juergen1220
Goto Top

Routing von WLAN - WAN/LAN funkt. nicht

Hallo,

ich habe bei mir ein verzwicktes Problem, wo ich denke das dies nur ein Denkfehler meinerseits ist.
Ich versuch jetzt schon 2 Tage dieses zu lösen.

Kurze Erklärung zum Netz:

Ich habe 1 xDSL Modem (mit 5 öff. IPs) an einem Switch hängen, daran hängen mehrere Server (mit öff. & int. IPs) und mehrere Workstations (int. IPs) und der WLAN Router (Linksys WRV200 mittels Patchkabel an einem der 4 Ethernet Ports).

Ich habe schon etliche Möglichkeiten probiert, komm aber zu keinem klaren Ergebnis (entweder ich kann ins Internet oder NUR ins Intranet, oder es funkt. NUR der Ping von WLAN Rtr -> WLAN Empfänger (Lappi) und umgekehrt, aber nicht ins LAN und vom LAN ins WLAN.

IP Adressen sehen so aus:

xDSL Modem(IP Range anonymisiert): 83.66.55.1
WLAN LAN Port: 10.0.0.254
WLAN WAN Port: 192.168.1.254 (wird mom. nicht verwendet, steht nur da weil ich was eintragen muss)

Workstation 1: 10.0.0.81

Server 1 intern: 192.168.0.6
Server 1 extern: 83.66.55.6

Am liebsten wäre es mir wenn ich die Workstations wieder in die interne Range 192.168.0.0 einbinden könnte, sodaß nur 1 internes Netz existiert.

Gerne hänge ich auch das Modem an den WAN Port des WLAN Routers an, aber es muss gewährleistet sein das der Router alles was an die IP Range 83.66.55.2 - .6 geht, durchlässt (Webserver, FTP, Mail, etc hängen dort).

Firewall wäre auch verfügbar unter 83.66.55.2/192.168.0.200

Hier eine einfache schematische Zeichnung, hoffe man kann sich darunter was vorstellen:


Internet
|
|
(xDSL Modem (IP 83.66.55.1)
|
|
Switch ------ WLAN Router (ext. 192.168.1.254(nicht verwendet)/int. 10.0.0.254) -------- Lappi (DHCP (Range 10.0.0.100 - .109)
|
|
Workstation1 (10.0.0.81) - Server1(ext. 83.66.55.6/int. 192.168.0.6)

Hoffe Ihr könnt mir da weiterhelfen,

wie muss ich was konfigurieren (WLAN Router auf Router oder Gateway Modus?) damit ich von jeder Workstation, Lappi und Server ins Internet komme und jeden anderen pingen kann (und wenn möglich nur noch das interne Netz 192.168.0.0 verwenden)??

Vielen Dank schon mal für die Mühe!

Gruß Jürgen

Content-ID: 44441

Url: https://administrator.de/contentid/44441

Ausgedruckt am: 22.11.2024 um 16:11 Uhr

MCSE-Cheffe
MCSE-Cheffe 15.11.2006 um 07:58:00 Uhr
Goto Top
Hallo,

auf die schnelle fällt mir auf du hast ja alle öffentlich zugänglichen Serer und die Internen Server auf einem Switch ist ja Sicherheitstechnisch nicht gut man sollte die öffentlichen Server in eine DMZ tun (Internet - Firewall - Server - Firewall - LAN). Du kannst einen Switch an den DMZ Port des Routers tun und die öffentlichen Server anhängen damit sind sie aber nicht geschützt und stehen direkt im Netz. Und einen anderen Switch wenn der Rest vom Router nicht reicht den du an einen Port des Routers hängst und damit alle internen Server und WS hängst. Dann zu dem Modus des Routers du kannst nur eines machen entweder Router (verbinden von Netzen) oder Gateway (Internet) damit beides funktioniert bräuchtest du noch einen zweiten Router.

Gruß MCSE_Cheffe
juergen1220
juergen1220 15.11.2006 um 08:03:49 Uhr
Goto Top
Hallo,

ja ich weiß, sicherheitstechnisch nicht das wahre, daran wird eh gearbeitet face-smile
An den DMZ Port des Routers kann ich ihn nicht anhängen, da der Router sowas nicht hat!
Er hat zwar einen DMZ Bereich in der Konfiguration aber das ist mehr lächerlich (da kann 1 Benutzer für zb. Videoconferencing nach außen hin geöffnet werden).

Als Firewall und somit Router zum Internet würde ein ISA Server bereit stehen!

