Zwei Subnetze mit je eigenem Router und Internetzugang verbinden

Hallo,

die einfachste Lösung wäre ein VPN zwischen den beiden Routern....aber das willst du ja wohl nicht....

Das legen eines Kupferkabel zwischen 2 Gebäuden ist eine ganz schlechte Idee => Potentialausgleich....

Wenn überhaupt dann mit einem Glasfaserkabel.

Deine beiden Router können das dann ja... Lege das Netz (Transfernetz) zwischen den beiden Router an und route damit zwischen den Netzen

@aqui
kannst du für sowas nicht bei Gelegenheit mal ein Tutorial schreiben.... die Frage kommt ja hier in letzter Zeit häufig vor ....

brammer

Hallo,

mehr nicht.....

brammer

genau so, nur dass das "Kabel" als Software realisiert wird.

Hallo,

auf beiden Routern das VPN einrichten ....

RV082

RV320

Grundlagen dazu

brammer

Einfach mal die Suchfunktion benutzen.....
Kleinen Mikrotik Router oder anderen NICHT NAT Router nehmen und beide Netze miteinander verbinden sofern sie direkt erreichbar sind per Kupfer oder Glasfaser !
Zweite Netzwerkkarte in einem der Server geht auch und ist noch preiswerter.
Hier steht wie es im Handumdrehen erledigt ist:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

Das ginge auch aber dazu muss mindestens einer der Switches zwingend ein Layer 3 (Routing fähiger) Switch sein, sonst geht es nicht.
Da du dazu keinerlei Angabe machst können wir leider nur im freien Fall raten

Hi,

Also zum groben ablauf:
Du musst, wenn du beide Router verbindest, auf jeder Seite ein weiteres Subnetz aufspannen, aber auf beiden Seiten das selbe Netz. Router A erhält dann z.B. die 192.168.3.1/30, Router B die 192.168.3.2/30

Auf dem Router A musst du dann die folgende Route setzen
192.168.1.0/24 -> 192.168.3.2

Auf Router B:
192.168.0.0/24 -> 192.168.3.1

Du musst ja als GW die IP des anderen Routers eintragen, welcher dann den Rest macht...


Gruß
em-pie

Kein Wunder ! Das ist technisch gesehen völliger Blödsinn und Diletantismus pur was du da gemacht hast, sorry.... Der L3 Switch kann doch ohne entsprechende L3 Konfig gar nicht routen zwischen den beiden Netzen. Das leuchtet einem doch auch als Laie nur mit dem gesunden Menschenverstand ein.
Du musst auf einem der Switches, egal welchen wenn beide L3 können, ein zweites VLAN z.B. mit der ID 2 einrichten und einen untagged Port diesem VLAN zuweisen. (Den mit der neueren Version solltest du dafür preferieren)
In diesen Port im neuen VLAN 2 steckst du das Netzwerk der jeweils anderen Seite.
Dann konfigurierst du in das Default VLAN 1 dieses Switches eine Switch IP Adresse (hier im Beispiel die .254) und auch in das neue, zweite VLAN 2 eine aus dem anderen Netz (sinnvollerweise auch die .254 um das optisch übersichtlich zu haben.
Erst damit ist der L3 Switch in der Lage sauber zu routen zwischen diesen beiden IP Netzen !
Dann die statischen Routen in jeweils den beiden Internet Routern konfigurieren und fertig ist der Lack.
Macht der IT Azubi in 10 Minuten...und so sähe das strukturell aus Layer 3 Sicht aus:


Der Switch von Netzwerk 1 ist jetzt aus Übersichtsgründen mal weggelassen. Der rennt einfach im L2 Modus weiter im VLAN 1.
Die Lösung ist kinderleicht und ja nun kein Hexenwerk.
Traceroute (tracert) und Ping sind wieder deine besten Freunde hier um das auf Funktion zu prüfen.

