VPN Lan-To-Lan Verbindung über Internet mit 2 Subnetzmasken
Hallo zusammen,
ich habe folgenden Fall vorliegen:
Es gibt 1 Netzwerk 10.0.0.x welches an 2 Standorten (Standort A und B existiert). Beide Standorte sollen per VPN also Lan-To-Lan über das Internet mit einander verbunden werden. Um nun zu verhindern, dass IP Packete unnötigerweise von einem Standort zum anderen diffundieren sollen die Subnetzmasken entsprechend gesesetzt werden.
Standort A
IP: 10.0.0.0 - 127
Subnetz: 255.255.255.128
<--> VPN per Internet <-->
Standort B
IP: 10.0.0.128 - 254
Subnetz: 255.255.255.128
Ist dies so möglich ? Wenn nein, wie müsste man es anders machen ? Wird zusätzlich eine statische Route benötigt um dem Router am einen Standort mittzuteilen dass der restliche, durch die Subnetzmaske ausgeschlossene Bereich, am anderen Standort liegt ?
Vielen Dank für eure Hilfe.
Gruß,
Ludwig
ich habe folgenden Fall vorliegen:
Es gibt 1 Netzwerk 10.0.0.x welches an 2 Standorten (Standort A und B existiert). Beide Standorte sollen per VPN also Lan-To-Lan über das Internet mit einander verbunden werden. Um nun zu verhindern, dass IP Packete unnötigerweise von einem Standort zum anderen diffundieren sollen die Subnetzmasken entsprechend gesesetzt werden.
Standort A
IP: 10.0.0.0 - 127
Subnetz: 255.255.255.128
<--> VPN per Internet <-->
Standort B
IP: 10.0.0.128 - 254
Subnetz: 255.255.255.128
Ist dies so möglich ? Wenn nein, wie müsste man es anders machen ? Wird zusätzlich eine statische Route benötigt um dem Router am einen Standort mittzuteilen dass der restliche, durch die Subnetzmaske ausgeschlossene Bereich, am anderen Standort liegt ?
Vielen Dank für eure Hilfe.
Gruß,
Ludwig
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 185940
Url: https://administrator.de/forum/vpn-lan-to-lan-verbindung-ueber-internet-mit-2-subnetzmasken-185940.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
8 Kommentare
Neuester Kommentar
..."Ich möchte ja keine 2 unterschiedlichen Netze"
Nein das ist technisch unmöglich ! Du hast vermutlich den Sinn und Unsinn von Subnetzmasken nicht richtig verstanden, kann das sein ??
Mit deiner 25 Bit Maskierung (255.255.255.128) schaffst du doch genau 2 separate IP Netze an den Standorten !
Also einmal das Subnetz A 10.0.0.0 mit dem Adressbereich 10.0.0.1 bis 10.0.0.126 für Endgeräte am Standort A. Dort sind dann maximal 126 Endgeräte erlaubt !!
Und einmal das Subnetz B 10.0.0.128 mit dem Adressbereich 10.0.0.129 bis 10.0.0.254 für Endgeräte am Standort B. Dort sind dann auch maximal 126 Endgeräte erlaubt !!
2 Adressen pro Subnetz fallen weg: Einmal wo alle Hostbits auf 0 sind das bezeichnet immer das netzwerk und einmal wo alle Hostbits auf 1 sind das ist die Broadcast Adresse im jeweiligen Netz ! Wenn du mehr Endgeräte adressieren musst ist es sinnvoller eine kleiner Maske wie /24 (253 Endgeräte maximal) oder kleiner zu nutzen.
Dann routest du über ein LAN zu LAN VPN diese beiden Subnetze !! Eine transparente Kommunikation ohne Router ist mit dieser Netztrennung nicht mehr möglich technisch, wie jeder Netzwerk Admin auf Anhieb ja sehen kann.
Statische Routen benötigst du in der Regel nicht denn je nach verwendetem VPN Protokoll (IPsec, SSL, L2TP usw.) machen sich die Router diese Netze selber dynamisch bekannt.
