34
Verworrener Netzaufbau + unterschiedliche Netzmasken?
Guten Morgen,
ich war dieses Wochenende bei Freunden welche eine kleine Firma betreiben. Die haben wohl Probleme mit Ihrem IT-Dienstleister und haben mich gebeten, einmal auf Ihre Systeme zu schauen.
An sich haben sie eine brauchbare Infrastruktur mit ESXi, Veeam, ThinClients (VDI) usw...
Das Netz jedoch ist total verworren aufgebaut.
Die Anzahl der Endgeräte die sich im Netz tummeln übersteigen die 50 nicht, nur dass man erstmal weiß, wie groß das Ganze ist.
Eine FritzBox 63XX stellt den Internetzugang und dort ist folgendes Netz konfiguriert:
172.17.137.0
255.255.255.192
Alleine das ist für mich schon einmal nicht plausibel. Aber dann kommt der Oberhammer: Der DHCP-Bereich liegt innerhalb des gesamten Netzes. Das heißt, in diesem Bereich sind auch die festen IP-Adressen für Server etc. vergeben.
Nochmal zur Verdeutlichung:
Netz: 172.17.137.0 /26
Endgeräte: 172.17.137.1 - 62
DHCP-Range: 172.17.137.2 - 62
Weiterhin gibt es in deren Haus einen D-Link WLAN AP, der selbst auch nochmal DHCP mit den Adressen 172.17.137.50 - 60 vergibt. Den habe ich aber bereits gestern auf dem AP deaktiviert.
Nun zu meiner Frage:
Aktuell haben alle Endgeräte, die eine statische IP haben, natürlich auch die Subnetzmaske 255.255.255.192 in den Einstellungen stehen. Also ist meines Verständnisses nach deren Broadcast-Adresse die 172.17.137.63. WENN ich jetzt in der Fritte her gehe und dort das Netz auf 172.17.137.0 /24, also mit der Subnetzmaske 255.255.255.0 umstelle, können die Endgeräte wie Server die eben die Subnetzmaske fest vergeben haben weiterhin wie bisher im Netz kommunizieren und erreicht werden? Weil eigentlich ist doch dann die 172.17.137.255 die neue Broadcastadresse.
Hat hier jemand schon einmal so einen ähnliches Fall gehabt und kann aus Erfahrung sprechen oder mir es theoretisch logisch erklären ob das klappen müsste? Ich habe mich gestern nicht so recht getraut. Der Standardgateway ist die Fritzbox, also die 172.17.137.1. Ich möchte später natürlich den DHCP-Bereich verlagern auf 172.17.137.100 - 200, um eine künftige doppelte Adressvergabe zu vermeiden.
Also noch einmal:
1. Ich vergrößere das Netz in der Fritzbox auf eine /24.
2. Ich fasse jedes Gerät das eine statische IP-Konfiguration hat an und ändere dort die Netzmaske.
3. Ich ändere den DHCP-Bereich auf der FritzBox (oder auf dem DC, wozu ich gleich nochmal komme)
4. Alles funktioniert :D
Ist das vorhaben so zu handlen?
Es gibt einen virtuellen DC, der neben der FritzBox noch als DNS-Server dient. Ob der jetzt auch DHCP macht, ist mir noch nicht klar weil ich gestern nicht drauf geschaut habe. Wenn er das aber tut, dann wäre es ohnehin sinnig, DHCP vom DC machen zu lassen? Ich meine für die paar Endgeräte in dieser Umgebung ist es doch Jacke wie Hose wer das macht oder was meint ihr dazu?
Danke!
ich war dieses Wochenende bei Freunden welche eine kleine Firma betreiben. Die haben wohl Probleme mit Ihrem IT-Dienstleister und haben mich gebeten, einmal auf Ihre Systeme zu schauen.
An sich haben sie eine brauchbare Infrastruktur mit ESXi, Veeam, ThinClients (VDI) usw...
Das Netz jedoch ist total verworren aufgebaut.
Die Anzahl der Endgeräte die sich im Netz tummeln übersteigen die 50 nicht, nur dass man erstmal weiß, wie groß das Ganze ist.
Eine FritzBox 63XX stellt den Internetzugang und dort ist folgendes Netz konfiguriert:
172.17.137.0
255.255.255.192
Alleine das ist für mich schon einmal nicht plausibel. Aber dann kommt der Oberhammer: Der DHCP-Bereich liegt innerhalb des gesamten Netzes. Das heißt, in diesem Bereich sind auch die festen IP-Adressen für Server etc. vergeben.
Nochmal zur Verdeutlichung:
Netz: 172.17.137.0 /26
Endgeräte: 172.17.137.1 - 62
DHCP-Range: 172.17.137.2 - 62
Weiterhin gibt es in deren Haus einen D-Link WLAN AP, der selbst auch nochmal DHCP mit den Adressen 172.17.137.50 - 60 vergibt. Den habe ich aber bereits gestern auf dem AP deaktiviert.
Nun zu meiner Frage:
Aktuell haben alle Endgeräte, die eine statische IP haben, natürlich auch die Subnetzmaske 255.255.255.192 in den Einstellungen stehen. Also ist meines Verständnisses nach deren Broadcast-Adresse die 172.17.137.63. WENN ich jetzt in der Fritte her gehe und dort das Netz auf 172.17.137.0 /24, also mit der Subnetzmaske 255.255.255.0 umstelle, können die Endgeräte wie Server die eben die Subnetzmaske fest vergeben haben weiterhin wie bisher im Netz kommunizieren und erreicht werden? Weil eigentlich ist doch dann die 172.17.137.255 die neue Broadcastadresse.
Hat hier jemand schon einmal so einen ähnliches Fall gehabt und kann aus Erfahrung sprechen oder mir es theoretisch logisch erklären ob das klappen müsste? Ich habe mich gestern nicht so recht getraut. Der Standardgateway ist die Fritzbox, also die 172.17.137.1. Ich möchte später natürlich den DHCP-Bereich verlagern auf 172.17.137.100 - 200, um eine künftige doppelte Adressvergabe zu vermeiden.
