Routing über zwei netze mit dhcp
Ich weiß der Titel ist etwas knapp, mir ist aber keine kurze und deutliche Beschreibung eingefallen.
Hallo und schonmal danke für die evtl. Hilfe,
wir haben in der Firma eine Außenstelle, die über VPN an unser Firmennetzwerk angeschlossen ist. Das Firmennetzwerk wird über eine Active Directory verwaltet. In der Außenstelle haben wir außerdem ein Testnetzwerk (einfachen Windows-netzwerk ohne Internetzugang).
Hier mal eine Netzübersicht:
Ich habe keine Möglichkeit etwas im Firmennetz zu verändern, lediglich auf den eingezeichneten Switch und das Testnetzwerk habe ich Zugriff. Meine Kollegen und ich möchten mit unseren Firmenrechnern (Laptops) auf das Testnetzwerk zugreifen, gleichzeitig aber auch im Firmennetz und Internet aktiv sein. Die IP und Gateway bekommen wir von einem DHCP im Firmennetz.
Ist es möglich ganznormal in dem Firmennetz zu arbeiten und durch Austausch des Switches durch einen Router oder Layer-3-Switch trotzdem auf das Testnetz zugreifen zu können. Was benötige ich dafür? Router? Managbaren Switch, der nicht nach IP sondern nach MAC geht? Layer-3-Switch?
Bei einem Router stellt sich mir das Problem, das der Rechner Anfragen an das Testnetzwerk ja ersteinmal an das Gateway weiterreicht und das Gateway liegt im Firmennetz.
Hoffentlich habe ich auf die schnelle jetzt nicht zu unverständlich geschrieben.
Danke im Voraus.
Mit freundlichen Grüßen,
alex
Zusatz 22.06.11:
mit Router
mit VLAN
Hallo und schonmal danke für die evtl. Hilfe,
wir haben in der Firma eine Außenstelle, die über VPN an unser Firmennetzwerk angeschlossen ist. Das Firmennetzwerk wird über eine Active Directory verwaltet. In der Außenstelle haben wir außerdem ein Testnetzwerk (einfachen Windows-netzwerk ohne Internetzugang).
Hier mal eine Netzübersicht:
Ich habe keine Möglichkeit etwas im Firmennetz zu verändern, lediglich auf den eingezeichneten Switch und das Testnetzwerk habe ich Zugriff. Meine Kollegen und ich möchten mit unseren Firmenrechnern (Laptops) auf das Testnetzwerk zugreifen, gleichzeitig aber auch im Firmennetz und Internet aktiv sein. Die IP und Gateway bekommen wir von einem DHCP im Firmennetz.
Ist es möglich ganznormal in dem Firmennetz zu arbeiten und durch Austausch des Switches durch einen Router oder Layer-3-Switch trotzdem auf das Testnetz zugreifen zu können. Was benötige ich dafür? Router? Managbaren Switch, der nicht nach IP sondern nach MAC geht? Layer-3-Switch?
Bei einem Router stellt sich mir das Problem, das der Rechner Anfragen an das Testnetzwerk ja ersteinmal an das Gateway weiterreicht und das Gateway liegt im Firmennetz.
Hoffentlich habe ich auf die schnelle jetzt nicht zu unverständlich geschrieben.
Danke im Voraus.
Mit freundlichen Grüßen,
alex
Zusatz 22.06.11:
mit Router
mit VLAN
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 168202
Url: https://administrator.de/forum/routing-ueber-zwei-netze-mit-dhcp-168202.html
Ausgedruckt am: 23.12.2024 um 12:12 Uhr
17 Kommentare
Neuester Kommentar
132.15.0.0 ist keine gute und besonders intelligente Wahl für ein Testnetz, es sei denn du sitzt wirklich in Alabama, USA auf den dieses Netzwerk weltweit registriert ist:
NetRange: 132.15.0.0 - 132.15.255.255
CIDR: 132.15.0.0/16
NetName: KADENA-NET
NetType: Direct Assignment
OrgName: 754th Electronic Systems Group
Address: 501 E. Moore Drive
City: MAFB-Gunter Annex
StateProv: AL
PostalCode: 36114
Country: US
Analog das 152.93.er Netzwerk...aber egal ! In der Regel nimmt man für sowas RFC_1918_private_IPs.
