malawi
Goto Top

Verworrener Netzaufbau + unterschiedliche Netzmasken?

Guten Morgen,

ich war dieses Wochenende bei Freunden welche eine kleine Firma betreiben. Die haben wohl Probleme mit Ihrem IT-Dienstleister und haben mich gebeten, einmal auf Ihre Systeme zu schauen.

An sich haben sie eine brauchbare Infrastruktur mit ESXi, Veeam, ThinClients (VDI) usw...

Das Netz jedoch ist total verworren aufgebaut.

Die Anzahl der Endgeräte die sich im Netz tummeln übersteigen die 50 nicht, nur dass man erstmal weiß, wie groß das Ganze ist.

Eine FritzBox 63XX stellt den Internetzugang und dort ist folgendes Netz konfiguriert:

172.17.137.0
255.255.255.192

Alleine das ist für mich schon einmal nicht plausibel. Aber dann kommt der Oberhammer: Der DHCP-Bereich liegt innerhalb des gesamten Netzes. Das heißt, in diesem Bereich sind auch die festen IP-Adressen für Server etc. vergeben.

Nochmal zur Verdeutlichung:

Netz: 172.17.137.0 /26
Endgeräte: 172.17.137.1 - 62
DHCP-Range: 172.17.137.2 - 62

Weiterhin gibt es in deren Haus einen D-Link WLAN AP, der selbst auch nochmal DHCP mit den Adressen 172.17.137.50 - 60 vergibt. Den habe ich aber bereits gestern auf dem AP deaktiviert.

Nun zu meiner Frage:

Aktuell haben alle Endgeräte, die eine statische IP haben, natürlich auch die Subnetzmaske 255.255.255.192 in den Einstellungen stehen. Also ist meines Verständnisses nach deren Broadcast-Adresse die 172.17.137.63. WENN ich jetzt in der Fritte her gehe und dort das Netz auf 172.17.137.0 /24, also mit der Subnetzmaske 255.255.255.0 umstelle, können die Endgeräte wie Server die eben die Subnetzmaske fest vergeben haben weiterhin wie bisher im Netz kommunizieren und erreicht werden? Weil eigentlich ist doch dann die 172.17.137.255 die neue Broadcastadresse.

Hat hier jemand schon einmal so einen ähnliches Fall gehabt und kann aus Erfahrung sprechen oder mir es theoretisch logisch erklären ob das klappen müsste? Ich habe mich gestern nicht so recht getraut. Der Standardgateway ist die Fritzbox, also die 172.17.137.1. Ich möchte später natürlich den DHCP-Bereich verlagern auf 172.17.137.100 - 200, um eine künftige doppelte Adressvergabe zu vermeiden.

Also noch einmal:

1. Ich vergrößere das Netz in der Fritzbox auf eine /24.
2. Ich fasse jedes Gerät das eine statische IP-Konfiguration hat an und ändere dort die Netzmaske.
3. Ich ändere den DHCP-Bereich auf der FritzBox (oder auf dem DC, wozu ich gleich nochmal komme)
4. Alles funktioniert :D

Ist das vorhaben so zu handlen?

Es gibt einen virtuellen DC, der neben der FritzBox noch als DNS-Server dient. Ob der jetzt auch DHCP macht, ist mir noch nicht klar weil ich gestern nicht drauf geschaut habe. Wenn er das aber tut, dann wäre es ohnehin sinnig, DHCP vom DC machen zu lassen? Ich meine für die paar Endgeräte in dieser Umgebung ist es doch Jacke wie Hose wer das macht oder was meint ihr dazu?

Danke!

Content-ID: 369247

Url: https://administrator.de/contentid/369247

Ausgedruckt am: 22.11.2024 um 06:11 Uhr

Tektronix
Lösung Tektronix 26.03.2018 um 08:42:17 Uhr
Goto Top
Moin, Moin,
ich würde das DHCP auch über den DC machen, dass die Clients sich auch sauber in das DNS eintragen.
Oder das auch direkt mit dem DHCP Server erledigen.
brammer
Lösung brammer 26.03.2018 um 08:48:48 Uhr
Goto Top
Hallo,

dein Ansatz wird so funktionieren.

Allerdings kann auch überlegen ob man anfängt mit VLAN's zu arbeiten und das Netz gleich richtig zu segmentieren.
Wobei dann die Frage ist um wieviele Endgeräte es geht und welche NEezwerk Hardware du neben der Fritte noch hast.

brammer
emeriks
emeriks 26.03.2018 aktualisiert um 08:54:49 Uhr
Goto Top
Hi,
Eine FritzBox 63XX stellt den Internetzugang und dort ist folgendes Netz konfiguriert:
172.17.137.0
255.255.255.192
Alleine das ist für mich schon einmal nicht plausibel.
Warum? Es ist ein Netz aus dem nicht öffentlichen Bereich und mit 64 Adressen bei 50 Geräten ordentlich dimensioniert.

