freenode
Goto Top

Zugriff auf Host in anderem Netz

Hallo Kollegen,

ich habe eine Netzwerkspezifische Frage und hoffe auf einige interessante Lösungsansätze von euch. face-smile

Folgendes Setup: Ich habe 2 Netze, der Einfachheit 192.168.1.0/24 und 192.168.2.0/24 . Diese beiden Netze besitzen je ein Gateway (192.168.1.254 und 192.168.2.254), zwischen denen ein VPN-Tunnel Online ist.

Das Problem: Im 2er Netz habe ich einen Host, auf dem KEIN Gateway eingetragen ist. Wie kann ich den besagten Host von meinem Client aus (der im 1er Netz liegt) am besten erreichen?

Ist nur ein hypothetisches Gedankenspiel, aber ich wäre für alle ideen dankbar. face-smile

Gruß, freenode.

Content-Key: 275993

Url: https://administrator.de/contentid/275993

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 29.06.2015 um 16:31:33 Uhr
Goto Top
Zitat von @freenode:

Das Problem: Im 2er Netz habe ich einen Host, auf dem KEIN Gateway eingetragen ist. Wie kann ich den besagten Host von meinem
Client aus (der im 1er Netz liegt) am besten erreichen?

Gar nicht.

Oder Du trägt eine Route/Gateway ein.

Hausaufgabe?

lks
Mitglied: freenode
freenode 29.06.2015 aktualisiert um 16:43:38 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Hausaufgabe?

lks

Nein, aus dem Hausaufgabenalter bin ich zum Glück schon raus. ;)

Sind am überlegen, unsere Netzwerklandschaft ein bisschen umzubauen.
Mitglied: reiser
reiser 29.06.2015 um 16:54:52 Uhr
Goto Top
Windows Rechner?

route add -p 192.168.1.0 MASK 255.255.255.0 192.168.0.254


reiser
Mitglied: Lochkartenstanzer
Lochkartenstanzer 29.06.2015 um 16:56:36 Uhr
Goto Top
Zitat von @reiser:

route add -p 192.168.1.0 MASK 255.255.255.0 192.168.0.254


ich würde eher default route/gateway setzen, damit man statische Routen nciht auf vielen Systemen pflegen muß.

lks
Mitglied: 114757
114757 29.06.2015 aktualisiert um 17:46:10 Uhr
Goto Top
Mögliche Alternative, den VPN-Tunnel an den Endpunkten NATen ...dann braucht dieser eine HOST kein DefaultGW, aber transparentes Routing ist dann natürlich obsolet. Aber was soll das für ein Host oder Gerät sein auf dem sich kein GW eintragen lässt?

Gruß jodel32
Mitglied: reiser
reiser 29.06.2015 um 17:50:11 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

> Zitat von @reiser:
>
> route add -p 192.168.1.0 MASK 255.255.255.0 192.168.0.254


ich würde eher default route/gateway setzen, damit man statische Routen nciht auf vielen Systemen pflegen muß.

lks

Es ging wohl um einen Host nicht um viele Systeme, manchmal möchte man eben an einzelnen Rechnern keine default Route.
Zum Beispiel wenn ein einzelner Rechner keinen Zugang zum Internet bekommen soll ... Ohne GateWay kein Internet. face-smile

reiser
Mitglied: aqui
aqui 29.06.2015 aktualisiert um 17:55:20 Uhr
Goto Top
Die gepostete Route von reiser oben ist falsch !! Jedenfalls mit den angegebenen IP Netzen.
Richtig wäre:
route add -p 192.168.1.0 MASK 255.255.255.0 192.168.2.254

Sinnvoll wäre in der Tat ein Default Gateway auf dem Rechner. Ohne das ist das ein fast unmögliches Unterfangen !
Mitglied: Lochkartenstanzer
Lochkartenstanzer 29.06.2015 um 17:55:15 Uhr
Goto Top
Zitat von @reiser:

Zum Beispiel wenn ein einzelner Rechner keinen Zugang zum Internet bekommen soll ... Ohne GateWay kein Internet. face-smile

Jaja, man muß nur die richtige brille aufsetzen, damit man nicht gesehen wird.

Das mag zwar eine adhoc-Maßnahme sein, aber wenn man wirklich Internetzugriff für Systeme verhindern will, heißt der richtige Weg Firewall und Policies und nicht ein "verstecktes gateway".

lks
Mitglied: Mitch123
Mitch123 03.07.2015 um 08:29:18 Uhr
Goto Top
Probier' es doch mal damit, dem Client eine Subnetzmaske /22 zu verpassen. Dann würde er bei der Kommunikation zum anderen Netz nicht mit ARP die MAC-Adresse des Routers auflösen wollen, sondern die MAC-Adresse des Client.

Einige Router mit Proxy-ARP geben dann trotzdem ihre eigene MAC-Adresse zurück, weil sie sehen, dass der IP-Bereich nicht auf dem eingehenden Port liegt.

Das ist aber zugegeben eher eine Krücke, die funktionieren kann, aber nicht muss.
Mitglied: aqui
aqui 03.07.2015 um 08:55:04 Uhr
Goto Top
Einige Router mit Proxy-ARP geben dann trotzdem ihre eigene MAC-Adresse zurück, weil sie sehen, dass der IP-Bereich nicht auf dem eingehenden Port liegt.
Deshalb sollte Proxy ARP auch immer zwingend deaktiviert sein. Ist es zum Glück meistens auch bei (fast) allen Herstellern.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 03.07.2015 um 09:00:16 Uhr
Goto Top
Zitat von @Mitch123:

Das ist aber zugegeben eher eine Krücke, die funktionieren kann, aber nicht muss.

Das ist keine Krücke, sondern ein großes Sicherheitsloch. Wenn ein Router sowas macht, ohne das der Admin das eingestellt hat, gehört der in die Tonne.

lsk