[Frage] Zwei Netzwerke, mit unterschiedlichen IP-Bereichen, per LAN verbinden.

[zwolle]

Hallo,



wer kann mir bei folgendem Problem helfen?



Ich möchte zwei Netzwerke, mit unterschiedlichen IP-Bereichen, per LAN verbinden. Das hört sich erst einmal einfach an, bereitet mir allerdings Probleme.



Jedes der Netze hat einen eigenen Internet-Router mit dhcp und soll auch so bestehen bleiben.

An den Clients soll nichts geändert werden, die sollen Ihre Netzwerkeinstellungen über dhcp bekommen.



Netz 1 = 192.168.8.0

Maske = 255.255.255.0

Gateway = 192.168.8.1

DHCP = 192.168.8.2 – 192.168.8.200



Netz 2 = 192.168.9.0

Maske = 255.255.255.0

Gateway = 192.168.9.1

DHCP = 192.168.9.2 – 192.168.9.200



Eigentlich sollte das doch mit einer Fritzbox 7360 funktionieren.



Ich habe der 7360 die IP 192.168.9.201 gegeben (dhcp aus).

Internet über LAN1 mit einer festen IP 192.168.8.201.


Der Router des 1. Netzes bekam die statische Route

Netz 192.168.9.0 255.255.255.0

Über Gateway 192.168.8.201





Der Router des 2. Netzes bekam die statische Route

Netz 192.168.8.0 255.255.255.0

Über Gateway 192.168.9.201



Leider funktioniert das ganze nur in eine Richtung.

Aus dem Netz 2 in das Netz 1 kann ich alle Adressen erreichen.

Aus dem Netz 1 komme ich nur bis zum Gateway 192.168.8.201



Kann das an der fritzboxeigenen Firewall liegen?

Ich habe es auch schon erfolglos mit Portfreigaben versucht.



Wo hängt es?
Oder ist die Fritzbox dazu nicht geeignet?



Viele Grüße


zwolle

 

[andiling]

Das liegt in der Tat an der Firewall der im Router Modus betriebenen 7360, die die Pakete nicht weiterleitet. Portfreigaben müssten allerdings klappen wenn Du die Netz 1-IP der 7360 nimmst.

Die gängige Lösung for solche Konstellationen ist z.B. eine LAN-LAN-VPN Verbindung zwischen beiden Routern.

 

[Kalle2006]

Wozu soll das ganze eigentlich gut sein? Was ist das Ziel?

 

[zwolle]

Danke für die Antwort, da habe ich wohl noch irgendwo einen Fehler in der Freigabe.

 

[zwolle]

Ziel ist das Ganze zu trennen.
Es existieren zwei DSL-Router die beide DHCP sprechen.
Router 1 = 192.168.8.1
DHCP = 192.168.8.2 – 192.168.1.49

Router 2 = 192.168.8.50
DHCP = 192.168.8.51 – 192.168.1.99

Es sollen aber bestimmte Clients nur IP-Adressen eines bestimmten Routers bekommen (jeder benutzt seinen eigenen Internet Zugang). Das funktioniert aber nicht, da immer der schnellere antwortet.
Vielleicht kann man das auch anders realisieren, für Vorschläge bin ich offen.
Gruß
zwolle

 

[Kalle2006]

Dann brauchst du einen VLAN-fähigen Switch, damit kannst du dann steuern welcher Port mit welchem Router verbunden sein soll.

 

[PeterPawn]

Geht nur mit einem dritten (gesonderten) DHCP-Server, bei dem man die vergebenen Adressen anhand der MAC-Adresse der Clients auch konfigurieren kann und dann schaltet man die beiden Server in den FRITZ!Boxen ab.

Andere Lösungen sind zumindest mit der originalen Firmware (meines Wissens) nicht machbar, da man keine Zuordnungen für Clients anhand der MAC-Adresse "verbieten" kann, so daß der multid der FRITZ!Box immer auf einen Request antworten wird und bei mehr als einer DHCP-Antwort trifft der Client die Auswahl (das mit einem simplen "der Schnellere gewinnt" sollte eigentlich so nicht sein, der Standard gibt da deutliche Hinweise, daß zwei DHCP-Server in einem Netz auch koexistieren/kooperieren sollen, schon wegen der Ausfallsicherheit).

So ein gesonderter DHCP-Server kann dann auch einfach nur ein anderes Gateway (anstelle eines anderen Netzwerksegments) an die Clients ausliefern, damit diese eine definierte Internetverbindung benutzen, wenn die ansonsten weiterhin untereinander kommunizieren können sollen, das spart ggf. einiges an Routing im LAN. Den gesonderten Server packt man auf einen RasPi o.ä., wenn man nicht ohnehin noch ein passendes Gerät 24/7 im Netzwerk laufen hat.