Aber dann kommt der Oberhammer: Der DHCP-Bereich liegt innerhalb des gesamten Netzes. Das heißt, in diesem Bereich sind auch die festen IP-Adressen für Server etc. vergeben.
Ja, nicht ganz geschickt, kann Probleme verursachen, wenn der DHCP-Server das nicht beherrscht. In jedem Fall aber, wenn die statisch konfigurierten Geräte nicht durchgängig eingeschaltet sind. Das sollte man ändern.

Weiterhin gibt es in deren Haus einen D-Link WLAN AP, der selbst auch nochmal DHCP mit den Adressen 172.17.137.50 - 60 vergibt. Den habe ich aber bereits gestern auf dem AP deaktiviert.
Korrekt. Entweder nur einen DHCP-Server pro Segment oder die Adressebereiche über die Server ohne Überschneidung verteilen.

Nun zu meiner Frage:
Warum willst Du die Maske ändern, vergrößern? Gefällt Dir die 192 nicht oder hast Du einen objektiven Grund dafür?

Aktuell haben alle Endgeräte, die eine statische IP haben, natürlich auch die Subnetzmaske 255.255.255.192 in den Einstellungen stehen. Also ist meines Verständnisses nach deren Broadcast-Adresse die 172.17.137.63. WENN ich jetzt in der Fritte her gehe und dort das Netz auf 172.17.137.0 /24, also mit der Subnetzmaske 255.255.255.0 umstelle, können die Endgeräte wie Server die eben die Subnetzmaske fest vergeben haben weiterhin wie bisher im Netz kommunizieren und erreicht werden? Weil eigentlich ist doch dann die 172.17.137.255 die neue Broadcastadresse.
Das wird solange funktionieren bis Du nicht Adressen oberhalb von 62 vergibst.
Aber warum sollte man sowas tun? Wenn es eine Notwendigkeit gibt, die Maske zu ändern, dann natürlich an allen beteiligten Geräten.

Es gibt einen virtuellen DC, der neben der FritzBox noch als DNS-Server dient. Ob der jetzt auch DHCP macht, ist mir noch nicht klar weil ich gestern nicht drauf geschaut habe. Wenn er das aber tut, dann wäre es ohnehin sinnig, DHCP vom DC machen zu lassen? Ich meine für die paar Endgeräte in dieser Umgebung ist es doch Jacke wie Hose wer das macht oder was meint ihr dazu?
Also das solltest Du bzw. der Netzeigner schnellstens prüfen lassen. s.o. Anmerkung zu mehreren DHCP-Servern.
Der DHCP-Server von Windows ist sicher bequemer zu bedienen und bietet meines Wissens auch mehr Möglichkeiten als der einer Fritte.

E.
malawi
malawi 26.03.2018 aktualisiert um 09:24:05 Uhr
Goto Top
Zitat von @Tektronix:

Moin, Moin,
ich würde das DHCP auch über den DC machen, dass die Clients sich auch sauber in das DNS eintragen.
Oder das auch direkt mit dem DHCP Server erledigen.
Okay, vielen Dank!

Zitat von @brammer:

dein Ansatz wird so funktionieren.
Sehr gut.

Allerdings kann auch überlegen ob man anfängt mit VLAN's zu arbeiten und das Netz gleich richtig zu segmentieren.
Wobei dann die Frage ist um wieviele Endgeräte es geht und welche NEezwerk Hardware du neben der Fritte noch hast.
Es gibt ca. 10 Clients, 5 Drucker und zwei physikalische Server, davon ist einer ein ESXi der 5 Maschinen hostet. Dazu kommen noch ca. 5 WLAN-APs. Das wars. Ich sehe also keinen Sinn da aktuell mit VLANs zu hantieren. Zumal ja dann die Fritzbox getauscht werden müsste.


Zitat von @emeriks:
Warum? Es ist ein Netz aus dem nicht öffentlichen Bereich und mit 64 Adressen bei 50 Geräten ordentlich dimensioniert.
Ja das stimmt, nur sind die festen IP-Adressen über das ganze Netz verteilt. Man kann also keinen neuen zusammenhängenden DHCP-Bereich innerhalb dieses Netzes vergeben ohne dass man die festen IP-Adressen umstellen muss.


Warum willst Du die Maske ändern, vergrößern? Gefällt Dir die 192 nicht oder hast Du einen objektiven Grund dafür?
Aus oben gegebenen Grund. Wenn ich das Netz auf /24 vergrößere, dann kann ich bequem einen neuen zusammenhängenden DHCP-Bereich von .100 - 199 oder ähnliches vergeben ohne die IPs an den einzelnen Kisten ändern zu müssen.

