Routing mit 2 Netzwerkkarten unter Windows u. Linux

Dieses Tutorial ist eine kurze Anleitung zur Kopplung von 2 Netzsegmenten (Ethernet oder WLAN) über einen Rechner mit 2 Netzwerkkarten. Dieser Rechner kann ein Server oder ein normaler PC sein. Das Netzwerkhandling und die IP Adressierung ist immer dasselbe. Auch ob das verwendete OS Windows oder Linux ist, ist unerheblich außer das bei Windows ein paar Punkte mehr zu beachten sind !

Dieses HowTo beschreibt primär eine Kopplung von 2 Netzen auf Basis einer Kupfervernetzung (Ethernetkabel) über einen Rechner mit 2 Netzwerkkarten. In einem WLAN statt LAN Szenario sind die IP Adresseinstellungen aber genau gleich so das dies HowTo auch uneingeschränkt dafür verwendet werden kann ! Lediglich die Settings für WLAN SSID und Verschlüsselung kommen hinzu ! Ein paar Punkte am Schluss dieses HowTos beleuchten mögliche Designs in einem WLAN Umfeld.
Es besteht ferner keine Limitierung auf 2 Netzwerkkarten auch ein Szenario mit 3 oder mehr Karten ist denkbar. Die Konfigurationsschritte sind aber immer die gleichen wie im Folgenden beschrieben. Bei mehr als 3 Netzwerkkkarten sollte man sich aber dann Gedanken über einen Layer 3 fähigen Switch machen oder einen kleinen externen-Router verwenden, da dann mit einem Server oder PC kein sinnvolles Routing mehr zu empfehlen ist !

Es sei aber zusätzlich auf das sehr gute Tutorial von „Atti“ hier verwiesen, der eine WLAN Kopplung 2er Netze schon sehr detailiert beschrieben hat unter folgendem URL:

http://www.administrator.de/Zwei_Netze_%C ...


OK, wie sieht so ein klassisches Szenario aus was hier im Forum sehr oft angefragt wird:

Grundlegende Betrachtungen:

Sieht man sich so ein Design einmal etwas genauer an, ist es vereinfacht nichts anderes als ein lokal geroutetes Netz:

(Internet)----(DSL Router)----IP Netz----(Server/PC_als_Router)----IP Netz----(Client)

Der Server/PC der beide IP Netze miteinander verbindet ist also schlicht gesehen nichts anderes als ein weiterer Router bzw. muss IP Routingfunktionen zur Verfügung stellen. Generell ist das immer möglich, allerdings sind diese Funktionen im Normalbetrieb bei Windows und Linux in der Grundkonfiguration immer abgeschaltet und müssen erst aktiviert werden damit so ein Netz fehlerfrei funktioniert !

Es gibt also ein paar Vorbedingungen um so ein Szenario erfolgreich zum Laufen zu bekommen, die leider auch abhängig sind von den Möglichkeiten des verwendeten DSL Routers !
In der Regel ist das der Umgang mit zusätzlichen statischen Routen auf dem verwendeten (DSL)Router. Das können leider nicht alle Consumer DSL Router !
Bei vielen Billigsystemen wird auf dieses Feature aus Preisgründen einfach verzichtet. Es macht also durchaus Sinn sich VOR dem Kauf darüber zu informieren ob mein anvisiertes Routermodell das supportet oder nicht, will man so ein Netzwerk wie das obige realisieren !!!
Als Daumenregel gilt: Router die statische Routen nicht unterstützen im Setup sind meist auch sonst schlecht oder mangelhaft in der Ausstattung mit Features also besser: Finger weg davon !!
Wie man aus diesem Dilemma herauskommt wenn man schon so ein (banal) Routersystem besitzt, sollte also der verwendete DSL Router keine zusätzlichen statischen Routen supporten, sehen wir später in diesem Tutorial...

Hier nochmals die wichtigsten Punkte für die Installation:

1.) Beide IP Segmente (Netzwerkkarte-1 und Netzwerkkarte-2) müssen unbedingt in unterschiedlichen IP Netzen sein !!
Der RFC-1918 gibt allen Netzwerk Admins 3 komplette IP Adressbereiche aus denen man sich bedienen kann:
http://de.wikipedia.org/wiki/Private_IP-A ...
Man muss also nicht immer die banalen allerwelts 192.168er Adressen verwenden was auch sehr kritisch sein kann beim Einsatz von VPN !
Kombinationsbeispiele: (Hier mit der Angabe der IP Netze !)

Also z.B. NIC1 = 192.168.1.0, Maske: 255.255.255.0, NIC2 = 172.16.1.0, Maske: 255.255.255.0
oder
NIC1 = 192.168.1.0, Maske: 255.255.255.0, NIC2 = 192.168.2.0, Maske: 255.255.255.0
oder
NIC1 = 10.0.1.0, Maske: 255.255.255.0, NIC2 = 10.0.2.0, Maske: 255.255.255.0
oder...oder...