EDIT:
Das mit dem VLAN geht natürlich auch (das trennt dann die gesamte Landschaft in zwei unterschiedliche Netze), aber damit wird die Trennung dann endgültig zementiert (d.h. Kommunikation zwischen diesen Netzen geht nur noch über einen weiteren Router) und jeder Switch im Netz, hinter dem zwei Geräte hängen, die zu unterschiedlichen VLANs gehören sollen, muß dann auch wieder VLAN-fähig sein (und ggf. ausgetauscht werden, wenn er es noch nicht ist).

 

[eisbaerin]

Oder ist die Fritzbox dazu nicht geeignet?

Richtig, da sie NAT macht. Ein ganz normaler Router geht da.

 

[PeterPawn]

Ein ganz normaler Router geht da.

Kannst Du mal ein Beispiel für einen (handelsüblichen und bezahlbaren) "Nur"-Router im Home-Segment geben? Ich kenne mich da nicht so aus ... alles was ich bisher in der Hand hatte, machte dann (schon damit der dumme Kunde das nicht falsch konfigurieren kann) auch NAT, wenn es als Router arbeitete. Ansonsten kenne ich solche Router eigentlich nur als Eigenbau oder aus dem semi-professionellen Bereich, wo in einer Firma mehrere Netze miteinander verbunden werden müssen und das mit Switches wegen der dann auch auf L2 vergrößerten Broadcast-Domain nicht möglich/gewünscht ist.

Für die angesprochene Aufgabenstellung bräuchte man dann ja einen Router, der in der Lage ist, wenigstens drei Netzwerk-Segmente miteinander zu verbinden und den Verkehr zwischen diesen zu vermitteln (LAN + 2x (zumindest der Richtung nach) WAN) oder wie müßte man sich eine entsprechende Topologie vorstellen?

 

[eisbaerin]

Na, z.B. geht der WRT54 mit DD-WRT. Da hat mir KunterBunter mal gesagt wie man das NAT abschalten kann.
Eigentlich müßte jeder Router mit DD-WRT gehen und Open-WRT denke ich auch.

Ich weiß es jetzt nicht mehr, ob es sogar mit einem speziellen Parameter in der ar7.cfg auch in der FB ging.

wenigstens drei Netzwerk-Segmente

Nach #1 sollten 2 reichen, die die beiden Netze:

Netz 1 = 192.168.8.0
Netz 2 = 192.168.9.0

miteinander verbindet.

 

[PeterPawn]

Ok, das sind dann aber bei mir Geräte, die (selbst wenn sie mit DD-WRT "ab Werk" laufen) eher unter "Eigenbau" fallen ... und nach #5 (den gab es bei Deinem Beitrag auch schon) gibt es Clients, die mit dem einen WAN-Router kommunizieren sollen und andere Clients, die den anderen benutzen sollen.

Solange da auf der "linken Seite" des Routers also ein Gerät ist, das das Gateway auf der "rechten Seite" benutzen soll, braucht so ein Client dann immer spezielle Einstellungen für sein "gateway" - entweder statisch oder per DHCP. Nach #5 sind es eben doch drei verschiedene Netze ... einmal 192.168.8.1-49 (was schon mal nicht zielführend ist, denn das ist keine "binäre Aufteilung"), zum zweiten 192.168.8.51-99 und dann (warum weiß ich aber auch nicht) noch 192.168.9.0/24.

Man merkt doch aber schon an der Fragestellung und den Präzisierungen, daß der TE eher keine richtige Idee hat, wie er das am Ende realisieren soll. Da finde ich (persönlich) den Hinweis auf einen "normalen Router" eben richtig, aber wenig hilfreich, wenn man das nicht etwas näher erläutert.

Außerdem bleibe ich dabei, daß da ein dritter DHCP-Server mit weiterreichenden Konfigurationsmöglichkeiten als der einer FRITZ!Box die gestellte Aufgabe (die ich so verstanden habe, daß in einem gemeinsamen Netzwerk unterschiedliche Gateways ins Internet genutzt werden sollen und erst als das geklärt war, bin ich überhaupt eingestiegen, weil aus #1 wohl nur die wenigsten Leser schlau werden) am ehesten löst, wenn die anderen Clients miteinander kommunizieren dürfen und sollen. Will man das komplett trennen, ist sicherlich die VLAN-Lösung (wobei selbst ein einzelner kleiner VLAN-fähiger 5-Port-Switch preislich schon fast an einen RasPi heranreicht) der einfachste (und auch für Laien konfigurierbare) Weg. Natürlich kann man auch einen WRT-Router ohne NAT einsetzen ... wenn der bereits im Schrank liegt, ist das sicherlich auch eine (preislich attraktive) Alternative. Wobei ich dann die "erweiterte Aufgabenstellung" aus #5 mit einem einfachen Router immer noch nicht gelöst sehe ... dieser Router kann ja dann nur zwei (IP-)Netzsegmente miteinander verbinden, das führt ja noch nicht dazu, daß so ein Client auch das richtige Gateway benutzt.

