18
Zwei Segmente mit eigene Internet-Router verbinden
Hallo!
Habe hier in der Wg zwei LANs die jeweils einen Router mit Internetzugang haben.
Wir möchten diese beiden LANs miteinander verbinden aber die Nutzer von LAN-A sollen auch nur über Router-A ins Internet gehen und umgekehrt die Nutzer von LAN-B nur über Router-B.
LAN-A: 192.168.0.0/24
Router-A: 192.168.0.1
LAN-B: 192.168.1.0/24
Router-B: 192.168.1.1
Ich habe jetzt in einen WXP-PRO-PC einen zweiten NIC eingebaut und dann so konfiguriert:
NIC-A: 192.168.0.200
NIC-B: 192.168.1.200
Routing und RAS-Dienst gestartet
Routing in der Registry aktiviert (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRouter=1)
Dennoch kann ich nicht mit einem Rechner aus LAN-B den Router-A anpingen.
Was muss ich noch konfigurieren?
Gruß,
Wolfgang
Habe hier in der Wg zwei LANs die jeweils einen Router mit Internetzugang haben.
Wir möchten diese beiden LANs miteinander verbinden aber die Nutzer von LAN-A sollen auch nur über Router-A ins Internet gehen und umgekehrt die Nutzer von LAN-B nur über Router-B.
LAN-A: 192.168.0.0/24
Router-A: 192.168.0.1
LAN-B: 192.168.1.0/24
Router-B: 192.168.1.1
Ich habe jetzt in einen WXP-PRO-PC einen zweiten NIC eingebaut und dann so konfiguriert:
NIC-A: 192.168.0.200
NIC-B: 192.168.1.200
Routing und RAS-Dienst gestartet
Routing in der Registry aktiviert (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRouter=1)
Dennoch kann ich nicht mit einem Rechner aus LAN-B den Router-A anpingen.
Was muss ich noch konfigurieren?
Gruß,
Wolfgang
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 32821
Url: https://administrator.de/contentid/32821
Printed on: April 25, 2024 at 23:04 o'clock
18 Comments
Latest comment
Dein Rechner aus dem LAN-B weiß noch nicht, dass er den Ping an Router-A an 192.168.1.200 schicken muss (Gatewa auf den PCs eintragen).
Das gleiche würde für den Rückweg gelten. Der Router A müsste wissen, dass er das Netz 192.168.1.0/24 über 192.168.0.200 erreichen kann.
Genau das würde ich aber dem Router auch nicht sagen, denn dadurch ist gesichert, dass Nutzer in LAN B den Router A nicht nutzen können.
Die PC musst du einrichten mit jeweils dem Router des Netzes als Standardgateway und einer statischen Route ins andere Netz.
im Netz A auf jedem PC:
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.0.200
Das gleiche würde für den Rückweg gelten. Der Router A müsste wissen, dass er das Netz 192.168.1.0/24 über 192.168.0.200 erreichen kann.
Genau das würde ich aber dem Router auch nicht sagen, denn dadurch ist gesichert, dass Nutzer in LAN B den Router A nicht nutzen können.
Die PC musst du einrichten mit jeweils dem Router des Netzes als Standardgateway und einer statischen Route ins andere Netz.
im Netz A auf jedem PC:
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.0.200
.
.
.
Das kann ich nicht ganz nachvollziehen, wenn das Standardgateway in beiden Netzen ihr eigener Router ist, wird auch der Verkehr in alle "öffentlichen IP-Bereiche" über diesen Router geregelt.
Damit sich die beiden Netze untereinander sehen, muss auf beiden Routern das jeweils andere Netz als "statische Route" eingetragen werden, das soll's eigentlich schon gewesen sein,
Gruß
Atti.
.
Genau das würde ich aber dem Router
auch nicht sagen, denn dadurch ist
gesichert, dass Nutzer in LAN B den Router A
nicht nutzen können.
.auch nicht sagen, denn dadurch ist
gesichert, dass Nutzer in LAN B den Router A
nicht nutzen können.
.
Das kann ich nicht ganz nachvollziehen, wenn das Standardgateway in beiden Netzen ihr eigener Router ist, wird auch der Verkehr in alle "öffentlichen IP-Bereiche" über diesen Router geregelt.