Also noch einmal:
1. Ich vergrößere das Netz in der Fritzbox auf eine /24.
2. Ich fasse jedes Gerät das eine statische IP-Konfiguration hat an und ändere dort die Netzmaske.
3. Ich ändere den DHCP-Bereich auf der FritzBox (oder auf dem DC, wozu ich gleich nochmal komme)
4. Alles funktioniert :D
Ist das vorhaben so zu handlen?
Es gibt einen virtuellen DC, der neben der FritzBox noch als DNS-Server dient. Ob der jetzt auch DHCP macht, ist mir noch nicht klar weil ich gestern nicht drauf geschaut habe. Wenn er das aber tut, dann wäre es ohnehin sinnig, DHCP vom DC machen zu lassen? Ich meine für die paar Endgeräte in dieser Umgebung ist es doch Jacke wie Hose wer das macht oder was meint ihr dazu?
Danke!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 369247
Url: https://administrator.de/contentid/369247
Ausgedruckt am: 05.11.2024 um 14:11 Uhr
34 Kommentare
Neuester Kommentar
Moin, Moin,
ich würde das DHCP auch über den DC machen, dass die Clients sich auch sauber in das DNS eintragen.
Oder das auch direkt mit dem DHCP Server erledigen.
ich würde das DHCP auch über den DC machen, dass die Clients sich auch sauber in das DNS eintragen.
Oder das auch direkt mit dem DHCP Server erledigen.
1
Hallo,
dein Ansatz wird so funktionieren.
Allerdings kann auch überlegen ob man anfängt mit VLAN's zu arbeiten und das Netz gleich richtig zu segmentieren.
Wobei dann die Frage ist um wieviele Endgeräte es geht und welche NEezwerk Hardware du neben der Fritte noch hast.
brammer
dein Ansatz wird so funktionieren.
Allerdings kann auch überlegen ob man anfängt mit VLAN's zu arbeiten und das Netz gleich richtig zu segmentieren.
Wobei dann die Frage ist um wieviele Endgeräte es geht und welche NEezwerk Hardware du neben der Fritte noch hast.
brammer
1
Hi,
Aber warum sollte man sowas tun? Wenn es eine Notwendigkeit gibt, die Maske zu ändern, dann natürlich an allen beteiligten Geräten.
Der DHCP-Server von Windows ist sicher bequemer zu bedienen und bietet meines Wissens auch mehr Möglichkeiten als der einer Fritte.
E.
Eine FritzBox 63XX stellt den Internetzugang und dort ist folgendes Netz konfiguriert:
172.17.137.0
255.255.255.192
Alleine das ist für mich schon einmal nicht plausibel.
Warum? Es ist ein Netz aus dem nicht öffentlichen Bereich und mit 64 Adressen bei 50 Geräten ordentlich dimensioniert.172.17.137.0
255.255.255.192
Alleine das ist für mich schon einmal nicht plausibel.
Aber dann kommt der Oberhammer: Der DHCP-Bereich liegt innerhalb des gesamten Netzes. Das heißt, in diesem Bereich sind auch die festen IP-Adressen für Server etc. vergeben.
Ja, nicht ganz geschickt, kann Probleme verursachen, wenn der DHCP-Server das nicht beherrscht. In jedem Fall aber, wenn die statisch konfigurierten Geräte nicht durchgängig eingeschaltet sind. Das sollte man ändern.Weiterhin gibt es in deren Haus einen D-Link WLAN AP, der selbst auch nochmal DHCP mit den Adressen 172.17.137.50 - 60 vergibt. Den habe ich aber bereits gestern auf dem AP deaktiviert.
Korrekt. Entweder nur einen DHCP-Server pro Segment oder die Adressebereiche über die Server ohne Überschneidung verteilen.Nun zu meiner Frage:
Warum willst Du die Maske ändern, vergrößern? Gefällt Dir die 192 nicht oder hast Du einen objektiven Grund dafür?Aktuell haben alle Endgeräte, die eine statische IP haben, natürlich auch die Subnetzmaske 255.255.255.192 in den Einstellungen stehen. Also ist meines Verständnisses nach deren Broadcast-Adresse die 172.17.137.63. WENN ich jetzt in der Fritte her gehe und dort das Netz auf 172.17.137.0 /24, also mit der Subnetzmaske 255.255.255.0 umstelle, können die Endgeräte wie Server die eben die Subnetzmaske fest vergeben haben weiterhin wie bisher im Netz kommunizieren und erreicht werden? Weil eigentlich ist doch dann die 172.17.137.255 die neue Broadcastadresse.
Das wird solange funktionieren bis Du nicht Adressen oberhalb von 62 vergibst.Aber warum sollte man sowas tun? Wenn es eine Notwendigkeit gibt, die Maske zu ändern, dann natürlich an allen beteiligten Geräten.
Es gibt einen virtuellen DC, der neben der FritzBox noch als DNS-Server dient. Ob der jetzt auch DHCP macht, ist mir noch nicht klar weil ich gestern nicht drauf geschaut habe. Wenn er das aber tut, dann wäre es ohnehin sinnig, DHCP vom DC machen zu lassen? Ich meine für die paar Endgeräte in dieser Umgebung ist es doch Jacke wie Hose wer das macht oder was meint ihr dazu?
Also das solltest Du bzw. der Netzeigner schnellstens prüfen lassen. s.o. Anmerkung zu mehreren DHCP-Servern.Der DHCP-Server von Windows ist sicher bequemer zu bedienen und bietet meines Wissens auch mehr Möglichkeiten als der einer Fritte.
E.
1
Zitat von @Tektronix:
Moin, Moin,
ich würde das DHCP auch über den DC machen, dass die Clients sich auch sauber in das DNS eintragen.
Oder das auch direkt mit dem DHCP Server erledigen.
Okay, vielen Dank!Moin, Moin,
ich würde das DHCP auch über den DC machen, dass die Clients sich auch sauber in das DNS eintragen.
Oder das auch direkt mit dem DHCP Server erledigen.
Sehr gut.
