Apr 07, 2007, updated at Feb 20, 2024 (UTC)

663756

121

Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

Netzwerkkopplung mehrerer IP Netzwerke (Routing) über einen Server oder PC mit 2 oder mehr LAN oder WLAN Netzwerkkarten oder als Lösung mit einem dedizierten Router bzw. Firewall mit mehreren LAN oder VLAN Ports.

Inhaltsverzeichnis

Einleitung

Grundlegende Routing Designüberlegungen

Die wichtigsten Punkte für die Installation

VLAN Routing bzw. VLAN Switches mit Tagged Interfaces

Was ist zu konfigurieren ???

Ein einfaches Beispiel: Routing mit 2 IP Netzwerken

Wichtig: Das Routing aktivieren bei Windows und Linux Systemen !!!

Einstellungen am Internet Router

Paket Walk: "Der Weg eines LAN IP Paketes durch ein geroutetes Netzwerk"

Wichtige Punkte die zusätzlich zu beachten sind !

Achtung bei der Verwendung von Windows ICS/NAT !

Nachteile einer Windows ICS (NAT) Lösung

Port Weiterleitung aus dem Internet auf Clients im Segment LAN-2

DNS Integration beider IP Netze im DC

Alternativen mit anderem Design (WLAN)

LAN Routing mit dediziertem Router OHNE Rechner mit 2 Netzwerkkarten

Routing mit pfSense Firewall

Routing mit Mikrotik Router

Routing mit OpenWRT Router

Weiterführende Links

Einleitung

Dieses Tutorial ist eine kurze Anleitung zur Kopplung von 2 Netzsegmenten (Ethernet oder WLAN) über einen Rechner mit 2 Netzwerkkarten. Dieser Rechner kann ein Server oder ein normaler PC sein. Das Netzwerkhandling und die IP Adressierung ist immer dasselbe. Auch ob das verwendete OS Windows oder Linux ist, ist unerheblich außer das bei Windows ein paar Punkte mehr im Setup zu beachten sind !

Dieses HowTo beschreibt primär eine Kopplung von 2 oder mehr IP Netzen nicht nur auf Basis einer Kupfervernetzung (Ethernetkabel) über einen Rechner mit 2 Netzwerkkarten sondern auch über ein WLAN.
In einem WLAN statt LAN Szenario sind die IP Adresseinstellungen identisch so das dies HowTo auch uneingeschränkt dafür verwendet werden kann ! Lediglich die Settings für WLAN SSID und Verschlüsselung kommen hinzu ! Ein paar Punkte am Schluss dieses HowTos beleuchten mögliche Designs in einem WLAN Umfeld.
Es besteht ferner keine Limitierung auf 2 Netzwerkkarten auch ein Szenario mit 3 oder mehr Karten ist denkbar. Die Konfigurationsschritte sind aber immer die gleichen wie im Folgenden beschrieben.
Der zweite Teil dieses Tutorial beschäftigt sich dann mit der Kopplung über einen dedizierten Router die aus Performancesicht immer der Kopplung über einen Server vorzuziehen ist. Der Server soll "serven" der Router "routen"....

Bei mehr als 3 Netzwerkkkarten sollte man sich immer Gedanken über einen Layer 3 fähigen LAN Switch machen oder immer einen externen-Router verwenden, da dann mit einem Server oder PC aus Performancegründen kein performantes Routing mehr zu empfehlen ist !

Es sei aber zusätzlich auf das sehr gute Tutorial von „Atti“ hier verwiesen, der eine WLAN Kopplung 2er Netze schon sehr detailiert beschrieben hat unter diesem_URL

Wie sieht nun so ein klassisches Szenario aus was hier im Forum sehr oft nachgefragt wird:

(Der rote Router kann hier auch ein Server/PC mit 2 Netzwerkkarten sein!)

Grundlegende Routing Designüberlegungen

Sieht man sich so ein Netzwerk Design einmal etwas genauer an, ist es vereinfacht nichts anderes als ein lokal geroutetes Netz:

(Internet)----(DSL Router)----IP Netz----(Server/PC_als_Router)----IP Netz----(Client)

Der Server/PC der beide IP Netze miteinander verbindet ist also schlicht gesehen nichts anderes als ein weiterer Router bzw. muss IP Routingfunktionen zur Verfügung stellen. Generell ist das immer möglich, allerdings sind diese Funktionen im Normalbetrieb bei Windows und Linux in der Grundkonfiguration immer abgeschaltet und müssen erst aktiviert werden damit so ein Netz fehlerfrei funktioniert !

Es gibt also ein paar Vorbedingungen um so ein Szenario erfolgreich zum Laufen zu bekommen, die leider auch abhängig sind von den Möglichkeiten des verwendeten DSL Routers !
In der Regel ist das der Umgang mit zusätzlichen statischen Routen auf dem verwendeten Internet Router. Das können leider nicht alle Consumer DSL Router !
Bei vielen Billigsystemen wird auf dieses Feature aus Preisgründen einfach verzichtet. Es macht also durchaus Sinn sich VOR dem Kauf darüber zu informieren ob das anvisierte Routermodell das supportet oder nicht, will man so ein Netzwerk wie das obige realisieren !!!
Als Daumenregel gilt: Router die statische Routen nicht unterstützen im Setup sind meist auch sonst schlecht oder mangelhaft in der Ausstattung mit Features also besser: Finger weg davon !!
Leider kann man sich nicht immer gegen Provider "Zwangsrouter" wehren die oft nur eine simple Minimalausstattung an Bord haben. Leider gilt das auch oft für die Sicherheit wie die Router Skandale belegen. Es ist also immer hilfreich auch zur eigenen Sicherheit über einen Tausch solcher Router nachzudenken.
Router mit einem guten Featureset wie Mikrotik oder freier Firmware wie OpenWRT oder DD-WRT sind hier erste Wahl.
Wie man aus diesem Dilemma herauskommt wenn man schon so ein simples Routersystem besitzt, der keine zusätzlichen statischen Routen supportet, zeigt dieses Tutorial in einem späteren Kapitel...

Die wichtigsten Punkte für die Installation

1.) Beide IP Segmente (Netzwerkkarte-1 und Netzwerkkarte-2) müssen unbedingt in unterschiedlichen IP Netzen sein !!
Der RFC-1918 gibt allen Netzwerk Admins 3 komplette IP Adressbereiche aus denen man sich bedienen kann:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Man muss also nicht immer die banalen allerwelts 192.168er Adressen verwenden was auch sehr kritisch sein kann beim Einsatz von VPN ! Man schützt im Gegenteil noch zusätzlich sein Netzwerk mit entsoprechend individuellen IPs vor klassischen Angriffen auf diese Allerwelts IPs.
Kombinationsbeispiele: (Hier mit der Angabe der IP Netze !)

Also z.B. NIC1 = 192.168.1.0, Maske: 255.255.255.0, NIC2 = 172.16.1.0, Maske: 255.255.255.0
oder
NIC1 = 192.168.1.0, Maske: 255.255.255.0, NIC2 = 192.168.2.0, Maske: 255.255.255.0
oder
NIC1 = 10.0.1.0, Maske: 255.255.255.0, NIC2 = 10.0.2.0, Maske: 255.255.255.0
oder...oder...

(Die Beispiel oben beziehen sich auf die Kombination der IP Netzwerke, deshalb die Angabe einer "0" im Hostanteil der Adresse. Alle Hostbits der IP Adresse auf "0" bzeichnet immer das IP Netz !
Im reellen Betrieb müssen hier natürlich Host Adressen vergeben werden für die Endgeräte !
Beispiel: NIC1 = 192.168.1.254, Maske: 255.255.255.0, NIC2 = 172.16.1.254, Maske: 255.255.255.0 (analog für die anderen Beispielnetze..)

2.) Die NIC Adressen des Servers/PCs der auch ein Routing ausführt sollten statisch sein, denn der Server/PC ist ja ebenfalls ein Router und dynamische Adressen die per DHCP (DHCP Server im DSL Router) an ihn verteilt würden, könnten die statischen Routen aushebeln und zum Nichtfunktionieren des Netzes führen !!
Wichtig: Die statischen IP Adressen sollten immer außerhalb der DHCP Range des DSL Routers liegen, um IP Adresskonflikte und Doppelbelegungen zu vermeiden (Fehlfunktion) !! Also immer vorher im Websetup des Routers unbedingt nachsehen wie dieser DHCP Adressbereich eingeteilt ist und ihn bei Bedarf verkleinern sollte er den gesamten IP Hostbereich im Netz umfassen !!! Generell sollte man das so oder so IMMER anpassen um einen gewissen Pool von festen IP Adressen im Netzwerk zur Verfügung zu haben !
Diese Regel gilt sowohl für LAN als auch WLAN Interfaces, sollte einer der Links ein WLAN sein.

3.) Der Router muss den Eintrag zusätzlicher statischer Routen supporten. Kann er das nicht, wie einige Billigstprodukte, muss man mit einem „NAT Trick“ arbeiten. Dazu später unten mehr...

4.) Alle Adressen im „Client Segment“ müssen statisch vergeben werden, da hier ja kein DHCP Server vorhanden ist. (Ausnahme: man lässt einen separaten DHCP Server dafür auf dem Server/PC laufen.)

5.) Statische Routen auf dem Server/PC selber sind NICHT erforderlich !!! (Der Server/PC Rechner kennt ja alle IP Netze, da sie an ihm ja selbst direkt angeschlossen sind !
Ein Fakt zu dem im Forum hier vielfach Falschinformationen gepostet werden !!!

VLAN Routing bzw. VLAN Switches mit Tagged Interfaces

Das Routing von VLANs auf einem VLAN Switch mit nur einer 802.1q Tagging fähigen Netzwerkkarte im PC/Server bzw. Router oder Firewall beschreibt ein gesondertes Tutorial in Anlehnung an diesen Inhalt:

VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
bzw.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
mit einem externen Router.
Oder ohne externen Router direkt auf einem Layer 3 fähigen VLAN Switch

Was ist zu konfigurieren ???

Ein einfaches Beispiel: Routing mit 2 IP Netzwerken

(Alle Adressen sind Beispiele und müssen bei Bedarf an vorhandene IP Netzaddressierungen angepasst werden) Bei einer Installation "auf der grünen Wiese" kann man sie aber so problemlos übernehmen !
IP Netzwerk an Netzwerkkarte-1 (Router-Segment) = 192.168.1.0, Maske: 255.255.255.0 (Hostadresse = .0 bezeichnet immer das Netzwerk selber !)
IP Host Adresse DSL Router: 192.168.1.1 (Wird als Standardgateway eingetragen)
Dann ist die IP Host Adresse der Server NIC1 z.B. die: 192.168.1.254

IP Netzwerk an Netzwerkkarte-2 (PC-Segment) = 172.16.1.0, Maske: 255.255.255.0
Dann ist die IP Host Adresse der Server NIC2 z.B.: 172.16.1.254 (Maske 255.255.255.0)
Gateway und DNS Eintrag bleibt hier leer !

Ohne statische IP Adressvergabe kann natürlich im PC Segment auch DHCP zum Einsatz kommen. Setzt man einen 2k oder 2k3 Serveroder Linux ein haben diese es gleich mit an Bord.
Ist der Verbindungs PC mit den 2 NICs ein XP Rechner der von sich aus ja keinen DHCP Server an Bord hat, kann man z.B. einen kleinen DHCP Server wie diesen:

https://www.dhcpserver.de/cms/

zum automatischen Bedienen des PC Segmentes mit IP Adressen benutzen !

Wichtig: Das Routing aktivieren bei Windows und Linux Systemen !!!

Da das Routing (IPv4 Forwarding) per Default deaktiviert ist, muss man es bei Windows Systemen (und auch bei Linux) explizit einschalten !

Windows

https://www.edv-lehrgang.de/ip-routing-aktivieren/

Windows Server

Bei Windows 2003/2008 Systemen ist lediglich der RAS/Routing Dienst mit der Option "LAN-Routing" zu aktivieren !

⚠️ Automatische Konfig ist in SBS Versionen nicht supportet mit 2 Netzwerkkarten im NAT (ICS) Modus ! Es ist die Premium Version erforderlich !
Nur eine manuelle Konfig ohne NAT funktioniert !
Siehe: http://blogs.technet.com/sbs/archive/2008/09/16/sbs-2008-supported-netw ...
Dieser Thread hier bestätigt das technisch:
SBS 2008, zwei Netzwerkkarten

Ein netshell Kommando erledigt das ebenso: netsh interface ipv4 set interface "(Name)" forwarding=enabled

Ein Serverbetriebssystem ist bei Windows NICHT zwingend erforderlich. Natürlich funktioniert dieses Routing Szenario mit allen Windows OS' von Win 7-11 usw. bis Windows Server.
Wichtig ist das der Rechner nach dem Setzen der Registryparameter rebootet werden muss !!!

Nochmals: Ohne diese Routing Aktivierung ist eine geroutete IP Verbindung über einen Server/PC nicht möglich da IPv4 Forwarding (Routing) in allen Betriebssystemen in der Regel im Default immer deaktiviert ist !!!
Details zur ICS (NAT) Konfiguration weiter UNTEN im Tutorial !

Linux ToDos

Bei Linux als OS auf dem Server / PC ist das Vorgehen analog. In der System Config Datei der meisten Linux Distributionen gibt es einen Parameter der ip_forwarding heisst. Dieser Parameter muss in der syscfg Config Datei unter /etc auf YES gesetzt werden um das Routing zu aktivieren. Daraufhin muss man den Networking Daemon neu starten oder den Rechner rebooten.
Alternativ kann die Einstellung ob der Kernel routet oder nicht auch von Hand vorgenommen werden. Dazu existiert die Datei /proc/sys/net/ipv4/ip_forward. Genau genommen handelt es sich hier nicht um eine physikalische Datei, sondern um eine Schnittstelle zum Kernel. Der Inhalt der Datei ist entweder eine 0 (Routing ausgeschaltet) oder eine 1 (Routing eingeschaltet). Mit dem Befehl
echo 1 > /proc/sys/net/ipv4/ip_forward
wird das Routing aktiviert.
Besser und einfacher ist aber immer der Weg über die Systemdatei mit dem Konfigurator wie YAST oder den Systemsettings.
Beispiel für einen Raspberry_Pi --> Kapitel: VLANs einrichten

Analog gilt das für Unix Derivate wie Apple Mac OS-X das dafür aber einen entsprechenden Button in den Systemeinstellungen unter Netzwerk hat.
Reine Linux Networking und Firewall Distros wie z.B. pfSense oder OPNsense haben diesen Parameter immer schon per Default aktiviert !

Nun gibt man den Clients im Client Segment statische IP Adressen. (Entfällt natürlich bei DHCP Betrieb !) Am Beispiel eines Clients sind das folgende IP Adress Settings folgend dem obigen IP Beispiel:
(Dies entfällt natürlich sollte der routende PC/Server selber eine DHCP Funktion aktiv haben !)

Client PC Beispiel

IP Adresse: 172.16.1.1, Maske: 255.255.255.0, Gateway: 172.16.1.254 (Der Server/PC ist ja Router !)
DNS Server: 192.168.1.1
(Diese DNS IP Adresse ist unbedingt statisch einzugeben sonst funktioniert keine Namensauflösung im Client Segment !
Der DSL Router ist meist DNS Proxy so das er hier eingetragen wird ! (Ist er es nicht, muss hier die DNS IP Adresse des Providers konfiguriert werden die man ergoogeln kann !!)

Ist der Server selber DNS Server bzw. Proxy DNS dann wird am Client als DNS Adresse natürlich die Serveradresse des Client Segments eingetragen (hier im Beispiel dann die 172.16.1.254 !)
Dazu MUSS man aber sicherstellen das am Server der DNS Dienst aktiviert ist und eine DNS Weiterleitung auf den Router bzw. die Provider DNS Adresse eingetragen ist !
Dazu geht man bei Windows am Server in die DNS-Verwaltung, dann:
Rechtsklick auf den DNS-Server und Eigenschaften.
dort unter "Weiterleitungen"
unten eintragen: <Router_IP>, <Provider_DNS_IP> und jeweils auf "hinzufügen".
Bei Linux ist das /etc/resolv.conf.

Einstellungen am Internet Router

Der Internet Router kann das IP Segment (Clients, hier 172.16.1.0 /24) hinter dem Server / PC nicht kennen (woher auch..?)
Man muss ihm also nun beibringen wie er Packete ins Client Segment schicken kann !
Der Koppelrouter der ihm seine Packete dahin weiterleitet ist ja der Server oder PC selber mit den IP Segmenten an NIC1 und NIC2.
Folglich also, muss man dem Internet Router die Server / PC IP Adresse im gleichen IP Segment des Internet Routers als Ziel angeben für IP Packete in das 2te Client Netz !!!

Das geschieht auf dem Internet Router mit einer zusätzlichen statischen Route die unbedingt über das Websetup oder CLI Setup des Routers eingetragen werden muss !

Dieser Punkt ist unbedingt zu beachten und wird leider sehr oft vergessen !!! Ohne diese statische Router funktioniert dieses Szenario NICHT !!! Oder...
Ausschliesslich nur dann mit NAT (Adress Translation oder ICS/Masquerading) auf dem routenden PC/Server mit den 2 NICs.
(Siehe dazu weiter unten den Punkt: "Was machen Anwender deren DSL Router keine zusätzlichen statischen Routen supporten ?..." das diese Variante der Einstellung genau betrachtet !!)

Im Folgenden ist einmal sehr detailiert der (geroutete) Weg eines IP Paketes beschrieben das aus dem Clientnetz via Router ins Internet geht. Es lohnt sich diesen Abschnitt zu lesen für das Verständnis des Routings in so einem Netz (wirklich !):

Paket Walk: "Der Weg eines LAN IP Paketes durch ein geroutetes Netzwerk"

Damit man einmal sieht wie das alles zusammen spielt, ist hier eine kleine Ablaufbeschreibung der "Reise" eines solchen IP Paketes am Beispiel eines Pings vom Client mit der IP 172.16.1.1 zum Internet Router mit der Adresse 192.168.1.1 angefügt: (Die Variante inklusive NAT findet sich hier !)

1.) Der Client ist auf dem Netz-2 172.16.1.0 /24 mit der Hostadresse .1 und erhält vom Ping Programm den Auftrag ein ICMP Echo Request Packet (Ping) an den Router 192.168.1.1 in Netz-1 zu schicken via unserem Koppelrouter.
2.) Der TCP/IP Stack des Client merkt das diese Zieladresse nicht in seinem lokalen IP Segment ist (anderes Netz !), denn er kennt ja seine eigene IP Adresse und damit sein eigenes IP Netz. Er befragt nun den PC IP Stack ob er ein Default Gateway Eintrag hat, wo er das IP Packet hinschicken kann, denn das Gateway wird ja schon wissen wie es weitergeht zum Ziel…
3.) Als Gateway findet er die 172.16.1.254 und das ist der als Router arbeitende Server/PC (oder dedizierte Router), also ab mit dem IP Packet dahin...
4.) Der Server (Router) empfängt nun das Packet, sieht auf die im Packet enthaltene IP Zieladresse 192.168.1.1 und sieht daraufhin in seiner eigenen Routing Tabelle nach ob er den Weg zum Ziel kennt.....
5.) Gut ! Das 192.168.1.0er Netz ist an mir direkt angeschlossen also raus damit auf der NIC1 (oder LAN Port beim Router) an diesem IP Segment...
6.) Nun landet das Packet beim Internet Router der ja auch das Ziel ist. Der sieht nach was er machen soll...OK, ich soll ein Echo Reply (Ping Antwort) an den Client 172.16.1.1 zurückschicken. Also, los gehts..
7.) Internet Router sieht in seiner Routing Tabelle nach....

Es ist eine statische Route aufs 172.16.1.0er Netz im Router vorhanden => Weiter bei Schritt 9.)
Es ist KEINE statische Route aufs 172.16.1.0er Netz im Router vorhanden => Weiter bei Schritt 8.)

8.) OK, Internet Router nimmt die Default Route ins Internet da er 172.16.1.0 ja anderweitig nicht kennt und es an ihm selber nicht angeschlossen ist... Also ab damit zum Internet Provider! Hier verliert sich nun die Spur vom Packet 192.168.1.1, da das Ziel eine RFC 1918 IP Adresse ist die nicht geroutet wird im gesamten Internet und der Providerrouter das Packet kommentarlos und unbarmherzig in den Datenmülleimer verfrachtet. Im Client erscheint ein "Keine Antwort von 192.168.1.1" und der Anwender ist frustriert… (Oder geht zu administrator.de und öffnet einen Thread )
9.) Glück gehabt!! In der Routing Tabelle steht eine statische Route die dem Internet Router sagt alles für 172.16.1.0 /24 schicke bitte NICHT an den Provider sondern an die IP 192.168.1.254 (Server/PC, Router) Ok, macht er, und ab mit dem Echo Reply Packet an diese Adresse...
10.) Der Server / Router empfängt nun das Packet sieht auf die Zieladresse 172.16.1.1 und sieht daraufhin wieder in seiner Routing Tabelle nach...
11.) Das 172.16.1.0er Netz ist an mir direkt angeschlossen also raus damit auf der NIC2 oder Router Port an diesem IP Netz zum Client...
12.) Perfekt, das Packet mit der Echo Antwort vom Router ist da und erzeugt ein "Antwort von 192.168.1.1 !!!" am Client. Der Anwender ist happy und sagt "Bingo! es rennt...!"

