Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Netzwerkkopplung mehrerer IP Netzwerke (Routing) über einen Server oder PC mit 2 oder mehr LAN oder WLAN Netzwerkkarten oder als Lösung mit einem dedizierten Router bzw. Firewall mit mehreren LAN oder VLAN Ports.
Dieses Tutorial ist eine kurze Anleitung zur Kopplung von 2 Netzsegmenten (Ethernet oder WLAN) über einen Rechner mit 2 Netzwerkkarten. Dieser Rechner kann ein Server oder ein normaler PC sein. Das Netzwerkhandling und die IP Adressierung ist immer dasselbe. Auch ob das verwendete OS Windows oder Linux ist, ist unerheblich außer das bei Windows ein paar Punkte mehr im Setup zu beachten sind !
Dieses HowTo beschreibt primär eine Kopplung von 2 oder mehr IP Netzen nicht nur auf Basis einer Kupfervernetzung (Ethernetkabel) über einen Rechner mit 2 Netzwerkkarten sondern auch über ein WLAN.
In einem WLAN statt LAN Szenario sind die IP Adresseinstellungen identisch so das dies HowTo auch uneingeschränkt dafür verwendet werden kann ! Lediglich die Settings für WLAN SSID und Verschlüsselung kommen hinzu ! Ein paar Punkte am Schluss dieses HowTos beleuchten mögliche Designs in einem WLAN Umfeld.
Es besteht ferner keine Limitierung auf 2 Netzwerkkarten auch ein Szenario mit 3 oder mehr Karten ist denkbar. Die Konfigurationsschritte sind aber immer die gleichen wie im Folgenden beschrieben.
Der zweite Teil dieses Tutorial beschäftigt sich dann mit der Kopplung über einen dedizierten Router die aus Performancesicht immer der Kopplung über einen Server vorzuziehen ist. Der Server soll "serven" der Router "routen"....
Bei mehr als 3 Netzwerkkkarten sollte man sich immer Gedanken über einen Layer 3 fähigen LAN Switch machen oder immer einen externen-Router verwenden, da dann mit einem Server oder PC aus Performancegründen kein performantes Routing mehr zu empfehlen ist !
Es sei aber zusätzlich auf das sehr gute Tutorial von „Atti“ hier verwiesen, der eine WLAN Kopplung 2er Netze schon sehr detailiert beschrieben hat unter diesem_URL
Wie sieht nun so ein klassisches Szenario aus was hier im Forum sehr oft nachgefragt wird:
(Der rote Router kann hier auch ein Server/PC mit 2 Netzwerkkarten sein!)
Sieht man sich so ein Netzwerk Design einmal etwas genauer an, ist es vereinfacht nichts anderes als ein lokal geroutetes Netz:
(Internet)----(DSL Router)----IP Netz----(Server/PC_als_Router)----IP Netz----(Client)
Der Server/PC der beide IP Netze miteinander verbindet ist also schlicht gesehen nichts anderes als ein weiterer Router bzw. muss IP Routingfunktionen zur Verfügung stellen. Generell ist das immer möglich, allerdings sind diese Funktionen im Normalbetrieb bei Windows und Linux in der Grundkonfiguration immer abgeschaltet und müssen erst aktiviert werden damit so ein Netz fehlerfrei funktioniert !
Es gibt also ein paar Vorbedingungen um so ein Szenario erfolgreich zum Laufen zu bekommen, die leider auch abhängig sind von den Möglichkeiten des verwendeten DSL Routers !
In der Regel ist das der Umgang mit zusätzlichen statischen Routen auf dem verwendeten Internet Router. Das können leider nicht alle Consumer DSL Router !
Bei vielen Billigsystemen wird auf dieses Feature aus Preisgründen einfach verzichtet. Es macht also durchaus Sinn sich VOR dem Kauf darüber zu informieren ob das anvisierte Routermodell das supportet oder nicht, will man so ein Netzwerk wie das obige realisieren !!!
Als Daumenregel gilt: Router die statische Routen nicht unterstützen im Setup sind meist auch sonst schlecht oder mangelhaft in der Ausstattung mit Features also besser: Finger weg davon !!
Leider kann man sich nicht immer gegen Provider "Zwangsrouter" wehren die oft nur eine simple Minimalausstattung an Bord haben. Leider gilt das auch oft für die Sicherheit wie die Router Skandale belegen. Es ist also immer hilfreich auch zur eigenen Sicherheit über einen Tausch solcher Router nachzudenken.
Router mit einem guten Featureset wie Mikrotik oder freier Firmware wie OpenWRT oder DD-WRT sind hier erste Wahl.
Wie man aus diesem Dilemma herauskommt wenn man schon so ein simples Routersystem besitzt, der keine zusätzlichen statischen Routen supportet, zeigt dieses Tutorial in einem späteren Kapitel...
1.) Beide IP Segmente (Netzwerkkarte-1 und Netzwerkkarte-2) müssen unbedingt in unterschiedlichen IP Netzen sein !!
Der RFC-1918 gibt allen Netzwerk Admins 3 komplette IP Adressbereiche aus denen man sich bedienen kann:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Man muss also nicht immer die banalen allerwelts 192.168er Adressen verwenden was auch sehr kritisch sein kann beim Einsatz von VPN ! Man schützt im Gegenteil noch zusätzlich sein Netzwerk mit entsoprechend individuellen IPs vor klassischen Angriffen auf diese Allerwelts IPs.
Kombinationsbeispiele: (Hier mit der Angabe der IP Netze !)
Also z.B. NIC1 = 192.168.1.0, Maske: 255.255.255.0, NIC2 = 172.16.1.0, Maske: 255.255.255.0
oder
NIC1 = 192.168.1.0, Maske: 255.255.255.0, NIC2 = 192.168.2.0, Maske: 255.255.255.0
oder
NIC1 = 10.0.1.0, Maske: 255.255.255.0, NIC2 = 10.0.2.0, Maske: 255.255.255.0
oder...oder...
(Die Beispiel oben beziehen sich auf die Kombination der IP Netzwerke, deshalb die Angabe einer "0" im Hostanteil der Adresse. Alle Hostbits der IP Adresse auf "0" bzeichnet immer das IP Netz !
Im reellen Betrieb müssen hier natürlich Host Adressen vergeben werden für die Endgeräte !
Beispiel: NIC1 = 192.168.1.254, Maske: 255.255.255.0, NIC2 = 172.16.1.254, Maske: 255.255.255.0 (analog für die anderen Beispielnetze..)
2.) Die NIC Adressen des Servers/PCs der auch ein Routing ausführt sollten statisch sein, denn der Server/PC ist ja ebenfalls ein Router und dynamische Adressen die per DHCP (DHCP Server im DSL Router) an ihn verteilt würden, könnten die statischen Routen aushebeln und zum Nichtfunktionieren des Netzes führen !!
Wichtig: Die statischen IP Adressen sollten immer außerhalb der DHCP Range des DSL Routers liegen, um IP Adresskonflikte und Doppelbelegungen zu vermeiden (Fehlfunktion) !! Also immer vorher im Websetup des Routers unbedingt nachsehen wie dieser DHCP Adressbereich eingeteilt ist und ihn bei Bedarf verkleinern sollte er den gesamten IP Hostbereich im Netz umfassen !!! Generell sollte man das so oder so IMMER anpassen um einen gewissen Pool von festen IP Adressen im Netzwerk zur Verfügung zu haben !
Diese Regel gilt sowohl für LAN als auch WLAN Interfaces, sollte einer der Links ein WLAN sein.
3.) Der Router muss den Eintrag zusätzlicher statischer Routen supporten. Kann er das nicht, wie einige Billigstprodukte, muss man mit einem „NAT Trick“ arbeiten. Dazu später unten mehr...
4.) Alle Adressen im „Client Segment“ müssen statisch vergeben werden, da hier ja kein DHCP Server vorhanden ist. (Ausnahme: man lässt einen separaten DHCP Server dafür auf dem Server/PC laufen.)
5.) Statische Routen auf dem Server/PC selber sind NICHT erforderlich !!! (Der Server/PC Rechner kennt ja alle IP Netze, da sie an ihm ja selbst direkt angeschlossen sind !
Ein Fakt zu dem im Forum hier vielfach Falschinformationen gepostet werden !!!
Das Routing von VLANs auf einem VLAN Switch mit nur einer 802.1q Tagging fähigen Netzwerkkarte im PC/Server bzw. Router oder Firewall beschreibt ein gesondertes Tutorial in Anlehnung an diesen Inhalt:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
bzw.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
mit einem externen Router.
Oder ohne externen Router direkt auf einem Layer 3 fähigen VLAN Switch
(Alle Adressen sind Beispiele und müssen bei Bedarf an vorhandene IP Netzaddressierungen angepasst werden) Bei einer Installation "auf der grünen Wiese" kann man sie aber so problemlos übernehmen !
IP Netzwerk an Netzwerkkarte-1 (Router-Segment) = 192.168.1.0, Maske: 255.255.255.0 (Hostadresse = .0 bezeichnet immer das Netzwerk selber !)
IP Host Adresse DSL Router: 192.168.1.1 (Wird als Standardgateway eingetragen)
Dann ist die IP Host Adresse der Server NIC1 z.B. die: 192.168.1.254
IP Netzwerk an Netzwerkkarte-2 (PC-Segment) = 172.16.1.0, Maske: 255.255.255.0
Dann ist die IP Host Adresse der Server NIC2 z.B.: 172.16.1.254 (Maske 255.255.255.0)
Gateway und DNS Eintrag bleibt hier leer !
Ohne statische IP Adressvergabe kann natürlich im PC Segment auch DHCP zum Einsatz kommen. Setzt man einen 2k oder 2k3 Serveroder Linux ein haben diese es gleich mit an Bord.
Ist der Verbindungs PC mit den 2 NICs ein XP Rechner der von sich aus ja keinen DHCP Server an Bord hat, kann man z.B. einen kleinen DHCP Server wie diesen:
https://www.dhcpserver.de/cms/
zum automatischen Bedienen des PC Segmentes mit IP Adressen benutzen !
Da das Routing (IPv4 Forwarding) per Default deaktiviert ist, muss man es bei Windows Systemen (und auch bei Linux) explizit einschalten !
Ohne diese Routing Aktivierung ist eine geroutete IP Verbindung über einen Server/PC nicht möglich da IPv4 Forwarding (Routing) in allen Betriebssystemen in der Regel im Default immer deaktiviert ist !!!
Details zur ICS (NAT) Konfiguration weiter UNTEN im Tutorial !
indem man das "#" vor der Zeile net.ipv4.ip_forward=1 entfernt und somit das IP Forwarding/Routing aktiviert.
Danach sichert man diese Datei und rebootet den Linux Rechner.
Analog gilt das für Unix Derivate wie Apple Mac OS-X das dafür aber einen entsprechenden Button in den Systemeinstellungen unter Netzwerk hat.
Reine Linux Networking und Firewall Distros wie z.B. pfSense oder OPNsense haben diesen Parameter immer schon per Default aktiviert !
Nun gibt man den Clients im Client Segment statische IP Adressen. (Entfällt natürlich bei DHCP Betrieb !) Am Beispiel eines Clients sind das folgende IP Adress Settings folgend dem obigen IP Beispiel:
(Dies entfällt natürlich sollte der routende PC/Server selber eine DHCP Funktion aktiv haben !)
IP Adresse: 172.16.1.1, Maske: 255.255.255.0, Gateway: 172.16.1.254 (Der Server/PC ist ja Router !)
DNS Server: 192.168.1.1
(Diese DNS IP Adresse ist unbedingt statisch einzugeben sonst funktioniert keine Namensauflösung im Client Segment !
Der DSL Router ist meist DNS Proxy so das er hier eingetragen wird ! (Ist er es nicht, muss hier die DNS IP Adresse des Providers konfiguriert werden die man ergoogeln kann !!)
Ist der Server selber DNS Server bzw. Proxy DNS dann wird am Client als DNS Adresse natürlich die Serveradresse des Client Segments eingetragen (hier im Beispiel dann die 172.16.1.254 !)
Dazu MUSS man aber sicherstellen das am Server der DNS Dienst aktiviert ist und eine DNS Weiterleitung auf den Router bzw. die Provider DNS Adresse eingetragen ist !
Dazu geht man bei Windows am Server in die DNS-Verwaltung, dann:
Rechtsklick auf den DNS-Server und Eigenschaften.
dort unter "Weiterleitungen"
unten eintragen: <Router_IP>, <Provider_DNS_IP> und jeweils auf "hinzufügen".
Bei Linux ist das /etc/resolv.conf.
Der Internet Router kann das IP Segment (Clients, hier 172.16.1.0 /24) hinter dem Server / PC nicht kennen (woher auch..?)
Man muss ihm also nun beibringen wie er Packete ins Client Segment schicken kann !
Der Koppelrouter der ihm seine Packete dahin weiterleitet ist ja der Server oder PC selber mit den IP Segmenten an NIC1 und NIC2.
Folglich also, muss man dem Internet Router die Server / PC IP Adresse im gleichen IP Segment des Internet Routers als Ziel angeben für IP Packete in das 2te Client Netz !!!
Dieser Punkt ist unbedingt zu beachten und wird oft vergessen !!! Ohne diese statische Route funktioniert dieses Szenario NICHT !!! Oder...
ausschliesslich nur dann wenn NAT (Adress Translation oder ICS/Masquerading) auf dem routenden PC/Server mit den 2 NICs verwendet wird.
(Siehe dazu weiter unten den Punkt: "Was machen Anwender deren DSL Router keine zusätzlichen statischen Routen supporten ?..." das diese Variante der Einstellung genau betrachtet !!)
Im Folgenden ist einmal sehr detailiert der (geroutete) Weg eines IP Paketes beschrieben das aus dem Clientnetz via Router ins Internet geht. Es lohnt sich diesen Abschnitt zu lesen für das Verständnis des Routings in so einem Netz (wirklich !):
Damit man einmal sieht wie das alles zusammen spielt, ist hier eine kleine Ablaufbeschreibung der "Reise" eines solchen IP Paketes am Beispiel eines Pings vom Client mit der IP 172.16.1.1 zum Internet Router mit der Adresse 192.168.1.1 angefügt: (Die Variante inklusive NAT findet sich hier !)
Soviel zur Routing Funktion.... Nicht anders als wenn man mit dem Auto von A nach B fährt.
Lösung für Anwender deren Internet Router keine zusätzlichen statischen Routen supporten:
Erstmal ist das schlecht aber es gibt einen Workaround mit der Funktion Internetverbindungsfreigabe (ICS) oder NAT Basisfirewall (Win Server) unter Windows. (Unter Linux ist das NAT/PAT oder "Masquerading" mit ip_tables)
Auf der NIC-1, also dem Segment zum DSL Router, muss diese ICS Funktion aktiviert sein !
Der Server/PC macht dann ein NAT (Network Adress Translation) zum IP Segment, NIC-1 in dem sich der Internet Router befindet. Er setzt also das gesamte Netz der NIC-2 auf seine IP Adresse an der NIC1 um, ähnlich dem was DSL Router mit ihrem lokalen LAN Netz zum Internet hin machen.
Durch diese IP Adressumsetzung "sieht" der Internet Router das Netz an NIC-2 nicht mehr, denn alle Absender von NIC-2 tauchen so bei ihm mit einer NIC-1 IP Adresse auf.
Nachteil mit ICS/NAT ist dann aber das das Routing durch die NAT Firewall eine Einbahnstrasse ist.
Um ICS/NAT zu aktivieren bei Windows klickt man dazu auf die erweiterten Eigenschaften der NIC im IP Netz des Internet Routers und setzt den Haken bei Gemeinsame Nutzung der Internetverbindung.
Dann wählt man danach den Heimnetz Adapter aus, was dann logischerweise die NIC-2 des Clientsegments ist !
Damit ist ICS (Windows NAT) konfiguriert.
Windows vergibt bei Aktivierung der ICS Funktion automatisch IMMER die 192.168.0.1 bzw. Windows 7 und höher die 192.168.137.1 als IP Adresse auf dem sog. Heimnetz (Clientsegment) wie Windows es nennt !
Dieses Verhalten der festen IP Adress Vorgabe ist nur bei Windows so !! (Linux hat das nicht !)
Diese Adresse und auch das Netz selber darf NICHT nachträglich geändert werden, denn das führt sofort zum Nichtfunktionieren von Microsofts ICS (NAT) Funktion auf dem PC/Server !!
Man muss also zwangsläufig mit dieser Adressierung im Clientsegment leben und seine IP Adressen ggf. entsprechend anpassen.
Der ICS Rechner arbeitet bei aktiviertem ICS auch immer automatisch als DHCP Server und vergibt dann dynamisch IP Adressen in diesem, von Microsoft festgelegten, ICS Client Netz 192.168.0.0 /24 bzw. 192.168.137.0 /24.
Eine statische IP Adressvergabe ist nicht mehr ratsam weil der ICS DHCP Server nicht konfigurierbar ist und es somit zu gefährlichen IP Adressdoppelungen kommen kann !
Besser also hier KEINE statischen Adressen verwenden, oder wenn dann, immer im unteren IP Adressbereich (192.168.0.10, .12, .13 usw.), da der ICS DHCP bei .252 rückwärts arbeitet.
Niemals die 192.168.0.1 bzw. 192.168.137.1 statisch vergeben, denn das ist der PC selber und die IP ist durch MS im ICS Setup festgelegt !!
Eine saubere ICS Konfuration sähe dann so aus:
Wie man ICS/Internet Sharing bei Windows aktiviert ist HIER_in_diesem_Tutorial noch einmal ganz genau beschrieben !
Der Router sieht jetzt durch ICS NAT keine Packete mehr aus dem Segment der NIC2 (die werden ja umgesetzt auf die IP Adresse von NIC1) und benötigt folglich auch keine statische Route mehr, da der Router ja keine Adresse aus dem NIC2 Segment mehr sieht und Traffic dahin wie lokaler Traffic behandelt wird, da die NAT Adresse ja eine lokale ist.
ICS/NAT beim Windows Server
Beim Windows Server ist die ICS Funktion in der NAT Basisfirewall versteckt, im Setup unter Routing und RAS !!!
Sowie diese NAT Firewall aktiv ist auf einem der Adapter wird dort wie oben bei anderen Windows Versionen ein NAT gemacht !!!
Letztendlich macht man so immer ein doppeltes NAT, einmal auf dem Server und ein 2tes Mal auf dem Router ins Internet, was eigentlich überflüssig und auch fehlerbehaftet sein kann. Vom Performanceverlust mal gar nicht zu sprechen.
D.h. bei NAT wird das gesamte Client IP Netzwerk (Quell IP Adresse) auf die IP der Server NIC umgesetzt und so das Client Netz gewissermaßen versteckt hinter der IP der Server NIC. Nur diese Server IP ist nach außen sichtbar und nicht wie beim normalen Routing sonst üblich die originale Quell IP Adresse !
Genau der Vorgang den auch ein DSL Router ins Internet macht. Auch der setzt das lokale IP Netzwerk komplett um auf seine öffentliche xDSL oder Kabel Provider IP so das das lokale Netzwerk nicht mehr auftaucht. Klassische Netzwerk Adress Translation also !!
Logischerweise ist die NAT Firewall so von außen nicht zu überwinden ohne ein Port Forwarding.
Folglich können in einem NAT Szenario keine Verbindungen von außen oder dem Router Segment zum Client Segment gemacht werden. Eine Netzwerk "Einbahnstrasse" also.
Das ist nur möglich in einem normal gerouteten Netzwerk OHNE ICS/NAT oder aktiver NAT Basisfirewall im Windows Server !
Nochmals zur Klarstellung:
ICS/NAT nur dann verwenden wenn man es wirklich muss !!
Bevorzugt werden sollte immer ein natives und transparentes Routing ohne Aktivierung der ICS/NAT Funktion unter MS ! Es sollte also wenn möglich und gewollt immer diese Variante konfiguriert werden.
ICS ist lediglich ein "Notnagel" für Benutzer die einen Billigstrouter haben oder verwenden, der KEINE Funktion bzw. Option zur Konfiguration von statischen IP Routen in seinem Setup hat. Oder wer das 2te Netz mit einer NAT Firewall willentlich abtrennen möchte und damit eine Routing "Einbahnstrasse" in Kauf nimmt.
Einige der gravierenden Nachteile, wie die Verwendung von statischen IPs, durch die Unkontrollierbarkeit des Windows ICS DHCP Prozesses sind oben schon genannt worden. Es gibt aber weitere Nachteile:
Die Routing Lösung ist also in jedem Falle immer zu bevorzugen.
Eine weitere Option ist unter Windows das Bridging zwischen beiden LAN Segmenten. Dafür muss man aber zwangsweise mit gleichen IP Adressen bzw. im gleichen IP Netz arbeiten in beiden Segmenten.
Diese Bridging Lösung sollte man, wenn immer möglich, durch die hohe Broad- und Multicastcast Belastung des Servers/PC vermeiden !
Im Zweifelsfall IMMER lieber für ein paar Euro einen neuen Router erwerben (z.B. Mikrotik, siehe unten) der statische Routen supportet.
Technisch ist das immer besser als eine Frickellösung mit Bridging oder ICS NAT !!!
Dieses Problem tritt häufig auf wenn es gewünscht ist einzelnen PCs im Client Segment LAN-2 remote aus dem Internet fernzubedienen mit VNC oder RDP z.B.
Meist taucht das Problem auf, das dies am Router so ohne weiteres nicht zu konfigurieren ist, da die lokale IP Adresse, die in die Port Forwarding (oder Port Freigabe) Tabelle des Routers eingetragen werden muss, ja nicht im lokalen IP Netz des Routers liegt.
Viele Consumer Router verweigern hier die Zusammenarbeit und ignorieren das Konfig Kommando in der PFW Tabelle oder führen das Port Forwarding schlicht nicht aus und das trotz korrekter statischer Route hier, die eigentlich das Zielnetz bekannt macht auf dem Router.
Meist ist das ein Bug in der Routerfirmware oder dadurch eben einfach schlicht nicht supportet. Ein Umstand mit dem man leider im Consumer Bereich häufig leben muss....
Es gibt aber wie (fast) immer einen Ausweg:
Man leitet mittels der o.a. Port Forwarding Liste am Router die z.B. VNC Packet (Port TCP 5900) oder RDP (Port TCP 3389) oder oder.. an die Server IP Adresse im Routersegment LAN-1.
Dort am Server, konfiguriert man dann ein Port Forwarding (Weiterleitung) auf die Clients bzw. dessen IP Adresse. Wie das geht beschreibt die MS Knowledgebase unter:
http://technet2.microsoft.com/WindowsServer/de/Library/6dd18466-d9dc-43 ...
Beim Windows Server und Verwendung der NAT/Basisfirewall ist diese Funktion etwas versteckt:
Routing und RAS -> ServerName (lokal) -> IP-Routing -> NAT/Basisfirewall
Im rechten Teilfenster klickt man mit rechts auf die Verbindung, mit der man mit dem Internet verbunden ist (meist „Netzwerkverbindung“) und wechselt im aufpoppenden Fenster auf „Dienste und Ports“. Dies ist nur verfügbar, wenn die Verbindung mit einer Firewall geschützt ist.
Ein Klick auf „Hinzufügen“ und man kann Portfreigaben und Portweiterleitungen eintragen !
Bei Linux machen das entsprechend die ip tables (oder den moderneren nftables) Einstellungen am Interface für die es zuhauf HowTos im Internet gibt.
Damit ist auch eine remote Steuerung aus dem Internet von Endgeräten im Netz LAN-2 gegeben ! Im Segment LAN-1 funktionieren sie ja sowieso da das direkt am Router hängt.
Auch hier nochmals zum Abschuss der Hinweis: Sowas wie Port Weiterleitung ist nur erforderlich wenn man einen dummen Router hat der keine statischen Routen supportet und man gezwungen ist NAT/ICS einzusetzen !
In jedem Falle ist die reine Routing Lösung ohne NAT/ICS vorzuziehen bei der sowas nicht erforderlich ist !
Dieses Thema und seine Lösung behandelt ein separates Tutorial von dog auf das an dieser Stelle verwiesen wird:
Probleme mit Multihomed DCs vermeiden
Das sowohl das IP LAN Segment NIC1 als auch LAN Segment NIC2 durch eine entsprechende WLAN Infrastruktur mit oder ohne WLAN Accesspoint ersetzt werden kann ist klar ! Die Prozedur der IP Einrichtung wie oben beschrieben ist absolut gleich.
Designs können so aussehen (Variante 1)
...oder das WLAN als Client Segment (Variante 2)
Eines dieser typischen WLAN Designs beschreibt der folgende Thread HIER im Forum !
Attis Tutorial von oben geht dort genauer drauf ein, die Vorgehensweise ist immer dieselbe wie oben beschrieben.
Eine interessante Alternative ist das Client Segment per WLAN ohne WLAN Accesspoint aufzusetzen.
Dazu betreibt man Server/PC und Clients im sog. WLAN Ad Hoc Mode ohne Accesspoint. Auch das ist problemlos möglich wie DIESER Thread hier u.a. beschreibt.
Unterschiedliche Designs der Infrastruktur gibt es zuhauf, das Vorgehen zum Routing aber ist immer gleich !
Natürlich ist auch ein Routing zwischen den LAN Segmenten ohne einen Rechner mit Linux oder Windows OS problemlos möglich. Aus technischer Hinsicht und aus Gründen des Energieverbrauches ist das klar die bessere Alternative.
Einfacher Grund ist das die Erreichbarkeit im netzwerk dann nicht mehr von der Verfügbarkeit des Servers abhängig ist.
