Zwei Netze parallel betreiben - Erreichbarkeit der einzelnen Clients untereinander
Hallo zusammen,
ich bin sehr neu im Thema Netzwerk, mein bisheriges Wissen beschränkt sich eher auf einfache Heimnetzwerke.
Ich stehe derzeit vor folgender Herausforderung:
- Es gibt ein uraltes Netz (3.0.0.0/255.0.0.0) welches dringend abgelöst werden muss. Dieses soll künftig ein normales privates 10 er Netz sein.
- Da wir sehr viele Clients und Abhängigkeiten in dem alten 3er Netz haben, war jetzt die Idee, ein 10er Netz parallel hochzuziehen und die Clients sowie Abhängigkeiten nach und nach aufzulösen.
Ist ein solches Konstrukt prinzipiell machbar? Ich habe mit Filius einmal meine Infrastruktur auszugsweise abgebildet:
Leider bekomme ich keine Verbindung zwischen dem 3er und 10er Netzwerk hin. In Filius klappt das so, in der Reallität leider nicht. Wenn ich beispielsweise von dem Host "Desktop 3.0.0.240" einen Ping auf 10.7.0.26 absetze bekomme ich eine Antwort. Pinge ich dann jedoch von "Desktop 3.0.0.240" das "Notebook 10.0.0.22" so passiert leider gar nichts.
Auf dem Vermittlungsrechner "Rechner 3.0.0.26 / Rechner 10.7.0.26" sehe ich dann den Ping Request auf eth0 (3.0.0.26) eingehen mit einem tcpdump, auf dem Interface eth1 (10.7.0.26) tut sich aber leider nichts.
Wäre super wenn mir jemand helfen könnte, bzw. einen Denkanstoß an die richtige Richtung geben kann.
VG
waeller
ich bin sehr neu im Thema Netzwerk, mein bisheriges Wissen beschränkt sich eher auf einfache Heimnetzwerke.
Ich stehe derzeit vor folgender Herausforderung:
- Es gibt ein uraltes Netz (3.0.0.0/255.0.0.0) welches dringend abgelöst werden muss. Dieses soll künftig ein normales privates 10 er Netz sein.
- Da wir sehr viele Clients und Abhängigkeiten in dem alten 3er Netz haben, war jetzt die Idee, ein 10er Netz parallel hochzuziehen und die Clients sowie Abhängigkeiten nach und nach aufzulösen.
Ist ein solches Konstrukt prinzipiell machbar? Ich habe mit Filius einmal meine Infrastruktur auszugsweise abgebildet:
Leider bekomme ich keine Verbindung zwischen dem 3er und 10er Netzwerk hin. In Filius klappt das so, in der Reallität leider nicht. Wenn ich beispielsweise von dem Host "Desktop 3.0.0.240" einen Ping auf 10.7.0.26 absetze bekomme ich eine Antwort. Pinge ich dann jedoch von "Desktop 3.0.0.240" das "Notebook 10.0.0.22" so passiert leider gar nichts.
Auf dem Vermittlungsrechner "Rechner 3.0.0.26 / Rechner 10.7.0.26" sehe ich dann den Ping Request auf eth0 (3.0.0.26) eingehen mit einem tcpdump, auf dem Interface eth1 (10.7.0.26) tut sich aber leider nichts.
Wäre super wenn mir jemand helfen könnte, bzw. einen Denkanstoß an die richtige Richtung geben kann.
VG
waeller
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 487933
Url: https://administrator.de/forum/zwei-netze-parallel-betreiben-erreichbarkeit-der-einzelnen-clients-untereinander-487933.html
Ausgedruckt am: 23.12.2024 um 02:12 Uhr
21 Kommentare
Neuester Kommentar
Zitat von @waeller:
Ist ein solches Konstrukt prinzipiell machbar? Ich habe mit Filius einmal meine Infrastruktur auszugsweise abgebildet:
Ist ein solches Konstrukt prinzipiell machbar? Ich habe mit Filius einmal meine Infrastruktur auszugsweise abgebildet:
Ja. Das Internet funktioniert so. Das Ding dazwsichen heißt Router und as gibt es ab 20€ in jedem
Leider bekomme ich keine Verbindung zwischen dem 3er und 10er Netzwerk hin. In Filius klappt das so, in der Reallität leider nicht. Wenn ich beispielsweise von dem Host "Desktop 3.0.0.240" einen Ping auf 10.7.0.26 absetze bekomme ich eine Antwort. Pinge ich dann jedoch von "Desktop 3.0.0.240" das "Notebook 10.0.0.22" so passiert leider gar nichts.
Auf dem Vermittlungsrechner "Rechner 3.0.0.26 / Rechner 10.7.0.26" sehe ich dann den Ping Request auf eth0 (3.0.0.26) eingehen mit einem tcpdump, auf dem Interface eth1 (10.7.0.26) tut sich aber leider nichts.
Wäre super wenn mir jemand helfen könnte, bzw. einen Denkanstoß an die richtige Richtung geben kann.
Auf dem Vermittlungsrechner "Rechner 3.0.0.26 / Rechner 10.7.0.26" sehe ich dann den Ping Request auf eth0 (3.0.0.26) eingehen mit einem tcpdump, auf dem Interface eth1 (10.7.0.26) tut sich aber leider nichts.
Wäre super wenn mir jemand helfen könnte, bzw. einen Denkanstoß an die richtige Richtung geben kann.
Du mußt natürlich das IP-Forwarding (=Routing) auf dem PC einschalten.
Siehe dazu auch Routing von 2 und mehr IP Netzen mit Windows, Linux und Router.
lks
Zitat von @waeller:
wow, danke! Es war tatsächlich das fehlende IP Forwarding
Das heißt die Rechner sehen sich jetzt untereinander. Jetzt muss ich nur noch die Problematik lösen ins Internet zu kommen mit den Rechnern am 10er Netz.
wow, danke! Es war tatsächlich das fehlende IP Forwarding
Das heißt die Rechner sehen sich jetzt untereinander. Jetzt muss ich nur noch die Problematik lösen ins Internet zu kommen mit den Rechnern am 10er Netz.
Einfach Gateways korrekt einstellen. Dem Internet-router muß Du natürlich sagen, wo er das 3-er netz findet und auch NAT macht. Bedenke aber, daß Du dann keine Netze aus dem bereich 3.0.0.0/8 erreichen kannst, weil die Router denken, daß Netz ist bei Dir.
lks
Einfach mal das oben gepostete Routing Tutorial wirklich lesen !!
So bekommst du das hin:
Mal ein paar Anfängertips:
So bekommst du das hin:
Mal ein paar Anfängertips:
- Das 10er Netz sollte eine 24 Bit Maske haben 255.255.255.0 !
- Router oder Gateways gibt man aus gutem Grund immer die IPs ganz am Ende oder Anfang des Netzes und niemals mittendrin. Das beugt einer Doppelvergabe vor und damit dan Chaos im Netz. Sinnvoll nimmt man also für den Koppelrouter 10.7.0.1 oder 10.7.0.254
- Gleiches gilt für den Internet Router
Zitat von @waeller:
Eine letzte Frage habe ich aber doch noch:
Ist es theoretisch möglich das ich den Router mit der 3.0.0.26 und 10.7.0.26 an den gleichen Switch hänge mit beiden Beinen? Meine Hoffnung wäre, dass ich dadurch die 10er und 3er Clients in alle Netzwerkdosen im Haus stecken könnte.
Eine letzte Frage habe ich aber doch noch:
Ist es theoretisch möglich das ich den Router mit der 3.0.0.26 und 10.7.0.26 an den gleichen Switch hänge mit beiden Beinen? Meine Hoffnung wäre, dass ich dadurch die 10er und 3er Clients in alle Netzwerkdosen im Haus stecken könnte.
Sowohl theoretisch als auch praktisch ist dies möglich. Du bekommst auch keine gewischt, jedenfalls vom switch nicht, aber vielleicht von @aqui.
Ich würde davon abraten, weil dann mindestens Dein DHCP nicht mehr ordentlich funktioniert und u.U. noch andere Problene auftauchen.
Sowas solltest Du nur machen, wenn Dein switch VLANs kann, über das dann die Netze auf Schicht/Layer 2 getrennt werden.
lks
Edit: Typo
Zitat von @waeller:
Noch mal vielen Dank an alle für die bisherigen Lösungen.
So wie aqui es oben dargestellt hat, ist der Aufbau jetzt fast. Ich habe noch zusätzlich herausgefunden, dass wir keinen normalen Router haben. Der 3.0.3.100 ist auch nur ein Rechner der das Internet mit dem internen 3er Netzwerk verbindet. Hinter diesem 3.0.3.100 Rechner hängt noch von der Telekom ein adtran netvanta 4660 mit einer Standleitung. Muss da jetzt ggf. noch was eingerichtet werden damit die Clients aus dem 10er Netz ins Inet kommen?
@aqui:
Hast du noch ein bisschen Futter für mich zur Argumentation gegen ein Netz mit einer 8 Bit Maske? Ich glaube ein 24 bit Netz wird uns hier nicht ausreichen, daher würde ich eher ein 22 Bit Netz nehmen. Hat ein Netz mit einer 8 Bit Maske wesentlich mehr Overhead, oder wie muss ich mir das vorstellen?
Noch mal vielen Dank an alle für die bisherigen Lösungen.
So wie aqui es oben dargestellt hat, ist der Aufbau jetzt fast. Ich habe noch zusätzlich herausgefunden, dass wir keinen normalen Router haben. Der 3.0.3.100 ist auch nur ein Rechner der das Internet mit dem internen 3er Netzwerk verbindet. Hinter diesem 3.0.3.100 Rechner hängt noch von der Telekom ein adtran netvanta 4660 mit einer Standleitung. Muss da jetzt ggf. noch was eingerichtet werden damit die Clients aus dem 10er Netz ins Inet kommen?
@aqui:
Hast du noch ein bisschen Futter für mich zur Argumentation gegen ein Netz mit einer 8 Bit Maske? Ich glaube ein 24 bit Netz wird uns hier nicht ausreichen, daher würde ich eher ein 22 Bit Netz nehmen. Hat ein Netz mit einer 8 Bit Maske wesentlich mehr Overhead, oder wie muss ich mir das vorstellen?
Du verballerst damit mehr Adressraum, das Du ggf. später brauchst. Der Overhead kommt eher mit der Anzahl der Stationen. Du solltest nicht wesentlich mehr als 100 Stationen pro Broadcastsegment reinpacken, um Probleme zu vermeiden. Mach also lieber 4x /24er als ein /8 oder ein /22.
lks
Na ja die goldenen Design Regel die jeder Netzwerker kennt, ist das man nicht mehr als max. 150 Clients in einem Layer 2 Netzwerk Segment haben sollte.
Damit ist man dann immer bei einem klassischen /24 Prefix. Der hat dann auch den Vorteil das er leicht zu verstehen ist ! Die ersten 3 Bytes (3 Zahlen) beschreiben das netzwerk selber und das letzte Byte (4te Zahl) beschreibt immer die Hostadresse. Das kann sich auch ein Laie einfach merken.
Bei einem 8 Bit Prefix hätte man die 3 letzten Bytes die die Hostadresse beschreiben. Für einfache Gemüter ist das oft recht verwirrend.
Mal ganz abgesehen davon das man knapp 17 Millionen Endgeräte adressieren könnte.
https://de.wikipedia.org/wiki/Netzmaske
Im Hinblick auf die oben genannten 150 Endgeräte natürlich ziemlicher (sorry) Schwachsinn dann 8 Bit Masken zu verwenden.
Voder zu Recht oben genannten Adresseverschwendung bei segmentierten netzen mal gar nicht zu reden.
Fazit:
8 Bit Masken benutzen nur Dummies die wenig bis gar nichts von IP Adressierung verstanden haben.
Damit ist man dann immer bei einem klassischen /24 Prefix. Der hat dann auch den Vorteil das er leicht zu verstehen ist ! Die ersten 3 Bytes (3 Zahlen) beschreiben das netzwerk selber und das letzte Byte (4te Zahl) beschreibt immer die Hostadresse. Das kann sich auch ein Laie einfach merken.
Bei einem 8 Bit Prefix hätte man die 3 letzten Bytes die die Hostadresse beschreiben. Für einfache Gemüter ist das oft recht verwirrend.
Mal ganz abgesehen davon das man knapp 17 Millionen Endgeräte adressieren könnte.
https://de.wikipedia.org/wiki/Netzmaske
Im Hinblick auf die oben genannten 150 Endgeräte natürlich ziemlicher (sorry) Schwachsinn dann 8 Bit Masken zu verwenden.
Voder zu Recht oben genannten Adresseverschwendung bei segmentierten netzen mal gar nicht zu reden.
Fazit:
8 Bit Masken benutzen nur Dummies die wenig bis gar nichts von IP Adressierung verstanden haben.
Ja, das ist richtig !
Entweder mit einem Router mit dedizierten Ports (z.B. preiswerten Mikrotik Router ab 20 Euro) oder über VLANs:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Nur das das nicht missverständlich ist:
Wenn du 4 getrennte Netze hast mit einem 8 Bit Prefix, also 4x /8er musst du zwischen diesen ganz genauso routen !
Entweder mit einem Router mit dedizierten Ports (z.B. preiswerten Mikrotik Router ab 20 Euro) oder über VLANs:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Nur das das nicht missverständlich ist:
Wenn du 4 getrennte Netze hast mit einem 8 Bit Prefix, also 4x /8er musst du zwischen diesen ganz genauso routen !
Warum "leider" ??
Von der megagruseligen Konfig Syntax mal gar nicht zu reden. Was hat dich da bloss geritten ?? Aber egal...
Leider ist deine Beschreibung mehr als laienhaft und oberflächlich so das auch wir nur frei raten können:
Ich habe jetzt einen Router angeschafft (Ubiquiti ER-X Netzwerk/Router)
Igitt, keine gute Wahl ! Das ist ein WLAN Hersteller und hat seine Expertise da aber keinesfalls im Routing Bereich.Von der megagruseligen Konfig Syntax mal gar nicht zu reden. Was hat dich da bloss geritten ?? Aber egal...
dauert es anschließend 2-3 Minuten
Dauert der Boot Prozess so lange ??Leider ist deine Beschreibung mehr als laienhaft und oberflächlich so das auch wir nur frei raten können:
- Welches betriebssystem ?
- Dauert der Bootprozess so lange oder z.B. der Aufruf einer Seite nach Eingae der Adresse im Browser ?
- Wenn Letzteres der Fall ist wie sieht die DNS Konfig aus ? Welcher ist der eingetragene DNS Server des Clients. In der Regel sind das DNS (Name Server) Timeouts
- Hast du mal mit einem Wireshark geprüft WO und WANN diese Wartezeiten auftreten
- Wenn du ein Ping direkt und ohne DNS auf eine Internet IP Adresse z.B. 8.8.8.8 pder 9.9.9.9 machst hast du dann auch diese Wartezeit ? Wenn nein spricht das für DNS Probleme.
Fragezeichen oder Ausrufezeichen am Netzwerk Status zeigt in der Regel immer an das keine Internet Connectivität besteht, spricvh also der Internet Zugang irgendwie gestört ist.
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Hier nimmt man logischerweise IMMER den DNS seines Providers ! Und wenn man generell von großen DNS Providern nicht die Finger lassen kann dann wenigstens einen der sorgsam mit den Nutzungsprofilen umgeht.
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
Normal arbeitet ja aus performancetechnischen Gründen immer der lokale Router als DNS Proxy Server zum Internet, so das alle Endgeräte in den lokalen LAN Segmenten auch immer diesen Router als DNS eingetragen haben und niemals was Externes !
Mehr muss man wohl zu dem Google Unsinn und DNS Thema nicht sagen...?!
Wenn du ganz sicher gehen willst betreibst du den Router erstmal komplett isoliert ohne Endgeräte und testest das mit einem einzigen Client pro IP Subnetz (VLAN) aus. So kannst du ganz sicher gehen das du keine IP Adresskonflikte hast und den Punkt sicher ausschliessen.