Soviel zur Routing Funktion.... Nicht anders als wenn man mit dem Auto von A nach B fährt.

Wichtige Punkte die zusätzlich zu beachten sind !

Lösung für Anwender deren Internet Router keine zusätzlichen statischen Routen supporten:
Erstmal ist das schlecht aber es gibt einen Workaround mit der Funktion Internetverbindungsfreigabe (ICS) oder NAT Basisfirewall (Win Server) unter Windows. (Unter Linux ist das NAT/PAT oder "Masquerading" mit ip_tables)
Auf der NIC-1, also dem Segment zum DSL Router, muss diese ICS Funktion aktiviert sein !
Der Server/PC macht dann ein NAT (Network Adress Translation) zum IP Segment, NIC-1 in dem sich der Internet Router befindet. Er setzt also das gesamte Netz der NIC-2 auf seine IP Adresse an der NIC1 um, ähnlich dem was DSL Router mit ihrem lokalen LAN Netz zum Internet hin machen.
Durch diese IP Adressumsetzung "sieht" der Internet Router das Netz an NIC-2 nicht mehr, denn alle Absender von NIC-2 tauchen so bei ihm mit einer NIC-1 IP Adresse auf.
Nachteil mit ICS/NAT ist dann aber das das Routing durch die NAT Firewall eine Einbahnstrasse ist.
Um ICS/NAT zu aktivieren bei Windows klickt man dazu auf die erweiterten Eigenschaften der NIC im IP Netz des Internet Routers und setzt den Haken bei Gemeinsame Nutzung der Internetverbindung.
Dann wählt man danach den Heimnetz Adapter aus, was dann logischerweise die NIC-2 des Clientsegments ist !
Damit ist ICS (Windows NAT) konfiguriert.

Achtung bei der Verwendung von Windows ICS/NAT !

Windows vergibt bei Aktivierung der ICS Funktion automatisch IMMER die 192.168.0.1 bzw. Windows 7 und höher die 192.168.137.1 als IP Adresse auf dem sog. Heimnetz (Clientsegment) wie Windows es nennt !
Dieses Verhalten der festen IP Adress Vorgabe ist nur bei Windows so !! (Linux hat das nicht !)
Diese Adresse und auch das Netz selber darf NICHT nachträglich geändert werden, denn das führt sofort zum Nichtfunktionieren von Microsofts ICS (NAT) Funktion auf dem PC/Server !!
Man muss also zwangsläufig mit dieser Adressierung im Clientsegment leben und seine IP Adressen ggf. entsprechend anpassen.
Der ICS Rechner arbeitet bei aktiviertem ICS auch immer automatisch als DHCP Server und vergibt dann dynamisch IP Adressen in diesem, von Microsoft festgelegten, ICS Client Netz 192.168.0.0 /24 bzw. 192.168.137.0 /24.
Eine statische IP Adressvergabe ist nicht mehr ratsam weil der ICS DHCP Server nicht konfigurierbar ist und es somit zu gefährlichen IP Adressdoppelungen kommen kann !
Besser also hier KEINE statischen Adressen verwenden, oder wenn dann, immer im unteren IP Adressbereich (192.168.0.10, .12, .13 usw.), da der ICS DHCP bei .252 rückwärts arbeitet.
Niemals die 192.168.0.1 bzw. 192.168.137.1 statisch vergeben, denn das ist der PC selber und die IP ist durch MS im ICS Setup festgelegt !!
Eine saubere ICS Konfuration sähe dann so aus:

Wie man ICS/Internet Sharing bei Windows aktiviert ist HIER_in_diesem_Tutorial noch einmal ganz genau beschrieben !
Der Router sieht jetzt durch ICS NAT keine Packete mehr aus dem Segment der NIC2 (die werden ja umgesetzt auf die IP Adresse von NIC1) und benötigt folglich auch keine statische Route mehr, da der Router ja keine Adresse aus dem NIC2 Segment mehr sieht und Traffic dahin wie lokaler Traffic behandelt wird, da die NAT Adresse ja eine lokale ist.

ICS/NAT beim Windows Server
Beim Windows Server ist die ICS Funktion in der NAT Basisfirewall versteckt, im Setup unter Routing und RAS !!!
Sowie diese NAT Firewall aktiv ist auf einem der Adapter wird dort wie oben bei anderen Windows Versionen ein NAT gemacht !!!
Letztendlich macht man so immer ein doppeltes NAT, einmal auf dem Server und ein 2tes Mal auf dem Router ins Internet, was eigentlich überflüssig und auch fehlerbehaftet sein kann. Vom Performanceverlust mal gar nicht zu sprechen.
D.h. bei NAT wird das gesamte Client IP Netzwerk (Quell IP Adresse) auf die IP der Server NIC umgesetzt und so das Client Netz gewissermaßen versteckt hinter der IP der Server NIC. Nur diese Server IP ist nach außen sichtbar und nicht wie beim normalen Routing sonst üblich die originale Quell IP Adresse !
Genau der Vorgang den auch ein DSL Router ins Internet macht. Auch der setzt das lokale IP Netzwerk komplett um auf seine öffentliche xDSL oder Kabel Provider IP so das das lokale Netzwerk nicht mehr auftaucht. Klassische Netzwerk Adress Translation also !!
Logischerweise ist die NAT Firewall so von außen nicht zu überwinden ohne ein Port Forwarding.
Folglich können in einem NAT Szenario keine Verbindungen von außen oder dem Router Segment zum Client Segment gemacht werden. Eine Netzwerk "Einbahnstrasse" also.
Das ist nur möglich in einem normal gerouteten Netzwerk OHNE ICS/NAT oder aktiver NAT Basisfirewall im Windows Server !

Nochmals zur Klarstellung:
ICS/NAT nur dann verwenden wenn man es wirklich muss !!
Bevorzugt werden sollte immer ein natives und transparentes Routing ohne Aktivierung der ICS/NAT Funktion unter MS ! Es sollte also wenn möglich und gewollt immer diese Variante konfiguriert werden.
ICS ist lediglich ein "Notnagel" für Benutzer die einen Billigstrouter haben oder verwenden, der KEINE Funktion bzw. Option zur Konfiguration von statischen IP Routen in seinem Setup hat. Oder wer das 2te Netz mit einer NAT Firewall willentlich abtrennen möchte und damit eine Routing "Einbahnstrasse" in Kauf nimmt.

Nachteile einer Windows ICS (NAT) Lösung

Einige der gravierenden Nachteile, wie die Verwendung von statischen IPs, durch die Unkontrollierbarkeit des Windows ICS DHCP Prozesses sind oben schon genannt worden. Es gibt aber weitere Nachteile:

Hat man im Segment der NIC1 auch PCs kann man mit diesen nicht mehr ins Segment der NIC2 kommunizieren, da man den NAT Prozess im Windows Server nicht überwinden kann !
Eine „Any to Any“ Kommunikation (Jeder mit Jedem) von Endgeräten in beiden Segmenten ist dadurch so nicht mehr möglich. Aus dem Client Segment ist dies also eine „Einbahnstrasse“ ins Internet was aber für einige Szenarien ggf. ausreicht.
Benötigt man eine Any to Any Kommunikation benötigt man auch einen Internet Router der sicher statische Routen supportet im Setup !

Das sollte man sich VOR dem Kauf eines Routers überlegen !
Die Routing Lösung ist also in jedem Falle immer zu bevorzugen.

Eine weitere Option ist unter Windows das Bridging zwischen beiden LAN Segmenten. Dafür muss man aber zwangsweise mit gleichen IP Adressen bzw. im gleichen IP Netz arbeiten in beiden Segmenten.
Diese Bridging Lösung sollte man, wenn immer möglich, durch die hohe Broad- und Multicastcast Belastung des Servers/PC vermeiden !
Im Zweifelsfall IMMER lieber für ein paar Euro einen neuen Router erwerben (z.B. Mikrotik, siehe unten) der statische Routen supportet.
Technisch ist das immer besser als eine Frickellösung mit Bridging oder ICS NAT !!!

Port Weiterleitung aus dem Internet auf Clients im Segment LAN-2

Dieses Problem tritt häufig auf wenn es gewünscht ist einzelnen PCs im Client Segment LAN-2 remote aus dem Internet fernzubedienen mit VNC oder RDP z.B.
Meist taucht das Problem auf, das dies am Router so ohne weiteres nicht zu konfigurieren ist, da die lokale IP Adresse, die in die Port Forwarding (oder Port Freigabe) Tabelle des Routers eingetragen werden muss, ja nicht im lokalen IP Netz des Routers liegt.
Viele Consumer Router verweigern hier die Zusammenarbeit und ignorieren das Konfig Kommando in der PFW Tabelle oder führen das Port Forwarding schlicht nicht aus und das trotz korrekter statischer Route hier, die eigentlich das Zielnetz bekannt macht auf dem Router.
Meist ist das ein Bug in der Routerfirmware oder dadurch eben einfach schlicht nicht supportet. Ein Umstand mit dem man leider im Consumer Bereich häufig leben muss....
Es gibt aber wie (fast) immer einen Ausweg:
Man leitet mittels der o.a. Port Forwarding Liste am Router die z.B. VNC Packet (Port TCP 5900) oder RDP (Port TCP 3389) oder oder.. an die Server IP Adresse im Routersegment LAN-1.
Dort am Server, konfiguriert man dann ein Port Forwarding (Weiterleitung) auf die Clients bzw. dessen IP Adresse. Wie das geht beschreibt die MS Knowledgebase unter:

http://technet2.microsoft.com/WindowsServer/de/Library/6dd18466-d9dc-43 ...

Beim Windows Server und Verwendung der NAT/Basisfirewall ist diese Funktion etwas versteckt:
Routing und RAS -> ServerName (lokal) -> IP-Routing -> NAT/Basisfirewall
Im rechten Teilfenster klickt man mit rechts auf die Verbindung, mit der man mit dem Internet verbunden ist (meist „Netzwerkverbindung“) und wechselt im aufpoppenden Fenster auf „Dienste und Ports“. Dies ist nur verfügbar, wenn die Verbindung mit einer Firewall geschützt ist.
Ein Klick auf „Hinzufügen“ und man kann Portfreigaben und Portweiterleitungen eintragen !

Bei Linux machen das entsprechend die ip tables (oder den moderneren nftables) Einstellungen am Interface für die es zuhauf HowTos im Internet gibt.
Damit ist auch eine remote Steuerung aus dem Internet von Endgeräten im Netz LAN-2 gegeben ! Im Segment LAN-1 funktionieren sie ja sowieso da das direkt am Router hängt.

Auch hier nochmals zum Abschuss der Hinweis: Sowas wie Port Weiterleitung ist nur erforderlich wenn man einen dummen Router hat der keine statischen Routen supportet und man gezwungen ist NAT/ICS einzusetzen !
In jedem Falle ist die reine Routing Lösung ohne NAT/ICS vorzuziehen bei der sowas nicht erforderlich ist !

DNS Integration beider IP Netze im DC

Dieses Thema und seine Lösung behandelt ein separates Tutorial von dog auf das an dieser Stelle verwiesen wird:
Probleme mit Multihomed DCs vermeiden

Alternativen mit anderem Design (WLAN)

Das sowohl das IP LAN Segment NIC1 als auch LAN Segment NIC2 durch eine entsprechende WLAN Infrastruktur mit oder ohne WLAN Accesspoint ersetzt werden kann ist klar ! Die Prozedur der IP Einrichtung wie oben beschrieben ist absolut gleich.
Designs können so aussehen (Variante 1)

...oder das WLAN als Client Segment (Variante 2)

8610d17980fb192abf6b4eaf11b583b3-2karten2

Eines dieser typischen WLAN Designs beschreibt der folgende Thread HIER im Forum !

Attis Tutorial von oben geht dort genauer drauf ein, die Vorgehensweise ist immer dieselbe wie oben beschrieben.
Eine interessante Alternative ist das Client Segment per WLAN ohne WLAN Accesspoint aufzusetzen.
Dazu betreibt man Server/PC und Clients im sog. WLAN Ad Hoc Mode ohne Accesspoint. Auch das ist problemlos möglich wie DIESER Thread hier u.a. beschreibt.

Unterschiedliche Designs der Infrastruktur gibt es zuhauf, das Vorgehen zum Routing aber ist immer gleich !

LAN Routing mit dediziertem Router OHNE Rechner mit 2 Netzwerkkarten

Natürlich ist auch ein Routing zwischen den LAN Segmenten ohne einen Rechner mit Linux oder Windows OS problemlos möglich. Aus technischer Hinsicht und aus Gründen des Energieverbrauches ist das klar die bessere Alternative.
Einfacher Grund ist das die Erreichbarkeit im netzwerk dann nicht mehr von der Verfügbarkeit des Servers abhängig ist.
Die Router Lösung ist auch schon aus Stromverbrauchsgründen sehr sinnvoll bei Dauerbetrieb. (Max. 15 Euro Stromkosten pro Jahr !) zudem sollte in der Netzwerk Infrastruktur IMMER ein dedizierter Router diese Funktion übernehmen.
Klassische Szenarien zum Verbinden mehrerer IP Netze sehen z.B. analog zu den PCs so aus:

Ein VLAN basiertes Routing mit einem sog. "Lollipop Router" (Router oder Firewall am Lollistiel oder "one armed" Router) in Verbindung mit einem nicht routingfähigen VLAN Switch und mehreren LAN Segmenten die als VLANs ausgelegt sind, zeigt die folgende Abbildung:

Generell reicht dafür ein alter, ausrangierter PC, besser aber ein kleines Mini ITX Board mit oder eins der klassischen 5 Port Applianes die es bei den einschlägigen Versendern gibt.
Eine genaue Anleitung zum Aufbau eines solchen Systems ist u.a. HIER zu finden:

Ideal dafür sind auch preiswerte Router der Fa. Mikrotik die noch erheblich mehr Features wie 5 Routing Ports (10 Ports z.B. beim Modell 2011), Dual Band WLAN usw. für sehr kleines Geld bieten:
http://varia-store.com/Wireless-Systeme/MikroTik-RouterBoard/MikroTik-R ...
Oder die 1 GiG Variante:
http://varia-store.com/Wireless-Systeme/MikroTik-RouterBoard/MikroTik-h ...
Beide Mikrotik Systeme gibt es auch ohne WLAN.
Es gibt keinen WLAN Router am Markt der so flexibel einsetzbar ist zu diesem Preis (ca. 40 Euro) bzw. in der Gigabit Variante wie die Mikrotik Modelle.
Anspruchsvollere Netzwerker nehmen ein Mikrotik System der 2011er Reihe:
Dieser Router bietet mehr Gigabit Ports und zudem ein grafisches Touch Panel an der Fronseite die immer einen Überblick über die Traffic Auslastung gibt.

Allerdings sollte man nicht vergessen das die Mikrotik Router etwas Netzwerk Basiswissen erfordert, da die Fülle der Funktionen auf diesem System Netzwerk Anfänger oft überfordert.
Ebenfalls prädestiniert sind flexible Consumer Router die mit der quelloffenen Firmware OpenWRT oder DD-WRT arbeiten.

Die folgenden Abschnitte dieses Tutorials beschreiben im Detail wie so ein System selbst konfiguriert werden kann. Für Laien bietet sich die Möglichkeit für sehr wenig Geld ein Fertiggerät zu kaufen, das dann nur noch per Webinterface und ein paar Mausklicks konfiguriert werden muss:
Die Firewall Funktion bietet noch zusätzliche Sicherheiten wenn die Kommunikation z.B. nur auf Drucker- oder Serverzugriff oder andere Dienste beschränkt werden soll !

Alle Systeme bieten ein modernes grafisches Setup Interface via Webbrowser, was die Installation sehr einfach macht.
Der Linksys WRT54 DSL Router mit alternativer DD-WRT Firmware oder ein modernerer TP-Link WR841N ist aber auch ein gangbarer Weg, da er mit der freien DD-WRT bzw. OpenWRT Firmware wie die o.a. System auch eine abschaltbare NAT / Masquerading Funktion hat und so als transparenter Router betrieben werden kann.

⚠️ Ein Wort der Warnung:
Billige DSL Router ohne integriertes DSL Modem, die nicht auf alternative, offene Firmware Versionen geflasht werden können, eignen sich nur sehr bedingt für das o.a. Szenario, da man die NAT Funktion (IP Network Adress Translation) dort so gut wie immer nicht abschalten kann.
Routing wird mit NAT immer zur Einbahnstrasse zwischen den IP Netzen, da ein aktives NAT den gerouteten Weg ins 2te Netz verhindert !
Ein Problem Klassiker der gefühlt fast täglich hier im Forum aufläuft, weil leider oft dieser Nachteil beim Kauf NICHT bedacht wird !
Diese generelle NAT Problematik erläutert auch dieser_Heise_Artikel im letzten Abschnitt unter "Internes":

Es gibt also bei kleinen Netzdesigns immer genug preiswerte Alternativen zu einen ggf. teuren Layer 3 Routing Switch oder einem teuren Server mit hohem Stromverbrauch.

Routing mit pfSense Firewall

Als Router lässt sich dafür z.B. die kostenlose Firewall pfsense verwenden.
Wie das geht ist bereits ausreichend HIER und auch HIER beschrieben.

Die pfSense/OPNsense Firewall hat ein paar Vorteile:

Stateful Firewalling zw. den IP Netzen.
Es lassen sich problemlos mehr als 2 Netzwerkinterfaces betreiben durch Hinzufügen weiterer NICs oder im VLAN Design.
Das APU Mainboard hat per se 3 bzw. 4 (APU4) Interfaces zum Routen
Ein Minimainboard ist sehr sparsam zu betreiben im Dauerbetrieb und hat keine beweglichen Teile (Verschleiß, Ausfall).
VLAN_Routing über einen tagged Port (802.1q) und VLAN Switch ist problemlos möglich. (Separates Tutorial HIER )

Für den Dauerbetrieb empfehlen sich daher die APU oder miniITX Lösung aus Gründen des Stromverbrauchs und der Kühlung.

Routing mit Mikrotik Router

Wie oben bereits erwähnt ist eine der preiswertesten Möglichkeiten zwischen LAN Segmenten zu Routen das Mikrotik Router, zu dem es hier im Forum schon einen Erfahrungsbericht von @dog gibt.

Das ist ein fix und fertiger, kleiner sehr preiswerter 5 Port Router:
https://www.varia-store.com/de/produkt/97209-rb941-2nd-routerboard-hap-l ...
bzw. ohne WLAN:
https://varia-store.com/de/produkt/31133-mikrotik-routerboard-rb750r2-he ...

oder die Variante mit Gigabit Ethernet:
https://varia-store.com/de/produkt/31532-mikrotik-routerboard-hex-mit-88 ...
bzw. mit Glasfaseranschluss:
https://www.varia-store.com/de/produkt/97947-rb760igs-hex-s-mit-dual-cor ...

...den man dann nur noch konfigurieren und mit seinen IP Netzen verbinden muss.

Mit dem Mikrotik wird mit der "WinBox" ein sehr komfortables Setup Tool für Windows mitgeliefert mit dem die Installation im Handumdrehen erledigt ist. Außerdem verfügt der Router zusätzlich über ein WebGUI und ein normales Telnet / SSH CLI.
Für eine transparente Routing Funktion ohne NAT sollte man vorher die Default Konfig löschen:
Das geht entweder per Telnet (Putty) mit dem menügesteurten Kommando /system reset-conf skip-backup=yes no-defaults=yes die die werkseitige Default Konfig (4 Port Switch plus 1 NAT Routerport) deaktiviert und einen simplen 5 Port Router aus dem Mikrotik machen.
Analog und einfacher funktioniert es mit dem gafischen Winbox Konfigurations Tool oder übers WebGUI:

https://www.youtube.com/watch?v=WamIXTCMXK8

Ohne diese Default Konfig hat man dann einen "nackten" und transparenten 5 Port IP Router vor sich der dann max. 5 (mit VLANs entsprechend mehr) separate IP Netze egal ob LAN oder WLAN routen und auch bridgen kann.
Über das WinBox Tool weist man dann den Interfaces einfach eine IP Adresse des zu routenden Segmentes zu und fertig ist der Router.
Bewährt haben sich Router IP Adressen die immer "ganz oben" oder "ganz unten" z.B. 172.16.1.254 /24 oder 172.16.1.1 /24 im Adressbereich liegen.
So vermeidet man Überschneidungen mit Endgeräte Adressen und DHCP Pools und kann sich die wichtigen Router IPs leicht merken.
Die folgende Abbildung zeigt ein Beispiel für 3 Interfaces :

Anhand der Featureliste im WinBox Tool links sieht man sofort das auch VLANs supportet sind die ein VLAN Routing über 802.1qTrunks ermöglichen und auch der Support von dynamischen Routing Protokollen wie RIP, OSPF usw. ist problemlos möglich. Firewall Funktionen runden die Featureliste ab.
Das Mikrotik Forum bietet zudem eine Fülle an Beispielkonfigs für bestimmte Anwendungen.
Für seinen Anschaffungspreis (ca.40 € Strassenpreis) ist der Mikrotik Router unschlagbar für solche (und andere) Szenarios.
Auch in Bezug auf den Energieverbrauch. Er sollte deshalb immer erste Wahl sein um so ein Routing Design zu realisieren und nicht einen Server mit Routing zusätzlich zu belasten !