Zurück zu deiner Frage:
Relevant ist :
Diese Fragen solltest du unbedingt noch klären bevor wir hier ins Eingemachte gehen !
NetRange: 132.15.0.0 - 132.15.255.255
CIDR: 132.15.0.0/16
NetName: KADENA-NET
NetType: Direct Assignment
OrgName: 754th Electronic Systems Group
Address: 501 E. Moore Drive
City: MAFB-Gunter Annex
StateProv: AL
PostalCode: 36114
Country: US
Analog das 152.93.er Netzwerk...aber egal ! In der Regel nimmt man für sowas RFC_1918_private_IPs.
Zurück zu deiner Frage:
Relevant ist :
- Wo zeigt das Default Gateway hin eurer Clients ? (wichtig fürs Routing ins Testnetz)
- Ist der Switch an dem das "Testnetz " angeschlossen ist ein Layer 3 also ein Routing Switch ? Oder, was schlimm wäre, fährst du wenn er nur L2 ist mit 2 IP Netzen auf einem Draht ??
- Ist der Switch VLAN fähig ?? Dann wäre ggf. kleinen_Firewall
Diese Fragen solltest du unbedingt noch klären bevor wir hier ins Eingemachte gehen !
Hallo,
was für einen Switch habt ihr den da stehen?
Evtl kann man mit dem was anfangen.
Das eigentliche Problem wird aber sein dass das Routing für das Testnetz nicht im Tunnel definiert ist.
Außerdem, nur so am Rande, wieso verwendet ihr eine Netz mit öffentlichen IP Adressen als Firmen internes Testnetz?
Und wieso ebenfalls öffentliche IP Adressen für das [Normale Office Netz?
Es gibt doch nun wirklich genug private IP Adressen nach RFC 1918.
brammer
was für einen Switch habt ihr den da stehen?
Evtl kann man mit dem was anfangen.
Das eigentliche Problem wird aber sein dass das Routing für das Testnetz nicht im Tunnel definiert ist.
Außerdem, nur so am Rande, wieso verwendet ihr eine Netz mit öffentlichen IP Adressen als Firmen internes Testnetz?
Und wieso ebenfalls öffentliche IP Adressen für das [Normale Office Netz?
Es gibt doch nun wirklich genug private IP Adressen nach RFC 1918.
brammer
Mag sein das ich nicht wirklich verstanden habe was du genau vorhast... Aber entweder löst du das Problem wie aqui geschrieben hat über VLANs.
Was ist nicht ganz verstehe ist folgendes... Wenn du eine Dynamische Route konfigurierst wird doch der gesamte 132.15.x Verkehr über die VPN Router gelenkt. Somit sollte es doch kein Problem sein auf genanntest Testnetzwerk zuzugreifen... Oder übersehe ich das offensichtliche...
Und Warum nur nimmst du öffentliche IP Adressen?!
Grüße Lenny
Was ist nicht ganz verstehe ist folgendes... Wenn du eine Dynamische Route konfigurierst wird doch der gesamte 132.15.x Verkehr über die VPN Router gelenkt. Somit sollte es doch kein Problem sein auf genanntest Testnetzwerk zuzugreifen... Oder übersehe ich das offensichtliche...
Und Warum nur nimmst du öffentliche IP Adressen?!
Grüße Lenny
Öffentliche IPs in einem internen Netz dzdz... Na ja bald ist eh alles auf IPv6 dann kann man mit v4 Adressen auch weiter so verschwenderisch umgehen....
