in den Tutorials..... Wo ist also dein Problem ?!
alex-tech
alex-tech 22.06.2011 um 11:18:52 Uhr
Goto Top
Ich glaube wir reden ein bisschen aneinander vorbei, oder ich verstehe dich einfach falsch. In dem Testnetz brauche ich kein DHCP, da habe ich statische Adressen. Auf den DHCP im Firmennetz habe ich keinen Zugriff.

Ich habe mal zwei Szenarien als Bilder im Beitrag eingefügt, weil ich nicht weiß wie das im Kommentar geht.


Bild "mit Router": Ist wahrscheinlich die "sauberste" Lösung. Ich richte einen Router zwischen Testnetz und Firmennetz ein. Mit Hilfe einer statischen Route auf den Firmen-PCs gelang ich über den Router in das Testnetz. Dabei muss ich dann "nur" auf allen PC´s im Testnetz den Router als Gateway eintragen um auch eine Antwort zu erhalten.

Problem: Ich benötige eine freie IP im Firmennetz für den neuen Router. Ich könnte zwar nach einer freien IP das Netz abscannen aber wenn dann mal irgendwann jemand sein Notebook wieder ins Netz hängt gibts einen Adressenkonflikt.


Bild "mit Switch": Geht das überhaupt? Ich stecke das Testnetz in ein VLAN und das Firmennetz in ein VLAN. (Nur wegen der Physischen trennung). Diese beiden Verbinde ich mitteinander. Über eine statische Route auf die eigene Netzwerkkarte müssten die IP-Pakete doch abgesendet werden?????? Die statische Route muss dann natürlich auch auf den Rechnern des testnetzwerks bestehen.
Ich weiß, ich weiß, natürlich sehr problematisch wegen der Broadcastdomaine, aber es gibt auch nicht sondersviele Rechner im Testnetz und alle habe statische IP´s.

Also, ich komm an alles ran was vor dem VPN-Router_1 ist. Auf alles dahinter habe ich keinen Einfluss, auch nicht auf den VPN-Router selbst.
brammer
brammer 22.06.2011 um 11:50:30 Uhr
Goto Top
Hallo,

irgendwie hört sich dein letzter Kommentar danach na das du vom Admin des Netzes nicht nur keine Unterstützung bekommst, sondern vielmehr das du das ganze an Ihm vorbei realisieren willst.

Ich hoffe mal das ich damit falsch liege.

Wenn ich Recht haben sollte, überlege dir bitte was du da machst!
In unserem Unternehmen wäre die Geschichte irgendwo zwischen Abmahnung und Fristloser Kündigung einsortiert...

brammer
aqui
aqui 22.06.2011 um 12:37:53 Uhr
Goto Top
@alex-tech
OK, das mit dem DHCP im Testnetz ist so oder so nur kosmetisch ob du das nutzt oder nicht ist für die Lösung deines Problems völlig Latte !

Beide deiner Vorschläge funktionieren ohne Probleme, wobei man bei der VLAN Variante sagen muss das dafür der Switch im Firmennetz ( vlan-2 bezeichnet) zwingend ein Layer 3 Switch sein muss um zwischen den VLANs routen zu können !
Ansonsten sind VLANs ja physisch völlig getrennt und du hast ohne Layer 3 Kopplung keinerlei Möglichkeit die Netze zu verbinden ohne ein externes Gerät nutzen zu müssen ! Zusätzlich müsste er auch NAT (Adress Translation) können sofern die Testnetz IP Adressen nicht im Firmennetz auftauchen dürfen !
Das musst du zwingen für diese VLAN Lösung beachten.
All das entfällt bei einer Routing Lösung (externer Router) oder die Lösung mit einer kleinen externen Firewall, da die sowas von sich aus schon beinhalten.

Nun such dir die schönste Lösung für dich aus und setz das um ! Eigentlich ist das ein Kinderspiel für das man gar nicht so ein Gedöns machen muss !
alex-tech
alex-tech 22.06.2011 um 13:53:03 Uhr
Goto Top
Zitat von @aqui:
das dafür der Switch im
Firmennetz ( vlan-2 bezeichnet) zwingend ein Layer 3 Switch sein muss um zwischen den VLANs routen zu können !
Ansonsten sind VLANs ja physisch völlig getrennt und du hast ohne Layer 3 Kopplung keinerlei Möglichkeit die Netze zu
verbinden ohne ein externes Gerät nutzen zu müssen ! Zusätzlich müsste er auch NAT (Adress Translation)
können sofern die Testnetz IP Adressen nicht im Firmennetz auftauchen dürfen !

Das ist es ja; wo genau liegt denn der unterschied zwischen einem Router und einem Layer-3-Switch? Hat der Layer-3-Switch wieder eine eigene IP-Adresse? Ich hatte ja mit der Switch Lösung daran gedacht da IP Problem etwas zu umgehen und nur auf Layer-2 zu bleiben.

Was meinst du mit externen Router? Das währe doch das Bild mit dem Router. Oder meinst du statt dem Switch, dann hätte ich aber die Probleme dass an den Clients das Falsche Gateway eingetragen ist. Ein Firewall blockiert doch nur Zugriffe, die kann zwar kontrollieren wer wohin kommunizieren will, aber nicht Packete abfangen und an einen bestimmten Rechner weiterleiten. Oder irre ich mich da?
aqui
aqui 22.06.2011 um 14:47:41 Uhr
Goto Top
Es gibt keinen Unterschied. Du kannst einen L3 Switch auch als "VLAN Router" bezeichnen. Und ja, natürlich muss ein Layer 3 Switch in jedem VLAN eine eigene IP Adresse haben. So ist es ja mal üblich für einen Router oder wie denkst du könnte er sonst routen ???
Ohne IP Adressen im VLAN Segment ist das ja logischerweise schlecht möglich !!
Vielleicht bist du mal so intelligent und postest dein Switchmodell hier, dann können wir dir hier schon sagen ob das ein L3 Router ist oder nicht ?! (Kannst du natürlich aber auch selber wenn du mal auf der Herstellerseite im Datenblatt nachsiehst !)
Klar kannst du auch nur auf Layer 2 bleiben. Das geht natürlich auch, dann muss dir aber klar sein das dein Testnetz und das Firmennetz, sofern sie in 2 VLANs operieren, physisch völlig voneinander getrennt sind. Das ist ja nun mal so üblich auf einem VLAN Switch und auch so gewollt bei L2 VLANs.
Eine Kommunikation unter den Netzen im L2 ist dann aber NICHT möglich ! Sofern du das willst, geht das so dann natürlich auch ...keine Frage !

Ja, mit einem "externen" Router ist natürlich deine oder die Router Variante gemeint, denn der Router ist hier ja nicht im Switch (L3 Switch) sondern "extern" vom Switch zu sehen !
Was deine Sichtweise mit der Firewall anbetrifft liegst du vollkommen falsch. Natürlich kann eine Firewall auch ein dediziertes Port Forwarding (Weiterleitung) machen. Oft sogar noch granularer als ein Router. Letztlich kann man sagen das eine Firewall ein Router mit erweiterten Filtermöglichkeiten ist. Allerdings gibt es auch Router mit einer integrierten SPI Firewall....da verschwimmen die Grenzen dann etwas. Es kommt also auf die Features an was deine verwendete HW supportet und was du letztlich erreichen willst.