Soll zum Routing auch noch Security (Zugangslisten) und VPN dazukommen ist die pfSense Lösung ggf. vorzuziehen.

Routing mit OpenWRT Router

Ebenso preiswert und ein Klassiker mit Open Source Routing, ist die freie Router Firmware OpenWRT die auf einer Vielzahl von Routern supportet ist.
OpenWRT ist eine Firmware die wie DD-WRT offen und nicht proprietär ist. Vor dem Hintergrund der in letzter Zeit sehr zahlreichen Router Skandale wie dem FritzBox Firmware Bug und den offenen Ports viele anderer Router wie sie z.B. hier beschieben ist, ist OpenWRT generell eine sehr gute Alternative für einen sicheren und durch die Software Modularität extrem flexibelen Heimrouter.
OpenWRT lässt sich durch sog. SW Packages, wie man sie auch bei der Firewall pfSense kennt, sehr flexibel erweitern und auf persönliche Bedürfnisse anpassen. Man kann z.B. mit einem Mausklick VPN Support auf dem Router hinzufügen.
Die Optionen sind sehr vielfältig und OpenWRT eine ideale und zudem sehr preiswerte Plattform für solche Experimente.

Das solche Flexibilität an Routerfunktionen nicht teuer sein muss zeigt das folgende Beispiel, denn als Hardware für die OpenWRT Variante verwendet dieses Tutorial einen TP-Link_WR841N für ca. 17 Euro Strassenpreis !
Bei diesen sehr geringen Kosten kann sich auch ein Netzwerk Anfänger angstfrei an Experimente mit dem Router heranwagen, denn preiswerter ist so eine LAN Kopplung derzeit nicht zu realisieren.

Der WR841 kommt in 2 Modellen daher einmal als "N“ und einmal als "ND“.
Das zusätzliche "D“ steht für "detachable“ und weisst daraufhin, das die WLAN Antennen beim „D“ Modell abnehmbar sind um z.B. externe Antennen für den Außeneinsatz (Richtfunk etc.) anzuschliessen. Beim nicht „D“ Modell sind sie fest mit dem Router verbunden. Ansonsten ist die HW der beiden Modelle vollkommen identisch !

Los gehts….
Zuallerst geht es an das Flashen der Firmware was mit ein paar Mausklicks über das grafische Router Setup erledigt ist.
Die Firmware lädt man von der OpenWRT Seite: http://wiki.openwrt.org/toh/tp-link/tl-wr841nd
Aktuelle Hardware ist in der Regel die HW Version 8.x. Sicher ist aber nochmal das Modellschild am gehäuse daraufhin zu überprüfen !
Über das Websetup des WR841 wählt man den Menüpunkt „Firmware Update“, wählt die OpenWRT Firmware Datei aus und klickt auf OK.
Der Router flasht die OpenWRT Firmware automatisch und ist nach ca. 3 Minuten unter der IP 192.168.1.1 wieder im Websetup erreichbar.

Da der WAN Port (hier im Tutorial für das 2te IP Netzwerk !) im Default auf PPPoE (DSL Access) steht muss dieser zuerst auf Static für eine statische IP Adresse umgeschaltet werden. Mit Klick auf "switch protocoll“ erhält man die dafür nötigen Eingabefenster:

Hier im o.a. Screenshot würde gleich der DHCP Server für das 2te IP Netzwerk aktiviert um dort ebenfalls dynamisch IP Adressen an Endgeräte zu vergeben.

Da der Router im Default mit einer Internet Konfig hochkommt ist am WAN / Internet Port eine Firewall mit NAT (IP Adress Translation) aktiv.
Wer das 2te Netz abtrennen möchte belässt alle Einstellungen dort und ist mit dem Setup fertig.
In der Regel kann man aber die Firewall nicht gebrauchen, da man ja transparent routen möchte zwischen beiden Netzwerken.
Folglich muss man im Firewall Setup nun das NAT (Masquerading) deaktivieren und die Weiterleitungsregeln (Forwarding) auf Accept setzen.

Mit einem Klick auf „Save and Apply“ sind diese Settings aktiv und der 17 Euro Router routet zwischen diesen beiden Netzen !

Fortgeschrittene Nutzer können den konfigurierten Switch über die 4 Ethernet Ports auflösen und dann mit max. 5 Ports routen.
Zusätzlich ist der Router auch VLAN fähig, kann also auf einem VLAN tagged Interface auch zwischen mehreren VLANs routen. Details zu diesem Setup findet man hier

Weiterführende Links

Grundlagen zu Router Kaskaden
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Kaskaden mit mehreren Routern:
Programm gesucht Nachbildung und Testen von Netz

2 IP Netze per WLAN verbinden
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Zwei Netzwerke zusammen schalten aber wie?

Praxisbeispiel 2 Netze u. 2 Internet Router ohne statisches Routing
Routing zwischen verschiedenen Netzen
Routing Frage, statisch?

VLAN Routing zw. IP Netzen mit VLAN Switches
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

FritzBox und Mikrotik Routing Beispiel
Kopplung von 2 IP-Netzen, Zugriff via VPN

Mikrotik Routing Beispiel
Mikrotik für VLAN einrichten

Port Forwarding mit FritzBox-pfSense Kaskade
Webserver hinter pfSense nur aus lokalen Netzwerken erreichbar

FritzBox Port Forwarding in geroutete IP Netze:
Keine Portfreigaben FritzBox 7490 mit aktueller FW 6.80 in Subnetze ?

2 IP Netze über Cisco IOS Router:
Routing zwischen 2 Subnetzen über einen Cisco Router (1800er Series)

Mikrotik Multicast Routing für TCom Entertain IP-TV:
Speedport W 724V + Routerboard 450G + VDSL (all IP) + Entertain
UPNP mit Mikrotik Routerboard hEX PoE und D-Link DGS-1210-24 Switch
Fehlersuche im lokalem Netzwerk (RSTP, MRP, Multicast)

Ein Firewall Router mit pfSense
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät

Mit einem Raspberry Pi zwei IP Netze routen:
Routingproblem in Homerouter-Kaskade mit Raspi

VLAN Routing mit Mikrotik auf HP ProCurve Switch im Detail:
Routerboard RB 750GL + TP-Link TL-SG3424 VLAN Konfiguration

VLAN Einrichtung und Routing an Windows PC oder Server NIC
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren

Linux VLAN Konfig am Beispiel Raspberry Pi / Debian / Ubuntu:
Netzwerk Management Server mit Raspberry Pi

Redundantes Routing Umfeld mit VRRP:
VRRP Einrichtung

Netzwerkkarte ICS / NAT Einrichtung:
Fritzbox mit Fremdnetz verbinden

Policy Based Routing mit Cisco IOS und Mikrotik:
Cisco Router 2 Gateways für verschiedene Clients
Policy based Routing mit Mikrotik 750 (Mikrotik)

Internet und Gastnetz Routing mit xDSL und Cisco 886:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

Subnetze dynamisch routen mit OSPF (Mikrotik):
Netzwerktopologie - mehrere Werke

IPv6 mit FritzBox Kaskade auf pfSense:
https://www.altmetaller.de/ipv6-pfsense-hinter-fritzbox-6360-kabel-deuts ...

Please also mark the comments that contributed to the solution of the article

Content-Key: 56073

Url: https://administrator.de/contentid/56073

Printed on: April 18, 2024 at 22:04 o'clock

121 Comments

Latest comment

Super Anleitung! Hab ich auch gleich ausprobiert! Und es klappt! Danke aqui!

masterG

Wär schön, den Titel so zu ändern, dass ersichtlich ist, dass die Anleitung für Windows gedacht ist...

Gruß

Na ein bischen gilt sie ja auch für Linux

Hallo,

ich bin ja eigentlich nicht blöd, aber ich bekomme meine Kiste nicht zum laufen.
Bei meinem Server 2003 rennt alles wie gewollt, via Routing und Ras.
Will mich jetzt nochmal nach langer Zeit mit Linux beschäftigen und habe das oben genannte Szenario. aber es geht nicht.
Meine Linuxkiste hat 2 NWKarten: 1 Nic 192.168.2.100 > die hängt an meinem Lancom-Router (192.168.2.1)
2 Nic des Linuxservers: 192.168.1.100 > da hängen die Clients dran

Auf dem Server habe ich für NIC 1 das GW 192.168.2.1 eingetragen
Für NIC 2 das GW 192.168.2.100
Für beide Karten IP_Fowarding aktiviert. Wenn ich jetzt ne öffentlich IP ping komme ich immer nur auf den Router danach verläuft alles im Nirwana.

Es kann ja nur am Router liegen, denke ich mal. Habe einige Routen ausprobiert aber es geht nicht. Wo liegt mein Denkfehler?

Für Hilfe wäre ich sehr dankbar.

Gruss

Christian

jo., habe den Fehler gefunden. IP_Masquerading war noch ncht aktiviert

Gruss

Christian

Masquerading benoetigst du nicht, denn das ist NAT !!! Damit versteckst du dein komplettes NIC2 Netz hinter der IP von NIC1 und routest mehr oder weniger nicht sondern arbeitest mit NAT, was dir Probleme beim Zugriff auf Geraete im Segment NIC2 beschert. Das ist nur der Notnagel fuer das beschriebene Routing Szenario wenn der DSL Router keine statischen Routen supportet !Dann ist NAT oder Masquerading natuerlich erforderlich. Ist so aber auch im Tutorial beschrieben

Dein Fehler ist, das du auf Segment 2 als Gateway .2.100 eingetragen hast, das ist Unsinn ! Der routende Server benoetigt lediglich ein einziges Gateway und das ist der Router .2.1 an NIC 1 sonst nichts !!! Der Gateway Eintrag an NIC2 (Clientsegment) muss hier also immer zwingend leer bleiben in einem gerouteten Umfeld ohne NAT !

hey perfekte beschreibung
hätest du das nur ein halbes jahr früher rausgebracht, hätte ich mich nicht damit rumquälen müssen

übrigens: man kann am Server sogar CD/DVD / Band und Diskettenlaufwerk erkennen =)

Super aqui, mach weiter so!

Hallo

Auch in der neuen Firma, zu der ich bald wechsele, haben wir so eine ähnliche Konfiguration.
Ich frage mich aber wozu?

Wozu die ganzen Clients hinter den Server? Wegen der Doppelten Firewall?
Sind nicht die Clients so "ziemlich" egal. Das wichtigste Instrument stellt man so ja nach vorne. Den Server.

Darauf sind alle sensible Daten. Wenn einer den Router überlistet, ist er schon fast auf dem Server.

Was sind die Gründe, so eine Topology aufzubauen?

Danke

Hannes

Wenn du den Server zu einem Zwangsproxy machst, kannst du so ein Umgehen der direkten Internetverbindung der Clients sicher unterbinden um eine Clientkommunikation mit öffentlichen Netzen besser zu steuern und sicherer zu machen.
Das ist z.B. ein Argument es gibt aber noch zig mehr. Für das Netz zuhause ist das nicht so relevant da hast du Recht und in großen professionellen Netzen löst man sowas mit Layer 3 fähigen Switches und Firewalls aber für den kleinen und Midrange Bereich kann es schon Gründe geben für den einen oder anderen...

Super beschreibung TOP sehr gut gemacht kann ich nur empfehlen !!! Wie wäre es gleich noch den Server als fette Firewall zu benutzen empfehle aber eher leistungsfähige rechner !!! keine "alten schwachen PC" sollen ja stabil laufen

Ja, gute Anleitung - gut gegliedert, und sogar mit Bild. Da kann man dann immer wieder mal drauf verweisen, wenn Fragen in der Richtung kommen.

Für daheim freilich überdimensioniert - da reicht zum Internet hin ein Router mit Firewall und gut ist um sich vor den üblichen Portscans oder Würmern zu schützen (die Schädlinge kommen heutzutage sowieso eher über "infiltrierte-Webseiten-Besuchen" oder Emailanhang-Anklicken, da hilft auch ein dritter und vierter Server den man zwischenschaltet nix, wenn der Benutzer quasi von "innen" die Tür aufmacht).

Aber es gibt auch genug Szenarien, wo genau diese Konstellation Sinn macht, z. B. als Contentfilter oder um das WLAN vom normalen LAN zu separieren.

brilliant!

nach verlorener Zeit mit einigen Versuchen gemäß der unvollständigen Beschreibung von Microsoft in sbsgsgab.doc bin ich mit dieser Beschreibung erfolgreich zum Ziel gekommen. Ich habe den Artikel redaktionell überarbeitet und für uns intern abgelegt!

Danke aqui! Weiter so!

Hi,
habe ich das richtig verstanden: Muß auf dem als "Server oder PC" gekennzeichneten Rechner ein Windows-Server-Betriebssystem laufen?

Ich kann mir vorstellen, daß viele User so wie ich auch, kein extra Server-Betriebssystem nutzen, sondern nur eine normale Client-Version wie z.B. Windows XP Professional. Läßt sich die serverseitige Konfiguration auch auf einem Client-Betriebssystem umsetzen?

Wenn in dem Netzwerk 192.168.1.0 noch zusätzliche Stationen eingebunden sind (verkabelt), z.B. ein Notebook oder ein PC (beides Windows-XP-Client-BS), sind diese dann von 172.16.1.1 anpingbar, wenn man ihnen als zweites Gateway die Adresse des Servers 192.168.1.254 gegeben hat, ist ein zweite Gatewayangabe eigentlich möglich? Müssen evtl. auf den Stationen in diesem Netzwerk auch statische Routen eingerichtet werden?

danke schonmal im voraus...

Hallo ktfreak,

Natürlich ist es egal was du auf dem als Server/PC gekennzeichneten PC als OS am Laufen hast. Das kann Linux, Win2k3, XPprof, MacOS-X, FreeBSD oder was auch immer sein.
Wichtig ist nur das man immer bedenkt, das das Feature IP Forwarding in den verwendeten OSes zu aktivieren ist wie im Tutorial beschrieben, denn das ist so gut wie immer deaktiviert so das ein Routing ohne Aktivierung nicht funktioniert ! (Ausnahme ist natürlich der Workaround bei Billigroutern über NAT (ICS) am PC/Server, denn da findet natürlich gar kein IP Routing statt !)

Natürlich kannst du auch weitere Endgeräte im LAN-1 (192.168.1.0/24) erreichen aus dem LAN-2 !
Weitere Gateways oder gar statische Routen usw. musst du natürlich nicht eintragen !
Aus Sicht von Clients im 172.16.1.0/24er Netz verhalten diese sich ja wie die Router IP adresstechnisch gesehen. Damit gilt dann wie im "Reise eines Packetes durchs Netz..." beschrieben der gleiche Weg eines Datenpacketes auch zu diesen Endgeräten !

Also Endgeräte können damit hier ganz einfach IP Adressen aus dem 192.168.1.0er Bereich bekommen und ob du als Gateway den Router direkt oder den PC/Server einträgst spielt keine Rolle (besser ist der Router !)
Achten muss man hier nur darauf, das sollte auf dem Router ein DHCP Server laufen, es nicht zu IP Adresskonflikten kommt durch doppelte Vergabe.
Hier gilt der goldene Grundsatz das statische IP Adressen natürlich außerhalb der evtl. vorhandenen DHCP Range des Routers zu konfigurieren sind !

Super Anleitung, aber warum steht sie unter Fragen und nicht unter Anleitungen?

vielen Dank aqui,

ich habe das im Tutorial beschriebene Szenario mit geringen Abweichungen bereits praktikabel umgesetzt. Hat beim ersten Versuch geklappt, fast ganz ohne Routes einzurichten (außer auf Router selbst).

Da hast du dann wohl nicht richtig hingesehen denn sie steht ganz klar in der Rubrik Router und Routing unter Tutorials !

hallo,

sehr detaillierte Anleitung doch leider kann ich mein Problem nicht damit nicht lösen...

IP-Kreis 1: 192.168.100.0
IP-Kreis 2: 192.168.99.0

Ich habe einen Server (Windows Server 2003) mit 2 Nics. Beide Nics sind an den gleichen Switch angeschlossen.

IP-Nic 1: 192.168.100.65
IP-Nic 2: 192.168.99.1

Da mein Ip-Kreis 1 bald voll ist, möchte ich den IP-Kreis 2 einrichten. Die PCs aus dem IP-Kreis 2 sollen auf alle Resourcen (Mail-, File-Server, Drucker etc.) des Ip-Kreises 1 zugreifen können.

Außerdem laufen auf dem o.g. Server zwei VMs die in den neuen IP-Kreis (...99...) rein sollen.

Ich weiß nicht was ich wo genau einstellen muss.

Leider ergab meine zweitägige Suche kein erfolgreiches Ergebnis und ich wende mich nun vertrauensvoll an euch...

Grüße
Tom

Niemals darfst du diese beiden IP Segmente wieder auf einem Layer 2 Switch vereinen !!!
Das darf man ausschliesslich nur wenn dieser Switch VLAN fähig ist und beide Beine in unterschiedlichen VLANs hängen Was du machst ist aus IP Sicht tödlich, denn du fährst 2 IP Netze in einer Layer 2 Domain zusammen was so nicht erlaubt ist aus IP Sicht.
Oder du musst eben dein IP Netzwerk weg von einem Class C netzwerk mit diesen unsaeglichen 192.168er Adressen die die ganze Welt benutzt auf ein Class B Netzwerk heben. Der RFC-1918 gibt uns ja noch die 172.16 bis 32er Adressen.
Ein Schwenk deiner NIC auf 172.16.0.0 mit einer 16 Bit Maske (255.255.0.0) loest dein problem also sofort !

Fazit: Du musst unbedingt deine LANs trennen entweder mit VLANs oder einem 2ten separaten Switch, sollte dein derzeitiger ein dummer nicht managebarer Switch sein. Das ist ja auch der Sinn der Sache mit den 2 Netzwerkkarten das ich 2 separate Segmente erhalte.

Wichtig ist das dein 2k3 Server das Routing eingeschaltet hat ! MS macht das per Default NICHT ! Das macht man indem man RAS/Routing aktiviert bei 2k3.
Die Routing Funktion bei dir kannst du ganz einfach testen mit folgendem einfachen Aufbau:

Server mit 2 NICs und an jedem Segment ein Client mit einer IP Adresse aus dem jeweiligen IP Segment (192.168.100.0/24 und 192.168.99.0/24).
Gateway zeigt auf die Server IPs im jeweiligen Segment (192.168.100.65/24 und 192.168.99.1/24).
Mit entsprechenden richtigen Firewall Einstellungen muss ein Ping beider Clients untereinander und auch ein Ping von beiden Clients auf jeweils beide Server IPs möglich sein !!
Damit funktioniert dann dein Routing und du kannst alle Resourcen in beiden Segmenten problemlos erreichen !!

danke für die rasche antwort...

leider ist das hausinterne netz über 4 etagen und unzählige rüme verteilt (überall switche) ...
die server stehen alle in einem raum im 2.og und die neuen rechner stehen überall verteilt im haus. da wird es schwer die rechner von einander abzugrenzen.

gibt es eine andere möglichkeit außer vlans? der aufwand ist enorm - überall VLAN einrichen... außerdem stehen auch einige nicht managbare 8 port switche herum...

freu mich über jede idee...

grüße
tom

Nein, da hast du keine Chance und solltest dir was anderes in puncto Design überlegen. Was du derzeit machst ist IP technisch nicht supportet !

Hallo,

sehr schöne Beschreibung. Nur eines ist mir noch ein bischen unklar. Wo läuft jetzt der NAT-Dienst? auf dem DSL-Router (Bei mir BinTec X1200) oder auf dem Windows 2K3?

Meine Config:

BinTec X1200 (192.168.1.1) < - > (NIC1: 192.168.1.254) Win 2K3 (NIC2: 192.168.2.254) < - > Client Netz (192.168.2.0)

Dienste: DHCP, DNS, AD, RRAS

Ich hätte gerne das NAT, eigentlich die ganze Netzwerkverwaltung und Steuerung, auf meinem Win 2K3. Eigentlich brauch ich meinen BinTec nur um die Internetverbindung aufzubauen. Wenn ich das NAT auf dem BinTec deaktiviere geht das Internet gar nicht mehr.

Danke schon mal im voraus.

Marcus

Oha, gleich 5 mal die Frage.... Ich würd dich bitte die 4 überflüssigen Postings zu löschen, damit der Thread nicht so unübersichtlich wird....

Antwort zu deiner Frage:
So wie oben beschrieben machst du sinnvollerweise nur einmal NAT und zwar am Router. Das erfordert dann aber eine statische Route im Router wie auch im Tutorial beschrieben.
Wenn du ein Billigstrouter wie z.B. Die Speedports hast di das nicht supporten hast du ja keine Chance und musst NATten auf dem Server/PC.
Man macht dann 2 mal NAT hintereinander. Ist ungünstig und kosmetisch nicht schön aber sonst hättest du ja keine Chance bei so einem Router das umzusetzen !
Besser also sauber ohne NAT Routen und NAT nur auf dem Router machen wenn möglich !

