Supernetting - Änderung der Subnetzmaske
Hallo zusammen und bitte um Eure Hilfe/Ratschläge!
Folgende Ausgangssituation:
Ein kleines Netzwerk mit einem Windows Domain Controller (macht auch DHCP), einem NAS, ein paar Drucker, AccessPoints und etlichen Workstations. Insgesamt gar keine aufregende oder komplizierte Struktur. Klassisches C-Klasse Netz mit einer Netzmaske von 255.255.255.0. Sprich: 254 (256) Hosts maximal.
Nun soll aber im Sommer eine Art Projekt dort am Standort stattfinden - wo ziemlich viele Gäste erwartet werden, welchen für ein paar Tage ein WLAN-Zugang bereitgestellt werden soll. Ich fürchte nun, dass es möglicherweise zu dem Szenario kommen kann, dass die IP-Adressen "ausgehen". (Vorweg: DHCP-Leastime runter ist auch keine Lösung.)
Da mir nahe gelegt wurde, die Sache möglichst ohne zusätzliche Kosten zu erledigen, geht meine Überlegung in folgende Richtung:
1. Alle Geräte (natürlich mit Ausnahme des DomainControllers - also Drucker, NAS, u.a) mit einer fixen IP temporär auf DHCP umstellen
2. Anpassung im Router vornehmen und dort auf eine Netzmaske von 255.255.254.0 umstellen
3. Anpassung der Netzmaske im Domain Controller und Anpassung des DHCP Bereichs
4. Geräte welche im Punkt 1 auf DHCP umgestellt wurden wieder auf fixe Adresse zurückkonfigurieren
Damit hätte ich - meiner Überlegung nach - den Hostanteil im Netzwerk vergrößert. Dass damit bestimmte Nachteile wie etwa Broadcast-Traffic gegeben sind, ist mir bewusst. Das Ganze soll aber (hoffentlich!) nur eine temporäre Lösung sein. Da ich dieses Szenario aber noch nie praktisch gemacht habe, möchte ich euch bitten, dass ihr euch dass einmal durchdenkt, ob ich da was Wichtiges übersehen habe.
Danke für eure Hilfen.
MfG
M.A.
Folgende Ausgangssituation:
Ein kleines Netzwerk mit einem Windows Domain Controller (macht auch DHCP), einem NAS, ein paar Drucker, AccessPoints und etlichen Workstations. Insgesamt gar keine aufregende oder komplizierte Struktur. Klassisches C-Klasse Netz mit einer Netzmaske von 255.255.255.0. Sprich: 254 (256) Hosts maximal.
Nun soll aber im Sommer eine Art Projekt dort am Standort stattfinden - wo ziemlich viele Gäste erwartet werden, welchen für ein paar Tage ein WLAN-Zugang bereitgestellt werden soll. Ich fürchte nun, dass es möglicherweise zu dem Szenario kommen kann, dass die IP-Adressen "ausgehen". (Vorweg: DHCP-Leastime runter ist auch keine Lösung.)
Da mir nahe gelegt wurde, die Sache möglichst ohne zusätzliche Kosten zu erledigen, geht meine Überlegung in folgende Richtung:
1. Alle Geräte (natürlich mit Ausnahme des DomainControllers - also Drucker, NAS, u.a) mit einer fixen IP temporär auf DHCP umstellen
2. Anpassung im Router vornehmen und dort auf eine Netzmaske von 255.255.254.0 umstellen
3. Anpassung der Netzmaske im Domain Controller und Anpassung des DHCP Bereichs
4. Geräte welche im Punkt 1 auf DHCP umgestellt wurden wieder auf fixe Adresse zurückkonfigurieren
Damit hätte ich - meiner Überlegung nach - den Hostanteil im Netzwerk vergrößert. Dass damit bestimmte Nachteile wie etwa Broadcast-Traffic gegeben sind, ist mir bewusst. Das Ganze soll aber (hoffentlich!) nur eine temporäre Lösung sein. Da ich dieses Szenario aber noch nie praktisch gemacht habe, möchte ich euch bitten, dass ihr euch dass einmal durchdenkt, ob ich da was Wichtiges übersehen habe.