Denk mal selber etwas nach !!!
Nein, das geht deshalb nicht weil am WAN Port einmal die Firewall aktiv ist und zweitens auch noch NAT (Network Adress Translation) gemacht wird.
NAT setzt die lokalen IP Adressen auf die öffentliche Internet IP um.
Beide Prozesse am WAN Port verhindern das zwischen den beiden IP Netzen geroutet werden kann.
Theoretisch gäbe es diese Option aber dann müsstes du in der Router Konfig die Firewall und auch das NAT im Router Setup an diesem WAN Port deaktivieren können. Dann wäre transparentes Routing wie oben möglich und das würde dann klappen.
M.E. lässt der Cisco RV das in seiner Konfig aber als Option nicht zu. Müsstest du im Handbuch ggf. checken.
Ja, das ist so richtig !
Dieses 2te VLAN ist das Netz der anderen Seite so das der L3 Switch dann zwischen diesen beiden Netzen routen kann.
Ja klar, du hast Recht, das würde auch gehen wenn deine RVs VLAN Tagging supporten.
Das ginge auch. Das hiesige VLAN Tutorial beschreibt sogar genau diese Option:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Die Switchlösung ist aber etwas besser aus technischer Sicht, da performanter. Beides ist aber machbar.
Ja, denn wie solltest du sonst ein vollkommen getrenntes weiteres IP Netz bekommen ???
Das geht ja nun mal nur mit VLANs !! Oder...einem separaten Router.
Wenn du das alles umgehen willst, ohne Konfig, dann beschaffst du dir einen kleinen 40 Euro Mikrotik Router:
http://varia-store.com/Wireless-Systeme/MikroTik-RouterBoard/MikroTik-R ...
steckst jeweils von jedem Switch aus Netz 0 und Netz 1 eine Strippe in den Router, vergibst die IPs auf dem Router und gut iss.
Noch einfacher ist eine 5 Euro Netzwerkkarte in einen der Server zu stecken.
Das hiesige Routing Tutorial beschreibt ganz genau deine Anforderung in allen Details ! Wie immer: Lesen und verstehen !!
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Es gibt viele Wege nach Rom...
Deinen Anforderung ist wie gesagt ne Lachnummer und in 10 Minuten erledigt.

Hallo,

Wenn eines der Gebäude abfackelt, ist die Versicherung bestimmt daran interessiert zu erfahren an wen sie die Rechnung schickt!
Also dann lieber zwei PtP Geräte von UBNT (Ubiquiti) und alles ist in Butter und WLAN lässt sich bekanntlich auch verschlüsseln!

Wenn es Layer3 Switche sind dann ja sonst einfach die Cisco Router das Routing übernehmen lassen wenn es sich nur um
Layer2 Switche handelt. Aber wie schon erwähnt sollte hier die erste Wahl ein VPN zwischen den Gebäuden sein und wenn
das nicht zu realisieren ist sollte man einfach einen WLAN Brücke zwischen beiden Gebäuden in Betracht ziehen.

Gruß
Dobby

Nein !
Das ist dann logischerweise nur der Koppelrouter zwischen den beiden Netzwerken.
Bitte tue uns den Gefallen und lies dir dieses Tutorial GENAU durch !!
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Dort ist so ein Design ganz genau erklärt !
Das erspart eigentlich geklärte Nachfragen...
Es macht nichts anderes. Routet ganz einfach wie auch ein Cisco zwischen 2 IP Netzen. Anders ist nur die Konfig Syntax und der Preis !
Traurig, denn die gehören schon zu den Größeren im CPE Router Bereich. Aber die Art und Weise deiner Fragestellung hier im Thread zeigt auch das du nicht der ganz große Netzwerker bist (ist nocht bös' gemeint)...daher ist dir das vermutlich auch nicht so bekannt.
Na Top ! Dann aktivier diesen LAN Port, IP drauf konfigurieren, IP Forwarding auf dem Server aktivieren, Port ins andere LAN stecken und schon ist dein Problem gelöst ! Die einfachste Variante sicher für dich bei deinen Netzwerk Kenntnissen.
100 ist das sicher nicht, eher 20 und das merkt man leider etwas.... Aber wenn man jahrelang täglichen Infrastruktur Support leistet dann sollte man solche simplen Basics zum Thema Netzwerk eigentlich auf der Pfanne haben. Wie willst du sonst Support leisten wenn dir die einfachsten Grundlagen fehlen ?! Das wäre ja dann nur Raten im freien Fall und kein Support
Oder machst du nur Winblows Support und erklärst Windows User wie sie USB Sticks anstecken und drucken...?!
OK, geht natürlich auch, keine Frage aber erfordert dann natürlich eine potente Internet Leitung und auch potente VPN Router sofern man entsprechende Bandbreiten Anforderungen und Erwartungen an die Performance hat, das sollte dir hoffentlich klar sein !
Ist auch eine richtige Lösung, aber bitte eine geroutete und keinen reine Bridge, sonst macht dir die Broad- und Multicast Last die dann zwischen beiden Netzwerken rumfliegt die WLAN Bandbreite auf der Funkverbindung wieder tot.
Und dann immer 5 Ghz WLAN ! Niemals ins überfüllte 2,4 Ghz bei Gebäudekopplung !!
Wie man das richtig realisiert mit WLAN erklärt dir ebenfalls ein hiesiges Tutorial:
Mit einem WLAN zwei LAN IP Netzwerke verbinden