Hallo aqui,

bei mir gestaltet sich die Netztopologie etwas komplexer. Vielleicht kannst Du mir hier noch einen Tipp geben.

Story:
Es gibt 2 Standorte. Jeder Standort für sich hat ein Netz mit Internetanschluss. Der Standort A hatte schon damals ein TR200bw und damit einen ordentlichen Router. Der Standort B ging den Weg ins Internet über einen Speedport. Also NAT x 2!
Soweit gab es mit dieser Konstellation keine Probleme.

Jetzt sollen Standort A und Standort B via VPN verbunden werden. Standort B hat hierzu einen R3000 erhalten. Standort A soll Server und Clients des Standort B verwalten (Remotedesktopverbindung).
Das VPN (mit dynamischen IP Adressen) zwischen TR200bw und R3000 ist aufgebaut.
Aus Standort A kann man sich von einem Client aus via Telnet (Putty, o.a.) mit beiden Routern verbinden und diese administrieren.

Die Netze sehen (beispielhafte Angaben) folgendermaßen aus:

Standort A
TR200bw Router zum Internet standort-a.dyndns.org
TR200bw Router zum Server 192.168.10.100

Server A NIC2 zum Router 192.168.10.1
Server A NIC1 zum internen Netz 172.16.0.1
DHCP, DNS, WINS (bedingt durch einige Drucker)

Standort B
R3000 Router zum Internet standort-b.dyndns.org
R3000 Router zum Server 192.168.0.100

Server B NIC2 zum Router 192.168.0.1
Server B NIC1 zum internen Netz 172.16.0.1 (historisch gewachsen)
DHCP, DNS, WINS (bedingt durch einige Drucker)

Ich möchte nun die finalen Handgriffe zur Verbindung der beiden Netze vornehmen. Ich habe leider nur 2 Tage (Wochenende) für die Umsetzung und ausgiebige Tests. Daher möchte ich soweit es irgendwie geht alles theoretisch vorbereiten und dokumentieren.
Fehler gibt es dann noch genug!

Damit ich die Clients am Standort B administrieren kann schalte ich auf dem Server B NAT ab.
Für das Routing werde ich wohl auch das interne IP Netz (z.B. 172.17.0.0) anpassen müssen.
Dann trage ich auf jedem Router die statischen Routen bis zu den jeweiligen Netzen (172.17.0.0 für Standort B, 172.16.0.0 für Standort A) ein.

Habe ich das soweit richtig verstanden?
Was mache ich mit dem NAT der beiden Router oder ist das für den Tunnel nicht relevant?

Ich könnte auch beide NICs der Server im Router routen lassen und das Routing auf dem Server abschalten. Das möchte ich aber erst einmal nicht betrachten.

Ich bedanke mich schon einmal vorab, auch für die gute Anleitung zum Routing.

Gruß
th

Das NAT ist für den Tunnel nicht relevant, denn es gilt nur für den Internet Zugriff auf beiden Seiten ! Dein Knackpunkt ist die IP Adressgleichheit der beiden Clientnetze hinter dem Server !!! Diese sind nicht eindeutig ! (Gleiche IP Adresse !) und das funktioniert bei einer VPN Vernetzung natürlich dann nicht !!!
Leider schreibst du nicht WELCHE Subnetzmaske du dafür benutzt. Diese musst du aber in der Tat zwingend anpassen damit es funktioniert.
Wenn du eine Class B Maske (16 Bit, 255.255.0.0) benutzt dann muss z.B. so aussehen:

Standort A = 172.16.0.0 /16
Standort B = 172.17.0.0 /16

Bei einer 24 Bit Maske 255.255.255.0 kann es dann so aussehen:

Standort A = 172.16.10.0 /24
Standort B = 172.16.0.0 /24

... in beiden Standorten verwende ich die Class B Maske.

Gut, dass mit den Clientnetzen habe ich mir schon gedacht. Der Router kann ja nicht wissen welches 172.16.0 ´er Netz ich meine.

OK, das kann ich via DHCP recht schnell anpassen. Ich denke mal, dass ich den Rest dann so richtig verstanden habe.

Danke für Deine schnelle Antwort!

Gruß
th

OK, damit sähe dein Netz dann so aus:

cd9f6b945630985eea0ab2d504bcf836-vpn2netzeb

Damit sollte das dann problemlos laufen !

Danke, Danke!

Zwei Anmerkungen noch zu der Darstellung:

1.) Tunnel IP Router A oder B
Das muss der Router alleine erledigen. Ich habe keine statische IP Adresse. Den Hostnamen kann ich ja nicht eintragen. So wie ich das sehe, tragen beide Router nach der Änderung der IP Adresse sich die Routen selbst neu ein.

2.) Die beiden Server sind auch Router. Hier muss / werde ich auch die statischen Routen eintragen. Sonst wäre der Weg ins ferne Netze für einen Client aus dem Standort A bereits am Server zuende. Ggf. kann ich auf den Servern auch RIP einschalten. Dann lernt er die Routen ins ferne Netz. Mache ich aber nicht so gerne.

Mögliche Probleme sollten aber dank Deine Hilfe verhältnismäßig klein bleiben.

Gruß
th

Hi Thomas !

ad 1.)
Das stimmt. Je nachdem welcher Router der VPN Server oder Client ist wird im VPN Tunnel jeweils die LAN-1 Adresse von Standort A oder B benutzt. Der VPN Server gibt die Tunnel IP immer vor !! Das ist also abhängig von deiner VPN Konfiguration in den Routern. (Wer wählt sich wo ein...) Leider beschreibst du das nicht genauer. Daher also dann immer diese Tunnel IP des remiten Routers in den statischen Routen dort benutzen ! Ggf. reicht als next Hop (Gateway) Adresse auch das Tunnelinterface am Router selber so das du dann keine direkte IP angeben musst das klappt auch sofern der Router sowas zulässt in der Konfig (Handbuch !)

ad 2.)
Das ist Unsinn !!! Eine Route irgendwohin ist auf den Servern NICHT erforderlich !!! Der Server hat an NIC 1 ja eine default Route !! (An NIC-2 bleibt das Gateway leer wie im Tutorial bereits beschrieben !)
Dies default Gateway reicht vollkommen ! Alles was der Server also IPseitig nicht kennt (also nicht direkt an ihm dran ist) schickt er dann per default zum Router und der wird es schon wissen wo die Packete hinmüssen !! (Was er natürlich auch tut durch deine statischen Routen dort !)
Statische Routen auf dem Server sind damit also vollkommener Blödsinn und somit natürlich überflüssig !

Hallo aqui,

ich wollte zu dem VPN keine Abhandlung mehr schreiben und nur dokumentieren, dass diese Verbindung existiert. Wäre vielleicht auch recht unübersichtlich geworden.

Primär ging es mir um das Thema Routing.

Noch einmal zu den Servern, die als Router konfiguriert sind. Ohne aktivierten Router, statische Routen und ohne RIP trennt doch der Server zwei Netzsegmente. Aktiviere ich den Router auf dem Server und damit auch RIP, dann baut er doch die Routingtabellen auf, die Du ansprichst.

Ich werde das auf alle Fälle mal ausprobieren. Wenn der Server Routingtabellen auch ohne RIP und statische Einträge aufbaut, dann sollte Dein Bild meine finale Lösung sein.

Vielen Dank noch einmal an dieser Stelle für den erfrischenden Austausch.

Gruß
th

RIP ist ein dynamische Routingprotokoll, was du in der Regel NICHT benötigst. Du musst dich auch entscheiden:
a.) Entweder RIP, dann benötigst du gar keine statischen Routen ! Wozu auch ?? Denn RIP erledigt ja alles dynamisch !!!

b.) Du routest alles statisch ! Dann benötigst du natürlich auch kein RIP, musst aber alle Routen wie oben beschrieben statisch eintragen !

Beides, RIP und statisch, geht nicht oder ist kontraproduktiv im Netz und solltest du in jedem Falle vermeiden. So ein Banalnetz kann man problemlos mit statischen Routen bedienen, da der RIP Prozess nur unnötig Performance auf den Servern kostet. Die sollen serven und nicht hauptsächlich Router sein

Funktional geht es aber auch mit RIP keine Frage...

Hallo,

ich habe mir anhand dieser Anleitung folgendes nachgebaut:

Internet - Kabelmodem - FritzBox7170 (172.16.1.1) - NIC 1 (172.16.1.254)
Windows Server 2003 Routing und RAS (Basisfirewall aktiviert) - NIC 2 (192.168.77.1)
IP-Adressen vergibt der DHCP auf dem RRas-Server.

Das Internetrouting funktioniert tadellos aus dem gesamten Netzwerk, allerdings habe ich noch ein Routingproblem mit meinen VPN-Verbindungen.
Auf dem Server sind statische Routen eingerichtet für zB. entfernter Server 192.168.199.1 - eine statische Route: 192.168.199.0 Subnetz 255.255.255.0.
Wenn ein Client aus meinem Netz NIC 2 eine IP-Adresse aus dem entfernten Netz anfordert zB. Ping 192.168.199.1 stellt der Server die VPN-Verbindung über das Internet einwandfrei her, allerdings ist das entfernte Netz dann nur vom Server aus zu erreichen - und nicht von dem Client der die Verbindung angefordert hat - kein Ping möglich.

Was habe ich denn vergessen, oder falsch konfiguriert?

Danke, Gruß Stephan

Normalerweise sind statische Routen Unsinn auf dem Server wenn dieser die VPN Verbindung herstellt, denn das VPN Netz ist ja dann direkt am Server angeschlossen so das er es kennt und eine statische Route vollkommen überflüssig ist.
Einzige Ausnahme: Dieses Zielnetz ist nicht das VPN selber sondern befindet sich hinter dem VPN und ist nur über den VPN Tunnel zu erreichen.
Mit deinen sehr spärlichen Informationen artet das hier jetzt in Raten aus so das eine qualifizierte Antwort schwierig ist.
Vermutlich hast du schlicht und einfach ein Routing Problem durch deine vermutlich sinnlosen Routen.
Was sagt denn ein Traceroute zum Zielsystem ?? Wo bleibt der Traceroute oder Pathping hängen ?? Dort ist meist auch fast immer der Fehler zu finden !!!
(Traceroute = tracert unter Winblows)

Die statischen Routen habe ich angelegt damit die VPN-Verbindung bei Bedarf aufgebaut wird. Es sind knapp 50 VPN-Verbindungen auf meinem Server eingerichtet die meine Client's mitverwenden sollen. Beispiel: Einer meiner Client's in München möchte auf eine Freigabe in Elmshorn \\192.168.199.25\Daten zugreifen. Die Freigabe ist auf einem Client in dem entfernten Netz eingerichtet. Wenn diese Freigabe nun von einem meiner Client's aufgerufen wird, baut mein Server den VPN-Tunnel über das Internet auf - dafür die statische Route 192.168.199.0 255.255.255.0 (Also wählen bei Bedarf). Sobald die Verbindung steht kann ich von meinem Server aus problemlos auf den entfernten Server und alle angeschlossenen Client's zugreifen - nur eben von meinen Client's nicht.

Einzige Ausnahme: Dieses Zielnetz ist nicht
das VPN selber sondern befindet sich
hinter dem VPN und ist nur über den
VPN Tunnel zu erreichen.

Ich bin nicht so der Netzwerkfuchs - mein Netz 192.168.77.0 baut über das Internet einen VPN-Tunnel zu dem anderen Netz auf. Die Einwahl erfolgt über eine dyndns-Adresse und am anderen Ende des Tunnel steht der Server 192.168.199.1 der die Verbindung annimmt. Nachdem die Verbindung steht sollten im Idealfall alle meine angeschlossenen Client's auf das entfernte Netz 192.168.199.0 zugreifen können.

Mit deinen sehr spärlichen
Informationen artet das hier jetzt in Raten
aus so das eine qualifizierte Antwort
schwierig ist.

Ich hoffe das ich es jetzt etwas genauer beschrieben habe ;)

Was sagt denn ein Traceroute zum Zielsystem
?? Wo bleibt der Traceroute oder Pathping
hängen ?? Dort ist meist auch fast immer
der Fehler zu finden !!!
(Traceroute = tracert unter Winblows)

tracert vom Server aus geht einwandfrei in das entfernte Netz, tracert vom Client aus geht bis zu meinen Server und dann ist Schluß.

Dann sind zusätzliche statische Routen auf dem Server selber kompletter Blödsinn, denn dein Server der die VPN Verbindung aufbaut ist ja dann der Router dahin ! Da die Netze dann an ihm selber dran sind kennt er sie somit und benötigt natürlich so keine zusätzlichen statischen Routen !!!

Das Problem liegt einzig und allein auf deinen Clients, denn DORT ist es wichtig das sie den Server als default gateway eingestellt haben und nicht irgendwie den Router oder sowas.
Wenn sie auf den Router zeigen, dann muss HIER eine statische Route in die VPN Netze konfiguriert sein mit dem Netzwerkhop des Servers bzw. seiner IP dann als Gateway.
Wenn du das o.a. Szenario so aufgebaut hats mit 2 Karten im Server, stellt sich dies Problem aber erst gar nicht für dich, da deine Clients ja zwangsläufig den Server als Gateway eingetragen haben !!!
Vermutlich hast du dann nur schlicht und einfach vergessen das Routing auf dem Server zu aktivieren ?!

Vielen Dank für den Hinweis mit den fehlenden Routing ;)

Ja - es klappt jetzt!
Das mit den statischen Routen ist wohl ein Missverständnis, wenn ich mit dem Assistenten eine neue VPN-Verbindung einrichte - muss - ich eine statische Route angeben - woher soll sonst Routing und RAS wissen hinter welchem VPN sich die gewünschte IP-Adresse verbirgt - das klappt einwandfrei.

Den Server als Default Gateway hatte ich bereits eingestellt, soweit konnte ich folgen, denn woher soll auch der Router wissen wo ich gerade hin will ;)

So, und jetzt habe ich endlich den Fehler gefunden, auf NAT/Basisfirewall - Rechtsklick und Neue Schnittstelle hinzufügen, hier die VPN-Verbindung auswählen, Öffentliche Schnittstelle markieren, NAT und Basisfirewall aktivieren und die Ports anpassen - und schon geht das alles!

Nochmal Danke für Deine Tipps, läuft alles bestens.
Gruß Stephan

Ich noch einmal,

die Konfiguration ist soweit fertig.
Die beiden SBS 2003 R2 haben keine statischen Routen. RIP ist auch nicht eingeschaltet.

Die statischen Routen (Netzwerkrouten) auf dem TR200bw und dem R3000 sind eingetragen.

Von dem Router A kann ich alles via Ping erreichen, auch die Clients im 172.17. - Netz. Das gleiche funktioniert auch von dem Router B.
Ich kann aber weder von einem Client noch von dem SBS (Standort A hinter dem Router A) in das 172.17. Netz pingen.
Jedoch kann ich von einem Client (auch vom SBS) aus dem Standort A auf die 192.168.1. Netzwerkkarte auf dem SBS in Standort B pingen.
Ein tracert nach 172.17.0.2 von einem Client aus Standort A endet an der LAN Schnittstelle des Routers am Standort A.
Bei den Clients habe ich als Standard Gateway die interne IP Adresse des SBS eingetragen.

Hast Du vielleicht noch einen Tip?

Besten Dank vorab!

... ich habe mir eben noch einmal einige Beträge durchgelesen.
Dabei ist mir aufgefallen, dass ich auf beiden SBS noch NAT eingeschaltet ist! Blöde!!!
Das hatte ich vergessen. Dann kann es mit dem Ping nichts werden.

Ich hatte NAT einmal ausgeschaltet. Dann ging nichts mehr ins Internet.

Zu diesem Problem hatte ich irgendwann mal einen Beitrag gelesen. Habe leider vergessen wo das war.

Im Tunnel ist NAT-T aktiv. Deshalb klappt es wahrscheinlich vom Router aber nicht von den Servern oder Clients. Für die Serverkarte, die ich via Ping erreichen kann, habe ich ein forwarding eingerichtet.

Meine Frage muss ich daher ändern und um Unterstützung für die NAT Abschaltung auf dem SBS bitten.

Besten Dank vorab.

Das ist dann eher eine Frage für die Rubrik Betriebssysteme -> Windows -> Netzwerk hier im Forum um nicht den Thread hier weiter aufzublähen....
Meist ist dies der Haken Schnittstelle für andere Teilnehmer des Netzes freigeben oder sowas ähnliches in den erweiterten Eigenschaften des Netzwerkkadapters. Gemeinhin bei Windows auch als "ICS" (Internet Connection Sharing) bezeichnet.
NAT darfst du in dem Szenario nicht machen, das ist klar, denn NAT zum Internet macht ja dein Router !!!
NAT musst du nur machen wenn der Router ein Billigstsystem ist und keine statischen Routen supportet. Und dann auch nur auf der NIC zum Router sonst nirgends !

Das ist so im Tutorial auch ganz klar beschrieben !

... jupp, das habe ich auch gelesen und berücksichtigt!

Leider ist es doch kein Betriebssystemthema. Also keine Angst vor Blähungen

Ich habe mal ein Notebook (ganz ohne NAT) direkt an der Ethernetschnittstelle des Routers angeschlossen. Auch ohne SBS kommen die Pakete nicht in den Tunnel und werden direkt im Internet versenkt. Auch genau so wie es auch beschrieben wird.
Ich denke, das es ein Problem der Konfig (bezüglich der Schnittstellen) des Routers ist. Die Ethernetschnittstelle benötigt vielleicht noch einen Routingeintrag zur virtuellen Schnittstelle des Tunnels. Autodidaktisch bekomme ich das nicht hin.
Dann muss ich wohl das weniger aussagekräftige Handbuch des TR200bw von Funkwerk (kein Billigrouter der statische Routen kann) lesen.
Direkt vom Router aus geht alle wie gewünscht. Nur reicht das nicht.

Das ist eigentlich verwunderlich, denn das VPN ist ja aktiv auf dem Funkwerk Router terminiert. Also alle Packete die dann zum Router gehen sollten auch problemlos weitergeleitet werden ins VPN wenn die Ziel IP Adresse im VPN liegt.
Eigentlich ist eine statische Route nicht erforderlich, wozu auch wenn das VPN direkt am Router liegt.
Es kann dann eigentlich nur eine Filter oder Firewall Funktion sein was ein Forwarding verhindert, oder das Zielsystem hat fuer den Rueckweg ein falsches Gateway eingetragen, was natuerlich auch moeglich ist !
Es ist ja gerade der positive Sinn und auch der Vorteil eines solchen VPN Routers das das eigentliche VPN auf IHM terminiert ist und er zentral routet und nicht auf einem Server im lokalen Netz, was dann wieder eine Frickelei mit NAT usw. bedeutet und immer eine sehr schlechte Loesung ist letztlich.
Vermutlich kann es sich bei dir dann nur um einen Konfigurationsfehler im Router selber handeln....

Firewall, Filter kann ich mir nicht vorstellen. Von dem Router A (Standort A) kann ich ja in das Netz hinter dem SBS am Standort B pingen. Vom Router B (Standort B) funktioniert das auch in das Netz am Standort A.

Bei dem TR200bw werden die Routen zum Zielnetz über das virtuelle Interface des Tunnels eingetragen. Ein Eintrag nur in der Routingtabelle funktioniert nicht. Hat jedenfalls bei mir nicht geklappt.
Die Konfig des TR200bw (Standort A) habe ich mir eben mal angesehen. Der hat keine Filter und keine Firewall aktiv. Soweit ich das beurteilen kann, ist alles OK.
Es muss aber am Router liegen.
Ein tracert vom Notebook in das Netz am Standort B endet immer an der Ethernetschnittstelle des TR200bw. Nur die Serverkarte am Standort B antwortet auch auf einen Ping vom Notebook aus.

Definierte Maßnahme: Handbuch lesen!

Hi,
coole Anleitung!
Aus wie immer unerfindlichen Gründen möchte ich gerne noch auf dem Server-PC einen DNS- + DHCP-Server für das 172er Netz laufen lassen. Den DNS- + DHCP-Server auf dem DSL-Router kann ich jedoch nicht abschalten, da dieser über seinen zweiten Netzwerkanschluss noch ein weiteres Netz bedient, das diese Dienste eben genau vom DSL-Router braucht.

Ich suche also eine Anleitung für DNS auf einem Rechner mit zwei Netzwerkkarten, wobei das DNS nur den Teil an einer der beiden Karten bedient. DHCP mit der gleichen Nebenbedingung kommt später dazu.

Ein Tip, wo eine Beschreibung zu finden ist, oder ein entsprechender Link wären schon klasse.

Danke schon mal.
Ciao
Alexander

Hallo, eine echt schöne Anleitung!
Besonders die Bilder machen das Ganze doch etwas verständlicher - vor allem für Laien wie mich.
Und genau dieses Laien-sein ist wohl auch mein Problem, denn trotz dieser ausführlichen Anleitung bin ich nicht zum gewünschtem Ziel gekommen.....