Passiert es dennoch hast du vermutlich ein NAT Regel Problem oder STP Probleme.
Du musst dann schrittweise und strategisch vorgehen.
10.0.0.1 zeigt nur die Ping Requests jedoch nicht die Antworten. jedoch ein Ping auf einen Client ...
Das ist oder kann mehr oder minder normal sein. ICMP Pakete (Ping, Traceroute etc.) sind auf Firewalls generell deaktiviert so das diese nicht auf Pings usw. antworten. Im internen Netz unter den Endgeräten ist esmeistens erlaubt so das das dann logischerweise klappt. Allerdings sollte man bei Windows aufpassen, da es dort in aktuellen Version auch immer deaktiviert ist !https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Als DNS Server ist überall 8.8.8.8 (Google DNS) eingetragen.
Das ist gefährlich und heutzutage auch noch ziemlich dumm, sorry. Jeder Laie weiss ja mittlerweile das Google dann von deinem kompletten Internet Verhalten ein Nutzungs Profil erzeugt und das mit Dritten vermarktet. Wo jeder heute auf seine Privatsphäre achtet oder achten sollte ist sowas eigentlich nur noch fahrlässig. Mal ganz abgesehen von der Tatsache das es performacetechnischer Unsinn ist DNS Requests um den ganzen Erdball zu schicken.Hier nimmt man logischerweise IMMER den DNS seines Providers ! Und wenn man generell von großen DNS Providern nicht die Finger lassen kann dann wenigstens einen der sorgsam mit den Nutzungsprofilen umgeht.
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
Normal arbeitet ja aus performancetechnischen Gründen immer der lokale Router als DNS Proxy Server zum Internet, so das alle Endgeräte in den lokalen LAN Segmenten auch immer diesen Router als DNS eingetragen haben und niemals was Externes !
Mehr muss man wohl zu dem Google Unsinn und DNS Thema nicht sagen...?!
Also ich muss zugeben dieses Fehlerbild ist total konfus
Ist es in der Tat ! In deinem Netzwerk ist grundsätzlich irgend etwas faul.- Falsche oder doppelte IP Adressen
- DHCP Überschneidungen
- Falsche oder fehlerhafte NAT Regeln
- GGf. Spanning Tree Problematiken
Wenn du ganz sicher gehen willst betreibst du den Router erstmal komplett isoliert ohne Endgeräte und testest das mit einem einzigen Client pro IP Subnetz (VLAN) aus. So kannst du ganz sicher gehen das du keine IP Adresskonflikte hast und den Punkt sicher ausschliessen.
Passiert es dennoch hast du vermutlich ein NAT Regel Problem oder STP Probleme.
Du musst dann schrittweise und strategisch vorgehen.
weil da wohl ein Server ein Problem mit hätte, wenn es aktiviert wäre (so die Auskunft eines ehemaligen Kollegen).
Völliger Quatsch und zeigt eher das dort wenig bis kein KnowHow vorhanden ist.Das Gegenteil ist eigentlich der Fall, denn aktives STP verhindert ganz sicher Loops im Netz. Auf so einen Unsinn solltest du also besser NICHT hören !
aus dem Keller hier oben in mein Büro geholt und ihn an einen Switch hier in der Etage angeklemmt. Die Problematik ist damit verschwunden.
Betreibst du ihn dann auch genau an dem gleichen Switchport wie im Keller ?? Und...an dem gleichen Kabel.Wenn nein solltest du dir mal genau die Switchport Konfig ansehen. Dann liegt garantiert dort der Fehler. Dto. beim Kabel sollte das auch unterschiedlich sein !
einfach mal dem 10er Bein eine andere IP vergeben. Und siehe da, nun funktioniert bisher es überall
Bestätigt mehr oder minder den Verdacht das du ein Problem mit der IP Adressierung hast im Netz !!Vermutlich gibt es hier doppelte IP Adressen oder irgend ein anderes Chaos was möglicherweise aus nicht völlig getrennten VLAN L2 Doamins resultiert oder aber mit Amok laufenden DHCP Servern.
Das solltest du dir besser nochmal genauer ansehen sofern du einen stabilen Betrieb anstrebst !!