Gruß Jürgen
Ignatius
Ignatius 15.11.2006 um 08:12:35 Uhr
Goto Top
Hallo Jürgen,


mir stellt sich die Frage, ob die Server von außen erreichbar sein sollen, wenn ja, soltest du diese zunächst in die DMZ stellen. Dann kommt es noch darauf an, ob dein Switch nur ein einfacher Layer-2 Switch ist, oder SAT unterstützt. Wenn dies so ist, kanst du diesen an die öffentliche Seite deiner DMZ stellen. Somit stehen dann die Server in einem privaten Adressbereich und nur Anfragen an einen bestimmten Port (z.B. 80 für HTTP Anfragen) werden in diese Zone weitergeleitet. Alle anderen Anfragen werden dann an den Router in dem zweiten privaten Netzwerk gerichtet. Dieser wird bei den Clients dann noch als Standard Gateway eingerichtet.

Leider kenn ich die Funktionalitäten deines Switches und Routers nicht. Auch das Ziel deines Netzwerks verbirgt sich mir noch ein bisschen im Dunkeln.

Für eine detaillierte Netzwerkplanung bin ich an dieser Stelle auch nur eingeschränkt bereit, weil es Leute gibt, die damit ihr Geld verdienen. Für Troubleshooting bin ich aber gern bereit, dazu bräuchte ich allerdings detaillliertere Infos über dein Netzwerk (Zweck der Server, reicht die Aussage ob nur intern genutz oder auch von extern zugänglich; wählen sich die Laptpos nur in dem beschriebenen Netzwer ein oder wollen diese auch auf die Server zugreifen - dann würde sich eine VPN Anbindung anbieten).

Ich hoffe ich konnte dir ein klein wenig helfen bzw. ein paar Denkanstöße geben. Mach dich zunächst mit den technischen Möglichkeiten der HW vertraut und welchem Zweck diese jeweils erfüllen sollen.

Viel Erfolg!

MfG
Ignatius
juergen1220
juergen1220 15.11.2006 um 08:30:10 Uhr
Goto Top
Hallo,

danke erstmal für die lange Antwort!
Also:

- die Server müssen von außen erreichbar sein (es sind webserver,etc)!
- mein Switch ist ein 0815 Switch kleinst Bauart face-smile ohne Management
- DMZ momentan nicht ganz so einfach möglich, ist in Planung via ISA Server - momentan aber kein Thema (jedenfalls nicht für den WLAN)
- Von Außen soll eine Einwahl via VPN möglich sein (dies stellt aber der ISA Server bereits zur Verfügung!

Mir gehts momentan eigentlich nur um die "normale" Funktionalität des WLAN Routers, ich hatte ja vorher auch einen dran hängen (billiger Surecom), dieser hatte aber ständig Ausfälle, daher habe ich jetzt diesen gekauft.
Der alte war recht einfach konfiguriert, er hatte 1 intere IP, kein DHCP konfiguriert (das soll dieser schon tun, ist einfacher für mich da ich jetzt des öfteren woanders mit ins WLAN hänge) und das Patchkabel war auch einfach im LAN Port angesteckt. Zugriff vom internen LAN war von jeder Workstation auf jede andere egal ob Lappi oder Kabelgebunden möglich!
Nur bei diesen gibts jetzt Probleme, vielleicht hat er auch einfach zu viele Möglichkeiten das sowas einfaches nicht mehr möglich ist....das wäre schade.

Hoffe ich konnte Licht ins Dunkel bringen face-smile

Gruß Jürgen
Ignatius
Ignatius 15.11.2006 um 08:53:05 Uhr
Goto Top
- DMZ momentan nicht ganz so einfach
möglich, ist in Planung via ISA Server -
momentan aber kein Thema (jedenfalls nicht
für den WLAN)


In der DMZ stehen dann eh die Server und die sind sicherlich in einem kablegebundenen LAN...

Da der ISA Server als Plattform z.B. Windows 2003 Server benötigt, nutzt du diesen gleich als SW Router (Routing und RAS)...schon hast du zwei Router (SW und WLAN).

Als einfachste Lösung fällt mir jetzt spontan ein, in die Kiste mit ISA drei Netzwerkkarten einzubauen. Die erste als WAN Port, an die zweite den simple Switch und da dahinter die Server, an die dritte den WLAN Router, der nur als Gateway für die Laptops fungiert. In dem Fall müsste dann der WAN Port des Routers an den ISA und somit ans Modem/Internet angeschlossen werden.
Via Routing und RAS richtest du Paketfilterung ein um die Server per Port 80 oder 8080 erreichbar zu machen. In das Handling der 2003 Server Paketfilterung muss du dich ein wenig einarbeiten, es gibt für Regeln nur logische UND Verknüpfungen und zwischen den Regeln nur logische ODER Verknüpfungen; eine Regel kann nur alles außer bzw. nichts außer - die Regeln werden der Reihenfolge nach überprüft, bzw. angewendet.