Die Router Lösung ist auch schon aus Stromverbrauchsgründen sehr sinnvoll bei Dauerbetrieb. (Max. 15 Euro Stromkosten pro Jahr !) zudem sollte in der Netzwerk Infrastruktur IMMER ein dedizierter Router diese Funktion übernehmen.
Klassische Szenarien zum Verbinden mehrerer IP Netze sehen z.B. analog zu den PCs so aus:
Ein VLAN basiertes Routing mit einem sog. "Lollipop Router" (Router oder Firewall am Lollistiel oder "one armed" Router) in Verbindung mit einem nicht routingfähigen VLAN Switch und mehreren LAN Segmenten die als VLANs ausgelegt sind, zeigt die folgende Abbildung:
Generell reicht dafür ein alter, ausrangierter PC, besser aber ein kleines Mini ITX Board mit oder eins der klassischen 5 Port Applianes die es bei den einschlägigen Versendern gibt.
Eine genaue Anleitung zum Aufbau eines solchen Systems ist u.a. HIER zu finden:
Ideal dafür sind auch preiswerte Router der Fa. Mikrotik die noch erheblich mehr Features wie 5 Routing Ports (10 Ports z.B. beim Modell 2011), Dual Band WLAN usw. für sehr kleines Geld bieten:
http://varia-store.com/Wireless-Systeme/MikroTik-RouterBoard/MikroTik-R ...
Oder die 1 GiG Variante:
http://varia-store.com/Wireless-Systeme/MikroTik-RouterBoard/MikroTik-h ...
Beide Mikrotik Systeme gibt es auch ohne WLAN.
Es gibt keinen WLAN Router am Markt der so flexibel einsetzbar ist zu diesem Preis (ca. 40 Euro) bzw. in der Gigabit Variante wie die Mikrotik Modelle.
Anspruchsvollere Netzwerker nehmen ein Mikrotik System der 2011er Reihe:
Dieser Router bietet mehr Gigabit Ports und zudem ein grafisches Touch Panel an der Fronseite die immer einen Überblick über die Traffic Auslastung gibt.
Allerdings sollte man nicht vergessen das die Mikrotik Router etwas Netzwerk Basiswissen erfordert, da die Fülle der Funktionen auf diesem System Netzwerk Anfänger oft überfordert.
Ebenfalls prädestiniert sind flexible Consumer Router die mit der quelloffenen Firmware OpenWRT oder DD-WRT arbeiten.
Die folgenden Abschnitte dieses Tutorials beschreiben im Detail wie so ein System selbst konfiguriert werden kann. Für Laien bietet sich die Möglichkeit für sehr wenig Geld ein Fertiggerät zu kaufen, das dann nur noch per Webinterface und ein paar Mausklicks konfiguriert werden muss:
Die Firewall Funktion bietet noch zusätzliche Sicherheiten wenn die Kommunikation z.B. nur auf Drucker- oder Serverzugriff oder andere Dienste beschränkt werden soll !
Alle Systeme bieten ein modernes grafisches Setup Interface via Webbrowser, was die Installation sehr einfach macht.
Der Linksys WRT54 DSL Router mit alternativer DD-WRT Firmware oder ein modernerer TP-Link WR841N ist aber auch ein gangbarer Weg, da er mit der freien DD-WRT bzw. OpenWRT Firmware wie die o.a. System auch eine abschaltbare NAT / Masquerading Funktion hat und so als transparenter Router betrieben werden kann.
⚠️ Ein Wort der Warnung:
Billige DSL Router ohne integriertes DSL Modem, die nicht auf alternative, offene Firmware Versionen geflasht werden können, eignen sich nur sehr bedingt für das o.a. Szenario, da man die NAT Funktion (IP Network Adress Translation) dort so gut wie immer nicht abschalten kann.
Routing wird mit NAT immer zur Einbahnstrasse zwischen den IP Netzen, da ein aktives NAT den gerouteten Weg ins 2te Netz verhindert !
Ein Problem Klassiker der gefühlt fast täglich hier im Forum aufläuft, weil leider oft dieser Nachteil beim Kauf NICHT bedacht wird !
Diese generelle NAT Problematik erläutert auch dieser_Heise_Artikel im letzten Abschnitt unter "Internes":
Es gibt also bei kleinen Netzdesigns immer genug preiswerte Alternativen zu einen ggf. teuren Layer 3 Routing Switch oder einem teuren Server mit hohem Stromverbrauch.
Als Router lässt sich dafür z.B. die kostenlose Firewall pfsense verwenden.
Wie das geht ist bereits ausreichend HIER und auch HIER beschrieben.
Die pfSense/OPNsense Firewall hat ein paar Vorteile:
Für den Dauerbetrieb empfehlen sich daher die APU oder miniITX Lösung aus Gründen des Stromverbrauchs und der Kühlung.
Wie oben bereits erwähnt ist eine der preiswertesten Möglichkeiten zwischen LAN Segmenten zu Routen das Mikrotik Router, zu dem es hier im Forum schon einen Erfahrungsbericht von @dog gibt.
Das ist ein fix und fertiger, kleiner sehr preiswerter 5 Port Router:
https://www.varia-store.com/de/produkt/97209-rb941-2nd-routerboard-hap-l ...
bzw. ohne WLAN:
https://varia-store.com/de/produkt/31133-mikrotik-routerboard-rb750r2-he ...
oder die Variante mit Gigabit Ethernet:
https://varia-store.com/de/produkt/31532-mikrotik-routerboard-hex-mit-88 ...
bzw. mit Glasfaseranschluss:
https://www.varia-store.com/de/produkt/97947-rb760igs-hex-s-mit-dual-cor ...
...den man dann nur noch konfigurieren und mit seinen IP Netzen verbinden muss.
Mit dem Mikrotik wird mit der "WinBox" ein sehr komfortables Setup Tool für Windows mitgeliefert mit dem die Installation im Handumdrehen erledigt ist. Außerdem verfügt der Router zusätzlich über ein WebGUI und ein normales Telnet / SSH CLI.
Für eine transparente Routing Funktion ohne NAT sollte man vorher die Default Konfig löschen:
Das geht entweder per Telnet (Putty) mit dem menügesteurten Kommando /system reset-conf skip-backup=yes no-defaults=yes die die werkseitige Default Konfig (4 Port Switch plus 1 NAT Routerport) deaktiviert und einen simplen 5 Port Router aus dem Mikrotik machen.
Analog und einfacher funktioniert es mit dem gafischen Winbox Konfigurations Tool oder übers WebGUI:
Ohne diese Default Konfig hat man dann einen "nackten" und transparenten 5 Port IP Router vor sich der dann max. 5 (mit VLANs entsprechend mehr) separate IP Netze egal ob LAN oder WLAN routen und auch bridgen kann.
Über das WinBox Tool weist man dann den Interfaces einfach eine IP Adresse des zu routenden Segmentes zu und fertig ist der Router.
Bewährt haben sich Router IP Adressen die immer "ganz oben" oder "ganz unten" z.B. 172.16.1.254 /24 oder 172.16.1.1 /24 im Adressbereich liegen.
So vermeidet man Überschneidungen mit Endgeräte Adressen und DHCP Pools und kann sich die wichtigen Router IPs leicht merken.
Die folgende Abbildung zeigt ein Beispiel für 3 Interfaces :
Anhand der Featureliste im WinBox Tool links sieht man sofort das auch VLANs supportet sind die ein VLAN Routing über 802.1qTrunks ermöglichen und auch der Support von dynamischen Routing Protokollen wie RIP, OSPF usw. ist problemlos möglich. Firewall Funktionen runden die Featureliste ab.
Das Mikrotik Forum bietet zudem eine Fülle an Beispielkonfigs für bestimmte Anwendungen.
Für seinen Anschaffungspreis (ca.40 € Strassenpreis) ist der Mikrotik Router unschlagbar für solche (und andere) Szenarios.
Auch in Bezug auf den Energieverbrauch. Er sollte deshalb immer erste Wahl sein um so ein Routing Design zu realisieren und nicht einen Server mit Routing zusätzlich zu belasten !
Soll zum Routing auch noch Security (Zugangslisten) und VPN dazukommen ist die pfSense Lösung ggf. vorzuziehen.
Ebenso preiswert und ein Klassiker mit Open Source Routing, ist die freie Router Firmware OpenWRT die auf einer Vielzahl von Routern supportet ist.
OpenWRT ist eine Firmware die wie DD-WRT offen und nicht proprietär ist. Vor dem Hintergrund der in letzter Zeit sehr zahlreichen Router Skandale wie dem FritzBox Firmware Bug und den offenen Ports viele anderer Router wie sie z.B. hier beschieben ist, ist OpenWRT generell eine sehr gute Alternative für einen sicheren und durch die Software Modularität extrem flexibelen Heimrouter.
OpenWRT lässt sich durch sog. SW Packages, wie man sie auch bei der Firewall pfSense kennt, sehr flexibel erweitern und auf persönliche Bedürfnisse anpassen. Man kann z.B. mit einem Mausklick VPN Support auf dem Router hinzufügen.
Die Optionen sind sehr vielfältig und OpenWRT eine ideale und zudem sehr preiswerte Plattform für solche Experimente.
Das solche Flexibilität an Routerfunktionen nicht teuer sein muss zeigt das folgende Beispiel, denn als Hardware für die OpenWRT Variante verwendet dieses Tutorial einen TP-Link_WR841N für ca. 17 Euro Strassenpreis !
Bei diesen sehr geringen Kosten kann sich auch ein Netzwerk Anfänger angstfrei an Experimente mit dem Router heranwagen, denn preiswerter ist so eine LAN Kopplung derzeit nicht zu realisieren.
Der WR841 kommt in 2 Modellen daher einmal als "N“ und einmal als "ND“.
Das zusätzliche "D“ steht für "detachable“ und weisst daraufhin, das die WLAN Antennen beim „D“ Modell abnehmbar sind um z.B. externe Antennen für den Außeneinsatz (Richtfunk etc.) anzuschliessen. Beim nicht „D“ Modell sind sie fest mit dem Router verbunden. Ansonsten ist die HW der beiden Modelle vollkommen identisch !
Los gehts….
Zuallerst geht es an das Flashen der Firmware was mit ein paar Mausklicks über das grafische Router Setup erledigt ist.
Die Firmware lädt man von der OpenWRT Seite: http://wiki.openwrt.org/toh/tp-link/tl-wr841nd
Aktuelle Hardware ist in der Regel die HW Version 8.x. Sicher ist aber nochmal das Modellschild am gehäuse daraufhin zu überprüfen !
Über das Websetup des WR841 wählt man den Menüpunkt „Firmware Update“, wählt die OpenWRT Firmware Datei aus und klickt auf OK.
Der Router flasht die OpenWRT Firmware automatisch und ist nach ca. 3 Minuten unter der IP 192.168.1.1 wieder im Websetup erreichbar.
Da der WAN Port (hier im Tutorial für das 2te IP Netzwerk !) im Default auf PPPoE (DSL Access) steht muss dieser zuerst auf Static für eine statische IP Adresse umgeschaltet werden. Mit Klick auf "switch protocoll“ erhält man die dafür nötigen Eingabefenster:
Hier im o.a. Screenshot würde gleich der DHCP Server für das 2te IP Netzwerk aktiviert um dort ebenfalls dynamisch IP Adressen an Endgeräte zu vergeben.
Da der Router im Default mit einer Internet Konfig hochkommt ist am WAN / Internet Port eine Firewall mit NAT (IP Adress Translation) aktiv.
Wer das 2te Netz abtrennen möchte belässt alle Einstellungen dort und ist mit dem Setup fertig.
In der Regel kann man aber die Firewall nicht gebrauchen, da man ja transparent routen möchte zwischen beiden Netzwerken.
Folglich muss man im Firewall Setup nun das NAT (Masquerading) deaktivieren und die Weiterleitungsregeln (Forwarding) auf Accept setzen.
Mit einem Klick auf „Save and Apply“ sind diese Settings aktiv und der 17 Euro Router routet zwischen diesen beiden Netzen !
Fortgeschrittene Nutzer können den konfigurierten Switch über die 4 Ethernet Ports auflösen und dann mit max. 5 Ports routen.
Zusätzlich ist der Router auch VLAN fähig, kann also auf einem VLAN tagged Interface auch zwischen mehreren VLANs routen. Details zu diesem Setup findet man hier
Grundlagen zu Router Kaskaden
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Kaskaden mit mehreren Routern:
Programm gesucht Nachbildung und Testen von Netz
2 IP Netze per WLAN verbinden
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Zwei Netzwerke zusammen schalten aber wie?
Praxisbeispiel 2 Netze u. 2 Internet Router ohne statisches Routing
Routing zwischen verschiedenen Netzen
Routing Frage, statisch?
VLAN Routing zw. IP Netzen mit VLAN Switches
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
FritzBox und Mikrotik Routing Beispiel
Kopplung von 2 IP-Netzen, Zugriff via VPN
Mikrotik Routing Beispiel
Mikrotik für VLAN einrichten
Port Forwarding mit FritzBox-pfSense Kaskade
Webserver hinter pfSense nur aus lokalen Netzwerken erreichbar
FritzBox Port Forwarding in geroutete IP Netze:
Keine Portfreigaben FritzBox 7490 mit aktueller FW 6.80 in Subnetze ?
2 IP Netze über Cisco IOS Router:
Routing zwischen 2 Subnetzen über einen Cisco Router (1800er Series)
Mikrotik Multicast Routing für TCom Entertain IP-TV:
Speedport W 724V + Routerboard 450G + VDSL (all IP) + Entertain
UPNP mit Mikrotik Routerboard hEX PoE und D-Link DGS-1210-24 Switch
Fehlersuche im lokalem Netzwerk (RSTP, MRP, Multicast)
Ein Firewall Router mit pfSense
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mit einem Raspberry Pi zwei IP Netze routen:
Routingproblem in Homerouter-Kaskade mit Raspi
VLAN Routing mit Mikrotik auf HP ProCurve Switch im Detail:
Routerboard RB 750GL + TP-Link TL-SG3424 VLAN Konfiguration
VLAN Einrichtung und Routing an Windows PC oder Server NIC
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Linux VLAN Konfig am Beispiel Raspberry Pi / Debian / Ubuntu:
Netzwerk Management Server mit Raspberry Pi
Redundantes Routing Umfeld mit VRRP:
VRRP Einrichtung
Netzwerkkarte ICS / NAT Einrichtung:
Fritzbox mit Fremdnetz verbinden
Policy Based Routing mit Cisco IOS und Mikrotik:
Cisco Router 2 Gateways für verschiedene Clients
Policy based Routing mit Mikrotik 750 (Mikrotik)
Internet und Gastnetz Routing mit xDSL und Cisco 886:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Subnetze dynamisch routen mit OSPF (Mikrotik):
Netzwerktopologie - mehrere Werke
IPv6 mit FritzBox Kaskade auf pfSense:
https://www.altmetaller.de/ipv6-pfsense-hinter-fritzbox-6360-kabel-deuts ...
Inhaltsverzeichnis
Einleitung
Dieses Tutorial ist eine kurze Anleitung zur Kopplung von 2 Netzsegmenten (Ethernet oder WLAN) über einen Rechner mit 2 Netzwerkkarten. Dieser Rechner kann ein Server oder ein normaler PC sein. Das Netzwerkhandling und die IP Adressierung ist immer dasselbe. Auch ob das verwendete OS Windows oder Linux ist, ist unerheblich außer das bei Windows ein paar Punkte mehr im Setup zu beachten sind !
Dieses HowTo beschreibt primär eine Kopplung von 2 oder mehr IP Netzen nicht nur auf Basis einer Kupfervernetzung (Ethernetkabel) über einen Rechner mit 2 Netzwerkkarten sondern auch über ein WLAN.
In einem WLAN statt LAN Szenario sind die IP Adresseinstellungen identisch so das dies HowTo auch uneingeschränkt dafür verwendet werden kann ! Lediglich die Settings für WLAN SSID und Verschlüsselung kommen hinzu ! Ein paar Punkte am Schluss dieses HowTos beleuchten mögliche Designs in einem WLAN Umfeld.
Es besteht ferner keine Limitierung auf 2 Netzwerkkarten auch ein Szenario mit 3 oder mehr Karten ist denkbar. Die Konfigurationsschritte sind aber immer die gleichen wie im Folgenden beschrieben.
Der zweite Teil dieses Tutorial beschäftigt sich dann mit der Kopplung über einen dedizierten Router die aus Performancesicht immer der Kopplung über einen Server vorzuziehen ist. Der Server soll "serven" der Router "routen"....
Bei mehr als 3 Netzwerkkkarten sollte man sich immer Gedanken über einen Layer 3 fähigen LAN Switch machen oder immer einen externen-Router verwenden, da dann mit einem Server oder PC aus Performancegründen kein performantes Routing mehr zu empfehlen ist !
Es sei aber zusätzlich auf das sehr gute Tutorial von „Atti“ hier verwiesen, der eine WLAN Kopplung 2er Netze schon sehr detailiert beschrieben hat unter diesem_URL
Wie sieht nun so ein klassisches Szenario aus was hier im Forum sehr oft nachgefragt wird:
(Der rote Router kann hier auch ein Server/PC mit 2 Netzwerkkarten sein!)
Grundlegende Routing Designüberlegungen
Sieht man sich so ein Netzwerk Design einmal etwas genauer an, ist es vereinfacht nichts anderes als ein lokal geroutetes Netz:
(Internet)----(DSL Router)----IP Netz----(Server/PC_als_Router)----IP Netz----(Client)
Der Server/PC der beide IP Netze miteinander verbindet ist also schlicht gesehen nichts anderes als ein weiterer Router bzw. muss IP Routingfunktionen zur Verfügung stellen. Generell ist das immer möglich, allerdings sind diese Funktionen im Normalbetrieb bei Windows und Linux in der Grundkonfiguration immer abgeschaltet und müssen erst aktiviert werden damit so ein Netz fehlerfrei funktioniert !
Es gibt also ein paar Vorbedingungen um so ein Szenario erfolgreich zum Laufen zu bekommen, die leider auch abhängig sind von den Möglichkeiten des verwendeten DSL Routers !
In der Regel ist das der Umgang mit zusätzlichen statischen Routen auf dem verwendeten Internet Router. Das können leider nicht alle Consumer DSL Router !
Bei vielen Billigsystemen wird auf dieses Feature aus Preisgründen einfach verzichtet. Es macht also durchaus Sinn sich VOR dem Kauf darüber zu informieren ob das anvisierte Routermodell das supportet oder nicht, will man so ein Netzwerk wie das obige realisieren !!!
Als Daumenregel gilt: Router die statische Routen nicht unterstützen im Setup sind meist auch sonst schlecht oder mangelhaft in der Ausstattung mit Features also besser: Finger weg davon !!
Leider kann man sich nicht immer gegen Provider "Zwangsrouter" wehren die oft nur eine simple Minimalausstattung an Bord haben. Leider gilt das auch oft für die Sicherheit wie die Router Skandale belegen. Es ist also immer hilfreich auch zur eigenen Sicherheit über einen Tausch solcher Router nachzudenken.
Router mit einem guten Featureset wie Mikrotik oder freier Firmware wie OpenWRT oder DD-WRT sind hier erste Wahl.
Wie man aus diesem Dilemma herauskommt wenn man schon so ein simples Routersystem besitzt, der keine zusätzlichen statischen Routen supportet, zeigt dieses Tutorial in einem späteren Kapitel...
Die wichtigsten Punkte für die Installation
1.) Beide IP Segmente (Netzwerkkarte-1 und Netzwerkkarte-2) müssen unbedingt in unterschiedlichen IP Netzen sein !!
Der RFC-1918 gibt allen Netzwerk Admins 3 komplette IP Adressbereiche aus denen man sich bedienen kann:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Man muss also nicht immer die banalen allerwelts 192.168er Adressen verwenden was auch sehr kritisch sein kann beim Einsatz von VPN ! Man schützt im Gegenteil noch zusätzlich sein Netzwerk mit entsoprechend individuellen IPs vor klassischen Angriffen auf diese Allerwelts IPs.
Kombinationsbeispiele: (Hier mit der Angabe der IP Netze !)
Also z.B. NIC1 = 192.168.1.0, Maske: 255.255.255.0, NIC2 = 172.16.1.0, Maske: 255.255.255.0
oder
NIC1 = 192.168.1.0, Maske: 255.255.255.0, NIC2 = 192.168.2.0, Maske: 255.255.255.0
oder
NIC1 = 10.0.1.0, Maske: 255.255.255.0, NIC2 = 10.0.2.0, Maske: 255.255.255.0
oder...oder...
(Die Beispiel oben beziehen sich auf die Kombination der IP Netzwerke, deshalb die Angabe einer "0" im Hostanteil der Adresse. Alle Hostbits der IP Adresse auf "0" bzeichnet immer das IP Netz !
Im reellen Betrieb müssen hier natürlich Host Adressen vergeben werden für die Endgeräte !
Beispiel: NIC1 = 192.168.1.254, Maske: 255.255.255.0, NIC2 = 172.16.1.254, Maske: 255.255.255.0 (analog für die anderen Beispielnetze..)
2.) Die NIC Adressen des Servers/PCs der auch ein Routing ausführt sollten statisch sein, denn der Server/PC ist ja ebenfalls ein Router und dynamische Adressen die per DHCP (DHCP Server im DSL Router) an ihn verteilt würden, könnten die statischen Routen aushebeln und zum Nichtfunktionieren des Netzes führen !!
Wichtig: Die statischen IP Adressen sollten immer außerhalb der DHCP Range des DSL Routers liegen, um IP Adresskonflikte und Doppelbelegungen zu vermeiden (Fehlfunktion) !! Also immer vorher im Websetup des Routers unbedingt nachsehen wie dieser DHCP Adressbereich eingeteilt ist und ihn bei Bedarf verkleinern sollte er den gesamten IP Hostbereich im Netz umfassen !!! Generell sollte man das so oder so IMMER anpassen um einen gewissen Pool von festen IP Adressen im Netzwerk zur Verfügung zu haben !
Diese Regel gilt sowohl für LAN als auch WLAN Interfaces, sollte einer der Links ein WLAN sein.
3.) Der Router muss den Eintrag zusätzlicher statischer Routen supporten. Kann er das nicht, wie einige Billigstprodukte, muss man mit einem „NAT Trick“ arbeiten. Dazu später unten mehr...
4.) Alle Adressen im „Client Segment“ müssen statisch vergeben werden, da hier ja kein DHCP Server vorhanden ist. (Ausnahme: man lässt einen separaten DHCP Server dafür auf dem Server/PC laufen.)
5.) Statische Routen auf dem Server/PC selber sind NICHT erforderlich !!! (Der Server/PC Rechner kennt ja alle IP Netze, da sie an ihm ja selbst direkt angeschlossen sind !
Ein Fakt zu dem im Forum hier vielfach Falschinformationen gepostet werden !!!
VLAN Routing bzw. VLAN Switches mit Tagged Interfaces
Das Routing von VLANs auf einem VLAN Switch mit nur einer 802.1q Tagging fähigen Netzwerkkarte im PC/Server bzw. Router oder Firewall beschreibt ein gesondertes Tutorial in Anlehnung an diesen Inhalt:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
bzw.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
mit einem externen Router.
Oder ohne externen Router direkt auf einem Layer 3 fähigen VLAN Switch
Was ist zu konfigurieren ???
Ein einfaches Beispiel: Routing mit 2 IP Netzwerken
(Alle Adressen sind Beispiele und müssen bei Bedarf an vorhandene IP Netzaddressierungen angepasst werden) Bei einer Installation "auf der grünen Wiese" kann man sie aber so problemlos übernehmen !
IP Netzwerk an Netzwerkkarte-1 (Router-Segment) = 192.168.1.0, Maske: 255.255.255.0 (Hostadresse = .0 bezeichnet immer das Netzwerk selber !)
IP Host Adresse DSL Router: 192.168.1.1 (Wird als Standardgateway eingetragen)
Dann ist die IP Host Adresse der Server NIC1 z.B. die: 192.168.1.254
IP Netzwerk an Netzwerkkarte-2 (PC-Segment) = 172.16.1.0, Maske: 255.255.255.0
Dann ist die IP Host Adresse der Server NIC2 z.B.: 172.16.1.254 (Maske 255.255.255.0)
Gateway und DNS Eintrag bleibt hier leer !
Ohne statische IP Adressvergabe kann natürlich im PC Segment auch DHCP zum Einsatz kommen. Setzt man einen 2k oder 2k3 Serveroder Linux ein haben diese es gleich mit an Bord.
Ist der Verbindungs PC mit den 2 NICs ein XP Rechner der von sich aus ja keinen DHCP Server an Bord hat, kann man z.B. einen kleinen DHCP Server wie diesen:
https://www.dhcpserver.de/cms/
zum automatischen Bedienen des PC Segmentes mit IP Adressen benutzen !
⚠️ IP Forwarding (Routing) aktivieren bei Windows und Linux Systemen !!!
Da das Routing (IPv4 Forwarding) per Default deaktiviert ist, muss man es bei Windows Systemen (und auch bei Linux) explizit einschalten !
Windows
https://www.edv-lehrgang.de/ip-routing-aktivieren/Ohne diese Routing Aktivierung ist eine geroutete IP Verbindung über einen Server/PC nicht möglich da IPv4 Forwarding (Routing) in allen Betriebssystemen in der Regel im Default immer deaktiviert ist !!!
Details zur ICS (NAT) Konfiguration weiter UNTEN im Tutorial !
Linux ToDos
Unter Linux/Raspberry Pi usw. editiert man mit dem nano Editor die Datei /etc/sysctl.conf und entkommentiert dort den Eintrag: # Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1
indem man das "#" vor der Zeile net.ipv4.ip_forward=1 entfernt und somit das IP Forwarding/Routing aktiviert.