Damit sich die beiden Netze untereinander sehen, muss auf beiden Routern das jeweils andere Netz als "statische Route" eingetragen werden, das soll's eigentlich schon gewesen sein,
Gruß
Atti.
und was ist mit "bösen" Nutzern, die ihr Standardgateway umbiegen?
... denen unterbindet man mit geeigneter Rechtevergabe oder per Richtlinie diese Möglichkeit - wie wäre das denn bei Deiner vorgeschlagenen Lösung anders?
Gruß
Atti
Gruß
Atti
die Pakete kommen vom Router nicht zurück
... man sollte sich doch immer eine Skizze machen ...
Die Router haben nämlich gar nichts mit dem Problem zu tun, wie man hier deutlich erkennen kann,
Gruß
Atti
Die Router haben nämlich gar nichts mit dem Problem zu tun, wie man hier deutlich erkennen kann,
Gruß
Atti
Dies wäre aber dann die umständliche Variante der Lösung !
Viel einfacher ist es die Netzwerke auf den ROUTERN einzutragen !! (Dafür heissen sie ja auch "Router" !)
Das erspart dir das umständliche "Anfassen" aller WG Rechner um darauf eine Route zu konfigurieren. Das sollte man eigentlich auch tunlichst NICHT auf den Endgeräten machen !
D.h. Router A bekommt eine statische Route auf Netzwerk B mit der next Hop Adresse auf den Verbindungs-PC analog dazu bekommt Router B eine statische Route auf das Netzwerk A mit der IP Adresse des Verbindungs-PC in seinem Segement.
Also also anhand deines Beispiels:
Router A: network 192.168.1.0 mask 255.255.255.0 gateway 192.168.0.200
Router B: network 192.168.0.0 mask 255.255.255.0 gateway 192.168.1.200
Einzustellen ist das in der "statische Routing" Sektion deiner Internet Router meist über ein vorhandenes GUI.
Damit hat sich dann auch gleich das Problem der "bösen Standardgatewayverbieger" gelöst sofern du in deinem Verbindungs-PC der hier natürlich auch ein Router ist KEIN Standard Gateway eingetragen hast !
Musst du dies aber tun damit der auch ins Internet sei es über die A oder B Seite kann, solltest du dich für einen der Router A oder B entscheiden. Dann allerdings werden die "bösen Standardgatewayverbieger" natürlich auch immer auf diesen Router geroutet.
Das allerdings liesse sich dann auch noch unterbinden wenn du deinen Routern jeweils Accesslisten aufs Ethernetinterface legst die jeweils das andere Netz verbieten. Damit ist die Lösung dann "wasserdicht" !!!
Einen unschönen Nachteil hat die Geschichte noch:
Damit du mit beiden Netzen kommunizieren kannst MUSS immer dein XP PC laufen sonst ist nix mit Quake spielen, untereinader Bilder ansehen o.ä.
Ich würde da als Alternative einen 1 Diskettenrouter vorziehen wenn du noch ein olles Mainboard in der Ecke liegen hast. Ein oller uralt Pentium oder AMD mit 64 MB und 3,5 Zoll Diskilaufwerk genügt vollends dafür. Meist gibt es sowas auch für ein paar Euronen auf dem Flohmarkt oder man hats eh noch in der Bastelkiste.
2 mal 5 Euro Realtek Netzwerkkarten rein oder was aus der Bastelkiste und hier die SW runtergeladen:
http://www.fli4l.de/
Und schon ist ein lüfterloser Router ohne Platte fertig der auch tagelang durchlaufen kann ohne die ganze WG (oder dich abends beim Einschlafen..) nervt
Viel einfacher ist es die Netzwerke auf den ROUTERN einzutragen !! (Dafür heissen sie ja auch "Router" !)
Das erspart dir das umständliche "Anfassen" aller WG Rechner um darauf eine Route zu konfigurieren. Das sollte man eigentlich auch tunlichst NICHT auf den Endgeräten machen !
D.h. Router A bekommt eine statische Route auf Netzwerk B mit der next Hop Adresse auf den Verbindungs-PC analog dazu bekommt Router B eine statische Route auf das Netzwerk A mit der IP Adresse des Verbindungs-PC in seinem Segement.
Also also anhand deines Beispiels:
Router A: network 192.168.1.0 mask 255.255.255.0 gateway 192.168.0.200
Router B: network 192.168.0.0 mask 255.255.255.0 gateway 192.168.1.200
Einzustellen ist das in der "statische Routing" Sektion deiner Internet Router meist über ein vorhandenes GUI.
