Routing von WLAN - WAN/LAN funkt. nicht
Hallo,
ich habe bei mir ein verzwicktes Problem, wo ich denke das dies nur ein Denkfehler meinerseits ist.
Ich versuch jetzt schon 2 Tage dieses zu lösen.
Kurze Erklärung zum Netz:
Ich habe 1 xDSL Modem (mit 5 öff. IPs) an einem Switch hängen, daran hängen mehrere Server (mit öff. & int. IPs) und mehrere Workstations (int. IPs) und der WLAN Router (Linksys WRV200 mittels Patchkabel an einem der 4 Ethernet Ports).
Ich habe schon etliche Möglichkeiten probiert, komm aber zu keinem klaren Ergebnis (entweder ich kann ins Internet oder NUR ins Intranet, oder es funkt. NUR der Ping von WLAN Rtr -> WLAN Empfänger (Lappi) und umgekehrt, aber nicht ins LAN und vom LAN ins WLAN.
IP Adressen sehen so aus:
xDSL Modem(IP Range anonymisiert): 83.66.55.1
WLAN LAN Port: 10.0.0.254
WLAN WAN Port: 192.168.1.254 (wird mom. nicht verwendet, steht nur da weil ich was eintragen muss)
Workstation 1: 10.0.0.81
Server 1 intern: 192.168.0.6
Server 1 extern: 83.66.55.6
Am liebsten wäre es mir wenn ich die Workstations wieder in die interne Range 192.168.0.0 einbinden könnte, sodaß nur 1 internes Netz existiert.
Gerne hänge ich auch das Modem an den WAN Port des WLAN Routers an, aber es muss gewährleistet sein das der Router alles was an die IP Range 83.66.55.2 - .6 geht, durchlässt (Webserver, FTP, Mail, etc hängen dort).
Firewall wäre auch verfügbar unter 83.66.55.2/192.168.0.200
Hier eine einfache schematische Zeichnung, hoffe man kann sich darunter was vorstellen:
Internet
|
|
(xDSL Modem (IP 83.66.55.1)
|
|
Switch ------ WLAN Router (ext. 192.168.1.254(nicht verwendet)/int. 10.0.0.254) -------- Lappi (DHCP (Range 10.0.0.100 - .109)
|
|
Workstation1 (10.0.0.81) - Server1(ext. 83.66.55.6/int. 192.168.0.6)
Hoffe Ihr könnt mir da weiterhelfen,
wie muss ich was konfigurieren (WLAN Router auf Router oder Gateway Modus?) damit ich von jeder Workstation, Lappi und Server ins Internet komme und jeden anderen pingen kann (und wenn möglich nur noch das interne Netz 192.168.0.0 verwenden)??
Vielen Dank schon mal für die Mühe!
Gruß Jürgen
ich habe bei mir ein verzwicktes Problem, wo ich denke das dies nur ein Denkfehler meinerseits ist.
Ich versuch jetzt schon 2 Tage dieses zu lösen.
Kurze Erklärung zum Netz:
Ich habe 1 xDSL Modem (mit 5 öff. IPs) an einem Switch hängen, daran hängen mehrere Server (mit öff. & int. IPs) und mehrere Workstations (int. IPs) und der WLAN Router (Linksys WRV200 mittels Patchkabel an einem der 4 Ethernet Ports).
Ich habe schon etliche Möglichkeiten probiert, komm aber zu keinem klaren Ergebnis (entweder ich kann ins Internet oder NUR ins Intranet, oder es funkt. NUR der Ping von WLAN Rtr -> WLAN Empfänger (Lappi) und umgekehrt, aber nicht ins LAN und vom LAN ins WLAN.
IP Adressen sehen so aus:
xDSL Modem(IP Range anonymisiert): 83.66.55.1
WLAN LAN Port: 10.0.0.254
WLAN WAN Port: 192.168.1.254 (wird mom. nicht verwendet, steht nur da weil ich was eintragen muss)
Workstation 1: 10.0.0.81
Server 1 intern: 192.168.0.6
Server 1 extern: 83.66.55.6
Am liebsten wäre es mir wenn ich die Workstations wieder in die interne Range 192.168.0.0 einbinden könnte, sodaß nur 1 internes Netz existiert.