Aber Bitte: keine Gewähr auf diese Lösung, sie ist definitv unsicher für den Anfang...und ausserdem ist es sehr früh am morgen!
aqui
aqui 16.11.2006 um 19:08:36 Uhr
Goto Top
Da sind viel zu viele Ungereimtheiten im Netz wie "Ignatius" schon schreibt. Unklar ist vor allem:

1.) Ein DSL Modem ist passiv und hat normalerweise KEINE IP Adresse !

2.) Die Aussage "5 öffentliche IP Adressen" ist auch erstmal nicht einordbar. Normalerweise lassen Carrier sowas auf einem DSL Anschluss gar nicht zu ! Sondern der DSL Anschluss muss sich erstmal mit PPPoE an einem Radius Server authentifizieren und bekommt dann EINE IP Adresse dynamisch zugewiesen.
Es kann dann aber immer nur EINER diese PPPoE Verbindung machen unter dem Aspekt wäre es dann sinnlos an das DSL Modem direkt einen Switch anzuschliessen was zudem sicherheitstechnisch auch noch sträflicher Leichtsinn ist.

3.) Gesetzt den Fall das Szenario ist so wie beschrieben, dann fährst du auf dem Switch deine öffentlichen Adressen und auch 10er RFC 1918 Adressen (Workstation 1)
Dieselben Adressen tauchen auch hinter dem Router auf ! Routingtechnisch ist das unmöglich und kann so nicht funktionieren, es sei denn man subnettet das 10er Class A Netz, das wird aber nicht klar aus der Beschreibung.
Sowieso, ein Mischmasch von IP Netzen über ein Layer 2 Device (Switch) zu fahren ist in sich schon ein IP Designfehler !

Das ist alles netzwerktechnisch Kraut und Rüben, so das man gar nicht weiß wo man anfangen soll mit dem Fragen nach dem Aufbau und Beschreiben der Fehler !
Sofern du nicht ein klare Beschreibung zum o.a. Punkt 2 machst wie eigentlich wirklich dein DSL Zugang realisiert ist könnte man hier Romane schreiben...
juergen1220
juergen1220 17.11.2006 um 00:55:46 Uhr
Goto Top
Hallo,

hoffendlich vergess ich jetzt nix, muss das nochmal schreiben wegen eines "Seite kann nicht angezeigt werden face-sad( )

Zu Punkt2:
Sorry, hab mich da wohl etwas falsch ausgedrückt, dachte nicht das es wirklich nötig ist das genau zu wissen.
Ich habe kein normales DSL Modem, es ist ein SDSL Router (Zyxel 681) der
das Netz 83.66.55.1 - 83.66.55.7 (255.255.255.248) beinhaltet.
Er selbst verwendet 83.66.55.1

Ich habe jetzt den ISA Server in Betrieb genommen, und dem WLAN ein eigenes 10er Netz spendiert.

Eigentlich klappt alles, bis auf das pingen in den 10er Netzen, also ein ping von Workstation1 (10.0.0.81) auf den Lappi im WLAN (Lappi: 10.0.1.100) klappt nicht.
Ein Ping vom Lappi (10.0.1.100) auf die Workstation (10.0.0.81) klappt aber
Ins DMZ und ins Internet klappts auch.

Hier die Konfig:

Router (83.66.55.1)

|

Switch -- WLAN Router (ext. 10.0.0.199 GW 10.0.0.1 (ISA) / int. 10.0.1.199) -- Lappi (DHCP 10.0.1.100 GW 10.0.1.199 (WLAN)) - Workstation1 (10.0.0.81 GW 10.0.0.1 (ISA))

|

Switch (sind ausgekreuzt verbunden) - Server1 (ext. 83.66.55.6 / int. 192.168.0.6) - ISA Server (ext. 83.66.55.2 / int. 192.168.0.6 & 10.0.0.1 (statische Route 10.0.1.0 über GW 10.0.0.1 (über interne Karte)))

Irgendwo hats da den Wurm drinnen das ich nicht ins WLAN pingen kann.
Firewall auf dem WLAN Router ist deaktiviert, der Router ist als Gateway eingestellt.
Bei der Einstellung "Router" klappt garnix mehr.

Hoffe ihr könnt mir da Tipps geben!