(Die Beispiel oben beziehen sich auf die Kombination der IP Netzwerke, deshalb die Angabe einer "0" (Alle Hostbits der IP Adresse auf "0") die immer das gesamte IP Netz bezeichnet ! Im reellen Betrieb müssen hier natürlich Host Adressen vergeben werden !
Beispiel: NIC1 = 192.168.1.254, Maske: 255.255.255.0, NIC2 = 172.16.1.254, Maske: 255.255.255.0 (analog für die anderen Beispielnetze..)

2.) Die NIC Adressen des Servers/PCs der auch ein Routing ausführt sollten statisch sein, denn der Server/PC ist ja ebenfalls ein Router und dynamische Adressen die per DHCP (DHCP Server im DSL Router) an ihn verteilt würden, könnten die statischen Routen aushebeln und zum Nichtfunktionieren des Netzes führen !!
Wichtig: Die statischen IP Adressen sollten immer außerhalb der DHCP Range des DSL Routers liegen, um IP Adresskonflikte und Doppelbelegungen zu vermeiden (Fehlfunktion) !! Also immer vorher im Websetup des Routers unbedingt nachsehen wie dieser DHCP Adressbereich eingeteilt ist und ihn bei Bedarf verkleinern sollte er den gesamten IP Hostbereich im Netz umfassen !!! Generell sollte man das so oder so IMMER anpassen um einen gewissen Pool von festen IP Adressen im Netzwerk zur Verfügung zu haben !
Diese Regel gilt sowohl für LAN als auch WLAN Interfaces, sollte einer der Links ein WLAN sein.

3.) Der Router muss den Eintrag zusätzlicher statischer Routen supporten. Kann er das nicht, wie einige Billigstprodukte, muss man mit einem „NAT Trick“ arbeiten. Dazu später unten mehr...

4.) Alle Adressen im „Client Segment“ müssen statisch vergeben werden, da hier ja kein DHCP Server vorhanden ist. (Ausnahme: man lässt einen separaten DHCP Server dafür auf dem Server/PC laufen.)

5.) Statische Routen auf dem Server/PC selber sind NICHT erforderlich !!! (Der Server/PC Rechner kennt ja alle IP Netze, da sie an ihm ja selbst direkt angeschlossen sind !
Ein Fakt zu dem im Forum hier vielfach Falschinformationen gepostet werden !!!

VLAN Routing bzw. VLAN Switches mit Tagged Interfaces

Das Routing von VLANs auf einem VLAN Switch mit nur einer 802.1q Tagging fähigen Netzwerkkarte im PC/Server beschreibt ein gesondertes Tutorial in Anlehnung an diesen Inhalt:

http://www.administrator.de/index.php?con ...
bzw.
http://www.administrator.de/index.php?con ...
mit einem externen Router.

Was ist nun zu konfigurieren ???

Ein Beispiel Netzwerk:

(Alle Adressen sind Beispiele und müssen bei Bedarf an vorhandene IP Netzaddressierungen angepasst werden) Bei einer Installation "auf der grünen Wiese" kann man sie aber so problemlos übernehmen !
IP Netzwerk an Netzwerkkarte-1 (Router-Segment) = 192.168.1.0, Maske: 255.255.255.0 (Hostadresse = .0 bezeichnet immer das Netzwerk selber !)
IP Host Adresse DSL Router: 192.168.1.1 (Wird als Standardgateway eingetragen)
Dann ist die IP Host Adresse der Server NIC1 z.B. die: 192.168.1.254

IP Netzwerk an Netzwerkkarte-2 (PC-Segment) = 172.16.1.0, Maske: 255.255.255.0
Dann ist die IP Host Adresse der Server NIC2 z.B.: 172.16.1.254 (Maske 255.255.255.0)
Gateway und DNS Eintrag bleibt hier leer !

Ohne statische IP Adressvergabe kann natürlich im PC Segment auch DHCP zum Einsatz kommen. Setzt man einen 2k oder 2k3 Serveroder Linux ein haben diese es gleich mit an Bord.
Ist der Verbindungs PC mit den 2 NICs ein XP Rechner der von sich aus ja keinen DHCP Server an Bord hat, kann man z.B. einen kleinen DHCP Server wie diesen:

http://ruttkamp.gmxhome.de/dhcpsrv/dhcpsr ...

zum automatischen Bedienen des PC Segmentes mit IP Adressen benutzen !

Wichtig: Das Routing aktivieren bei Windows und Linux Systemen !!!:

Da das Routing per Default deaktiviert ist, muss man es bei Windows Systemen (und auch bei Linux) explizit einschalten !
Wie man das macht beschreibt Microsoft sehr detailiert in seiner Knowledgebase für Windows XP und Windows 2000 in folgendem Artikel:

Windows XP / Vista
http://support.microsoft.com/?scid=kb%3Bd ...