Danke für eure Hilfen.
MfG
M.A.
Please also mark the comments that contributed to the solution of the article
Content-ID: 7115417680
Url: https://administrator.de/contentid/7115417680
Printed on: October 6, 2024 at 19:10 o'clock
19 Comments
Latest comment
Moin,
Du resoltest nicht an Deine Infrastruktur herumspielen. Und vor allem solltest Du nciht die "fremden" in Euer Produltivnetz lassen.
Besorg Dir lieber extra APs/Router und laß die Gäste nur da rein. Da kannst Du dann auch ein "großes Netz" mit einer /16-Maske
Aus meine rpersönlichn Erfahrung heraus kann ich Dir nur raten, von Deinem obigen Plan abzusehen.
lks
Du resoltest nicht an Deine Infrastruktur herumspielen. Und vor allem solltest Du nciht die "fremden" in Euer Produltivnetz lassen.
Besorg Dir lieber extra APs/Router und laß die Gäste nur da rein. Da kannst Du dann auch ein "großes Netz" mit einer /16-Maske
Aus meine rpersönlichn Erfahrung heraus kann ich Dir nur raten, von Deinem obigen Plan abzusehen.
lks
Was für Access Points hast Du denn schon und was läuft als Router für den Internet-Zugang?
EDIT: Lese gerade "Unifi-Controller", also dann UBNT APs. Hast Du als Router auch eine USG, oder was läuft da?
Vllt. kannst Du auf Deinen bestehenden AccessPoints eine weitere SSID aufspannen und die in eine separate IP-Range auslagern. Dann brauchst Du dein bestehendes Netz nicht anfassen und nichts dazukaufen. Idealerwiese natürlich noch in ein eigenes VLAN, aber zur Not ginge das auch ohne, wenn Deine Hardware das nicht kann.
cu,
ipzipzap
EDIT: Lese gerade "Unifi-Controller", also dann UBNT APs. Hast Du als Router auch eine USG, oder was läuft da?
Vllt. kannst Du auf Deinen bestehenden AccessPoints eine weitere SSID aufspannen und die in eine separate IP-Range auslagern. Dann brauchst Du dein bestehendes Netz nicht anfassen und nichts dazukaufen. Idealerwiese natürlich noch in ein eigenes VLAN, aber zur Not ginge das auch ohne, wenn Deine Hardware das nicht kann.
cu,
ipzipzap
weiss nicht was für ein Kunstprojekt das ist und in wie weit die Frau deines Chefs diese Jugendlichen Unterstützt. Stellt Sie nur die Räumlichkeit und ein WLAN zur Verfügung? Vielleicht solte die Frau deines Chefs die Kunstliebhaber anstatt mit WLAN mit Papier und Stift unterstützen? (nur mal so als Gedanke nebenbei)
LG
LG
Nun,
ich würde dann der Frau des Chefs mal freundlich ne Frage stellen. Brauchen die Jugendlichen Strom? Gehen die zur Toilette? Essen/Trinken die und erzeugen zB. Müll? Falls die also nicht permanent irgendwo in die Büsche ka**en erzeugen die auch kosten, oder?
Und jetzt willst du allen ernstes versuchen die über das FIRMENNETZ zu leiten, dabei soll riskiert werden das euer gesamter Laden wegsemmelt und das GRADE bei Jugendlichen bei denen du einfach davon ausgehen musst das der ein oder andere ggf. auch noch nen "Spieltrieb" hat und versuchen wird ob man da nich doch irgendwas machen kann? Und selbst wenn nicht werden die - wie du schon mehr oder weniger erkannt hast - ggf. durch Broadcasts euer Netz stören wenn die da drin sind. Ganz nebenbei wirst du auch merken das du noch ganz andere Probleme erwarten darfst -> so kann ein Accesspoint nicht unbegrenzt viele Endgeräte halten. Versuchst du also da auf einen AP 200 Endgeräte zu hauen wirst du merken das irgendwie nich mehr viel geht... Daneben hast du noch ggf. nen paar Probleme mit den Frequenzen weil auch diese natürlich begrenzt sind.
