140034
04.06.2019
6319
24
0
Windows Server Netzwerkadapter in verschiedenen Subnetzen, ein Gateway
Guten Tag zusammen,
Ich habe ein Windows Server 2012 mit zwei Netzwerkkarten in unterschiedlichen VLAN und gleichzeitig unterschiedlichen Subnetzen.
Interface 1: 172.16.0.x 255.255.0.0 172.16.0.250
Interface 2: 10.99.10.3 255.255.0.0
Erste Frage: Hat jemand Erfahrungen damit gemacht, wenn ich jetzt der zweiten Netzwerkkarte auch ein Gateway hinzufüge. Laut Windows Fehlermeldung wird davon abgeraten oder habe ich diese Meldung falsch verstanden?
Wenn das nicht schlimm ist, kann ich mir die zweite Frage sparen:
Meiner Meinung nach, müsste es doch möglich sein jeden Traffic welches auf das Interface 2 geht über einen simplen routen Eintrag auf dem Windows Server auf das Gateway 172.16.0.250 zu routen.
zb: 0.0.0.0 0.0.0.0 172.16.0.250
Ich habe nämlich das Problem, wenn ich kein Gateway beim Interface 2 eingerichtet habe dass ich keine Verbindung aus dem Subnetz 172.16.0.0/16 auf die IP 10.99.10.3 bekomme.
Füge ich das Gateway hinzu funktioniert die Verbindung.
Ich habe ein Windows Server 2012 mit zwei Netzwerkkarten in unterschiedlichen VLAN und gleichzeitig unterschiedlichen Subnetzen.
Interface 1: 172.16.0.x 255.255.0.0 172.16.0.250
Interface 2: 10.99.10.3 255.255.0.0
Erste Frage: Hat jemand Erfahrungen damit gemacht, wenn ich jetzt der zweiten Netzwerkkarte auch ein Gateway hinzufüge. Laut Windows Fehlermeldung wird davon abgeraten oder habe ich diese Meldung falsch verstanden?
Wenn das nicht schlimm ist, kann ich mir die zweite Frage sparen:
Meiner Meinung nach, müsste es doch möglich sein jeden Traffic welches auf das Interface 2 geht über einen simplen routen Eintrag auf dem Windows Server auf das Gateway 172.16.0.250 zu routen.
zb: 0.0.0.0 0.0.0.0 172.16.0.250
Ich habe nämlich das Problem, wenn ich kein Gateway beim Interface 2 eingerichtet habe dass ich keine Verbindung aus dem Subnetz 172.16.0.0/16 auf die IP 10.99.10.3 bekomme.
Füge ich das Gateway hinzu funktioniert die Verbindung.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 458600
Url: https://administrator.de/forum/windows-server-netzwerkadapter-in-verschiedenen-subnetzen-ein-gateway-458600.html
Ausgedruckt am: 23.04.2025 um 09:04 Uhr
24 Kommentare
Neuester Kommentar
Hi,
ein IP-Host sollte i.A. nur ein Default-GW eingetragen haben. Wenn man mehrere einträgt, so ist das zunächst erstmal nicht an sich schädlich, kann aber zu Störungen führen.
Bei Windows ist hierbei die Bindungsreihenfolge der NICs relevant. Das Gateway, das an der (aktivierten und verbundenen) NIC angegeben ist, welches an erster Stelle der Bindungsreihenfolge steht, wird verwendet. Die anderen nicht. Wenn sich jetzt - aus welchen Gründen auch immer - die effektive Bindungsreihenfolge ändert (z.B. nach einem Neustart o.ä.), dann würde u.U. ein anderes GW verwendet, als beabsichtigt.
Server als Router einrichten:
z.B. https://it-learner.de/routing-am-windows-server-2016-einrichten-zwei-net ...
(nicht geprüft)
E.
ein IP-Host sollte i.A. nur ein Default-GW eingetragen haben. Wenn man mehrere einträgt, so ist das zunächst erstmal nicht an sich schädlich, kann aber zu Störungen führen.
Bei Windows ist hierbei die Bindungsreihenfolge der NICs relevant. Das Gateway, das an der (aktivierten und verbundenen) NIC angegeben ist, welches an erster Stelle der Bindungsreihenfolge steht, wird verwendet. Die anderen nicht. Wenn sich jetzt - aus welchen Gründen auch immer - die effektive Bindungsreihenfolge ändert (z.B. nach einem Neustart o.ä.), dann würde u.U. ein anderes GW verwendet, als beabsichtigt.
Meiner Meinung nach, müsste es doch möglich sein jeden Traffic welches auf das Interface 2 geht über einen simplen routen Eintrag auf dem Windows Server auf das Gateway 172.16.0.250 zu routen.
Du meinst, dass der Windows Server als Router fungieren soll? Falls ja, musst man ihn erst explizit dafür einrichten.Ich habe nämlich das Problem, wenn ich kein Gateway beim Interface 2 eingerichtet habe dass ich keine Verbindung aus dem Subnetz 172.16.0.0/16 auf die IP 10.99.10.3 bekomme.
Füge ich das Gateway hinzu funktioniert die Verbindung.
"das Gateway"? Welches?Füge ich das Gateway hinzu funktioniert die Verbindung.