Du hast leider immer noch nicht die Frage beantwortet ob der Switch auf dem du Zugang hast ggf. Layer 3 also Routing fähig ist.
Ist das der Fall kannst du dir externes Equipment sparen, dann ist das lediglich eine simple Konfig auf dem Switch selber.
Es reicht wenn du wenigstens einmal Hersteller und Modell angeben könntest, dann können wir das sehr gerne für dich nachsehen....sonst drehen wir uns hier weiter im Kreis.
Auch wenn er nicht routen kann ist dann das Routing von VLANs oder dem dedizierten Testnetz ein Kinderspiel !
Dieses Tutorial erklärt wir das haarklein im Detail:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Vermutlich hast du es noch nicht wirklich gelesen, denn sonst hätte sich die Frage erübrigt.
Auch ohne VLANs kannst du das Routing zwischen Testnetz und Firmennetz mit einem simplen 30 Euro Router machen. Als Anhaltspunkt hilft dir sicher dieses Tutorial das WIE zu verstehen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Eine Herausforderung ist dann das Routing mit den Clients, denn wenn ihr fest per DHCP einen IP aus dem Firmennetz mit entsprechendem Default Gateway bekommt das dann keinen Route in euer Testnetz hat ist dann ggf. etwas zusätzliche Handarbeit auf den Clients in Form einer statischen Route ala:
route add 132.15.0.0 mask 255.255.0.0 152.93.x.y -p
erforderlich. Hängt wie gesagt von der Switchhardware ab wo das Testnetz angeflanscht ist oder ob ggf. ein kleiner externer Router oder Firewall zum Einsatz kommt ?! Deshalb die neugierige Frage oben !
Ein Lösung ist aber sehr einfach realisierbar...wenn man denn weiss was man macht !
Du hast leider immer noch nicht die Frage beantwortet ob der Switch auf dem du Zugang hast ggf. Layer 3 also Routing fähig ist.
Ist das der Fall kannst du dir externes Equipment sparen, dann ist das lediglich eine simple Konfig auf dem Switch selber.
Es reicht wenn du wenigstens einmal Hersteller und Modell angeben könntest, dann können wir das sehr gerne für dich nachsehen....sonst drehen wir uns hier weiter im Kreis.
Auch wenn er nicht routen kann ist dann das Routing von VLANs oder dem dedizierten Testnetz ein Kinderspiel !
Dieses Tutorial erklärt wir das haarklein im Detail:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Vermutlich hast du es noch nicht wirklich gelesen, denn sonst hätte sich die Frage erübrigt.
Auch ohne VLANs kannst du das Routing zwischen Testnetz und Firmennetz mit einem simplen 30 Euro Router machen. Als Anhaltspunkt hilft dir sicher dieses Tutorial das WIE zu verstehen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Eine Herausforderung ist dann das Routing mit den Clients, denn wenn ihr fest per DHCP einen IP aus dem Firmennetz mit entsprechendem Default Gateway bekommt das dann keinen Route in euer Testnetz hat ist dann ggf. etwas zusätzliche Handarbeit auf den Clients in Form einer statischen Route ala:
route add 132.15.0.0 mask 255.255.0.0 152.93.x.y -p
erforderlich. Hängt wie gesagt von der Switchhardware ab wo das Testnetz angeflanscht ist oder ob ggf. ein kleiner externer Router oder Firewall zum Einsatz kommt ?! Deshalb die neugierige Frage oben !
Ein Lösung ist aber sehr einfach realisierbar...wenn man denn weiss was man macht !
Das hat aber auch einen Grund.
Welchen? mir fällt auch nach ein wenig grübeln kein sinnvoller Grund ein so etwas zu tun...
Das mit dem DHCP ist kein Problem !
Du musst am DHCP Server schlicht und einfach einen 2ten Scope eintragen der dann die entsprechenden IPs für das Testnetz vergibt.
Am einfachsten ist es aber wenn du das Testnetz mit einem kleinen Router oder einer Firewall abtrennst.