Das ist auch richtig, deshalb ist diese Lösung suboptimal.
Grundsätzlich ist das der richtige Weg:

• Separates VPLAN zuweisen
• Switchport untagged in dieses VLAN hängen
• L3 IP Adresse im Switch für dieses VLAN definieren

Da hast du alles richtig gemacht soweit.
Ein Ping aus dem VLAN auf diese Switch IP MUSS natürlich immer möglich sein, denn sonst hätte man keine L3 Connectivity da die du aber zwingend brauchst.
Warum das bei NetGear einmal so und einmal so nicht geht ist wohl deren Geheimnis. In puncto VLAN ist NG ziemlich gruselig was die Konfig angeht und immer eine schlechte Wahl aber egal...klappen zut es damit auch wenn man die Hürden dieser kranken Konfig Syntax gemeistert hat....
Also soweit richtig und pingbar sollte es im VLAN 10 sein.

Deine Konfig für Switch A ist soweit OK ! Eine DHCP Adresse auf einem Infrastruktur Device wie einem Switch ist natürlich kontraproduktiv aber für die Lösung hier ertsmal irrelevant.
Das Routing machst du dann also mit dem Switch B was auch soweit technsich richtig ist !
Kommen wir also zum Switch B der die wichtige L3 Konfig haben muss...

Die Konfig von Switch B:
NetzB: 192.168.3.0/24
RouterB: 192.168.3.1
SwitchB:
- 192.168.3.254 (VLAN1 auf allen Ports untagged außer Port 23 & 19)
- 192.168.1.254 (VLAN10 auf Port 19 und 23 untagged; auf 23 steckt das Kabel welches aus SwitchA kommt, auf 19 ein Testclient mit fester IP 192.168.1.222)
- Auf Port 24 steckt einer der LAN Ports des RoutersB als Uplink
- Gateway: 192.168.3.1
ServerB: 192.168.3.10
Ist absolut korrekt und richtig !! Keine Fehler !
Was klappen muss vom Testclient IP 192.168.1.222 wenn dieser als Default Gateway die IP 192.168.1.1 eingetragen hat !!:

• Ping auf den Router A 192.168.1.1 muss klappen !
• Ping auf den Switch A und dessen DHCP IP muss klappen !
• Wichtig: Ping auf die Switch B VLAN 10 IP 192.168.1.254 muss klappen !

Sofern du noch keine statischen Routen auf dem Router A und dem Router B konfiguriert hast kannst du erstmal nichts weiteres pingen. Klar, denn die jeweils gegenüberliegenden Router wissen durch die fehlenden statischen IP Routen ja noch nicht wo und wie sie das .1.0er und das .3.0er IP Netz erreichen können !
Ohne statische Routen würden sie diese beiden lokalen IP Netze jeweils zum Provider und damit ins Nirwana routen !!
Fazit: Mit den folgenden 2 statischen IP Routen in den Internet Routern bringst du ihm bei das die IP Netze lokal über den Switch B zu erreichen sind.
Das ist essentiell wichtig ansonsten schlägt die IP Verbindung fehl !!!

