10sektom
Goto Top

Zwei Server 2008 R2 Enterprise - zwei Netzwerke

Nabend zusammen,

ich bin auf der Suche nach einer Lösung für ein bestimmt simples Problem.

Für die Lösung notwendige Daten:

Router: 172.16.254.254 Sub.: 255.255.0.0

P-Server: 172.16.1.1 Sub.: 255.255.0.0
(Produktivserver, DHCP1, DC, filesharing, SQL, IIS, ...)

V-Server:
NIC1: 172.16.1.2 Sub.: 255.255.0.0 (Netzwerk 1 in dem der P-Server ist, DHCP vom P-Server und Clients)
NIC2: 192.168.16.1 Sub.: 255.255.255.0 (Netzwerk 2, DHCP notwendig, Clients sollen ins Internet aber nicht auf den rest von Netzwerk 1)

Ich möchte nun das der V-Server aus dem Netzwerk 1 (172.16.0.0) erreichbar ist für Backups vom P-Server und für Clients um unwichtige Daten abzurufen die aber sehr viel Festplattenkapazität benötigen. Aber genauso möchte ich das der V-Server das Netzwerk 2 (192.168.16.0) mit IPs versorgt (DHCP) und das die Clients die dahinter stehen sollen über den V-Server auf der Router zugreifen um ins Internet zu gehen, sollen aber nicht auf die restlichen PCs und Server zugreifen.

So nun das andere, ein paar der Virtuellen Maschinen die auf dem V-Server laufen sollen auch ins Internet aber einige dieser sollen auch aus dem Netzwerk 1 erreichbar sein und aus dem Netzwerk 2.

Falls das helfen sollte, ich habe es mit NAT probiert und es hat auch funktioniert, nur das ich keine IP-Adressen o.ä. blockieren kann (ACL oder ähnliches wäre schön).


PS: Ich bin nicht gut im erklären und hoffe doch das der ein oder andere etwas mit den Angaben anfangen kann, falls Daten fehlen sollten die ich übersehen habe bitte kurze rückmeldung.


Beste Grüße

Thomas

Content-ID: 169459

Url: https://administrator.de/forum/zwei-server-2008-r2-enterprise-zwei-netzwerke-169459.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

Xaero1982
Xaero1982 10.07.2011 um 22:31:18 Uhr
Goto Top
Hi,

also wirklich verständlich ist das in der Tat nicht.

Daher folgende Fragen:

Welchen Sinn hat bei dir eine 255.255.0.0 Subnetzmaske? Hast du über 16.000 Clients in deinem Netz? Oder welchen tieferen Sinn verfolgst du damit?

Was du willst sind meiner Meinung nach VLANs und einen Relayagent um Clients in unterschiedlichen Netzen mit IP Adressen zu versorgen.

Was du mit NAT wolltest keine Ahnung ...

Also am besten ist es du versuchst es mal aufzumalen was du willst!

VG
dog
dog 11.07.2011 um 02:27:54 Uhr
Goto Top
Welchen Sinn hat bei dir eine 255.255.0.0 Subnetzmaske? Hast du über 16.000 Clients in deinem Netz? Oder welchen tieferen Sinn verfolgst du damit?

Willst du die Frage dann demnächst bei IPv6 jedes Mal stellen? face-wink
Sowas hat einen ganz einfachen Sinn: Wir benutzen das z.B. um Raumnummern in die IP zu nehmen.
Für den Computer ist das ohnehin egal, die Rechenoperation ist die selbe, egal wie groß das Subnetz.
Xaero1982
Xaero1982 11.07.2011 um 07:26:16 Uhr
Goto Top
Zitat von @dog:
> Welchen Sinn hat bei dir eine 255.255.0.0 Subnetzmaske? Hast du über 16.000 Clients in deinem Netz? Oder welchen
tieferen Sinn verfolgst du damit?

Willst du die Frage dann demnächst bei IPv6 jedes Mal stellen? face-wink
Sowas hat einen ganz einfachen Sinn: Wir benutzen das z.B. um Raumnummern in die IP zu nehmen.
Für den Computer ist das ohnehin egal, die Rechenoperation ist die selbe, egal wie groß das Subnetz.

Deswegen kann man die Frage stellen, weil für mich sieht es aus, dass er nur den Router erreichen will, aber man wird sehen....