Diese Komponenten haben alle am LAN Port einen integrierten DHCP Server der dann die IP Adressen im Testnetz verteilt und das völlig unabhängig und unbehelligt vom Firmennetz. Steht alles in den Tutorials..... Wo ist also dein Problem ?!
Du musst am DHCP Server schlicht und einfach einen 2ten Scope eintragen der dann die entsprechenden IPs für das Testnetz vergibt.
Am einfachsten ist es aber wenn du das Testnetz mit einem kleinen Router oder einer Firewall abtrennst.
Diese Komponenten haben alle am LAN Port einen integrierten DHCP Server der dann die IP Adressen im Testnetz verteilt und das völlig unabhängig und unbehelligt vom Firmennetz. Steht alles in den Tutorials..... Wo ist also dein Problem ?!
Hallo,
irgendwie hört sich dein letzter Kommentar danach na das du vom Admin des Netzes nicht nur keine Unterstützung bekommst, sondern vielmehr das du das ganze an Ihm vorbei realisieren willst.
Ich hoffe mal das ich damit falsch liege.
Wenn ich Recht haben sollte, überlege dir bitte was du da machst!
In unserem Unternehmen wäre die Geschichte irgendwo zwischen Abmahnung und Fristloser Kündigung einsortiert...
brammer
irgendwie hört sich dein letzter Kommentar danach na das du vom Admin des Netzes nicht nur keine Unterstützung bekommst, sondern vielmehr das du das ganze an Ihm vorbei realisieren willst.
Ich hoffe mal das ich damit falsch liege.
Wenn ich Recht haben sollte, überlege dir bitte was du da machst!
In unserem Unternehmen wäre die Geschichte irgendwo zwischen Abmahnung und Fristloser Kündigung einsortiert...
brammer
@alex-tech
OK, das mit dem DHCP im Testnetz ist so oder so nur kosmetisch ob du das nutzt oder nicht ist für die Lösung deines Problems völlig Latte !
Beide deiner Vorschläge funktionieren ohne Probleme, wobei man bei der VLAN Variante sagen muss das dafür der Switch im Firmennetz ( vlan-2 bezeichnet) zwingend ein Layer 3 Switch sein muss um zwischen den VLANs routen zu können !
Ansonsten sind VLANs ja physisch völlig getrennt und du hast ohne Layer 3 Kopplung keinerlei Möglichkeit die Netze zu verbinden ohne ein externes Gerät nutzen zu müssen ! Zusätzlich müsste er auch NAT (Adress Translation) können sofern die Testnetz IP Adressen nicht im Firmennetz auftauchen dürfen !
Das musst du zwingen für diese VLAN Lösung beachten.
All das entfällt bei einer Routing Lösung (externer Router) oder die Lösung mit einer kleinen externen Firewall, da die sowas von sich aus schon beinhalten.
Nun such dir die schönste Lösung für dich aus und setz das um ! Eigentlich ist das ein Kinderspiel für das man gar nicht so ein Gedöns machen muss !
OK, das mit dem DHCP im Testnetz ist so oder so nur kosmetisch ob du das nutzt oder nicht ist für die Lösung deines Problems völlig Latte !
Beide deiner Vorschläge funktionieren ohne Probleme, wobei man bei der VLAN Variante sagen muss das dafür der Switch im Firmennetz ( vlan-2 bezeichnet) zwingend ein Layer 3 Switch sein muss um zwischen den VLANs routen zu können !
Ansonsten sind VLANs ja physisch völlig getrennt und du hast ohne Layer 3 Kopplung keinerlei Möglichkeit die Netze zu verbinden ohne ein externes Gerät nutzen zu müssen ! Zusätzlich müsste er auch NAT (Adress Translation) können sofern die Testnetz IP Adressen nicht im Firmennetz auftauchen dürfen !
Das musst du zwingen für diese VLAN Lösung beachten.