Statische Route Router A:
Zielnetz: 192.168.3.0, Maske: 255.255.255.0, Gateway: 192.168.1.254 (VLAN 10 IP Switch B)

Statische Route Router B:
Zielnetz: 192.168.1.0, Maske: 255.255.255.0, Gateway: 192.168.3.254 (VLAN 1 IP Switch B)

Wenn diese beiden statischen Routen in die jeweiligen Internet Router konfiguriert sind sollte sofort das Pingen der anderen Interfaces klappen.
Folgender Test sollte dann vom Testclient 192.168.1.222 (Gateway: 192.168.1.1) erfolgreich sein:

• Ping auf den Router A 192.168.1.1 muss klappen !
• Ping auf den Switch A und dessen DHCP IP muss klappen !
• Ping auf die Switch B VLAN 10 IP 192.168.1.254 muss klappen !
• Wichtig: Ping auf die Switch B VLAN 1 IP 192.168.3.254 muss klappen !
• Wichtig: Ping auf die Router B IP 192.168.3.1 muss klappen !

Falls nicht statt Ping mal Traceroute verwenden (Winblows tracert) und sehen wo der Traceroute hängt. Da ist dann auch der Fehler !!
Funktionieren alle obigen Pings fehlerfrei dann klappt es auch aus dem anderen Netz (Client 192.168.3.x mit Gateway 192.168.3.1):

• Ping auf den Switch B IP (VLAN 1) 192.168.3.254 muss klappen !
• Ping auf den Router B IP 192.168.3.1 muss klappen !
• Ping auf den Switch B IP (VLAN 10) 192.168.1.254 muss klappen !
• Ping auf den Router A IP 192.168.1.1 muss klappen !

Ist das der Fall funktioniert die IP Verbindung zw. beiden Netzen fehlerlos.

Mit dem Pingen der Server und der Windows Endgeräte unter sich zwischen beiden Netzen kann es Probleme geben, da in aktuellen Windows Versionen das ICMP Protokoll geblockt ist !!
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Hier musst du also zwingend die lokale Windows Firewall anpassen das ein Ping klappt. Zum PingTesten also erstmal Drucker usw. nehmen die keinen Firewall haben um diese Falle zu vermeiden.
Achte auch darauf das ALLE Endgeräte in den jeweiligen VLANs einen Gateway Eintrag auf den jeweiligen Router haben.

Wenn alle Stricke reissen kannst du das statische Routen über die jeweiligen Internet Router erstmal umgehen und wasserdicht testen ob dein L3 Switch B überhaupt routet zwischen den beiden VLANs 1 und 10.
Bei NetGear weiss man nie....??!!
Dazu nimmst du jeweils einen Client im Netz A und stellst den fest auf das Gateway 192.168.1.254 (Switch B) ein und analog dazu einen Client im Netzwerk B mit dem Default Gateway 192.168.3.254.
Damit routest du dann nur dediziert über den NG Switch zw. diesen beiden Clients.
Ein Ping der jeweils gegenüberliegenden Switch IPs in den VLANs MUSS dann zwingend klappen. Auch ein Ping der Clients untereinander sofern deren lokale Firewall auf ICMP angepasst wurde (siehe oben).
Das wäre ein Minimaltest um das Layer 3 Forwarding (Routing) über den NetGear Switch wasserdicht zu testen.

Nochwas Wichtiges:
Dynamische RIP v1 Routing auf dem Router besser **ausschalten !! RIPv1 macht kein Mensch mehr da extrem veraltet (wenn überhaupt dann IMMER das modernere v2 verwenden). Da hier aber nirgendwo dynmaisch geroutet wird bitte deaktivieren (disable)
Ansonsten ist die statische Route richtig !

Fazit:
Im Grunde hast du alles ganz genau richtig gemacht was statische Routen an den Routern, VLAN Einrichtung Switch B und IP Adressierung dort usw. anbetrifft. Keine Fehler....
Die Vermutung das es nicht geht liegt ganz stark auf dem NetGear Switch bzw. dessen Konfig. Es sieht so aus als ob der KEIN Layer 3 Forwarding macht obwohl er es können sollte.