VG
10sekTom
10sekTom 11.07.2011 um 08:44:18 Uhr
Goto Top
Welchen Sinn hat bei dir eine 255.255.0.0 Subnetzmaske? Hast du über 16.000 Clients in deinem Netz? Oder welchen
tieferen Sinn verfolgst du damit

Soweit ich mir sicher bin ist bei einem Klasse B Netz mit 255.255.0.0/16 64516 Hosts. Hat einen Verwaltungsgrund wie bei Xaero1982 mit den Abteilungen, es sind nunmal ca. 170 Clients und dann kommen noch Server, APs, Drucker und ein Router, ausserdem lieber vorher die IP-Range als später großes geschrei, weil man umbasteln muss.

Was du mit NAT wolltest keine Ahnung ...

Ist vllt für diesen Zweck auch nicht das richtige, aber da ich ja zwei Netzwerke habe, hab ich das eine zum Privaten und das andere zum Öffentlichen Netzwerk gemacht. Geht ja schließlich mit NAT. Aber evtl. ist für meine Anforderung ein Router mit ACL die bessere wahl. Anbei ein kleines Schema des Netzwerkes für die bessere Verständlichkeit.

http://s7.directupload.net/images/110711/figvwvgp.jpg

Ich will mit Netzwerk 2(rechts)ins Internet, aber ohne das die Clients Netzwerk 1 sehen dürfen (quasi nur den Router). In Netzwerk 2 sind aber auch V-Maschinen die aus dem Netzwerk 1 erreichbar sein sollen. Der V-Server sollte eig. als Router, File-, DHCP-Server und Hyper-V fungieren. Ich hoffe diesmal ist es verständlicher.

Bevor die Frage kommt, warum ich ein separates Netzwerksegment benötige. Ich habe oft von anderen Firmen PCs, Notebooks etc. die Neuinstalliert werden müssen o.ä. das möchte ich aus Viren gründen nicht in meinen Produktivnetzwerk haben, aber nunmal läuft auf dem Hyper-V Server ein Depot-Server und einige andere Maschinen die ich im Produktivbereich für unsere Geräte ab und zu benötige.

Das mit dem schriftlich Erklären werde ich in Zukunft üben ;) nicht Böse nehmen. Nicht gerade meine Stärke.
danielmuc
danielmuc 11.07.2011 um 09:22:31 Uhr
Goto Top
Hi Tom,

installier die auf dem V-Server die RAS/Routing Rolle:

http://technet.microsoft.com/de-de/library/cc731838%28WS.10%29.aspx

damit funktioniert die übersetzung der beiden Netze und man kann auch ACL's einstellen, heißt das das 192.xxx Netz nur aufs Gateway ins Inet darf und sonst nix.
Meine Frage: unterstützt der Switch und der Router auch VLAN-TAgging oder sind das nur "dumme" Komponenten? Damitkönnte man dein Problem weitaus eleganter lösen.

VG Daniel.
10sekTom
10sekTom 11.07.2011 um 09:34:56 Uhr
Goto Top
Hi danielmuc,

Mit Routing/RAS hab ich es Probiert, daher auch das mit dem NAT.
Aber ich finde die optionen mit den ACLs nicht, wo genau finde ich es bei einem Server 2008 R2 system.

Ne das ist ne "Dumme" Switch und einen neuen Router will ich eig. vermeiden. Aber danke für das Interesse.


Beste Grüße
Xaero1982
Xaero1982 11.07.2011 um 09:55:30 Uhr
Goto Top
Hi,

also ich weiß immernoch nicht was du mit NAT (http://de.wikipedia.org/wiki/Network_Address_Translation) hier erreichen wolltest ...

Wie schon oft gesagt: Die Bezeichnung Class B etc. gibt es nicht mehr.
Von mir aus auch 65xxx Clients, aber selbst die wirst du mit deinen 170+ nicht erreichen, daher hätte auch eine /23 Maske gereicht face-confused Wie dem auch sei ...

Ich denke Aqui wird da eine passende Lösung für dich haben face-smile

VG
10sekTom
10sekTom 11.07.2011 um 10:32:58 Uhr
Goto Top
Warum sollte es die Bezeichnung Private Class B nicht mehr geben? Das bedarf erklärung.
Sicherlich benötige ich die nächsten Jahre keine 65xxx IP-Adressen, aber warum sollte ich das nicht machen dürfen wenn es für mich einfacher ist? Außerdem tut das nichts zur Sache. Oder willst du eine Grundsatzdiskussion starten über etwas absolut belangloses...(aus meiner Sicht).
Aber denoch danke ich dir für die Hilfe.