Das wird solange funktionieren bis Du nicht Adressen oberhalb von 62 vergibst.
Aber warum sollte man sowas tun? Wenn es eine Notwendigkeit gibt, die Maske zu ändern, dann natürlich an allen beteiligten Geräten.
Genau hier möchte ich nochmal genauer fragen: Verstehe ich das so richtig, dass ein Gerät mit der Adresse .80 dann zwar noch auf eine .10 zugreifen kann, aber die .10 nicht mehr auf die .80 wenn die .80 eine 255.255.255.0 und die .10 eine 255.255.255.192 hat?

Also das solltest Du bzw. der Netzeigner schnellstens prüfen lassen. s.o. Anmerkung zu mehreren DHCP-Servern.
Ja, da werde ich noch einmal nachsehen, mich wundert es ohnehin, dass das in der aktuellen Konfiguration alles so recht reibungslos läuft.

Der DHCP-Server von Windows ist sicher bequemer zu bedienen und bietet meines Wissens auch mehr Möglichkeiten als der einer Fritte.
Danke dir!
certifiedit.net
Lösung certifiedit.net 26.03.2018 um 09:26:31 Uhr
Goto Top
Guten Morgen Kevin,

wenn Leute hier anfangen mit Oberhammer etwas zu klassifizieren, ohne aber auf dem Server gewesen zu sein finde ich das bereits interessant.

Den größten Kritikpunkt greifst du gar nicht auf - Server, TC, Veeam etc, alles drin - aber als Internetzugriffspunkt eine FritzBox? Nun, das wäre der Oberhammer.

Wenn die Firma sagt, dass Sie mit dem bisherigen ITler unzufrieden war, gibt es da nicht nur die Deutung, dass er schlecht war. Sondern ggf. auch, dass die Firma da Gefrickelt hat. Kannst du ausschliessen, dass die statischen IPs nicht durch die internen gesetzt wurde? - Mit welchem Grund? Wenn der interne DNS der Fritzbox alles richtig macht, weiss er auch, wann welche Geräte im internen Netz welche IP hat. Hier ist natürlich die Frage, warum man nicht auf den ServerDNS setzt - was für einen Server lässt du leider offen.

Die IP Range ist völlig i.O die Frage ist, warum willst du bei 50Devices über 100 IPs als Range haben? Der DHCP des WLAN Ap kann ggf. nur für die AP Clients (isoliert?) gelten.

Also, Oberhammer ist insbesondere die Absicherung ins Internet, ggf keine DMZ, wobei die Überlegung ansteht, ob das nicht später nachgezogen werden sollte (ist ja auch immer bisschen Aufwand).

Aus purem Aktionismus würde ich an deiner Stelle nicht alles aus der Verankerung reissen.
emeriks
Lösung emeriks 26.03.2018 um 09:35:24 Uhr
Goto Top
Genau hier möchte ich nochmal genauer fragen: Verstehe ich das so richtig, dass ein Gerät mit der Adresse .80 dann zwar noch auf eine .10 zugreifen kann, aber die .10 nicht mehr auf die .80 wenn die .80 eine 255.255.255.0 und die .10 eine 255.255.255.192 hat?
Das wird in beide Richtungen nicht funktionieren, weil ja der jeweils andere auch antworten muss. Er würde dann seine Antworten an den Router senden. Obwohl, wenn dieser auch die neue Maske hat .... Ach. In jedem Fal Käse! Wenn ändern, dann an allen Geräten! 50 Stück mache ich in der Frühstückspause ...

Man kann also keinen neuen zusammenhängenden DHCP-Bereich innerhalb dieses Netzes vergeben ohne dass man die festen IP-Adressen umstellen muss.
Musst Du auch gar nicht.
Mach den Windows DC zum DHCP (statt Fritte). Richte das Scope ein, ganzer Bereich. Erstelle für jede statisch vergebene Adresse eine Reservierung und fertig aus. Dann musst Du keines der Endgeräte anfassen.
aqui
aqui 26.03.2018 um 09:44:19 Uhr
Goto Top
Wenn es nie mehr als 50 Endgeräte werden kannst du es ja bei der /26 belassen und musst nichts fummeln.
Das Fatale ist aber die falsche Konfiguration der DHCP Range. Hier wird ja alles freigegeben außer der .1 was vermutlich der Router selber ist.
Das hat vermutlich ein blutiger Laie gemacht, denn wenn du wie du sagst auch noch ALLE IPs statisch vergeben sind ist das fatal und IP Adresschaos vorprogrammiert.
Du solltest also als Allererstes einmal checken in welchem Bereich statische IP Adressen vergeben worden sind und diesen Bereich sicher aus der DHCP Range ausschliessen !!
So kann es zu keinen gefährlichen IP Adress Doppelungen mehr kommen und du schaffst erstmal Sicherheit an dieser Front.
Der D-Link AP mit DHCP ist natürlich auch tödlich, da gleich Problematik wie oben. Aber das hast du ja glücklicherweise schon gefixt. Beim DHCP gilt bekanntlich immer: Es kann nur einen geben... !