Server als Router einrichten:
z.B. https://it-learner.de/routing-am-windows-server-2016-einrichten-zwei-net ...
(nicht geprüft)
E.
Hallo,
der Eintrag des Standard-Gateways auf einem Gerät hat die Aufgabe, dem System mitzuteilen, wo ein IP-Paket hingeleitet werden soll, wenn das System den Weg zum Ziel (-System) nicht kennt. In der Hoffnung, das Standard-Gateway kennt doch noch einen Weg zum Ziel.
Also praktisch: Das sendende Gerät kennt alle Subnetze im LAN und die dafür notwendigen Routen bzw Router. Nun soll ein IP-Paket an eine Adresse außerhalb des LANs (zB ins Internet) geschickt werden. Da kein Router im LAN den Weg zu diesem Ziel kennt, Schickt das Gerät dieses Paket zum nächstem Router (seinem Standard-Gateway) auf den Weg zum Internet und der zum Nächsten usw, bis ein Router das Ziel-Subnetz und einen Weg dorthin kennt.
Warum sollte denn ein Gerät mit 2 (oder mehr) Netzwerkkarten mehr als einen Weg für unbekannte Ziele (zB Pakete ins Internet) nutzen/ kennen? Das würde ja bedeuten, das im jeweiligen LAN zB 2 unterschiedliche Internet-Router existieren und das sendende Gerät mit 2 NICs sich entscheiden muß, über welchen Weg ein unbekanntes Ziel (IP im Internet) zu erreichen ist. Woher sollte das Gerät diese Info bekommen??
Wie der Name schon sagt: das Standard-Gateway ist das Ziel für alle Pakete, deren Weg zum Ziel nicht bekannt ist. Und dafür braucht jedes Gerät nur ein Standard-Gateway.
Wenn ich bekannte Ziele über einen festgelegten Weg (Router) erreichen will, mache ich das durch einen Routing-Eintrag.
Jürgen
der Eintrag des Standard-Gateways auf einem Gerät hat die Aufgabe, dem System mitzuteilen, wo ein IP-Paket hingeleitet werden soll, wenn das System den Weg zum Ziel (-System) nicht kennt. In der Hoffnung, das Standard-Gateway kennt doch noch einen Weg zum Ziel.
Also praktisch: Das sendende Gerät kennt alle Subnetze im LAN und die dafür notwendigen Routen bzw Router. Nun soll ein IP-Paket an eine Adresse außerhalb des LANs (zB ins Internet) geschickt werden. Da kein Router im LAN den Weg zu diesem Ziel kennt, Schickt das Gerät dieses Paket zum nächstem Router (seinem Standard-Gateway) auf den Weg zum Internet und der zum Nächsten usw, bis ein Router das Ziel-Subnetz und einen Weg dorthin kennt.
Warum sollte denn ein Gerät mit 2 (oder mehr) Netzwerkkarten mehr als einen Weg für unbekannte Ziele (zB Pakete ins Internet) nutzen/ kennen? Das würde ja bedeuten, das im jeweiligen LAN zB 2 unterschiedliche Internet-Router existieren und das sendende Gerät mit 2 NICs sich entscheiden muß, über welchen Weg ein unbekanntes Ziel (IP im Internet) zu erreichen ist. Woher sollte das Gerät diese Info bekommen??
Wie der Name schon sagt: das Standard-Gateway ist das Ziel für alle Pakete, deren Weg zum Ziel nicht bekannt ist. Und dafür braucht jedes Gerät nur ein Standard-Gateway.
Wenn ich bekannte Ziele über einen festgelegten Weg (Router) erreichen will, mache ich das durch einen Routing-Eintrag.
Jürgen
wenn ich jetzt der zweiten Netzwerkkarte auch ein Gateway hinzufüge.
Windows kann damit nicht umgehen. Wie auch, denn woher soll das OS wissen welches der zahllosen Gateways es denn nun verwenden soll ?!Es entscheidet dann die Bindungsreihenfolge der Netzwerk Karten welches Gateway genommen wird. Das der NIC die bei der Bindungsreihenfolge ganz am Anfang ist.
über einen simplen routen Eintrag auf dem Windows Server auf das Gateway 172.16.0.250 zu routen.
Ja, das geht, denn sowie statische Routen ins Spiel kommen gibst du ja dediziert einen Weg vor und Windows muss nicht raten.In der Regel sollen aber niemals die Endgeräte routen sondern immer die Router in der Netzwerk Infrastruktur. Solche Routen auf Endgeräte zeugen meist von einem falschen oder fehlerhaften Layer 3 Design !
Siehe auch hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Was das Thema VLAN Trunks anbetrifft steht hier alles was du zu dem Thema wissen musst:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
und
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ich bin mir dessen bewusst, dass ein Gerät nur ein Default Gateway braucht, aber wer weiß ob Windows hier sehr eigen ist.
also nochmal mein Problem zusammengefasst.
Ich habe ein Server mit zwei Netzwerkarten in unterschiedlichen Subnetzen und unterschiedlichen VLAN´s wobei die VLANS über VMware konfiguriert werden.