Mache dich also erstmal kundig über den Aufbau von IP Adressen und Kommunikation in einem IP Netzwerk was Routing und Bridging anbetrifft !
http://de.wikipedia.org/wiki/IP-Adresse
Wenn dir schon solche grundlegenden Kenntnisse zu dieser Materie fehlen wird so ein VPN Unterfangen nicht einfach für dich und es ist sicher besser jemanden zu fragen der da weiss was er tut wenn du keinen Schiffbruch erleiden willst..sorry.
Generell muss man immer bei einer VPN LAN zu LAN Kopplung beide Netze in separate IP Adressbereich trennen.
Einziger Ausweg ist dann nur über den VPN Tunnel zu Bridgen also eben NICHT zu routen auf IP Adressbasis sondern nur eine simple Bridge auf Layer 2 Basis, sprich den Mac Adressen, zu betreiben.
Davon kann man dir aber nur dringenst abraten, denn bei einer Bridge werden per Default sämtliche Broad- und Multicast Pakete eines Netzes per Default übertragen. In einen Winblows Netz ist dieser Anteil an Traffic nicht unerheblich !!
Auf einem VPN Tunnel der nur eine sehr begrenzte Bandbreite durch die WAN Anbindung hat (DSL usw.) erzeugt dieser Traffic also schon von sich aus eine erhebliche Grundbelastung die in der Regel solche VPN Kopplungen im Bridging Modus vollkommen unbrauchbar macht, weil grottenschlecht in der Performance durch diese Trafficbelastung !
Vergiss das also besser ganz schnell und mach dir Gedanken über eine saubere IP Adressplanung auf beiden Seiten. Dann beschaffst du dir einen gescheiten VPN Router oder Firewall und setzt eine saubere LAN zu LAN Kopplung per VPN auf über diese Komponenten. Tutorials dazu gibt es zuhauf hier im Forum wie z.B. hier. Genao so geht man sowas strategisch und professionell an !
Alles andere ist Murks wovon man dir nur abraten kann wenn du was vernünftiges machen willst !
Nein das ist technisch unmöglich ! Du hast vermutlich den Sinn und Unsinn von Subnetzmasken nicht richtig verstanden, kann das sein ??
Mit deiner 25 Bit Maskierung (255.255.255.128) schaffst du doch genau 2 separate IP Netze an den Standorten !
Also einmal das Subnetz A 10.0.0.0 mit dem Adressbereich 10.0.0.1 bis 10.0.0.126 für Endgeräte am Standort A. Dort sind dann maximal 126 Endgeräte erlaubt !!
Und einmal das Subnetz B 10.0.0.128 mit dem Adressbereich 10.0.0.129 bis 10.0.0.254 für Endgeräte am Standort B. Dort sind dann auch maximal 126 Endgeräte erlaubt !!
2 Adressen pro Subnetz fallen weg: Einmal wo alle Hostbits auf 0 sind das bezeichnet immer das netzwerk und einmal wo alle Hostbits auf 1 sind das ist die Broadcast Adresse im jeweiligen Netz ! Wenn du mehr Endgeräte adressieren musst ist es sinnvoller eine kleiner Maske wie /24 (253 Endgeräte maximal) oder kleiner zu nutzen.
Dann routest du über ein LAN zu LAN VPN diese beiden Subnetze !! Eine transparente Kommunikation ohne Router ist mit dieser Netztrennung nicht mehr möglich technisch, wie jeder Netzwerk Admin auf Anhieb ja sehen kann.
Statische Routen benötigst du in der Regel nicht denn je nach verwendetem VPN Protokoll (IPsec, SSL, L2TP usw.) machen sich die Router diese Netze selber dynamisch bekannt.
Mache dich also erstmal kundig über den Aufbau von IP Adressen und Kommunikation in einem IP Netzwerk was Routing und Bridging anbetrifft !
http://de.wikipedia.org/wiki/IP-Adresse
Wenn dir schon solche grundlegenden Kenntnisse zu dieser Materie fehlen wird so ein VPN Unterfangen nicht einfach für dich und es ist sicher besser jemanden zu fragen der da weiss was er tut wenn du keinen Schiffbruch erleiden willst..sorry.