Also mein Ziel ist es einen PC (PC2) über einen anderen PC (PC1) mit dem Internet (über einen Router) zu verknüfpen und außerdem Dateien zwischen den PC's austauschen zu können.
Dies funktioniert allerdings nur teilweise...

Meine Konfiguration:

Router(D-LINK DI-604(Firmware3.11)):
IP:192.168.0.1
DHCP: AUS

PC1 (Vista Home Premium 64Bit)

Netzwerkkarte #1:
IP:192.168.0.2
Subnetzmaske:255.255.255.0
Standartgateway:192.168.0.1
DNS-Server:192.168.0.1
(Internetverbindung ist freigegeben)
("Diagnose" kann keine Fehler festgstellen)

Netzwerkkarte #2:
IP:172.16.1.1
Subnetmaske:255.255.255.0
Standartgateway: LEER
DNS-Server: LEER
(bei "Diagnose" wird Netzwerkadapter besitzt keine gültige IP-Adresse" angezeigt)

PC2(Vista Home Premium 32Bit)
Netzwerkkarte:
IP:172.16.1.2
Subnetmaske:255.255.255.0
Standartgateway:172.16.1.1
DNS-Server:192.168.0.1
("Diagnose": keine Probleme)

Firewall ist auf beiden PC ausgeschaltet und die Dateifreigabe eingeschaltet.
Meine Probleme:
Ich kann von PC1 nicht auf PC2 zugreifen (freigegebene Dateien).
Angeblich wird PC2 nicht gefunden.("Netzwerkpfad wurde nicht gefunden")
Außerdem werden die Netzwerke (192.168.0.0 und 172.16.1.0) im Netzwerk-und Freigabecenter als voneinander getrennt dargestellt, wobei 192.168.1.0. als Netzwerk identifiziert wird und 172.16.1.0 als "Nicht identifiziertes Netzwerk" bezeichnet wird.
Eine statische DHCP Einstellung am Router habe ich nicht vorgenommen, da ich mir nicht sicher bin, ob dies notwendig ist und wie das genau bei meinem Router funktioniert.
Internetzugang besteht allerdings von beiden PC einwandfrei.

habe ich etwas falsch eingestellt oder habe sonst etwas vergessen?
Danke für Hilfe!

Viele Grüße
Frontstyler

Das ist auch ganz klar warum das nicht geht !! Wichtig ist ein kleiner Satz in deiner Beschreibung:
"(Internetverbindung ist freigegeben)"

Damit hast du NAT (Netzwerk Adress Translation) aktiviert in PC1. Bei MS heisst das auch Internet Connection Sharing D.h. das Netzwerk 172.1.6.1.0 wird komplett übersetzt auf die IP des PC-1 nämlich die 192.168.0.2 !

Damit ist ein Zugriff dann nicht mehr möglich. Windows erlaubt bei Aktievierung von ICS ausschliessliche die IP 192.168.0.1 auf dem aktiven Gerät !!!
Deine Konfig muss also von vorn herein gleich scheitern, was ein Laie meist nicht weist !!!

Im Tutorial steht auch ganz klar das ICS NICHT eingeschaltet werden soll !!!
Dies ist nur ein Notnagel wenn der Router ein absolutes Billigsystem vom Grabbeltisch ist der keine statischen Routen in seinem Setup supportet !!!
Dann (und nur dann !) kann man ICS (NAT) aktivieren um das Szenario doch noch zum Laufen zu bringen !
Man ist dann allerdings auf Verwendung des 192.168.0.0er Netzes bzw. der .0.1 auf dem PC-1 zwingend festgelegt durch das MS Verhalten in diesem Umfeld !!!

Also für dich gilt:
1.) ICS (NAT) deaktivieren und unbedingt das native Routing bei XP aktivieren in PC-1 wie hier beschrieben:
http://support.microsoft.com/?scid=kb%3Bde%3B315236&x=7&y=14

2.) Wenn du Pech hast und so einen Billigstrouter angeschafft hast der keine statischen Routen kann dann musst du ICS (NAT) verwenden, dein PC-1 muss dann aber zwingend die 192.168.0.1 haben (bekommt er so oder so automatisch wenn du ICS einschaltest !!) und der Router muss dann zwingend eine andere IP haben in diesem Netz z.B. die 192.168.0.254 !!!

Danke für die schnelle Antwort!
Allerdings hat sie mir nicht weitergeholfen..
Von PC-2 aus kann ich nun gar nicht mehr ins Internet und die Dateifreigabe scheitert schon bei der Suche nach PC-2 von PC-1 aus...
Mein Router ist wie gesagt der D-LINK DI-604, welcher statische IP akzeptieren sollte.

Was kann ich tun??

Meine Konfiguration:

Router(D-LINK DI-604(Firmware3.11)):
IP:192.168.0.1
DHCP: AUS

PC1 (Vista Home Premium 64Bit)

Netzwerkkarte #1:
IP:192.168.0.2
Subnetzmaske:255.255.255.0
Standartgateway:192.168.0.1
DNS-Server:192.168.0.1
(Internetfreigabe deaktiviert)

Netzwerkkarte #2:
IP:172.16.1.1
Subnetmaske:255.255.0.0
Standartgateway: LEER
DNS-Server: LEER
(bei "Diagnose" wird Netzwerkadapter besitzt keine gültige IP-Konfiguration" angezeigt)
(ist dies richtig so?)

PC2(Vista Home Premium 32Bit)
Netzwerkkarte:
IP:172.16.1.2
Subnetmaske:255.255.0.0
Standartgateway:172.16.1.1
DNS-Server:192.168.0.1
kein Internetzugang

Besser so:

Netzwerkkarte #2:
IP:172.16.1.1
Maske:255.255.255.0
Standartgateway: LEER
DNS-Server: LEER
(Die Diagnose Fehlermeldung ist Unsinn und darf niemals erscheinen !)

PC2(Vista Home Premium 32Bit)
Netzwerkkarte:
IP:172.16.1.2
Subnetmaske:255.255.255.0
Standartgateway:172.16.1.1
DNS-Server:192.168.0.1

Folgende Pingtests von PC-2 sollten zwingend klappen:

PC-2 => PC-1 Karte #2 (172.16.1.1 /24) muss klappen !
PC-2 => PC-1 Karte #1 (192.168.0.2 /24) muss klappen !

Scheitert schon der 2te Ping Versuch dann hast du KEIN Routing auf dem PC- aktiviert !!!
Dazu mittels Start --> Ausführen --> regedit in den Registryeditor wechseln.

HKEY_LOCAL_MACHINE --> System --> CurrentControlSet --> Services --> Tcpip --> Parameters

Unter dem Wert "IPEnableRouter" (REG_Dword)

0=Disabled
1=Enabled ---> Das MUSS aktiviert sein danach reload !

Auch ein Ping:
PC-2 => Router (192.168.0.1 /24) muss nach Aktivierung des Routings an PC-1 zwingend klappen !

Achtung:
Dafür MUSS dein D-Link Router eine statische Route im Router Setup konfiguriert haben ala !!!
Zielnetz: 172.16.1.0, Maske: 255.255.255.0, Gateway: 192.168.02
Ohne diese statische Route funktioniert es NICHT !!!
Kann dein D-Link keine statischen Routen wenn er ein Billigstrouter sein sollte, dann kannst du dieses Routing Szenario nicht umsetzen !!
Du MUSST dann zwangsweise ein ICS Konzept konfigurieren !
Diese Fakten solltest du dir bewusst machen !!

Bevor diese Pings nicht funktionieren, brauchst du gar nicht erst den Internetzugang testen !

Hallo zusammen,
auch ich muss mich hier mal einklinken. Ich habe einen ähnlichen Fall... 2 NIC's im PC LAN und WLAN, sowie einen Lappi mit WLAN sowie einen Router auf LAN Seite des PCs.

Der Lappi soll über den PC ins Internet geroutet werden.
nicht die Optimale Lösung ich weiß aber hier die Praktikabelste...

Der Lappi ist wie Folgt Konfiguriert:

IP 192.168.1.100
SN 255.255.255.0
GW 192.168.1.101

PC

NIC 1 WLAN
IP 192.168.1.101
SN 255.255.255.0
GW leer

NIC 2

IP 192.168.178.21
SN 255.255.255.0
GW 192.168.178.1

Router

IP 192.168.178.21
SN 255.255.255.0

Internetseite Dynamisch

Auf dem PC mit den beiden NIC's ist das Routing aktiviert.
Der Router hat eine Statisch Route
NET 192.168.1.0
SN 255.255.255.0
GW 192.168.178.21

Von dem Lappi aus kann ich beide NICs im PC anpingen
also Ping 192.168.1.100 und 192.168.178.21 sind erfolgreich...
den Router kann ich nicht anpingen..

Vom PC aus kann ich den Router wie gehabt und beide nics anpingen
aber erreiche den Lappi nicht.

Wo liegt mein denk Fehler?
Wäre super wenn mir jemand helfen könnte.

Gruß Sven

Da du vom Laptop alles pingen kannst ist die Installation in Ordnung ! Auch IP-technisch hast du alles richtig gemacht. (Ggf. noch im Laptopp DNS: 192.168.178.1 eintragen)

Das du vom PC den Laptop nicht pingen kannst liegt sehr wahrscheinlich an der Firewall des Laptops, denn sonst wäre es nicht zu erklären das der Laptop wiederum alles pingen kann.
Am Laptop musst du in den erweiterten Eigenschaften der WLAN Verbindung auf die Firewall Einstellungen gehen -> Erweitert -> ICMP -> Hier den Haken bei "Eingehende Echoanforderungen zulassen" setzen !!

Dann sollte der Laptop auch vom PC pingbar sein !
Denk dran das der PC und Laptop eine Ad Hoc WLAN Verbindung konfiguriert haben müssen aber das ist bei dir sicher schon der Fall, denn sonst wäre ein Ping gar nicht möglich.

Das der Router allerdings nicht pingbar ist, ist unverständlich. Da gibt es 2 mögliche Gründe:

Die statische Route ist falsch eingetragen oder funktioniert nicht. Das kannst du ganz einfach testen indem du den Laptop mit einem Kabel an den Router hängst (WLAN dabei deaktivieren !!) der bekommt nun eine .178.x Adresse mit dem Router als GW. Nun pingst du das WLAN Interface vom PC 192.168.1.101. Das sollte klappen wenn die Route im Router funktioniert !!!
Du hast auf dem PC eine Firewall aktiv die dir Pakete ins 192.168.1er Segment blockt. Das solltest du in den Firewall Settings am PC unbedingt überprüfen oder die Firewall testweise mal ganz ausschalten.

Hallo - vielen Dank an den Autor,
aber ich schaffe es einfach nicht, ich kann per "ping" nur bis zum Router vordringen, weiter nicht. Router = Windows XP-PC, Internetanschluss ist eine Fritzbox 7050 per WLAN an den Router angekoppelt. Der Client-PC = Windows XP. Das IP-Forwarding ist auf dem Router aktiviert (1) gesetzt.
Habe schon diverse Rechner getauscht - immer dasselbe.

Sitze jetzt schon den 2.Tag daran und krieger bald ne komplette Meise. Was mache ich falsch (ausser, dass ich mich überhaupt damit beschäftige ...)

Gruß
Lupus

Da gibt es nur einen Grund:

1.) Du hast den statischen Routing Eintrag auf der FB vergessen !?!

Kannst du aus dem Client Segment BEIDE Netwerk Interfaces des Windows PCs pingen ???

Wenn nicht ist das Routing NICHT deaktiviert ! Ansosnten gilt dann das oben unter 1.) genannte !!!

Kann deine FB keine zusaetzlichen statischen Routen hast du keine Chance und kannst NUR die im Tutorial beschriebene ICS Variante installieren !!!

Hi !
danke für die schnelle Antwort.

Ich habe es inzwischen rausbekommen, indem ich einen komplett neuen Anlauf gemacht habe.
Es gibt eine überarbeitete Version des Tuts - und da habe ich mir einen Teil davon rausgenommen und an meine Verhältnisse angepasst. Der wesentliche Punkt ist:

Die FB arbeitet jetzt mit statischen Adressen (und statischer Routingtabelle), alle beteiligten anderen rechner auch mit festen Adressen. Offenbar schliesst sich Routing und DHCP aus. Das klappt dann sofort. Jedenfalls habe ich dabei viel zum Thema IP-Routing gelern und damit war die Zeit nicht ganz umsonst verbraucht.

Aber man sieht: Es gibt nirgendwo eine kurze und treffende Anleitung / Beschreibung zum Sachverhalt. Aber eigentlich ist es ganz logisch und einfach. Nur die vielen vielen fragmentarische Informationen aus versch. Teilgebieten, Betriebssystemen und postings tragen eher zur Verwirrung bei.

So habe ich das z.B. stundenlang mit festen Routing-Tabellen im Router versucht, weil ich das in einem UNIX-Buch so gelesen habe ... war gar nicht richtig.

Also,
bis dann.

Wenn es jemanden interessiert, wie es mit einer Konfigurqation
Fritzbox ---- Windows-XP (Router) ------ Windows XP (Arbeitsstation) funtioniert, bitte Frage an mich.

Gruß
Lupus

Wenn man sich das o.a. Turorial RICHTIG durchliest ist der Sachverhalt recht einfach verstaendlich !
Auch die Beschreibung des Weges eines Paketes beschreibt das Szenario sehr einfach, auch fuer Laien, so das ein funktionierendes Design auch fuer Unkundige sofort konfigurierbar sein sollte.
Man muss nur geduldig und ruhig ALLES lesen...wie immer !
Treffender kann eine Anleitung doch eigentlich nicht sein...oder ???
Verbesserungsvorschlaege dazu sind aber ,wie immer, willkommen.... Bitte per PM

Nochwas zum Thema DHCP und Routing:
Natuerlich schliesst sich das NICHT aus...das waere auch vollkommener Unsinn, denn das eine (autom. IP Adressvergabe) hat mit dem anderen (Wegefindung im IP Netzwerk) rein gar nichts zu tun.
Folglich koennen sich beide Funktionen nicht ausschliessen.
Es ist natuerlich unbedingt drauf zu achten das DHCP IP Adressen und statische IP Adressen sich NICHT ueberschneiden !!!
Generell sollten Routerinterfaces und Server immer statische IP Adressen haben ! Das ist auch explizit so erwaehnt im o.a. Tutorial.
Dennoch schliesst das aber eine Verwendung von dynamischen IP Adressen fuer Clients in den gerouteten Segment NICHT aus.... klar solange es eben keine Adressueberschneidungen mit den statischen Adressen gibt !!!
Das ist vermutlich, wie so oft hier, die (IP) Falle gewesen in die du getappt bist !?

Hi Aqui,
ja, das stimmt. Mein Beitrag war keine Kritik an deiner Arbeit. !

Gruß

Hallo

Danke für das Turorial.

Leider funktioniert es bei mir nicht zu 100%.
Ich habe einige merkwürdige Phänomene, welche für mich unlogisch sind.

Hier meine Konfig:

DSL-Router: IP: 192.168.0.254
Client1: IP: 192.168.0.100; GW: 192.168.0.254

Win2k8 Ent. Router:
Eth1: IP: 192.168.0.230; GW: 192.168.0.254
Eth2: IP: 10.1.1.254; GW: leer

Client2: IP: 10.1.1.10; GW: 10.1.1.254

Auf dem Win2k8-Router habe ich LAN-Routing aktiviert und nichts weiteres mehr konfiguriert.
Auf dem DSL-Router habe ich folgende Route eingetragen: 10.1.1.0 255.255.255.0 192.168.0.230

Wenn ich nun vom Client1 einen Ping auf Client2 (10.1.1.10) mache, dann erhalte ich Antwort.
Mit Tracert sehe ich auch, dass er zuerst auf den DSL-Router und danach auf den Win2k8 Router geht.

Jedoch wenn ich Versuche eine RDP-Session von Client1 auf Client2 zu starten klappt das nicht.

Wenn ich vom Client2 auf den Client1 (192.168.0.100) einen Ping mache, dann erhalte ich keine Antwort.
Mit Tracert zeigt er mir auch hier den Richtigen Weg und findet Client1 über den Win2k8 Router.

Weshalb funktionert Tracert jedoch Ping nicht, meines Wissen basieren doch beide auf ICMP.

Ok, nun aber weiter:
Wenn ich vom Client2 einen Ping auf den DSL-Router (192.168.0.254) mache, dann funktioniert dies.
Auch das Internet funktioniert auf dem Client2.

Wieso kann ich vom Client2 den DSL-Router pingen aber den Client1 nicht? Es sind ja beide im selben Netz.

Testweise habe ich alles auch vom Win2k8 Router getestet.
Ich kann beide Clients pingen, Ich kann den DSL-Router pingen und ich kann mich auf beide Clients per RDP verbinden.
Die WinFirewall habe überall deaktiviert.

Hat jemand eine Idee, wo da der Fehler liegt?

Bin wirklich Dankbar, wenn mir jemand weiterhelfen könnte.
Ich stehe auf dem Schlauch und komme nicht mehr weiter.

Besten Dank und Gruss

@Chrone

2 mögliche Fehler an denen es zu 99% liegt wie so oft in diesen Fällen !

1.) Möglichkeit:
Bei dir ist die NAT Basisfirewall auf dem routenden Server aktiv !!!
Das kannst du in der Routing&RAS Systemsteuerung sehen !
Ist das der Fall dann macht dein Server NAT, setzt also das gesamte 10.1.1.0er Netz auf die IP seiner NIC 192.168.0.230 um.
Dadurch kann ein Client im .0.0er Netz die NAT Firewall nicht überwinden und damit keine Verbindung bekommen.

2.) Möglichkeit die bei dir vermutlich eher wahrscheinlich ist:
Wenn du sauber ohne NAT routest tauchen alle Pakete an den Client 10.1.1.10 mit einer Quell IP aus dem 192.168.0er Netz auf was ja auch erstmal richtig ist !

Wie du aber sicher selber weisst blockiert die Firewall alle Pakete die NICHT aus dem lokalen Netz, also dem 10.1.1.0er netz kommen ab sofern du die Firewall nicht freigibst das sie RDP Sessions von überall her oder aus dem 192.168.0er Netz akzeptiert !!!

Wie immer ist dein "Problem" also vermutlich nur ein banales Firewallproblem, das du vergessen hast bei beiden Clients die Firewall zu customzen, das sie Connections aus dem jeweils fremden Netz zulässt !!!

Hallo,

die Anleitung ist sehr gut nachvollziehbar und eigentlich dachte ich, ich würde es jetzt endlich schaffen - doch - irgendwas ist bei meiner Ausgangslage wohl anders, als es sollte. Kurzum - ich wäre für den richtigen Hinweis dankbar.

In meiner neuen Bürogemeinschaft habe ich meinen Windows 2000 Server wieder eingesetzt und will damit über VPN diversen Dritten kontrollierten Zugang verschaffen. Wir haben ein physisches Netz, das über einen Hub verbunden ist. Darin befinden sich zwei IP-Netze, eines wird vom anderen Bürogemeinschaftsbereich (192.168.2.0) genutzt und soll mit meinen (192.168.51.0) nicht mehr als nötig zu tun haben.

DSL macht jetzt eine Fritzbox 7170, die statische Routen kann ( die Speedbox 330 konnte das nicht und liegt aufgrund dieser Anleitung in der Kiste). Meine Konfiguration:

DSL-Router:
IP-Adresse: 192.168.2.1
Maske: 255.255.255.0
Statische Route: 192.168.51.0 Maske: 255.255.255.0 auf 192.168.2.103
Auf dem DSL-Router läuft kein DHCP, alle Clients haben statische IP-Adressen in 192.168.2.0

Server 2K:
Netzwerkkarte 1 (Internet): 192.168.2.103
Maske: 255.255.255.0
Standardgateway: 192.168.2.1
DNS: 192.168.2.1

Netzwerkkarte 2 (mein Intranet): 192.169.51.1
Maske: 255.255.255.0
Standardgateway: kein
DNS: kein

auf dem Server 2K läuft DHCP.
Solange ich das ROUTING und RAS nicht aktiviere funktioniert alles (auch ohne die statische Route im DSL-Router) über NAT

Doch wenn ich es aktiviere und mit dem VPN- Assistenten die Installations-Anleitung von Microsoft (Art. 308208) durchführe, ist der Internetzugang weg, bzw. konkreter - ich kann vom Server 2K den DSL-Router mit IP-Adresse: 192.168.2.1nicht mehr anpingen. Dabei hat der Server die zweite Netzwerkkarte im selben Netz mit eingetragenen Standardgateway !?

Für einen Tipp, was da vor sich geht, wäre ich dankbar.

Vermutlich hat der Server dann das VPN als Standardgateway konfiguriert. Das sieht verdächtig danach aus. Damit ignoriert er dann ggf. konfigurierte default Gateways. Das musst du also im Setup abschalten.
Es ist also de facto ein Windows Problem only und hat mit deinem Netzdesign rein gar nix zu tun.

Generell solltest du dich fragen ob du dir diese Frickelei mit dem VPN hinter einem NAT Router antun willst. ??
Du hast eine Fritzbox die das zentral viel besser kann:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...

