13
Routing zwischen zwei Firmen
Hallo,
wie würdet ihr ein Routing zwischen zwei getrennten Firmen realisieren?
Firma1 hat eigenes Netz mit eigenem Router: R1
Firma2 hat eigenes Netz mit eigenem Router: R2
Firma1 soll nun Zugriff auf einen Dienst von Firma2 bekommen.
Meine Überlegung, wir spannen einen Transfernetz auf:
Firma1 LAN: 10.10.0.0/24
Firma2 LAN: 10.20.0.0/24
R1 hat LANseitig die IP: 10.10.0.1
R2 hat LANseitig die IP: 10.20.0.1
R1 hat im Transfernetz die IP: 10.0.0.1
R2 hat im Transfernetz die IP: 10.0.0.2
Auf R1 statische Route: 10.20.0.0/24 - Gateway: 10.0.0.2 - über 10.0.0.1
Auf R2 statische Route: 10.10.0.0/24 - Gateway: 10.0.0.1 - über 10.0.0.2
Gesichten wie ein VPN sind nicht möglich.
Ein Layer2 Trunk (über den man das Transfer-VLAN aufspannen könnte) zwischen Firma1 und Firma2 wäre möglich.
Ist das irgendwie zu kompliziert gedacht und/oder gibt es eine einfachere Lösung?
Danke
Gustel
wie würdet ihr ein Routing zwischen zwei getrennten Firmen realisieren?
Firma1 hat eigenes Netz mit eigenem Router: R1
Firma2 hat eigenes Netz mit eigenem Router: R2
Firma1 soll nun Zugriff auf einen Dienst von Firma2 bekommen.
Meine Überlegung, wir spannen einen Transfernetz auf:
Firma1 LAN: 10.10.0.0/24
Firma2 LAN: 10.20.0.0/24
R1 hat LANseitig die IP: 10.10.0.1
R2 hat LANseitig die IP: 10.20.0.1
R1 hat im Transfernetz die IP: 10.0.0.1
R2 hat im Transfernetz die IP: 10.0.0.2
Auf R1 statische Route: 10.20.0.0/24 - Gateway: 10.0.0.2 - über 10.0.0.1
Auf R2 statische Route: 10.10.0.0/24 - Gateway: 10.0.0.1 - über 10.0.0.2
Gesichten wie ein VPN sind nicht möglich.
Ein Layer2 Trunk (über den man das Transfer-VLAN aufspannen könnte) zwischen Firma1 und Firma2 wäre möglich.
Ist das irgendwie zu kompliziert gedacht und/oder gibt es eine einfachere Lösung?
Danke
Gustel
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 511846
Url: https://administrator.de/contentid/511846
Ausgedruckt am: 24.11.2024 um 04:11 Uhr
13 Kommentare
Neuester Kommentar
Das Transfermetz muss über VPN gehen, direkt übers Internet gehts auf jeden Fall nicht. Oder sind beide Firmen in einem Haus?
Wenn ja, reichen zwei VLANs mit nur einem VLAN fähigen Router.
Wenn ja, reichen zwei VLANs mit nur einem VLAN fähigen Router.
Moin,
Ist die Frage ernst gemeint?
Wofür ein Transfer Netz?
Fraglich ob mit der Netz Kenntnis die IT Sicherheit gewahrt wird...
VG
Ist die Frage ernst gemeint?
Wofür ein Transfer Netz?
Fraglich ob mit der Netz Kenntnis die IT Sicherheit gewahrt wird...
VG
Absolut! Bitte sag mir, wie es ohne Transfernetz gehen soll.
Nach der "IT Sicherheit" habe ich eigentlich nicht gefragt. Aber zu deiner Beruhigung, Firma2 ist in Teilen IT-Dienstleister von Firma1 (von der allerdings in derem Haus die Netzinfrastruktur + das WLAN selbst betrieben wird). Es soll nun ein Dienst von Firma2 im WLAN von Firma1 auf deren moblien Endgeräten verfügbar gemacht werden.
Es muss auch nicht übers Internet gehen. Die Firmen sind geographisch am selben Standort, selbst die Switche sind in den selben Racks. Wie beschrieben, besteht schon ein Trunk zwischen beiden Firmen, der aber bis jetzt für andere Zwecke genutzt wird (kein L3 Routing, nur Layer2).
Deshlab nochmals, ist die technische Realisierung so praktikabel oder kann man sich das Transfernetz sparen? Wenn ja, bitte wie?
Über L2, also VLANs würde es natürlich auch gehen. Allerdings können auf den Access Points nicht beliebig viele VAPs betrieben werden. Deshalb wäre die Lösung das Ganze über ein schon bestehendes VLAN (VAP) zu routen.