Sinnvoll wäre also ein genauer IP Adress Plan wie sowas:
Netz: 172.17.137.0 /26
Statische IPs: .20 bis .62
DHCP Bereich: .2 bis .19

Je nachdem wieviel dynamische Adress Clients vorhanden sind.
Bei einer Firma sollte man sinnvollerweise das WLAN so oder so immer vom Produktivnetz abtrennnen und allein schon aus Sicherheit in einem separaten Segment betreiben was man dann mit einem kleinen Router (z.B. Mikrotik) oder einer kl. Firewall abtrennt. Ggf. noch mit separatem Gäste Portal.
Damit könntest du dann die dynmaischen WLAN Clients eh in ein anderes IP Segment legen und das entlastet dann auch das /26er Netz and dem du eigentlich nix fummeln musst außer der Ordnung der Adressbereiche.
Es gibt viele sinnvolle Lösungen. Segmentierung in einem Firmennetz ist nie falsch !
malawi
malawi 26.03.2018 um 09:48:28 Uhr
Goto Top
Zitat von @certifiedit.net:

Guten Morgen Kevin,

wenn Leute hier anfangen mit Oberhammer etwas zu klassifizieren, ohne aber auf dem Server gewesen zu sein finde ich das bereits interessant.
Was könnte denn auf dem Server noch eingestellt sein was dem ganzen Konstrukt dennoch Sinn zuspricht? Der DHCP der FritzBox vergibt ja Adressen von .2 bis .62.

Den größten Kritikpunkt greifst du gar nicht auf - Server, TC, Veeam etc, alles drin - aber als Internetzugriffspunkt eine FritzBox? Nun, das wäre der Oberhammer.
Ich verstehe nicht, wieso du mir das Wörtchen "Oberhammer" so krumm nimmst.

Wenn die Firma sagt, dass Sie mit dem bisherigen ITler unzufrieden war, gibt es da nicht nur die Deutung, dass er schlecht war. Sondern ggf. auch, dass die Firma da Gefrickelt hat. Kannst du ausschliessen, dass die statischen IPs nicht durch die internen gesetzt wurde? - Mit welchem Grund? Wenn der interne DNS der Fritzbox alles richtig macht, weiss er auch, wann welche Geräte im internen Netz welche IP hat. Hier ist natürlich die Frage, warum man nicht auf den ServerDNS setzt - was für einen Server lässt du leider offen.
Das kann ich nicht ausschließen, jedoch sagt mir mein Einschätzungsvermögen, dass meine Bekanntschaft das nicht getan hat.

Die IP Range ist völlig i.O die Frage ist, warum willst du bei 50Devices über 100 IPs als Range haben? Der DHCP des WLAN Ap kann ggf. nur für die AP Clients (isoliert?) gelten.
Das war ja nur ein Beispiel, es können ja auch in Zukunft Geräte dazu kommen. Wenn ich über 200 Adressen übrig habe, muss ich doch nicht rumgeizen. Es spielt schlicht und ergreifend keine Rolle, oder etwa doch?

Also, Oberhammer ist insbesondere die Absicherung ins Internet, ggf keine DMZ, wobei die Überlegung ansteht, ob das nicht später nachgezogen werden sollte (ist ja auch immer bisschen Aufwand).
Ja das mag sein, nur sollte man auch bedenken, welche Größenordnung diese Firma hat. Es muss auch bezahlbar bleiben. Natürlich gibt es da handlungsbedarf, aber soweit will und kann ich auch gar nicht gehen. Ich habe nur einmal drüber geschaut und ein paar Kleinigkeiten korrigiert. Diese Frage hier ist erstmal nur interessehalber. Es kann ja sein, dass man es recht bequem lösen könnte.

Aus purem Aktionismus würde ich an deiner Stelle nicht alles aus der Verankerung reissen.
Ja, das ist auch mein Gedanke, da ich nicht in der Verantwortung stehen will, wenn nachher was nicht mehr geht.


Zitat von @emeriks:
Das wird in beide Richtungen nicht funktionieren, weil ja der jeweils andere auch antworten muss. Er würde dann seine Antworten an den Router senden. Obwohl, wenn dieser auch die neue Maske hat .... Ach. In jedem Fal Käse! Wenn ändern, dann an allen Geräten! 50 Stück mache ich in der Frühstückspause ...
Ja, das ist klar, dass alle geändert werden müssen.