Generell muss man immer bei einer VPN LAN zu LAN Kopplung beide Netze in separate IP Adressbereich trennen.
Einziger Ausweg ist dann nur über den VPN Tunnel zu Bridgen also eben NICHT zu routen auf IP Adressbasis sondern nur eine simple Bridge auf Layer 2 Basis, sprich den Mac Adressen, zu betreiben.
Davon kann man dir aber nur dringenst abraten, denn bei einer Bridge werden per Default sämtliche Broad- und Multicast Pakete eines Netzes per Default übertragen. In einen Winblows Netz ist dieser Anteil an Traffic nicht unerheblich !!
Auf einem VPN Tunnel der nur eine sehr begrenzte Bandbreite durch die WAN Anbindung hat (DSL usw.) erzeugt dieser Traffic also schon von sich aus eine erhebliche Grundbelastung die in der Regel solche VPN Kopplungen im Bridging Modus vollkommen unbrauchbar macht, weil grottenschlecht in der Performance durch diese Trafficbelastung !
Vergiss das also besser ganz schnell und mach dir Gedanken über eine saubere IP Adressplanung auf beiden Seiten. Dann beschaffst du dir einen gescheiten VPN Router oder Firewall und setzt eine saubere LAN zu LAN Kopplung per VPN auf über diese Komponenten. Tutorials dazu gibt es zuhauf hier im Forum wie z.B. hier. Genao so geht man sowas strategisch und professionell an !
Alles andere ist Murks wovon man dir nur abraten kann wenn du was vernünftiges machen willst !
OK, dann hast du dich aber sehr missverständlch ausgedrückt mit "Ich möchte ja keine 2 unterschiedlichen Netze.."
Denn genau 2 unterschiedliche Netze schaffst du ja !!
Oder was meintest du mit der o.a. Bemerkung ??
Unverständlich auch warum du dann eine "krumme" /25er Maskierung nimmst und dich damit dann auf maximal 126 mögliche Endgeräte an beiden Standorten festlegst ?!
OK, wenn du nur 4 Rechner und einen Drucker jeweils dort hast ist das natürlich kein Thema, obwohl man sich das Leben dann einfacher machen kann aus Sicht der Adressen und mit einer /24 Maske arbeiten kann also 10.0.0.0 /24 und 10.0.1.0 /24 oder 10.0.10.0 /24 und 10.0.20.0 /24 usw. usw.
Aber vermutlich hast du da andere Gründe...?!
Denn genau 2 unterschiedliche Netze schaffst du ja !!
Oder was meintest du mit der o.a. Bemerkung ??
Unverständlich auch warum du dann eine "krumme" /25er Maskierung nimmst und dich damit dann auf maximal 126 mögliche Endgeräte an beiden Standorten festlegst ?!
OK, wenn du nur 4 Rechner und einen Drucker jeweils dort hast ist das natürlich kein Thema, obwohl man sich das Leben dann einfacher machen kann aus Sicht der Adressen und mit einer /24 Maske arbeiten kann also 10.0.0.0 /24 und 10.0.1.0 /24 oder 10.0.10.0 /24 und 10.0.20.0 /24 usw. usw.
Aber vermutlich hast du da andere Gründe...?!
Nein, da hast du einen ganz falschen Ansatz ! Ein Netz ist IMMER so wie es die Subnetzmaske vorgibt, logisch !
10.0.1.0 od. 10.0.2.0 ist erstmal gar nix, sondern nur eine rein nichtssagende IP Adresse. Deshalb ist ja das /24 oder 255.255.255.0 dahinter so wichtig damit andere ganz genau wissen worüber man spricht bei der Adressierung.
Du schreibst ja doch auch nicht auf einen Brief einfach "Bahnhofstrasse" drauf und sonst nix, oder ?
Der Briefträger (Router) wüsste dann auch nicht wohin damit und der Brief landet im Reisswolf !
Da muss man dann aber leider schon wieder an deiner Aussage "...ich denke ich habe den Sinn und Usinn von Subnetzmasken sehr genau verstanden" erneut ganz heftig zweifeln....aber nundenn. Wir denken mal ans Gute...