Windows 2000:
http://support.microsoft.com/kb/230082/DE ...

Windows Server 2003:
Bei Windows 2003/2008 Systemen ist lediglich der RAS/Routing Dienst mit der Option "LAN-Routing" zu aktivieren !

Windows Server SBS 2008:
Achtung: Automatische Konfig nicht supportet mit 2 Netzwerkkarten im NAT (ICS) Modus ! Es ist die Premium Version erforderlich !
Nur eine manuelle Konfig ohne NAT funktioniert !
Siehe: http://blogs.technet.com/sbs/archive/2008 ...
Dieser Thread hier bestätigt das technisch:
http://www.administrator.de/index.php?con ...

Ein Serverbetriebssystem ist bei Windows NICHT zwingend erforderlich. Natürlich funktioniert dieses Szenario mit allen Windows OS' von Win98, XP, Vista usw. bis Server 2008.
Attis Tutorial im Bereich Wireless von oben beschreibt diese Schritte ebenfalls noch einmal.
Wichtig ist das der Rechner nach dem Setzen der Registryparameter rebootet werden muss !!!
Nochmals: Ohne diese Routing Aktivierung ist eine geroutete IP Verbindung über diesen Server/PC nicht möglich !!!
Für eine Address Translation NAT bzw. ICS Konfiguration ist ein Routing Aktivierung NICHT erforderlich, da hier kein natives Routing gemacht wird sondern lediglich die IP Adressen des Client Segments auf die IP Adresse des Router Segments übersetzt wird. Man versteckt in so einer Konfiguration als gewissermaßen das Client Segment.
Details zur ICS (NAT) Konfiguration weiter UNTEN um Tutorial !

Linux ToDos:
Bei Linux als OS auf dem Server ist das Vorgehen analog. In der System Config Datei der meisten Linux Distributionen gibt es einen Parameter der ip_forwarding heisst. Dieser Parameter muss in der syscfg Config Datei auf YES gesetzt werden um das Routing zu aktivieren. Daraufhin muss man den inet Daemon neu starten oder den Rechner rebooten.
Alternativ kann die Einstelung ob der Kernel routet oder nicht auch von Hand vorgenommen werden, dazu existiert die Datei /proc/sys/net/ipv4/ip_forward. Genau genommen handelt es sich hier nicht um eine physikalische Datei, sondern um eine Schnittstelle zum Kernel. Der Inhalt der Datei ist entweder eine 0 (Routing ausgeschaltet) oder eine 1 (Routing eingeschaltet). Mit dem Befehl
echo 1 > /proc/sys/net/ipv4/ip_forward
wird das Routing aktiviert.
Besser und einfacher ist aber immer der Weg über die Systemdatei mit dem Konfigurator wie YAST oder den Systemsettings.

Analog gilt das für Unix Derivate wie Apple Mac OS-X das dafür aber einen entsprechenden Button in den Systemeinstellungen unter Netzwerk hat.
Reine Linux Networking Distros wie IPCop oder FLI4L haben diesen Parameter immer schon per Default aktiviert !

Nun gibt man den Clients im Client Segment statische IP Adressen. Am Beispiel eines Clients sind das folgende IP Adress Settings folgend dem obigen IP Beispiel:
(Dies entfällt natürlich sollte der routende PC/Server selber eine DHCP Funktion aktiv haben !)

Client PC Beispiel

IP Adresse: 172.16.1.1, Maske: 255.255.255.0, Gateway: 172.16.1.254 (Der Server/PC ist ja Router !)
DNS Server: 192.168.1.1
(Diese DNS IP Adresse ist unbedingt statisch einzugeben sonst funktioniert keine Namensauflösung im Client Segment !
Der DSL Router ist meist DNS Proxy so das er hier eingetragen wird ! (Ist er es nicht, muss hier die DNS IP Adresse des Providers konfiguriert werden die man ergoogeln kann !!)

Ist der Server selber DNS Server bzw. Proxy DNS dann wird am Client als DNS Adresse natürlich die Serveradresse des Client Segments eingetragen (hier im Beispiel dann die 172.16.1.254 !)
Dazu MUSS man aber sicherstellen das am Server der DNS Dienst aktiviert ist und eine DNS Weiterleitung auf den Router bzw. die Provider DNS Adresse eingetragen ist !
Dazu geht man bei Windows am Server in die DNS-Verwaltung, dann:
Rechtsklick auf den DNS-Server und Eigenschaften.
dort unter "Weiterleitungen"
unten eintragen: <Router_IP>, <Provider_DNS_IP> und jeweils auf "hinzufügen".
Bei Linux ist das /etc/resolv.conf.

Wichtige Einstellungen am DSL Router:

Der DSL Router kann das IP Segment (Clients, hier 17216.1.0/24) hinter dem Server/PC nicht kennen (woher auch..?)
Man muss ihm also nun beibringen wie er Packete ins Client Segment schicken kann !
Der Router der ihm seine Packete dahin weiterleitet ist ja der Server/PC selber mit den IP Segmenten NIC1 und NIC2.
Folglich also, muss man Dem Internet Router die Server/PC IP Adresse im gleichen IP Segment des Routers als Ziel angeben für IP Packete in das Client Netz !!!

• Das geschieht auf dem DSL Router mit einer zusätzlichen statischen Route die unbedingt über das Websetup oder CLI Setup des Routers eingetragen werden muss !

Dieser Punkt ist unbedingt zu beachten und wird immer wieder vergessen !!! Ohne diese statische Router funktioniert dieses Szenario NICHT !!! Oder...
Ausschliesslich nur dann mit NAT (Adress Translation oder ICS/Masquerading) auf dem routenden PC/Server mit den 2 NICs.
(Siehe dazu weiter unten den Punkt: "Was machen nun Anwender deren DSL Billigstrouter keine zusätzlichen statischen Routen supporten ???..." das diese Variante der Einstellung genau betrachtet !!)

Im Folgenden ist einmal sehr detailiert der (geroutete) Weg eines IP Paketes beschrieben das aus dem Clientnetz via Router ins Internet geht. Es lohnt sich diesen Abschnitt zu lesen für das Verständnis des Routings in so einem Netz (wirklich !):

Der Weg eines LAN Paketes durch dieses Netz vom Router zum Client ?:

Damit man einmal sieht wie das alles zusammen spielt ist hier eine kleine Ablaufbeschreibung über die Reise eines solchen IP Paketes am Beispiel eines Pings vom Client mit der IP 172.16.1.1 zum Router mit der Adresse 192.168.1.1 angefügt: (Die Variante inklusive NAT findet sich hier !)

1.) Client ist auf dem Netz 172.16.1.0 mit der Hostadresse .1 und erhält vom Ping Programm den Auftrag ein ICMP echo request Packet (Ping) an den Router 192.168.1.1 zu schicken.
2.) Nun merkt der Client das diese Zieladresse nicht seinem IP Segment ist (anderes Netz !), denn er kennt ja seine eigene IP Adresse und damit sein eigenes Netz und befragt nun den PC IP Stack ob er ein Default Gateway Eintrag hat, wo er das IP Packet hinschicken kann, denn das Gateway wird ja schon wissen wie es weitergeht…
3.) Hurra, da hat er die 172.16.1.254 und das ist der Server/PC, also ab mit dem Packet dahin...
4.) Der Server empfängt nun das Packet, sieht auf die Zieladresse 192.168.1.1 und sieht daraufhin in seiner Routing Tabelle nach.....
5.) Gut !, Das 192.168.1.0er Netz ist an mir direkt angeschlossen also raus damit auf der NIC1 an diesem Segment...
6.) Nun landet das Packet beim Router der ja auch das Ziel ist. Der sieht nach was er machen soll...OK, ich soll ein echo reply an 172.16.1.1 (Client) schicken. Also, los gehts..
7.) Router sieht in der Routing Tabelle nach....

Es ist eine statische Route aufs 172.16.1.0er Netz im Router vorhanden => Weiter bei 9.)
Es ist KEINE statische Route aufs 172.16.1.0er Netz im Router vorhanden => Weiter bei 8.)

8.) OK, Router nimmt die default Route ins Internet da er 172.16.1.0 anderweitig nicht kennt und es an ihm selber ja nicht angeschlossen ist...
Hier verliert sich nun die Spur vom Packet 192.168.1.1, da dies eine RFC 1918 IP Adresse ist die nicht geroutet wird im Internet und der Providerrouter das Packet kommentarlos brutal und unbarmherzig in den Datenmülleimer verfrachtet. Im Client erscheint ein "Keine Antwort von 192.168.1.1" und der Anwender ist frustriert…

9.) Aha, in der Routing Tabelle steht eine statische Route die dem Router sagt alles für 172.16.1.0 schicke bitte an die 192.168.1.254 (Server/PC) Ok, und ab mit dem echo reply Packet an diese Adresse...
10.) Der Server empfängt nun das Packet sieht auf die Zieladresse 172.16.1.1 und sieht daraufhin wieder in seiner Routing Tabelle nach.....
11.) Klasse, das 172.16.1.0er Netz ist an mir direkt angeschlossen also raus damit auf der NIC2 an diesem Segment zum Client...
12.) Perfekt, das Packet mit der echo Antwort vom Router ist da und erzeugt ein freudestrahlendes "Antwort von 192.168.1.1 !!!" Der Anwender ist happy und sagt Bingo! es rennt... .

Soviel zur Funktion....

Wichtige Punkte die zusätzlich zu beachten sind !

Was machen nun Anwender deren DSL Billigstrouter keine zusätzlichen statischen Routen supporten ???...