Was ich tun würde: Als aller erstes mal klären was die genau will. Und zwar egal ob "Frau von Chef" oder Bekannte vom Schulfreund der Ur-Enkelin vom Dorf-Deppen. Dann sollte man sich klar machen das sowas für gewöhnlich etwas andere Regeln braucht. Ein "Firmenbesucher" ist für gewöhnlich nen paar Stunden da für nen Meeting - schön. Da hat der/die/das keine Zeit für Streaming oder Filesharing. Ne horde Jugendlicher über mehrere Tage - oh, warte, könnte es sein das genau diese Dinge kommen? Und wenn die da lustig Filme runterladen -> an wen geht wohl die Rechnung vom Abmahn-Anwalt im dümmsten Fall? Wie sieht es da mit Jugendschutz aus? Nen Firmenbesucher wird für gewöhnlich nicht die div. Porno-Seiten mit seinem Kunden/Dienstleister/Whatever ihr seid besuchen. Ne Horde Teenies? Könnte sein - und spätestens wenn dann Teenie 1 + 2 sich entsprechende Filme angucken (weils ja cool is ...) und teenie 3 mit 12,13 oder 14 Jahren zuhause seiner/ihrer Mutti erzählt was die da gesehen hat könnte es sein das ihr Spass habt...
Es ist also nicht nur "ich pack mal eben nen VLAN hin und lass die machen". Kannst du machen - und hast dann halt ne gute Chance das du live erlebst was der Satz "when the sh*t hits the fan" bedeutet...
ich würde dann der Frau des Chefs mal freundlich ne Frage stellen. Brauchen die Jugendlichen Strom? Gehen die zur Toilette? Essen/Trinken die und erzeugen zB. Müll? Falls die also nicht permanent irgendwo in die Büsche ka**en erzeugen die auch kosten, oder?
Und jetzt willst du allen ernstes versuchen die über das FIRMENNETZ zu leiten, dabei soll riskiert werden das euer gesamter Laden wegsemmelt und das GRADE bei Jugendlichen bei denen du einfach davon ausgehen musst das der ein oder andere ggf. auch noch nen "Spieltrieb" hat und versuchen wird ob man da nich doch irgendwas machen kann? Und selbst wenn nicht werden die - wie du schon mehr oder weniger erkannt hast - ggf. durch Broadcasts euer Netz stören wenn die da drin sind. Ganz nebenbei wirst du auch merken das du noch ganz andere Probleme erwarten darfst -> so kann ein Accesspoint nicht unbegrenzt viele Endgeräte halten. Versuchst du also da auf einen AP 200 Endgeräte zu hauen wirst du merken das irgendwie nich mehr viel geht... Daneben hast du noch ggf. nen paar Probleme mit den Frequenzen weil auch diese natürlich begrenzt sind.
Was ich tun würde: Als aller erstes mal klären was die genau will. Und zwar egal ob "Frau von Chef" oder Bekannte vom Schulfreund der Ur-Enkelin vom Dorf-Deppen. Dann sollte man sich klar machen das sowas für gewöhnlich etwas andere Regeln braucht. Ein "Firmenbesucher" ist für gewöhnlich nen paar Stunden da für nen Meeting - schön. Da hat der/die/das keine Zeit für Streaming oder Filesharing. Ne horde Jugendlicher über mehrere Tage - oh, warte, könnte es sein das genau diese Dinge kommen? Und wenn die da lustig Filme runterladen -> an wen geht wohl die Rechnung vom Abmahn-Anwalt im dümmsten Fall? Wie sieht es da mit Jugendschutz aus? Nen Firmenbesucher wird für gewöhnlich nicht die div. Porno-Seiten mit seinem Kunden/Dienstleister/Whatever ihr seid besuchen. Ne Horde Teenies? Könnte sein - und spätestens wenn dann Teenie 1 + 2 sich entsprechende Filme angucken (weils ja cool is ...) und teenie 3 mit 12,13 oder 14 Jahren zuhause seiner/ihrer Mutti erzählt was die da gesehen hat könnte es sein das ihr Spass habt...
Es ist also nicht nur "ich pack mal eben nen VLAN hin und lass die machen". Kannst du machen - und hast dann halt ne gute Chance das du live erlebst was der Satz "when the sh*t hits the fan" bedeutet...