Gerne hänge ich auch das Modem an den WAN Port des WLAN Routers an, aber es muss gewährleistet sein das der Router alles was an die IP Range 83.66.55.2 - .6 geht, durchlässt (Webserver, FTP, Mail, etc hängen dort).
Firewall wäre auch verfügbar unter 83.66.55.2/192.168.0.200
Hier eine einfache schematische Zeichnung, hoffe man kann sich darunter was vorstellen:
Internet
|
|
(xDSL Modem (IP 83.66.55.1)
|
|
Switch ------ WLAN Router (ext. 192.168.1.254(nicht verwendet)/int. 10.0.0.254) -------- Lappi (DHCP (Range 10.0.0.100 - .109)
|
|
Workstation1 (10.0.0.81) - Server1(ext. 83.66.55.6/int. 192.168.0.6)
Hoffe Ihr könnt mir da weiterhelfen,
wie muss ich was konfigurieren (WLAN Router auf Router oder Gateway Modus?) damit ich von jeder Workstation, Lappi und Server ins Internet komme und jeden anderen pingen kann (und wenn möglich nur noch das interne Netz 192.168.0.0 verwenden)??
Vielen Dank schon mal für die Mühe!
Gruß Jürgen
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 44441
Url: https://administrator.de/contentid/44441
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
auf die schnelle fällt mir auf du hast ja alle öffentlich zugänglichen Serer und die Internen Server auf einem Switch ist ja Sicherheitstechnisch nicht gut man sollte die öffentlichen Server in eine DMZ tun (Internet - Firewall - Server - Firewall - LAN). Du kannst einen Switch an den DMZ Port des Routers tun und die öffentlichen Server anhängen damit sind sie aber nicht geschützt und stehen direkt im Netz. Und einen anderen Switch wenn der Rest vom Router nicht reicht den du an einen Port des Routers hängst und damit alle internen Server und WS hängst. Dann zu dem Modus des Routers du kannst nur eines machen entweder Router (verbinden von Netzen) oder Gateway (Internet) damit beides funktioniert bräuchtest du noch einen zweiten Router.
Gruß MCSE_Cheffe
auf die schnelle fällt mir auf du hast ja alle öffentlich zugänglichen Serer und die Internen Server auf einem Switch ist ja Sicherheitstechnisch nicht gut man sollte die öffentlichen Server in eine DMZ tun (Internet - Firewall - Server - Firewall - LAN). Du kannst einen Switch an den DMZ Port des Routers tun und die öffentlichen Server anhängen damit sind sie aber nicht geschützt und stehen direkt im Netz. Und einen anderen Switch wenn der Rest vom Router nicht reicht den du an einen Port des Routers hängst und damit alle internen Server und WS hängst. Dann zu dem Modus des Routers du kannst nur eines machen entweder Router (verbinden von Netzen) oder Gateway (Internet) damit beides funktioniert bräuchtest du noch einen zweiten Router.
Gruß MCSE_Cheffe
Hallo Jürgen,
mir stellt sich die Frage, ob die Server von außen erreichbar sein sollen, wenn ja, soltest du diese zunächst in die DMZ stellen. Dann kommt es noch darauf an, ob dein Switch nur ein einfacher Layer-2 Switch ist, oder SAT unterstützt. Wenn dies so ist, kanst du diesen an die öffentliche Seite deiner DMZ stellen. Somit stehen dann die Server in einem privaten Adressbereich und nur Anfragen an einen bestimmten Port (z.B. 80 für HTTP Anfragen) werden in diese Zone weitergeleitet. Alle anderen Anfragen werden dann an den Router in dem zweiten privaten Netzwerk gerichtet. Dieser wird bei den Clients dann noch als Standard Gateway eingerichtet.