Danach sichert man diese Datei und rebootet den Linux Rechner.
Analog gilt das für Unix Derivate wie Apple Mac OS-X das dafür aber einen entsprechenden Button in den Systemeinstellungen unter Netzwerk hat.
Reine Linux Networking und Firewall Distros wie z.B. pfSense oder OPNsense haben diesen Parameter immer schon per Default aktiviert !
Nun gibt man den Clients im Client Segment statische IP Adressen. (Entfällt natürlich bei DHCP Betrieb !) Am Beispiel eines Clients sind das folgende IP Adress Settings folgend dem obigen IP Beispiel:
(Dies entfällt natürlich sollte der routende PC/Server selber eine DHCP Funktion aktiv haben !)
Client PC Beispiel
IP Adresse: 172.16.1.1, Maske: 255.255.255.0, Gateway: 172.16.1.254 (Der Server/PC ist ja Router !)
DNS Server: 192.168.1.1
(Diese DNS IP Adresse ist unbedingt statisch einzugeben sonst funktioniert keine Namensauflösung im Client Segment !
Der DSL Router ist meist DNS Proxy so das er hier eingetragen wird ! (Ist er es nicht, muss hier die DNS IP Adresse des Providers konfiguriert werden die man ergoogeln kann !!)
Ist der Server selber DNS Server bzw. Proxy DNS dann wird am Client als DNS Adresse natürlich die Serveradresse des Client Segments eingetragen (hier im Beispiel dann die 172.16.1.254 !)
Dazu MUSS man aber sicherstellen das am Server der DNS Dienst aktiviert ist und eine DNS Weiterleitung auf den Router bzw. die Provider DNS Adresse eingetragen ist !
Dazu geht man bei Windows am Server in die DNS-Verwaltung, dann:
Rechtsklick auf den DNS-Server und Eigenschaften.
dort unter "Weiterleitungen"
unten eintragen: <Router_IP>, <Provider_DNS_IP> und jeweils auf "hinzufügen".
Bei Linux ist das /etc/resolv.conf.
Einstellungen am Internet Router
Der Internet Router kann das IP Segment (Clients, hier 172.16.1.0 /24) hinter dem Server / PC nicht kennen (woher auch..?)
Man muss ihm also nun beibringen wie er Packete ins Client Segment schicken kann !
Der Koppelrouter der ihm seine Packete dahin weiterleitet ist ja der Server oder PC selber mit den IP Segmenten an NIC1 und NIC2.
Folglich also, muss man dem Internet Router die Server / PC IP Adresse im gleichen IP Segment des Internet Routers als Ziel angeben für IP Packete in das 2te Client Netz !!!
- Das geschieht auf dem Internet Router mit einer zusätzlichen statischen Route die unbedingt über das Websetup oder CLI Setup des Routers eingetragen werden muss !
Dieser Punkt ist unbedingt zu beachten und wird oft vergessen !!! Ohne diese statische Route funktioniert dieses Szenario NICHT !!! Oder...
ausschliesslich nur dann wenn NAT (Adress Translation oder ICS/Masquerading) auf dem routenden PC/Server mit den 2 NICs verwendet wird.
(Siehe dazu weiter unten den Punkt: "Was machen Anwender deren DSL Router keine zusätzlichen statischen Routen supporten ?..." das diese Variante der Einstellung genau betrachtet !!)
Im Folgenden ist einmal sehr detailiert der (geroutete) Weg eines IP Paketes beschrieben das aus dem Clientnetz via Router ins Internet geht. Es lohnt sich diesen Abschnitt zu lesen für das Verständnis des Routings in so einem Netz (wirklich !):
Paket Walk: "Der Weg eines LAN IP Paketes durch ein geroutetes Netzwerk"
Damit man einmal sieht wie das alles zusammen spielt, ist hier eine kleine Ablaufbeschreibung der "Reise" eines solchen IP Paketes am Beispiel eines Pings vom Client mit der IP 172.16.1.1 zum Internet Router mit der Adresse 192.168.1.1 angefügt: (Die Variante inklusive NAT findet sich hier !)
- 1.) Der Client ist auf dem Netz-2 172.16.1.0 /24 mit der Hostadresse .1 und erhält vom Ping Programm den Auftrag ein ICMP Echo Request Packet (Ping) an den Router 192.168.1.1 in Netz-1 zu schicken via unserem Koppelrouter.
- 2.) Der TCP/IP Stack des Client merkt das diese Zieladresse nicht in seinem lokalen IP Segment ist (anderes Netz !), denn er kennt ja seine eigene IP Adresse und damit sein eigenes IP Netz. Er befragt nun den PC IP Stack ob er ein Default Gateway Eintrag hat, wo er das IP Packet hinschicken kann, denn das Gateway wird ja schon wissen wie es weitergeht zum Ziel…
- 3.) Als Gateway findet er die 172.16.1.254 und das ist der als Router arbeitende Server/PC (oder dedizierte Router), also ab mit dem IP Packet dahin...
- 4.) Der Server (Router) empfängt nun das Packet, sieht auf die im Packet enthaltene IP Zieladresse 192.168.1.1 und sieht daraufhin in seiner eigenen Routing Tabelle nach ob er den Weg zum Ziel kennt.....
- 5.) Gut ! Das 192.168.1.0er Netz ist an mir direkt angeschlossen also raus damit auf der NIC1 (oder LAN Port beim Router) an diesem IP Segment...
- 6.) Nun landet das Packet beim Internet Router der ja auch das Ziel ist. Der sieht nach was er machen soll...OK, ich soll ein Echo Reply (Ping Antwort) an den Client 172.16.1.1 zurückschicken. Also, los gehts..
- 7.) Internet Router sieht in seiner Routing Tabelle nach....
- Es ist eine statische Route aufs 172.16.1.0er Netz im Router vorhanden => Weiter bei Schritt 9.)
- Es ist KEINE statische Route aufs 172.16.1.0er Netz im Router vorhanden => Weiter bei Schritt 8.)
- 8.) OK, Internet Router nimmt die Default Route ins Internet da er 172.16.1.0 ja anderweitig nicht kennt und es an ihm selber nicht angeschlossen ist... Also ab damit zum Internet Provider! Hier verliert sich nun die Spur vom Packet 192.168.1.1, da das Ziel eine RFC 1918 IP Adresse ist die nicht geroutet wird im gesamten Internet und der Providerrouter das Packet kommentarlos und unbarmherzig in den Datenmülleimer verfrachtet. Im Client erscheint ein "Keine Antwort von 192.168.1.1" und der Anwender ist frustriert… (Oder geht zu administrator.de und öffnet einen Thread )
- 9.) Glück gehabt!! In der Routing Tabelle steht eine statische Route die dem Internet Router sagt alles für 172.16.1.0 /24 schicke bitte NICHT an den Provider sondern an die IP 192.168.1.254 (Server/PC, Router) Ok, macht er, und ab mit dem Echo Reply Packet an diese Adresse...
- 10.) Der Server / Router empfängt nun das Packet sieht auf die Zieladresse 172.16.1.1 und sieht daraufhin wieder in seiner Routing Tabelle nach...
- 11.) Das 172.16.1.0er Netz ist an mir direkt angeschlossen also raus damit auf der NIC2 oder Router Port an diesem IP Netz zum Client...
- 12.) Perfekt, das Packet mit der Echo Antwort vom Router ist da und erzeugt ein "Antwort von 192.168.1.1 !!!" am Client. Der Anwender ist happy und sagt "Bingo! es rennt...!"
Soviel zur Routing Funktion.... Nicht anders als wenn man mit dem Auto von A nach B fährt.
Wichtige Punkte die zusätzlich zu beachten sind !
Lösung für Anwender deren Internet Router keine zusätzlichen statischen Routen supporten:
Erstmal ist das schlecht aber es gibt einen Workaround mit der Funktion Internetverbindungsfreigabe (ICS) oder NAT Basisfirewall (Win Server) unter Windows. (Unter Linux ist das NAT/PAT oder "Masquerading" mit ip_tables)
Auf der NIC-1, also dem Segment zum DSL Router, muss diese ICS Funktion aktiviert sein !
Der Server/PC macht dann ein NAT (Network Adress Translation) zum IP Segment, NIC-1 in dem sich der Internet Router befindet. Er setzt also das gesamte Netz der NIC-2 auf seine IP Adresse an der NIC1 um, ähnlich dem was DSL Router mit ihrem lokalen LAN Netz zum Internet hin machen.
Durch diese IP Adressumsetzung "sieht" der Internet Router das Netz an NIC-2 nicht mehr, denn alle Absender von NIC-2 tauchen so bei ihm mit einer NIC-1 IP Adresse auf.
Nachteil mit ICS/NAT ist dann aber das das Routing durch die NAT Firewall eine Einbahnstrasse ist.
Um ICS/NAT zu aktivieren bei Windows klickt man dazu auf die erweiterten Eigenschaften der NIC im IP Netz des Internet Routers und setzt den Haken bei Gemeinsame Nutzung der Internetverbindung.
Dann wählt man danach den Heimnetz Adapter aus, was dann logischerweise die NIC-2 des Clientsegments ist !
Damit ist ICS (Windows NAT) konfiguriert.
Achtung bei der Verwendung von Windows ICS/NAT !
Windows vergibt bei Aktivierung der ICS Funktion automatisch IMMER die 192.168.0.1 bzw. Windows 7 und höher die 192.168.137.1 als IP Adresse auf dem sog. Heimnetz (Clientsegment) wie Windows es nennt !
Dieses Verhalten der festen IP Adress Vorgabe ist nur bei Windows so !! (Linux hat das nicht !)
Diese Adresse und auch das Netz selber darf NICHT nachträglich geändert werden, denn das führt sofort zum Nichtfunktionieren von Microsofts ICS (NAT) Funktion auf dem PC/Server !!
Man muss also zwangsläufig mit dieser Adressierung im Clientsegment leben und seine IP Adressen ggf. entsprechend anpassen.
Der ICS Rechner arbeitet bei aktiviertem ICS auch immer automatisch als DHCP Server und vergibt dann dynamisch IP Adressen in diesem, von Microsoft festgelegten, ICS Client Netz 192.168.0.0 /24 bzw. 192.168.137.0 /24.
Eine statische IP Adressvergabe ist nicht mehr ratsam weil der ICS DHCP Server nicht konfigurierbar ist und es somit zu gefährlichen IP Adressdoppelungen kommen kann !
Besser also hier KEINE statischen Adressen verwenden, oder wenn dann, immer im unteren IP Adressbereich (192.168.0.10, .12, .13 usw.), da der ICS DHCP bei .252 rückwärts arbeitet.
Niemals die 192.168.0.1 bzw. 192.168.137.1 statisch vergeben, denn das ist der PC selber und die IP ist durch MS im ICS Setup festgelegt !!
Eine saubere ICS Konfuration sähe dann so aus:
Wie man ICS/Internet Sharing bei Windows aktiviert ist HIER_in_diesem_Tutorial noch einmal ganz genau beschrieben !
Der Router sieht jetzt durch ICS NAT keine Packete mehr aus dem Segment der NIC2 (die werden ja umgesetzt auf die IP Adresse von NIC1) und benötigt folglich auch keine statische Route mehr, da der Router ja keine Adresse aus dem NIC2 Segment mehr sieht und Traffic dahin wie lokaler Traffic behandelt wird, da die NAT Adresse ja eine lokale ist.
ICS/NAT beim Windows Server
Beim Windows Server ist die ICS Funktion in der NAT Basisfirewall versteckt, im Setup unter Routing und RAS !!!
Sowie diese NAT Firewall aktiv ist auf einem der Adapter wird dort wie oben bei anderen Windows Versionen ein NAT gemacht !!!
Letztendlich macht man so immer ein doppeltes NAT, einmal auf dem Server und ein 2tes Mal auf dem Router ins Internet, was eigentlich überflüssig und auch fehlerbehaftet sein kann. Vom Performanceverlust mal gar nicht zu sprechen.
D.h. bei NAT wird das gesamte Client IP Netzwerk (Quell IP Adresse) auf die IP der Server NIC umgesetzt und so das Client Netz gewissermaßen versteckt hinter der IP der Server NIC. Nur diese Server IP ist nach außen sichtbar und nicht wie beim normalen Routing sonst üblich die originale Quell IP Adresse !
Genau der Vorgang den auch ein DSL Router ins Internet macht. Auch der setzt das lokale IP Netzwerk komplett um auf seine öffentliche xDSL oder Kabel Provider IP so das das lokale Netzwerk nicht mehr auftaucht. Klassische Netzwerk Adress Translation also !!
Logischerweise ist die NAT Firewall so von außen nicht zu überwinden ohne ein Port Forwarding.
Folglich können in einem NAT Szenario keine Verbindungen von außen oder dem Router Segment zum Client Segment gemacht werden. Eine Netzwerk "Einbahnstrasse" also.
Das ist nur möglich in einem normal gerouteten Netzwerk OHNE ICS/NAT oder aktiver NAT Basisfirewall im Windows Server !
Nochmals zur Klarstellung:
ICS/NAT nur dann verwenden wenn man es wirklich muss !!
Bevorzugt werden sollte immer ein natives und transparentes Routing ohne Aktivierung der ICS/NAT Funktion unter MS ! Es sollte also wenn möglich und gewollt immer diese Variante konfiguriert werden.
ICS ist lediglich ein "Notnagel" für Benutzer die einen Billigstrouter haben oder verwenden, der KEINE Funktion bzw. Option zur Konfiguration von statischen IP Routen in seinem Setup hat. Oder wer das 2te Netz mit einer NAT Firewall willentlich abtrennen möchte und damit eine Routing "Einbahnstrasse" in Kauf nimmt.
Nachteile einer Windows ICS (NAT) Lösung
Einige der gravierenden Nachteile, wie die Verwendung von statischen IPs, durch die Unkontrollierbarkeit des Windows ICS DHCP Prozesses sind oben schon genannt worden. Es gibt aber weitere Nachteile:
- Hat man im Segment der NIC1 auch PCs kann man mit diesen nicht mehr ins Segment der NIC2 kommunizieren, da man den NAT Prozess im Windows Server nicht überwinden kann !
- Eine „Any to Any“ Kommunikation (Jeder mit Jedem) von Endgeräten in beiden Segmenten ist dadurch so nicht mehr möglich. Aus dem Client Segment ist dies also eine „Einbahnstrasse“ ins Internet was aber für einige Szenarien ggf. ausreicht.
- Benötigt man eine Any to Any Kommunikation benötigt man auch einen Internet Router der sicher statische Routen supportet im Setup !
Die Routing Lösung ist also in jedem Falle immer zu bevorzugen.
Eine weitere Option ist unter Windows das Bridging zwischen beiden LAN Segmenten. Dafür muss man aber zwangsweise mit gleichen IP Adressen bzw. im gleichen IP Netz arbeiten in beiden Segmenten.
Diese Bridging Lösung sollte man, wenn immer möglich, durch die hohe Broad- und Multicastcast Belastung des Servers/PC vermeiden !
Im Zweifelsfall IMMER lieber für ein paar Euro einen neuen Router erwerben (z.B. Mikrotik, siehe unten) der statische Routen supportet.
Technisch ist das immer besser als eine Frickellösung mit Bridging oder ICS NAT !!!
Port Weiterleitung aus dem Internet auf Clients im Segment LAN-2
Dieses Problem tritt häufig auf wenn es gewünscht ist einzelnen PCs im Client Segment LAN-2 remote aus dem Internet fernzubedienen mit VNC oder RDP z.B.
Meist taucht das Problem auf, das dies am Router so ohne weiteres nicht zu konfigurieren ist, da die lokale IP Adresse, die in die Port Forwarding (oder Port Freigabe) Tabelle des Routers eingetragen werden muss, ja nicht im lokalen IP Netz des Routers liegt.
Viele Consumer Router verweigern hier die Zusammenarbeit und ignorieren das Konfig Kommando in der PFW Tabelle oder führen das Port Forwarding schlicht nicht aus und das trotz korrekter statischer Route hier, die eigentlich das Zielnetz bekannt macht auf dem Router.
Meist ist das ein Bug in der Routerfirmware oder dadurch eben einfach schlicht nicht supportet. Ein Umstand mit dem man leider im Consumer Bereich häufig leben muss....
Es gibt aber wie (fast) immer einen Ausweg:
Man leitet mittels der o.a. Port Forwarding Liste am Router die z.B. VNC Packet (Port TCP 5900) oder RDP (Port TCP 3389) oder oder.. an die Server IP Adresse im Routersegment LAN-1.
Dort am Server, konfiguriert man dann ein Port Forwarding (Weiterleitung) auf die Clients bzw. dessen IP Adresse. Wie das geht beschreibt die MS Knowledgebase unter:
http://technet2.microsoft.com/WindowsServer/de/Library/6dd18466-d9dc-43 ...
Beim Windows Server und Verwendung der NAT/Basisfirewall ist diese Funktion etwas versteckt:
Routing und RAS -> ServerName (lokal) -> IP-Routing -> NAT/Basisfirewall
Im rechten Teilfenster klickt man mit rechts auf die Verbindung, mit der man mit dem Internet verbunden ist (meist „Netzwerkverbindung“) und wechselt im aufpoppenden Fenster auf „Dienste und Ports“. Dies ist nur verfügbar, wenn die Verbindung mit einer Firewall geschützt ist.
Ein Klick auf „Hinzufügen“ und man kann Portfreigaben und Portweiterleitungen eintragen !
Bei Linux machen das entsprechend die ip tables (oder den moderneren nftables) Einstellungen am Interface für die es zuhauf HowTos im Internet gibt.
Damit ist auch eine remote Steuerung aus dem Internet von Endgeräten im Netz LAN-2 gegeben ! Im Segment LAN-1 funktionieren sie ja sowieso da das direkt am Router hängt.
Auch hier nochmals zum Abschuss der Hinweis: Sowas wie Port Weiterleitung ist nur erforderlich wenn man einen dummen Router hat der keine statischen Routen supportet und man gezwungen ist NAT/ICS einzusetzen !
In jedem Falle ist die reine Routing Lösung ohne NAT/ICS vorzuziehen bei der sowas nicht erforderlich ist !
DNS Integration beider IP Netze im DC
Dieses Thema und seine Lösung behandelt ein separates Tutorial von dog auf das an dieser Stelle verwiesen wird:
Probleme mit Multihomed DCs vermeiden
Alternativen mit anderem Design (WLAN)
Das sowohl das IP LAN Segment NIC1 als auch LAN Segment NIC2 durch eine entsprechende WLAN Infrastruktur mit oder ohne WLAN Accesspoint ersetzt werden kann ist klar ! Die Prozedur der IP Einrichtung wie oben beschrieben ist absolut gleich.
Designs können so aussehen (Variante 1)
...oder das WLAN als Client Segment (Variante 2)
Eines dieser typischen WLAN Designs beschreibt der folgende Thread HIER im Forum !
Attis Tutorial von oben geht dort genauer drauf ein, die Vorgehensweise ist immer dieselbe wie oben beschrieben.
Eine interessante Alternative ist das Client Segment per WLAN ohne WLAN Accesspoint aufzusetzen.
Dazu betreibt man Server/PC und Clients im sog. WLAN Ad Hoc Mode ohne Accesspoint. Auch das ist problemlos möglich wie DIESER Thread hier u.a. beschreibt.
Unterschiedliche Designs der Infrastruktur gibt es zuhauf, das Vorgehen zum Routing aber ist immer gleich !
LAN Routing mit dediziertem Router OHNE Rechner mit 2 Netzwerkkarten
Natürlich ist auch ein Routing zwischen den LAN Segmenten ohne einen Rechner mit Linux oder Windows OS problemlos möglich. Aus technischer Hinsicht und aus Gründen des Energieverbrauches ist das klar die bessere Alternative.
Einfacher Grund ist das die Erreichbarkeit im netzwerk dann nicht mehr von der Verfügbarkeit des Servers abhängig ist.
Die Router Lösung ist auch schon aus Stromverbrauchsgründen sehr sinnvoll bei Dauerbetrieb. (Max. 15 Euro Stromkosten pro Jahr !) zudem sollte in der Netzwerk Infrastruktur IMMER ein dedizierter Router diese Funktion übernehmen.
Klassische Szenarien zum Verbinden mehrerer IP Netze sehen z.B. analog zu den PCs so aus:
Ein VLAN basiertes Routing mit einem sog. "Lollipop Router" (Router oder Firewall am Lollistiel oder "one armed" Router) in Verbindung mit einem nicht routingfähigen VLAN Switch und mehreren LAN Segmenten die als VLANs ausgelegt sind, zeigt die folgende Abbildung:
Generell reicht dafür ein alter, ausrangierter PC, besser aber ein kleines Mini ITX Board mit oder eins der klassischen 5 Port Applianes die es bei den einschlägigen Versendern gibt.
Eine genaue Anleitung zum Aufbau eines solchen Systems ist u.a. HIER zu finden:
Ideal dafür sind auch preiswerte Router der Fa. Mikrotik die noch erheblich mehr Features wie 5 Routing Ports (10 Ports z.B. beim Modell 2011), Dual Band WLAN usw. für sehr kleines Geld bieten:
http://varia-store.com/Wireless-Systeme/MikroTik-RouterBoard/MikroTik-R ...
Oder die 1 GiG Variante:
http://varia-store.com/Wireless-Systeme/MikroTik-RouterBoard/MikroTik-h ...
Beide Mikrotik Systeme gibt es auch ohne WLAN.
Es gibt keinen WLAN Router am Markt der so flexibel einsetzbar ist zu diesem Preis (ca. 40 Euro) bzw. in der Gigabit Variante wie die Mikrotik Modelle.
Anspruchsvollere Netzwerker nehmen ein Mikrotik System der 2011er Reihe:
Dieser Router bietet mehr Gigabit Ports und zudem ein grafisches Touch Panel an der Fronseite die immer einen Überblick über die Traffic Auslastung gibt.
Allerdings sollte man nicht vergessen das die Mikrotik Router etwas Netzwerk Basiswissen erfordert, da die Fülle der Funktionen auf diesem System Netzwerk Anfänger oft überfordert.
Ebenfalls prädestiniert sind flexible Consumer Router die mit der quelloffenen Firmware OpenWRT oder DD-WRT arbeiten.
Die folgenden Abschnitte dieses Tutorials beschreiben im Detail wie so ein System selbst konfiguriert werden kann. Für Laien bietet sich die Möglichkeit für sehr wenig Geld ein Fertiggerät zu kaufen, das dann nur noch per Webinterface und ein paar Mausklicks konfiguriert werden muss:
Die Firewall Funktion bietet noch zusätzliche Sicherheiten wenn die Kommunikation z.B. nur auf Drucker- oder Serverzugriff oder andere Dienste beschränkt werden soll !
Alle Systeme bieten ein modernes grafisches Setup Interface via Webbrowser, was die Installation sehr einfach macht.
Der Linksys WRT54 DSL Router mit alternativer DD-WRT Firmware oder ein modernerer TP-Link WR841N ist aber auch ein gangbarer Weg, da er mit der freien DD-WRT bzw. OpenWRT Firmware wie die o.a. System auch eine abschaltbare NAT / Masquerading Funktion hat und so als transparenter Router betrieben werden kann.
⚠️ Ein Wort der Warnung:
Billige DSL Router ohne integriertes DSL Modem, die nicht auf alternative, offene Firmware Versionen geflasht werden können, eignen sich nur sehr bedingt für das o.a. Szenario, da man die NAT Funktion (IP Network Adress Translation) dort so gut wie immer nicht abschalten kann.
Routing wird mit NAT immer zur Einbahnstrasse zwischen den IP Netzen, da ein aktives NAT den gerouteten Weg ins 2te Netz verhindert !
Ein Problem Klassiker der gefühlt fast täglich hier im Forum aufläuft, weil leider oft dieser Nachteil beim Kauf NICHT bedacht wird !
Diese generelle NAT Problematik erläutert auch dieser_Heise_Artikel im letzten Abschnitt unter "Internes":
Es gibt also bei kleinen Netzdesigns immer genug preiswerte Alternativen zu einen ggf. teuren Layer 3 Routing Switch oder einem teuren Server mit hohem Stromverbrauch.
Routing mit pfSense Firewall
Als Router lässt sich dafür z.B. die kostenlose Firewall pfsense verwenden.
Wie das geht ist bereits ausreichend HIER und auch HIER beschrieben.
Die pfSense/OPNsense Firewall hat ein paar Vorteile:
- Stateful Firewalling zw. den IP Netzen.
- Es lassen sich problemlos mehr als 2 Netzwerkinterfaces betreiben durch Hinzufügen weiterer NICs oder im VLAN Design.
- Das APU Mainboard hat per se 3 bzw. 4 (APU4) Interfaces zum Routen
- Ein Minimainboard ist sehr sparsam zu betreiben im Dauerbetrieb und hat keine beweglichen Teile (Verschleiß, Ausfall).
- VLAN_Routing über einen tagged Port (802.1q) und VLAN Switch ist problemlos möglich. (Separates Tutorial HIER )
Für den Dauerbetrieb empfehlen sich daher die APU oder miniITX Lösung aus Gründen des Stromverbrauchs und der Kühlung.
Routing mit Mikrotik Router
Wie oben bereits erwähnt ist eine der preiswertesten Möglichkeiten zwischen LAN Segmenten zu Routen das Mikrotik Router, zu dem es hier im Forum schon einen Erfahrungsbericht von @dog gibt.
Das ist ein fix und fertiger, kleiner sehr preiswerter 5 Port Router:
https://www.varia-store.com/de/produkt/97209-rb941-2nd-routerboard-hap-l ...
bzw. ohne WLAN:
https://varia-store.com/de/produkt/31133-mikrotik-routerboard-rb750r2-he ...
oder die Variante mit Gigabit Ethernet:
https://varia-store.com/de/produkt/31532-mikrotik-routerboard-hex-mit-88 ...
bzw. mit Glasfaseranschluss:
https://www.varia-store.com/de/produkt/97947-rb760igs-hex-s-mit-dual-cor ...
...den man dann nur noch konfigurieren und mit seinen IP Netzen verbinden muss.
Mit dem Mikrotik wird mit der "WinBox" ein sehr komfortables Setup Tool für Windows mitgeliefert mit dem die Installation im Handumdrehen erledigt ist. Außerdem verfügt der Router zusätzlich über ein WebGUI und ein normales Telnet / SSH CLI.
Für eine transparente Routing Funktion ohne NAT sollte man vorher die Default Konfig löschen:
Das geht entweder per Telnet (Putty) mit dem menügesteurten Kommando /system reset-conf skip-backup=yes no-defaults=yes die die werkseitige Default Konfig (4 Port Switch plus 1 NAT Routerport) deaktiviert und einen simplen 5 Port Router aus dem Mikrotik machen.
Analog und einfacher funktioniert es mit dem gafischen Winbox Konfigurations Tool oder übers WebGUI:
Ohne diese Default Konfig hat man dann einen "nackten" und transparenten 5 Port IP Router vor sich der dann max. 5 (mit VLANs entsprechend mehr) separate IP Netze egal ob LAN oder WLAN routen und auch bridgen kann.
Über das WinBox Tool weist man dann den Interfaces einfach eine IP Adresse des zu routenden Segmentes zu und fertig ist der Router.
Bewährt haben sich Router IP Adressen die immer "ganz oben" oder "ganz unten" z.B. 172.16.1.254 /24 oder 172.16.1.1 /24 im Adressbereich liegen.
So vermeidet man Überschneidungen mit Endgeräte Adressen und DHCP Pools und kann sich die wichtigen Router IPs leicht merken.
Die folgende Abbildung zeigt ein Beispiel für 3 Interfaces :
Anhand der Featureliste im WinBox Tool links sieht man sofort das auch VLANs supportet sind die ein VLAN Routing über 802.1qTrunks ermöglichen und auch der Support von dynamischen Routing Protokollen wie RIP, OSPF usw. ist problemlos möglich. Firewall Funktionen runden die Featureliste ab.
Das Mikrotik Forum bietet zudem eine Fülle an Beispielkonfigs für bestimmte Anwendungen.
Für seinen Anschaffungspreis (ca.40 € Strassenpreis) ist der Mikrotik Router unschlagbar für solche (und andere) Szenarios.
Auch in Bezug auf den Energieverbrauch. Er sollte deshalb immer erste Wahl sein um so ein Routing Design zu realisieren und nicht einen Server mit Routing zusätzlich zu belasten !
Soll zum Routing auch noch Security (Zugangslisten) und VPN dazukommen ist die pfSense Lösung ggf. vorzuziehen.
Routing mit OpenWRT Router
Ebenso preiswert und ein Klassiker mit Open Source Routing, ist die freie Router Firmware OpenWRT die auf einer Vielzahl von Routern supportet ist.
OpenWRT ist eine Firmware die wie DD-WRT offen und nicht proprietär ist. Vor dem Hintergrund der in letzter Zeit sehr zahlreichen Router Skandale wie dem FritzBox Firmware Bug und den offenen Ports viele anderer Router wie sie z.B. hier beschieben ist, ist OpenWRT generell eine sehr gute Alternative für einen sicheren und durch die Software Modularität extrem flexibelen Heimrouter.
OpenWRT lässt sich durch sog. SW Packages, wie man sie auch bei der Firewall pfSense kennt, sehr flexibel erweitern und auf persönliche Bedürfnisse anpassen. Man kann z.B. mit einem Mausklick VPN Support auf dem Router hinzufügen.
Die Optionen sind sehr vielfältig und OpenWRT eine ideale und zudem sehr preiswerte Plattform für solche Experimente.
Das solche Flexibilität an Routerfunktionen nicht teuer sein muss zeigt das folgende Beispiel, denn als Hardware für die OpenWRT Variante verwendet dieses Tutorial einen TP-Link_WR841N für ca. 17 Euro Strassenpreis !
Bei diesen sehr geringen Kosten kann sich auch ein Netzwerk Anfänger angstfrei an Experimente mit dem Router heranwagen, denn preiswerter ist so eine LAN Kopplung derzeit nicht zu realisieren.
Der WR841 kommt in 2 Modellen daher einmal als "N“ und einmal als "ND“.
Das zusätzliche "D“ steht für "detachable“ und weisst daraufhin, das die WLAN Antennen beim „D“ Modell abnehmbar sind um z.B. externe Antennen für den Außeneinsatz (Richtfunk etc.) anzuschliessen. Beim nicht „D“ Modell sind sie fest mit dem Router verbunden. Ansonsten ist die HW der beiden Modelle vollkommen identisch !
Los gehts….
Zuallerst geht es an das Flashen der Firmware was mit ein paar Mausklicks über das grafische Router Setup erledigt ist.
Die Firmware lädt man von der OpenWRT Seite: http://wiki.openwrt.org/toh/tp-link/tl-wr841nd
Aktuelle Hardware ist in der Regel die HW Version 8.x. Sicher ist aber nochmal das Modellschild am gehäuse daraufhin zu überprüfen !
Über das Websetup des WR841 wählt man den Menüpunkt „Firmware Update“, wählt die OpenWRT Firmware Datei aus und klickt auf OK.
Der Router flasht die OpenWRT Firmware automatisch und ist nach ca. 3 Minuten unter der IP 192.168.1.1 wieder im Websetup erreichbar.
Da der WAN Port (hier im Tutorial für das 2te IP Netzwerk !) im Default auf PPPoE (DSL Access) steht muss dieser zuerst auf Static für eine statische IP Adresse umgeschaltet werden. Mit Klick auf "switch protocoll“ erhält man die dafür nötigen Eingabefenster:
Hier im o.a. Screenshot würde gleich der DHCP Server für das 2te IP Netzwerk aktiviert um dort ebenfalls dynamisch IP Adressen an Endgeräte zu vergeben.
Da der Router im Default mit einer Internet Konfig hochkommt ist am WAN / Internet Port eine Firewall mit NAT (IP Adress Translation) aktiv.
Wer das 2te Netz abtrennen möchte belässt alle Einstellungen dort und ist mit dem Setup fertig.
In der Regel kann man aber die Firewall nicht gebrauchen, da man ja transparent routen möchte zwischen beiden Netzwerken.
Folglich muss man im Firewall Setup nun das NAT (Masquerading) deaktivieren und die Weiterleitungsregeln (Forwarding) auf Accept setzen.
Mit einem Klick auf „Save and Apply“ sind diese Settings aktiv und der 17 Euro Router routet zwischen diesen beiden Netzen !
Fortgeschrittene Nutzer können den konfigurierten Switch über die 4 Ethernet Ports auflösen und dann mit max. 5 Ports routen.
Zusätzlich ist der Router auch VLAN fähig, kann also auf einem VLAN tagged Interface auch zwischen mehreren VLANs routen. Details zu diesem Setup findet man hier
Weiterführende Links
Grundlagen zu Router Kaskaden
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Kaskaden mit mehreren Routern:
Programm gesucht Nachbildung und Testen von Netz
2 IP Netze per WLAN verbinden
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Zwei Netzwerke zusammen schalten aber wie?
Praxisbeispiel 2 Netze u. 2 Internet Router ohne statisches Routing
Routing zwischen verschiedenen Netzen
Routing Frage, statisch?
VLAN Routing zw. IP Netzen mit VLAN Switches
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
FritzBox und Mikrotik Routing Beispiel
Kopplung von 2 IP-Netzen, Zugriff via VPN
Mikrotik Routing Beispiel
Mikrotik für VLAN einrichten
Port Forwarding mit FritzBox-pfSense Kaskade
Webserver hinter pfSense nur aus lokalen Netzwerken erreichbar
FritzBox Port Forwarding in geroutete IP Netze:
Keine Portfreigaben FritzBox 7490 mit aktueller FW 6.80 in Subnetze ?
2 IP Netze über Cisco IOS Router:
Routing zwischen 2 Subnetzen über einen Cisco Router (1800er Series)
Mikrotik Multicast Routing für TCom Entertain IP-TV:
Speedport W 724V + Routerboard 450G + VDSL (all IP) + Entertain
UPNP mit Mikrotik Routerboard hEX PoE und D-Link DGS-1210-24 Switch
Fehlersuche im lokalem Netzwerk (RSTP, MRP, Multicast)
Ein Firewall Router mit pfSense
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mit einem Raspberry Pi zwei IP Netze routen:
Routingproblem in Homerouter-Kaskade mit Raspi
VLAN Routing mit Mikrotik auf HP ProCurve Switch im Detail:
Routerboard RB 750GL + TP-Link TL-SG3424 VLAN Konfiguration
VLAN Einrichtung und Routing an Windows PC oder Server NIC
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Linux VLAN Konfig am Beispiel Raspberry Pi / Debian / Ubuntu:
Netzwerk Management Server mit Raspberry Pi
Redundantes Routing Umfeld mit VRRP:
VRRP Einrichtung
Netzwerkkarte ICS / NAT Einrichtung:
Fritzbox mit Fremdnetz verbinden
Policy Based Routing mit Cisco IOS und Mikrotik:
Cisco Router 2 Gateways für verschiedene Clients
Policy based Routing mit Mikrotik 750 (Mikrotik)
Internet und Gastnetz Routing mit xDSL und Cisco 886:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Subnetze dynamisch routen mit OSPF (Mikrotik):
Netzwerktopologie - mehrere Werke
IPv6 mit FritzBox Kaskade auf pfSense:
https://www.altmetaller.de/ipv6-pfsense-hinter-fritzbox-6360-kabel-deuts ...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 56073
Url: https://administrator.de/tutorial/routing-von-2-und-mehr-ip-netzen-mit-windows-linux-und-router-56073.html
Ausgedruckt am: 23.12.2024 um 17:12 Uhr
121 Kommentare
Neuester Kommentar
Hallo,
ich bin ja eigentlich nicht blöd, aber ich bekomme meine Kiste nicht zum laufen.
Bei meinem Server 2003 rennt alles wie gewollt, via Routing und Ras.
Will mich jetzt nochmal nach langer Zeit mit Linux beschäftigen und habe das oben genannte Szenario. aber es geht nicht.
Meine Linuxkiste hat 2 NWKarten: 1 Nic 192.168.2.100 > die hängt an meinem Lancom-Router (192.168.2.1)
2 Nic des Linuxservers: 192.168.1.100 > da hängen die Clients dran
Auf dem Server habe ich für NIC 1 das GW 192.168.2.1 eingetragen
Für NIC 2 das GW 192.168.2.100
Für beide Karten IP_Fowarding aktiviert. Wenn ich jetzt ne öffentlich IP ping komme ich immer nur auf den Router danach verläuft alles im Nirwana.
Es kann ja nur am Router liegen, denke ich mal. Habe einige Routen ausprobiert aber es geht nicht. Wo liegt mein Denkfehler?
Für Hilfe wäre ich sehr dankbar.
Gruss
Christian
ich bin ja eigentlich nicht blöd, aber ich bekomme meine Kiste nicht zum laufen.
Bei meinem Server 2003 rennt alles wie gewollt, via Routing und Ras.
Will mich jetzt nochmal nach langer Zeit mit Linux beschäftigen und habe das oben genannte Szenario. aber es geht nicht.
Meine Linuxkiste hat 2 NWKarten: 1 Nic 192.168.2.100 > die hängt an meinem Lancom-Router (192.168.2.1)
2 Nic des Linuxservers: 192.168.1.100 > da hängen die Clients dran
Auf dem Server habe ich für NIC 1 das GW 192.168.2.1 eingetragen
Für NIC 2 das GW 192.168.2.100
Für beide Karten IP_Fowarding aktiviert. Wenn ich jetzt ne öffentlich IP ping komme ich immer nur auf den Router danach verläuft alles im Nirwana.
Es kann ja nur am Router liegen, denke ich mal. Habe einige Routen ausprobiert aber es geht nicht. Wo liegt mein Denkfehler?
Für Hilfe wäre ich sehr dankbar.
Gruss
Christian
Hallo
Auch in der neuen Firma, zu der ich bald wechsele, haben wir so eine ähnliche Konfiguration.
Ich frage mich aber wozu?
Wozu die ganzen Clients hinter den Server? Wegen der Doppelten Firewall?
Sind nicht die Clients so "ziemlich" egal. Das wichtigste Instrument stellt man so ja nach vorne. Den Server.
Darauf sind alle sensible Daten. Wenn einer den Router überlistet, ist er schon fast auf dem Server.
Was sind die Gründe, so eine Topology aufzubauen?
Danke
Hannes
Auch in der neuen Firma, zu der ich bald wechsele, haben wir so eine ähnliche Konfiguration.
Ich frage mich aber wozu?
Wozu die ganzen Clients hinter den Server? Wegen der Doppelten Firewall?
Sind nicht die Clients so "ziemlich" egal. Das wichtigste Instrument stellt man so ja nach vorne. Den Server.
Darauf sind alle sensible Daten. Wenn einer den Router überlistet, ist er schon fast auf dem Server.
Was sind die Gründe, so eine Topology aufzubauen?
Danke
Hannes
Ja, gute Anleitung - gut gegliedert, und sogar mit Bild. Da kann man dann immer wieder mal drauf verweisen, wenn Fragen in der Richtung kommen.
Für daheim freilich überdimensioniert - da reicht zum Internet hin ein Router mit Firewall und gut ist um sich vor den üblichen Portscans oder Würmern zu schützen (die Schädlinge kommen heutzutage sowieso eher über "infiltrierte-Webseiten-Besuchen" oder Emailanhang-Anklicken, da hilft auch ein dritter und vierter Server den man zwischenschaltet nix, wenn der Benutzer quasi von "innen" die Tür aufmacht).
Aber es gibt auch genug Szenarien, wo genau diese Konstellation Sinn macht, z. B. als Contentfilter oder um das WLAN vom normalen LAN zu separieren.
Für daheim freilich überdimensioniert - da reicht zum Internet hin ein Router mit Firewall und gut ist um sich vor den üblichen Portscans oder Würmern zu schützen (die Schädlinge kommen heutzutage sowieso eher über "infiltrierte-Webseiten-Besuchen" oder Emailanhang-Anklicken, da hilft auch ein dritter und vierter Server den man zwischenschaltet nix, wenn der Benutzer quasi von "innen" die Tür aufmacht).
Aber es gibt auch genug Szenarien, wo genau diese Konstellation Sinn macht, z. B. als Contentfilter oder um das WLAN vom normalen LAN zu separieren.
brilliant!
nach verlorener Zeit mit einigen Versuchen gemäß der unvollständigen Beschreibung von Microsoft in sbsgsgab.doc bin ich mit dieser Beschreibung erfolgreich zum Ziel gekommen. Ich habe den Artikel redaktionell überarbeitet und für uns intern abgelegt!
Danke aqui! Weiter so!
nach verlorener Zeit mit einigen Versuchen gemäß der unvollständigen Beschreibung von Microsoft in sbsgsgab.doc bin ich mit dieser Beschreibung erfolgreich zum Ziel gekommen. Ich habe den Artikel redaktionell überarbeitet und für uns intern abgelegt!
Danke aqui! Weiter so!
Hi,
habe ich das richtig verstanden: Muß auf dem als "Server oder PC" gekennzeichneten Rechner ein Windows-Server-Betriebssystem laufen?
Ich kann mir vorstellen, daß viele User so wie ich auch, kein extra Server-Betriebssystem nutzen, sondern nur eine normale Client-Version wie z.B. Windows XP Professional. Läßt sich die serverseitige Konfiguration auch auf einem Client-Betriebssystem umsetzen?
Wenn in dem Netzwerk 192.168.1.0 noch zusätzliche Stationen eingebunden sind (verkabelt), z.B. ein Notebook oder ein PC (beides Windows-XP-Client-BS), sind diese dann von 172.16.1.1 anpingbar, wenn man ihnen als zweites Gateway die Adresse des Servers 192.168.1.254 gegeben hat, ist ein zweite Gatewayangabe eigentlich möglich? Müssen evtl. auf den Stationen in diesem Netzwerk auch statische Routen eingerichtet werden?
danke schonmal im voraus...
habe ich das richtig verstanden: Muß auf dem als "Server oder PC" gekennzeichneten Rechner ein Windows-Server-Betriebssystem laufen?
Ich kann mir vorstellen, daß viele User so wie ich auch, kein extra Server-Betriebssystem nutzen, sondern nur eine normale Client-Version wie z.B. Windows XP Professional. Läßt sich die serverseitige Konfiguration auch auf einem Client-Betriebssystem umsetzen?
Wenn in dem Netzwerk 192.168.1.0 noch zusätzliche Stationen eingebunden sind (verkabelt), z.B. ein Notebook oder ein PC (beides Windows-XP-Client-BS), sind diese dann von 172.16.1.1 anpingbar, wenn man ihnen als zweites Gateway die Adresse des Servers 192.168.1.254 gegeben hat, ist ein zweite Gatewayangabe eigentlich möglich? Müssen evtl. auf den Stationen in diesem Netzwerk auch statische Routen eingerichtet werden?
danke schonmal im voraus...
hallo,
sehr detaillierte Anleitung doch leider kann ich mein Problem nicht damit nicht lösen...
IP-Kreis 1: 192.168.100.0
IP-Kreis 2: 192.168.99.0
Ich habe einen Server (Windows Server 2003) mit 2 Nics. Beide Nics sind an den gleichen Switch angeschlossen.
IP-Nic 1: 192.168.100.65
IP-Nic 2: 192.168.99.1
Da mein Ip-Kreis 1 bald voll ist, möchte ich den IP-Kreis 2 einrichten. Die PCs aus dem IP-Kreis 2 sollen auf alle Resourcen (Mail-, File-Server, Drucker etc.) des Ip-Kreises 1 zugreifen können.
Außerdem laufen auf dem o.g. Server zwei VMs die in den neuen IP-Kreis (...99...) rein sollen.
Ich weiß nicht was ich wo genau einstellen muss.
Leider ergab meine zweitägige Suche kein erfolgreiches Ergebnis und ich wende mich nun vertrauensvoll an euch...
Grüße
Tom
sehr detaillierte Anleitung doch leider kann ich mein Problem nicht damit nicht lösen...
IP-Kreis 1: 192.168.100.0
IP-Kreis 2: 192.168.99.0
Ich habe einen Server (Windows Server 2003) mit 2 Nics. Beide Nics sind an den gleichen Switch angeschlossen.
IP-Nic 1: 192.168.100.65
IP-Nic 2: 192.168.99.1
Da mein Ip-Kreis 1 bald voll ist, möchte ich den IP-Kreis 2 einrichten. Die PCs aus dem IP-Kreis 2 sollen auf alle Resourcen (Mail-, File-Server, Drucker etc.) des Ip-Kreises 1 zugreifen können.
Außerdem laufen auf dem o.g. Server zwei VMs die in den neuen IP-Kreis (...99...) rein sollen.
Ich weiß nicht was ich wo genau einstellen muss.
Leider ergab meine zweitägige Suche kein erfolgreiches Ergebnis und ich wende mich nun vertrauensvoll an euch...
Grüße
Tom
danke für die rasche antwort...
leider ist das hausinterne netz über 4 etagen und unzählige rüme verteilt (überall switche) ...
die server stehen alle in einem raum im 2.og und die neuen rechner stehen überall verteilt im haus. da wird es schwer die rechner von einander abzugrenzen.
gibt es eine andere möglichkeit außer vlans? der aufwand ist enorm - überall VLAN einrichen... außerdem stehen auch einige nicht managbare 8 port switche herum...
freu mich über jede idee...
grüße
tom
leider ist das hausinterne netz über 4 etagen und unzählige rüme verteilt (überall switche) ...
die server stehen alle in einem raum im 2.og und die neuen rechner stehen überall verteilt im haus. da wird es schwer die rechner von einander abzugrenzen.
gibt es eine andere möglichkeit außer vlans? der aufwand ist enorm - überall VLAN einrichen... außerdem stehen auch einige nicht managbare 8 port switche herum...
freu mich über jede idee...
grüße
tom
Hallo,
sehr schöne Beschreibung. Nur eines ist mir noch ein bischen unklar. Wo läuft jetzt der NAT-Dienst? auf dem DSL-Router (Bei mir BinTec X1200) oder auf dem Windows 2K3?
Meine Config:
BinTec X1200 (192.168.1.1) < - > (NIC1: 192.168.1.254) Win 2K3 (NIC2: 192.168.2.254) < - > Client Netz (192.168.2.0)
Dienste: DHCP, DNS, AD, RRAS
Ich hätte gerne das NAT, eigentlich die ganze Netzwerkverwaltung und Steuerung, auf meinem Win 2K3. Eigentlich brauch ich meinen BinTec nur um die Internetverbindung aufzubauen. Wenn ich das NAT auf dem BinTec deaktiviere geht das Internet gar nicht mehr.
Danke schon mal im voraus.
Marcus
sehr schöne Beschreibung. Nur eines ist mir noch ein bischen unklar. Wo läuft jetzt der NAT-Dienst? auf dem DSL-Router (Bei mir BinTec X1200) oder auf dem Windows 2K3?
Meine Config:
BinTec X1200 (192.168.1.1) < - > (NIC1: 192.168.1.254) Win 2K3 (NIC2: 192.168.2.254) < - > Client Netz (192.168.2.0)
Dienste: DHCP, DNS, AD, RRAS
Ich hätte gerne das NAT, eigentlich die ganze Netzwerkverwaltung und Steuerung, auf meinem Win 2K3. Eigentlich brauch ich meinen BinTec nur um die Internetverbindung aufzubauen. Wenn ich das NAT auf dem BinTec deaktiviere geht das Internet gar nicht mehr.
Danke schon mal im voraus.
Marcus
Hallo aqui,
bei mir gestaltet sich die Netztopologie etwas komplexer. Vielleicht kannst Du mir hier noch einen Tipp geben.
Story:
Es gibt 2 Standorte. Jeder Standort für sich hat ein Netz mit Internetanschluss. Der Standort A hatte schon damals ein TR200bw und damit einen ordentlichen Router. Der Standort B ging den Weg ins Internet über einen Speedport. Also NAT x 2!
Soweit gab es mit dieser Konstellation keine Probleme.
Jetzt sollen Standort A und Standort B via VPN verbunden werden. Standort B hat hierzu einen R3000 erhalten. Standort A soll Server und Clients des Standort B verwalten (Remotedesktopverbindung).
Das VPN (mit dynamischen IP Adressen) zwischen TR200bw und R3000 ist aufgebaut.
Aus Standort A kann man sich von einem Client aus via Telnet (Putty, o.a.) mit beiden Routern verbinden und diese administrieren.
Die Netze sehen (beispielhafte Angaben) folgendermaßen aus:
Standort A
TR200bw Router zum Internet standort-a.dyndns.org
TR200bw Router zum Server 192.168.10.100
Server A NIC2 zum Router 192.168.10.1
Server A NIC1 zum internen Netz 172.16.0.1
DHCP, DNS, WINS (bedingt durch einige Drucker)
Standort B
R3000 Router zum Internet standort-b.dyndns.org
R3000 Router zum Server 192.168.0.100
Server B NIC2 zum Router 192.168.0.1
Server B NIC1 zum internen Netz 172.16.0.1 (historisch gewachsen)
DHCP, DNS, WINS (bedingt durch einige Drucker)
Ich möchte nun die finalen Handgriffe zur Verbindung der beiden Netze vornehmen. Ich habe leider nur 2 Tage (Wochenende) für die Umsetzung und ausgiebige Tests. Daher möchte ich soweit es irgendwie geht alles theoretisch vorbereiten und dokumentieren.
Fehler gibt es dann noch genug!
Damit ich die Clients am Standort B administrieren kann schalte ich auf dem Server B NAT ab.
Für das Routing werde ich wohl auch das interne IP Netz (z.B. 172.17.0.0) anpassen müssen.
Dann trage ich auf jedem Router die statischen Routen bis zu den jeweiligen Netzen (172.17.0.0 für Standort B, 172.16.0.0 für Standort A) ein.
Habe ich das soweit richtig verstanden?
Was mache ich mit dem NAT der beiden Router oder ist das für den Tunnel nicht relevant?
Ich könnte auch beide NICs der Server im Router routen lassen und das Routing auf dem Server abschalten. Das möchte ich aber erst einmal nicht betrachten.
Ich bedanke mich schon einmal vorab, auch für die gute Anleitung zum Routing.
Gruß
th
bei mir gestaltet sich die Netztopologie etwas komplexer. Vielleicht kannst Du mir hier noch einen Tipp geben.
Story:
Es gibt 2 Standorte. Jeder Standort für sich hat ein Netz mit Internetanschluss. Der Standort A hatte schon damals ein TR200bw und damit einen ordentlichen Router. Der Standort B ging den Weg ins Internet über einen Speedport. Also NAT x 2!
Soweit gab es mit dieser Konstellation keine Probleme.
Jetzt sollen Standort A und Standort B via VPN verbunden werden. Standort B hat hierzu einen R3000 erhalten. Standort A soll Server und Clients des Standort B verwalten (Remotedesktopverbindung).
Das VPN (mit dynamischen IP Adressen) zwischen TR200bw und R3000 ist aufgebaut.
Aus Standort A kann man sich von einem Client aus via Telnet (Putty, o.a.) mit beiden Routern verbinden und diese administrieren.
Die Netze sehen (beispielhafte Angaben) folgendermaßen aus:
Standort A
TR200bw Router zum Internet standort-a.dyndns.org
TR200bw Router zum Server 192.168.10.100
Server A NIC2 zum Router 192.168.10.1
Server A NIC1 zum internen Netz 172.16.0.1
DHCP, DNS, WINS (bedingt durch einige Drucker)
Standort B
R3000 Router zum Internet standort-b.dyndns.org
R3000 Router zum Server 192.168.0.100
Server B NIC2 zum Router 192.168.0.1
Server B NIC1 zum internen Netz 172.16.0.1 (historisch gewachsen)
DHCP, DNS, WINS (bedingt durch einige Drucker)
Ich möchte nun die finalen Handgriffe zur Verbindung der beiden Netze vornehmen. Ich habe leider nur 2 Tage (Wochenende) für die Umsetzung und ausgiebige Tests. Daher möchte ich soweit es irgendwie geht alles theoretisch vorbereiten und dokumentieren.
Fehler gibt es dann noch genug!
Damit ich die Clients am Standort B administrieren kann schalte ich auf dem Server B NAT ab.
Für das Routing werde ich wohl auch das interne IP Netz (z.B. 172.17.0.0) anpassen müssen.
Dann trage ich auf jedem Router die statischen Routen bis zu den jeweiligen Netzen (172.17.0.0 für Standort B, 172.16.0.0 für Standort A) ein.
Habe ich das soweit richtig verstanden?
Was mache ich mit dem NAT der beiden Router oder ist das für den Tunnel nicht relevant?
Ich könnte auch beide NICs der Server im Router routen lassen und das Routing auf dem Server abschalten. Das möchte ich aber erst einmal nicht betrachten.
Ich bedanke mich schon einmal vorab, auch für die gute Anleitung zum Routing.
Gruß
th
... in beiden Standorten verwende ich die Class B Maske.
Gut, dass mit den Clientnetzen habe ich mir schon gedacht. Der Router kann ja nicht wissen welches 172.16.0 ´er Netz ich meine.
OK, das kann ich via DHCP recht schnell anpassen. Ich denke mal, dass ich den Rest dann so richtig verstanden habe.
Danke für Deine schnelle Antwort!
Gruß
th
Gut, dass mit den Clientnetzen habe ich mir schon gedacht. Der Router kann ja nicht wissen welches 172.16.0 ´er Netz ich meine.
OK, das kann ich via DHCP recht schnell anpassen. Ich denke mal, dass ich den Rest dann so richtig verstanden habe.
Danke für Deine schnelle Antwort!
Gruß
th
Danke, Danke!
Zwei Anmerkungen noch zu der Darstellung:
1.) Tunnel IP Router A oder B
Das muss der Router alleine erledigen. Ich habe keine statische IP Adresse. Den Hostnamen kann ich ja nicht eintragen. So wie ich das sehe, tragen beide Router nach der Änderung der IP Adresse sich die Routen selbst neu ein.
2.) Die beiden Server sind auch Router. Hier muss / werde ich auch die statischen Routen eintragen. Sonst wäre der Weg ins ferne Netze für einen Client aus dem Standort A bereits am Server zuende. Ggf. kann ich auf den Servern auch RIP einschalten. Dann lernt er die Routen ins ferne Netz. Mache ich aber nicht so gerne.
Mögliche Probleme sollten aber dank Deine Hilfe verhältnismäßig klein bleiben.
Gruß
th
Zwei Anmerkungen noch zu der Darstellung:
1.) Tunnel IP Router A oder B
Das muss der Router alleine erledigen. Ich habe keine statische IP Adresse. Den Hostnamen kann ich ja nicht eintragen. So wie ich das sehe, tragen beide Router nach der Änderung der IP Adresse sich die Routen selbst neu ein.
2.) Die beiden Server sind auch Router. Hier muss / werde ich auch die statischen Routen eintragen. Sonst wäre der Weg ins ferne Netze für einen Client aus dem Standort A bereits am Server zuende. Ggf. kann ich auf den Servern auch RIP einschalten. Dann lernt er die Routen ins ferne Netz. Mache ich aber nicht so gerne.
Mögliche Probleme sollten aber dank Deine Hilfe verhältnismäßig klein bleiben.
Gruß
th
Hallo aqui,
ich wollte zu dem VPN keine Abhandlung mehr schreiben und nur dokumentieren, dass diese Verbindung existiert. Wäre vielleicht auch recht unübersichtlich geworden.
Primär ging es mir um das Thema Routing.
Noch einmal zu den Servern, die als Router konfiguriert sind. Ohne aktivierten Router, statische Routen und ohne RIP trennt doch der Server zwei Netzsegmente. Aktiviere ich den Router auf dem Server und damit auch RIP, dann baut er doch die Routingtabellen auf, die Du ansprichst.
Ich werde das auf alle Fälle mal ausprobieren. Wenn der Server Routingtabellen auch ohne RIP und statische Einträge aufbaut, dann sollte Dein Bild meine finale Lösung sein.
Vielen Dank noch einmal an dieser Stelle für den erfrischenden Austausch.
Gruß
th
ich wollte zu dem VPN keine Abhandlung mehr schreiben und nur dokumentieren, dass diese Verbindung existiert. Wäre vielleicht auch recht unübersichtlich geworden.
Primär ging es mir um das Thema Routing.
Noch einmal zu den Servern, die als Router konfiguriert sind. Ohne aktivierten Router, statische Routen und ohne RIP trennt doch der Server zwei Netzsegmente. Aktiviere ich den Router auf dem Server und damit auch RIP, dann baut er doch die Routingtabellen auf, die Du ansprichst.
Ich werde das auf alle Fälle mal ausprobieren. Wenn der Server Routingtabellen auch ohne RIP und statische Einträge aufbaut, dann sollte Dein Bild meine finale Lösung sein.
Vielen Dank noch einmal an dieser Stelle für den erfrischenden Austausch.
Gruß
th
Hallo,
ich habe mir anhand dieser Anleitung folgendes nachgebaut:
Internet - Kabelmodem - FritzBox7170 (172.16.1.1) - NIC 1 (172.16.1.254)
Windows Server 2003 Routing und RAS (Basisfirewall aktiviert) - NIC 2 (192.168.77.1)
IP-Adressen vergibt der DHCP auf dem RRas-Server.
Das Internetrouting funktioniert tadellos aus dem gesamten Netzwerk, allerdings habe ich noch ein Routingproblem mit meinen VPN-Verbindungen.
Auf dem Server sind statische Routen eingerichtet für zB. entfernter Server 192.168.199.1 - eine statische Route: 192.168.199.0 Subnetz 255.255.255.0.
Wenn ein Client aus meinem Netz NIC 2 eine IP-Adresse aus dem entfernten Netz anfordert zB. Ping 192.168.199.1 stellt der Server die VPN-Verbindung über das Internet einwandfrei her, allerdings ist das entfernte Netz dann nur vom Server aus zu erreichen - und nicht von dem Client der die Verbindung angefordert hat - kein Ping möglich.
Was habe ich denn vergessen, oder falsch konfiguriert?
Danke, Gruß Stephan
ich habe mir anhand dieser Anleitung folgendes nachgebaut:
Internet - Kabelmodem - FritzBox7170 (172.16.1.1) - NIC 1 (172.16.1.254)
Windows Server 2003 Routing und RAS (Basisfirewall aktiviert) - NIC 2 (192.168.77.1)
IP-Adressen vergibt der DHCP auf dem RRas-Server.
Das Internetrouting funktioniert tadellos aus dem gesamten Netzwerk, allerdings habe ich noch ein Routingproblem mit meinen VPN-Verbindungen.
Auf dem Server sind statische Routen eingerichtet für zB. entfernter Server 192.168.199.1 - eine statische Route: 192.168.199.0 Subnetz 255.255.255.0.
Wenn ein Client aus meinem Netz NIC 2 eine IP-Adresse aus dem entfernten Netz anfordert zB. Ping 192.168.199.1 stellt der Server die VPN-Verbindung über das Internet einwandfrei her, allerdings ist das entfernte Netz dann nur vom Server aus zu erreichen - und nicht von dem Client der die Verbindung angefordert hat - kein Ping möglich.
Was habe ich denn vergessen, oder falsch konfiguriert?
Danke, Gruß Stephan
Normalerweise sind statische Routen Unsinn
auf dem Server wenn dieser die VPN Verbindung
herstellt, denn das VPN Netz ist ja dann
direkt am Server angeschlossen so das er es
kennt und eine statische Route vollkommen
überflüssig ist.
Die statischen Routen habe ich angelegt damit die VPN-Verbindung bei Bedarf aufgebaut wird. Es sind knapp 50 VPN-Verbindungen auf meinem Server eingerichtet die meine Client's mitverwenden sollen. Beispiel: Einer meiner Client's in München möchte auf eine Freigabe in Elmshorn \\192.168.199.25\Daten zugreifen. Die Freigabe ist auf einem Client in dem entfernten Netz eingerichtet. Wenn diese Freigabe nun von einem meiner Client's aufgerufen wird, baut mein Server den VPN-Tunnel über das Internet auf - dafür die statische Route 192.168.199.0 255.255.255.0 (Also wählen bei Bedarf). Sobald die Verbindung steht kann ich von meinem Server aus problemlos auf den entfernten Server und alle angeschlossenen Client's zugreifen - nur eben von meinen Client's nicht. auf dem Server wenn dieser die VPN Verbindung
herstellt, denn das VPN Netz ist ja dann
direkt am Server angeschlossen so das er es
kennt und eine statische Route vollkommen
überflüssig ist.
Einzige Ausnahme: Dieses Zielnetz ist nicht
das VPN selber sondern befindet sich
hinter dem VPN und ist nur über den
VPN Tunnel zu erreichen.
Ich bin nicht so der Netzwerkfuchs - mein Netz 192.168.77.0 baut über das Internet einen VPN-Tunnel zu dem anderen Netz auf. Die Einwahl erfolgt über eine dyndns-Adresse und am anderen Ende des Tunnel steht der Server 192.168.199.1 der die Verbindung annimmt. Nachdem die Verbindung steht sollten im Idealfall alle meine angeschlossenen Client's auf das entfernte Netz 192.168.199.0 zugreifen können.das VPN selber sondern befindet sich
hinter dem VPN und ist nur über den
VPN Tunnel zu erreichen.
Mit deinen sehr spärlichen
Informationen artet das hier jetzt in Raten
aus so das eine qualifizierte Antwort
schwierig ist.
Ich hoffe das ich es jetzt etwas genauer beschrieben habe ;)Informationen artet das hier jetzt in Raten
aus so das eine qualifizierte Antwort
schwierig ist.
Was sagt denn ein Traceroute zum Zielsystem
?? Wo bleibt der Traceroute oder Pathping
hängen ?? Dort ist meist auch fast immer
der Fehler zu finden !!!
(Traceroute = tracert unter Winblows)
tracert vom Server aus geht einwandfrei in das entfernte Netz, tracert vom Client aus geht bis zu meinen Server und dann ist Schluß.?? Wo bleibt der Traceroute oder Pathping
hängen ?? Dort ist meist auch fast immer
der Fehler zu finden !!!
(Traceroute = tracert unter Winblows)
Vielen Dank für den Hinweis mit den fehlenden Routing ;)
Ja - es klappt jetzt!
Das mit den statischen Routen ist wohl ein Missverständnis, wenn ich mit dem Assistenten eine neue VPN-Verbindung einrichte - muss - ich eine statische Route angeben - woher soll sonst Routing und RAS wissen hinter welchem VPN sich die gewünschte IP-Adresse verbirgt - das klappt einwandfrei.
Den Server als Default Gateway hatte ich bereits eingestellt, soweit konnte ich folgen, denn woher soll auch der Router wissen wo ich gerade hin will ;)
So, und jetzt habe ich endlich den Fehler gefunden, auf NAT/Basisfirewall - Rechtsklick und Neue Schnittstelle hinzufügen, hier die VPN-Verbindung auswählen, Öffentliche Schnittstelle markieren, NAT und Basisfirewall aktivieren und die Ports anpassen - und schon geht das alles!
Nochmal Danke für Deine Tipps, läuft alles bestens.
Gruß Stephan
Ja - es klappt jetzt!
Das mit den statischen Routen ist wohl ein Missverständnis, wenn ich mit dem Assistenten eine neue VPN-Verbindung einrichte - muss - ich eine statische Route angeben - woher soll sonst Routing und RAS wissen hinter welchem VPN sich die gewünschte IP-Adresse verbirgt - das klappt einwandfrei.
Den Server als Default Gateway hatte ich bereits eingestellt, soweit konnte ich folgen, denn woher soll auch der Router wissen wo ich gerade hin will ;)
So, und jetzt habe ich endlich den Fehler gefunden, auf NAT/Basisfirewall - Rechtsklick und Neue Schnittstelle hinzufügen, hier die VPN-Verbindung auswählen, Öffentliche Schnittstelle markieren, NAT und Basisfirewall aktivieren und die Ports anpassen - und schon geht das alles!
Nochmal Danke für Deine Tipps, läuft alles bestens.
Gruß Stephan
Ich noch einmal,
die Konfiguration ist soweit fertig.
Die beiden SBS 2003 R2 haben keine statischen Routen. RIP ist auch nicht eingeschaltet.
Die statischen Routen (Netzwerkrouten) auf dem TR200bw und dem R3000 sind eingetragen.
Von dem Router A kann ich alles via Ping erreichen, auch die Clients im 172.17. - Netz. Das gleiche funktioniert auch von dem Router B.
Ich kann aber weder von einem Client noch von dem SBS (Standort A hinter dem Router A) in das 172.17. Netz pingen.
Jedoch kann ich von einem Client (auch vom SBS) aus dem Standort A auf die 192.168.1. Netzwerkkarte auf dem SBS in Standort B pingen.
Ein tracert nach 172.17.0.2 von einem Client aus Standort A endet an der LAN Schnittstelle des Routers am Standort A.
Bei den Clients habe ich als Standard Gateway die interne IP Adresse des SBS eingetragen.
Hast Du vielleicht noch einen Tip?
Besten Dank vorab!
die Konfiguration ist soweit fertig.
Die beiden SBS 2003 R2 haben keine statischen Routen. RIP ist auch nicht eingeschaltet.
Die statischen Routen (Netzwerkrouten) auf dem TR200bw und dem R3000 sind eingetragen.
Von dem Router A kann ich alles via Ping erreichen, auch die Clients im 172.17. - Netz. Das gleiche funktioniert auch von dem Router B.
Ich kann aber weder von einem Client noch von dem SBS (Standort A hinter dem Router A) in das 172.17. Netz pingen.
Jedoch kann ich von einem Client (auch vom SBS) aus dem Standort A auf die 192.168.1. Netzwerkkarte auf dem SBS in Standort B pingen.
Ein tracert nach 172.17.0.2 von einem Client aus Standort A endet an der LAN Schnittstelle des Routers am Standort A.
Bei den Clients habe ich als Standard Gateway die interne IP Adresse des SBS eingetragen.
Hast Du vielleicht noch einen Tip?
Besten Dank vorab!
... ich habe mir eben noch einmal einige Beträge durchgelesen.
Dabei ist mir aufgefallen, dass ich auf beiden SBS noch NAT eingeschaltet ist! Blöde!!!
Das hatte ich vergessen. Dann kann es mit dem Ping nichts werden.
Ich hatte NAT einmal ausgeschaltet. Dann ging nichts mehr ins Internet.
Zu diesem Problem hatte ich irgendwann mal einen Beitrag gelesen. Habe leider vergessen wo das war.
Im Tunnel ist NAT-T aktiv. Deshalb klappt es wahrscheinlich vom Router aber nicht von den Servern oder Clients. Für die Serverkarte, die ich via Ping erreichen kann, habe ich ein forwarding eingerichtet.
Meine Frage muss ich daher ändern und um Unterstützung für die NAT Abschaltung auf dem SBS bitten.
Besten Dank vorab.
Dabei ist mir aufgefallen, dass ich auf beiden SBS noch NAT eingeschaltet ist! Blöde!!!
Das hatte ich vergessen. Dann kann es mit dem Ping nichts werden.
Ich hatte NAT einmal ausgeschaltet. Dann ging nichts mehr ins Internet.
Zu diesem Problem hatte ich irgendwann mal einen Beitrag gelesen. Habe leider vergessen wo das war.
Im Tunnel ist NAT-T aktiv. Deshalb klappt es wahrscheinlich vom Router aber nicht von den Servern oder Clients. Für die Serverkarte, die ich via Ping erreichen kann, habe ich ein forwarding eingerichtet.
Meine Frage muss ich daher ändern und um Unterstützung für die NAT Abschaltung auf dem SBS bitten.
Besten Dank vorab.
... jupp, das habe ich auch gelesen und berücksichtigt!
Leider ist es doch kein Betriebssystemthema. Also keine Angst vor Blähungen
Ich habe mal ein Notebook (ganz ohne NAT) direkt an der Ethernetschnittstelle des Routers angeschlossen. Auch ohne SBS kommen die Pakete nicht in den Tunnel und werden direkt im Internet versenkt. Auch genau so wie es auch beschrieben wird.
Ich denke, das es ein Problem der Konfig (bezüglich der Schnittstellen) des Routers ist. Die Ethernetschnittstelle benötigt vielleicht noch einen Routingeintrag zur virtuellen Schnittstelle des Tunnels. Autodidaktisch bekomme ich das nicht hin.
Dann muss ich wohl das weniger aussagekräftige Handbuch des TR200bw von Funkwerk (kein Billigrouter der statische Routen kann) lesen.
Direkt vom Router aus geht alle wie gewünscht. Nur reicht das nicht.
Leider ist es doch kein Betriebssystemthema. Also keine Angst vor Blähungen
Ich habe mal ein Notebook (ganz ohne NAT) direkt an der Ethernetschnittstelle des Routers angeschlossen. Auch ohne SBS kommen die Pakete nicht in den Tunnel und werden direkt im Internet versenkt. Auch genau so wie es auch beschrieben wird.
Ich denke, das es ein Problem der Konfig (bezüglich der Schnittstellen) des Routers ist. Die Ethernetschnittstelle benötigt vielleicht noch einen Routingeintrag zur virtuellen Schnittstelle des Tunnels. Autodidaktisch bekomme ich das nicht hin.
Dann muss ich wohl das weniger aussagekräftige Handbuch des TR200bw von Funkwerk (kein Billigrouter der statische Routen kann) lesen.
Direkt vom Router aus geht alle wie gewünscht. Nur reicht das nicht.
Firewall, Filter kann ich mir nicht vorstellen. Von dem Router A (Standort A) kann ich ja in das Netz hinter dem SBS am Standort B pingen. Vom Router B (Standort B) funktioniert das auch in das Netz am Standort A.
Bei dem TR200bw werden die Routen zum Zielnetz über das virtuelle Interface des Tunnels eingetragen. Ein Eintrag nur in der Routingtabelle funktioniert nicht. Hat jedenfalls bei mir nicht geklappt.
Die Konfig des TR200bw (Standort A) habe ich mir eben mal angesehen. Der hat keine Filter und keine Firewall aktiv. Soweit ich das beurteilen kann, ist alles OK.
Es muss aber am Router liegen.
Ein tracert vom Notebook in das Netz am Standort B endet immer an der Ethernetschnittstelle des TR200bw. Nur die Serverkarte am Standort B antwortet auch auf einen Ping vom Notebook aus.
Definierte Maßnahme: Handbuch lesen!
Bei dem TR200bw werden die Routen zum Zielnetz über das virtuelle Interface des Tunnels eingetragen. Ein Eintrag nur in der Routingtabelle funktioniert nicht. Hat jedenfalls bei mir nicht geklappt.
Die Konfig des TR200bw (Standort A) habe ich mir eben mal angesehen. Der hat keine Filter und keine Firewall aktiv. Soweit ich das beurteilen kann, ist alles OK.
Es muss aber am Router liegen.
Ein tracert vom Notebook in das Netz am Standort B endet immer an der Ethernetschnittstelle des TR200bw. Nur die Serverkarte am Standort B antwortet auch auf einen Ping vom Notebook aus.
Definierte Maßnahme: Handbuch lesen!
Hi,
coole Anleitung!
Aus wie immer unerfindlichen Gründen möchte ich gerne noch auf dem Server-PC einen DNS- + DHCP-Server für das 172er Netz laufen lassen. Den DNS- + DHCP-Server auf dem DSL-Router kann ich jedoch nicht abschalten, da dieser über seinen zweiten Netzwerkanschluss noch ein weiteres Netz bedient, das diese Dienste eben genau vom DSL-Router braucht.
Ich suche also eine Anleitung für DNS auf einem Rechner mit zwei Netzwerkkarten, wobei das DNS nur den Teil an einer der beiden Karten bedient. DHCP mit der gleichen Nebenbedingung kommt später dazu.
Ein Tip, wo eine Beschreibung zu finden ist, oder ein entsprechender Link wären schon klasse.
Danke schon mal.
Ciao
Alexander
coole Anleitung!
Aus wie immer unerfindlichen Gründen möchte ich gerne noch auf dem Server-PC einen DNS- + DHCP-Server für das 172er Netz laufen lassen. Den DNS- + DHCP-Server auf dem DSL-Router kann ich jedoch nicht abschalten, da dieser über seinen zweiten Netzwerkanschluss noch ein weiteres Netz bedient, das diese Dienste eben genau vom DSL-Router braucht.
Ich suche also eine Anleitung für DNS auf einem Rechner mit zwei Netzwerkkarten, wobei das DNS nur den Teil an einer der beiden Karten bedient. DHCP mit der gleichen Nebenbedingung kommt später dazu.
Ein Tip, wo eine Beschreibung zu finden ist, oder ein entsprechender Link wären schon klasse.
Danke schon mal.
Ciao
Alexander
Hallo, eine echt schöne Anleitung!
Besonders die Bilder machen das Ganze doch etwas verständlicher - vor allem für Laien wie mich.
Und genau dieses Laien-sein ist wohl auch mein Problem, denn trotz dieser ausführlichen Anleitung bin ich nicht zum gewünschtem Ziel gekommen.....
Also mein Ziel ist es einen PC (PC2) über einen anderen PC (PC1) mit dem Internet (über einen Router) zu verknüfpen und außerdem Dateien zwischen den PC's austauschen zu können.
Dies funktioniert allerdings nur teilweise...
Meine Konfiguration:
Router(D-LINK DI-604(Firmware3.11)):
IP:192.168.0.1
DHCP: AUS
PC1 (Vista Home Premium 64Bit)
Netzwerkkarte #1:
IP:192.168.0.2
Subnetzmaske:255.255.255.0
Standartgateway:192.168.0.1
DNS-Server:192.168.0.1
(Internetverbindung ist freigegeben)
("Diagnose" kann keine Fehler festgstellen)
Netzwerkkarte #2:
IP:172.16.1.1
Subnetmaske:255.255.255.0
Standartgateway: LEER
DNS-Server: LEER
(bei "Diagnose" wird Netzwerkadapter besitzt keine gültige IP-Adresse" angezeigt)
PC2(Vista Home Premium 32Bit)
Netzwerkkarte:
IP:172.16.1.2
Subnetmaske:255.255.255.0
Standartgateway:172.16.1.1
DNS-Server:192.168.0.1
("Diagnose": keine Probleme)
Firewall ist auf beiden PC ausgeschaltet und die Dateifreigabe eingeschaltet.
Meine Probleme:
Ich kann von PC1 nicht auf PC2 zugreifen (freigegebene Dateien).
Angeblich wird PC2 nicht gefunden.("Netzwerkpfad wurde nicht gefunden")
Außerdem werden die Netzwerke (192.168.0.0 und 172.16.1.0) im Netzwerk-und Freigabecenter als voneinander getrennt dargestellt, wobei 192.168.1.0. als Netzwerk identifiziert wird und 172.16.1.0 als "Nicht identifiziertes Netzwerk" bezeichnet wird.
Eine statische DHCP Einstellung am Router habe ich nicht vorgenommen, da ich mir nicht sicher bin, ob dies notwendig ist und wie das genau bei meinem Router funktioniert.
Internetzugang besteht allerdings von beiden PC einwandfrei.
habe ich etwas falsch eingestellt oder habe sonst etwas vergessen?
Danke für Hilfe!
Viele Grüße
Frontstyler
Besonders die Bilder machen das Ganze doch etwas verständlicher - vor allem für Laien wie mich.
Und genau dieses Laien-sein ist wohl auch mein Problem, denn trotz dieser ausführlichen Anleitung bin ich nicht zum gewünschtem Ziel gekommen.....
Also mein Ziel ist es einen PC (PC2) über einen anderen PC (PC1) mit dem Internet (über einen Router) zu verknüfpen und außerdem Dateien zwischen den PC's austauschen zu können.
Dies funktioniert allerdings nur teilweise...
Meine Konfiguration:
Router(D-LINK DI-604(Firmware3.11)):
IP:192.168.0.1
DHCP: AUS
PC1 (Vista Home Premium 64Bit)
Netzwerkkarte #1:
IP:192.168.0.2
Subnetzmaske:255.255.255.0
Standartgateway:192.168.0.1
DNS-Server:192.168.0.1
(Internetverbindung ist freigegeben)
("Diagnose" kann keine Fehler festgstellen)
Netzwerkkarte #2:
IP:172.16.1.1
Subnetmaske:255.255.255.0
Standartgateway: LEER
DNS-Server: LEER
(bei "Diagnose" wird Netzwerkadapter besitzt keine gültige IP-Adresse" angezeigt)
PC2(Vista Home Premium 32Bit)
Netzwerkkarte:
IP:172.16.1.2
Subnetmaske:255.255.255.0
Standartgateway:172.16.1.1
DNS-Server:192.168.0.1
("Diagnose": keine Probleme)
Firewall ist auf beiden PC ausgeschaltet und die Dateifreigabe eingeschaltet.