All das entfällt bei einer Routing Lösung (externer Router) oder die Lösung mit einer kleinen externen Firewall, da die sowas von sich aus schon beinhalten.
Nun such dir die schönste Lösung für dich aus und setz das um ! Eigentlich ist das ein Kinderspiel für das man gar nicht so ein Gedöns machen muss !
Es gibt keinen Unterschied. Du kannst einen L3 Switch auch als "VLAN Router" bezeichnen. Und ja, natürlich muss ein Layer 3 Switch in jedem VLAN eine eigene IP Adresse haben. So ist es ja mal üblich für einen Router oder wie denkst du könnte er sonst routen ???
Ohne IP Adressen im VLAN Segment ist das ja logischerweise schlecht möglich !!
Vielleicht bist du mal so intelligent und postest dein Switchmodell hier, dann können wir dir hier schon sagen ob das ein L3 Router ist oder nicht ?! (Kannst du natürlich aber auch selber wenn du mal auf der Herstellerseite im Datenblatt nachsiehst !)
Klar kannst du auch nur auf Layer 2 bleiben. Das geht natürlich auch, dann muss dir aber klar sein das dein Testnetz und das Firmennetz, sofern sie in 2 VLANs operieren, physisch völlig voneinander getrennt sind. Das ist ja nun mal so üblich auf einem VLAN Switch und auch so gewollt bei L2 VLANs.
Eine Kommunikation unter den Netzen im L2 ist dann aber NICHT möglich ! Sofern du das willst, geht das so dann natürlich auch ...keine Frage !
Ja, mit einem "externen" Router ist natürlich deine oder die Router Variante gemeint, denn der Router ist hier ja nicht im Switch (L3 Switch) sondern "extern" vom Switch zu sehen !
Was deine Sichtweise mit der Firewall anbetrifft liegst du vollkommen falsch. Natürlich kann eine Firewall auch ein dediziertes Port Forwarding (Weiterleitung) machen. Oft sogar noch granularer als ein Router. Letztlich kann man sagen das eine Firewall ein Router mit erweiterten Filtermöglichkeiten ist. Allerdings gibt es auch Router mit einer integrierten SPI Firewall....da verschwimmen die Grenzen dann etwas. Es kommt also auf die Features an was deine verwendete HW supportet und was du letztlich erreichen willst.
Ohne IP Adressen im VLAN Segment ist das ja logischerweise schlecht möglich !!
Vielleicht bist du mal so intelligent und postest dein Switchmodell hier, dann können wir dir hier schon sagen ob das ein L3 Router ist oder nicht ?! (Kannst du natürlich aber auch selber wenn du mal auf der Herstellerseite im Datenblatt nachsiehst !)
Klar kannst du auch nur auf Layer 2 bleiben. Das geht natürlich auch, dann muss dir aber klar sein das dein Testnetz und das Firmennetz, sofern sie in 2 VLANs operieren, physisch völlig voneinander getrennt sind. Das ist ja nun mal so üblich auf einem VLAN Switch und auch so gewollt bei L2 VLANs.
Eine Kommunikation unter den Netzen im L2 ist dann aber NICHT möglich ! Sofern du das willst, geht das so dann natürlich auch ...keine Frage !
Ja, mit einem "externen" Router ist natürlich deine oder die Router Variante gemeint, denn der Router ist hier ja nicht im Switch (L3 Switch) sondern "extern" vom Switch zu sehen !
Was deine Sichtweise mit der Firewall anbetrifft liegst du vollkommen falsch. Natürlich kann eine Firewall auch ein dediziertes Port Forwarding (Weiterleitung) machen. Oft sogar noch granularer als ein Router. Letztlich kann man sagen das eine Firewall ein Router mit erweiterten Filtermöglichkeiten ist. Allerdings gibt es auch Router mit einer integrierten SPI Firewall....da verschwimmen die Grenzen dann etwas. Es kommt also auf die Features an was deine verwendete HW supportet und was du letztlich erreichen willst.