Leider kenn ich die Funktionalitäten deines Switches und Routers nicht. Auch das Ziel deines Netzwerks verbirgt sich mir noch ein bisschen im Dunkeln.
Für eine detaillierte Netzwerkplanung bin ich an dieser Stelle auch nur eingeschränkt bereit, weil es Leute gibt, die damit ihr Geld verdienen. Für Troubleshooting bin ich aber gern bereit, dazu bräuchte ich allerdings detaillliertere Infos über dein Netzwerk (Zweck der Server, reicht die Aussage ob nur intern genutz oder auch von extern zugänglich; wählen sich die Laptpos nur in dem beschriebenen Netzwer ein oder wollen diese auch auf die Server zugreifen - dann würde sich eine VPN Anbindung anbieten).
Ich hoffe ich konnte dir ein klein wenig helfen bzw. ein paar Denkanstöße geben. Mach dich zunächst mit den technischen Möglichkeiten der HW vertraut und welchem Zweck diese jeweils erfüllen sollen.
Viel Erfolg!
MfG
Ignatius
mir stellt sich die Frage, ob die Server von außen erreichbar sein sollen, wenn ja, soltest du diese zunächst in die DMZ stellen. Dann kommt es noch darauf an, ob dein Switch nur ein einfacher Layer-2 Switch ist, oder SAT unterstützt. Wenn dies so ist, kanst du diesen an die öffentliche Seite deiner DMZ stellen. Somit stehen dann die Server in einem privaten Adressbereich und nur Anfragen an einen bestimmten Port (z.B. 80 für HTTP Anfragen) werden in diese Zone weitergeleitet. Alle anderen Anfragen werden dann an den Router in dem zweiten privaten Netzwerk gerichtet. Dieser wird bei den Clients dann noch als Standard Gateway eingerichtet.
Leider kenn ich die Funktionalitäten deines Switches und Routers nicht. Auch das Ziel deines Netzwerks verbirgt sich mir noch ein bisschen im Dunkeln.
Für eine detaillierte Netzwerkplanung bin ich an dieser Stelle auch nur eingeschränkt bereit, weil es Leute gibt, die damit ihr Geld verdienen. Für Troubleshooting bin ich aber gern bereit, dazu bräuchte ich allerdings detaillliertere Infos über dein Netzwerk (Zweck der Server, reicht die Aussage ob nur intern genutz oder auch von extern zugänglich; wählen sich die Laptpos nur in dem beschriebenen Netzwer ein oder wollen diese auch auf die Server zugreifen - dann würde sich eine VPN Anbindung anbieten).
Ich hoffe ich konnte dir ein klein wenig helfen bzw. ein paar Denkanstöße geben. Mach dich zunächst mit den technischen Möglichkeiten der HW vertraut und welchem Zweck diese jeweils erfüllen sollen.
Viel Erfolg!
MfG
Ignatius
- DMZ momentan nicht ganz so einfach
möglich, ist in Planung via ISA Server -
momentan aber kein Thema (jedenfalls nicht
für den WLAN)
möglich, ist in Planung via ISA Server -
momentan aber kein Thema (jedenfalls nicht
für den WLAN)
In der DMZ stehen dann eh die Server und die sind sicherlich in einem kablegebundenen LAN...
Da der ISA Server als Plattform z.B. Windows 2003 Server benötigt, nutzt du diesen gleich als SW Router (Routing und RAS)...schon hast du zwei Router (SW und WLAN).
Als einfachste Lösung fällt mir jetzt spontan ein, in die Kiste mit ISA drei Netzwerkkarten einzubauen. Die erste als WAN Port, an die zweite den simple Switch und da dahinter die Server, an die dritte den WLAN Router, der nur als Gateway für die Laptops fungiert. In dem Fall müsste dann der WAN Port des Routers an den ISA und somit ans Modem/Internet angeschlossen werden.