Noch besser wäre ohne Zweifel der Kauf eines Draytek VPN Routers gewesen oder eines VPN Routers der auch das PPTP VPN Protokoll supportet, denn dann hättest du alle bordeigenen VPN Clients von Winblows, Apple Mac, Linux, iPhone usw. nutzen können und wärest was den Zugriff Dritter anbetrifft unabhängiger...
Die FB kann das leider nicht...ist aber letztlich kein Hinderniss.
Denn die FB supportet auch den Zugriff mit einem kostenlosen VPN Client wie dem Shrew Client:
http://www.shrew.net/download
bzw.
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...

Dieser Weg ist erheblich sinnvoller und weniger umständlich als die Frickelei mit Port Forwarding, NAT und dem Server. Letztlich funktioniert das aber auch...wenn man dann das VPN default Gateway wegklickt !!

hallo aqui,

Danke für die Hilfestellung. Der VPN default Gateway war das Problem. Die danach folgende "Frickelei mit Port Forwarding, NAT und dem Server" ist wohl auch eine Angelegenheit für Hartgesottene, ich jedenfalls habe es bislang nicht hin bekommen und habe nun den Shrew Client und die cfg für die Fritzbox erstellt. Nach meinem Verständnis kann ich nun das Routing und RAS, mit dem ich mich solange beschäftigt habe, wieder deaktivieren. (?)

Eins verstehe ich jetzt nicht: Die FB hat bekommt eine config mit einem Passwort usw.
Kann ich mit den Shrew Client's auch mehrere VPN-Tunnel von Usern unterschiedlicher Standort aufbauen? Auch parallel (d.h. zwei Verbindungen) sollte doch gehen. Haben die dann alle das gleiche Passwort??? das kann doch nicht sein. Mit dem Aktive Directory will ich doch Usern unterschiedliche Berechtigungen erteilen.

Wieviele Clients kann der Shrew Client mit der FB?

Beste Grüße

Ja, RAS kannst du dann getrost deaktivieren im Server.
Beim VPN ist es so das ein Client immer nur EINE VPN Verbindung öffnen kann. Ein VPN Server hingegen aber mehrere Verbindungen annehmen kann. Die FB oder ein VPN Server allgemein kann also mehrere VPN Clients bedienen aber nicht andersrum.
Anders sieht es bei Router oder Server LAN to LAN VPNs aus, da sind auch mehrere VPN Tunnel logischerweise möglich.

Hi,
entsprechend der Anleitung habe ich unter Vista mir eine Netzwerk mit einem PC aufgebaut, der als Router dient.
Dazu noch ein Laptop, Drucker und NAS, die alle am LAN hängen.
Auf ihm ist eine Netwerkkarte und eine WLAN-Verbindung installiert.

Auf der Fritz!Box wurde eine feste Route definiert (USB-Stick).
Mit dem PC sind alle Pings erfolgreich (Netzwerk 1und 2).
Vom Laptop kann ich nur das LAN erreichen. Weder Fritz!Box noch die IP des USB-Sticks sind erreichbar.
Innerhalb des LAN sind alle Geräte sichtbar und erreichbar.

Standardgateway zeigt auf den PC, als DNS-Server ist die Fritzbox eingetragen.

Leider komme ich nicht am PC vorbei.
Hatte dort auch mal die Firewall ausgeschaltet, ohne Erfolg.
Ip-Routing wurde in der Registrierung aktiviert.
An der Fritz!Box wurde DHCP deaktiviert.
Zwischen PC und Box hängt ein WLAN-Repeater zur Reichweitenverlängerung.

An der Fritz.Box bekommt dieser eine eigene IP, neben dem USB-Stick. Wie gesagt, als feste Route ist der Stick eingetragen.

Frage an die Profis: Was habe ich nicht richtig gemacht, bzw. was fehlt für eine korrekte Verbindung?

Benutzt du eine NAT/ICS Konfiguration oder machst du transparentes Routing ???
Das hast du leider noch nicht beantwortet.

Ein paar Infos mehr zu deinem IP Settings wären auch hilfreich !!
Bedenke das wenn du NAT/ICS machst du im LAN ausschliesslich nur das IP Netz 192.168.137.0 /24 mit Win 7 verwenden kannst. Bzw. es wird von MS vorgegeben wenn du NAT/ICS aktivierst !!

@aqui

Hier die ergänzenden Infos.
Das Ganze ist als transparentes Routing konfiguriert.

Das WLAN hat den 192.158.178.0 Bereich, LAN ist auf 192.168.123.0 konfiguriert.

Jedes Netz fängt bei 1 an zu zählen. Fritz!Box sowie PC bekommen die 1 zugeordnet.

Na ja der Routing PC hat ja mindestens 2 IP Adressen !!
Vermutlich scheitert es dann nur an der Windows Firewall !?
Hast du die entsprechend unter Win 7 angepasst ??? Bzw. Hast du auch ICMP (Ping) in der Win Firewall erlaubt ?? (Haken bei auf Echoanforderungen antworten) unter den ICMP Settings pro Adapter ?!

@aqui,
Win 7 habe ich nicht. Bei mir ist es Vista.

Den entsprechenden Punkt in der Firewall habe ich nicht gefunden. Ich glaube unter Vista gibt es diesen Punkt unter dem Adapter nicht. Unter XP habe ich es gesehen. Sitze leider nicht vor diesem Rechner.

Ich bekomme bei ICMPv6 die Meldung "eingeschränkte Konnektivität". Kann das auch damit zu tun haben?

Nein, den der Zusatz v6 zeigt dir ja ganz klar das es hier im IPv6 geht was du gar nicht machst du hast ja nur v4 IP Adressen !!
Bei Vista und Win7 musst du in das Suchfeld "Windows Firewall mit erweiterter Sicherheit" eingeben, dann kommst du zu den relevanten Firewall Einstellungen !
Wenn du das Routing aktiviert hast, musst du den Rechner einmal rebooten das das aktiv wird...nur just for info !?

Ok. Die Firewall Einstellung habe ich gefunden.
Welche Regel muss ich nehmen, eingehende oder ausgehende?

Bei den eingehenden Regeln gibt 3 "Datei- und Druckerfreigabe (Echoanforderung - ICMPv4 eingehend"
Eins für das private, öffentliche und Domänenprofil. Die ersten beiden sind aktiviert.
Das Gleiche ist bei den ausgehenden Regeln vorhanden.

Sollte dies die gesuchten Einstellungen sein, so sind diese aktiviert aber das Problem besteht weiterhin.

So, ein schneller Testaufbau zeigt das es bei Win 7 auf Anhieb ohne Probleme funktioniert auch ohne FW Frickelei !
Bist du ganz sicher das du transparent routest und wirklich kein ICS machst ?? Für ICS hast du nämlich falsche IPs und damit funktioniert es dann nicht.
Ist ein typischer Fehler der immer gemacht wird mit ICS ....
Wenn du wirklich kein ICS machst, bist du auch ganz sicher das das Routing aktiviert ist ??
Prüfe zudem ob in deinem Windows 7 der Dienst "Routing und RAS" aktiviert ist und läuft !!

Ja, ich mache transparentes Routing und das Routing ist aktiviert.
Der Dienst "Routing und RAS" ist nicht aktiviert.

Eine Bemerkung: Bei mir läuft Vista kein Windows.

Trotzdem habe ich es geschafft, dass nun alles läuft, mehr oder weniger zufällig.
Der WLAN Repeater wollte nicht mehr, somit habe ich diesen neu in das WLAN Netzwerk einbinden müssen.

Dabei hat sich folgendes geändert.
Vor der der Neueinbindung des Repeaters wurde das WLAN Netzwerk als "privates Netzwerk" ausgewiesen und die Verbindung zum Internet bestand.

Nach der Neueinbindung war das WLAN Netzwerk ebenfalls ein "privates Netzwerk", nur es konnte keine Verbindung zum Internet mehr aufgebaut werden.
Daraufhin habe ich es als "öffentliches Netzwerk" deklariert und siehe da die Internetverbindung stand. Auch das Routing funktioniert nun.
In den erweitereten Firewall Einstellungen kann ich aber keinen Unterschied zwischen dem öffentlichen und privaten Netzwerk erkennen. Die Echoanforderungen sind alle gleich eingestellt.

Es muss noch einen anderen Unterschied geben, der sich mir leider nicht erschließt.

Achso, die WLAN-Steuerung läuft jetzt direkt über Windows nicht mehr über die mitgelieferte Software von AVM.

Ich sag erstmal danke für die Hilfe.

Wieso ?? Ist Vista denn nicht Windows ?? Das wäre ja neu ???
Der RAS Routing Dienst muss laufen, sonst gibt es generell kein Routing ! Wenn du ein öffentliches Netz nutzt dann machst du automatisch NAT an diesem Interface. Vermutlich bist du letztlich am Firewall profil von Vista gescheitert....
Aber egal..Hauptsache es rennt jetzt !

Ok, hab die 7 bei Windows 7 vergessen.

Deiner Meinung nach sollte ich den RAS Routing Dienst noch mit starten oder ist der Dienst bei meiner Konstellation wirkungslos?

Nöö, wenns jetzt mit NAT rennt und du zufrieden bist ist doch gut. Never touch a running system..

Hallo aqui,

folgendes Szenario ist vorhanden.

Bestehendes Netzwerk mit WindowsDomäne.
IP-Kreis 1:
10.1.60.0/24
Gateway ist eine LinuxFW inkl. OpenVPN (das nicht gerade stabil läuft finde ich.) Die muss auch weiterhin als Gateway für IP Kreis 1 genutzt werden.

Deswegen habe ich einen DraytekRouter mit ins Netzwerk gehängt (der wunderbar funktioniert), alle Teleworker loggen sich per PPTP ein und sind mit im Netzwerk integriert und können bestens auf den Servern arbeiten.

So nun wollte ich eine LAN-LAN Kopplung aufbauen mit meiner Fritzbox zuhause. Das klappt auch wunderbar. Fritzbox 7170 und Vigor 2900 bauen eine IPSEC-VPN Verbindung auf.

Nun kommen die Probleme:
Wenn ich von mir zuhause über die LAN-LAN VPN einen Ping an den Server im IPKreis 1 schicke, bekomme ich keine Antwort weil ja am Server im IP-Kreis 1 als StandardGateway die LinuxFW und nicht den Vigor hat. dadurch werden diese Pakete ins Nirvana geschickt. Ist mir soweit klar.

Wenn ich das Netzwerk soweit umbaue wie oben beschrieben mit der weiteren Option das:
(ich beziehe mich auf dein erstes Bild der Anleitung)

Die Clients aus dem LAN-2 über ein zusätzliches Gateway im LAN-2 ins internet gehen. somit muss vom Server/PC die NIC im LAN-2 das Gateway vom LAN-2 als Standard haben (vermute ich mal)
Die VPN-Teleworker und die LAN-LAN Kopplung über den Router aus dem LAN-1 kommen und ins LAN-2 die Server erreichen wollen läuft dann wie in der Anleitung die Internetverbindung.
Sozusagen wird ein ping vom Fritzboxnetzwerk über VPN zum Draytek zum LAN-2 Segment geschickt wieder zurückfinden, wenn der Server/PC das StandardGateway vom LAN-2 hat?
Danke im Voraus
Ich hoffe ich habe mich verständlich ausgedrückt, wenn noch fragen kann ich ne skizze bereitstellen.
VG
bruskin

Bevor du es nun ganz kompliziert machst warum belässt du es nicht so wie es ist und trägst auf dem Server im IP Segment 1 einfach eine statische Route ein von deinem Netz zuhause an der Fritzbox ?? Dann routet der Server dieses doch an den Draytek und nicht an die Linux FW ins Nirwana.
Das ist in 3 Minuten gemacht und erspart dir jegliche zusätzliche Frickelei.
Wenn also dein FB Netzwerk zuhause die 192.168.178.0 / 24 ist und der Draytek im IP Segment die Adresse 10.1.60.254 hat dann lautet die statische Route auf dem Server:
route add 192.168.178.0 mask 255.255.255.0 10.1.60.254 -p
Fertig bist du und der Server schickt deine VPN Pakete an den Draytek.

Genauso kannst du der Linux FW eine statische Route verpassen statt auf dem Server. Die Syntax lautet genau so ohne das "-p" allerdings. Oder du machst das über das grafische Netzwerktool des Linux Rechners mit 3 Mausklicks. Dann schikt der Linux FW/Router die Pings statt ins Nirwana and den Draytek und dann zu dir.
Einfacher gehts doch nicht, oder ? Warum also umständlich frickeln ??

Übrigens eine Anleitung für einen "stabilen" OpenVPN Firewall Router findest du hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

Danke für den Tipp.
Soweit verständlich und funktioniert auch. Somit muss ich auch auf den anderen Servern (3Stück) diese Route eintragen damit darauf ein Zugriff erfolgen kann.
Einziger nachteil, man muss die Routen immer selber pflegen, wenn noch weitere LAN-LAN Kopplungen dazukommen oder wegfallen.

Was mach ich mit DNS zugriffen in die Domäne?
Per IP geht es ja!
z.B. Outlook zugriffe auf den Exchange server oder Netzlaufwerke per Servername?

Ich muss doch irgendwie der Fritzbox sagen das sie beim vergeben der DHCP Daten auch 2 DNS IPs vergibt. (Am Notebook selbst kann man ja auch manuell DNS-Server eintragen, weiß ich. Bringt aber nix wenn man mal unterwegs ist und woander sich connected.)
Oder denk ich schon wieder zu kompliziert.
VG
bruskin

Habe es nun so gelöst.
Die hosts Datei per GPO mit den passenden Einträgen ergänzt.
Danke

Du hast Recht das der gravierende Nachteil von Eintelrouten auf den Servern die Managebarkeit ist.
Deshalb ja auch der Tip die Route zentral auf dem Internet Router einzutragen. Das machst du dann nur einmal und sie gilt für alle Endgeräte im Netz global.
Dieser Weg ist erheblich sinnvoller und sicherer, denn...
Routen sollen immer die Router in einem Netzwerk (deshalb heissen sie auch so...) und NICHT Server oder andere Endgeräte !

Hallo aqui,
wirklich Klasse diese Anleitung.
Leider habe ich als Laie noch ein paar Verständnisprobleme und würde mich über Deine/Eure hilfe sehr freuen.
Bei mir befindet sich der Router (Fritzbox) im Clientnetzwerk.

Hier meine Konfigurationen:
Es besteht eine Domäne (2008 Server) mit DHCP, DNS und zwei Netzwerkkarten

Router: Fritzbox 7270
IP: 192.168.182.8
DHCP deaktiviert

Server:
Nic1:
IP: 192.168.182.10 Maske 255.255.255.0
GW: 192.168.182.8
DNS: 192.168.182.10

Bei den DHCP Serveroptionen ist die Fritzbox 003 eingetragen, sowei die Einträge
005, 044, 045 Nic1, 015 Domänenname und 006 die IP des DNS Servers (Nic1) und an zweiter Stelle die fritzbox

Alle Clints befinden sich im gleichen Netz wie Nic1 und bis hierhin ist alles super und funktioniert.

Nun soll eine Verbindung zu einer zweiten Domäne über eine zweite Netzwerkkarte im Server
hergestellt werden.
Die zweite Nic besitz folgende konfiguration:
IP 192.168.185.10
Maske 255.255.255.0
GW: leer
DNS: leer

Wenn ich nun Routing/Ras via Lan aktiviere komme ich von den Clients nicht
auf den "entfernten" Server der zweiten Domäne.
Ich komme mit den Clients via ping "nur" bis zur ersten Nic.

Ich hoffe keine Informationen vergessen zu haben und würde mich über
Hilfe von euch sehr freuen.

Einen Punkt hast du vergessen... Leider schreibst du nicht ob du NAT machst (Adress Translation) auf der NIC-2 oder ein transparentes Routing ?? Deshalb müssen wir nun etwas raten. Wir gehen aber mal davon aus das du transparentes Routing, also ein freies Verbinden der beiden Netze machen willst, was so oder so zwingend nötig ist bei der Domain Kopplung. NAT ist also eh' ein no go für dich in dieser Konstellation !
Nimmt man alle deine Angaben zusammen müsste dein Netz so aussehen, richtig ?

Nach dem obigen Fehlerbild hast du vermutlich ein klassisches Routing Problem im neuen Segment (NIC-2) in der Form das du dort ein falsches oder gar kein Gateway bei den Endgeräten eingetragen hast ?!
Als Gateway muss hier dein Server mit den 2 NIC-s stehen nämlich NIC-2 mit der 192.168.185.10. Dann sollte der Ping mit den IPs sofort auf Anhieb klappen !
Deine ToDos bzw. Checks sind also folgende:

Kein NAT verwenden auf dem Server ! "Richtiges" Routing aktivieren !!
Gateways der Endgeräte im 192.168.185er IP Segment überprüfen das die auf die Server NIC-2 (192.168.185.10) zeigen
Ggf. lokale Firewall dieser Geräte anpassen das die Zugriffe aus dem 192.168.182er Netz zulassen wenn gewollt (gilt auch umgekehrt für die 182er Geräte !)
Bei Domänen eine Vertrauensstellung einrichten aber das ist Windows Kram der erstmal mit dem Roting rein gar nix zu tun hat !

Wenn du das alles beachtest sollte dein Szenario im Handumdrehen zum Fliegen kommen !
Noch ein Tip: Bei der DHCP Konfig von oben musst du die FB nicht als 2ten DNS eintragen, das bringt eh nichts denn die Timeout Zeiten bei Nichterreichen sind dann zu lang. Vielmehr Sinn macht es in der DNS Konfig des Servers, der ja zentraler DNS ist eine Weiterleitung auf die IP Adresse der FritzBox zu konfigurieren. Alles was der Server dann nicht lokal auflösen kann reicht er weiter an die FB.
Hast du vermutlich aber intuitiv eh' schon gemacht ?!

Hallo aqui,
vielen Dank für Deine Ausführungen.
Die Abbildung entspricht fast meiner Konfiguration, außer das es keinen Client im 185er Netz gibt, da auch der 2.Server über 2 Nic's verfügt und die Client's am 2. Server dann in einem 192.168.0.0 Netz hängen.
Die Clients im 0.0er Netz möchte ich aber gar nicht erreichen können.

Die Clients im 182er Netz haben momentan als GW die Fritzbox eingetragen. Wenn ich Dich richtig verstanden habe muß ich das ändern und hier die x.x.182.10 eintragen?
In der FB habe ich auch eine statische Route eingetragen.
Eine Weiterleitung ist im DNS Server auf die FB eingerichtet. Auch wurde der DNS Server an beide NIC's gebunden.
Unter den DHCP Optionen habe ich die FB,wie Du mir angeraten hast entfernt.

NAT ist weder am Server noch an den Clients aktiviert.

Auch habe ich alle Firewall's zu Testzwecken deaktiviert,doch leider
kriege ich noch keinen Ping vom 182er Client zur 185er Nic im Server1.

Sind folgende Einträge am 1. Server richtig?
Nic1
IP 192.168.182.10
Maske. 255.255.255.0
GW: 192.168.182.8
DNS: 192.168.182.10

Nic2 (verbindung zum 2. Server)
IP 192.168.185.10
Maske: 255.255.255.0
GW:leer
DNS: leer

Benötigst Du weitere Informationen?
Über weitere Hilfe wäre ich Dir dankbar.

Ja, deine Einstellungen sind alle richtig !
Die Kardinalsfrage die sich stellt: Ist im Server 2 Client Segment (192.168.0.0 /24) ebenfalls ein Router ??
Wenn ja hat der Server 2 ggf. eine default Route auf diesen Router ??
Wenn auch ja, ist es ja vollkommen logisch das dein Ping nicht beantwortet wird, denn deine Pings kommen mit der Absenderadresse 192.168.182.x am Server-2 an. Dieses Netzwerk "kennt" der Server 2 aber logischerweise nicht, denn es ist ja NICHT direkt an ihm angeschlossen !
Folglich sieht er in seine Routing Tabelle sieht dort den default Gateway Eintrag und schickt das Ping Antwortpaket dann statt auf deinen 192.168.182er Client dann an diesen Router im 192.168.0.0er Netz (oder wo immer sein default Gateway hinzeigt) und dort verschwindet es dann im Nirwana und du siehst keine Antwort !!
Wenn dieser Server-2 so einen lokalen Router hat und auch das Standardgateway auf ihm so konfiguriert bleiben muss, dann musst du ihm eine dedizierte statische Route in dein .182er Netzwerk "beibringen".
Das geht ganz einfach indem du Server 2 folgendes Kommando auf der Eingabeaufforderung eingibst:
route add 192.168.182.0 mask 255.255.255.0 192.168.185.10 -p
So sähe es dann aus:

Damit routet er dann alle Pakete ins 192.168.18.0er Netz statt auf sein Standardgateway dann an deinen Server 1 mit der 192.168.185.10 !! Und alles ist gut !!
Tabell kannst du am Server-2 dann mit route print überprüfen ! Das "-p" macht diese Route im Server 2 "permanent" damit sie nach einem Reboot nicht wieder verschwindet !
Bedenke das der Server 2 auf seiner NIC-2 auch nur IP und Maske konfiguriert haben darf aus dem 192.168.185.0er Netz !