Deshalb mache unbedingt mal den Test mit den Clients in beiden Netzen die als Default Gateway dann statt Router immer die jeweilige NetGear IP im VLAN konfiguriert haben.
Das muss zwingend dann klappen mit dem Ping der gegenüberliegenden VLAN IPs. So testet man das Routing direkt ohne Umwege.
Wenns widr Erwarten nicht klappt, kann es sein das man irgendwo auf dem NG Switch zentral noch L3 aktivieren muss oder sowas...?!
Denn sollten diese so konfigurierten Clients auch die jeweils gegenüberliegeneden VLAN IPs bzw. sich selber (mit angepasster ICMP lokalen FW) nicht pingen können routet der Switch nicht !!!
Das ist der Fluch dieser gruseligen NetGears und deren kranker Syntax bzw. GUI.
Wenn man dort aber den richtigen Klick im GUI findet zur L3 Aktivierung klappt es aber. Ggf. also nochmal das Handbuch konsultieren.
Oder @108012 hier im Forum fragen als NetGear Guru

Zeigt dann ganz klar das der Fehler im NG Switch liegt bzw. dessen Konfig.
Wie gesagt grundlegend hast du das alles genau richtig gemacht. Da muss irgendwo noch ein Punkt sein um das Routing zu aktivieren.....
Möglich auch das man das Default VLAN 1 nicht routen kann oder sowas.... da musst du mal ins Handbuch sehen oder die NG Hotline anrufen.
Wie gesagt diese Switches sind gruselig aus Konfigurations Sicht und sollte man deshalb besser nicht kaufen.

Ja, ganz genau ! Das ist richtig so.
Du brauchst auch keinen "Restport" mehr im VLAN 1 ! Das ist nicht erforderlich. Das Management IP Interface ist dann das IP Interface von VLAN 20.
Das könnte normal sein sofern du einen externen (Internet) NTP Server für die Zeitsyncronisation benutzt:
https://www.heise.de/ct/hotline/Oeffentliche-Zeitquellen-322978.html

Du hast dann vermutlich vergessen eine Default Route von dem Switch auf einen der beiden Internet Router zu legen ?! Kann das sein ?
Anbieten würde sich dann Router B.
Ohne diese Default Route kann der Switch dann natürlich nicht ins Internet und ein NTP Abgleich mit einem externen Time Server schlägt dann logischerweise fehl, da der Switch ja dann nur die internen IP Netze erreichen kann !
Solltest du einen internen NTP Server nutzen (Windows usw.) in dem .1.0er oder .3.0er Netz bruachst du keine solche Route oder Gateway auf dem Switch. Logisch, denn die beiden Netze sind ja direkt an ihm angeschlossen
Das sollte aber natürlich nicht passieren. Nicht das du vergessen hast die Switch Konfig mit Klick auf "Save" zu sichern ?!

Hallo zusammen,

Niemals würde ich das VLAN1 mit benutzen wollen, da es sich bei sehr vielen Herstellern um das so genannte /default
VLAN ist, es mag 1000 mal gut gehen und funktionieren, nur bei dem einen mal wo es nicht funktioniert kann nachher
auch keiner richtig helfen und genau dort stehen wir hier jetzt!

nur keine Hektik bitte, denn zum Einen hat man mit zwei Routern auch zwei DHCP Server und wenn man nun die Netze
miteinander verbindet dann kann das alleine schon zu Problemen kommen. In diesem Fall sollte man ein Transfernetz
zwischen den beiden Netzen anlegen und von dort aus dann jeweils Routen zu den VLANs mit den Fileservern anlegen.

Bei Netgear kommt noch hinzu dass sie wirklich alles etwas anders machen, wenn hier zum Beispiel ein LAG mit im
"Spiel" ist dann muss man das LAG dem VLAN hinzufügen und nicht die Ports des LAGs! Sonst wird das alles nichts.

Sollte kein LAG mit im Spiel sein würde ich die beiden Netze und zwar auf beiden Seiten mit ein und dem gleichen
VLAN versorgen, das dann erst noch angelegt werden muss und zwar auf beiden Seiten gleich! und das Routing sollte
dann nur eine Seite erledigen und DHCP in diesem Netzwerk würde ich auch ausstellen wollen!