Via Routing und RAS richtest du Paketfilterung ein um die Server per Port 80 oder 8080 erreichbar zu machen. In das Handling der 2003 Server Paketfilterung muss du dich ein wenig einarbeiten, es gibt für Regeln nur logische UND Verknüpfungen und zwischen den Regeln nur logische ODER Verknüpfungen; eine Regel kann nur alles außer bzw. nichts außer - die Regeln werden der Reihenfolge nach überprüft, bzw. angewendet.
Aber Bitte: keine Gewähr auf diese Lösung, sie ist definitv unsicher für den Anfang...und ausserdem ist es sehr früh am morgen!
Da sind viel zu viele Ungereimtheiten im Netz wie "Ignatius" schon schreibt. Unklar ist vor allem:
1.) Ein DSL Modem ist passiv und hat normalerweise KEINE IP Adresse !
2.) Die Aussage "5 öffentliche IP Adressen" ist auch erstmal nicht einordbar. Normalerweise lassen Carrier sowas auf einem DSL Anschluss gar nicht zu ! Sondern der DSL Anschluss muss sich erstmal mit PPPoE an einem Radius Server authentifizieren und bekommt dann EINE IP Adresse dynamisch zugewiesen.
Es kann dann aber immer nur EINER diese PPPoE Verbindung machen unter dem Aspekt wäre es dann sinnlos an das DSL Modem direkt einen Switch anzuschliessen was zudem sicherheitstechnisch auch noch sträflicher Leichtsinn ist.
3.) Gesetzt den Fall das Szenario ist so wie beschrieben, dann fährst du auf dem Switch deine öffentlichen Adressen und auch 10er RFC 1918 Adressen (Workstation 1)
Dieselben Adressen tauchen auch hinter dem Router auf ! Routingtechnisch ist das unmöglich und kann so nicht funktionieren, es sei denn man subnettet das 10er Class A Netz, das wird aber nicht klar aus der Beschreibung.
Sowieso, ein Mischmasch von IP Netzen über ein Layer 2 Device (Switch) zu fahren ist in sich schon ein IP Designfehler !
Das ist alles netzwerktechnisch Kraut und Rüben, so das man gar nicht weiß wo man anfangen soll mit dem Fragen nach dem Aufbau und Beschreiben der Fehler !
Sofern du nicht ein klare Beschreibung zum o.a. Punkt 2 machst wie eigentlich wirklich dein DSL Zugang realisiert ist könnte man hier Romane schreiben...
1.) Ein DSL Modem ist passiv und hat normalerweise KEINE IP Adresse !
2.) Die Aussage "5 öffentliche IP Adressen" ist auch erstmal nicht einordbar. Normalerweise lassen Carrier sowas auf einem DSL Anschluss gar nicht zu ! Sondern der DSL Anschluss muss sich erstmal mit PPPoE an einem Radius Server authentifizieren und bekommt dann EINE IP Adresse dynamisch zugewiesen.
Es kann dann aber immer nur EINER diese PPPoE Verbindung machen unter dem Aspekt wäre es dann sinnlos an das DSL Modem direkt einen Switch anzuschliessen was zudem sicherheitstechnisch auch noch sträflicher Leichtsinn ist.
3.) Gesetzt den Fall das Szenario ist so wie beschrieben, dann fährst du auf dem Switch deine öffentlichen Adressen und auch 10er RFC 1918 Adressen (Workstation 1)
Dieselben Adressen tauchen auch hinter dem Router auf ! Routingtechnisch ist das unmöglich und kann so nicht funktionieren, es sei denn man subnettet das 10er Class A Netz, das wird aber nicht klar aus der Beschreibung.
Sowieso, ein Mischmasch von IP Netzen über ein Layer 2 Device (Switch) zu fahren ist in sich schon ein IP Designfehler !
Das ist alles netzwerktechnisch Kraut und Rüben, so das man gar nicht weiß wo man anfangen soll mit dem Fragen nach dem Aufbau und Beschreiben der Fehler !
Sofern du nicht ein klare Beschreibung zum o.a. Punkt 2 machst wie eigentlich wirklich dein DSL Zugang realisiert ist könnte man hier Romane schreiben...