Danke für Deine Hilfe.
Ich kann das leider erst frühestens übermorgen probieren.
Sobald ich alles testen konnte gebe ich sofort Feedback.

Das mit dem Router hinter dem 2. Server ist korrekt. Ich habe es verduselt zu sagen.
Dennoch dachte ich, das wenn ich nur die IP im 1. Server anpingen würde (192.168.185.10),
er mir dennoch antwortet, da ich ja nicht bis zum 2. Server pinge. Liege ich damit falsch?

Oben ist doch genau beschrieben was passiert wann du pingst: Weil du es bist und es ja verstehen sollst hier also nochmals der genaue Weg deines Ping Paketes:

Deine Pings (ICMP Pakete) kommen mit der IP Absenderadresse 192.168.182.200 (dein Client) am Server-2, NIC-2 (192.168.185.20) an.
Server-2 will nun die Ping Antwort an deinen Client (Ziel IP Adresse 192.168.182.200) zurückschicken
Dieses 192.168.182.0er Netzwerk "kennt" der Server 2 aber logischerweise nicht, denn es ist ja NICHT direkt an ihm angeschlossen. Raten oder hellsehen das es sich "hinter" Server-1 befindet kann er ja nicht.
Server-2 weiss nun nicht wohin mit dem Antwortpaket und sieht hilfesuchend in seine lokale Routing Tabelle und sieht dort nur den default Gateway Eintrag auf den lokalen Router (192.168.0.1) wo er alle Pakete hinschickt deren Weg zum Zielnetz er nicht kennt
Der Router weiss ja wo es hin muss (dafür ist er ja Router !) "denkt" sich Server-2 und schickt dein Ping Antwortpaket dann statt auf deinen Server und dann zum 192.168.182er Client nun an diesen Router im 192.168.0.0er Netz wo ja auch sein default Gateway hinzeigt !
Der 192.168.0.0er Router hat eine default Route zum Provider und schickt damit auch dein Ping Antwortpaket nun Richtung Internet Provider

192.168.x.x sind aber RFC 1918 private IPs die es im Internet gar nicht gibt und der Provider löscht sie gnadenlos und dort verschwindet deine Ping Antwort dann auf nimmer Wiedersehen im Nirwana bzw. großen Paket Mülleimer !!

Nun klar geworden ???
Kanst du auch #comment-toc9 HIER nachlesen ! Man muss nur mal genau hinsehen !

Hallo aqui,
ich habe nun alles wie oben beschrieben eingestelt und auch am 2. Server den route Befehl eingetragen.
Jedoch habe ich immer noch kein Erfolg.
Leider ist es nur im "eigenen" Netz möglich einen ping mit Antwort zu erhalten.
Da selbst die 2. Netzwerkkarte im 1.Server nicht gefunden wird, habe ich ein route print auf
dem ersten Server durchgeführt.
Leider bekomme ich hier in diesem Thread keine Möglichkeit ein Bild anzufügen.
Meine Routingtabelle sieht beispielhaft so aus:
Netzwerkziel 192.168.185.0
Netzwerkmaske 255.255.255.0
Gateway: Auf Verbindung
Schnittstelle 192.168.185.10
Metrik 266

Die anderen Routen sind auch so und haben im Gateway immer "Auf Verbindung" stehen.
Ist das Richtig so?
Trage ich an den Clients aus dem 182er Netz als GW den Server 1 ein, so bekomme ich auch
keine Verbindung zum Internet. Die statische Route in der FB habe ich nochmals überprüft
und im DNS Server unter Eigenschaften -> Weiterleitungen, die IP der FB eingetragen,

Jetzt hoffe ich darauf, das DU mir noch Tips geben kannst.
Evtl. auch, wie ich den Fehler weiter eingrenezn kann.

Hast du die statische Route auf der FritzBox eingetragen ???
Wenn dein Client die Fritzbox als default Gateway eingetragen hat dann MUSS dort eine statische Route eingetragen sein ala:

Zielnetz: 192.168.185.0 Maske: 255.255.255.0 Gateway: 192.168.182.10
Ohne diese statische Route auf der FB geht es NICHT !!

Kannst du direkt von Server-1 die NIC-2 (192.168.185.20) an Server-2 pingen ??
Kannst du direkt von Server-2 die NIC-2 (192.168.185.10) an Server-1 pingen ??

Das du kein Internet bekommst wenn du das Clientgateway auf die .10 umstellst erhärtet die Tatsache das du auf der FB diese statische Route vergessen hast !!
Was sagt ein Traceroute (tracert) oder Pathping auf das Ziel ??
Hast du die lokalen Firewall entsprechend angepasst und Zugriffe aus dem .182er IP Netz erlaubt ??

(Bitte weitere Kommentare per PM um das Tutorial nicht zu sehr aufzublähen !)

Feedback zur Lösung des obigen Problems:
Kollege 08fresh15 hatte eine lokale Firewall eines Drittherstellers die ihm das Leben schwergemacht hat. Auch eine Deaktivierung brachte nichts. Erst die Komplette Deinstallation hat das Routing so aktiviert wie es sollte.
Aus diesem Anlass sei nochmals darauf hingewiessen das solche zusätzlichen Firewalls (die zumeist überflüssig sind) häufig Quell solcher Probleme sind. Oft nisten die sich so tief ins System ein das erst eine Deinstallation wieder den Grundzustand herstellt.
Manchmal hilft nicht einmal dieses mehr wie man an einem üblen Vertreter dieser Zunft wie Zone Alarm sehen kann !

ich hab ein ähnliches Problem:

3 Netzwerke durch Routing verbinden, tracert TIMEOUT normal?

Ist vermutlich nur ein SMB spezifisches Problem bei dir. Kommentare dann im o.a. Thread bitte..

???

Liebe Leute
Ich habe eine Frage und wenn ich hier nicht poste, wird es höchstwahrscheinlich nicht gelöst.
In einem anderen Thread habe ich gefragt, jedoch ich bräuchte eure Ideen damit ich weiter kommen kann.

Netzwerk Probleme SERVER 2008 R2

Also:

Wenn ich so wie hier auf dem Grafik dargestellt konfigurieren möchte, wie kann ich fertig bringen, geht es überhaupt noch so wie gezeichnet ist?

Besten Dank für eure Antworten oder Ideen.

Gruss
Shota

Abgesehen von dem Schwachsinn (sorry) das 10er Netz mit einer 8 Bit Maske zu betreiben ist das ein klasssiches Routing Design und funktioniert so wunderbar.
Gefährlich auch die Nutzung der 172.55.55.0 /24 IP, denn das ist keine private RFC 1918 IP Adresse !! Das Netz gehört T-Mobile USA offiziell !!
NetRange: 172.32.0.0 - 172.63.255.255
CIDR: 172.32.0.0/11
NetType: Direct Allocation
OriginAS: AS21928
Organization: T-Mobile USA, Inc. (TMOBI)
Was du allerdings mit so einem Kauderwelsch wie "wie kann ich fertig bringen..." genau meinst ist unklar ?!
Wo ist also genau dein Problem ? Nur so viel (siehe auch oben zitierter Originalthread !)

Aus Layer 3 Sicht sieht dein Netzwerk so aus:

Du siehst das du soweit alles richtig gemacht hast. Die wichtigstens ToDos stehen in der o.a. Grafik ! Setze diese unbedingt um !
Die Grafik geht davon aus das du kein NAT (ICS) verwendest !!! Verzichte darauf, denn es bringt nur Probleme.
Zum Testen benutze Ping und pinge auch ins Internet mit einer IP wie z.B. 8.8.8.8 um ggf. erstmal DNS Problematiken zu umgehen.
Wichtig ist das du hier erstmal von den PCs in "West" und "Ost" alle Server IP Adressen aller Adapter anpingen kannst. Das ist der erste wichtige Schritter unbedingt klappen muss !

Bedenke das in neueren Windows Versionen ab 7 das ICMP Protokoll (Ping) deaktiviert ist und du das evtl. aktivieren musst damit Pingen funktioniert:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen.
Auch lokale Firewalls könnten den Zugriff auf IPs mit fremden Absender IPs blocken. Das ist die Default Einstellung. Nehme zum Pingen deshalb immer besser Drucker IPs oder Geräte die keine Firewall haben. Hier musts du aber auch zwingend darauf achten das diese Geräte eine korrekte Default Gateway IP eingestellt haben !!
Wenn du die ToDos so alle umsetzt funktioniert das einwandfrei !

Antworten bitte an den o.a. Originalthread um das Tutorial hier nicht unnötig weiter aufzublähen !

Hi liebe Admins,

bisher war ich nur passiver Nutznießer, doch heute ist in der oben geschilderten Konfiguration etwas geplatzt, sodass für mich nun ein unlösbar erscheinendes Problem vorhanden ist.
Folgendes Setting war bisher in Betrieb:

Fritzbox 6360 Kabel (UM - statische IP von UM) -> Linksys-Router RV042 (172.16.1.1) --> ServerPC Windows Server 2008RS2 (172.16.254.1; 255.255.255.0 & 192.168.115.1; 255.255.255.0)--> Intranet
Diese, wie oben beschriebene Konfiguration funktionierte problemlos.
Nun hat sich wohl aufgrund eines technischen Defektes der Linksys-Router verabschiedet, er blinkt nur noch wild mit der Diag-Diode.
Folglich habe ich diesen aus der Konfiguration entfernt und die entsprechenden Lan-Konfigurationen geändert:
Fritzbox 6360 Kabel (UM - statische IP von UM;255.255.255.252) --> ServerPC Windows Server 2008RS2 (statische IP+1; 255.255.255.0 & 192.168.115.1; 255.255.255.0)--> Intranet

Im ersten Moment wollte ich bereits himmelhoch jauchzen, da der Server problemlos seine Internetverbindung aufbaute, doch ich war zu Tode betrübt, als die Clients sich weigerten.
Ergo: der Fritzbox erstmal das Routing zu füttern gegeben: 192.168.115.0; 255.255.255.0; GW: statische IP+1
Allerdings führte das ebenfalls nicht zum Aufbau einer Netzverbindung von den Clients.
nochmals den Artikel gelesen und die Probleme und Hilfestellungen:
ping von den Clients an den Server: 192.168.115.1 check
ping von den Clients an den Server: statische IP+1 check
ping von den clients an die Fritzbox: statische IP check
ping an google.de: fail; ABER:
DNS auflösung erfolgt.
nächster Schritt: tracert an google.de --> server check; statische IP FB check; Zeitüberschreitung der Anforderung... :/

Da steh ich nun, ich dummer Tor und bin nicht klüger als zuvor...

Aufgrund des Hinweises bezüglich der Routing aktivierung auch den netsh Befehl ausgeführt... leider immer noch kein befriedigendes Ergebnis. Er bleibt weiterhin an der FB hängen.

Da die oben genannten Anleitung sich auf eine Installation bzw. Konfiguration "auf der grünen Wiese" bezieht, vermute ich, dass bei Windows iwo noch eine alte Konfig drin hängt, die ich nicht sehe.
Ich bin für jeden konstruktiven Hinweis überaus dankbar!
Vielen Dank im voraus.

Da die oben genannten Anleitung sich auf eine Installation bzw. Konfiguration "auf der grünen Wiese" bezieht, vermute ich, dass bei Windows iwo noch eine alte Konfig drin hängt, die ich nicht sehe.

Du hast es selber erkannt und auch das du das obige Tutorial nicht richtig gelesen hast sonst wäre der Thread hier überflüssig.
Dein Server mit den 2 NICs macht vermutlich kein ICS (NAT) am Port zur FB, richtig ??
Damit ist es zwingend erforderlich das du eine statische Route auf der FB einträgst !!
Hast du das gemacht ??

Lies dir bitte dazu das Kapitel:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
und folgende nochmal GENAU durch und passe deinen Konfig entsprechend an !
Achte bei einem Winblows Server ebenfalls auf die interne Firewall und passe die ebenso an das diese diese Daten passieren lässt !!
Im Zweifel nimm immer einen Wireshark Sniffer und sieh dir den Traffic an. dann sieht du sofort was los ist !

!!! Update unten!!!

Hi aqui und erstmal vielen Dank für Deine Antwort,

Du hast es selber erkannt und auch das du das obige Tutorial nicht richtig gelesen hast sonst wäre der Thread hier überflüssig.

Entschuldige bitte, aber ich habe das obige nach bestem Wissen und gewissen umgesetzt, und es funktionierte ja auch in der urspürnglichen Konfiguration. Erst durch den Ausfall des Linksys-Routers und den Versuch, die ursprünglich funktionierende Konfiguration zu verändern und auf die neuen Gegebenheiten, sprich ohne 172. Netzwerk, anzupassen, resultiert das Problem, dass ich mit den Clients nicht mehr über den DSL-Router hinaus komme.

Dein Server mit den 2 NICs macht vermutlich kein ICS (NAT) am Port zur FB, richtig ??

korrekt. es wird ja auch empfohlen, davon abzusehen, bzw. dies nur im Notfall einzurichten.

Damit ist es zwingend erforderlich das du eine statische Route auf der FB einträgst !!
Hast du das gemacht ??

ja, habe ich, zwar etwas salopp beschrieben:
"Ergo: der Fritzbox erstmal das Routing zu füttern gegeben: 192.168.115.0; 255.255.255.0; GW: statische IP+1"

Lies dir bitte dazu das Kapitel:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
und folgende nochmal GENAU durch und passe deinen Konfig entsprechend an !

Vielleicht sehe ich es nicht richtig, doch handelt es sich an angegebener Stelle primöär um NAT und im Folgenden um spezifische Routerlösungen. Von den beschriebenen Settings trifft m.E. keines auf meine Situation zu.

Achte bei einem Winblows Server ebenfalls auf die interne Firewall und passe die ebenso an das diese diese Daten passieren lässt !!

Hier habe ich durch temporäre Deaktivierung versucht, den Fehlerherd auszumerzen.

Im Zweifel nimm immer einen Wireshark Sniffer und sieh dir den Traffic an. dann sieht du sofort was los ist !

Danke für den Hinweis, das werde ich morgen prüfen.

---
Update 15.7.
nachdem nun ein Nachfolge-Ersatzgerät angeliefert wurde und ich die Konfigurationen wieder hergestellt habe, läuft das Netzwerk in der ursprünglichen Variante wieder voll und ganz zur Zufriedenheit.
Danke für Deine Hilfe Aqui!

Ergo: der Fritzbox erstmal das Routing zu füttern gegeben: 192.168.115.0; 255.255.255.0; GW: statische IP+1"

Was bitte bedeutet das "+1" ??
Eigentlich Unsinn ! Die statische Route muss mit der Gateway IP auf die NIC IP des Servers in dem FB Segment zeigen !!
Wenn dir Route richtig ist, dann MUSS noch IPv4 Forwarding auf dem Server aktiviert werden.
OHNE ein v4 Forwarding routet der Server nicht (Eintrag in die Registry)
Auch muss die Firewall angepasst sein.

Wenn deine statische Route stimmt, was du mit Traceroute (tracert) testen kannst, dann kann der Fehler einzig und allein nur im fehlenden IPv4 Forwarding oder der lokalen Firewall des servers liegen !! Logisch...!

Update 15.7.

OK...anders hätte es aber auch klappen müssen !
Case closed...

Hallo aqui!

Vielen Dank für diese ausführliche Anleitung! Sehr interressant fand ich den Abschnitt "Routing mit OpenWRT Router" und habe versucht, das so umzusetzen. Da der TP-Link_WR841N nicht mehr erhältlich ist, habe ich mir den TL-WR1043ND besorgt und die aktuelle OpenWrt Version 15.05.1 drauf gemacht. Die Einstellungen habe ich genau wie oben vorgenommen; lediglich den DHCP Server auf WAN Seite habe ich nicht aktiviert, da ich ihn nicht benötige:

Allerdings kommt in meinem Fall die Route nicht zustande:

Irgendwie habe ich gerade keine Idee, woran das liegen kann. Was mache ich falsch?

Gruß,

Volker

PS.:
am ICMP Protokoll liegt es nicht, das ist auf beiden Seiten aktiviert. Dem Router selbst antworten beide PC ganz freundlich:

PPS.:
Es klappt nun! Es lag doch am ICMP Protokoll. Das war zwar aktiviert, jedoch war der erlaubte Bereich jeweils auf "lokales Subnetz" beschränkt. Nach dem Eintrag von "172.16.1.0/24" auf dem einen PC bzw. "192.168.1.0/24" auf dem anderen funktioniert es doch!

Nochmals vielen Dank für die Anleitung!

Gruß,

Volker

So so...der 841N ist also nicht mehr erhältlich. Woher hast du diese (vermutlich falsche) Info ?!
https://www.reichelt.de/WLAN-Router-Access-Point/TPLINK-TL-WR841N/3/inde ...
Zurück zum Thema....
Ja, das Thema ICMP und lokale Firewall ist bekannt und in die Falle tappen viele. Die Lösung findet man aber immer bei Dr. Google wenn man weiss wonach man suchen muss

https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Klasse wenns denn nun klappt wie es soll !

Hallo erstmal! (extra angemeldet)

erstmal vorweg, hervorragende Erklärung, welche man auch mit lückenhaften Wissen nachvollziehen kann. Ich habe jedoch noch in Paar Fragen.

Ich habe auch vor 2 LANs mit einander zu verbinden, in meinem Scenario hat aber jedes dieser LAN eine eigene Internetanbindung, welche auch aus dem jeweiligen Adressbereich genutzt werden soll (DS-Lite auf der einen und IPv4 auf der anderen). Stellt dies ein Problem dar? Irgendwie wird bei allen Scenarios immer nur von einer einzelnen Internetverbindung gesprochen.

Ich habe nun schon mehrfach gelesen, das davon abgeraten wird eine Fritzbox für die Aufgabe des statischen Routens zu nehmen -ins Detail geht aber irgendwie keiner. Daher: Warum eigentlich? Klar -die Einstellungsmöglichkeiten sind definitiv beschränkt im Vergleich zu einem OpenWRT Router, aber eine 7360 kriege ich in einem Angebot gerade für 17€ mit 2 Jahren Gewährleistung (Vom Hersteller generalüberholt). Diese hat Gbit und ausreichend "nicht" WAN Ports für mich. Übersehe ich etwas?

Über eine kurze Rückmeldung würde ich mich freuen!

Zitat von @Sionzris:

Hallo erstmal! (extra angemeldet)

Moin, herzlich willkommen.

erstmal vorweg, hervorragende Erklärung, welche man auch mit lückenhaften Wissen nachvollziehen kann. Ich habe jedoch noch in Paar Fragen.

Das stellst Du am besten als eigene neue Frage statt hier die Anleitung selbst zu überfrachten.

Dann lesen Deine Frage auch mehr Leute als nur die, die in diesem Thread unterwegs waren.

Ich habe auch vor 2 LANs mit einander zu verbinden, in meinem Scenario hat aber jedes dieser LAN eine eigene Internetanbindung, welche auch aus dem jeweiligen Adressbereich genutzt werden soll (DS-Lite auf der einen und IPv4 auf der anderen). Stellt dies ein Problem dar?

Nein.

Irgendwie wird bei allen Scenarios immer nur von einer einzelnen Internetverbindung gesprochen.

Weil das das Standardszenario ist.

Ich habe nun schon mehrfach gelesen, das davon abgeraten wird eine Fritzbox für die Aufgabe des statischen Routens zu nehmen -ins Detail geht aber irgendwie keiner. Daher: Warum eigentlich?

NAT läßt sich nicht abschalten und nur eingeschränkte Konfigurationsmöglichkeiten.

Klar -die Einstellungsmöglichkeiten sind definitiv beschränkt im Vergleich zu einem OpenWRT Router, aber eine 7360 kriege ich in einem Angebot gerade für 17€ mit 2 Jahren Gewährleistung (Vom Hersteller generalüberholt). Diese hat Gbit und ausreichend "nicht" WAN Ports für mich. Übersehe ich etwas?

Ja, die tut nicht das, was Du willst.

Über eine kurze Rückmeldung würde ich mich freuen!

Bitte.

lks

PS: Lies die FAQs!

Stellt dies ein Problem dar?