Allerdings kann auch überlegen ob man anfängt mit VLAN's zu arbeiten und das Netz gleich richtig zu segmentieren.
Wobei dann die Frage ist um wieviele Endgeräte es geht und welche NEezwerk Hardware du neben der Fritte noch hast.
Es gibt ca. 10 Clients, 5 Drucker und zwei physikalische Server, davon ist einer ein ESXi der 5 Maschinen hostet. Dazu kommen noch ca. 5 WLAN-APs. Das wars. Ich sehe also keinen Sinn da aktuell mit VLANs zu hantieren. Zumal ja dann die Fritzbox getauscht werden müsste.Wobei dann die Frage ist um wieviele Endgeräte es geht und welche NEezwerk Hardware du neben der Fritte noch hast.
Zitat von @emeriks:
Warum? Es ist ein Netz aus dem nicht öffentlichen Bereich und mit 64 Adressen bei 50 Geräten ordentlich dimensioniert.
Ja das stimmt, nur sind die festen IP-Adressen über das ganze Netz verteilt. Man kann also keinen neuen zusammenhängenden DHCP-Bereich innerhalb dieses Netzes vergeben ohne dass man die festen IP-Adressen umstellen muss.Warum? Es ist ein Netz aus dem nicht öffentlichen Bereich und mit 64 Adressen bei 50 Geräten ordentlich dimensioniert.
Warum willst Du die Maske ändern, vergrößern? Gefällt Dir die 192 nicht oder hast Du einen objektiven Grund dafür?
Aus oben gegebenen Grund. Wenn ich das Netz auf /24 vergrößere, dann kann ich bequem einen neuen zusammenhängenden DHCP-Bereich von .100 - 199 oder ähnliches vergeben ohne die IPs an den einzelnen Kisten ändern zu müssen.Das wird solange funktionieren bis Du nicht Adressen oberhalb von 62 vergibst.
Aber warum sollte man sowas tun? Wenn es eine Notwendigkeit gibt, die Maske zu ändern, dann natürlich an allen beteiligten Geräten.
Genau hier möchte ich nochmal genauer fragen: Verstehe ich das so richtig, dass ein Gerät mit der Adresse .80 dann zwar noch auf eine .10 zugreifen kann, aber die .10 nicht mehr auf die .80 wenn die .80 eine 255.255.255.0 und die .10 eine 255.255.255.192 hat?Aber warum sollte man sowas tun? Wenn es eine Notwendigkeit gibt, die Maske zu ändern, dann natürlich an allen beteiligten Geräten.
Also das solltest Du bzw. der Netzeigner schnellstens prüfen lassen. s.o. Anmerkung zu mehreren DHCP-Servern.
Ja, da werde ich noch einmal nachsehen, mich wundert es ohnehin, dass das in der aktuellen Konfiguration alles so recht reibungslos läuft.Der DHCP-Server von Windows ist sicher bequemer zu bedienen und bietet meines Wissens auch mehr Möglichkeiten als der einer Fritte.
Danke dir!
Guten Morgen Kevin,
wenn Leute hier anfangen mit Oberhammer etwas zu klassifizieren, ohne aber auf dem Server gewesen zu sein finde ich das bereits interessant.
Den größten Kritikpunkt greifst du gar nicht auf - Server, TC, Veeam etc, alles drin - aber als Internetzugriffspunkt eine FritzBox? Nun, das wäre der Oberhammer.
Wenn die Firma sagt, dass Sie mit dem bisherigen ITler unzufrieden war, gibt es da nicht nur die Deutung, dass er schlecht war. Sondern ggf. auch, dass die Firma da Gefrickelt hat. Kannst du ausschliessen, dass die statischen IPs nicht durch die internen gesetzt wurde? - Mit welchem Grund? Wenn der interne DNS der Fritzbox alles richtig macht, weiss er auch, wann welche Geräte im internen Netz welche IP hat. Hier ist natürlich die Frage, warum man nicht auf den ServerDNS setzt - was für einen Server lässt du leider offen.
Die IP Range ist völlig i.O die Frage ist, warum willst du bei 50Devices über 100 IPs als Range haben? Der DHCP des WLAN Ap kann ggf. nur für die AP Clients (isoliert?) gelten.
Also, Oberhammer ist insbesondere die Absicherung ins Internet, ggf keine DMZ, wobei die Überlegung ansteht, ob das nicht später nachgezogen werden sollte (ist ja auch immer bisschen Aufwand).
Aus purem Aktionismus würde ich an deiner Stelle nicht alles aus der Verankerung reissen.
wenn Leute hier anfangen mit Oberhammer etwas zu klassifizieren, ohne aber auf dem Server gewesen zu sein finde ich das bereits interessant.
Den größten Kritikpunkt greifst du gar nicht auf - Server, TC, Veeam etc, alles drin - aber als Internetzugriffspunkt eine FritzBox? Nun, das wäre der Oberhammer.
Wenn die Firma sagt, dass Sie mit dem bisherigen ITler unzufrieden war, gibt es da nicht nur die Deutung, dass er schlecht war. Sondern ggf. auch, dass die Firma da Gefrickelt hat. Kannst du ausschliessen, dass die statischen IPs nicht durch die internen gesetzt wurde? - Mit welchem Grund? Wenn der interne DNS der Fritzbox alles richtig macht, weiss er auch, wann welche Geräte im internen Netz welche IP hat. Hier ist natürlich die Frage, warum man nicht auf den ServerDNS setzt - was für einen Server lässt du leider offen.
Die IP Range ist völlig i.O die Frage ist, warum willst du bei 50Devices über 100 IPs als Range haben? Der DHCP des WLAN Ap kann ggf. nur für die AP Clients (isoliert?) gelten.
Also, Oberhammer ist insbesondere die Absicherung ins Internet, ggf keine DMZ, wobei die Überlegung ansteht, ob das nicht später nachgezogen werden sollte (ist ja auch immer bisschen Aufwand).
Aus purem Aktionismus würde ich an deiner Stelle nicht alles aus der Verankerung reissen.
Genau hier möchte ich nochmal genauer fragen: Verstehe ich das so richtig, dass ein Gerät mit der Adresse .80 dann zwar noch auf eine .10 zugreifen kann, aber die .10 nicht mehr auf die .80 wenn die .80 eine 255.255.255.0 und die .10 eine 255.255.255.192 hat?
Das wird in beide Richtungen nicht funktionieren, weil ja der jeweils andere auch antworten muss. Er würde dann seine Antworten an den Router senden. Obwohl, wenn dieser auch die neue Maske hat .... Ach. In jedem Fal Käse! Wenn ändern, dann an allen Geräten! 50 Stück mache ich in der Frühstückspause ...Man kann also keinen neuen zusammenhängenden DHCP-Bereich innerhalb dieses Netzes vergeben ohne dass man die festen IP-Adressen umstellen muss.
Musst Du auch gar nicht.Mach den Windows DC zum DHCP (statt Fritte). Richte das Scope ein, ganzer Bereich. Erstelle für jede statisch vergebene Adresse eine Reservierung und fertig aus. Dann musst Du keines der Endgeräte anfassen.
1
Wenn es nie mehr als 50 Endgeräte werden kannst du es ja bei der /26 belassen und musst nichts fummeln.
Das Fatale ist aber die falsche Konfiguration der DHCP Range. Hier wird ja alles freigegeben außer der .1 was vermutlich der Router selber ist.
Das hat vermutlich ein blutiger Laie gemacht, denn wenn du wie du sagst auch noch ALLE IPs statisch vergeben sind ist das fatal und IP Adresschaos vorprogrammiert.
Du solltest also als Allererstes einmal checken in welchem Bereich statische IP Adressen vergeben worden sind und diesen Bereich sicher aus der DHCP Range ausschliessen !!
So kann es zu keinen gefährlichen IP Adress Doppelungen mehr kommen und du schaffst erstmal Sicherheit an dieser Front.
Der D-Link AP mit DHCP ist natürlich auch tödlich, da gleich Problematik wie oben. Aber das hast du ja glücklicherweise schon gefixt. Beim DHCP gilt bekanntlich immer: Es kann nur einen geben... !
Sinnvoll wäre also ein genauer IP Adress Plan wie sowas:
Netz: 172.17.137.0 /26
Statische IPs: .20 bis .62
DHCP Bereich: .2 bis .19
Je nachdem wieviel dynamische Adress Clients vorhanden sind.
Bei einer Firma sollte man sinnvollerweise das WLAN so oder so immer vom Produktivnetz abtrennnen und allein schon aus Sicherheit in einem separaten Segment betreiben was man dann mit einem kleinen Router (z.B. Mikrotik) oder einer kl. Firewall abtrennt. Ggf. noch mit separatem Gäste Portal.
Damit könntest du dann die dynmaischen WLAN Clients eh in ein anderes IP Segment legen und das entlastet dann auch das /26er Netz and dem du eigentlich nix fummeln musst außer der Ordnung der Adressbereiche.
Es gibt viele sinnvolle Lösungen. Segmentierung in einem Firmennetz ist nie falsch !
Das Fatale ist aber die falsche Konfiguration der DHCP Range. Hier wird ja alles freigegeben außer der .1 was vermutlich der Router selber ist.
Das hat vermutlich ein blutiger Laie gemacht, denn wenn du wie du sagst auch noch ALLE IPs statisch vergeben sind ist das fatal und IP Adresschaos vorprogrammiert.
Du solltest also als Allererstes einmal checken in welchem Bereich statische IP Adressen vergeben worden sind und diesen Bereich sicher aus der DHCP Range ausschliessen !!
So kann es zu keinen gefährlichen IP Adress Doppelungen mehr kommen und du schaffst erstmal Sicherheit an dieser Front.
Der D-Link AP mit DHCP ist natürlich auch tödlich, da gleich Problematik wie oben. Aber das hast du ja glücklicherweise schon gefixt. Beim DHCP gilt bekanntlich immer: Es kann nur einen geben... !
Sinnvoll wäre also ein genauer IP Adress Plan wie sowas:
Netz: 172.17.137.0 /26
Statische IPs: .20 bis .62
DHCP Bereich: .2 bis .19
Je nachdem wieviel dynamische Adress Clients vorhanden sind.
Bei einer Firma sollte man sinnvollerweise das WLAN so oder so immer vom Produktivnetz abtrennnen und allein schon aus Sicherheit in einem separaten Segment betreiben was man dann mit einem kleinen Router (z.B. Mikrotik) oder einer kl. Firewall abtrennt. Ggf. noch mit separatem Gäste Portal.
Damit könntest du dann die dynmaischen WLAN Clients eh in ein anderes IP Segment legen und das entlastet dann auch das /26er Netz and dem du eigentlich nix fummeln musst außer der Ordnung der Adressbereiche.
Es gibt viele sinnvolle Lösungen. Segmentierung in einem Firmennetz ist nie falsch !
1Zitat von @certifiedit.net:
Guten Morgen Kevin,
wenn Leute hier anfangen mit Oberhammer etwas zu klassifizieren, ohne aber auf dem Server gewesen zu sein finde ich das bereits interessant.
Was könnte denn auf dem Server noch eingestellt sein was dem ganzen Konstrukt dennoch Sinn zuspricht? Der DHCP der FritzBox vergibt ja Adressen von .2 bis .62.Guten Morgen Kevin,
wenn Leute hier anfangen mit Oberhammer etwas zu klassifizieren, ohne aber auf dem Server gewesen zu sein finde ich das bereits interessant.
Den größten Kritikpunkt greifst du gar nicht auf - Server, TC, Veeam etc, alles drin - aber als Internetzugriffspunkt eine FritzBox? Nun, das wäre der Oberhammer.
Ich verstehe nicht, wieso du mir das Wörtchen "Oberhammer" so krumm nimmst.Wenn die Firma sagt, dass Sie mit dem bisherigen ITler unzufrieden war, gibt es da nicht nur die Deutung, dass er schlecht war. Sondern ggf. auch, dass die Firma da Gefrickelt hat. Kannst du ausschliessen, dass die statischen IPs nicht durch die internen gesetzt wurde? - Mit welchem Grund? Wenn der interne DNS der Fritzbox alles richtig macht, weiss er auch, wann welche Geräte im internen Netz welche IP hat. Hier ist natürlich die Frage, warum man nicht auf den ServerDNS setzt - was für einen Server lässt du leider offen.
Das kann ich nicht ausschließen, jedoch sagt mir mein Einschätzungsvermögen, dass meine Bekanntschaft das nicht getan hat.Die IP Range ist völlig i.O die Frage ist, warum willst du bei 50Devices über 100 IPs als Range haben? Der DHCP des WLAN Ap kann ggf. nur für die AP Clients (isoliert?) gelten.
Das war ja nur ein Beispiel, es können ja auch in Zukunft Geräte dazu kommen. Wenn ich über 200 Adressen übrig habe, muss ich doch nicht rumgeizen. Es spielt schlicht und ergreifend keine Rolle, oder etwa doch?Also, Oberhammer ist insbesondere die Absicherung ins Internet, ggf keine DMZ, wobei die Überlegung ansteht, ob das nicht später nachgezogen werden sollte (ist ja auch immer bisschen Aufwand).
Ja das mag sein, nur sollte man auch bedenken, welche Größenordnung diese Firma hat. Es muss auch bezahlbar bleiben. Natürlich gibt es da handlungsbedarf, aber soweit will und kann ich auch gar nicht gehen. Ich habe nur einmal drüber geschaut und ein paar Kleinigkeiten korrigiert. Diese Frage hier ist erstmal nur interessehalber. Es kann ja sein, dass man es recht bequem lösen könnte.Aus purem Aktionismus würde ich an deiner Stelle nicht alles aus der Verankerung reissen.
Ja, das ist auch mein Gedanke, da ich nicht in der Verantwortung stehen will, wenn nachher was nicht mehr geht.Zitat von @emeriks:
Das wird in beide Richtungen nicht funktionieren, weil ja der jeweils andere auch antworten muss. Er würde dann seine Antworten an den Router senden. Obwohl, wenn dieser auch die neue Maske hat .... Ach. In jedem Fal Käse! Wenn ändern, dann an allen Geräten! 50 Stück mache ich in der Frühstückspause ...
Ja, das ist klar, dass alle geändert werden müssen.Das wird in beide Richtungen nicht funktionieren, weil ja der jeweils andere auch antworten muss. Er würde dann seine Antworten an den Router senden. Obwohl, wenn dieser auch die neue Maske hat .... Ach. In jedem Fal Käse! Wenn ändern, dann an allen Geräten! 50 Stück mache ich in der Frühstückspause ...
Man kann also keinen neuen zusammenhängenden DHCP-Bereich innerhalb dieses Netzes vergeben ohne dass man die festen IP-Adressen umstellen muss.
Musst Du auch gar nicht.Mach den Windows DC zum DHCP (statt Fritte). Richte das Scope ein, ganzer Bereich. Erstelle für jede statisch vergebene Adresse eine Reservierung und fertig aus. Dann musst Du keines der Endgeräte anfassen.
Zitat von @aqui:
Wenn es nie mehr als 50 Endgeräte werden kannst du es ja bei der /26 belassen und musst nichts fummeln.
Das Fatale ist aber die falsche Konfiguration der DHCP Range. Hier wird ja alles freigegeben außer der .1 was vermutlich der Router selber ist.
Das hat vermutlich ein blutiger Laie gemacht, denn wenn du wie du sagst auch noch ALLE IPs statisch vergeben sind ist das fatal und IP Adresschaos vorprogrammiert.
Du solltest also als Allererstes einmal checken in welchem Bereich statische IP Adressen vergeben worden sind und diesen Bereich sicher aus der DHCP Range ausschliessen !!
So kann es zu keinen gefährlichen IP Adress Doppelungen mehr kommen und du schaffst erstmal Sicherheit an dieser Front.
Der D-Link AP mit DHCP ist natürlich auch tödlich, da gleich Problematik wie oben. Aber das hast du ja glücklicherweise schon gefixt. Beim DHCP gilt bekanntlich immer: Es kann nur einen geben... !
Sinnvoll wäre also ein genauer IP Adress Plan wie sowas: Netz: 172.17.137.0 /26
Statische IPs: .20 bis .62
DHCP Bereich: .2 bis .19
Je nachdem wieviel dynamische Adress Clients vorhanden sind.
Bei einer Firma sollte man sinnvollerweise das WLAN so oder so immer vom Produktivnetz abtrennnen und allein schon aus Sicherheit in einem separaten Segment betreiben was man dann mit einem kleinen Router (z.B. Mikrotik) oder einer kl. Firewall abtrennt. Ggf. noch mit separatem Gäste Portal.
Damit könntest du dann die dynmaischen WLAN Clients eh in ein anderes IP Segment legen und das entlastet dann auch das /26er Netz and dem du eigentlich nix fummeln musst außer der Ordnung der Adressbereiche.
Es gibt viele sinnvolle Lösungen. Segmentierung in einem Firmennetz ist nie falsch !
Wenn es nie mehr als 50 Endgeräte werden kannst du es ja bei der /26 belassen und musst nichts fummeln.
Das Fatale ist aber die falsche Konfiguration der DHCP Range. Hier wird ja alles freigegeben außer der .1 was vermutlich der Router selber ist.
Das hat vermutlich ein blutiger Laie gemacht, denn wenn du wie du sagst auch noch ALLE IPs statisch vergeben sind ist das fatal und IP Adresschaos vorprogrammiert.
Du solltest also als Allererstes einmal checken in welchem Bereich statische IP Adressen vergeben worden sind und diesen Bereich sicher aus der DHCP Range ausschliessen !!
So kann es zu keinen gefährlichen IP Adress Doppelungen mehr kommen und du schaffst erstmal Sicherheit an dieser Front.
Der D-Link AP mit DHCP ist natürlich auch tödlich, da gleich Problematik wie oben. Aber das hast du ja glücklicherweise schon gefixt. Beim DHCP gilt bekanntlich immer: Es kann nur einen geben... !
Sinnvoll wäre also ein genauer IP Adress Plan wie sowas: Netz: 172.17.137.0 /26
Statische IPs: .20 bis .62
DHCP Bereich: .2 bis .19
Je nachdem wieviel dynamische Adress Clients vorhanden sind.
Bei einer Firma sollte man sinnvollerweise das WLAN so oder so immer vom Produktivnetz abtrennnen und allein schon aus Sicherheit in einem separaten Segment betreiben was man dann mit einem kleinen Router (z.B. Mikrotik) oder einer kl. Firewall abtrennt. Ggf. noch mit separatem Gäste Portal.
Damit könntest du dann die dynmaischen WLAN Clients eh in ein anderes IP Segment legen und das entlastet dann auch das /26er Netz and dem du eigentlich nix fummeln musst außer der Ordnung der Adressbereiche.
Es gibt viele sinnvolle Lösungen. Segmentierung in einem Firmennetz ist nie falsch !
Okay aqui, ich denke das ich das Netz dann so auch in Ruhe lasse. Problematisch ist eigentlich dann nur, dass die festen Adressen wahllos über das Gesamte Netz verteilt sind, also ein zusammenhängender Bereich wie .2 - .19 nicht umzusetzen ist.
Moin,
Ob Du eine /26 oder eine /24-Maske für diese Netz benutzt, ist letztendlich Jacke wie Boxershort.
Wichtig ist, daß Du statische und DHCP-Bereiche sauber trennst und auch dafür sorgst, daß es nur einen DHCP-Server gibt oder die DHCP-Bereiche disjunkt sind.
Sollte es keinen zwingenden Grund für die /26-Maske geben, würde ich diese auch auf /24 ändern (mit der Folge, daß Du zumindest alle statisch vergebenen Kisten anfassen mußt). Das würde zumindest die Unterteilung in verschiedene Bereiche vereinfachen, wenn man mehr "Reservern" hat.
lks
Ob Du eine /26 oder eine /24-Maske für diese Netz benutzt, ist letztendlich Jacke wie Boxershort.
Wichtig ist, daß Du statische und DHCP-Bereiche sauber trennst und auch dafür sorgst, daß es nur einen DHCP-Server gibt oder die DHCP-Bereiche disjunkt sind.
Sollte es keinen zwingenden Grund für die /26-Maske geben, würde ich diese auch auf /24 ändern (mit der Folge, daß Du zumindest alle statisch vergebenen Kisten anfassen mußt). Das würde zumindest die Unterteilung in verschiedene Bereiche vereinfachen, wenn man mehr "Reservern" hat.
lks
1dass die festen Adressen wahllos über das Gesamte Netz verteilt sind,
Nicht schön aber wenn eh keiner DHCP macht, dann schränkst du das eben auf einen minimalen Bereich ein z.B. von .58 bis .62 oder sowas. Da wo rigendwo ein 4er oder 5er Block frei ist.Oder eben DHCP ganz deaktivieren da denn brauchen tun die das ja sicher eh nur fürs WLAN. Das WLAN setzt du dann in einen separaten Bereich. Mit einen 35 Euro Mikrotik ja kein Thema.
Bei der Änderung wie Kollege LKS schreibt musst du nicht nur alle statischen Maschinen anfassen sondern auch den DHCP Server...wenn man denn bei DHCP in dem Segment bleibt.
Besser also das vorhandene wasserdicht machen was die Adressierung anbetrifft und segmentieren. Dann muss man nix groß anfassen.
1
Hallo,
die 26er-Range kann man so lassen.
Muss man aber nicht.
Ich würde es in eine 24er, ich weiß gibt es nicht mehr, bzw. 255.255.255.0 ändern.
Das macht das Handling einfacher auch wenn mal Jemand anderes was daran macht.
Stichwort KISS Keep it simple stupid.
Stefan
die 26er-Range kann man so lassen.
Muss man aber nicht.
Ich würde es in eine 24er, ich weiß gibt es nicht mehr, bzw. 255.255.255.0 ändern.
Das macht das Handling einfacher auch wenn mal Jemand anderes was daran macht.
Stichwort KISS Keep it simple stupid.
Stefan
1
Warum gibt es keine /24 mehr deiner Meinung nach ? Gibts doch genau so wie eine /23 oder /25 !
Zitat von @aqui:
Warum gibt es keine /24 mehr deiner Meinung nach ? Gibts doch genau so wie eine /23 oder /25 !
Warum gibt es keine /24 mehr deiner Meinung nach ? Gibts doch genau so wie eine /23 oder /25 !
Er meinte wohl die C-Klasse und hat sich nur nicht getraut, das zu schreiben, weil manche Admins hier im Forum dann gleich mit der Predigt über die klassenlose IP-Gesellschaft anfangen.
lks
Hallo,
@Lochkartenstanzer,
Wen meinst du damit
brammer
@Lochkartenstanzer,
Er meinte wohl die C-Klasse und hat sich nur nicht getraut, das zu schreiben, weil manche Admins hier im Forum dann gleich mit der Predigt über
die klassenlose IP-Gesellschaft anfangen.
die klassenlose IP-Gesellschaft anfangen.
Wen meinst du damit
brammer
Er meinte wohl die C-Klasse und hat sich nur nicht getraut, das zu schreiben, weil manche Admins hier im Forum dann gleich mit der Predigt über die klassenlose IP-Gesellschaft anfangen.
Richtig, das nervt total! Es lebe das Internet Proletariat!
Nein, ist bleibt Montag.
Egal was wir so probieren.
Ja, ich meinte die Netzklassen A-E und dachte die /24 gehört genannt dazu und man sollte nur noch Subnetzmasken verwenden/sagen.
Egal was wir so probieren.
Ja, ich meinte die Netzklassen A-E und dachte die /24 gehört genannt dazu und man sollte nur noch Subnetzmasken verwenden/sagen.