Meine Probleme:
Ich kann von PC1 nicht auf PC2 zugreifen (freigegebene Dateien).
Angeblich wird PC2 nicht gefunden.("Netzwerkpfad wurde nicht gefunden")
Außerdem werden die Netzwerke (192.168.0.0 und 172.16.1.0) im Netzwerk-und Freigabecenter als voneinander getrennt dargestellt, wobei 192.168.1.0. als Netzwerk identifiziert wird und 172.16.1.0 als "Nicht identifiziertes Netzwerk" bezeichnet wird.
Eine statische DHCP Einstellung am Router habe ich nicht vorgenommen, da ich mir nicht sicher bin, ob dies notwendig ist und wie das genau bei meinem Router funktioniert.
Internetzugang besteht allerdings von beiden PC einwandfrei.
habe ich etwas falsch eingestellt oder habe sonst etwas vergessen?
Danke für Hilfe!
Viele Grüße
Frontstyler
Danke für die schnelle Antwort!
Allerdings hat sie mir nicht weitergeholfen..
Von PC-2 aus kann ich nun gar nicht mehr ins Internet und die Dateifreigabe scheitert schon bei der Suche nach PC-2 von PC-1 aus...
Mein Router ist wie gesagt der D-LINK DI-604, welcher statische IP akzeptieren sollte.
Was kann ich tun??
Meine Konfiguration:
Router(D-LINK DI-604(Firmware3.11)):
IP:192.168.0.1
DHCP: AUS
PC1 (Vista Home Premium 64Bit)
Netzwerkkarte #1:
IP:192.168.0.2
Subnetzmaske:255.255.255.0
Standartgateway:192.168.0.1
DNS-Server:192.168.0.1
(Internetfreigabe deaktiviert)
Netzwerkkarte #2:
IP:172.16.1.1
Subnetmaske:255.255.0.0
Standartgateway: LEER
DNS-Server: LEER
(bei "Diagnose" wird Netzwerkadapter besitzt keine gültige IP-Konfiguration" angezeigt)
(ist dies richtig so?)
PC2(Vista Home Premium 32Bit)
Netzwerkkarte:
IP:172.16.1.2
Subnetmaske:255.255.0.0
Standartgateway:172.16.1.1
DNS-Server:192.168.0.1
kein Internetzugang
??
Allerdings hat sie mir nicht weitergeholfen..
Von PC-2 aus kann ich nun gar nicht mehr ins Internet und die Dateifreigabe scheitert schon bei der Suche nach PC-2 von PC-1 aus...
Mein Router ist wie gesagt der D-LINK DI-604, welcher statische IP akzeptieren sollte.
Was kann ich tun??
Meine Konfiguration:
Router(D-LINK DI-604(Firmware3.11)):
IP:192.168.0.1
DHCP: AUS
PC1 (Vista Home Premium 64Bit)
Netzwerkkarte #1:
IP:192.168.0.2
Subnetzmaske:255.255.255.0
Standartgateway:192.168.0.1
DNS-Server:192.168.0.1
(Internetfreigabe deaktiviert)
Netzwerkkarte #2:
IP:172.16.1.1
Subnetmaske:255.255.0.0
Standartgateway: LEER
DNS-Server: LEER
(bei "Diagnose" wird Netzwerkadapter besitzt keine gültige IP-Konfiguration" angezeigt)
(ist dies richtig so?)
PC2(Vista Home Premium 32Bit)
Netzwerkkarte:
IP:172.16.1.2
Subnetmaske:255.255.0.0
Standartgateway:172.16.1.1
DNS-Server:192.168.0.1
kein Internetzugang
??
Hallo zusammen,
auch ich muss mich hier mal einklinken. Ich habe einen ähnlichen Fall... 2 NIC's im PC LAN und WLAN, sowie einen Lappi mit WLAN sowie einen Router auf LAN Seite des PCs.
Der Lappi soll über den PC ins Internet geroutet werden.
nicht die Optimale Lösung ich weiß aber hier die Praktikabelste...
Der Lappi ist wie Folgt Konfiguriert:
IP 192.168.1.100
SN 255.255.255.0
GW 192.168.1.101
PC
NIC 1 WLAN
IP 192.168.1.101
SN 255.255.255.0
GW leer
NIC 2
IP 192.168.178.21
SN 255.255.255.0
GW 192.168.178.1
Router
IP 192.168.178.21
SN 255.255.255.0
Internetseite Dynamisch
Auf dem PC mit den beiden NIC's ist das Routing aktiviert.
Der Router hat eine Statisch Route
NET 192.168.1.0
SN 255.255.255.0
GW 192.168.178.21
Von dem Lappi aus kann ich beide NICs im PC anpingen
also Ping 192.168.1.100 und 192.168.178.21 sind erfolgreich...
den Router kann ich nicht anpingen..
Vom PC aus kann ich den Router wie gehabt und beide nics anpingen
aber erreiche den Lappi nicht.
Wo liegt mein denk Fehler?
Wäre super wenn mir jemand helfen könnte.
Gruß Sven
auch ich muss mich hier mal einklinken. Ich habe einen ähnlichen Fall... 2 NIC's im PC LAN und WLAN, sowie einen Lappi mit WLAN sowie einen Router auf LAN Seite des PCs.
Der Lappi soll über den PC ins Internet geroutet werden.
nicht die Optimale Lösung ich weiß aber hier die Praktikabelste...
Der Lappi ist wie Folgt Konfiguriert:
IP 192.168.1.100
SN 255.255.255.0
GW 192.168.1.101
PC
NIC 1 WLAN
IP 192.168.1.101
SN 255.255.255.0
GW leer
NIC 2
IP 192.168.178.21
SN 255.255.255.0
GW 192.168.178.1
Router
IP 192.168.178.21
SN 255.255.255.0
Internetseite Dynamisch
Auf dem PC mit den beiden NIC's ist das Routing aktiviert.
Der Router hat eine Statisch Route
NET 192.168.1.0
SN 255.255.255.0
GW 192.168.178.21
Von dem Lappi aus kann ich beide NICs im PC anpingen
also Ping 192.168.1.100 und 192.168.178.21 sind erfolgreich...
den Router kann ich nicht anpingen..
Vom PC aus kann ich den Router wie gehabt und beide nics anpingen
aber erreiche den Lappi nicht.
Wo liegt mein denk Fehler?
Wäre super wenn mir jemand helfen könnte.
Gruß Sven
Hallo - vielen Dank an den Autor,
aber ich schaffe es einfach nicht, ich kann per "ping" nur bis zum Router vordringen, weiter nicht. Router = Windows XP-PC, Internetanschluss ist eine Fritzbox 7050 per WLAN an den Router angekoppelt. Der Client-PC = Windows XP. Das IP-Forwarding ist auf dem Router aktiviert (1) gesetzt.
Habe schon diverse Rechner getauscht - immer dasselbe.
Sitze jetzt schon den 2.Tag daran und krieger bald ne komplette Meise. Was mache ich falsch (ausser, dass ich mich überhaupt damit beschäftige ...)
Gruß
Lupus
aber ich schaffe es einfach nicht, ich kann per "ping" nur bis zum Router vordringen, weiter nicht. Router = Windows XP-PC, Internetanschluss ist eine Fritzbox 7050 per WLAN an den Router angekoppelt. Der Client-PC = Windows XP. Das IP-Forwarding ist auf dem Router aktiviert (1) gesetzt.
Habe schon diverse Rechner getauscht - immer dasselbe.
Sitze jetzt schon den 2.Tag daran und krieger bald ne komplette Meise. Was mache ich falsch (ausser, dass ich mich überhaupt damit beschäftige ...)
Gruß
Lupus
Hi !
danke für die schnelle Antwort.
Ich habe es inzwischen rausbekommen, indem ich einen komplett neuen Anlauf gemacht habe.
Es gibt eine überarbeitete Version des Tuts - und da habe ich mir einen Teil davon rausgenommen und an meine Verhältnisse angepasst. Der wesentliche Punkt ist:
Die FB arbeitet jetzt mit statischen Adressen (und statischer Routingtabelle), alle beteiligten anderen rechner auch mit festen Adressen. Offenbar schliesst sich Routing und DHCP aus. Das klappt dann sofort. Jedenfalls habe ich dabei viel zum Thema IP-Routing gelern und damit war die Zeit nicht ganz umsonst verbraucht.
Aber man sieht: Es gibt nirgendwo eine kurze und treffende Anleitung / Beschreibung zum Sachverhalt. Aber eigentlich ist es ganz logisch und einfach. Nur die vielen vielen fragmentarische Informationen aus versch. Teilgebieten, Betriebssystemen und postings tragen eher zur Verwirrung bei.
So habe ich das z.B. stundenlang mit festen Routing-Tabellen im Router versucht, weil ich das in einem UNIX-Buch so gelesen habe ... war gar nicht richtig.
Also,
bis dann.
Wenn es jemanden interessiert, wie es mit einer Konfigurqation
Fritzbox ---- Windows-XP (Router) ------ Windows XP (Arbeitsstation) funtioniert, bitte Frage an mich.
Gruß
Lupus
danke für die schnelle Antwort.
Ich habe es inzwischen rausbekommen, indem ich einen komplett neuen Anlauf gemacht habe.
Es gibt eine überarbeitete Version des Tuts - und da habe ich mir einen Teil davon rausgenommen und an meine Verhältnisse angepasst. Der wesentliche Punkt ist:
Die FB arbeitet jetzt mit statischen Adressen (und statischer Routingtabelle), alle beteiligten anderen rechner auch mit festen Adressen. Offenbar schliesst sich Routing und DHCP aus. Das klappt dann sofort. Jedenfalls habe ich dabei viel zum Thema IP-Routing gelern und damit war die Zeit nicht ganz umsonst verbraucht.
Aber man sieht: Es gibt nirgendwo eine kurze und treffende Anleitung / Beschreibung zum Sachverhalt. Aber eigentlich ist es ganz logisch und einfach. Nur die vielen vielen fragmentarische Informationen aus versch. Teilgebieten, Betriebssystemen und postings tragen eher zur Verwirrung bei.
So habe ich das z.B. stundenlang mit festen Routing-Tabellen im Router versucht, weil ich das in einem UNIX-Buch so gelesen habe ... war gar nicht richtig.
Also,
bis dann.
Wenn es jemanden interessiert, wie es mit einer Konfigurqation
Fritzbox ---- Windows-XP (Router) ------ Windows XP (Arbeitsstation) funtioniert, bitte Frage an mich.
Gruß
Lupus
Hallo
Danke für das Turorial.
Leider funktioniert es bei mir nicht zu 100%.
Ich habe einige merkwürdige Phänomene, welche für mich unlogisch sind.
Hier meine Konfig:
DSL-Router: IP: 192.168.0.254
Client1: IP: 192.168.0.100; GW: 192.168.0.254
Win2k8 Ent. Router:
Eth1: IP: 192.168.0.230; GW: 192.168.0.254
Eth2: IP: 10.1.1.254; GW: leer
Client2: IP: 10.1.1.10; GW: 10.1.1.254
Auf dem Win2k8-Router habe ich LAN-Routing aktiviert und nichts weiteres mehr konfiguriert.
Auf dem DSL-Router habe ich folgende Route eingetragen: 10.1.1.0 255.255.255.0 192.168.0.230
Wenn ich nun vom Client1 einen Ping auf Client2 (10.1.1.10) mache, dann erhalte ich Antwort.
Mit Tracert sehe ich auch, dass er zuerst auf den DSL-Router und danach auf den Win2k8 Router geht.
Jedoch wenn ich Versuche eine RDP-Session von Client1 auf Client2 zu starten klappt das nicht.
Wenn ich vom Client2 auf den Client1 (192.168.0.100) einen Ping mache, dann erhalte ich keine Antwort.
Mit Tracert zeigt er mir auch hier den Richtigen Weg und findet Client1 über den Win2k8 Router.
Weshalb funktionert Tracert jedoch Ping nicht, meines Wissen basieren doch beide auf ICMP.
Ok, nun aber weiter:
Wenn ich vom Client2 einen Ping auf den DSL-Router (192.168.0.254) mache, dann funktioniert dies.
Auch das Internet funktioniert auf dem Client2.
Wieso kann ich vom Client2 den DSL-Router pingen aber den Client1 nicht? Es sind ja beide im selben Netz.
Testweise habe ich alles auch vom Win2k8 Router getestet.
Ich kann beide Clients pingen, Ich kann den DSL-Router pingen und ich kann mich auf beide Clients per RDP verbinden.
Die WinFirewall habe überall deaktiviert.
Hat jemand eine Idee, wo da der Fehler liegt?
Bin wirklich Dankbar, wenn mir jemand weiterhelfen könnte.
Ich stehe auf dem Schlauch und komme nicht mehr weiter.
Besten Dank und Gruss
Danke für das Turorial.
Leider funktioniert es bei mir nicht zu 100%.
Ich habe einige merkwürdige Phänomene, welche für mich unlogisch sind.
Hier meine Konfig:
DSL-Router: IP: 192.168.0.254
Client1: IP: 192.168.0.100; GW: 192.168.0.254
Win2k8 Ent. Router:
Eth1: IP: 192.168.0.230; GW: 192.168.0.254
Eth2: IP: 10.1.1.254; GW: leer
Client2: IP: 10.1.1.10; GW: 10.1.1.254
Auf dem Win2k8-Router habe ich LAN-Routing aktiviert und nichts weiteres mehr konfiguriert.
Auf dem DSL-Router habe ich folgende Route eingetragen: 10.1.1.0 255.255.255.0 192.168.0.230
Wenn ich nun vom Client1 einen Ping auf Client2 (10.1.1.10) mache, dann erhalte ich Antwort.
Mit Tracert sehe ich auch, dass er zuerst auf den DSL-Router und danach auf den Win2k8 Router geht.
Jedoch wenn ich Versuche eine RDP-Session von Client1 auf Client2 zu starten klappt das nicht.
Wenn ich vom Client2 auf den Client1 (192.168.0.100) einen Ping mache, dann erhalte ich keine Antwort.
Mit Tracert zeigt er mir auch hier den Richtigen Weg und findet Client1 über den Win2k8 Router.
Weshalb funktionert Tracert jedoch Ping nicht, meines Wissen basieren doch beide auf ICMP.
Ok, nun aber weiter:
Wenn ich vom Client2 einen Ping auf den DSL-Router (192.168.0.254) mache, dann funktioniert dies.
Auch das Internet funktioniert auf dem Client2.
Wieso kann ich vom Client2 den DSL-Router pingen aber den Client1 nicht? Es sind ja beide im selben Netz.
Testweise habe ich alles auch vom Win2k8 Router getestet.
Ich kann beide Clients pingen, Ich kann den DSL-Router pingen und ich kann mich auf beide Clients per RDP verbinden.
Die WinFirewall habe überall deaktiviert.
Hat jemand eine Idee, wo da der Fehler liegt?
Bin wirklich Dankbar, wenn mir jemand weiterhelfen könnte.
Ich stehe auf dem Schlauch und komme nicht mehr weiter.
Besten Dank und Gruss
Hallo,
die Anleitung ist sehr gut nachvollziehbar und eigentlich dachte ich, ich würde es jetzt endlich schaffen - doch - irgendwas ist bei meiner Ausgangslage wohl anders, als es sollte. Kurzum - ich wäre für den richtigen Hinweis dankbar.
In meiner neuen Bürogemeinschaft habe ich meinen Windows 2000 Server wieder eingesetzt und will damit über VPN diversen Dritten kontrollierten Zugang verschaffen. Wir haben ein physisches Netz, das über einen Hub verbunden ist. Darin befinden sich zwei IP-Netze, eines wird vom anderen Bürogemeinschaftsbereich (192.168.2.0) genutzt und soll mit meinen (192.168.51.0) nicht mehr als nötig zu tun haben.
DSL macht jetzt eine Fritzbox 7170, die statische Routen kann ( die Speedbox 330 konnte das nicht und liegt aufgrund dieser Anleitung in der Kiste). Meine Konfiguration:
DSL-Router:
IP-Adresse: 192.168.2.1
Maske: 255.255.255.0
Statische Route: 192.168.51.0 Maske: 255.255.255.0 auf 192.168.2.103
Auf dem DSL-Router läuft kein DHCP, alle Clients haben statische IP-Adressen in 192.168.2.0
Server 2K:
Netzwerkkarte 1 (Internet): 192.168.2.103
Maske: 255.255.255.0
Standardgateway: 192.168.2.1
DNS: 192.168.2.1
Netzwerkkarte 2 (mein Intranet): 192.169.51.1
Maske: 255.255.255.0
Standardgateway: kein
DNS: kein
auf dem Server 2K läuft DHCP.
Solange ich das ROUTING und RAS nicht aktiviere funktioniert alles (auch ohne die statische Route im DSL-Router) über NAT
Doch wenn ich es aktiviere und mit dem VPN- Assistenten die Installations-Anleitung von Microsoft (Art. 308208) durchführe, ist der Internetzugang weg, bzw. konkreter - ich kann vom Server 2K den DSL-Router mit IP-Adresse: 192.168.2.1nicht mehr anpingen. Dabei hat der Server die zweite Netzwerkkarte im selben Netz mit eingetragenen Standardgateway !?
Für einen Tipp, was da vor sich geht, wäre ich dankbar.
die Anleitung ist sehr gut nachvollziehbar und eigentlich dachte ich, ich würde es jetzt endlich schaffen - doch - irgendwas ist bei meiner Ausgangslage wohl anders, als es sollte. Kurzum - ich wäre für den richtigen Hinweis dankbar.
In meiner neuen Bürogemeinschaft habe ich meinen Windows 2000 Server wieder eingesetzt und will damit über VPN diversen Dritten kontrollierten Zugang verschaffen. Wir haben ein physisches Netz, das über einen Hub verbunden ist. Darin befinden sich zwei IP-Netze, eines wird vom anderen Bürogemeinschaftsbereich (192.168.2.0) genutzt und soll mit meinen (192.168.51.0) nicht mehr als nötig zu tun haben.
DSL macht jetzt eine Fritzbox 7170, die statische Routen kann ( die Speedbox 330 konnte das nicht und liegt aufgrund dieser Anleitung in der Kiste). Meine Konfiguration:
DSL-Router:
IP-Adresse: 192.168.2.1
Maske: 255.255.255.0
Statische Route: 192.168.51.0 Maske: 255.255.255.0 auf 192.168.2.103
Auf dem DSL-Router läuft kein DHCP, alle Clients haben statische IP-Adressen in 192.168.2.0
Server 2K:
Netzwerkkarte 1 (Internet): 192.168.2.103
Maske: 255.255.255.0
Standardgateway: 192.168.2.1
DNS: 192.168.2.1
Netzwerkkarte 2 (mein Intranet): 192.169.51.1
Maske: 255.255.255.0
Standardgateway: kein
DNS: kein
auf dem Server 2K läuft DHCP.
Solange ich das ROUTING und RAS nicht aktiviere funktioniert alles (auch ohne die statische Route im DSL-Router) über NAT
Doch wenn ich es aktiviere und mit dem VPN- Assistenten die Installations-Anleitung von Microsoft (Art. 308208) durchführe, ist der Internetzugang weg, bzw. konkreter - ich kann vom Server 2K den DSL-Router mit IP-Adresse: 192.168.2.1nicht mehr anpingen. Dabei hat der Server die zweite Netzwerkkarte im selben Netz mit eingetragenen Standardgateway !?
Für einen Tipp, was da vor sich geht, wäre ich dankbar.
hallo aqui,
Danke für die Hilfestellung. Der VPN default Gateway war das Problem. Die danach folgende "Frickelei mit Port Forwarding, NAT und dem Server" ist wohl auch eine Angelegenheit für Hartgesottene, ich jedenfalls habe es bislang nicht hin bekommen und habe nun den Shrew Client und die cfg für die Fritzbox erstellt. Nach meinem Verständnis kann ich nun das Routing und RAS, mit dem ich mich solange beschäftigt habe, wieder deaktivieren. (?)
Eins verstehe ich jetzt nicht: Die FB hat bekommt eine config mit einem Passwort usw.
Kann ich mit den Shrew Client's auch mehrere VPN-Tunnel von Usern unterschiedlicher Standort aufbauen? Auch parallel (d.h. zwei Verbindungen) sollte doch gehen. Haben die dann alle das gleiche Passwort??? das kann doch nicht sein. Mit dem Aktive Directory will ich doch Usern unterschiedliche Berechtigungen erteilen.
Wieviele Clients kann der Shrew Client mit der FB?
Beste Grüße
Danke für die Hilfestellung. Der VPN default Gateway war das Problem. Die danach folgende "Frickelei mit Port Forwarding, NAT und dem Server" ist wohl auch eine Angelegenheit für Hartgesottene, ich jedenfalls habe es bislang nicht hin bekommen und habe nun den Shrew Client und die cfg für die Fritzbox erstellt. Nach meinem Verständnis kann ich nun das Routing und RAS, mit dem ich mich solange beschäftigt habe, wieder deaktivieren. (?)
Eins verstehe ich jetzt nicht: Die FB hat bekommt eine config mit einem Passwort usw.
Kann ich mit den Shrew Client's auch mehrere VPN-Tunnel von Usern unterschiedlicher Standort aufbauen? Auch parallel (d.h. zwei Verbindungen) sollte doch gehen. Haben die dann alle das gleiche Passwort??? das kann doch nicht sein. Mit dem Aktive Directory will ich doch Usern unterschiedliche Berechtigungen erteilen.
Wieviele Clients kann der Shrew Client mit der FB?
Beste Grüße
Hi,
entsprechend der Anleitung habe ich unter Vista mir eine Netzwerk mit einem PC aufgebaut, der als Router dient.
Dazu noch ein Laptop, Drucker und NAS, die alle am LAN hängen.
Auf ihm ist eine Netwerkkarte und eine WLAN-Verbindung installiert.
Auf der Fritz!Box wurde eine feste Route definiert (USB-Stick).
Mit dem PC sind alle Pings erfolgreich (Netzwerk 1und 2).
Vom Laptop kann ich nur das LAN erreichen. Weder Fritz!Box noch die IP des USB-Sticks sind erreichbar.
Innerhalb des LAN sind alle Geräte sichtbar und erreichbar.
Standardgateway zeigt auf den PC, als DNS-Server ist die Fritzbox eingetragen.
Leider komme ich nicht am PC vorbei.
Hatte dort auch mal die Firewall ausgeschaltet, ohne Erfolg.
Ip-Routing wurde in der Registrierung aktiviert.
An der Fritz!Box wurde DHCP deaktiviert.
Zwischen PC und Box hängt ein WLAN-Repeater zur Reichweitenverlängerung.
An der Fritz.Box bekommt dieser eine eigene IP, neben dem USB-Stick. Wie gesagt, als feste Route ist der Stick eingetragen.
Frage an die Profis: Was habe ich nicht richtig gemacht, bzw. was fehlt für eine korrekte Verbindung?
entsprechend der Anleitung habe ich unter Vista mir eine Netzwerk mit einem PC aufgebaut, der als Router dient.
Dazu noch ein Laptop, Drucker und NAS, die alle am LAN hängen.
Auf ihm ist eine Netwerkkarte und eine WLAN-Verbindung installiert.
Auf der Fritz!Box wurde eine feste Route definiert (USB-Stick).
Mit dem PC sind alle Pings erfolgreich (Netzwerk 1und 2).
Vom Laptop kann ich nur das LAN erreichen. Weder Fritz!Box noch die IP des USB-Sticks sind erreichbar.
Innerhalb des LAN sind alle Geräte sichtbar und erreichbar.
Standardgateway zeigt auf den PC, als DNS-Server ist die Fritzbox eingetragen.
Leider komme ich nicht am PC vorbei.
Hatte dort auch mal die Firewall ausgeschaltet, ohne Erfolg.
Ip-Routing wurde in der Registrierung aktiviert.
An der Fritz!Box wurde DHCP deaktiviert.
Zwischen PC und Box hängt ein WLAN-Repeater zur Reichweitenverlängerung.
An der Fritz.Box bekommt dieser eine eigene IP, neben dem USB-Stick. Wie gesagt, als feste Route ist der Stick eingetragen.
Frage an die Profis: Was habe ich nicht richtig gemacht, bzw. was fehlt für eine korrekte Verbindung?
@aqui
Hier die ergänzenden Infos.
Das Ganze ist als transparentes Routing konfiguriert.
Das WLAN hat den 192.158.178.0 Bereich, LAN ist auf 192.168.123.0 konfiguriert.
Jedes Netz fängt bei 1 an zu zählen. Fritz!Box sowie PC bekommen die 1 zugeordnet.
Hier die ergänzenden Infos.
Das Ganze ist als transparentes Routing konfiguriert.
Das WLAN hat den 192.158.178.0 Bereich, LAN ist auf 192.168.123.0 konfiguriert.
Jedes Netz fängt bei 1 an zu zählen. Fritz!Box sowie PC bekommen die 1 zugeordnet.
@aqui,
Win 7 habe ich nicht. Bei mir ist es Vista.
Den entsprechenden Punkt in der Firewall habe ich nicht gefunden. Ich glaube unter Vista gibt es diesen Punkt unter dem Adapter nicht. Unter XP habe ich es gesehen. Sitze leider nicht vor diesem Rechner.
Ich bekomme bei ICMPv6 die Meldung "eingeschränkte Konnektivität". Kann das auch damit zu tun haben?
Win 7 habe ich nicht. Bei mir ist es Vista.