Gruß Jürgen
aqui
aqui 17.11.2006 um 01:57:27 Uhr
Goto Top
OK, das bringt etwas Klarheit, allerdings ist deine Adressvergabe immer noch recht konfus. Mal der Reihe nach.
Der Router hat intern (also auf der lokalen LAN Seite) das 83.66.55.0er Netz mit einer 29 Bit Maske, also Host Adressen von .1 bis .6 (.7 darfst du nicht vergeben, das ist die Broadcast Adresse in diesem Subnetz !!!)

An diesem lokalen LAN Segment befinden sich 2 Switches verbunden mit einem Crossover Kabel. Ich nehem an 2 Layer 2 Switches also Switches die nicht selber routen können ??!!

Das bedeutet auf diesem gesamten ! Switch Netz dürfen sich NUR Geräte befinden die einen Netzwerk Adapter im 83.66.55.0er Netz haben ! (Es sei denn du arbeitest mit VLANs)
KEINER mit der 10.x.x.x oder 192.168.x.x !!
Es wird jetzt nicht so ganz klar wo du den "Server1" und "den ISA-Server" drin hast aber ich vermute mal das die richtig mit jeweils einer Netzwerkkarte in diesem LAN Segment angeschlossen sind, da einer die 83.66.55.6 bzw. der andere die 83.66.55.2 hat. Bis dahin ist soweit alles ok.

Der WLAN Router MUSS, sofern er auch an diesen Switches angeschlossen ist, (so sieht es wenigstens in deiner Zeichnung aus...) auch mit einem Bein und zwar seinem WAN Bein an dieses lokale Netzwerk angeschlossen ein z.B. mit der Adresse 83.66.55.5 !
An seinem anderen Ende (LAN) ist dann vermutlich das 10er Netz dran. Leider schreibst du auch hier nicht welche Netzwerkmaske du verwendest so das es wieder schwierig wird nachzuvollziehen ob du richtiges Subnetting machst. face-sad
Das WLAN ist dann durch den integrieten Accesspoint im Router folglich auch in diesem 10er Adressbereich.
Nun hast du aber ein Problem:
Arbeitest du NICHT mit NAT auf diesem Router tauchen deine 10er Adressen am DSL Router auf und dieser MUSS in jedem Falle die 10er Adressen NATten, denn 10er Netze sind RFC 1918 Netze die im Internet nicht geroutet werden !
Außerdem braucht dieser Router dann eine zusätzliche statische Route für das 10er Netz auf die Adresse des WLAN Routers (83.66.55.5 als Beispiel) sonst kann der DSL Router diese Packete nicht forwarden !
Arbeitest du mit dem WLAN Router mit NAT müsstest du das nicht, da alle Adressen aus dem 10er Netz auf die 83.66.55.5 (Beispiel) translated werden. Der Nachteil hier wiederum ist das du dann aktiv aus dem 83.66.55.0er Netz der Switches nur über Port Forwarding auf Clients (und dann nur einen..) im 10er Netz kommst. Mit NAT wäre das dann sowas wie eine Einbahnstrasse aus dem 10er Segment nur ins Internet.
Ein analoges Szenario dazu findest du hier:
http://www.heise.de/netze/artikel/78397

Das wäre ein Szenario mit dem Router. Routest du nun über die Server müsste man wissen was für ein OS da drauf ist. Bei 2000/XP musst du Routing explizit einschalten über die Registry:
http://www.microsoft.com/windows2000/de/server/help/default.asp?url=/wi ...

Win 2k3 hat dafür ein Konfig Häkchen.
Bevor man dafür nun aber Romane schreibt wäre es wichtig zu erfahren wie diese Server genau angeschlossen sind bzw. welche IP Adressen mit welchen Masken wo stecken und ob diese Server auch routen oder welche Rolle sie in der Verbindung 10er Netz zum 83.66.55.0er Netz spielen ??

2 IP Adressen auf einem NIC Adapter ist schon schlecht. Sowas sollte man bleiben lassen, da IP damit normalerweise nicht klarkommt (ICMP Kontrollpacket Probleme etc...) Solche Konstrukte sind eigentlich ausschliesslich für IP Adressmigrationen, also nur temporär, gedacht !
Netzopa
Netzopa 17.11.2006 um 04:19:12 Uhr
Goto Top
Schafft das noch mehr Verwirrung wenn ich nach den Subnetzmasken der einzelnen Hosts frage ?


Unbedingt ansehen wenns um "billige" Lösungen geht:
ipCOP als Firewall
Freesco als Firewall/Router