Deine Denkweise mit der /25er IP Adresse ist generell absolut richtig. Es ging hier nur ums kosmetische Aussehen.
Wenn du nun die IP Adressen mit einer 24er Maske ala
10.0.1.x am Standort A und 10.0.2.x am Standort B verteilst, ist das unterscheiden dann doch noch viel einfacher weil du nicht mehr akribisch auf den Bereich im 4ten Byte sehen muss.
Allein am 3ten Byte kannst du mit einem Blick erkennen wo die Pakete herkommen...
Alles was da ne "1" hat kommt von A alles was da ne "2" hat kommt von B. Du kannst das auch ins 2te Byte verlegen wenn dir das kosmetisch schöner ist ala 10.1.0.x und 10.2.0.x Das kannst du halten wie ein Dachdecker....
Nur nochmal zur Erinnerung:
Wenn du sagst das du anderer 10er Subnetze verwendest, dann musst du aber absolut sicherstellen das der Bereich 10.0.0.0 /25 NIE mehr am Standort A und B auftaucht !!
Auch dürfen, wenn du mit variablen Subnetzmasken im 10er Netz irgendwo arbeitest, dieser Bereich nirgends wo mehr auftauchen ! Gilt natürlich nicht wenn du 172er und 192.168er Netze dafür verwendest.
Sowas wie 10.0.0.0 /24 oder /16 (alles was kleiner ist als /25) ist dann vollkommen Tabu für dich, vergiss das nicht, sonst bekommst du ein Routing Problem im Netz !
Aber wir vertrauen ja hier mal auf "...ich denke ich habe den Sinn und Usinn von Subnetzmasken sehr genau verstanden"
Wenns das denn nun war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
10.0.1.0 od. 10.0.2.0 ist erstmal gar nix, sondern nur eine rein nichtssagende IP Adresse. Deshalb ist ja das /24 oder 255.255.255.0 dahinter so wichtig damit andere ganz genau wissen worüber man spricht bei der Adressierung.
Du schreibst ja doch auch nicht auf einen Brief einfach "Bahnhofstrasse" drauf und sonst nix, oder ?
Der Briefträger (Router) wüsste dann auch nicht wohin damit und der Brief landet im Reisswolf !
Da muss man dann aber leider schon wieder an deiner Aussage "...ich denke ich habe den Sinn und Usinn von Subnetzmasken sehr genau verstanden" erneut ganz heftig zweifeln....aber nundenn. Wir denken mal ans Gute...
Deine Denkweise mit der /25er IP Adresse ist generell absolut richtig. Es ging hier nur ums kosmetische Aussehen.
Wenn du nun die IP Adressen mit einer 24er Maske ala
10.0.1.x am Standort A und 10.0.2.x am Standort B verteilst, ist das unterscheiden dann doch noch viel einfacher weil du nicht mehr akribisch auf den Bereich im 4ten Byte sehen muss.
Allein am 3ten Byte kannst du mit einem Blick erkennen wo die Pakete herkommen...
Alles was da ne "1" hat kommt von A alles was da ne "2" hat kommt von B. Du kannst das auch ins 2te Byte verlegen wenn dir das kosmetisch schöner ist ala 10.1.0.x und 10.2.0.x Das kannst du halten wie ein Dachdecker....
Nur nochmal zur Erinnerung:
Wenn du sagst das du anderer 10er Subnetze verwendest, dann musst du aber absolut sicherstellen das der Bereich 10.0.0.0 /25 NIE mehr am Standort A und B auftaucht !!
Auch dürfen, wenn du mit variablen Subnetzmasken im 10er Netz irgendwo arbeitest, dieser Bereich nirgends wo mehr auftauchen ! Gilt natürlich nicht wenn du 172er und 192.168er Netze dafür verwendest.
Sowas wie 10.0.0.0 /24 oder /16 (alles was kleiner ist als /25) ist dann vollkommen Tabu für dich, vergiss das nicht, sonst bekommst du ein Routing Problem im Netz !
Aber wir vertrauen ja hier mal auf "...ich denke ich habe den Sinn und Usinn von Subnetzmasken sehr genau verstanden"
Wenns das denn nun war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !