vip3234
Goto Top

VPN Lan-To-Lan Verbindung über Internet mit 2 Subnetzmasken

Hallo zusammen,

ich habe folgenden Fall vorliegen:

Es gibt 1 Netzwerk 10.0.0.x welches an 2 Standorten (Standort A und B existiert). Beide Standorte sollen per VPN also Lan-To-Lan über das Internet mit einander verbunden werden. Um nun zu verhindern, dass IP Packete unnötigerweise von einem Standort zum anderen diffundieren sollen die Subnetzmasken entsprechend gesesetzt werden.

Standort A
IP: 10.0.0.0 - 127
Subnetz: 255.255.255.128

<--> VPN per Internet <-->

Standort B
IP: 10.0.0.128 - 254
Subnetz: 255.255.255.128

Ist dies so möglich ? Wenn nein, wie müsste man es anders machen ? Wird zusätzlich eine statische Route benötigt um dem Router am einen Standort mittzuteilen dass der restliche, durch die Subnetzmaske ausgeschlossene Bereich, am anderen Standort liegt ?


Vielen Dank für eure Hilfe.

Gruß,
Ludwig

Content-ID: 185940

Url: https://administrator.de/forum/vpn-lan-to-lan-verbindung-ueber-internet-mit-2-subnetzmasken-185940.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

MrNetman
MrNetman 05.06.2012 aktualisiert um 10:22:10 Uhr
Goto Top
Hi Ludwig,
Es spricht nichts dagegen, wenn dein Router das mitmacht.
Aber:
aber die Adressen gehen von (0)1 bis 126 (127)
und von (128) 129 bis 254 (255)
Ein Spur einfacher und leichter zu lesen wäre 10.0.1.0/24 und 10.0.0.0/24.

Gruß
Netman
vip3234
vip3234 05.06.2012 aktualisiert um 10:57:39 Uhr
Goto Top
Hallo Netman,

du meinst 10.0.0.0/25 und 10.0.0.128/25. Ich möchte ja keine 2 unterschiedlichen Netze, sondern das selbe an 2 verschiedenen Orten über die Subnetzmaske unterteilt.

d.h. ich benötige aber dann je eine statische Route zum jeweils anderen Standort. (sorry dass ich kein Bild mache, aber ich bin gerade unterwegs und habe kein adequates tool zur hand)


10.0.0.0/25 <-> A VPN(10.0.1.1) <---Internet---> B VPN(10.0.1.2) <-> 10.0.0.128/25

-> Bei Router A benötige ich eine statische Route für 10.0.0.128/25 auf 10.0.1.2
-> Bei Router B benötige ich eine statische Route für 10.0.0.0/25 auf 10.0.1.1

Damit meine ich sollte es passen ? Oder, kann ich auf das 10.0.1.x Subnet bei der VPN verzichten ?

Gruß,
Ludwig
aqui
aqui 05.06.2012 aktualisiert um 11:37:22 Uhr
Goto Top
..."Ich möchte ja keine 2 unterschiedlichen Netze"
Nein das ist technisch unmöglich ! Du hast vermutlich den Sinn und Unsinn von Subnetzmasken nicht richtig verstanden, kann das sein ??
Mit deiner 25 Bit Maskierung (255.255.255.128) schaffst du doch genau 2 separate IP Netze an den Standorten !
Also einmal das Subnetz A 10.0.0.0 mit dem Adressbereich 10.0.0.1 bis 10.0.0.126 für Endgeräte am Standort A. Dort sind dann maximal 126 Endgeräte erlaubt !!
Und einmal das Subnetz B 10.0.0.128 mit dem Adressbereich 10.0.0.129 bis 10.0.0.254 für Endgeräte am Standort B. Dort sind dann auch maximal 126 Endgeräte erlaubt !!
2 Adressen pro Subnetz fallen weg: Einmal wo alle Hostbits auf 0 sind das bezeichnet immer das netzwerk und einmal wo alle Hostbits auf 1 sind das ist die Broadcast Adresse im jeweiligen Netz ! Wenn du mehr Endgeräte adressieren musst ist es sinnvoller eine kleiner Maske wie /24 (253 Endgeräte maximal) oder kleiner zu nutzen.
Dann routest du über ein LAN zu LAN VPN diese beiden Subnetze !! Eine transparente Kommunikation ohne Router ist mit dieser Netztrennung nicht mehr möglich technisch, wie jeder Netzwerk Admin auf Anhieb ja sehen kann.
Statische Routen benötigst du in der Regel nicht denn je nach verwendetem VPN Protokoll (IPsec, SSL, L2TP usw.) machen sich die Router diese Netze selber dynamisch bekannt.
Mache dich also erstmal kundig über den Aufbau von IP Adressen und Kommunikation in einem IP Netzwerk was Routing und Bridging anbetrifft !
http://de.wikipedia.org/wiki/IP-Adresse
Wenn dir schon solche grundlegenden Kenntnisse zu dieser Materie fehlen wird so ein VPN Unterfangen nicht einfach für dich und es ist sicher besser jemanden zu fragen der da weiss was er tut wenn du keinen Schiffbruch erleiden willst..sorry.
Generell muss man immer bei einer VPN LAN zu LAN Kopplung beide Netze in separate IP Adressbereich trennen.
Einziger Ausweg ist dann nur über den VPN Tunnel zu Bridgen also eben NICHT zu routen auf IP Adressbasis sondern nur eine simple Bridge auf Layer 2 Basis, sprich den Mac Adressen, zu betreiben.
Davon kann man dir aber nur dringenst abraten, denn bei einer Bridge werden per Default sämtliche Broad- und Multicast Pakete eines Netzes per Default übertragen. In einen Winblows Netz ist dieser Anteil an Traffic nicht unerheblich !!
Auf einem VPN Tunnel der nur eine sehr begrenzte Bandbreite durch die WAN Anbindung hat (DSL usw.) erzeugt dieser Traffic also schon von sich aus eine erhebliche Grundbelastung die in der Regel solche VPN Kopplungen im Bridging Modus vollkommen unbrauchbar macht, weil grottenschlecht in der Performance durch diese Trafficbelastung !
Vergiss das also besser ganz schnell und mach dir Gedanken über eine saubere IP Adressplanung auf beiden Seiten. Dann beschaffst du dir einen gescheiten VPN Router oder Firewall und setzt eine saubere LAN zu LAN Kopplung per VPN auf über diese Komponenten. Tutorials dazu gibt es zuhauf hier im Forum wie z.B. hier. Genao so geht man sowas strategisch und professionell an !
Alles andere ist Murks wovon man dir nur abraten kann wenn du was vernünftiges machen willst !
vip3234
vip3234 05.06.2012 um 11:37:10 Uhr
Goto Top
Hallo aqui,

ich denke ich habe den Sinn und Usinn von Subnetzmasken sehr genau verstanden, da du mir genau das gleiche nochmal dargelegt hast was ich oben schon geschrieben habe.
Wollte mich dahingehend nur noch einmal versichern.
Mir ging es jetzt noch nur um die VPN Kopplung, das war alles. Diese Frage hast du mir beantwortet danke !
Gescheite VPN Router sind nämlich vorhanden, welche diese Funktion auch optimal unterstützen.
aqui
aqui 05.06.2012 aktualisiert um 11:42:27 Uhr
Goto Top
OK, dann hast du dich aber sehr missverständlch ausgedrückt mit "Ich möchte ja keine 2 unterschiedlichen Netze.."
Denn genau 2 unterschiedliche Netze schaffst du ja !!
Oder was meintest du mit der o.a. Bemerkung ??
Unverständlich auch warum du dann eine "krumme" /25er Maskierung nimmst und dich damit dann auf maximal 126 mögliche Endgeräte an beiden Standorten festlegst ?!
OK, wenn du nur 4 Rechner und einen Drucker jeweils dort hast ist das natürlich kein Thema, obwohl man sich das Leben dann einfacher machen kann aus Sicht der Adressen und mit einer /24 Maske arbeiten kann also 10.0.0.0 /24 und 10.0.1.0 /24 oder 10.0.10.0 /24 und 10.0.20.0 /24 usw. usw.
Aber vermutlich hast du da andere Gründe...?!
vip3234
vip3234 05.06.2012 um 12:37:32 Uhr
Goto Top
Da hast du recht, das war nicht ganz eindeutig. Für mich ist ein Netz sowas wie 10.0.1.0 od. 10.0.2.0 etc. und wenn ich mir ein "Netz" mittels Subnetzmaske noch weiter unterteile, ergeben sich zwar richtigerweise weitere Netze, die ich aber dann eher als Subnetze bezeichnen würde. (Ich weiß, Subnetz ist hier auch wieder nicht eindeutig.)