Den entsprechenden Punkt in der Firewall habe ich nicht gefunden. Ich glaube unter Vista gibt es diesen Punkt unter dem Adapter nicht. Unter XP habe ich es gesehen. Sitze leider nicht vor diesem Rechner.
Ich bekomme bei ICMPv6 die Meldung "eingeschränkte Konnektivität". Kann das auch damit zu tun haben?
Ok. Die Firewall Einstellung habe ich gefunden.
Welche Regel muss ich nehmen, eingehende oder ausgehende?
Bei den eingehenden Regeln gibt 3 "Datei- und Druckerfreigabe (Echoanforderung - ICMPv4 eingehend"
Eins für das private, öffentliche und Domänenprofil. Die ersten beiden sind aktiviert.
Das Gleiche ist bei den ausgehenden Regeln vorhanden.
Sollte dies die gesuchten Einstellungen sein, so sind diese aktiviert aber das Problem besteht weiterhin.
Welche Regel muss ich nehmen, eingehende oder ausgehende?
Bei den eingehenden Regeln gibt 3 "Datei- und Druckerfreigabe (Echoanforderung - ICMPv4 eingehend"
Eins für das private, öffentliche und Domänenprofil. Die ersten beiden sind aktiviert.
Das Gleiche ist bei den ausgehenden Regeln vorhanden.
Sollte dies die gesuchten Einstellungen sein, so sind diese aktiviert aber das Problem besteht weiterhin.
Ja, ich mache transparentes Routing und das Routing ist aktiviert.
Der Dienst "Routing und RAS" ist nicht aktiviert.
Eine Bemerkung: Bei mir läuft Vista kein Windows.
Trotzdem habe ich es geschafft, dass nun alles läuft, mehr oder weniger zufällig.
Der WLAN Repeater wollte nicht mehr, somit habe ich diesen neu in das WLAN Netzwerk einbinden müssen.
Dabei hat sich folgendes geändert.
Vor der der Neueinbindung des Repeaters wurde das WLAN Netzwerk als "privates Netzwerk" ausgewiesen und die Verbindung zum Internet bestand.
Nach der Neueinbindung war das WLAN Netzwerk ebenfalls ein "privates Netzwerk", nur es konnte keine Verbindung zum Internet mehr aufgebaut werden.
Daraufhin habe ich es als "öffentliches Netzwerk" deklariert und siehe da die Internetverbindung stand. Auch das Routing funktioniert nun.
In den erweitereten Firewall Einstellungen kann ich aber keinen Unterschied zwischen dem öffentlichen und privaten Netzwerk erkennen. Die Echoanforderungen sind alle gleich eingestellt.
Es muss noch einen anderen Unterschied geben, der sich mir leider nicht erschließt.
Achso, die WLAN-Steuerung läuft jetzt direkt über Windows nicht mehr über die mitgelieferte Software von AVM.
Ich sag erstmal danke für die Hilfe.
Der Dienst "Routing und RAS" ist nicht aktiviert.
Eine Bemerkung: Bei mir läuft Vista kein Windows.
Trotzdem habe ich es geschafft, dass nun alles läuft, mehr oder weniger zufällig.
Der WLAN Repeater wollte nicht mehr, somit habe ich diesen neu in das WLAN Netzwerk einbinden müssen.
Dabei hat sich folgendes geändert.
Vor der der Neueinbindung des Repeaters wurde das WLAN Netzwerk als "privates Netzwerk" ausgewiesen und die Verbindung zum Internet bestand.
Nach der Neueinbindung war das WLAN Netzwerk ebenfalls ein "privates Netzwerk", nur es konnte keine Verbindung zum Internet mehr aufgebaut werden.
Daraufhin habe ich es als "öffentliches Netzwerk" deklariert und siehe da die Internetverbindung stand. Auch das Routing funktioniert nun.
In den erweitereten Firewall Einstellungen kann ich aber keinen Unterschied zwischen dem öffentlichen und privaten Netzwerk erkennen. Die Echoanforderungen sind alle gleich eingestellt.
Es muss noch einen anderen Unterschied geben, der sich mir leider nicht erschließt.
Achso, die WLAN-Steuerung läuft jetzt direkt über Windows nicht mehr über die mitgelieferte Software von AVM.
Ich sag erstmal danke für die Hilfe.
Hallo aqui,
folgendes Szenario ist vorhanden.
Bestehendes Netzwerk mit WindowsDomäne.
IP-Kreis 1:
10.1.60.0/24
Gateway ist eine LinuxFW inkl. OpenVPN (das nicht gerade stabil läuft finde ich.) Die muss auch weiterhin als Gateway für IP Kreis 1 genutzt werden.
Deswegen habe ich einen DraytekRouter mit ins Netzwerk gehängt (der wunderbar funktioniert), alle Teleworker loggen sich per PPTP ein und sind mit im Netzwerk integriert und können bestens auf den Servern arbeiten.
So nun wollte ich eine LAN-LAN Kopplung aufbauen mit meiner Fritzbox zuhause. Das klappt auch wunderbar. Fritzbox 7170 und Vigor 2900 bauen eine IPSEC-VPN Verbindung auf.
Nun kommen die Probleme:
Wenn ich von mir zuhause über die LAN-LAN VPN einen Ping an den Server im IPKreis 1 schicke, bekomme ich keine Antwort weil ja am Server im IP-Kreis 1 als StandardGateway die LinuxFW und nicht den Vigor hat. dadurch werden diese Pakete ins Nirvana geschickt. Ist mir soweit klar.
Wenn ich das Netzwerk soweit umbaue wie oben beschrieben mit der weiteren Option das:
(ich beziehe mich auf dein erstes Bild der Anleitung)
Die Clients aus dem LAN-2 über ein zusätzliches Gateway im LAN-2 ins internet gehen. somit muss vom Server/PC die NIC im LAN-2 das Gateway vom LAN-2 als Standard haben (vermute ich mal)
Die VPN-Teleworker und die LAN-LAN Kopplung über den Router aus dem LAN-1 kommen und ins LAN-2 die Server erreichen wollen läuft dann wie in der Anleitung die Internetverbindung.
Sozusagen wird ein ping vom Fritzboxnetzwerk über VPN zum Draytek zum LAN-2 Segment geschickt wieder zurückfinden, wenn der Server/PC das StandardGateway vom LAN-2 hat?
Danke im Voraus
Ich hoffe ich habe mich verständlich ausgedrückt, wenn noch fragen kann ich ne skizze bereitstellen.
VG
bruskin
folgendes Szenario ist vorhanden.
Bestehendes Netzwerk mit WindowsDomäne.
IP-Kreis 1:
10.1.60.0/24
Gateway ist eine LinuxFW inkl. OpenVPN (das nicht gerade stabil läuft finde ich.) Die muss auch weiterhin als Gateway für IP Kreis 1 genutzt werden.
Deswegen habe ich einen DraytekRouter mit ins Netzwerk gehängt (der wunderbar funktioniert), alle Teleworker loggen sich per PPTP ein und sind mit im Netzwerk integriert und können bestens auf den Servern arbeiten.
So nun wollte ich eine LAN-LAN Kopplung aufbauen mit meiner Fritzbox zuhause. Das klappt auch wunderbar. Fritzbox 7170 und Vigor 2900 bauen eine IPSEC-VPN Verbindung auf.
Nun kommen die Probleme:
Wenn ich von mir zuhause über die LAN-LAN VPN einen Ping an den Server im IPKreis 1 schicke, bekomme ich keine Antwort weil ja am Server im IP-Kreis 1 als StandardGateway die LinuxFW und nicht den Vigor hat. dadurch werden diese Pakete ins Nirvana geschickt. Ist mir soweit klar.
Wenn ich das Netzwerk soweit umbaue wie oben beschrieben mit der weiteren Option das:
(ich beziehe mich auf dein erstes Bild der Anleitung)
Die Clients aus dem LAN-2 über ein zusätzliches Gateway im LAN-2 ins internet gehen. somit muss vom Server/PC die NIC im LAN-2 das Gateway vom LAN-2 als Standard haben (vermute ich mal)
Die VPN-Teleworker und die LAN-LAN Kopplung über den Router aus dem LAN-1 kommen und ins LAN-2 die Server erreichen wollen läuft dann wie in der Anleitung die Internetverbindung.
Sozusagen wird ein ping vom Fritzboxnetzwerk über VPN zum Draytek zum LAN-2 Segment geschickt wieder zurückfinden, wenn der Server/PC das StandardGateway vom LAN-2 hat?
Danke im Voraus
Ich hoffe ich habe mich verständlich ausgedrückt, wenn noch fragen kann ich ne skizze bereitstellen.
VG
bruskin
Danke für den Tipp.
Soweit verständlich und funktioniert auch. Somit muss ich auch auf den anderen Servern (3Stück) diese Route eintragen damit darauf ein Zugriff erfolgen kann.
Einziger nachteil, man muss die Routen immer selber pflegen, wenn noch weitere LAN-LAN Kopplungen dazukommen oder wegfallen.
Was mach ich mit DNS zugriffen in die Domäne?
Per IP geht es ja!
z.B. Outlook zugriffe auf den Exchange server oder Netzlaufwerke per Servername?
Ich muss doch irgendwie der Fritzbox sagen das sie beim vergeben der DHCP Daten auch 2 DNS IPs vergibt. (Am Notebook selbst kann man ja auch manuell DNS-Server eintragen, weiß ich. Bringt aber nix wenn man mal unterwegs ist und woander sich connected.)
Oder denk ich schon wieder zu kompliziert.
VG
bruskin
Soweit verständlich und funktioniert auch. Somit muss ich auch auf den anderen Servern (3Stück) diese Route eintragen damit darauf ein Zugriff erfolgen kann.
Einziger nachteil, man muss die Routen immer selber pflegen, wenn noch weitere LAN-LAN Kopplungen dazukommen oder wegfallen.
Was mach ich mit DNS zugriffen in die Domäne?
Per IP geht es ja!
z.B. Outlook zugriffe auf den Exchange server oder Netzlaufwerke per Servername?
Ich muss doch irgendwie der Fritzbox sagen das sie beim vergeben der DHCP Daten auch 2 DNS IPs vergibt. (Am Notebook selbst kann man ja auch manuell DNS-Server eintragen, weiß ich. Bringt aber nix wenn man mal unterwegs ist und woander sich connected.)
Oder denk ich schon wieder zu kompliziert.
VG
bruskin
Hallo aqui,
wirklich Klasse diese Anleitung.
Leider habe ich als Laie noch ein paar Verständnisprobleme und würde mich über Deine/Eure hilfe sehr freuen.
Bei mir befindet sich der Router (Fritzbox) im Clientnetzwerk.
Hier meine Konfigurationen:
Es besteht eine Domäne (2008 Server) mit DHCP, DNS und zwei Netzwerkkarten
Router: Fritzbox 7270
IP: 192.168.182.8
DHCP deaktiviert
Server:
Nic1:
IP: 192.168.182.10 Maske 255.255.255.0
GW: 192.168.182.8
DNS: 192.168.182.10
Bei den DHCP Serveroptionen ist die Fritzbox 003 eingetragen, sowei die Einträge
005, 044, 045 Nic1, 015 Domänenname und 006 die IP des DNS Servers (Nic1) und an zweiter Stelle die fritzbox
Alle Clints befinden sich im gleichen Netz wie Nic1 und bis hierhin ist alles super und funktioniert.
Nun soll eine Verbindung zu einer zweiten Domäne über eine zweite Netzwerkkarte im Server
hergestellt werden.
Die zweite Nic besitz folgende konfiguration:
IP 192.168.185.10
Maske 255.255.255.0
GW: leer
DNS: leer
Wenn ich nun Routing/Ras via Lan aktiviere komme ich von den Clients nicht
auf den "entfernten" Server der zweiten Domäne.
Ich komme mit den Clients via ping "nur" bis zur ersten Nic.
Ich hoffe keine Informationen vergessen zu haben und würde mich über
Hilfe von euch sehr freuen.
wirklich Klasse diese Anleitung.
Leider habe ich als Laie noch ein paar Verständnisprobleme und würde mich über Deine/Eure hilfe sehr freuen.
Bei mir befindet sich der Router (Fritzbox) im Clientnetzwerk.
Hier meine Konfigurationen:
Es besteht eine Domäne (2008 Server) mit DHCP, DNS und zwei Netzwerkkarten
Router: Fritzbox 7270
IP: 192.168.182.8
DHCP deaktiviert
Server:
Nic1:
IP: 192.168.182.10 Maske 255.255.255.0
GW: 192.168.182.8
DNS: 192.168.182.10
Bei den DHCP Serveroptionen ist die Fritzbox 003 eingetragen, sowei die Einträge
005, 044, 045 Nic1, 015 Domänenname und 006 die IP des DNS Servers (Nic1) und an zweiter Stelle die fritzbox
Alle Clints befinden sich im gleichen Netz wie Nic1 und bis hierhin ist alles super und funktioniert.
Nun soll eine Verbindung zu einer zweiten Domäne über eine zweite Netzwerkkarte im Server
hergestellt werden.
Die zweite Nic besitz folgende konfiguration:
IP 192.168.185.10
Maske 255.255.255.0
GW: leer
DNS: leer
Wenn ich nun Routing/Ras via Lan aktiviere komme ich von den Clients nicht
auf den "entfernten" Server der zweiten Domäne.
Ich komme mit den Clients via ping "nur" bis zur ersten Nic.
Ich hoffe keine Informationen vergessen zu haben und würde mich über
Hilfe von euch sehr freuen.
Hallo aqui,
vielen Dank für Deine Ausführungen.
Die Abbildung entspricht fast meiner Konfiguration, außer das es keinen Client im 185er Netz gibt, da auch der 2.Server über 2 Nic's verfügt und die Client's am 2. Server dann in einem 192.168.0.0 Netz hängen.
Die Clients im 0.0er Netz möchte ich aber gar nicht erreichen können.
Die Clients im 182er Netz haben momentan als GW die Fritzbox eingetragen. Wenn ich Dich richtig verstanden habe muß ich das ändern und hier die x.x.182.10 eintragen?
In der FB habe ich auch eine statische Route eingetragen.
Eine Weiterleitung ist im DNS Server auf die FB eingerichtet. Auch wurde der DNS Server an beide NIC's gebunden.
Unter den DHCP Optionen habe ich die FB,wie Du mir angeraten hast entfernt.
NAT ist weder am Server noch an den Clients aktiviert.
Auch habe ich alle Firewall's zu Testzwecken deaktiviert,doch leider
kriege ich noch keinen Ping vom 182er Client zur 185er Nic im Server1.
Sind folgende Einträge am 1. Server richtig?
Nic1
IP 192.168.182.10
Maske. 255.255.255.0
GW: 192.168.182.8
DNS: 192.168.182.10
Nic2 (verbindung zum 2. Server)
IP 192.168.185.10
Maske: 255.255.255.0
GW:leer
DNS: leer
Benötigst Du weitere Informationen?
Über weitere Hilfe wäre ich Dir dankbar.
vielen Dank für Deine Ausführungen.
Die Abbildung entspricht fast meiner Konfiguration, außer das es keinen Client im 185er Netz gibt, da auch der 2.Server über 2 Nic's verfügt und die Client's am 2. Server dann in einem 192.168.0.0 Netz hängen.
Die Clients im 0.0er Netz möchte ich aber gar nicht erreichen können.
Die Clients im 182er Netz haben momentan als GW die Fritzbox eingetragen. Wenn ich Dich richtig verstanden habe muß ich das ändern und hier die x.x.182.10 eintragen?
In der FB habe ich auch eine statische Route eingetragen.
Eine Weiterleitung ist im DNS Server auf die FB eingerichtet. Auch wurde der DNS Server an beide NIC's gebunden.
Unter den DHCP Optionen habe ich die FB,wie Du mir angeraten hast entfernt.
NAT ist weder am Server noch an den Clients aktiviert.
Auch habe ich alle Firewall's zu Testzwecken deaktiviert,doch leider
kriege ich noch keinen Ping vom 182er Client zur 185er Nic im Server1.
Sind folgende Einträge am 1. Server richtig?
Nic1
IP 192.168.182.10
Maske. 255.255.255.0
GW: 192.168.182.8
DNS: 192.168.182.10
Nic2 (verbindung zum 2. Server)
IP 192.168.185.10
Maske: 255.255.255.0
GW:leer
DNS: leer
Benötigst Du weitere Informationen?
Über weitere Hilfe wäre ich Dir dankbar.
Danke für Deine Hilfe.
Ich kann das leider erst frühestens übermorgen probieren.
Sobald ich alles testen konnte gebe ich sofort Feedback.
Das mit dem Router hinter dem 2. Server ist korrekt. Ich habe es verduselt zu sagen.
Dennoch dachte ich, das wenn ich nur die IP im 1. Server anpingen würde (192.168.185.10),
er mir dennoch antwortet, da ich ja nicht bis zum 2. Server pinge. Liege ich damit falsch?
Ich kann das leider erst frühestens übermorgen probieren.
Sobald ich alles testen konnte gebe ich sofort Feedback.
Das mit dem Router hinter dem 2. Server ist korrekt. Ich habe es verduselt zu sagen.
Dennoch dachte ich, das wenn ich nur die IP im 1. Server anpingen würde (192.168.185.10),
er mir dennoch antwortet, da ich ja nicht bis zum 2. Server pinge. Liege ich damit falsch?
Hallo aqui,
ich habe nun alles wie oben beschrieben eingestelt und auch am 2. Server den route Befehl eingetragen.
Jedoch habe ich immer noch kein Erfolg.
Leider ist es nur im "eigenen" Netz möglich einen ping mit Antwort zu erhalten.
Da selbst die 2. Netzwerkkarte im 1.Server nicht gefunden wird, habe ich ein route print auf
dem ersten Server durchgeführt.
Leider bekomme ich hier in diesem Thread keine Möglichkeit ein Bild anzufügen.
Meine Routingtabelle sieht beispielhaft so aus:
Netzwerkziel 192.168.185.0
Netzwerkmaske 255.255.255.0
Gateway: Auf Verbindung
Schnittstelle 192.168.185.10
Metrik 266
Die anderen Routen sind auch so und haben im Gateway immer "Auf Verbindung" stehen.
Ist das Richtig so?
Trage ich an den Clients aus dem 182er Netz als GW den Server 1 ein, so bekomme ich auch
keine Verbindung zum Internet. Die statische Route in der FB habe ich nochmals überprüft
und im DNS Server unter Eigenschaften -> Weiterleitungen, die IP der FB eingetragen,
Jetzt hoffe ich darauf, das DU mir noch Tips geben kannst.
Evtl. auch, wie ich den Fehler weiter eingrenezn kann.
ich habe nun alles wie oben beschrieben eingestelt und auch am 2. Server den route Befehl eingetragen.
Jedoch habe ich immer noch kein Erfolg.
Leider ist es nur im "eigenen" Netz möglich einen ping mit Antwort zu erhalten.
Da selbst die 2. Netzwerkkarte im 1.Server nicht gefunden wird, habe ich ein route print auf
dem ersten Server durchgeführt.
Leider bekomme ich hier in diesem Thread keine Möglichkeit ein Bild anzufügen.
Meine Routingtabelle sieht beispielhaft so aus:
Netzwerkziel 192.168.185.0
Netzwerkmaske 255.255.255.0
Gateway: Auf Verbindung
Schnittstelle 192.168.185.10
Metrik 266
Die anderen Routen sind auch so und haben im Gateway immer "Auf Verbindung" stehen.
Ist das Richtig so?
Trage ich an den Clients aus dem 182er Netz als GW den Server 1 ein, so bekomme ich auch
keine Verbindung zum Internet. Die statische Route in der FB habe ich nochmals überprüft
und im DNS Server unter Eigenschaften -> Weiterleitungen, die IP der FB eingetragen,
Jetzt hoffe ich darauf, das DU mir noch Tips geben kannst.
Evtl. auch, wie ich den Fehler weiter eingrenezn kann.
Liebe Leute
Ich habe eine Frage und wenn ich hier nicht poste, wird es höchstwahrscheinlich nicht gelöst.
In einem anderen Thread habe ich gefragt, jedoch ich bräuchte eure Ideen damit ich weiter kommen kann.
Netzwerk Probleme SERVER 2008 R2
Also:
Wenn ich so wie hier auf dem Grafik dargestellt konfigurieren möchte, wie kann ich fertig bringen, geht es überhaupt noch so wie gezeichnet ist?
Besten Dank für eure Antworten oder Ideen.
Gruss
Shota
Ich habe eine Frage und wenn ich hier nicht poste, wird es höchstwahrscheinlich nicht gelöst.
In einem anderen Thread habe ich gefragt, jedoch ich bräuchte eure Ideen damit ich weiter kommen kann.
Netzwerk Probleme SERVER 2008 R2
Also:
Wenn ich so wie hier auf dem Grafik dargestellt konfigurieren möchte, wie kann ich fertig bringen, geht es überhaupt noch so wie gezeichnet ist?
Besten Dank für eure Antworten oder Ideen.
Gruss
Shota
Hi liebe Admins,
bisher war ich nur passiver Nutznießer, doch heute ist in der oben geschilderten Konfiguration etwas geplatzt, sodass für mich nun ein unlösbar erscheinendes Problem vorhanden ist.
Folgendes Setting war bisher in Betrieb:
Fritzbox 6360 Kabel (UM - statische IP von UM) -> Linksys-Router RV042 (172.16.1.1) --> ServerPC Windows Server 2008RS2 (172.16.254.1; 255.255.255.0 & 192.168.115.1; 255.255.255.0)--> Intranet
Diese, wie oben beschriebene Konfiguration funktionierte problemlos.
Nun hat sich wohl aufgrund eines technischen Defektes der Linksys-Router verabschiedet, er blinkt nur noch wild mit der Diag-Diode.
Folglich habe ich diesen aus der Konfiguration entfernt und die entsprechenden Lan-Konfigurationen geändert:
Fritzbox 6360 Kabel (UM - statische IP von UM;255.255.255.252) --> ServerPC Windows Server 2008RS2 (statische IP+1; 255.255.255.0 & 192.168.115.1; 255.255.255.0)--> Intranet
Im ersten Moment wollte ich bereits himmelhoch jauchzen, da der Server problemlos seine Internetverbindung aufbaute, doch ich war zu Tode betrübt, als die Clients sich weigerten.
Ergo: der Fritzbox erstmal das Routing zu füttern gegeben: 192.168.115.0; 255.255.255.0; GW: statische IP+1
Allerdings führte das ebenfalls nicht zum Aufbau einer Netzverbindung von den Clients.
nochmals den Artikel gelesen und die Probleme und Hilfestellungen:
ping von den Clients an den Server: 192.168.115.1 check
ping von den Clients an den Server: statische IP+1 check
ping von den clients an die Fritzbox: statische IP check
ping an google.de: fail; ABER:
DNS auflösung erfolgt.
nächster Schritt: tracert an google.de --> server check; statische IP FB check; Zeitüberschreitung der Anforderung... :/
Da steh ich nun, ich dummer Tor und bin nicht klüger als zuvor...
Aufgrund des Hinweises bezüglich der Routing aktivierung auch den netsh Befehl ausgeführt... leider immer noch kein befriedigendes Ergebnis. Er bleibt weiterhin an der FB hängen.
Da die oben genannten Anleitung sich auf eine Installation bzw. Konfiguration "auf der grünen Wiese" bezieht, vermute ich, dass bei Windows iwo noch eine alte Konfig drin hängt, die ich nicht sehe.
Ich bin für jeden konstruktiven Hinweis überaus dankbar!
Vielen Dank im voraus.
bisher war ich nur passiver Nutznießer, doch heute ist in der oben geschilderten Konfiguration etwas geplatzt, sodass für mich nun ein unlösbar erscheinendes Problem vorhanden ist.
Folgendes Setting war bisher in Betrieb:
Fritzbox 6360 Kabel (UM - statische IP von UM) -> Linksys-Router RV042 (172.16.1.1) --> ServerPC Windows Server 2008RS2 (172.16.254.1; 255.255.255.0 & 192.168.115.1; 255.255.255.0)--> Intranet
Diese, wie oben beschriebene Konfiguration funktionierte problemlos.
Nun hat sich wohl aufgrund eines technischen Defektes der Linksys-Router verabschiedet, er blinkt nur noch wild mit der Diag-Diode.
Folglich habe ich diesen aus der Konfiguration entfernt und die entsprechenden Lan-Konfigurationen geändert:
Fritzbox 6360 Kabel (UM - statische IP von UM;255.255.255.252) --> ServerPC Windows Server 2008RS2 (statische IP+1; 255.255.255.0 & 192.168.115.1; 255.255.255.0)--> Intranet
Im ersten Moment wollte ich bereits himmelhoch jauchzen, da der Server problemlos seine Internetverbindung aufbaute, doch ich war zu Tode betrübt, als die Clients sich weigerten.
Ergo: der Fritzbox erstmal das Routing zu füttern gegeben: 192.168.115.0; 255.255.255.0; GW: statische IP+1
Allerdings führte das ebenfalls nicht zum Aufbau einer Netzverbindung von den Clients.
nochmals den Artikel gelesen und die Probleme und Hilfestellungen:
ping von den Clients an den Server: 192.168.115.1 check
ping von den Clients an den Server: statische IP+1 check
ping von den clients an die Fritzbox: statische IP check
ping an google.de: fail; ABER:
DNS auflösung erfolgt.
nächster Schritt: tracert an google.de --> server check; statische IP FB check; Zeitüberschreitung der Anforderung... :/
Da steh ich nun, ich dummer Tor und bin nicht klüger als zuvor...