Es wäre natürlich auch möglich einen dritten Router zu nutzen und daran die beiden VLANs anzulegen. Aber da schon jede Firma ihren eignen Router hat, wäre es natürlich schöner, wenn man sich den fiktiven R3 sparen könnte.
Gustel
Nach der "IT Sicherheit" habe ich eigentlich nicht gefragt. Aber zu deiner Beruhigung, Firma2 ist in Teilen IT-Dienstleister von Firma1 (von der allerdings in derem Haus die Netzinfrastruktur + das WLAN selbst betrieben wird). Es soll nun ein Dienst von Firma2 im WLAN von Firma1 auf deren moblien Endgeräten verfügbar gemacht werden.
Es muss auch nicht übers Internet gehen. Die Firmen sind geographisch am selben Standort, selbst die Switche sind in den selben Racks. Wie beschrieben, besteht schon ein Trunk zwischen beiden Firmen, der aber bis jetzt für andere Zwecke genutzt wird (kein L3 Routing, nur Layer2).
Deshlab nochmals, ist die technische Realisierung so praktikabel oder kann man sich das Transfernetz sparen? Wenn ja, bitte wie?
Über L2, also VLANs würde es natürlich auch gehen. Allerdings können auf den Access Points nicht beliebig viele VAPs betrieben werden. Deshalb wäre die Lösung das Ganze über ein schon bestehendes VLAN (VAP) zu routen.
Es wäre natürlich auch möglich einen dritten Router zu nutzen und daran die beiden VLANs anzulegen. Aber da schon jede Firma ihren eignen Router hat, wäre es natürlich schöner, wenn man sich den fiktiven R3 sparen könnte.
Gustel
Moin,
wenn Firma2 IT-Dienstleister ist (ich gehe davon aus, du/ihr?) Mach ich mir über die IT-Sicherheit noch wesentlich mehr Sorgen - ich hoffe, das darf man so ehrlich anbringen.
Wenn schon ein "Trunk" besteht, warum diesen nicht Mitbenutzen, wobei die Bezeichnung als Trunk in diesem Kontext schon auf eine gewisse Art ein Hinweis darauf ist, dass dies entweder ein Sicherheitsdilemma darstellt, oder falsch genutzt wird.
Wie schon beschrieben, das Transfernetz kannst du dir sparen...Wenn das als Ansatz nicht reicht solltest du dir unbedingt einen Partner für Netzwerk und Sicherheit zulegen, ggf. auch über das Projekt hinaus (wenn für mehr als diese Firma IT-Dienstleister). Gerne können wir dabei über eine Kooperation reden.
Viele Grüße
wenn Firma2 IT-Dienstleister ist (ich gehe davon aus, du/ihr?) Mach ich mir über die IT-Sicherheit noch wesentlich mehr Sorgen - ich hoffe, das darf man so ehrlich anbringen.
Wenn schon ein "Trunk" besteht, warum diesen nicht Mitbenutzen, wobei die Bezeichnung als Trunk in diesem Kontext schon auf eine gewisse Art ein Hinweis darauf ist, dass dies entweder ein Sicherheitsdilemma darstellt, oder falsch genutzt wird.
Wie schon beschrieben, das Transfernetz kannst du dir sparen...Wenn das als Ansatz nicht reicht solltest du dir unbedingt einen Partner für Netzwerk und Sicherheit zulegen, ggf. auch über das Projekt hinaus (wenn für mehr als diese Firma IT-Dienstleister). Gerne können wir dabei über eine Kooperation reden.
Viele Grüße
Du kannst einfach beide Netze auf einen zusätzlichen Router (R3) mit zwei LAN Schnittstellen stecken. Du musst nur noch den R1 und R2 die Routen für das jeweils andere Netzwerk einrichten, mit Gateway auf R3. Du kannst dann noch entscheiden ob Du es mit oder ohne NAT machen willst. Wenn sich beide Netze gegenseitig sehen sollen, dann natürlich ohne NAT, einfach direkt geroutet.
Wenn R1 und R2 zusächlich konfigurierbare freie LAN Eingänge haben, dann kannst Du Dir sogar R3 sparen, wenn Du auf beide Router das andere Netzwerk dazu steckst - über Kreuz sozusagen.
Wenn R1 und R2 zusächlich konfigurierbare freie LAN Eingänge haben, dann kannst Du Dir sogar R3 sparen, wenn Du auf beide Router das andere Netzwerk dazu steckst - über Kreuz sozusagen.
Jau, Christian kann Dir das im Handumdrehen einrichten.
Hallo, das Netzlayout ist so:
Firma1- -VLAN123- -R1- -[hier ist kein Router mehr, VLAN-Trunk]- -R2- -VLAN987- -Firma2- -[Dienst den Firma1 braucht]
Der Trunk wird genutzt, da Firma2 in einem überregionalen Netzverbund vertreten ist und Firma1 früher eine Abteilung von Firma2 war, nach wie vor aber der Zugang zu dem Netzverbund gerbraucht wird.