Die 25er Maskierung wollte ich deshalb, weil ich am einen Standort die Adressen von 0-127 und am anderen den Rest zuweisen wollte, damit anhand der IP schon der Standort klar ist bzw. auch um zu verhindern, dass IP Packete unnötigerweise von einem Standort zum anderen übertragen werden. Aber klar, das könnte man auch einfach haben.

Adressen mit einer /24 Maske könnte man wohl nehmen, da ich aber schon diverse andere Netze für unterschiedlichste Zwecke hier habe, wollte ich nicht undebingt nochmal ein weiteres erzeugen. Zudem ist das Netz um das es geht an beiden Standorten als unsicher deklariert, da an beiden Standort per wifi erreichbar. Einige Router blockieren deshalb Packete aus diesem Netz. Somit wäre es einfach ein viel größerer Konfigurationsaufwand ein weiteres Netz zu etablieren.
aqui
aqui 05.06.2012 aktualisiert um 16:23:42 Uhr
Goto Top
Nein, da hast du einen ganz falschen Ansatz ! Ein Netz ist IMMER so wie es die Subnetzmaske vorgibt, logisch !
10.0.1.0 od. 10.0.2.0 ist erstmal gar nix, sondern nur eine rein nichtssagende IP Adresse. Deshalb ist ja das /24 oder 255.255.255.0 dahinter so wichtig damit andere ganz genau wissen worüber man spricht bei der Adressierung.
Du schreibst ja doch auch nicht auf einen Brief einfach "Bahnhofstrasse" drauf und sonst nix, oder ?
Der Briefträger (Router) wüsste dann auch nicht wohin damit und der Brief landet im Reisswolf !
Da muss man dann aber leider schon wieder an deiner Aussage "...ich denke ich habe den Sinn und Usinn von Subnetzmasken sehr genau verstanden" erneut ganz heftig zweifeln....aber nundenn. Wir denken mal ans Gute...
Deine Denkweise mit der /25er IP Adresse ist generell absolut richtig. Es ging hier nur ums kosmetische Aussehen.
Wenn du nun die IP Adressen mit einer 24er Maske ala
10.0.1.x am Standort A und 10.0.2.x am Standort B verteilst, ist das unterscheiden dann doch noch viel einfacher weil du nicht mehr akribisch auf den Bereich im 4ten Byte sehen muss.
Allein am 3ten Byte kannst du mit einem Blick erkennen wo die Pakete herkommen...
Alles was da ne "1" hat kommt von A alles was da ne "2" hat kommt von B. Du kannst das auch ins 2te Byte verlegen wenn dir das kosmetisch schöner ist ala 10.1.0.x und 10.2.0.x Das kannst du halten wie ein Dachdecker....
Nur nochmal zur Erinnerung:
Wenn du sagst das du anderer 10er Subnetze verwendest, dann musst du aber absolut sicherstellen das der Bereich 10.0.0.0 /25 NIE mehr am Standort A und B auftaucht !!
Auch dürfen, wenn du mit variablen Subnetzmasken im 10er Netz irgendwo arbeitest, dieser Bereich nirgends wo mehr auftauchen ! Gilt natürlich nicht wenn du 172er und 192.168er Netze dafür verwendest.
Sowas wie 10.0.0.0 /24 oder /16 (alles was kleiner ist als /25) ist dann vollkommen Tabu für dich, vergiss das nicht, sonst bekommst du ein Routing Problem im Netz !
Aber wir vertrauen ja hier mal auf "...ich denke ich habe den Sinn und Usinn von Subnetzmasken sehr genau verstanden"

Wenns das denn nun war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
vip3234
vip3234 05.06.2012 um 14:16:48 Uhr
Goto Top
Das heißt doch jetzt nicht, dass ich das nicht verstanden habe, sondern nur dass wir uns wegen der Begrifflichkeit nicht einig sind.
Aber danke dir für die Erklärung, nun weiß ich ja darüber bescheid.

Vielen Dank für die Unterstützung.