Man kann also keinen neuen zusammenhängenden DHCP-Bereich innerhalb dieses Netzes vergeben ohne dass man die festen IP-Adressen umstellen muss.
Musst Du auch gar nicht.
Mach den Windows DC zum DHCP (statt Fritte). Richte das Scope ein, ganzer Bereich. Erstelle für jede statisch vergebene Adresse eine Reservierung und fertig aus. Dann musst Du keines der Endgeräte anfassen.
Das ist mal hilfreich. Danke dafür face-smile
malawi
malawi 26.03.2018 um 09:50:54 Uhr
Goto Top
Zitat von @aqui:

Wenn es nie mehr als 50 Endgeräte werden kannst du es ja bei der /26 belassen und musst nichts fummeln.
Das Fatale ist aber die falsche Konfiguration der DHCP Range. Hier wird ja alles freigegeben außer der .1 was vermutlich der Router selber ist.
Das hat vermutlich ein blutiger Laie gemacht, denn wenn du wie du sagst auch noch ALLE IPs statisch vergeben sind ist das fatal und IP Adresschaos vorprogrammiert.
Du solltest also als Allererstes einmal checken in welchem Bereich statische IP Adressen vergeben worden sind und diesen Bereich sicher aus der DHCP Range ausschliessen !!
So kann es zu keinen gefährlichen IP Adress Doppelungen mehr kommen und du schaffst erstmal Sicherheit an dieser Front.
Der D-Link AP mit DHCP ist natürlich auch tödlich, da gleich Problematik wie oben. Aber das hast du ja glücklicherweise schon gefixt. Beim DHCP gilt bekanntlich immer: Es kann nur einen geben... !

Sinnvoll wäre also ein genauer IP Adress Plan wie sowas: Netz: 172.17.137.0 /26
Statische IPs: .20 bis .62
DHCP Bereich: .2 bis .19

Je nachdem wieviel dynamische Adress Clients vorhanden sind.
Bei einer Firma sollte man sinnvollerweise das WLAN so oder so immer vom Produktivnetz abtrennnen und allein schon aus Sicherheit in einem separaten Segment betreiben was man dann mit einem kleinen Router (z.B. Mikrotik) oder einer kl. Firewall abtrennt. Ggf. noch mit separatem Gäste Portal.
Damit könntest du dann die dynmaischen WLAN Clients eh in ein anderes IP Segment legen und das entlastet dann auch das /26er Netz and dem du eigentlich nix fummeln musst außer der Ordnung der Adressbereiche.
Es gibt viele sinnvolle Lösungen. Segmentierung in einem Firmennetz ist nie falsch !


Okay aqui, ich denke das ich das Netz dann so auch in Ruhe lasse. Problematisch ist eigentlich dann nur, dass die festen Adressen wahllos über das Gesamte Netz verteilt sind, also ein zusammenhängender Bereich wie .2 - .19 nicht umzusetzen ist.
Lochkartenstanzer
Lösung Lochkartenstanzer 26.03.2018 um 10:26:29 Uhr
Goto Top
Moin,

Ob Du eine /26 oder eine /24-Maske für diese Netz benutzt, ist letztendlich Jacke wie Boxershort.

Wichtig ist, daß Du statische und DHCP-Bereiche sauber trennst und auch dafür sorgst, daß es nur einen DHCP-Server gibt oder die DHCP-Bereiche disjunkt sind.

Sollte es keinen zwingenden Grund für die /26-Maske geben, würde ich diese auch auf /24 ändern (mit der Folge, daß Du zumindest alle statisch vergebenen Kisten anfassen mußt). Das würde zumindest die Unterteilung in verschiedene Bereiche vereinfachen, wenn man mehr "Reservern" hat.

lks
aqui
Lösung aqui 26.03.2018 um 10:35:22 Uhr
Goto Top
dass die festen Adressen wahllos über das Gesamte Netz verteilt sind,
Nicht schön aber wenn eh keiner DHCP macht, dann schränkst du das eben auf einen minimalen Bereich ein z.B. von .58 bis .62 oder sowas. Da wo rigendwo ein 4er oder 5er Block frei ist.
Oder eben DHCP ganz deaktivieren da denn brauchen tun die das ja sicher eh nur fürs WLAN. Das WLAN setzt du dann in einen separaten Bereich. Mit einen 35 Euro Mikrotik ja kein Thema.