Wie immer: Nicht "denken" sondern nachdenken ! 
/xy ist ja nur eine andere Notation der Maske und mit mit den alten "Klassen" nix zu tun. (Deshalb auch die Nachfrage oben.) Sie ist also aktueller denn je erspart sie doch ne Menge Tipp Arbeit im Vergleich zu den 255.255.255.192 usw.
Die Netzwerk_Klassen A, B, C, D und E sind in der Tat mausetot, denn die gibt es seit 25 Jahren, seit der globalen Einführung von CIDR, natürlich nicht mehr.
Obwohl manche "Freitags Hausaufgabenspezies" hier speziell Freitags immer mal wieder mit so einem (Klassen) Mist um die Ecke kommen
Wie war das noch gleich oben ??? Richtig: "Es lebe das IP Masken Proletariat!"
/xy ist ja nur eine andere Notation der Maske und mit mit den alten "Klassen" nix zu tun. (Deshalb auch die Nachfrage oben.) Sie ist also aktueller denn je erspart sie doch ne Menge Tipp Arbeit im Vergleich zu den 255.255.255.192 usw.
Die Netzwerk_Klassen A, B, C, D und E sind in der Tat mausetot, denn die gibt es seit 25 Jahren, seit der globalen Einführung von CIDR, natürlich nicht mehr.
Obwohl manche "Freitags Hausaufgabenspezies" hier speziell Freitags immer mal wieder mit so einem (Klassen) Mist um die Ecke kommen
Wie war das noch gleich oben ??? Richtig: "Es lebe das IP Masken Proletariat!"
Zitat von @malawi:
Alleine das ist für mich schon einmal nicht plausibel. Aber dann kommt der Oberhammer: Der DHCP-Bereich liegt innerhalb des gesamten Netzes. Das heißt, in diesem Bereich sind auch die festen IP-Adressen für Server etc. vergeben.
Alleine das ist für mich schon einmal nicht plausibel. Aber dann kommt der Oberhammer: Der DHCP-Bereich liegt innerhalb des gesamten Netzes. Das heißt, in diesem Bereich sind auch die festen IP-Adressen für Server etc. vergeben.
Wenn die statischen Geräte eine DHCP Reservierung auf der Fritzbox haben ist das zwar nicht besonders übersichtlich aber technisch nicht zu beanstanden.
Zitat von @Th0mKa:
Wenn die statischen Geräte eine DHCP Reservierung auf der Fritzbox haben ist das zwar nicht besonders übersichtlich aber technisch nicht zu beanstanden.
Wenn die statischen Geräte eine DHCP Reservierung auf der Fritzbox haben ist das zwar nicht besonders übersichtlich aber technisch nicht zu beanstanden.
Leider sind nicht alle Server, NAS-Systeme und Co. auf "DHCP beziehen" eingestellt. Die sind fest vergeben.
Ich habe soeben noch einmal geschaut ob es einen Windows DHCP-Server gibt. --> Gibt es nicht!
Auf den ThinClients herrschen total unterschiedliche Konfigurationen. Keiner der Geräte hat einen DNS-Server eingetragen, alle sind sie statisch vergeben. Die einen mit einer 255.255.255.0 als Maske, die anderen mit einer 255.255.255.198, 255.255.255.192.
Ein Server ist auf seiner zweiten Ethernet-Schnittstelle folgendermaßen konfiguriert:
IP: 192.168.15.11
Mask: 255.255.255.0
GW: 192.168.148.241
Vielleicht kann man jetzt meinen Unmut verstehen...
Das ist tatsächlich problematisch. Sicher, dass das eine Fachfirma erstellt hat?
Ich kann mir zwar vorstellen, dass man damit bezwecken wollte, dass die 2. NIC nicht ins Internet routet, aber dann trägt man gar keinen GW ein...
Ich kann mir zwar vorstellen, dass man damit bezwecken wollte, dass die 2. NIC nicht ins Internet routet, aber dann trägt man gar keinen GW ein...
Hallo,
Wie bitte geht denn das?
Ist definitiv keine gültige Maske.
Meinst du evtl 255.255.255.128?
Die einen mit einer 255.255.255.0 als Maske, die anderen mit einer 255.255.255.198, 255.255.255.192.
Wie bitte geht denn das?
255.255.255.198
Ist definitiv keine gültige Maske.
Meinst du evtl 255.255.255.128?
Zitat von @certifiedit.net:
Das ist tatsächlich problematisch. Sicher, dass das eine Fachfirma erstellt hat?
Ich kann mir zwar vorstellen, dass man damit bezwecken wollte, dass die 2. NIC nicht ins Internet routet, aber dann trägt man gar keinen GW ein...
Das ist tatsächlich problematisch. Sicher, dass das eine Fachfirma erstellt hat?
Ich kann mir zwar vorstellen, dass man damit bezwecken wollte, dass die 2. NIC nicht ins Internet routet, aber dann trägt man gar keinen GW ein...
Genau, ich hätte einfach keines eingetragen.
Zitat von @brammer:
Hallo,
Wie bitte geht denn das?
Ist definitiv keine gültige Maske.
Meinst du evtl 255.255.255.128?
Hallo,
Die einen mit einer 255.255.255.0 als Maske, die anderen mit einer 255.255.255.198, 255.255.255.192.
Wie bitte geht denn das?
255.255.255.198
Ist definitiv keine gültige Maske.
Meinst du evtl 255.255.255.128?
Nein ich habe mich nicht vertippt. Es ist eine 255.255.255.198 eingetragen.
Hallo,
Nein ich habe mich nicht vertippt. Es ist eine 255.255.255.198 eingetragen.
Auf einem Windows System?
Das geht nicht.... das wird mit einer Fehlermeldung abgebrochen
brammer
Wie bitte geht denn das?
Ist definitiv keine gültige Maske.
Meinst du evtl 255.255.255.128?
255.255.255.198
Ist definitiv keine gültige Maske.
Meinst du evtl 255.255.255.128?
Nein ich habe mich nicht vertippt. Es ist eine 255.255.255.198 eingetragen.