Vielleicht sollte man noch erwähnen, daß natürlich die Konfiguration von statischen IP-Einstellungen das ganze Konstrukt vollkommen ersetzen kann, dann stellt man einfach das richtige Gateway am Client fest ein und alles ist Wölkchen ...

 

[eisbaerin]

#5 ist für mich nur ein anderer hilfloser Versuch von #1 (mit anderen IP Bereichen), so nach dem Motto:
Wenn beide 192.168.8.x haben, dann ist es ja ein Netz und ich brauch nicht mehr routen.

Wie fast immer (auch in dem anderen Thema) erhalten wir viel zu wenig Informationen, und da denkt sich dann halt jeder was anderes.

Ich vermute daß es 2 bisher getrennte Abteilungen/Firmen/Bereiche sind, die jetzt aber gegenseitig z.B. auf die Server zugreifen wollen. Es hat ja in #1 schon fast geklappt, aber nur in eine Richtung, und das liegt am NAT.
Deshalb die 2 Netze einfach mit einem normalen Router (ohne NAT) verbinden.

Solange da auf der "linken Seite" des Routers also ein Gerät ist, das das Gateway auf der "rechten Seite" benutzen soll

Das war IMO nicht gefordert.

Wenn keine hohen Geschwindigkeiten nötig sind, könnte man es auch per VPN lösen.

Wir wissen ja noch nicht mal was das für 2 DSL Router sind.

 

[PeterPawn]

Ich vermute daß es 2 bisher getrennte Abteilungen/Firmen/Bereiche sind, die jetzt aber gegenseitig z.B. auf die Server zugreifen wollen.

Hoffentlich nicht ... ich will auch dem TE nicht zu nahe treten, aber wenn das tatsächlich in diese Richtung gehen sollte, dann holt man sich professionelle Hilfe "mit einem Plan" (das sind schließlich Betriebsausgaben) und "pfriemelt" das nicht irgendwie hin.

Aber bei den fehlenden Informationen stimme ich Dir zu ... die unterschiedlichen "Vorstellungen" (ich denke mal wieder an ein Heimnetzwerk, das z.B. über DOCSIS und DSL gleichzeitig angeschlossen ist und sei für eine Übergangszeit beim Anbieterwechsel) bleiben aber wohl bestehen und können nur vom TE zu einer Klärung gebracht werden.

 

[eisbaerin]

Ja OK, bei Abteilungen und Firmen habe ich vielleicht zu hoch gegriffen. (ist halt berufsbedingt )
Nennen wir es 2 Freunde, die Wohnung an Wohnung oder Haus an Haus wohnen.

Aber laut Titel sind es 2 Netzwerke mit jeweils ihren Clients.
Und die Clients sollen weiterhin über ihren bisherigen DSL Router ins Internet gehen.
Also alles bleibt entweder links oder rechts.

Nur man möchte halt gegenseitig auf was auch immer zugreifen.
Das geht bestimmt auch mit Freigaben in der FB, wenn man wüßte um was und wieviel es geht.
Aber einfacher geht es auf jeden Fall mit einem normalen Router.

 

[zwolle]

Ist ja Wahnsinn, die vielen Antworten erschlagen mich.

Zu den fehlenden Informationen:
Es geht um 2 private Haushalte die jeweils ein Netzwerk mit einem DSL-Anschluss betreiben.
Mit Hilfe des gemeinsamen Netzes 192.168.8.0 kann jeder jeden erreichen und Daten austauschen, nur die DHCP-Geschichte stört uns. Deshalb die Idee mit den 2 Netzen.
Clients auf der linken Seite des Routers sollen auch das Gateway dieser Seite benutzen, dass gleiche gilt für die rechte Seite.

Die 7360 habe ich wegen der 2x1Gb-Ports gewählt.

Der DSL-Router auf der zukünftigen Seite mit der 192.168.8.0 ist eine Fritzbox.
Der Router auf der zukünftigen Seite mit der 192.168.9.0 ist ein TP-Link TL-ER5120 V1 mit 2 aktiven Internetanbindungen. Die Ports 3 und 4 kann man noch als WAN-Ports konfigurieren, am Port 5 hängt das LAN.
Ich habe versucht das Ganze mit dem 5120 über den WAN-Port 3 zu konfigurieren. Das Ergebnis ist das gleiche, es funktioniert nur in eine Richtung da man die Firewall nicht Portweise konfigurieren kann.