Damit hat sich dann auch gleich das Problem der "bösen Standardgatewayverbieger" gelöst sofern du in deinem Verbindungs-PC der hier natürlich auch ein Router ist KEIN Standard Gateway eingetragen hast !
Musst du dies aber tun damit der auch ins Internet sei es über die A oder B Seite kann, solltest du dich für einen der Router A oder B entscheiden. Dann allerdings werden die "bösen Standardgatewayverbieger" natürlich auch immer auf diesen Router geroutet.
Das allerdings liesse sich dann auch noch unterbinden wenn du deinen Routern jeweils Accesslisten aufs Ethernetinterface legst die jeweils das andere Netz verbieten. Damit ist die Lösung dann "wasserdicht" !!!
Einen unschönen Nachteil hat die Geschichte noch:
Damit du mit beiden Netzen kommunizieren kannst MUSS immer dein XP PC laufen sonst ist nix mit Quake spielen, untereinader Bilder ansehen o.ä.
Ich würde da als Alternative einen 1 Diskettenrouter vorziehen wenn du noch ein olles Mainboard in der Ecke liegen hast. Ein oller uralt Pentium oder AMD mit 64 MB und 3,5 Zoll Diskilaufwerk genügt vollends dafür. Meist gibt es sowas auch für ein paar Euronen auf dem Flohmarkt oder man hats eh noch in der Bastelkiste.
2 mal 5 Euro Realtek Netzwerkkarten rein oder was aus der Bastelkiste und hier die SW runtergeladen:
http://www.fli4l.de/
Und schon ist ein lüfterloser Router ohne Platte fertig der auch tagelang durchlaufen kann ohne die ganze WG (oder dich abends beim Einschlafen..) nervt
Dies wäre aber dann die
umständliche Variante der Lösung
!
umständliche Variante der Lösung
!
... na ja, je nachdem, wie man das Ganze dann realisiert ... trägt man auf bestimmten Clients auch nur bestimmte Client-Routen ein, hat der kleine Bruder keinen Zugriff auf den Rechner des "Chefs", z.B. auf Client 192.168.1.2 der Eintrag
route add -p 192.168.0.4 mask 255.255.255.255 192.168.1.200
und auf Client 192.168.0.4 die statische Route
route add -p 192.168.1.2 mask 255.255.255.255 192.168.0.200
verbindet nur diese beiden Rechner miteinander.
Gruß
Atti
Oha, der arme wolibn muss dann aber eine Sisiphusarbeit erledigen wollte er all das berücksichtigen, da müsste er ja noch mehr Routen auf den einzelnen Clients eintragen. Im Grunde genommen ist das eine Accessliste mit Routen realisiert. Nicht falsch aber m.E. der falsche Weg.
Sicherer ist das, keine Frage aber hier sollte man die alte Regel: "Keep it simple stupid" gelten lassen und lieber den FWs der PCs vertrauen und den Weg des klassischen IP Routings beschreiten. Seine MitWGler werdens ihm danken bevor er alle ihre Rechner IP routingtechnisch verbiegt....
Es führen aber wie gesagt immer mehrere Wege nach Rom. Die Routerkonfiguration führt mit am wenigsten Aufwand zum Erfolg
Sicherer ist das, keine Frage aber hier sollte man die alte Regel: "Keep it simple stupid" gelten lassen und lieber den FWs der PCs vertrauen und den Weg des klassischen IP Routings beschreiten. Seine MitWGler werdens ihm danken bevor er alle ihre Rechner IP routingtechnisch verbiegt....
Es führen aber wie gesagt immer mehrere Wege nach Rom. Die Routerkonfiguration führt mit am wenigsten Aufwand zum Erfolg
@aqui
... nun, für einen Gegner von Desktop-Firewalls wie mich ist das wohl der "normale" Weg - und wir reden hier ja nicht von einer sauber konfigurierbaren Firewall mit DMZ ...
Gruß
Atti
... nun, für einen Gegner von Desktop-Firewalls wie mich
ist das wohl der "normale" Weg - und wir reden hier ja nicht von einer sauber konfigurierbaren Firewall mit DMZ ...Gruß
Atti
Guten Morgen!
Vielen Dank für alle nützlichen Hinweise, Tipps und Anleitungen!!