Interface1: IP: 172.16.17.35 MASK:255.255.0.0 GW: 172.16.0.250
Interface2: IP 10.99.10.1 MASK 255.255.0.0 GW: /
schaue ich bei dieser Konfiguration in die aktiven Routen so wird mir folgendes angezeigt:
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 172.16.0.250 172.16.17.35 25
10.99.0.0 255.255.0.0 Auf Verbindung 10.99.10.29 281
Jetzt kommen wir zu meinem Problem:
befinde ich mich mit meinem PC im Subnetz 172.16.0.0 ist es nicht möglich das Interface 2 (10.99.10.1) anzupingen und ich bekomme nur eine Zeitüberschreitung zurück. Füge ich beim Interface 2 ein Gateway hinzu: 10.99.254.1 erreiche ich das Interface auch aus dem 172.16.0.0 Netz
Aus dem Subnetz 10.99.0.0 ist alles zu erreichen.
Ich bin mir gerade auch unsicher, was Gateway " Auf Verbindung" bedeuten soll. Ich brauche eigentlich nur einen Rat, wo ich suchen soll. Weil meiner Meinung nach sollte die Konfiguration so richtig sein und theoretisch alles laufen. Firewalls sind alle aus.
also nochmal mein Problem zusammengefasst.
Ich habe ein Server mit zwei Netzwerkarten in unterschiedlichen Subnetzen und unterschiedlichen VLAN´s wobei die VLANS über VMware konfiguriert werden.
Interface1: IP: 172.16.17.35 MASK:255.255.0.0 GW: 172.16.0.250
Interface2: IP 10.99.10.1 MASK 255.255.0.0 GW: /
schaue ich bei dieser Konfiguration in die aktiven Routen so wird mir folgendes angezeigt:
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 172.16.0.250 172.16.17.35 25
10.99.0.0 255.255.0.0 Auf Verbindung 10.99.10.29 281
Jetzt kommen wir zu meinem Problem:
befinde ich mich mit meinem PC im Subnetz 172.16.0.0 ist es nicht möglich das Interface 2 (10.99.10.1) anzupingen und ich bekomme nur eine Zeitüberschreitung zurück. Füge ich beim Interface 2 ein Gateway hinzu: 10.99.254.1 erreiche ich das Interface auch aus dem 172.16.0.0 Netz
Aus dem Subnetz 10.99.0.0 ist alles zu erreichen.
Ich bin mir gerade auch unsicher, was Gateway " Auf Verbindung" bedeuten soll. Ich brauche eigentlich nur einen Rat, wo ich suchen soll. Weil meiner Meinung nach sollte die Konfiguration so richtig sein und theoretisch alles laufen. Firewalls sind alle aus.
Zitat von @140034:
Jetzt kommen wir zu meinem Problem:
befinde ich mich mit meinem PC im Subnetz 172.16.0.0 ist es nicht möglich das Interface 2 (10.99.10.1) anzupingen und ich bekomme nur eine Zeitüberschreitung zurück. Füge ich beim Interface 2 ein Gateway hinzu: 10.99.254.1 erreiche ich das Interface auch aus dem 172.16.0.0 Netz
Aus dem Subnetz 10.99.0.0 ist alles zu erreichen.
Und was hat das mit dem Server zu tun? Erstmal gar nichts.Jetzt kommen wir zu meinem Problem:
befinde ich mich mit meinem PC im Subnetz 172.16.0.0 ist es nicht möglich das Interface 2 (10.99.10.1) anzupingen und ich bekomme nur eine Zeitüberschreitung zurück. Füge ich beim Interface 2 ein Gateway hinzu: 10.99.254.1 erreiche ich das Interface auch aus dem 172.16.0.0 Netz
Aus dem Subnetz 10.99.0.0 ist alles zu erreichen.
Man müsste zuerst wissen, wie den dieser betreffende Client konfiguriert ist. Ich wette, er hat 172.16.0.0 Netz das selbe Gateway wie der Server auch eingetragen. Also sendet der Client die Anfrage an die 10.99.10.3 an das Gateway und dieses an den Server. Wenn dem so ist, dann ist das ganze Konstrukt sowieso Käse. Wenn diese beiden Netze bereits über ein Router verbunden sind, warum soll dann der Server in beide Netze verbunden werden? Dann wäre es die viel saubere Lösung, den Server nur in eines dieser beiden zu verbinden und das Routing dem bereits vorhandenen Router zu überlassen.
Hallo,
ein Gerät mit 2 NICs in jeweils eigenen Subnetzen ist nicht automatisch ein Router, der den Zugriff von einem Subnetz auf IPs des anderen Subnetzes ermöglicht! Um das zu ermöglichen, muß der Routing-Dienst/ Funktion installiert, aktiviert und konfiguriert werden!
Betrachten wir deinen Server mal als 2 Geräte mit jeweils einer NIC im jeweiligen Subnetz. Über welchen Weg (Route) gelangen denn die Pakete von einem ins andere Subnetz? Welches Gerät (Router) "verbindet" beide Subnetze? Wie ist dieses Gerät (Router) konfiguriert?
Jetzt sag nicht der Server mit den 2 NICs! Wenn da nicht der richtig konfigurierte Routing-Dienst läuft, ist das kein Router, der Subnetze verbindet. Damit geht eben kein Ping (oder sonstiges IP-Paket) von Subnetz A ins Subnetz B!
Was verstehst Du unter:
Meinst du, du hast einem VMware-Host, auf dem sind 2 virtuelle Switche für jeweils ein Subnetz/VLAN konfiguriert. Auf dem Host läuft ein Windows-Server als VM mit 2 virtuellen NICs, die jeweils mit einem der beiden virtuellen Switche (Subnetze, VLANs) verbunden sind.
Gut. Und wer routet zwischen den beiden Subnetzen/VLANs??
@aqui hat doch in seinem Post schon auf das Routing-Problem hingewiesen.
Jürgen
ein Gerät mit 2 NICs in jeweils eigenen Subnetzen ist nicht automatisch ein Router, der den Zugriff von einem Subnetz auf IPs des anderen Subnetzes ermöglicht! Um das zu ermöglichen, muß der Routing-Dienst/ Funktion installiert, aktiviert und konfiguriert werden!
Betrachten wir deinen Server mal als 2 Geräte mit jeweils einer NIC im jeweiligen Subnetz. Über welchen Weg (Route) gelangen denn die Pakete von einem ins andere Subnetz? Welches Gerät (Router) "verbindet" beide Subnetze? Wie ist dieses Gerät (Router) konfiguriert?
Jetzt sag nicht der Server mit den 2 NICs! Wenn da nicht der richtig konfigurierte Routing-Dienst läuft, ist das kein Router, der Subnetze verbindet. Damit geht eben kein Ping (oder sonstiges IP-Paket) von Subnetz A ins Subnetz B!
Was verstehst Du unter:
unterschiedlichen Subnetzen und unterschiedlichen VLAN´s wobei die VLANS über VMware konfiguriert werden.
Meinst du, du hast einem VMware-Host, auf dem sind 2 virtuelle Switche für jeweils ein Subnetz/VLAN konfiguriert. Auf dem Host läuft ein Windows-Server als VM mit 2 virtuellen NICs, die jeweils mit einem der beiden virtuellen Switche (Subnetze, VLANs) verbunden sind.
Gut. Und wer routet zwischen den beiden Subnetzen/VLANs??
@aqui hat doch in seinem Post schon auf das Routing-Problem hingewiesen.
Jürgen
Vielleicht hilft es allen hier weiter wenn der TO mal eine kurze Netzwerk Skizze postet, damit alle wissen was gemeint ist 
Hier mal ein Bild wie das ganze aussieht. Meiner Meinung nach kommt es zu folgendem Ablauf:
PC Source IP: 172.16.0.x Destination IP: 10.99.10.x -> wird an Default Gateway 172.16.0.250 gesendet. Der Router hat das Interface 10.99.254.1 und kennt somit das Netz und kann das Paket dem Server(Ziel) zustellen. Das Paket kommt an und Source und Destination IP Adresse dreht sich um. Die Source IP: 10.99.10.x Destination IP: 172.16.0.x. Ab hier bin ich mir nicht genau sicher wie der Server damit umgeht.
Ich bin der Meinung, dass wenn man segmentieren möchte den Server nicht in einem nur in einem Netz hängen hat aus Gründen wie: Sicherheit und Performance. Der Router, was auch gleichzeitig eine Firewall ist ermöglicht es mir ja den Zugriff zu steuern.
Ich Danke trotzdem schonmal allen die versuchen mir zu folgen
PC Source IP: 172.16.0.x Destination IP: 10.99.10.x -> wird an Default Gateway 172.16.0.250 gesendet. Der Router hat das Interface 10.99.254.1 und kennt somit das Netz und kann das Paket dem Server(Ziel) zustellen. Das Paket kommt an und Source und Destination IP Adresse dreht sich um. Die Source IP: 10.99.10.x Destination IP: 172.16.0.x. Ab hier bin ich mir nicht genau sicher wie der Server damit umgeht.
Ich bin der Meinung, dass wenn man segmentieren möchte den Server nicht in einem nur in einem Netz hängen hat aus Gründen wie: Sicherheit und Performance. Der Router, was auch gleichzeitig eine Firewall ist ermöglicht es mir ja den Zugriff zu steuern.
Ich Danke trotzdem schonmal allen die versuchen mir zu folgen
Ums mal etwas übersichtlicher aus Layer 3 (IP) Sicht zu machen:
Das Verhalten ist ganz einfach:
Das Verhalten ist ganz einfach:
- Wenn der Server als einziges Gateway nur die 172.16.0.250 eingetragen hat geht sämtlicher Traffic in andere IP Netze die NICHT direkt an seinen NICs angeschlossen sind an diese IP Adresse.
- Lokaler Traffic wird natürlich auch nur über die lokalen NICs gesendet.
- Fällt die 172.16er NIC mal aus hat der Server kein Internet !
Wenn man hier Failover benötigt, dann wäre die Lösung aber auch nicht zwei Subnetze sondern die NIC's am Server zusammenzufassen.
Hallo.
Blödsinn! Da der Client im LAN ist und den Router kennt und damit weiß, wo er IP-Pakete hinschicken muss, wenn er andere Subnetze im LAN erreichen will, schickt er das IP-Paket an 172.16.0.250. Das ist zwar auch der Standard- bzw Default-Router, aber er wird nicht als solcher genutzt, da der Weg zum Ziel bekannt ist. (Dazu dienen die Routing-Protokolle RIP oder OSPF)
Der Eintrag Standard-Gateway bzw Default-Route wird nur genutzt, wenn der Weg zum Ziel nicht bekannt ist. Dh., wenn der Client nicht weiß, über welchen Router das Zielnetz erreichbar ist. Im LAN sollten alle Wege bekannt sein, somit wird im LAN für das Inter-LAN-Routing der Standard-Gateway-Eintrag nicht genutzt.
Der Server schickt das Antwort-Paket an den Router, der im für den Weg zum Ziel bekannt ist. In der Regel ist das der gleiche Router/ Weg, auf dem das Paket gekommen ist. Das muß aber nicht so sein.
Wenn die Performance der Serveranbindung nicht reicht, bündelt man Links (Trunking) oder man setzt auf die nächst höhere Netzwerk-Geschwindigkeit (also Clients mit 1GB und den Server mit 10GB).
Die Firewall braucht um die Sicherheit zu gewährleisten nicht 2 NICs für den Server. Das realisiert man anders.
Üblicherweise segmentiert man so: alle Server in ein Subnetz/VLAN, alle Clients zB der Verwaltung in ein 2. Subnetz/VLAN, alle Clients zB der Fertigung in ein 3. Subnetz/VLAN usw. Und dann noch ein Management-Subnetz/VLAN für die Management-Ports der Server, Switche usw.
Wer oder was ist denn eigentlich der Router mit den Adressen 10.99.254.1 und 172.16.0.250. Ist dort ein Routing-Protokoll (RIP, OSPF) aktiviert. Wenn nicht, ist die Routingtabelle für Hin- und Rückweg richtig manuell konfiguriert?
Jürgen
PC Source IP: 172.16.0.x Destination IP: 10.99.10.x -> wird an Default Gateway 172.16.0.250 gesendet.
Blödsinn! Da der Client im LAN ist und den Router kennt und damit weiß, wo er IP-Pakete hinschicken muss, wenn er andere Subnetze im LAN erreichen will, schickt er das IP-Paket an 172.16.0.250. Das ist zwar auch der Standard- bzw Default-Router, aber er wird nicht als solcher genutzt, da der Weg zum Ziel bekannt ist. (Dazu dienen die Routing-Protokolle RIP oder OSPF)
Der Eintrag Standard-Gateway bzw Default-Route wird nur genutzt, wenn der Weg zum Ziel nicht bekannt ist. Dh., wenn der Client nicht weiß, über welchen Router das Zielnetz erreichbar ist. Im LAN sollten alle Wege bekannt sein, somit wird im LAN für das Inter-LAN-Routing der Standard-Gateway-Eintrag nicht genutzt.
Ab hier bin ich mir nicht genau sicher wie der Server damit umgeht.
Der Server schickt das Antwort-Paket an den Router, der im für den Weg zum Ziel bekannt ist. In der Regel ist das der gleiche Router/ Weg, auf dem das Paket gekommen ist. Das muß aber nicht so sein.
Ich bin der Meinung, dass wenn man segmentieren möchte den Server nicht in einem nur in einem Netz hängen hat aus
Gründen wie: Sicherheit und Performance. Der Router, was auch gleichzeitig eine Firewall ist ermöglicht es mir ja
den Zugriff zu steuern.
Gründen wie: Sicherheit und Performance. Der Router, was auch gleichzeitig eine Firewall ist ermöglicht es mir ja
den Zugriff zu steuern.
Wenn die Performance der Serveranbindung nicht reicht, bündelt man Links (Trunking) oder man setzt auf die nächst höhere Netzwerk-Geschwindigkeit (also Clients mit 1GB und den Server mit 10GB).
Die Firewall braucht um die Sicherheit zu gewährleisten nicht 2 NICs für den Server. Das realisiert man anders.
Üblicherweise segmentiert man so: alle Server in ein Subnetz/VLAN, alle Clients zB der Verwaltung in ein 2. Subnetz/VLAN, alle Clients zB der Fertigung in ein 3. Subnetz/VLAN usw. Und dann noch ein Management-Subnetz/VLAN für die Management-Ports der Server, Switche usw.
Wer oder was ist denn eigentlich der Router mit den Adressen 10.99.254.1 und 172.16.0.250. Ist dort ein Routing-Protokoll (RIP, OSPF) aktiviert. Wenn nicht, ist die Routingtabelle für Hin- und Rückweg richtig manuell konfiguriert?
Jürgen
Richtig. Ist mir alles bewusst. Nur das Problem ist ja wieso ich aus dem Netz 172.16.0.0/16 die IP 10.99.10.x vom Server nicht erreichen kann.
Zitat von @140034:
Richtig. Ist mir alles bewusst. Nur das Problem ist ja wieso ich aus dem Netz 172.16.0.0/16 die IP 10.99.10.x vom Server nicht erreichen kann.
Womit denn erreichen? Welches Protokoll?Richtig. Ist mir alles bewusst. Nur das Problem ist ja wieso ich aus dem Netz 172.16.0.0/16 die IP 10.99.10.x vom Server nicht erreichen kann.
Wenn an NIC 2 (10.99....) kein GW eingetragen ist, dann geht die Antwort über NIC 1 (172.16....) raus, weil der Empfänger der Antwort in diesem Netz ist. Der Empfänger hat dann aber an die Adresse im 10.99.... gesendet und bekommt Antwort von der Serveradresse im 172.16....
Blödsinn! Da der Client im LAN ist und den Router kennt und damit weiß, wo er IP-Pakete hinschicken muss, wenn er andere Subnetze im LAN erreichen will, schickt er das IP-Paket an 172.16.0.250. Das ist zwar auch der Standard- bzw Default-Router, aber er wird nicht als solcher genutzt, da der Weg zum Ziel bekannt ist. (Dazu dienen die Routing-Protokolle RIP oder OSPF)
Ich habe doch geschrieben, dass die Source nicht in dem gleichen Subnetz ist wie Destination = also muss er diese an sein DefaultGateway schicken.
Der Eintrag Standard-Gateway bzw Default-Route wird nur genutzt, wenn der Weg zum Ziel nicht bekannt ist. Dh., wenn der Client nicht weiß, über welchen Router das Zielnetz erreichbar ist. Im LAN sollten alle Wege bekannt sein, somit wird im LAN für das Inter-LAN-Routing der Standard-Gateway-Eintrag nicht genutzt.
Der Server schickt das Antwort-Paket an den Router, der im für den Weg zum Ziel bekannt ist. In der Regel ist das der gleiche Router/ Weg, auf dem das Paket gekommen ist. Das muß aber nicht so sein.
Ab hier bin ich mir nicht genau sicher wie der Server damit umgeht.
Der Server schickt das Antwort-Paket an den Router, der im für den Weg zum Ziel bekannt ist. In der Regel ist das der gleiche Router/ Weg, auf dem das Paket gekommen ist. Das muß aber nicht so sein.
Genau das funktioniert aber nicht. Sollte es aber doch also könnte irgendwas auf dem Router nicht richtig eingetragen sein vermute ich jetzt, da es mir den anschein macht, dass auf dem Server alles richtig konfiguriert ist.
Wenn die Performance der Serveranbindung nicht reicht, bündelt man Links (Trunking) oder man setzt auf die nächst höhere Netzwerk-Geschwindigkeit (also Clients mit 1GB und den Server mit 10GB).
Die Firewall braucht um die Sicherheit zu gewährleisten nicht 2 NICs für den Server. Das realisiert man anders.
Üblicherweise segmentiert man so: alle Server in ein Subnetz/VLAN, alle Clients zB der Verwaltung in ein 2. Subnetz/VLAN, alle Clients zB der Fertigung in ein 3. Subnetz/VLAN usw. Und dann noch ein Management-Subnetz/VLAN für die Management-Ports der Server, Switche usw.
Die Firewall braucht um die Sicherheit zu gewährleisten nicht 2 NICs für den Server. Das realisiert man anders.
Üblicherweise segmentiert man so: alle Server in ein Subnetz/VLAN, alle Clients zB der Verwaltung in ein 2. Subnetz/VLAN, alle Clients zB der Fertigung in ein 3. Subnetz/VLAN usw. Und dann noch ein Management-Subnetz/VLAN für die Management-Ports der Server, Switche usw.
Ich habe da genau die gleichen Ideen aber darum geht es nicht. Es geht darum, dass ich von dem dem Netz 172.16.0.0/16 keine Antowrt auf die IP: 10.99.0.x bekomme. Bei diesem Interface habe ich kein Default extra hinzugefügt, da ich bei der zweiten NIC schon eins habe.
Wer oder was ist denn eigentlich der Router mit den Adressen 10.99.254.1 und 172.16.0.250. Ist dort ein Routing-Protokoll (RIP, OSPF) aktiviert. Wenn nicht, ist die Routingtabelle für Hin- und Rückweg richtig manuell konfiguriert?>
Ich werde mal schauen ob ich hier etwas finde. Danke erstmal
Womit denn erreichen? Welches Protokoll?
ICMP
Wenn an NIC 2 (10.99....) kein GW eingetragen ist, dann geht die Antwort über NIC 1 (172.16....) raus, weil der Empfänger der Antwort in diesem Netz ist. Der Empfänger hat dann aber an die Adresse im 10.99.... gesendet und bekommt Antwort von der Serveradresse im 172.16....
Ja das Frage ich mich ja auch die ganze Zeit aber wie wäre denn die Lösung dafür? Mir wurde bis jetzt immer gesagt ich soll nur ein Default Gateway einem Host zuordnen.
Zitat von @140034:
Ja das Frage ich mich ja auch die ganze Zeit aber wie wäre denn die Lösung dafür?
Den Server nur mit einem der beiden Netze verbinden.Ja das Frage ich mich ja auch die ganze Zeit aber wie wäre denn die Lösung dafür?
Welche Sinn soll das denn haben, den Server mit beiden Netzen zu verbinden?
´
Wenn ich der NIC das Gateway 10.99.254.1 hinzufüge funktioniert dann auch alles wunderbar
Dann würde ich nur einen Server haben, der zwei Gateways hat. Mir wurde davon abgeraten...
Ja das Frage ich mich ja auch die ganze Zeit aber wie wäre denn die Lösung dafür? Mir wurde bis jetzt immer gesagt ich soll nur ein Default Gateway einem Host zuordnen.
Wenn ich der NIC das Gateway 10.99.254.1 hinzufüge funktioniert dann auch alles wunderbar
Dann würde ich nur einen Server haben, der zwei Gateways hat. Mir wurde davon abgeraten...
Den Server nur mit einem der beiden Netze verbinden.
Welche Sinn soll das denn haben, den Server mit beiden Netzen zu verbinden?
Welche Sinn soll das denn haben, den Server mit beiden Netzen zu verbinden?
Es gibt viele Gründe. Ich möchte zum Beispiel mein Produktionsserver im Produktionsnetz haben, damit die Produktion nicht jede Anfrage routen muss. Dann brauche ich aber auch noch ein MGMT Netzwerk. Im Rahmen der ganzen segmentierung macht es einfach Sinn das alles zu machen.
Zitat von @140034:
Ich möchte zum Beispiel mein Produktionsserver im Produktionsnetz haben, damit die Produktion nicht jede Anfrage routen muss. Dann brauche ich aber auch noch ein MGMT Netzwerk. Im Rahmen der ganzen segmentierung macht es einfach Sinn das alles zu machen.
Von einem Client im Produktivnetz, in welchem der Server direkt verbunden ist, willst Du auf den Server über das Management-Netz zugreifen. Warum, welchen Sinn soll das machen?Ich möchte zum Beispiel mein Produktionsserver im Produktionsnetz haben, damit die Produktion nicht jede Anfrage routen muss. Dann brauche ich aber auch noch ein MGMT Netzwerk. Im Rahmen der ganzen segmentierung macht es einfach Sinn das alles zu machen.
Wenn Du schon Produktion und Management trennen willst, dann sollten auch die Management-Clients nicht im Produktionsnetz stehen. Und dann hast Du das ganze Problem überhaupt nicht. Entweder sind die Management-Clients dann auch im Management-Netz oder in einem dritten Netz. Wenn im dritten Netz, dann die Routing-Regeln dafür einrichten und fertig aus. Auf dem Server dann eine dedizierte Route zum dritten Netz, welche über die 10.99.-Adresse des Routers geht.
Zitat von @emeriks:
Wenn Du schon Produktion und Management trennen willst, dann sollten auch die Management-Clients nicht im Produktionsnetz stehen. Und dann hast Du das ganze Problem überhaupt nicht. Entweder sind die Management-Clients dann auch im Management-Netz oder in einem dritten Netz. Wenn im dritten Netz, dann die Routing-Regeln dafür einrichten und fertig aus. Auf dem Server dann eine dedizierte Route zum dritten Netz, welche über die 10.99.-Adresse des Routers geht.
Zitat von @140034:
Ich möchte zum Beispiel mein Produktionsserver im Produktionsnetz haben, damit die Produktion nicht jede Anfrage routen muss. Dann brauche ich aber auch noch ein MGMT Netzwerk. Im Rahmen der ganzen segmentierung macht es einfach Sinn das alles zu machen.
Von einem Client im Produktivnetz, in welchem der Server direkt verbunden ist, willst Du auf den Server über das Management-Netz zugreifen. Warum, welchen Sinn soll das machen?Ich möchte zum Beispiel mein Produktionsserver im Produktionsnetz haben, damit die Produktion nicht jede Anfrage routen muss. Dann brauche ich aber auch noch ein MGMT Netzwerk. Im Rahmen der ganzen segmentierung macht es einfach Sinn das alles zu machen.
Wenn Du schon Produktion und Management trennen willst, dann sollten auch die Management-Clients nicht im Produktionsnetz stehen. Und dann hast Du das ganze Problem überhaupt nicht. Entweder sind die Management-Clients dann auch im Management-Netz oder in einem dritten Netz. Wenn im dritten Netz, dann die Routing-Regeln dafür einrichten und fertig aus. Auf dem Server dann eine dedizierte Route zum dritten Netz, welche über die 10.99.-Adresse des Routers geht.
Ich danke dir sehr für deine Mühe. Mir ist das alles wirklich klar was du sagst und so wird es am Ende auch sein nur ich habe meine Gründe die ich hier aber nicht großartig disktieren möchte sondern mir ist aufgefallen das es nicht funktioniert und ich möchte herausfinden wieso.
Hallo,
nochmal: die Information Standard-Gateway oder Default-Route wird von einem Gerät nur dann benutzt, wenn es den nächsten Router auf dem Weg zum Ziel nicht kennt!!!! Wenn dem Gerät die Route zum Ziel bekannt ist - was im LAN, bei korekter Konfiguration der Router, der Fall sein sollte, wird die Information Standard-Gateway bzw Default-Route für den Inter-LAN-Verkehr nicht benötigt/genutzt! Ausschließlich Pakete ins Internet werden über das Standard-Gateway im LAN von Router zu Router weitergereicht, bis zum Internet-Router.
Wenn ein Client oder Server ein Datenpaket über NIC A empfängt, schickt er die Antwort auch wieder über NIC A. Es sei denn, seine Routing-Informationen (Stichwort ARP) sagen etwas anderes. Das kann sein, meistens ist die Ursache aber eine Fehlkonfiguration im Router.
Zusammengefaßt: Das Default-/Standard-Gateway wird in der Regel nur für Ziele außerhalb des LANs benötigt. Alle möglichen Wege zum Ziel im LAN sind allen Beteiligten bekannt. Vorrausgesetzt, die Router sind richtig konfiguriert. Wenn man das nicht von Hand machen will/kann, überläßt man das den Routing-Protokollen (zB. RIP oder OSPF). Die sorgen dann dafür, dass alle beteiligten Partner die richtigen (Routing-) Informationen bekommen.