Ich würde folgendes probieren wollen://
Netz 1 / DHCP an
Netz 2 / DHCP an
Transfernetz / DHCP aus nur statische IP Adressen / extra VLAN auf beiden Seiten

Gruß
Dobby

Ja, das tut er auch. DHCP basiert auf UDP Brodcasts und die können per se Router Interfaces NICHT überwinden.
In jedem Segment kann also problemlos ein separater DHCP Server laufen. Vermutlich der Internet Router ?!
Ein Transfernetz ist eigentlich Quatsch und überflüssig. Sollte man in so einem Konstrukt niemals machen.
Wenn der NetGear sowas erzwingt solltest du den Switch tauschen....

Wie bekommen denn die Endgeräte in den jeweiligen Netzen ihre gültigen IP Adresen ?? Vergibst du die dann statisch ??
Das ist dann ein klares Indiz dafür das der Switch NICHT routet und Netz 1 und Netz 3 über einen Layer 2 Bridge verbunden hat.
Damit wären dann beide Netze quasi ein gemeinsames und man hat dann das tödliche Konstrukt das man mit 2 IP Netzen auf einem gemeinsamen Draht arbeitet.
Also genau das was du NICHT willst !! Das musst du dringenst checken, denn das bedeutet das der gruselige NetGear de factto NICHT routet zw. den VLANs.
Nein, damit hat das nicht das Geringste zu tun. Hier geht es rein nur um IP Adressen und Layer 3 Wegefindung (Routing).

Da ist es für dich essentiell zu wissen WIE diese Verbindung eingerichtet ist.
Einfach als simple Funkbridge. Das bedeutet dann an deinem obigen Konzept mit den 2 VLANs und Routing ändert sich nichts !
In dem Modus kannst du die Funkbrücke wie ein simples Patchkabel sehen. Da wird nix geroutet.

Besser wäre wenn der Fuklink geroutet eingerichtet wird. Das wäre perfekt, denn dann würde deine VLAN Einrichtung entfallen und du könntest beide Seiten einfach aufstecken.
Der Funklink selber ist dann das "Transfernetz" und die Accesspoints auf beiden Seiten routen.
Das Prinzip ist in diesem Tutorial genau erklärt:
Mit einem WLAN zwei LAN IP Netzwerke verbinden

Ohne zu wissen wie die Funkverbindung arbeitet kommst du also nicht weiter !!

Zugangsdaten ??? Für WAS denn ???
Ja ganz genau !
Deshalb steht ja auch das das völlig identisch ist zu deinem urspünglichen Konzept und das weiter angewandt werden muss um die Netze zu trennen.
Eine Funkbridge arbeitet wie der Name schon sagt als simple Layer 2 Bridge auf Mac Adress Basis.
Du kannst die Funkverbindung dann genau so sehen wie ein simples Patchkabel. Es reicht nur durch...!
Da ist irgendwo eine sog. Backdoor Bridge. Also irgendwas verbindet deine beiden Netze direkt ohne Routing.
Ob das der Switch ist oder die Funkverbindung musst du rausbekommen.
Nein !
DHCP basiert auf einem Broadcast Prinzip. Der DHCP Request muss überallhin geforwardet werden. Es ist eben ein Netzwerk Broadcast !
Wie gesagt: Dieses Verhalten zeigt das es einen sehr gravierenden Konfig Fehler gibt in deinem Netz, nämlich eine Layer 2 Kopplung die da niemals existieren dürfte in einem gerouteten Umfeld !!
Es wäre jetzt fatal wenn du dieses gravierende Problem bw. Fehler mit laienhafter Frickelei wie Filter oder Accesslisten verschlimmbesserst !
Beseitige immer die Ursache dafür !!
Mit sowas gruseligem muss man bei NetGear immer rechnen. Aber du hast dich ja bewusst für diese Marke entschieden also ertrage deren Eskapaden wie ein gestandene ITler.
Gut das du den Fehler gefunden hast sowas übt ja immer und die gewonnene Erfahrung kann dir keiner nehmen...