Erstmal ist das schlecht aber es gibt einen Workaround mit der Funktion Internetverbindungsfreigabe (ICS) oder NAT Basisfirewall (Win Server) unter Windows. (Unter Linux ist das NAT/PAT mit ip_tables)
Auf der NIC-1, also dem Segment zum DSL Router, muss diese Funktion aktiviert sein ! Der Server/PC macht dann ein NAT (Network Adress Translation) zum IP Segment, NIC-1 setzt also das gesamte Netz der NIC-2 auf seine IP Adresse an der NIC1 um, ähnlich dem was DSL Router mit dem lokalen Netz zum Internet machen.
Bei Windows klickt man dazu auf die erweiterten Eigenschaften der NIC im Routersegment und setzt den Haken bei Gemeinsame Nutzung der Internetverbindung.
Dann wählt man danach den Heimnetz Adapter aus, was dann logischerweise die NIC des Clientsegments ist !
Damit ist ICS (Windows NAT) konfiguriert.

Achtung bei der Verwendung von Windows ICS/NAT !:

Windows vergibt bei Aktivierung der ICS Funktion automatisch IMMER die 192.168.0.1 bzw. Windows 7 die 192.168.137.1 als IP Adresse auf dem sog. Heimnetz (Clientsegment) wie Windows es nennt !
Dieses Verhalten ist nur bei Windows XP so !! (Linux hat das nicht !)
Diese Adresse und auch das Netz selber darf auch NICHT nachtraeglich geändert werden, denn das führt sofort zum Nichtfunktionieren von Microsofts ICS (NAT) Funktion auf dem PC/Server !!
Man muss also zwangsläufig mit dieser Adressierung im Clientsegment leben und sein IPs ggf. entsprechend anpassen.
Der ICS Rechner arbeitet bei aktiviertem ICS automatisch als DHCP Server und vergibt dann dynamisch IP Adressen in diesem, von Microsoft festgelegten, ICS Client Netz 192.168.0.0 /24.
Eine statische IP Adressvergabe ist nicht mehr ratsam weil der ICS DHCP Server nicht konfigurierbar ist und es somit zu gefährlichen IP Adressdoppelungen kommen kann !
Besser also hier KEINE statischen Adressen verwenden, oder wenn dann, immer im unteren IP Adressbereich (192.168.0.10, .12, .13 usw.), da der ICS DHCP bei .252 rückwärts arbeitet.
Niemals die 192.168.0.1 statisch vergeben, denn das ist der PC selber und die IP ist durch MS festgelegt !!
Eine saubere ICS Konfuration sähe dann so aus:


Wie man ICS/Internet Sharing bei Windows aktiviert ist HIER_in_diesem_Tutorial noch einmal ganz genau beschrieben !
Der Router sieht jetzt durch ICS NAT keine Packete mehr aus dem Segment der NIC2 (die werden ja umgesetzt auf die IP Adresse von NIC1) und benötigt folglich auch keine statische Route mehr, da der Router ja keine Adresse aus dem NIC2 Segment mehr sieht und Traffic dahin wie lokaler Traffic behandelt wird, da die NAT Adresse ja eine lokale ist.

ICS/NAT beim Windows 2003 Server
Beim Win 2k3 Server ist die ICS Funktion in der NAT Baisfirewall versteckt im Setup unter Routing und RAS !!!
Sowie diese NAT Firewall aktiv ist auf einem der Adapter wird dort wie oben bei der XP Version ein NAT gemacht !!! Letztendlich macht man so ein doppeltes NAT, einmal auf dem Server und ein 2tes Mal auf dem Router ins Internet, was eigentlich überflüssig und auch fehlerbehaftet sein kann.
D.h. bei NAT wird das gesamte Client IP Netzwerk (Quell IP Adresse) auf die IP der Server NIC umgesetzt und so das Client Netz gewissermaßen versteckt hinter der IP der Server NIC, denn nur diese IP ist nach außen sichtbar und nicht wie beim Routing sonst üblich die originale Quell IP Adresse !
Genau der Vorgang den auch ein DSL Router ins Internet macht, der setzt auch das lokale IP Netzwerk komplett um auf seine öffentliche IP so das das lokale netzwerk nicht mehr auftaucht. Das ist was mit NAT beschrieben wird !!
Logischerweise ist die NAT Firewall so nicht zu überwinden ohne ein Port Forwarding.
Folglich können in einem NAT Szenario keine Verbindungen von außen oder dem Router Segment zum Client Segment gemacht werden.
Das ist nur möglich in einem normal gerouteten Netzwerk OHNE ICS/NAT oder aktiver NAT Basisfirewall im 2k3 Server !