Jürgen
nochmal: die Information Standard-Gateway oder Default-Route wird von einem Gerät nur dann benutzt, wenn es den nächsten Router auf dem Weg zum Ziel nicht kennt!!!! Wenn dem Gerät die Route zum Ziel bekannt ist - was im LAN, bei korekter Konfiguration der Router, der Fall sein sollte, wird die Information Standard-Gateway bzw Default-Route für den Inter-LAN-Verkehr nicht benötigt/genutzt! Ausschließlich Pakete ins Internet werden über das Standard-Gateway im LAN von Router zu Router weitergereicht, bis zum Internet-Router.
Wenn ein Client oder Server ein Datenpaket über NIC A empfängt, schickt er die Antwort auch wieder über NIC A. Es sei denn, seine Routing-Informationen (Stichwort ARP) sagen etwas anderes. Das kann sein, meistens ist die Ursache aber eine Fehlkonfiguration im Router.
Zusammengefaßt: Das Default-/Standard-Gateway wird in der Regel nur für Ziele außerhalb des LANs benötigt. Alle möglichen Wege zum Ziel im LAN sind allen Beteiligten bekannt. Vorrausgesetzt, die Router sind richtig konfiguriert. Wenn man das nicht von Hand machen will/kann, überläßt man das den Routing-Protokollen (zB. RIP oder OSPF). Die sorgen dann dafür, dass alle beteiligten Partner die richtigen (Routing-) Informationen bekommen.
Jürgen
Zitat von @140034:
Ich danke dir sehr für deine Mühe. Mir ist das alles wirklich klar was du sagst und so wird es am Ende auch sein nur ich habe meine Gründe die ich hier aber nicht großartig disktieren möchte sondern mir ist aufgefallen das es nicht funktioniert und ich möchte herausfinden wieso.
OK, keine Ursache. Dann haben wir Dir ja bereits alles erklärt.Ich danke dir sehr für deine Mühe. Mir ist das alles wirklich klar was du sagst und so wird es am Ende auch sein nur ich habe meine Gründe die ich hier aber nicht großartig disktieren möchte sondern mir ist aufgefallen das es nicht funktioniert und ich möchte herausfinden wieso.
Zusammenfassung:
Client A 172.16.0.x im VLAN 10 möchte ein Paket an Client B10.99.x.x im VLAN 99 schicken. Er erreicht es nicht und sendet dieses an sein Gateway. Der Router hat das Interface 10.99.254.1 und sendet es hierüber an den Client. Jetzt möchte dieser Antworten zurück an Client A. Er sieht, dass Client A nicht in seinem Netz ist und muss es an sein Gateway senden, was er aber nicht eingetragen hat und deswegen erhalte ich auch keine Antwort.
Mir war in dem ganzen ja nicht bewusst, dass Client B welcher über auch ein Interface in dem Netz von dem Client A hat das Paket nicht einfach über dieses Interface rausschiebt. Sogesehen bin ich ja gezwungen in meinem Fall ein Gateway hinzuzufügen.
Client A 172.16.0.x im VLAN 10 möchte ein Paket an Client B10.99.x.x im VLAN 99 schicken. Er erreicht es nicht und sendet dieses an sein Gateway. Der Router hat das Interface 10.99.254.1 und sendet es hierüber an den Client. Jetzt möchte dieser Antworten zurück an Client A. Er sieht, dass Client A nicht in seinem Netz ist und muss es an sein Gateway senden, was er aber nicht eingetragen hat und deswegen erhalte ich auch keine Antwort.
Mir war in dem ganzen ja nicht bewusst, dass Client B welcher über auch ein Interface in dem Netz von dem Client A hat das Paket nicht einfach über dieses Interface rausschiebt. Sogesehen bin ich ja gezwungen in meinem Fall ein Gateway hinzuzufügen.
...und deswegen erhalte ich auch keine Antwort.
Jepp, genau richtig !Aber warum hat denn Client B im 10.99er Netz gar kein Gateway eingetragen ?? Normal hat doch jeder Client ein Default Gateway ??
dass Client B welcher über auch ein Interface in dem Netz von dem Client A hat das Paket nicht einfach über dieses Interface rausschiebt.
Das tut er doch !!!Wenn Client B zwei Interfaces hat also eins im 10.99.x.y Netz und eins im 172.16.0er Netz wäre es...
- erstens ziemlicher Blödsinn ihm dann von Client A ein Paket via 10.99.x.y zu senden wenn Client A selber dierekt im 172.16.0er Netz ist. Das würde ja direkt sinnvoller sein.
- gesetzt den Fall es wäre so würde Client A dem Client B ein ICMP Redirect Paket schicken und ihm sagen das er direkt im 172er netz erreichbar ist.
- Dann sendet Client A das Paket auf dem 172er Interface raus.
Warum nimmst du dir nicht einfach mal einen kostenlosen Wireshark Sniffer und siehst dir das in deinem Netzwerk selber live an ?? Das hätte uns diese überflüssigen Threads hier erspart und du hättest es live selber sehen können wie es richtig funktioniert !!
https://www.wireshark.org/#download