Bei der Änderung wie Kollege LKS schreibt musst du nicht nur alle statischen Maschinen anfassen sondern auch den DHCP Server...wenn man denn bei DHCP in dem Segment bleibt.
Besser also das vorhandene wasserdicht machen was die Adressierung anbetrifft und segmentieren. Dann muss man nix groß anfassen.
StefanKittel
Lösung StefanKittel 26.03.2018 aktualisiert um 11:00:42 Uhr
Goto Top
Hallo,

die 26er-Range kann man so lassen.
Muss man aber nicht.

Ich würde es in eine 24er, ich weiß gibt es nicht mehr, bzw. 255.255.255.0 ändern.
Das macht das Handling einfacher auch wenn mal Jemand anderes was daran macht.
Stichwort KISS Keep it simple stupid.

Stefan
aqui
aqui 26.03.2018 aktualisiert um 11:21:27 Uhr
Goto Top
Warum gibt es keine /24 mehr deiner Meinung nach ? Gibts doch genau so wie eine /23 oder /25 ! face-smile
Lochkartenstanzer
Lochkartenstanzer 26.03.2018 aktualisiert um 11:53:38 Uhr
Goto Top
Zitat von @aqui:

Warum gibt es keine /24 mehr deiner Meinung nach ? Gibts doch genau so wie eine /23 oder /25 ! face-smile


Er meinte wohl die C-Klasse und hat sich nur nicht getraut, das zu schreiben, weil manche Admins hier im Forum dann gleich mit der Predigt über die klassenlose IP-Gesellschaft anfangen. face-smile

lks
brammer
brammer 26.03.2018 um 12:09:43 Uhr
Goto Top
Hallo,

@Lochkartenstanzer,

Er meinte wohl die C-Klasse und hat sich nur nicht getraut, das zu schreiben, weil manche Admins hier im Forum dann gleich mit der Predigt über
die klassenlose IP-Gesellschaft anfangen.

Wen meinst du damit face-smile

brammer
emeriks
emeriks 26.03.2018 um 12:10:24 Uhr
Goto Top
Er meinte wohl die C-Klasse und hat sich nur nicht getraut, das zu schreiben, weil manche Admins hier im Forum dann gleich mit der Predigt über die klassenlose IP-Gesellschaft anfangen. face-smile
Richtig, das nervt total! Es lebe das Internet Proletariat!
certifiedit.net
certifiedit.net 26.03.2018 um 12:28:56 Uhr
Goto Top
Zitat von @emeriks:

Er meinte wohl die C-Klasse und hat sich nur nicht getraut, das zu schreiben, weil manche Admins hier im Forum dann gleich mit der Predigt über die klassenlose IP-Gesellschaft anfangen. face-smile
Richtig, das nervt total! Es lebe das Internet Proletariat!

Schon wieder Freitag?!
StefanKittel
StefanKittel 26.03.2018 um 12:42:50 Uhr
Goto Top
Nein, ist bleibt Montag.
Egal was wir so probieren.

Ja, ich meinte die Netzklassen A-E und dachte die /24 gehört genannt dazu und man sollte nur noch Subnetzmasken verwenden/sagen.
aqui
aqui 26.03.2018 aktualisiert um 13:49:32 Uhr
Goto Top
Wie immer: Nicht "denken" sondern nachdenken ! face-big-smile
/xy ist ja nur eine andere Notation der Maske und mit mit den alten "Klassen" nix zu tun. (Deshalb auch die Nachfrage oben.) Sie ist also aktueller denn je erspart sie doch ne Menge Tipp Arbeit im Vergleich zu den 255.255.255.192 usw.

Die Netzwerk_Klassen A, B, C, D und E sind in der Tat mausetot, denn die gibt es seit 25 Jahren, seit der globalen Einführung von CIDR, natürlich nicht mehr.
Obwohl manche "Freitags Hausaufgabenspezies" hier speziell Freitags immer mal wieder mit so einem (Klassen) Mist um die Ecke kommen face-wink
Wie war das noch gleich oben ??? Richtig: "Es lebe das IP Masken Proletariat!"
Th0mKa
Th0mKa 27.03.2018 um 07:40:51 Uhr
Goto Top
Zitat von @malawi:
Alleine das ist für mich schon einmal nicht plausibel. Aber dann kommt der Oberhammer: Der DHCP-Bereich liegt innerhalb des gesamten Netzes. Das heißt, in diesem Bereich sind auch die festen IP-Adressen für Server etc. vergeben.

Wenn die statischen Geräte eine DHCP Reservierung auf der Fritzbox haben ist das zwar nicht besonders übersichtlich aber technisch nicht zu beanstanden.
malawi
malawi 27.03.2018 aktualisiert um 09:43:53 Uhr
Goto Top
Zitat von @Th0mKa:

Wenn die statischen Geräte eine DHCP Reservierung auf der Fritzbox haben ist das zwar nicht besonders übersichtlich aber technisch nicht zu beanstanden.