Auf einem Windows System?
Das geht nicht.... das wird mit einer Fehlermeldung abgebrochen
brammer
Zitat von @brammer:
Auf einem Windows System?
Das geht nicht.... das wird mit einer Fehlermeldung abgebrochen
Auf einem Windows System?
Das geht nicht.... das wird mit einer Fehlermeldung abgebrochen
Nein, war auf einem IGEL-ThinClient
Du kannst jede beliebige Bitkombination als Maske eintragen. Und das funktioniert auch tatsächlich, solange man die Netzbits und Hostbits aufgrund der Maske korrekt auseinanderhält.
Nur entspricht das überhaupt keinem Standard.
lks
Zitat von @brammer:
Auf einem Windows System?
Das geht nicht.... das wird mit einer Fehlermeldung abgebrochen
Auf einem Windows System?
Das geht nicht.... das wird mit einer Fehlermeldung abgebrochen
Du weißt nicht wie kreativ man werden kann, um sowas trotzdem eingetragen zu bekommen.
kls
Zitat von @malawi:
Leider sind nicht alle Server, NAS-Systeme und Co. auf "DHCP beziehen" eingestellt. Die sind fest vergeben.
Das macht ja nichts, weenn die reservierung vorhanden ist vergibt der DHCP Server diese IP ja nur an das richtige Gerät. Wenn das nie eine IP haben will ist das für den DHCP Server auch in Ordnung, der ist da nicht so nachtragend.Leider sind nicht alle Server, NAS-Systeme und Co. auf "DHCP beziehen" eingestellt. Die sind fest vergeben.
1Die sind fest vergeben.
Das ist wenigstens für Server und NAS ja durchaus üblich und eine gute und gängig Praxis. Solche Systeme sollten niemals dynamische IPs bekommen.Oder wenn, dann nur mit einem Mac Adress "Nailing" der immer eine feste IP auf Basis der Mac Adresse vergibt. Das ist ja dann quasi identisch zu einer statischen IP.
1Zitat von @aqui:
Oder wenn, dann nur mit einem Mac Adress "Nailing" der immer eine feste IP auf Basis der Mac Adresse vergibt. Das ist ja dann quasi identisch zu einer statischen IP.
Die sind fest vergeben.
Das ist wenigstens für Server und NAS ja durchaus üblich und eine gute und gängig Praxis. Solche Systeme sollten niemals dynamische IPs bekommen.Oder wenn, dann nur mit einem Mac Adress "Nailing" der immer eine feste IP auf Basis der Mac Adresse vergibt. Das ist ja dann quasi identisch zu einer statischen IP.
Die FritzBox scheint das dann doch ganz gut zu handhaben. Da ich mittlerweile fast jedes Gerät angesehen habe, kann ich auch sagen, dass überwiegend statische IP-Adressen vergeben wurden. Das erkennt die FritzBox dann auch und vergibt "außen herum" DHCP-Adressen.
Noch eine weitere Frage:
Der DNS-Server auf dem DC ist notwendig für die korrekte Funktion des AD, richtig? Aktuell sind alle nicht domänenrelevanten Geräte so konfiguriert, das deren DNS-Server die FritzBox mit der .1 ist.
Bei den virtuellen Windows Servern, wurde die .41 (DC) als DNS-Server hinterlegt. Macht es nicht Sinn, allen Geräten im Netzwerk den DC (.41) als DNS-Server zuzuweisen und dem DNS-Server selbst (auch DC) dort dann die primäre DNS-Adresse auf 127.0.0.1 und die sekundäre DNS-Adresse auf die .1 (FritzBox) zu stellen?
Also so:
Beliebige Geräte im Netzwerk:
IP-Adresse: 172.17.137.35 (beispielhaft)
Subnetzmaske: 255.255.255.192
Gateway: 172.17.137.1 (FritzBox)
DNS-Server primär 172.17.137.41 (DC/DNS .41)
DNS-Server (auch DC):
IP-Adresse: 172.17.137.41
Subnetzmaske: 255.255.255.192
Gateway 172.17.137.1 (FritzBox)
DNS-Server primär: 127.0.0.1
DNS-Server sekundär: 172.17.137.1 (FritzBox)
Und was sollte als primärer DNS-Server in der FritzBox idealerweise angegeben werden?
127.0.0.1
oder
8.8.8.8
oder
was anderes?
Danke!
Macht es nicht Sinn, allen Geräten im Netzwerk den DC (.41) als DNS-Server zuzuweisen und dem DNS-Server selbst (auch DC) dort dann die primäre DNS-Adresse auf 127.0.0.1 und die sekundäre DNS-Adresse auf die .1 (FritzBox) zu stellen?
Ja, absolut.Das erkennt die FritzBox dann auch und vergibt "außen herum" DHCP-Adressen.
Die FritzBox vielleicht, andere ganz sicher nicht, da ist also Böses vorprogrammiert. Du solltest immer den statischen Bereich vom DHCP Pool trennen aus Sicherheit.Aktuell sind alle nicht domänenrelevanten Geräte so konfiguriert, das deren DNS-Server die FritzBox mit der .1 ist.
Das wäre auch falsch wenn du einen eigenen DNS betreibst !DER wäre dann bei allen Geräten der DNS und der DNS Server selber hat eine Weiterleitung auf die FB mit der .1 eingerichtet ! (Siehe oben !)
als primärer DNS-Server in der FritzBox idealerweise angegeben werden? 8.8.8.8
Sowas machen heutzutage nur noch Dummies. Jeder weiss ja mittlerweile nach den aktuellen Ereignissen, das Google ein Profil deines Internet- und Surfverhaltens damit erstellt und mit 3ten vermarktet. Wem also die Pravatsphäre etwas wert ist lässt die Finger von Google DNS.Dort stellst du keinen DNS ein, denn den bekommt die FB automatisch über die PPPoE Daten des Providers !
2Dort stellst du keinen DNS ein, denn den bekommt die FB automatisch über die PPPoE Daten des Providers !
Oder unabhängige dritte, nach eigener Gusto
1