Nochmals zur Klarstellung:
ICS/NAT nur dann verwenden wenn man es wirklich muss !!
Besser ist immer ein natives Routing ohne Aktivierung der ICS/NAT Funktion unter MS !!! Es sollte also immer diese Variante konfiguriert werden. ICS ist lediglich ein "Notnagel" für Benutzer die einen Billigstrouter haben oder verwenden, der KEINE Funktion bzw. Option zur Konfiguration von statischen IP Routen in seinem Setup hat !!!
Leider ist es aber auch oft so das Billigrouter kein NAT für IP des Clientsegments machen obwohl eine statische Route dahin besteht. Die Folge ist das Client Segment IP Adressen am Router nicht geNATtet werden und Clients somit nicht ins Internet gelangen.
In dem Fall ist man chancenlos und muss zwingend eine ICS/NAT Lösung verwenden da der Router eine saubere Routing Konfig dann so nicht zulässt.
Man sollte also VORHER alle features seines Routers klären bzw. erfragen !!

Nachteile einer ICS (NAT) Lösung:

Einige der gravierenden Nachteile, wie die Verwendung von statischen IPs, durch die Unkontrollierbarkeit des ICS DHCP Prozesses sind oben schon genannt worden. Es gibt aber weitere Nachteile:
Hat man im Segment der NIC1 auch PCs kann man mit diesen nicht mehr ins Segment der NIC2 kommunizieren, da man den NAT Prozess im Windows Server nicht überwinden kann !
Eine „Any to Any“ Kommunikation (Jeder mit Jedem) von Endgeräten in beiden Segmenten ist also dadurch so nicht mehr möglich. Aus dem Client Segment ist dies also eine „Einbahnstrasse“ ins Internet was aber für die meisten Szenarien ggf. ausreicht.
Benötige ich eine Any to Any Kommunikation benötige ich auch einen Router der sicher statische Routen supportet im Setup !
!!! Das sollte man sich VOR dem Kauf eines Routers überlegen !!!
Die Routing Lösung ist also in jedem Falle immer zu bevorzugen.

Eine weitere Option ist unter Windows das Bridging zwischen beiden LAN Segmenten. Dafür muss man aber zwangsweise mit gleichen IP Adressen bzw. im gleichen IP Netz arbeiten in beiden Segmenten.
Diese Bridging Lösung sollte man, wenn immer möglich, durch die hohe Broadcastbelastung des Servers/PC vermeiden !!!
Im Zweifelsfall IMMER lieber für ein paar Euro einen neuen Router erwerben der statische Routen supportet.
Technisch ist das immer besser als eine Frickellösung mit ICS NAT !!!

Spezialfall: Port Weiterleitung aus dem Internet auf Clients im Segment LAN-2:

Dieses Problem tritt häufig auf wenn es gewünscht ist einzelnen PCs im Client Segment LAN-2 remote aus dem Internet fernzubedienen mit VNC oder RDP z.B.
Meist taucht das Problem auf, das dies am Router so ohne weiteres nicht zu konfigurieren ist, da die lokale IP Adresse, die in die Port Forwarding (oder Port Freigabe) Tabelle des Routers eingetragen werden muss, ja nicht im lokalen IP Netz des Routers liegt.
Viele Consumer Router verweigern hier die Zusammenarbeit und ignorieren das Konfig Kommando in der PFW Tabelle oder führen das Port Forwarding schlicht nicht aus und das trotz korrekter statischer Route hier, die eigentlich das Zielnetz bekannt macht auf dem Router.
Meist ist das ein Bug in der Routerfirmware oder dadurch eben einfach schlicht nicht supportet. Ein Umstand mit dem man leider im Consumer Bereich häufig leben muss....
Es gibt aber wie (fast) immer einen Ausweg:
Man leitet mittels der o.a. Port Forwarding Liste am Router die z.B. VNC Packet (Port TCP 5900) oder RDP (Port TCP 3389) oder oder.. an die Server IP Adresse im Routersegment LAN-1.
Dort am Server, konfiguriert man dann ein Port Forwarding (Weiterleitung) auf die Clients bzw. dessen IP Adresse. Wie das geht beschreibt die MS Knowledgebase unter:

http://technet2.microsoft.com/WindowsServ ...

Beim Windows 2003 und Verwendung der NAT/Basisfirewall ist diese Funktion etwas versteckt:
Routing und RAS -> ServerName (lokal) -> IP-Routing -> NAT/Basisfirewall
Im rechten Teilfenster klickt man mit rechts auf die Verbindung, mit der man mit dem Internet verbunden ist (meist „Netzwerkverbindung“) und wechselt im aufpoppenden Fenster auf „Dienste und Ports“. Dies ist nur verfügbar, wenn die Verbindung mit einer Firewall geschützt ist.
Ein Klick auf „Hinzufügen“ und man kann Portfreigaben und Portweiterleitungen eintragen !

Bei Linux machen das entsprechend die ip tables Einstellungen am Interface für die es zuhauf HowTos im Internet gibt.
Damit ist auch eine remote Steuerung aus dem Internet von Endgeräten im Netz LAN-2 gegeben ! Im Segment LAN-1 funktionieren sie ja sowieso da das direkt am Router hängt.