Aufgrund des Hinweises bezüglich der Routing aktivierung auch den netsh Befehl ausgeführt... leider immer noch kein befriedigendes Ergebnis. Er bleibt weiterhin an der FB hängen.
Da die oben genannten Anleitung sich auf eine Installation bzw. Konfiguration "auf der grünen Wiese" bezieht, vermute ich, dass bei Windows iwo noch eine alte Konfig drin hängt, die ich nicht sehe.
Ich bin für jeden konstruktiven Hinweis überaus dankbar!
Vielen Dank im voraus.
!!! Update unten!!!
Hi aqui und erstmal vielen Dank für Deine Antwort,
"Ergo: der Fritzbox erstmal das Routing zu füttern gegeben: 192.168.115.0; 255.255.255.0; GW: statische IP+1"
---
Update 15.7.
nachdem nun ein Nachfolge-Ersatzgerät angeliefert wurde und ich die Konfigurationen wieder hergestellt habe, läuft das Netzwerk in der ursprünglichen Variante wieder voll und ganz zur Zufriedenheit.
Danke für Deine Hilfe Aqui!
Hi aqui und erstmal vielen Dank für Deine Antwort,
Du hast es selber erkannt und auch das du das obige Tutorial nicht richtig gelesen hast sonst wäre der Thread hier überflüssig.
Entschuldige bitte, aber ich habe das obige nach bestem Wissen und gewissen umgesetzt, und es funktionierte ja auch in der urspürnglichen Konfiguration. Erst durch den Ausfall des Linksys-Routers und den Versuch, die ursprünglich funktionierende Konfiguration zu verändern und auf die neuen Gegebenheiten, sprich ohne 172. Netzwerk, anzupassen, resultiert das Problem, dass ich mit den Clients nicht mehr über den DSL-Router hinaus komme.Dein Server mit den 2 NICs macht vermutlich kein ICS (NAT) am Port zur FB, richtig ??
korrekt. es wird ja auch empfohlen, davon abzusehen, bzw. dies nur im Notfall einzurichten.Damit ist es zwingend erforderlich das du eine statische Route auf der FB einträgst !!
Hast du das gemacht ??
ja, habe ich, zwar etwas salopp beschrieben:Hast du das gemacht ??
"Ergo: der Fritzbox erstmal das Routing zu füttern gegeben: 192.168.115.0; 255.255.255.0; GW: statische IP+1"
Lies dir bitte dazu das Kapitel:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
und folgende nochmal GENAU durch und passe deinen Konfig entsprechend an !
Vielleicht sehe ich es nicht richtig, doch handelt es sich an angegebener Stelle primöär um NAT und im Folgenden um spezifische Routerlösungen. Von den beschriebenen Settings trifft m.E. keines auf meine Situation zu.Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
und folgende nochmal GENAU durch und passe deinen Konfig entsprechend an !
Achte bei einem Winblows Server ebenfalls auf die interne Firewall und passe die ebenso an das diese diese Daten passieren lässt !!
Hier habe ich durch temporäre Deaktivierung versucht, den Fehlerherd auszumerzen.Im Zweifel nimm immer einen Wireshark Sniffer und sieh dir den Traffic an. dann sieht du sofort was los ist !
Danke für den Hinweis, das werde ich morgen prüfen.---
Update 15.7.
nachdem nun ein Nachfolge-Ersatzgerät angeliefert wurde und ich die Konfigurationen wieder hergestellt habe, läuft das Netzwerk in der ursprünglichen Variante wieder voll und ganz zur Zufriedenheit.
Danke für Deine Hilfe Aqui!
Hallo aqui!
Vielen Dank für diese ausführliche Anleitung! Sehr interressant fand ich den Abschnitt "Routing mit OpenWRT Router" und habe versucht, das so umzusetzen. Da der TP-Link_WR841N nicht mehr erhältlich ist, habe ich mir den TL-WR1043ND besorgt und die aktuelle OpenWrt Version 15.05.1 drauf gemacht. Die Einstellungen habe ich genau wie oben vorgenommen; lediglich den DHCP Server auf WAN Seite habe ich nicht aktiviert, da ich ihn nicht benötige:
Allerdings kommt in meinem Fall die Route nicht zustande:
Irgendwie habe ich gerade keine Idee, woran das liegen kann. Was mache ich falsch?
Gruß,
Volker
PS.:
am ICMP Protokoll liegt es nicht, das ist auf beiden Seiten aktiviert. Dem Router selbst antworten beide PC ganz freundlich:
PPS.:
Es klappt nun! Es lag doch am ICMP Protokoll. Das war zwar aktiviert, jedoch war der erlaubte Bereich jeweils auf "lokales Subnetz" beschränkt. Nach dem Eintrag von "172.16.1.0/24" auf dem einen PC bzw. "192.168.1.0/24" auf dem anderen funktioniert es doch!
Nochmals vielen Dank für die Anleitung!
Gruß,
Volker
Vielen Dank für diese ausführliche Anleitung! Sehr interressant fand ich den Abschnitt "Routing mit OpenWRT Router" und habe versucht, das so umzusetzen. Da der TP-Link_WR841N nicht mehr erhältlich ist, habe ich mir den TL-WR1043ND besorgt und die aktuelle OpenWrt Version 15.05.1 drauf gemacht. Die Einstellungen habe ich genau wie oben vorgenommen; lediglich den DHCP Server auf WAN Seite habe ich nicht aktiviert, da ich ihn nicht benötige:
Allerdings kommt in meinem Fall die Route nicht zustande:
Irgendwie habe ich gerade keine Idee, woran das liegen kann. Was mache ich falsch?
Gruß,
Volker
PS.:
am ICMP Protokoll liegt es nicht, das ist auf beiden Seiten aktiviert. Dem Router selbst antworten beide PC ganz freundlich:
PPS.:
Es klappt nun! Es lag doch am ICMP Protokoll. Das war zwar aktiviert, jedoch war der erlaubte Bereich jeweils auf "lokales Subnetz" beschränkt. Nach dem Eintrag von "172.16.1.0/24" auf dem einen PC bzw. "192.168.1.0/24" auf dem anderen funktioniert es doch!
Nochmals vielen Dank für die Anleitung!
Gruß,
Volker
Hallo erstmal! (extra angemeldet)
erstmal vorweg, hervorragende Erklärung, welche man auch mit lückenhaften Wissen nachvollziehen kann. Ich habe jedoch noch in Paar Fragen.
Ich habe auch vor 2 LANs mit einander zu verbinden, in meinem Scenario hat aber jedes dieser LAN eine eigene Internetanbindung, welche auch aus dem jeweiligen Adressbereich genutzt werden soll (DS-Lite auf der einen und IPv4 auf der anderen). Stellt dies ein Problem dar? Irgendwie wird bei allen Scenarios immer nur von einer einzelnen Internetverbindung gesprochen.
Ich habe nun schon mehrfach gelesen, das davon abgeraten wird eine Fritzbox für die Aufgabe des statischen Routens zu nehmen -ins Detail geht aber irgendwie keiner. Daher: Warum eigentlich? Klar -die Einstellungsmöglichkeiten sind definitiv beschränkt im Vergleich zu einem OpenWRT Router, aber eine 7360 kriege ich in einem Angebot gerade für 17€ mit 2 Jahren Gewährleistung (Vom Hersteller generalüberholt). Diese hat Gbit und ausreichend "nicht" WAN Ports für mich. Übersehe ich etwas?
Über eine kurze Rückmeldung würde ich mich freuen!
erstmal vorweg, hervorragende Erklärung, welche man auch mit lückenhaften Wissen nachvollziehen kann. Ich habe jedoch noch in Paar Fragen.
Ich habe auch vor 2 LANs mit einander zu verbinden, in meinem Scenario hat aber jedes dieser LAN eine eigene Internetanbindung, welche auch aus dem jeweiligen Adressbereich genutzt werden soll (DS-Lite auf der einen und IPv4 auf der anderen). Stellt dies ein Problem dar? Irgendwie wird bei allen Scenarios immer nur von einer einzelnen Internetverbindung gesprochen.
Ich habe nun schon mehrfach gelesen, das davon abgeraten wird eine Fritzbox für die Aufgabe des statischen Routens zu nehmen -ins Detail geht aber irgendwie keiner. Daher: Warum eigentlich? Klar -die Einstellungsmöglichkeiten sind definitiv beschränkt im Vergleich zu einem OpenWRT Router, aber eine 7360 kriege ich in einem Angebot gerade für 17€ mit 2 Jahren Gewährleistung (Vom Hersteller generalüberholt). Diese hat Gbit und ausreichend "nicht" WAN Ports für mich. Übersehe ich etwas?
Über eine kurze Rückmeldung würde ich mich freuen!
Moin, herzlich willkommen.
erstmal vorweg, hervorragende Erklärung, welche man auch mit lückenhaften Wissen nachvollziehen kann. Ich habe jedoch noch in Paar Fragen.
Das stellst Du am besten als eigene neue Frage statt hier die Anleitung selbst zu überfrachten.
Dann lesen Deine Frage auch mehr Leute als nur die, die in diesem Thread unterwegs waren.
Ich habe auch vor 2 LANs mit einander zu verbinden, in meinem Scenario hat aber jedes dieser LAN eine eigene Internetanbindung, welche auch aus dem jeweiligen Adressbereich genutzt werden soll (DS-Lite auf der einen und IPv4 auf der anderen). Stellt dies ein Problem dar?
Nein.
Irgendwie wird bei allen Scenarios immer nur von einer einzelnen Internetverbindung gesprochen.
Weil das das Standardszenario ist.
Ich habe nun schon mehrfach gelesen, das davon abgeraten wird eine Fritzbox für die Aufgabe des statischen Routens zu nehmen -ins Detail geht aber irgendwie keiner. Daher: Warum eigentlich?
NAT läßt sich nicht abschalten und nur eingeschränkte Konfigurationsmöglichkeiten.
Klar -die Einstellungsmöglichkeiten sind definitiv beschränkt im Vergleich zu einem OpenWRT Router, aber eine 7360 kriege ich in einem Angebot gerade für 17€ mit 2 Jahren Gewährleistung (Vom Hersteller generalüberholt). Diese hat Gbit und ausreichend "nicht" WAN Ports für mich. Übersehe ich etwas?
Ja, die tut nicht das, was Du willst.
Über eine kurze Rückmeldung würde ich mich freuen!
Bitte.
lks
PS: Lies die FAQs!
Danke für die Erklärungen. Beide "Internetrouter" sind bei mir Fritzboxen (7490 und 6590 unbranded), von daher passt es schon mal auf der Seite ganz gut.
Ich frag nochmal doof, weil die o.g. Links bei mir alle ins Leere führen:
Kann man den MikroTik RB750Gr2 (35€ neu) oder RB750Gr3 (58€ neu) als Koppelrouter empfehlen (die kommen mir irgendwie zu günstig für Gbit vor)? Oder doch lieber einen NETGEAR WNDR3700V2 mit DD-WRT (36€ gebraucht)? Ich brauche kein WLAN oder ähnliches, der Router soll nur mit GBit koppeln und so wenig strom wie möglich brauchen. Ich bin selber nicht so der Netzwerker (Grundkenntnisse sind natürlich vorhanden sonst würde ich das auch nicht versuchen) und von meinen bekannten die es eigentlich können sollten krieg ich meist zu hören "Ausbildung schon 10 Jahre her", "kenne mich mit so kleinen Systemen nicht aus" aka. kein Bock
P.s.: Ich hoffe es war ok hier noch einmal auf den Kommentar zu antworten nachdem Lochkartenstanzer mich schon gerügt hat.
Ich frag nochmal doof, weil die o.g. Links bei mir alle ins Leere führen:
Kann man den MikroTik RB750Gr2 (35€ neu) oder RB750Gr3 (58€ neu) als Koppelrouter empfehlen (die kommen mir irgendwie zu günstig für Gbit vor)? Oder doch lieber einen NETGEAR WNDR3700V2 mit DD-WRT (36€ gebraucht)? Ich brauche kein WLAN oder ähnliches, der Router soll nur mit GBit koppeln und so wenig strom wie möglich brauchen. Ich bin selber nicht so der Netzwerker (Grundkenntnisse sind natürlich vorhanden sonst würde ich das auch nicht versuchen) und von meinen bekannten die es eigentlich können sollten krieg ich meist zu hören "Ausbildung schon 10 Jahre her", "kenne mich mit so kleinen Systemen nicht aus" aka. kein Bock
P.s.: Ich hoffe es war ok hier noch einmal auf den Kommentar zu antworten nachdem Lochkartenstanzer mich schon gerügt hat.
Dual Band WLAN usw. für sehr kleines Geld bieten:
http://varia-store.com/Wireless-Systeme/MikroTik-RouterBoard/MikroTik-R ...
Oder die 1 GiG Variante:
http://varia-store.com/Wireless-Systeme/MikroTik-RouterBoard/MikroTik-h ...
Beide Mikrotik Systeme gibt es auch ohne WLAN.
Es gibt keinen WLAN Router am Markt der so flexibel einsetzbar ist zu diesem Preis (ca. 40 Euro) bzw. in der Gigabit Variante wie die Mikrotik Modelle.
http://varia-store.com/Wireless-Systeme/MikroTik-RouterBoard/MikroTik-R ...
Oder die 1 GiG Variante:
http://varia-store.com/Wireless-Systeme/MikroTik-RouterBoard/MikroTik-h ...
Beide Mikrotik Systeme gibt es auch ohne WLAN.
Es gibt keinen WLAN Router am Markt der so flexibel einsetzbar ist zu diesem Preis (ca. 40 Euro) bzw. in der Gigabit Variante wie die Mikrotik Modelle.
Diese links funktionieren bei mir nicht.
Danke für die Sehr schnelle Antwort! Mikrotik HEX RB750Gr2 bestellt. Bei 35€ inkl. Versand kann man ja echt nix sagen!
Zitat von @aqui:
Es sei aber zusätzlich auf das sehr gute Tutorial von „Atti“ hier verwiesen, der eine WLAN Kopplung 2er Netze schon sehr detailiert beschrieben hat unter Zwei Netze über WLAN miteinander verbinden
Es sei aber zusätzlich auf das sehr gute Tutorial von „Atti“ hier verwiesen, der eine WLAN Kopplung 2er Netze schon sehr detailiert beschrieben hat unter Zwei Netze über WLAN miteinander verbinden
Die URL stimmt nicht mehr.
404 Page not found.
Zitat von @Kabuntel:
Die URL stimmt nicht mehr.
404 Page not found.
Zitat von @aqui:
Es sei aber zusätzlich auf das sehr gute Tutorial von „Atti“ hier verwiesen, der eine WLAN Kopplung 2er Netze schon sehr detailiert beschrieben hat unter Zwei Netze über WLAN miteinander verbinden
Es sei aber zusätzlich auf das sehr gute Tutorial von „Atti“ hier verwiesen, der eine WLAN Kopplung 2er Netze schon sehr detailiert beschrieben hat unter Zwei Netze über WLAN miteinander verbinden
Die URL stimmt nicht mehr.
404 Page not found.
Versuchs damit:
Zwei Netze über WLAN miteinander verbinden
lks
PS: Nachdem Frank das Forum seitdem mehmals umgebaut hat, passiert es manchmal, daß die alten Links nicht gehen, weil die URLs sich geänder haben. Dann kann man aber einfach über die Suche die Anleitungen wiederfinden.
@aqui: Respect! Du solltest Schriftsteller werden und würde mir auch deine Bücher kaufen. Hab auch für dich auch ein Buchtiteln Planung:
From Zero to Hero \ Network.
Zum Betrieb von Mikrotik-Router:
1.Dann wäre bzw. ist der genannte Mikrotik-Router ein 3 Layer-Switch für small business-Bereich?(Siehe Anhang)
2.Sind die auch für unternehme Netzwerke bis sagen wir mal insgesamt 50 Geräte mit einem durchschnittlichen Durchsatz von 20-30 Mbit/s gut geeignet?
3. Schafft der auch 200 aktive Hotspot-Clients(Wlan-User)?
vg
dece
From Zero to Hero \ Network.
Zum Betrieb von Mikrotik-Router:
1.Dann wäre bzw. ist der genannte Mikrotik-Router ein 3 Layer-Switch für small business-Bereich?(Siehe Anhang)
2.Sind die auch für unternehme Netzwerke bis sagen wir mal insgesamt 50 Geräte mit einem durchschnittlichen Durchsatz von 20-30 Mbit/s gut geeignet?
3. Schafft der auch 200 aktive Hotspot-Clients(Wlan-User)?
vg
dece
ich hab zwei Verständnisfragen zum statischem-Routing bezogen auf das obige Beispiel (Internet/Router->Router oder Double-NAT). Bitte hab Verständnis zum meinen dummen Fragen :D:
1.) Also warum braucht man statisches Routing wenn man Router in Kaskade betreibt? Denn jeder Router ist NAT fähig, man schließt das hinter einem Modem an und der Router routet die zugewiesen IP von Provider zum privaten IP-Interface und
der Betrieb Router in Kaskade ist doch genau der gleiche Prinzip. da der Internet/Router dem internen Router eine IP zuweißt, der wiederum zwischen den beiden Netzen routet. Über den Subnetz des internen Router erreicht man doch das Internet, wozu statistisches Routen?
Daher verstehe ich auch nicht, warum auf der Supportseite von der Fritzbox bei statischem Router im Beispiel von einem weiterem Router die Rede ist ?
In meinem Fall betreibe ich ein Speedport-Router(kein statisches Routen) dahinter angeschlossen ein Draytek-Router was fabelhaft funktioniert.
2.) Ich sehe nur bei statisches Routing von L2-Switch(VLAN) den Sinn, da Sie kein Routing-Eigenschaften besitzen. Oder in deinem obigem Fall wo man für ein Rechner ein Routing-Tabelle erzeugt.
Nur zu Anmerkung, ich weiß wie man statisches Routing konfiguriert, aber den Sinn habe ich nicht ganz verstanden .
1.) Also warum braucht man statisches Routing wenn man Router in Kaskade betreibt? Denn jeder Router ist NAT fähig, man schließt das hinter einem Modem an und der Router routet die zugewiesen IP von Provider zum privaten IP-Interface und
der Betrieb Router in Kaskade ist doch genau der gleiche Prinzip. da der Internet/Router dem internen Router eine IP zuweißt, der wiederum zwischen den beiden Netzen routet. Über den Subnetz des internen Router erreicht man doch das Internet, wozu statistisches Routen?
Daher verstehe ich auch nicht, warum auf der Supportseite von der Fritzbox bei statischem Router im Beispiel von einem weiterem Router die Rede ist ?
In meinem Fall betreibe ich ein Speedport-Router(kein statisches Routen) dahinter angeschlossen ein Draytek-Router was fabelhaft funktioniert.
2.) Ich sehe nur bei statisches Routing von L2-Switch(VLAN) den Sinn, da Sie kein Routing-Eigenschaften besitzen. Oder in deinem obigem Fall wo man für ein Rechner ein Routing-Tabelle erzeugt.
Nur zu Anmerkung, ich weiß wie man statisches Routing konfiguriert, aber den Sinn habe ich nicht ganz verstanden .
Verständnisfragen zum Routing:
Bei mir läuft alles zu 100% und meine Frage ist privater Natur (Heimnetz: möchte VLAN einführen und muss erstmal Routing begreifen), da Routing nicht zu meinem beruflichen Umfeld gehört und mir in dieser Hinsicht die Kenntnisse fehlen. Von daher habe ich mir gestern nach Lesen des Threads (90% davon nicht begriffen) dieses Testnetz in Hyper V aufgebaut und schrittweise in Betrieb genommen und nachträglich skizziert (kann sein, dass Verschreiber in den Adressen vorhanden sind):
Es handelt sich hier um 2 Subnetze Vmnet3 und 4 die ich zuerst aufgebaut habe (NIC1 deaktiviert) und mittels Windows Routing und RAS Dienst "verbunden" habe. PC1+2 hatten feste IP + GW. Später kam noch DHCP Relaying auf dem Windows Router hinzu, um den vorhanden hochverfügbaren DHCP Server nutzen zu können.
Nun meine Verständnisfragen/Annahmen:
1. Man benötigt auf dem Router (hier Win Srv 2019) keine statischen Routen, um direkt in das benachbarte Netz zu kommen.
- Jedenfalls waren die PCs im benachbarten Subnetz pingbar.
Dies liegt darin begründet, dass der Router seine eigenen Subnetze kennt und automatisch zwischen selbigen routet.
2. Statische Routen (wenn man kein Routingprotokoll wie RIP etc. nutzt) werden nur erforderlich, wenn man mehr als einen Hop auf der Route hat. D.h., sobald man über 2 Router gehen muss, sind Ruten zu setzen
3. Auf dem Win Srv 2019 funktionierte das Routing sofort (nachdem Routing und RAS Services gestartet sind) ohne extra Routen (NIC1 war dort noch deaktiviert) und auch ohne den Eintrag eines Gateways auf NIC2 und 3.
Benötigt man den Gateway-Eintrag lediglich, wenn man in "externe Netze" mittels "route -p add 0.0.0.0 MASK 0.0.0.0 Gateway ..." weiter routen möchte?
4. Zwei Netze Vmnet3 und Vmnet4 an einem Switch, soll kein Problem sein:
2 verschiedene netze auf einem switch
Ist es aber schon, wenn man DHCP Relaying nutzt, dass musste ich gestern feststellen. Wer das verwendet, weiß auch warum .
5. Kann man im Netzwerkdiagramm einen virtuellen Switch einfach als Ethernet-Netzwerksymbol darstellen, so wie im Bild?
Danke Vorab
Bei mir läuft alles zu 100% und meine Frage ist privater Natur (Heimnetz: möchte VLAN einführen und muss erstmal Routing begreifen), da Routing nicht zu meinem beruflichen Umfeld gehört und mir in dieser Hinsicht die Kenntnisse fehlen. Von daher habe ich mir gestern nach Lesen des Threads (90% davon nicht begriffen) dieses Testnetz in Hyper V aufgebaut und schrittweise in Betrieb genommen und nachträglich skizziert (kann sein, dass Verschreiber in den Adressen vorhanden sind):
Es handelt sich hier um 2 Subnetze Vmnet3 und 4 die ich zuerst aufgebaut habe (NIC1 deaktiviert) und mittels Windows Routing und RAS Dienst "verbunden" habe. PC1+2 hatten feste IP + GW. Später kam noch DHCP Relaying auf dem Windows Router hinzu, um den vorhanden hochverfügbaren DHCP Server nutzen zu können.
Nun meine Verständnisfragen/Annahmen:
1. Man benötigt auf dem Router (hier Win Srv 2019) keine statischen Routen, um direkt in das benachbarte Netz zu kommen.
- Jedenfalls waren die PCs im benachbarten Subnetz pingbar.
Dies liegt darin begründet, dass der Router seine eigenen Subnetze kennt und automatisch zwischen selbigen routet.
2. Statische Routen (wenn man kein Routingprotokoll wie RIP etc. nutzt) werden nur erforderlich, wenn man mehr als einen Hop auf der Route hat. D.h., sobald man über 2 Router gehen muss, sind Ruten zu setzen
3. Auf dem Win Srv 2019 funktionierte das Routing sofort (nachdem Routing und RAS Services gestartet sind) ohne extra Routen (NIC1 war dort noch deaktiviert) und auch ohne den Eintrag eines Gateways auf NIC2 und 3.
Benötigt man den Gateway-Eintrag lediglich, wenn man in "externe Netze" mittels "route -p add 0.0.0.0 MASK 0.0.0.0 Gateway ..." weiter routen möchte?
4. Zwei Netze Vmnet3 und Vmnet4 an einem Switch, soll kein Problem sein:
2 verschiedene netze auf einem switch
Ist es aber schon, wenn man DHCP Relaying nutzt, dass musste ich gestern feststellen. Wer das verwendet, weiß auch warum .
5. Kann man im Netzwerkdiagramm einen virtuellen Switch einfach als Ethernet-Netzwerksymbol darstellen, so wie im Bild?
Danke Vorab
Vielen Vielen Dank ..
habe das Plus gefunden (hätte ich ohne den Hinweis nie gesehen und auch beim Erstellen des Artikels schon gesucht)
Habe in Punkt 3 noch ergänzt, dass Routing und RAS aktiv ist. (Dies ist zwar weiter oben schon erwähnt worden, sollte aber zur Klarstellung sicherlich in Punkt 3 nicht fehlen).
habe das Plus gefunden (hätte ich ohne den Hinweis nie gesehen und auch beim Erstellen des Artikels schon gesucht)
Habe in Punkt 3 noch ergänzt, dass Routing und RAS aktiv ist. (Dies ist zwar weiter oben schon erwähnt worden, sollte aber zur Klarstellung sicherlich in Punkt 3 nicht fehlen).
Zitat von @SimpleMind:
Routing mit OpenWRT Router
"Fortgeschrittene Nutzer können den konfigurierten Switch über die 4 Ethernet Ports auflösen und dann mit max. 5 Ports routen."
Geht das auch mit einer FB4040? Mir werden die LAN-Ports als ein Block angezeigt.
Routing mit OpenWRT Router
"Fortgeschrittene Nutzer können den konfigurierten Switch über die 4 Ethernet Ports auflösen und dann mit max. 5 Ports routen."
Geht das auch mit einer FB4040? Mir werden die LAN-Ports als ein Block angezeigt.
Nein, liegt am Switch-Chip.
Serie: Routing-Tutorials
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik92Mikrotik VLAN Konfiguration ab RouterOS Version 6.41157Mit einem WLAN zwei LAN IP Netzwerke verbinden15VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern81Routing von 2 und mehr IP Netzen mit Windows, Linux und Router121Kopplung von 2 Routern am DSL Port267