Evtl. sind wir ja schon auf dem richtigen Weg.
danielmuc
danielmuc 11.07.2011, aktualisiert am 18.10.2012 um 18:47:30 Uhr
Goto Top
HI,

schau doch bitte mal in die Anleitung.

Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

Greatz Daniel.
Pjordorf
Pjordorf 11.07.2011 um 10:54:12 Uhr
Goto Top
Hallo,

Zitat von @10sekTom:
Warum sollte es die Bezeichnung Private Class B nicht mehr geben? Das bedarf erklärung.
Weil die Klassen seit 1993 eigentlich nicht mehr existieren. Netzklassen und CIDR.

Gruß,
Peter
Xaero1982
Xaero1982 11.07.2011 um 18:43:34 Uhr
Goto Top
Zitat von @10sekTom:
Warum sollte es die Bezeichnung Private Class B nicht mehr geben? Das bedarf erklärung.
Sicherlich benötige ich die nächsten Jahre keine 65xxx IP-Adressen, aber warum sollte ich das nicht machen dürfen
wenn es für mich einfacher ist? Außerdem tut das nichts zur Sache. Oder willst du eine Grundsatzdiskussion starten
über etwas absolut belangloses...(aus meiner Sicht).
Aber denoch danke ich dir für die Hilfe.

Evtl. sind wir ja schon auf dem richtigen Weg.

Ein wenig auf den Ton achten der Herr- dankeschön!

VG
danielmuc
danielmuc 11.07.2011 um 19:16:34 Uhr
Goto Top
hi xaero,

mag sein das die class abc bez. lt theoretischer definition nicht mehr gueltig sind.jedoch wird jeder netzwerkadmin in der praxis diese formulierung verstehen und auch so handhaben.

vlt solltest du mal eine kurze gedenksekunde pause machen und in dich gehen.dein kleinkarrierstes wichtiggetue und zitieren von wikiartikeln ist nicht zielfuehrend.

ich denke tom wuerde es mehr helfen wenn du ihm praxiataugliche tipps gibst, wie er mit seinen mitteln/knowhow eine trennung seiner produktivumgebung und testumgebung realisieren kann.

regards daniel.
Xaero1982
Xaero1982 11.07.2011 um 19:36:18 Uhr
Goto Top
Zitat von @danielmuc:
hi xaero,

mag sein das die class abc bez. lt theoretischer definition nicht mehr gueltig sind.jedoch wird jeder netzwerkadmin in der praxis
diese formulierung verstehen und auch so handhaben.

vlt solltest du mal eine kurze gedenksekunde pause machen und in dich gehen.dein kleinkarrierstes wichtiggetue und zitieren von
wikiartikeln ist nicht zielfuehrend.

ich denke tom wuerde es mehr helfen wenn du ihm praxiataugliche tipps gibst, wie er mit seinen mitteln/knowhow eine trennung
seiner produktivumgebung und testumgebung realisieren kann.

regards daniel.

Merkst du was? Nö oder?
Ich habe ihn, genauso wie viele andere nur darauf hingewiesen, dass es diese Nomenklatur nicht mehr gibt.
Das hat nichts mit wichtiggetue etc. zu tun.

Das mit dem verlinkten Wikiartikel diente dazu ihm zu zeigen, dass er mit NAT auf dem Holzweg ist. Vielleicht liest du was ich verlinke und ersparst mir in Zukunft solche sinnfreien Kommentare.

Wie er es machen kann, kann er nicht umsetzen, weil er ja Gurkenswitche hat, die keine VLANs unterstützen - was der einfachste Weg wäre.

Also an dieser Stelle solltest du dich ein wenig in Zurückhaltung üben.

VG
PS: Nichts für Ungut, von jemandem der seit 2 Monaten hier Member ist ...!
10sekTom
10sekTom 12.07.2011 um 12:35:21 Uhr
Goto Top
Ein wenig auf den Ton achten der Herr- dankeschön!
War nicht Böse gemeint, aber es kann bei anderen wohl so erscheinen. Bitteschön
PS: Nichts für Ungut, von jemandem der seit 2 Monaten hier Member ist ...!
Vielleicht ist es dir noch nicht aufgefallen, aber man kann in diesem Forum auch ohne Anmeldung lesen.

Zu dem rest der hier niedergeschrieben wurde werde ich keine Aussage treffen.

Mein Problem hat sich gelöst, aber nur weil dieser Abschnitt in ein anderes Gebäude kommt.
Sehr interessanter Link Daniel, danke. Werde den bei zeiten durchlesen.

Ich danke auch den anderen die daran Interessiert waren zu helfen.


Beste Grüße