Auch hier nochmals zum Abschuss der Hinweis: Sowas wie Port Weiterleitung ist nur erforderlich wenn man einen dummen Router hat der keine statischen Routen supportet und man gezwungen ist NAT/ICS einzusetzen !
In jedem Falle ist die reine Routing Lösung ohne NAT/ICS vorzuziehen bei der sowas nicht erforderlich ist !

DNS Integration beider IP Netze im DC:

Dieses Thema behandelt ein separates Tutorial von dog auf das hier verwiesen wird:
http://www.administrator.de/index.php?con ...

Alternativen mit anderem Design (WLAN):

Das sowohl das IP LAN Segment NIC1 als auch LAN Segment NIC2 durch eine entsprechende WLAN Infrastruktur mit oder ohne WLAN Accesspoint ersetzt werden kann ist klar ! Die Prozedur der IP Einrichtung wie oben beschrieben ist absolut gleich.
Designs können so aussehen (Variante 1)

...oder das WLAN als Client Segment (Variante 2)


Einen dieser Spezialfälle beschreibt der folgende Thread HIER im Forum !

Attis Tutorial von oben geht dort genauer drauf ein, die Vorgehensweise ist immer dieselbe wie oben beschrieben.
Eine interessante Alternative ist das Client Segment per WLAN ohne WLAN Accesspoint aufzusetzen.
Dazu betreibt man Server/PC und Clients im sog. WLAN Ad Hoc Mode ohne Accesspoint. Auch das ist problemlos möglich wie DIESER Thread hier u.a. beschreibt.
Unterschiedliche Designs der Infrastruktur gibt es zuhauf, das Vorgehen zum Routing aber ist immer gleich !

Routing OHNE einen Windows oder Linux Rechner mit 2 NICs

Natürlich ist auch ein Routing zwischen den LAN Segmenten ohne einen Rechner mit Linux oder Windows OS problemlos möglich. Oft ist diese Alternative allein schon aus Stromverbrauchsgründen sinnvoll bei Dauerbetrieb. (Max. 20 Euro Stromkosten pro Jahr !)
Klassische Szenarien zum Verbinden mehrerer IP Netze sehen z.B. analog zu den PCs so aus:

Ein VLAN basiertes Routing mit einem sog. "Lollipop Router" (Router am Lollistiel) in Verbindung mit einem nicht routingfähigen VLAN Switch und mehreren LAN Segmenten die als VLANs ausgelegt sind, zeigt die folgende Abbildung:

Generell reicht dafür ein alter, ausrangierter PC, besser aber ein kleines Mini ITX Board mit Atom CPU oder ein embedded Mini Mainboard wie z.B. der ALIX Serie die hier beschrieben sind:
http://www.alix-board.de/?gclid=CMzP1aPli ...
bzw.
http://www.nwlab.net/tutorials/m0n0wall/m ...
Das folgende Tutorial beschreibt im Detail wie so ein System selbst konfiguriert werden kann. Für Laien bietet sich die Möglichkeit für sehr wenig Geld mehr ein Fertiggerät zu kaufen, das dann nur noch per Webinterface und ein paar Mausklicks konfiguriert werden muss:
http://www.administrator.de/index.php?con ...

Besondere Aufmerksamkeit sollte man den Routern der sehr preiswerten Microtik Reihe 750 widmen wie hier:
http://www.administrator.de/index.php?con ...
von dog im Forum beschrieben.
Das Mikrotik Routerboard_750 ist als 5 Port Router vom Preis und von den Features her unschlagbar. Es gibt keinen Router am Markt der so flexibel einsetzbar ist zu diesem Preis (ca. 35 Euro).
Damit lohnt eigentlich weder der Aufbau einer Pfsense Appliance noch das Flashen z.B. eine dd-wrt mit Linksys WRT54 wenn es nur ums Routen allein geht.
Der Linksys WRT54 DSL Router mit alternativer DD-WRT Firmware ist aber auch ein gangbarer Weg, da er mit DD-WRT eine abschaltbare NAT Funktion hat und so als transparenter Router betrieben werden kann. Wenn auch mit HW Beschränkung auf nur 2 routebare LAN Interfaces limitiert ist.
Billige DSL Router ohne integriertes DSL Modem eignen sich nur sehr bedingt für das o.a. Szenario, da man die NAT (IP Network Adress Translation) so gut wie immer nicht abschalten kann.
Routing wird mit NAT immer zur Einbahnstrasse zwischen den Netzen, da ein aktives NAT den Weg ins 2te Netz verhindert !
Diese generelle NAT Problematik erläutert auch dieser_Heise_Artikel im letzten Abschnitt unter "Internes":

Für Hardware Spezialisten und Bastelwillige bietet es sich ggf. an einen 20 Euro DSL Router in einen vollwertigen 5 Port Ethernet Router inklusive VPN und dynamischen Routing zu konvertieren wie es HIER beschrieben ist. Im Hinblick auf den o.a. Mikrotik 750 der komplett fertig daherkommt ist es aber fraglich ob man diese Bastelei auf sich nimmt wenn nicht das Lernen im Vordergrund stehen soll.
Es gibt also genug preiswerte Alternativen zu einen ggf. teuren Layer 3 Routing Switch oder einem teuren Server mit hohem Stromverbrauch.