Leider sind nicht alle Server, NAS-Systeme und Co. auf "DHCP beziehen" eingestellt. Die sind fest vergeben.

Ich habe soeben noch einmal geschaut ob es einen Windows DHCP-Server gibt. --> Gibt es nicht!

Auf den ThinClients herrschen total unterschiedliche Konfigurationen. Keiner der Geräte hat einen DNS-Server eingetragen, alle sind sie statisch vergeben. Die einen mit einer 255.255.255.0 als Maske, die anderen mit einer 255.255.255.198, 255.255.255.192.

Ein Server ist auf seiner zweiten Ethernet-Schnittstelle folgendermaßen konfiguriert:

IP: 192.168.15.11
Mask: 255.255.255.0
GW: 192.168.148.241

Vielleicht kann man jetzt meinen Unmut verstehen...
certifiedit.net
certifiedit.net 27.03.2018 aktualisiert um 10:26:32 Uhr
Goto Top
Das ist tatsächlich problematisch. Sicher, dass das eine Fachfirma erstellt hat?

Ich kann mir zwar vorstellen, dass man damit bezwecken wollte, dass die 2. NIC nicht ins Internet routet, aber dann trägt man gar keinen GW ein...
brammer
brammer 27.03.2018 um 11:15:54 Uhr
Goto Top
Hallo,

Die einen mit einer 255.255.255.0 als Maske, die anderen mit einer 255.255.255.198, 255.255.255.192.

Wie bitte geht denn das?

255.255.255.198

Ist definitiv keine gültige Maske.

Meinst du evtl 255.255.255.128?
malawi
malawi 27.03.2018 um 11:47:11 Uhr
Goto Top
Zitat von @certifiedit.net:

Das ist tatsächlich problematisch. Sicher, dass das eine Fachfirma erstellt hat?

Ich kann mir zwar vorstellen, dass man damit bezwecken wollte, dass die 2. NIC nicht ins Internet routet, aber dann trägt man gar keinen GW ein...

Genau, ich hätte einfach keines eingetragen.


Zitat von @brammer:

Hallo,

Die einen mit einer 255.255.255.0 als Maske, die anderen mit einer 255.255.255.198, 255.255.255.192.

Wie bitte geht denn das?

255.255.255.198

Ist definitiv keine gültige Maske.

Meinst du evtl 255.255.255.128?

Nein ich habe mich nicht vertippt. Es ist eine 255.255.255.198 eingetragen.
brammer
brammer 27.03.2018 um 12:13:51 Uhr
Goto Top
Hallo,

Wie bitte geht denn das?

255.255.255.198

Ist definitiv keine gültige Maske.

Meinst du evtl 255.255.255.128?

Nein ich habe mich nicht vertippt. Es ist eine 255.255.255.198 eingetragen.

Auf einem Windows System?
Das geht nicht.... das wird mit einer Fehlermeldung abgebrochen

brammer
malawi
malawi 27.03.2018 um 12:14:39 Uhr
Goto Top
Zitat von @brammer:

Auf einem Windows System?
Das geht nicht.... das wird mit einer Fehlermeldung abgebrochen

Nein, war auf einem IGEL-ThinClient
Lochkartenstanzer
Lochkartenstanzer 27.03.2018 um 12:23:06 Uhr
Goto Top
Zitat von @brammer:

Ist definitiv keine gültige Maske.

Du kannst jede beliebige Bitkombination als Maske eintragen. Und das funktioniert auch tatsächlich, solange man die Netzbits und Hostbits aufgrund der Maske korrekt auseinanderhält.

Nur entspricht das überhaupt keinem Standard.

lks
Lochkartenstanzer
Lochkartenstanzer 27.03.2018 um 12:24:51 Uhr
Goto Top
Zitat von @brammer:

Auf einem Windows System?
Das geht nicht.... das wird mit einer Fehlermeldung abgebrochen

Du weißt nicht wie kreativ man werden kann, um sowas trotzdem eingetragen zu bekommen. face-smile

kls
Th0mKa
Th0mKa 28.03.2018 um 08:31:28 Uhr
Goto Top
Zitat von @malawi:

Leider sind nicht alle Server, NAS-Systeme und Co. auf "DHCP beziehen" eingestellt. Die sind fest vergeben.