Moin,
egal was du hier noch an Infos gibst, es bleibt eine schlechte Idee:
Da ich dieses Szenario aber noch nie praktisch gemacht habe, möchte ich euch bitten, dass ihr euch dass einmal durchdenkt, ob ich da was Wichtiges übersehen habe.
Du übersiehst, das wichtigste allgemein: Gäste haben nicht zu bestimmen wie dein Netzwerk aussieht. Du schreibst immer wieder:
Kauf eine Fritzbox, häng die ins Internet und lass sie die Einwahl machen. Pack die Fritz-APs für deine Veranstaltung auf die Fritzbox. Schließe deine jetzige Firewall an die Fritzbox an und bau ein Transfernetz. Damit hast du das Gäste-Netz physisch getrennt, deine Firewall schütz weiterhin dein Netzwerk und du musst (bis auf das Trasnfernetz zwische Fritzbox und Firewall) nichts an deinem Netzwerk ändern.
Alternativ:
Frage mal bei deinem befreundeten Systemhaus nach. Wenn es um ein paar Tag geht, stellen sie di vielleicht für kleines Geld einen LTE-Router zur Verfügung. Anständige Systemhäuser haben sowas auf Lager für Notfälle bzw. für Veranstaltungen, bei denen es kein Internetanschluss ist. Z.B. Reitturniere mitten im Wald, etc.
Gruß und viel Glück
Doskias
egal was du hier noch an Infos gibst, es bleibt eine schlechte Idee:
Nun soll aber im Sommer eine Art Projekt dort am Standort stattfinden - wo ziemlich viele Gäste erwartet werden, welchen für ein paar Tage ein WLAN-Zugang bereitgestellt werden soll.
Egal was für Gäste und was es für eine Veranstaltung ist: Das netz gehört getrennt und zwar so, dass du an deinem Produktiven Netz nichts verändern musst. Das läuft und hat oberste Priorität.Da mir nahe gelegt wurde, die Sache möglichst ohne zusätzliche Kosten zu erledigen, geht meine Überlegung in folgende Richtung:
möglichst ohne zusätzliche Kosten geht schonmal gar nicht. Ich kenne deinen Stundenlohn jetzt nicht, aber wenn du 4 Tage daran rumwerkelst, dabei die Produktionsumgebung instabil wird, es ggf. zu Produktionsausfällen kommt, dann entstehen dir auch Kosten.Damit hätte ich - meiner Überlegung nach - den Hostanteil im Netzwerk vergrößert. Dass damit bestimmte Nachteile wie etwa Broadcast-Traffic gegeben sind, ist mir bewusst. Das Ganze soll aber (hoffentlich!) nur eine temporäre Lösung sein.
Soll hoffentlich nur temporär. Du weißt, dass solche Konstrukte im IT-Bereich ewig überleben, oder? Und selbst wenn nicht. Was dann? Willst du dann alle Netzwerkänderungen wieder Rückgängig machen?Da ich dieses Szenario aber noch nie praktisch gemacht habe, möchte ich euch bitten, dass ihr euch dass einmal durchdenkt, ob ich da was Wichtiges übersehen habe.
Du übersiehst, das wichtigste allgemein: Gäste haben nicht zu bestimmen wie dein Netzwerk aussieht. Du schreibst immer wieder:
Zitat von @markaurel:
Aber bitte lasst mich noch etwas hinzugügen:
Neue Hardware anzuschaffen ist derzeit einfach keine Option. (Den 11 Jahre alten Serverhost zu ersetzen war gerade schwer genug.) Nicht alle Switches sind manageable - VLAN somit keine Option. Bis dato habe ich das WLAN insofern „isoliert“, dass es für Gäste eine seperate SSID gibt, welche via Unifie Controller der Zugriff auf andere IPs verwehrt. (Auch hier bin ich mir bewusst, dass das keine optimale Lösung ist.)