Nein ! Simpler Standard...
Ein solches Netzwerk richtig konfiguriert sähe so aus:

schon mehrfach gelesen, das davon abgeraten wird eine Fritzbox für die Aufgabe des statischen Routens zu nehmen

Wie meinst du das genau ?? Bezogen auf den Koppelrouter oder bezogen auf die beidseitigen Internet Router die die statischen Routen konfiguriert bekommen ???
Bei Letzterem ist gerade das Gegenteil der Fall, denn die FritzBox supportet statische Routen die für dieses Design zwingend erforderlich sind.
Schrottrouter wie z.B. Speedport oder Easybox Billigsysteme usw. supporten nichtmal solche simplen Basics wie eben statische Routen und damit könnte man so ein Design per se gar nicht umsetzen...oder nur mit erheblichen Klimmzügen.
Es kann nur so gemeint sein das davon abgeraten wird als Koppelrouter zwischen den Netzen eine FB zu nehmen.
Das ist zweifelsohne richtig !
Einfacher Grund ist wie der Kollege LKS oben schon richtig sagt das die FB es NICHT supportet das NAT (IP Adress Translation) abzuschalten. Damit wird das Routing dann zur Einbahnstrasse weil man in eine Richtung die NAT Firewall eben nicht überwinden kann. Der Todesstoß für so ein Design.
Dieses Allerweltsdetail bei den FBs sollte man als Netzwerker eigentlich kennen. Insofern sehr verwunderlich das niemand das benennt oder benennen kann aus deinen Informations Quellen ?!
Koppelrouter sollten also IMMER Router sein der abschaltbares NAT haben wie die o.g. Mikrotik, OpenWRT, DD-WRT usw. oder auch ein Layer 3 (Routing) fähiger Switch wie z.B. ein Cisco SG-300 usw.
Wenn du das beachtest machst du nichts falsch !
Das Grundprinzip ist immer das gleiche wie oben im Tutorial beschrieben.

Danke für die Erklärungen. Beide "Internetrouter" sind bei mir Fritzboxen (7490 und 6590 unbranded), von daher passt es schon mal auf der Seite ganz gut.

Ich frag nochmal doof, weil die o.g. Links bei mir alle ins Leere führen:

Kann man den MikroTik RB750Gr2 (35€ neu) oder RB750Gr3 (58€ neu) als Koppelrouter empfehlen (die kommen mir irgendwie zu günstig für Gbit vor)? Oder doch lieber einen NETGEAR WNDR3700V2 mit DD-WRT (36€ gebraucht)? Ich brauche kein WLAN oder ähnliches, der Router soll nur mit GBit koppeln und so wenig strom wie möglich brauchen. Ich bin selber nicht so der Netzwerker (Grundkenntnisse sind natürlich vorhanden sonst würde ich das auch nicht versuchen) und von meinen bekannten die es eigentlich können sollten krieg ich meist zu hören "Ausbildung schon 10 Jahre her", "kenne mich mit so kleinen Systemen nicht aus" aka. kein Bock

P.s.: Ich hoffe es war ok hier noch einmal auf den Kommentar zu antworten nachdem Lochkartenstanzer mich schon gerügt hat.

Ich frag nochmal doof,

Doofe Fragen jibbet ja nich, nur doofe Antworten

weil die o.g. Links bei mir alle ins Leere führen:

Welche Links meinst du denn ??? Das können wir ja dann korrigieren !

Kann man den MikroTik RB750Gr2 (35€ neu) oder RB750Gr3 (58€ neu) als Koppelrouter empfehlen

Ja, uneingeschränkt !
Sind auf alle Fälle dem NG/DD-WRT Gespann haushoch überlegen und deshalb vorzuziehen.

soll nur mit GBit koppeln und so wenig strom wie möglich brauchen

Dann sind die Mikrotiks deine besten Freunde !
Mit dem WinBox Tool und auch dem Browser GUI hast du eine einfaches grafisches Installations Tool mit dem auch jeder Anfänger problemlos klarkommt.

Dual Band WLAN usw. für sehr kleines Geld bieten:
http://varia-store.com/Wireless-Systeme/MikroTik-RouterBoard/MikroTik-R ...
Oder die 1 GiG Variante:
http://varia-store.com/Wireless-Systeme/MikroTik-RouterBoard/MikroTik-h ...
Beide Mikrotik Systeme gibt es auch ohne WLAN.
Es gibt keinen WLAN Router am Markt der so flexibel einsetzbar ist zu diesem Preis (ca. 40 Euro) bzw. in der Gigabit Variante wie die Mikrotik Modelle.

Diese links funktionieren bei mir nicht.

Danke für die Sehr schnelle Antwort! Mikrotik HEX RB750Gr2 bestellt. Bei 35€ inkl. Versand kann man ja echt nix sagen!

Korrekt ist:
GR3:
https://varia-store.com/de/produkt/31532-mikrotik-routerboard-hex-mit-88 ...
GR2:
https://varia-store.com/de/produkt/31133-mikrotik-routerboard-rb750r2-he ...
Ist korrigiert oben.
Danke für den Hinweis !

Zitat von @aqui:

Es sei aber zusätzlich auf das sehr gute Tutorial von „Atti“ hier verwiesen, der eine WLAN Kopplung 2er Netze schon sehr detailiert beschrieben hat unter Zwei Netze über WLAN miteinander verbinden

Die URL stimmt nicht mehr.
404 Page not found.

Zitat von @Kabuntel:

Die URL stimmt nicht mehr.
404 Page not found.

Versuchs damit:

Zwei Netze über WLAN miteinander verbinden

lks

PS: Nachdem Frank das Forum seitdem mehmals umgebaut hat, passiert es manchmal, daß die alten Links nicht gehen, weil die URLs sich geänder haben. Dann kann man aber einfach über die Suche die Anleitungen wiederfinden.

Danke für das Feedback und auch dem Kollegen LKS für die Korrektur ! Ist jetzt im Tutorial auch angepasst !

@aqui: Respect! Du solltest Schriftsteller werden und würde mir auch deine Bücher kaufen. Hab auch für dich auch ein Buchtiteln Planung:
From Zero to Hero \ Network.

Zum Betrieb von Mikrotik-Router:
1.Dann wäre bzw. ist der genannte Mikrotik-Router ein 3 Layer-Switch für small business-Bereich?(Siehe Anhang)
2.Sind die auch für unternehme Netzwerke bis sagen wir mal insgesamt 50 Geräte mit einem durchschnittlichen Durchsatz von 20-30 Mbit/s gut geeignet?
3. Schafft der auch 200 aktive Hotspot-Clients(Wlan-User)?

vg

dece

Danke für die Blumen ! Ich denke drüber nach mit den Büchern

Zu deinen Fragen:
1.)
Ja, das ist richtig ! Alle Mikrotik Systeme mit Router OS sind gleichzeitig auch immer Layer 3 Switches !
https://mikrotik.com/products
2.)
Da langweilen sie sich eigentlich noch. Wenn du z.B. einen 10G Switch nimmst kannst du damit auch 500 Geräte mit 200-300 User bedienen. Rein eine Frage der Bandbreite und Portdichte...wie immer.
Nimm z.B. 2 mal 10G Switches wie den oder den mit ein paar mehr 10Gig Ports im Core und alls Access nimmst du Standard 24 oder 48 Port Switches mit 10Gig Uplink auf den Core. (Cisco SG250X, Ruckus ICX 7150 etc.)
Dann sähe ein klassisches Hochverfügbar Standard Netzwerk Design für deine 50 oder mehr Geräte z.B. so aus:

Das ist kinderleicht und für kleines Geld umzusetzen.
3.)
Die Fragestellung zeigt eigentlich das du nicht wirklich im Thema WLAN drinsteckst !!
Erstmal musst du ja davon ausgehen das diese 200 WLAN User ja an Accesspoints hängen. Im Netzwerk redest du also nicht von Usern sondern von Accesspoints als Hardware die an eine Switch Infrastruktur wie z.B. die obige angeschlossen sind.
Hier kommt es jetzt ganz darauf an wieviel du in Accesspoints investierst, dennnur davon ist die WLAN Performance abhängig. Nicht oder nur sehr wenig vom Switching Backbone.
Billige Consumer APs wie die üblichen NetGear, D-Link, FritzBox usw. Teile können max. 10 bis 15 User pro AP um noch einigermaßen performant zu arbeiten.
Bessere APs wie die von Ruckus z.B. schaffen das 3 bis 4fache pro AP. Ein großer Unterschied !
Zudem haben sie heutzutage N-Base T Kupfer Anschlüsse die außer 1 Gig auch 2,5 Gig und 5 Gig supporten.
Sprich sie sind also überhaupt erst damit in der Lage den Traffic den die WLAN User auf der Funkschnittstelle im 2,4Ghz Band und im 5 Ghz Band erzeugen auch verlustfrei auf die Switch Infrastruktur zu bringen.
Es lohnt also in jedem Falle immer etwas mehr in performante WLAN APs zu inverstieren als in billige, wenig skalierbare Consumer APs sofern das Ziel einen schnelle und performante WLAN Infrastruktur sein soll.
Hier findest du eine gute Doku zu dem Thema AP Skalierbarkeit.

Übrigens ein Captive Portal Hotspot für Gäste usw. haben die Mikrotik Switch gleich von sich aus schon an Bord

https://www.mikrotik.com.my/hotspot-server-with-captive-portal-and-walle ...
Und...mit dem Capsman Feature auch ein zentrales AP Management. Allerdings nur wenn du auch Mikrotik APs verwendest ! Die sind aber auch nicht so performant wie z.B. Ruckus APs.
Die kannst du mit bis zu 25 APs zusammen in einem Cluster betreiben (Unleashed Mode). Ein AP übernimmt dann die Controller Funktion für das zentrale Management ohne das man in zusätzliche HW für einen Controller investieren muss !
Fazit:
Ja ! Deine o.a. Anforderungen sind nicht wirklich groß. Sowas könnte man auch mit simplen China Billigswitches machen. Mit Mikrotiks also allemal !

Danke for everything, werde mir mal ein mikrotik gönnen (:

Ein weiser Entschluss !

ich hab zwei Verständnisfragen zum statischem-Routing bezogen auf das obige Beispiel (Internet/Router->Router oder Double-NAT). Bitte hab Verständnis zum meinen dummen Fragen :D:

1.) Also warum braucht man statisches Routing wenn man Router in Kaskade betreibt? Denn jeder Router ist NAT fähig, man schließt das hinter einem Modem an und der Router routet die zugewiesen IP von Provider zum privaten IP-Interface und
der Betrieb Router in Kaskade ist doch genau der gleiche Prinzip. da der Internet/Router dem internen Router eine IP zuweißt, der wiederum zwischen den beiden Netzen routet. Über den Subnetz des internen Router erreicht man doch das Internet, wozu statistisches Routen?

Daher verstehe ich auch nicht, warum auf der Supportseite von der Fritzbox bei statischem Router im Beispiel von einem weiterem Router die Rede ist ?

In meinem Fall betreibe ich ein Speedport-Router(kein statisches Routen) dahinter angeschlossen ein Draytek-Router was fabelhaft funktioniert.

2.) Ich sehe nur bei statisches Routing von L2-Switch(VLAN) den Sinn, da Sie kein Routing-Eigenschaften besitzen. Oder in deinem obigem Fall wo man für ein Rechner ein Routing-Tabelle erzeugt.

Nur zu Anmerkung, ich weiß wie man statisches Routing konfiguriert, aber den Sinn habe ich nicht ganz verstanden

Bitte hab Verständnis zum meinen dummen Fragen

Gibt es ja nicht, sondern nur dumme Antworten !

1.)
Wenn du doppeltes NAT machst, dann brauchst du kein statisches Routing !
Klar, denn alle IP Netze hinter dem kaskadierten Router werden ja per NAT umgesetzt so das der Router davor diese IP Netze und Adressen gar nicht "sieht" anhand ihrer Absender IP. Der Router "sieht" also rein nur lokale IP Adressen durch das NAT. Da ist ein statisches Routing also NICHT erforderlich !

Doppeltes NAT ist immer kontraproduktiv, da Performance Fresser und problematisch wegen der dann immer aktiven NAT Firewall. Routing mit NAT ist also immer eine Einbahnstrasse und geht rein nur in eine Richtung.
Deshalb sollte man, wenn immer möglich, das NAT auf dem kaskadierten Router deaktivieren so das der dann transparent und bidirektional routet, sprich also die originalen Absender IP Adressen weiterreicht.
Um dann wieder richtig rückrouten zu können muss dann der Internet Router ja die lokalen IP Netze hinter dem kaskadierten Router kennen.
Das erledigt man dann mit einer statischen Route. Das kann auch eine Summary Route sein mit größerer Subnetzmaske die dann mehrere IP Netze inkludiert wie z.B. 192.168.0.0 Maske: 255.255.0.0 was dann alle 192.168er Netze routet.
Konfiguriert man diese statische Route auf die lokalen IP Netze nicht, dann nimmt der Internet die Default Route zum Provider um diese Netze zu routen. Logisch, denn er hat ja sonst keine weitere Routing Information.
Das Routing zum Provider geht dann ins Leere weil diese Private RFC 1918 IP Netze in den Datenmülleimer schmeissen !
Siehe auch Routing Beispiel HIER.

Leider ist das Verzichten auf NAT am kaskadierten Router nicht immer möglich, da er es

a.) ggf. nicht supportet oder
b.) man davor so einen billigen Schrottrouter wie z.B. deinen Speedport hat der nicht einmal sowas Banales wie statische Routen supportet. Da hast du dann keine Wahl und bist dann gezwungen doppeltes NAT aktiviert zu lassen !

Es sei denn man tauscht den Router davor gegen einen der auch wirklich "Router" ist.

Fazit:
Doppeltes NAT = Kein Routing erforderlich !
Kaskadierter Router ohne NAT = Statische Route erforderlich !

2.)
Ein L2 Switch kann niemals statisch routen !!!
Klar, denn Layer 2 bedeutet immer:: Mac Adressen ONLY !
Solch ein L2 Switch hat also keinerlei Ahnung von IP Adressen und IP Forwarding sowie Routing, weil er die IP Adressen in Ethernet Paketen die durch ihn passieren gar nicht lesen, geschweige denn erkennen kann.
Folglich hat ein Layer 2 Switch also auch keinerlei Routing Tabelle oder irgendwas anderes was ein IP Forwarding betrifft.
Der arbeitet rein nur auf Hardware Adress Basis (Mac Adressen)
Um auf einem Layer 2 Switch z.B. zwischen VLANs routen zu können bedarf es immer einem externen Router !
Sie dazu auch das hiesige VLAN_Tutorial !
Die Frage Layer 2 Switch und Routing stellt sich also gar nicht erst und ist im Grundsatz falsch !
Ein L2 Switch hat nur eine IP Adresse die rein fürs Management des Switches selber ist. Mit dem IP Forwarding hat diese absolut gar nix zu tun !

Steht aber auch alles so im obigen Tutorial wenn man es mal sorgfältig liest !

Verständnisfragen zum Routing:

Bei mir läuft alles zu 100% und meine Frage ist privater Natur (Heimnetz: möchte VLAN einführen und muss erstmal Routing begreifen), da Routing nicht zu meinem beruflichen Umfeld gehört und mir in dieser Hinsicht die Kenntnisse fehlen. Von daher habe ich mir gestern nach Lesen des Threads (90% davon nicht begriffen) dieses Testnetz in Hyper V aufgebaut und schrittweise in Betrieb genommen und nachträglich skizziert (kann sein, dass Verschreiber in den Adressen vorhanden sind):

Es handelt sich hier um 2 Subnetze Vmnet3 und 4 die ich zuerst aufgebaut habe (NIC1 deaktiviert) und mittels Windows Routing und RAS Dienst "verbunden" habe. PC1+2 hatten feste IP + GW. Später kam noch DHCP Relaying auf dem Windows Router hinzu, um den vorhanden hochverfügbaren DHCP Server nutzen zu können.

Nun meine Verständnisfragen/Annahmen:

1. Man benötigt auf dem Router (hier Win Srv 2019) keine statischen Routen, um direkt in das benachbarte Netz zu kommen.
- Jedenfalls waren die PCs im benachbarten Subnetz pingbar.
Dies liegt darin begründet, dass der Router seine eigenen Subnetze kennt und automatisch zwischen selbigen routet.

2. Statische Routen (wenn man kein Routingprotokoll wie RIP etc. nutzt) werden nur erforderlich, wenn man mehr als einen Hop auf der Route hat. D.h., sobald man über 2 Router gehen muss, sind Ruten zu setzen

3. Auf dem Win Srv 2019 funktionierte das Routing sofort (nachdem Routing und RAS Services gestartet sind) ohne extra Routen (NIC1 war dort noch deaktiviert) und auch ohne den Eintrag eines Gateways auf NIC2 und 3.
Benötigt man den Gateway-Eintrag lediglich, wenn man in "externe Netze" mittels "route -p add 0.0.0.0 MASK 0.0.0.0 Gateway ..." weiter routen möchte?

4. Zwei Netze Vmnet3 und Vmnet4 an einem Switch, soll kein Problem sein:
2 verschiedene netze auf einem switch

Ist es aber schon, wenn man DHCP Relaying nutzt, dass musste ich gestern feststellen. Wer das verwendet, weiß auch warum

.

5. Kann man im Netzwerkdiagramm einen virtuellen Switch einfach als Ethernet-Netzwerksymbol darstellen, so wie im Bild?

Danke Vorab

Wenn du einmal bei hochgeladenen Bildern das "+" Zeichen intelligent nutzen würdest würde man die Billder auch im richtigen Kontext sehen und deine Fragen auch besser zuordnen und verstehen können.
So wie du hängen die jetzt vollkommen inhaltslos und aus dem Kontext gerissen nur am Ende des Threads.

Hätte dir eigentlich auch auffallen müssen und kann man immer noch nachträglich über den "Bearbeiten" Knopf (rechts unter "Mehr" !) korrigieren !!
FAQs lesen hilft wirklich !!

Zurück zu deinen Fragen...

1.)
Ja, das ist richtig ! Lokale, direkt am Router angeschlossene IP Netze "kennt" dieser ja zwangsläufig. Dafür sind statische Routen also logischerweise überflüssig. Deine Schlussfolgerung ist also absolut korrekt.
2.)
Nein, das ist nicht ganz korrekt. Das Zielnetz kann sehr wohl auch mehr als 1 Hop entfernt sein also auch 10 oder 20 Hops. Wichtig ist nur bei einer statischen Route das der Router den nächsten Hop zu einem Gateway kennt das dann vielleicht weiss wo das Zielnetz ist. Routing Entscheidungen werden allso immer hopweise neu gefällt !

...sind Ruten zu setzen

Nope ! Mit Ruten vom 🎅 hat das alles herzlich wenig zu tun !

3.)

Auf dem Win Srv 2019 funktionierte das Routing sofort ohne extra Routen

Nein, diese Aussage ist in 2facher Hinsicht falsch !
a.) Per se ist Routing (IP Forwarding) auf Betriebssystemen wie Windows, Linux, MacOS usw. immer per Default deaktiviert. (Guckst du auch HIER) Ohne Konfig Eingriffe können diese als technisch gar nicht routen (IP Forwarding)
b.) Die Aussage gilt wieder nur für lokal direkt am Server angeschlossenen IP Netze. Solche IP Netze die weitere Hops entfernt liegen über andere Gatewaysm erfordern auch bei Winblows zwingend eine statische Route. Die Winblows Routing Tabelle (route print) zeigt dir das.
Wenn du nur das Default Gateway hast wird eben alles was Winblows nicht kennt an IP Netzen generell ans Default Gateway geschaufelt. Hast du mehrere Gateways und musst spezifisch routen dann brauchst du auch statische Routen ala route add ... oder du aktivierst einen dynamischen Route Prozess auf dem Server mit RIPv2 oder OSPF.
Deine o.a. angegebene Route ist ja eine Default Route und keine spezifische !
4.)
Das ist in der Tat kein Problem. Guckst du auch hier am Beispiel VLANs:
Sophos Software Appliance UTM - VLAN - CISCO SG Series Switches
VLAN mit Cisco SG220, ESXIund Pfsense
5.)
Ja, natürlich, er ist ja nicht anderes als auch nur ein Switch, nur eben virtuell in Software.

Vielen Vielen Dank ..

habe das Plus gefunden (hätte ich ohne den Hinweis nie gesehen und auch beim Erstellen des Artikels schon gesucht)

Habe in Punkt 3 noch ergänzt, dass Routing und RAS aktiv ist. (Dies ist zwar weiter oben schon erwähnt worden, sollte aber zur Klarstellung sicherlich in Punkt 3 nicht fehlen).

Wenn du jetzt auch noch den überflüssigen Bilder URL löschen würdest (es reicht die Bilder ID in eckigen Klammern !) dann wäre es perfekt.
Na ja...Anfänger Kosmetik. Wichtig ist das du es erstmal verstanden hast...

Routing mit OpenWRT Router

"Fortgeschrittene Nutzer können den konfigurierten Switch über die 4 Ethernet Ports auflösen und dann mit max. 5 Ports routen."

Geht das auch mit einer FB4040? Mir werden die LAN-Ports als ein Block angezeigt.

Zitat von @SimpleMind:

Routing mit OpenWRT Router

"Fortgeschrittene Nutzer können den konfigurierten Switch über die 4 Ethernet Ports auflösen und dann mit max. 5 Ports routen."

Geht das auch mit einer FB4040? Mir werden die LAN-Ports als ein Block angezeigt.

Nein, liegt am Switch-Chip.

Schade.
Danke!

German Tutorial Routers, Routing Networks Networking Basics LAN, WAN, Wireless

Series: Routing-Tutorials

Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik (german)84 Mikrotik VLAN Konfiguration ab RouterOS Version 6.41 (german)151 Mit einem WLAN zwei LAN IP Netzwerke verbinden (german)15 VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern (german)74 Routing von 2 und mehr IP Netzen mit Windows, Linux und Router (german)121 Kopplung von 2 Routern am DSL Port (german)267