Wie realisiert man den Zugriff von den Geräten in VLAN123 auf den Dienst in VLAN987 ohne Transfernetz zwischen R1 und R2.
Danke
Firma1- -VLAN123- -R1- -[hier ist kein Router mehr, VLAN-Trunk]- -R2- -VLAN987- -Firma2- -[Dienst den Firma1 braucht]
Der Trunk wird genutzt, da Firma2 in einem überregionalen Netzverbund vertreten ist und Firma1 früher eine Abteilung von Firma2 war, nach wie vor aber der Zugang zu dem Netzverbund gerbraucht wird.
Wie realisiert man den Zugriff von den Geräten in VLAN123 auf den Dienst in VLAN987 ohne Transfernetz zwischen R1 und R2.
Danke
Wenn es dir eine Lösung wert ist, schreib mir eine Mail, das führt hier zu nichts.
Danke.
Danke.
Hi,
Eine simple Lösung wäre ggf:
Von Fa. 1 (10.10.0.0/24) direkt per NAT auf Router auf Fa. 2 (10.20.0.0/24) zugreifen.
CH
Eine simple Lösung wäre ggf:
Von Fa. 1 (10.10.0.0/24) direkt per NAT auf Router auf Fa. 2 (10.20.0.0/24) zugreifen.
CH
wenn beide Netze auf einen Router liegt musst du nur zwei Routing Interfaces einrichten und es funktioniert und via ACL regelst du den Rest.
Wenn es eine FW dazwischen sein soll um z.B. nur bestimmte Ports und Zieladressen zuzulassen:
LAN1 -> Netz 1 | WAN 1 -> Netz 2 und dann wie einen _Internetzugang_ Einrichten, über die FW Regeln kannst dann auch die Zugriffe steuern. Am Primären Router trägst du dann die Routen zu den beiden Netzen ein und als GW Adresse dafür die IP Adresse des jeweiligen FW Ports.
dann am jeweiligen Router
(je nach Syntax des Gerätes)
Die jeweiligen Ports dann im passenden VLAN untagged auf den Switch gesteckt und du hast alles was du benötigst.
Apropos: du redest von L2 und dann wieder von IP Adressen, IP Adressen sind L3
Und mal eben als Definition: Trunks sind ein Bund einzelner Verbindung - bei Cisco heisst es dann Port-Channel (Trunk ist bei Cisco ein Port der mehr wie VLAN nutzt)
Wenn es eine FW dazwischen sein soll um z.B. nur bestimmte Ports und Zieladressen zuzulassen:
LAN1 -> Netz 1 | WAN 1 -> Netz 2 und dann wie einen _Internetzugang_ Einrichten, über die FW Regeln kannst dann auch die Zugriffe steuern. Am Primären Router trägst du dann die Routen zu den beiden Netzen ein und als GW Adresse dafür die IP Adresse des jeweiligen FW Ports.
Netz 1 10.10.0.0/24 <-> FW-LAN 10.10.0.20/24 || FW-"WAN" 10.20.0.20/24 <-> 10.20.0.0/24 Netz B dann am jeweiligen Router
# Route Netz 1
ip route 10.20.0.0/24 (gateway) 10.10.0.20
# Route Netz 2
ip route 10.10.0.0/24 (gateway) 10.20.0.20Die jeweiligen Ports dann im passenden VLAN untagged auf den Switch gesteckt und du hast alles was du benötigst.
Apropos: du redest von L2 und dann wieder von IP Adressen, IP Adressen sind L3
Und mal eben als Definition: Trunks sind ein Bund einzelner Verbindung - bei Cisco heisst es dann Port-Channel (Trunk ist bei Cisco ein Port der mehr wie VLAN nutzt)
Hallo,
wieso nur in aller Welt fragt man sowas, wenn einer der Beteiligten IT-Dienstleister ist?
Grüße
lcer
wieso nur in aller Welt fragt man sowas, wenn einer der Beteiligten IT-Dienstleister ist?
Grüße
lcer
Zitat von @lcer00:
Hallo,
wieso nur in aller Welt fragt man sowas, wenn einer der Beteiligten IT-Dienstleister ist?
Grüße
lcer
Hallo,
wieso nur in aller Welt fragt man sowas, wenn einer der Beteiligten IT-Dienstleister ist?
Grüße
lcer
Meine Rede...
ggf. nur für Software, d.h. nicht immer auch das die sich auch nur ansatzweise mit Hardware auskennen, im Regelfall haben gar keine Ahnung von Infrastruktur und wenn etwas nicht läuft ist es immer die Hardware