Routing mit Pfsense:

Als Router lässt sich dafür z.B. die kostenlose Firewall pfsense verwenden, die sich ebenfalls mit ein paar Mausklicks im Setup zu einem einfachen Router machen lässt.
Pfsense lässt sich problemlos mit einer simplen bootbaren CD oder einem USB Stick auf einem alten ausrangierten PC starten. Wie das geht ist bereits ausreichend HIER beschrieben.
Pfsense hat ein paar Vorteile:

• Es lassen sich problemlos mehr als 2 Netzwerkinterfaces betreiben durch Hinzufügen weiterer NICs
• Das ALIX Mini Maniboard hat per se 3 Interfaces zum Routen
• Ein Minimainboard ist sehr sparsam zu betreiben im Dauerbetrieb und hat keine beweglichen Teile.
• VLAN_Routing über einen tagged Link (802.1q) ist problemlos möglich. (Separates Tutorial hier )

Für den Dauerbetrieb empfehlen sich daher die ALIX oder miniITX Lösung aus Gründen des Stromverbrauchs.

Die Umsetzung ist recht einfach zu bewerkstelligen. Über das Websetup der pfsense Firewall:
Klickt man auf den Menüpunkt "Advance Settings"
Hier setzt man nun den Haken bei "Disable all paket filtering":

Eine Integration mit VLANs ist ebenso konfigurierbar und beschreibt dieses_Tutorial.
Die Firewall wird so zu einem transparenten Router ohne NAT. Ist dennoch Security gewünscht zwischen den unterschiedlichen IP Segmenten kann man natürlich auch mit aktivierter Firewall Funktion arbeiten.
So lässt sich z.B. bei der Integration von Fremdnetzen der Zugriff auf bestimmte Rechner und Applikationen beschränken.

Routing mit Mikrotik RB750(G):

Wie oben bereits erwähnt ist eine der preiswertesten Möglichkeiten zwischen LAN Segmenten zu Routen das Mikrotik Routerboard 750 zu dem es hier im Forum schon einen Erfahrungsbericht von dog gibt.
Das ist ein fix und fertiger, kleiner sehr preiswerter Router
http://www.mikrotik-shop.de/product_info. ...
den man nur noch konfigurieren und mit seinen IP Segmenten verbinden muss.
Mit dem Mikrotik wird mit der "WinBox" ein sehr komfortables Setup Tool für Windows mitgeliefert mit dem die Installation im Handumdrehen erledigt ist.
Durch die Eingabe von "r" an der Konsole (die man per Telnet z.B. mit PUTTY erreicht.) verhindert man eine werkseitige Default Konfiguration die den Mikrotik als klassischen DSL NAT Router konfiguriert.
Analog kann man per Telnet (Putty) über mit dem menügesteurten Kommando /system reset-conf skip-backup=yes no-defaults=yes die werkseitige Default Konfig (4 Port Switch plus 1 NAT Routerport) deaktivieren und einen simplen 5 Port Router aus dem Mikrotik machen.
Ohne diese Default Konfig hat man dann einen "nackten" und transparenten 5 Port Router vor sich der dann max. separate IP Netze routen kann.
Über die WinBox weist man dann den Interfaces einfach eine IP des zu routenen Segments zu und fertig ist der Router. Bewährt haben sich IP Adressen "ganz oben" oder "ganz unten" z.B. 172.16.1.254 /24 oder 172.16.1.1 /24.
Die folgende Abbildung zeigt ein Beispiel für 3 Interfaces :


Anhand der Featureliste im WinBox Tool links sieht man sofort das natürlich auch VLANs supportet sind die ein VLAN_Routing_über_802.1q_Trunks ermöglichen und auch der Support von dynamischen Routing Protokollen wie RIP, OSP usw. ist problemlos möglich. Firewall Funktionen runden die Optionen ab.
Das Mikrotik Forum bietet zudem eine Fülle an Beispielkonfigs für bestimmte Anwendungen.
Für seinen Anschaffungspreis ist der Mikrotik Router 750 unschlagbar für solche Szenarios. Auch in Bezug auf den Energieverbrauch. Er sollte deshalb immer erste Wahl sein um so ein Routing Design zu realisieren.
Soll zum Routing auch noch Security (Zugangslisten) und VPN dazukommen ist die Pfsense Lösung vorzuziehen allerdings dann bis max. 3 Interfaces sofern man die o.a. ALIX Board Appliance nutzt !


(Letzte Änderung 08/2010)