OK, das bringt etwas Klarheit, allerdings ist deine Adressvergabe immer noch recht konfus. Mal der Reihe nach.
Der Router hat intern (also auf der lokalen LAN Seite) das 83.66.55.0er Netz mit einer 29 Bit Maske, also Host Adressen von .1 bis .6 (.7 darfst du nicht vergeben, das ist die Broadcast Adresse in diesem Subnetz !!!)
An diesem lokalen LAN Segment befinden sich 2 Switches verbunden mit einem Crossover Kabel. Ich nehem an 2 Layer 2 Switches also Switches die nicht selber routen können ??!!
Das bedeutet auf diesem gesamten ! Switch Netz dürfen sich NUR Geräte befinden die einen Netzwerk Adapter im 83.66.55.0er Netz haben ! (Es sei denn du arbeitest mit VLANs)
KEINER mit der 10.x.x.x oder 192.168.x.x !!
Es wird jetzt nicht so ganz klar wo du den "Server1" und "den ISA-Server" drin hast aber ich vermute mal das die richtig mit jeweils einer Netzwerkkarte in diesem LAN Segment angeschlossen sind, da einer die 83.66.55.6 bzw. der andere die 83.66.55.2 hat. Bis dahin ist soweit alles ok.
Der WLAN Router MUSS, sofern er auch an diesen Switches angeschlossen ist, (so sieht es wenigstens in deiner Zeichnung aus...) auch mit einem Bein und zwar seinem WAN Bein an dieses lokale Netzwerk angeschlossen ein z.B. mit der Adresse 83.66.55.5 !
An seinem anderen Ende (LAN) ist dann vermutlich das 10er Netz dran. Leider schreibst du auch hier nicht welche Netzwerkmaske du verwendest so das es wieder schwierig wird nachzuvollziehen ob du richtiges Subnetting machst.
Das WLAN ist dann durch den integrieten Accesspoint im Router folglich auch in diesem 10er Adressbereich.
Nun hast du aber ein Problem:
Arbeitest du NICHT mit NAT auf diesem Router tauchen deine 10er Adressen am DSL Router auf und dieser MUSS in jedem Falle die 10er Adressen NATten, denn 10er Netze sind RFC 1918 Netze die im Internet nicht geroutet werden !
Außerdem braucht dieser Router dann eine zusätzliche statische Route für das 10er Netz auf die Adresse des WLAN Routers (83.66.55.5 als Beispiel) sonst kann der DSL Router diese Packete nicht forwarden !
Arbeitest du mit dem WLAN Router mit NAT müsstest du das nicht, da alle Adressen aus dem 10er Netz auf die 83.66.55.5 (Beispiel) translated werden. Der Nachteil hier wiederum ist das du dann aktiv aus dem 83.66.55.0er Netz der Switches nur über Port Forwarding auf Clients (und dann nur einen..) im 10er Netz kommst. Mit NAT wäre das dann sowas wie eine Einbahnstrasse aus dem 10er Segment nur ins Internet.
Ein analoges Szenario dazu findest du hier:
http://www.heise.de/netze/artikel/78397
Das wäre ein Szenario mit dem Router. Routest du nun über die Server müsste man wissen was für ein OS da drauf ist. Bei 2000/XP musst du Routing explizit einschalten über die Registry:
http://www.microsoft.com/windows2000/de/server/help/default.asp?url=/wi ...
Win 2k3 hat dafür ein Konfig Häkchen.
Bevor man dafür nun aber Romane schreibt wäre es wichtig zu erfahren wie diese Server genau angeschlossen sind bzw. welche IP Adressen mit welchen Masken wo stecken und ob diese Server auch routen oder welche Rolle sie in der Verbindung 10er Netz zum 83.66.55.0er Netz spielen ??
2 IP Adressen auf einem NIC Adapter ist schon schlecht. Sowas sollte man bleiben lassen, da IP damit normalerweise nicht klarkommt (ICMP Kontrollpacket Probleme etc...) Solche Konstrukte sind eigentlich ausschliesslich für IP Adressmigrationen, also nur temporär, gedacht !