Wir reden hier nicht von einer neuen Struktur. Wir reden hier von einer Fritzbox und vielleicht 2 oder 3 APs, die du brauchst. da liegst bei ca. 300 Euro. Bau das richtig auf und du hast eine physische Trennung zwischen deinem Gästenetzwerk und deiner Produktivumgebung. Wenn keine 300 € drin sind, dann solltest du dir einen anderen Arbeitgeber suchen, denn deine nächste Gehaltszahlung steht dann vermutlich auch auf der Kippe Aber bitte lasst mich noch etwas hinzugügen:
Neue Hardware anzuschaffen ist derzeit einfach keine Option. (Den 11 Jahre alten Serverhost zu ersetzen war gerade schwer genug.) Nicht alle Switches sind manageable - VLAN somit keine Option. Bis dato habe ich das WLAN insofern „isoliert“, dass es für Gäste eine seperate SSID gibt, welche via Unifie Controller der Zugriff auf andere IPs verwehrt. (Auch hier bin ich mir bewusst, dass das keine optimale Lösung ist.)
Zitat von @markaurel:
Haltet ihr die Client Isolation / IP Isolation (also dass Benutzer einer als Gast-WLAN konfigurierten SSID) im Unifi Controller für zu wenig sicher, so dass jedenfalls eine "Netzabtrennung" (entweder physikalisch oder optional via VLAN) zu bevorzugen ist?
Ich denke VLAN ist keine Option, wie du geschrieben hsat? Wieso jetzt doch?Haltet ihr die Client Isolation / IP Isolation (also dass Benutzer einer als Gast-WLAN konfigurierten SSID) im Unifi Controller für zu wenig sicher, so dass jedenfalls eine "Netzabtrennung" (entweder physikalisch oder optional via VLAN) zu bevorzugen ist?
Ich dachte die Sache wie folgt:
SSID1: vorhandenes, produktives WLAN mit Zugriff auf LAN - Ressourcen wie Drucker, NAS.
SSID2: "Gäste-WLAN" mit Client Isolation (kein Zugriff auf LAN - Rssourcen)
unterschiedliche SSID sind kein garantiertes Sicherheitsfeature. Ich kann mit 2 unterschiedlichen SSIDs auf das gleiche Netzwerk zugreifen. Wichtig ist die Konfiguration dahinter.SSID1: vorhandenes, produktives WLAN mit Zugriff auf LAN - Ressourcen wie Drucker, NAS.
SSID2: "Gäste-WLAN" mit Client Isolation (kein Zugriff auf LAN - Rssourcen)
Es ist nämlich defacto nicht möglich nun separate APs und Router anzuschaffen und damit eine physikalisch getrennte Struktur zu errichten.
Wieso nicht?Kauf eine Fritzbox, häng die ins Internet und lass sie die Einwahl machen. Pack die Fritz-APs für deine Veranstaltung auf die Fritzbox. Schließe deine jetzige Firewall an die Fritzbox an und bau ein Transfernetz. Damit hast du das Gäste-Netz physisch getrennt, deine Firewall schütz weiterhin dein Netzwerk und du musst (bis auf das Trasnfernetz zwische Fritzbox und Firewall) nichts an deinem Netzwerk ändern.
Zugriff auf bestehenden Router ist nur "bedingt" möglich, da dieser vom Provider verwaltet wird. (Das ist auch eine ganz eigene Geschichte.)
In dem Fall Router ist das oben genannte sogar noch einfacher, weil du ja vermutlich schon ein Transfernetz hast. In dem Fall kannst du vielleicht die Fritzbox für die Gäste vielleicht an den Provider-Router hängen. Dann musst du überhaupt nichts an deiner Struktur ändern und es läuft halt paralllel.Zur Erklärung: das im Eröffnungspost erwähnte Projekt ist eine Art Kunstveranstaltung für Jugendliche, welche die Frau meines Chefs unterstützt. Diese campieren dann einige Tage vor Ort mit verschiedenen Workshops usw. und brauchen natürlich WLAN....
Vergiss nicht, die Zugänge zu der Hardware entsprechend zu sichern. Sonst wird der jugendliche Entdeckerdrang dein nächstes Problem.Alternativ:
Frage mal bei deinem befreundeten Systemhaus nach. Wenn es um ein paar Tag geht, stellen sie di vielleicht für kleines Geld einen LTE-Router zur Verfügung. Anständige Systemhäuser haben sowas auf Lager für Notfälle bzw. für Veranstaltungen, bei denen es kein Internetanschluss ist. Z.B. Reitturniere mitten im Wald, etc.