 

[PeterPawn]

@eisbaerin:
Ok, Deine Variante der Interpretation stimmt ... nun ist es an Dir ihm klarzumachen, daß die (offenbar erst frisch erworbene) FRITZ!Box 7360 da das falsche Gerät ist, solange man sich nicht an der ar7.cfg zu schaffen macht (und da weiß ich bei der 7360 nicht einmal, ob das funktionieren würde mit der Aufteilung in verschiedene Interfaces).

 

[eisbaerin]

Die Ports 3 und 4 kann man noch als WAN-Ports konfigurieren

Gehen die nicht auch als LAN-Ports für das Netz 192.168.8.0 zu konfigurieren?
DHCP auf diesem Netz/Port ausschalten.
Dann sollte das gehen.
Der FB auf der anderen Seite natürlich noch eine Route für das 9'er Netz geben.

Jeder WAN-Port macht NAT und dann hast du es wieder, daß es nur in eine Richtung geht.

Du hast doch einen guten Router, da kannst du die FB7360 wieder verkaufen (z.B. hier im Flohmarkt).

Ich habe versucht das Ganze mit dem 5120 über den WAN-Port 3 zu konfigurieren.

Da war schon fast alles richtig, du hättest nur LAN statt WAN nehmen müssen.

---

---

Ok, Deine Variante der Interpretation stimmt

Und das von dir, das geht ja runter wie Öl

nun ist es an Dir ihm klarzumachen, daß die (offenbar erst frisch erworbene) FRITZ!Box 7360 da das falsche Gerät ist

Das schrieb ich doch schon in #8.

und da weiß ich bei der 7360 nicht einmal, ob das funktionieren würde mit der Aufteilung in verschiedene Interfaces

Da denkst du IMO wieder mal viel zu kompliziert.
Router über LAN1 kann sie, da ist Port1 doch schon getrennt, und jetzt nur noch das NAT abschalten, und fertig.

 

[zwolle]

@Eisbärin
Port 3 als LAN hatte ich auch schon gedacht, aber an dem 5120 kann ich DHCP nur für alle Ports aktivieren oder deaktivieren. Bzw. ich habe diese Funktion nicht gefunden.
Ihr habt mich aber noch auf eine andere Idee gebracht. Ich werde den DHCP auf dem 5120 deaktivieren und auf den beiden LAN-Ports in verschiedene VLANs konfigurieren. Auf dem einem Port hängt dann das Netz mit der Fritzbox (DHCP) und auf dem anderen Port mein Netz in dem ich ein NAS betreibe. Auf dem NAS werde ich DHCP aktivieren. Das Routing zwischen den VLANs sollte dann der 5120 übernehmen.
Bis ich dazu komme, kann es aber noch eine Weile dauern.
Ich werde berichten.

PS: Habt Ihr auch so Probleme mit der Texteingabe? Fließend Schreiben ist mir hier nicht möglich, es werden immer Buchstaben ausgelassen.
Gruß
zwolle

 

[PeterPawn]

Router über LAN1 kann sie, da ist Port1 doch schon getrennt, und jetzt nur noch das NAT abschalten, und fertig.

Und hier wird es ja erst kompliziert oder ich stehe wirklich total auf dem Schlauch ... wie schaltet man denn bei einer FRITZ!Box (im Router-Modus und nur da ist LAN1 ja abgetrennt) mit aktueller Firmware die "network address translation" ab?

Solange die eingeschaltet ist, ist für ingress an der "Firewall" Schluß, es sei denn, man setzt den gemeinsam zu nutzenden Server als "exposed host" ein, dann landet alles von außen, was nicht für andere Ziele bestimmt ist (per Portfreigabe oder direkt auf der FRITZ!Box), an diesem gemeinsamen Server.

Aber ich habe noch nicht einmal verstanden, ob es am Ende um einen einzelnen "shared host" geht oder ob das querbeet laufen soll, z.B. auch für LAN-Spiele o.ä. - das überfordert mich irgendwie etwas, man kann langsam die diversen Threads immer wieder zu denselben Themen auch nicht mehr auseinanderhalten.

 

[eisbaerin]

aber an dem 5120 kann ich DHCP nur für alle Ports aktivieren oder deaktivieren

Solange die in einem VLAN sind ja.
Aber wenn die in unterschiedlichen VLAN's sind, sollte es gehen,
sonst wäre es ein schlechter Router.

---

---

wie schaltet man denn bei einer FRITZ!Box (im Router-Modus und nur da ist LAN1 ja abgetrennt) mit aktueller Firmware die "network address translation" ab?

Ich weiß nicht ob es geht. Wenn dann irgendwie über den Routermodus oder so ähnlich.