Der Router hat intern (also auf der lokalen LAN Seite) das 83.66.55.0er Netz mit einer 29 Bit Maske, also Host Adressen von .1 bis .6 (.7 darfst du nicht vergeben, das ist die Broadcast Adresse in diesem Subnetz !!!)
An diesem lokalen LAN Segment befinden sich 2 Switches verbunden mit einem Crossover Kabel. Ich nehem an 2 Layer 2 Switches also Switches die nicht selber routen können ??!!
Das bedeutet auf diesem gesamten ! Switch Netz dürfen sich NUR Geräte befinden die einen Netzwerk Adapter im 83.66.55.0er Netz haben ! (Es sei denn du arbeitest mit VLANs)
KEINER mit der 10.x.x.x oder 192.168.x.x !!
Es wird jetzt nicht so ganz klar wo du den "Server1" und "den ISA-Server" drin hast aber ich vermute mal das die richtig mit jeweils einer Netzwerkkarte in diesem LAN Segment angeschlossen sind, da einer die 83.66.55.6 bzw. der andere die 83.66.55.2 hat. Bis dahin ist soweit alles ok.
Der WLAN Router MUSS, sofern er auch an diesen Switches angeschlossen ist, (so sieht es wenigstens in deiner Zeichnung aus...) auch mit einem Bein und zwar seinem WAN Bein an dieses lokale Netzwerk angeschlossen ein z.B. mit der Adresse 83.66.55.5 !
An seinem anderen Ende (LAN) ist dann vermutlich das 10er Netz dran. Leider schreibst du auch hier nicht welche Netzwerkmaske du verwendest so das es wieder schwierig wird nachzuvollziehen ob du richtiges Subnetting machst.
Das WLAN ist dann durch den integrieten Accesspoint im Router folglich auch in diesem 10er Adressbereich.
Nun hast du aber ein Problem:
Arbeitest du NICHT mit NAT auf diesem Router tauchen deine 10er Adressen am DSL Router auf und dieser MUSS in jedem Falle die 10er Adressen NATten, denn 10er Netze sind RFC 1918 Netze die im Internet nicht geroutet werden !
Außerdem braucht dieser Router dann eine zusätzliche statische Route für das 10er Netz auf die Adresse des WLAN Routers (83.66.55.5 als Beispiel) sonst kann der DSL Router diese Packete nicht forwarden !
Arbeitest du mit dem WLAN Router mit NAT müsstest du das nicht, da alle Adressen aus dem 10er Netz auf die 83.66.55.5 (Beispiel) translated werden. Der Nachteil hier wiederum ist das du dann aktiv aus dem 83.66.55.0er Netz der Switches nur über Port Forwarding auf Clients (und dann nur einen..) im 10er Netz kommst. Mit NAT wäre das dann sowas wie eine Einbahnstrasse aus dem 10er Segment nur ins Internet.
Ein analoges Szenario dazu findest du hier:
http://www.heise.de/netze/artikel/78397
Das wäre ein Szenario mit dem Router. Routest du nun über die Server müsste man wissen was für ein OS da drauf ist. Bei 2000/XP musst du Routing explizit einschalten über die Registry:
http://www.microsoft.com/windows2000/de/server/help/default.asp?url=/wi ...
Win 2k3 hat dafür ein Konfig Häkchen.
Bevor man dafür nun aber Romane schreibt wäre es wichtig zu erfahren wie diese Server genau angeschlossen sind bzw. welche IP Adressen mit welchen Masken wo stecken und ob diese Server auch routen oder welche Rolle sie in der Verbindung 10er Netz zum 83.66.55.0er Netz spielen ??
2 IP Adressen auf einem NIC Adapter ist schon schlecht. Sowas sollte man bleiben lassen, da IP damit normalerweise nicht klarkommt (ICMP Kontrollpacket Probleme etc...) Solche Konstrukte sind eigentlich ausschliesslich für IP Adressmigrationen, also nur temporär, gedacht !