Das macht ja nichts, weenn die reservierung vorhanden ist vergibt der DHCP Server diese IP ja nur an das richtige Gerät. Wenn das nie eine IP haben will ist das für den DHCP Server auch in Ordnung, der ist da nicht so nachtragend.
aqui
aqui 28.03.2018 aktualisiert um 09:10:27 Uhr
Goto Top
Die sind fest vergeben.
Das ist wenigstens für Server und NAS ja durchaus üblich und eine gute und gängig Praxis. Solche Systeme sollten niemals dynamische IPs bekommen.
Oder wenn, dann nur mit einem Mac Adress "Nailing" der immer eine feste IP auf Basis der Mac Adresse vergibt. Das ist ja dann quasi identisch zu einer statischen IP.
malawi
malawi 28.03.2018 um 10:54:40 Uhr
Goto Top
Zitat von @aqui:

Die sind fest vergeben.
Das ist wenigstens für Server und NAS ja durchaus üblich und eine gute und gängig Praxis. Solche Systeme sollten niemals dynamische IPs bekommen.
Oder wenn, dann nur mit einem Mac Adress "Nailing" der immer eine feste IP auf Basis der Mac Adresse vergibt. Das ist ja dann quasi identisch zu einer statischen IP.

Die FritzBox scheint das dann doch ganz gut zu handhaben. Da ich mittlerweile fast jedes Gerät angesehen habe, kann ich auch sagen, dass überwiegend statische IP-Adressen vergeben wurden. Das erkennt die FritzBox dann auch und vergibt "außen herum" DHCP-Adressen.

Noch eine weitere Frage:

Der DNS-Server auf dem DC ist notwendig für die korrekte Funktion des AD, richtig? Aktuell sind alle nicht domänenrelevanten Geräte so konfiguriert, das deren DNS-Server die FritzBox mit der .1 ist.

Bei den virtuellen Windows Servern, wurde die .41 (DC) als DNS-Server hinterlegt. Macht es nicht Sinn, allen Geräten im Netzwerk den DC (.41) als DNS-Server zuzuweisen und dem DNS-Server selbst (auch DC) dort dann die primäre DNS-Adresse auf 127.0.0.1 und die sekundäre DNS-Adresse auf die .1 (FritzBox) zu stellen?

Also so:

Beliebige Geräte im Netzwerk:
IP-Adresse: 172.17.137.35 (beispielhaft)
Subnetzmaske: 255.255.255.192
Gateway: 172.17.137.1 (FritzBox)
DNS-Server primär 172.17.137.41 (DC/DNS .41)

DNS-Server (auch DC):
IP-Adresse: 172.17.137.41
Subnetzmaske: 255.255.255.192
Gateway 172.17.137.1 (FritzBox)
DNS-Server primär: 127.0.0.1
DNS-Server sekundär: 172.17.137.1 (FritzBox)

Und was sollte als primärer DNS-Server in der FritzBox idealerweise angegeben werden?

127.0.0.1
oder
8.8.8.8
oder
was anderes?

Danke!
emeriks
emeriks 28.03.2018 um 11:25:00 Uhr
Goto Top
Macht es nicht Sinn, allen Geräten im Netzwerk den DC (.41) als DNS-Server zuzuweisen und dem DNS-Server selbst (auch DC) dort dann die primäre DNS-Adresse auf 127.0.0.1 und die sekundäre DNS-Adresse auf die .1 (FritzBox) zu stellen?
Ja, absolut.
aqui
aqui 28.03.2018, aktualisiert am 29.03.2018 um 09:03:41 Uhr
Goto Top
Das erkennt die FritzBox dann auch und vergibt "außen herum" DHCP-Adressen.
Die FritzBox vielleicht, andere ganz sicher nicht, da ist also Böses vorprogrammiert. Du solltest immer den statischen Bereich vom DHCP Pool trennen aus Sicherheit.
Aktuell sind alle nicht domänenrelevanten Geräte so konfiguriert, das deren DNS-Server die FritzBox mit der .1 ist.
Das wäre auch falsch wenn du einen eigenen DNS betreibst !
DER wäre dann bei allen Geräten der DNS und der DNS Server selber hat eine Weiterleitung auf die FB mit der .1 eingerichtet ! (Siehe oben !)
als primärer DNS-Server in der FritzBox idealerweise angegeben werden? 8.8.8.8
Sowas machen heutzutage nur noch Dummies. Jeder weiss ja mittlerweile nach den aktuellen Ereignissen, das Google ein Profil deines Internet- und Surfverhaltens damit erstellt und mit 3ten vermarktet. Wem also die Pravatsphäre etwas wert ist lässt die Finger von Google DNS.
Dort stellst du keinen DNS ein, denn den bekommt die FB automatisch über die PPPoE Daten des Providers !
certifiedit.net
certifiedit.net 28.03.2018 um 16:28:50 Uhr
Goto Top
Dort stellst du keinen DNS ein, denn den bekommt die FB automatisch über die PPPoE Daten des Providers !

Oder unabhängige dritte, nach eigener Gusto