Gruß und viel Glück
Doskias
Ich hab ja bereits WLAN-Access Points in Verwendung (Unifi). Diese können - meines Wissens nach - zwar verschiedene SSIDs abgeben. Aber - sofern ich keinen USG bzw. DreamMachine o.ä. einsetzen kann, kann ich auch im (Software) Controller kein zweites LAN hinzufügen.
Unter "Einstellungen/Netzwerk" ein neues vlan-Netz erstellen und in Drahtlos-Netzwerk neues WiFi-Netz mit eigener SSID und Sicherheitsschlüssel erstellen und unter "select Network" dem zuvor erstellten Netzwerk zuweisen. Ich weiß jetzt zwar nicht, wieviele AP's Du hast, aber ein 5-Port DGS1100 z.B. kostet bei Amazon knapp 30 Euro. Damit kriegt Du die vlan-Kuh vom Eis.
Viel Erfolg
Ein kleiner 25 Euro (Mikrotik) Router reicht dafür um das Gästenetz abzutrennen. Du solltest die Gäste nie und nimmer nicht zusammen auf das bestehende Produktivnetz lassen. Sicherheitstechnisch ein GAU und NoGo.
Außerdem gilt immer der goldene Netzwerk Admin Grundsatz: "Niemals mehr als 150 Endgeräte (plus/minus) in einer Layer 2 Broadcast Domain!!"
Das Verkleinern der Subnetzmaske ist also aus 2 guten Gründen keine besonders intelligente Idee wenn du nicht willst das das bestehende Netzwerk am Ende kollabiert.
Nebenbei: Bei einem /24er Prefix hast du 253 mögliche Hostadressen. Die 0er IP ist immer das Netzwerk selber und die .255 ist die Broadcast IP die man bekanntlich nicht als Hostadressen vergeben darf! Nur der Vollständigkeit halber...
Die Grundlagen für so eine einfache und saubere Segmentierung der Netze findest du du als Tutorials hier im Forum:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Praxisbeispiel WLAN Gastnetz
Außerdem gilt immer der goldene Netzwerk Admin Grundsatz: "Niemals mehr als 150 Endgeräte (plus/minus) in einer Layer 2 Broadcast Domain!!"
Das Verkleinern der Subnetzmaske ist also aus 2 guten Gründen keine besonders intelligente Idee wenn du nicht willst das das bestehende Netzwerk am Ende kollabiert.
Nebenbei: Bei einem /24er Prefix hast du 253 mögliche Hostadressen. Die 0er IP ist immer das Netzwerk selber und die .255 ist die Broadcast IP die man bekanntlich nicht als Hostadressen vergeben darf! Nur der Vollständigkeit halber...
Die Grundlagen für so eine einfache und saubere Segmentierung der Netze findest du du als Tutorials hier im Forum:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Praxisbeispiel WLAN Gastnetz
Zitat von @Spirit-of-Eli:
Die APs haben quasi nichts mit den IP Netzen zu tun. Die stellen so gesehen nur das Kabel/Leitungsweg bereit.
Die APs haben quasi nichts mit den IP Netzen zu tun. Die stellen so gesehen nur das Kabel/Leitungsweg bereit.
GEnau das habe ich oben schon geschrieben gehabt:
unterschiedliche SSID sind kein garantiertes Sicherheitsfeature. Ich kann mit 2 unterschiedlichen SSIDs auf das gleiche Netzwerk zugreifen. Wichtig ist die Konfiguration dahinter.
Darauf kam leider keine Reaktion.Und zu deiner anderen Frage:
Die Frage ist wo die Netze herkommen. Kannst du nun VLans bis zu den APs führen?
Wenn nicht bringt dir das nichts mit mehreren SSIDs.
Dazu schreibt er weiter oben:Wenn nicht bringt dir das nichts mit mehreren SSIDs.
Nicht alle Switches sind manageable - VLAN somit keine Option
Schönen Sonntag noch.