Ich habe es jetzt über statische Routen auf den beiden Routern gelöst und es funktioniert einwandfrei!
Die Gateway-Verbieger kann ich hier in den zwei Netzen wohl vernachlässigen und ich glaube es ließe sich wohl nicht verhindern da es alles private Rechner sind und daher mit Richtlinien nichts zu machen ist.
Über die Variante von aqui mit dem Diskettenrouter werde ich nochmal nachdenken, ist bestimmt eine nette Sache mit einem gewissen Mehrwert.
Danke auch für das Netzwerkdiagramm an Atti58! (Womit hast du das gezeichnet?)
Gruß,
Wolfgang
Vielen Dank für alle nützlichen Hinweise, Tipps und Anleitungen!!
Ich habe es jetzt über statische Routen auf den beiden Routern gelöst und es funktioniert einwandfrei!
Die Gateway-Verbieger kann ich hier in den zwei Netzen wohl vernachlässigen und ich glaube es ließe sich wohl nicht verhindern da es alles private Rechner sind und daher mit Richtlinien nichts zu machen ist.
Über die Variante von aqui mit dem Diskettenrouter werde ich nochmal nachdenken, ist bestimmt eine nette Sache mit einem gewissen Mehrwert.
Danke auch für das Netzwerkdiagramm an Atti58! (Womit hast du das gezeichnet?)
Gruß,
Wolfgang
Hallo Wolfgang,
so ganz kann ich Deine Lösung dann doch nicht nachvollziehen ...
Du sagst, Du hast das ganze mit statischen Routen gelöst, das heißt ja dann wohl, Du hast auf Router 192.168.1.1 die Route:
route 192.168.0.0 mask 255.255.255.0 192.168.1.200
und auf Router 192.168.0.1
route 192.168.1.0 mask 255.255.255.0 192.168.0.200
eingetragen. Das bedeutet folglich, dass Anfragen für Fremdnetze generell an die Router gesendet werden und diese senden sie dann an den "XP-Rechner"-Router zurück. Das erhöht natürlich ein klein wenig den Netzwerktraffic, aber das sollte wohl kein Problem darstellen.
Gruß
Atti
PS Die Grafik ist mit MS Visio erstellt worden, eine kostenlose Variante eines Flowcharters gibt es hier: http://www.gnome.org/projects/dia/
so ganz kann ich Deine Lösung dann doch nicht nachvollziehen
...Du sagst, Du hast das ganze mit statischen Routen gelöst, das heißt ja dann wohl, Du hast auf Router 192.168.1.1 die Route:
route 192.168.0.0 mask 255.255.255.0 192.168.1.200
und auf Router 192.168.0.1
route 192.168.1.0 mask 255.255.255.0 192.168.0.200
eingetragen. Das bedeutet folglich, dass Anfragen für Fremdnetze generell an die Router gesendet werden und diese senden sie dann an den "XP-Rechner"-Router zurück. Das erhöht natürlich ein klein wenig den Netzwerktraffic, aber das sollte wohl kein Problem darstellen.
Gruß
Atti
PS Die Grafik ist mit MS Visio erstellt worden, eine kostenlose Variante eines Flowcharters gibt es hier: http://www.gnome.org/projects/dia/
Ja, Atti58, so habe ich es gemacht.
Was wäre denn die Netzlast sparende Lösung?
Was wäre denn die Netzlast sparende Lösung?
... na ja, ich dachte, Du hättest die Grafik "gelesen" ... Dort ist doch angegeben, welche Routen auf den Clients im jeweiligen Netz einzutragen gewesen wären ... der Passus mit::
route add -p 192.168.1.0 mask 255.255.255.0 192.168.0.200
bzw.
route add -p 192.168.0.0 mask 255.255.255.0 192.168.1.200
Wenn Du dieses Kommando auf allen Clients im jeweligen Netz in der Eingabeaufforderung eingibst, änderst Du die Routingtabelle ("route print"), dann gehen alle Pakete direkt and den Windows-XP-Router und somit in's andere Netz. Du kannst ja mal mit einem "tracert [IP_Adresse]" (in der Grafik z.B. auf Workstation C: tracert 192.168.1.4) den Weg Deiner Pakete verfolgen ...
Gruß
Atti
... Dort ist doch angegeben, welche Routen auf den Clients im jeweiligen Netz einzutragen gewesen wären ... der Passus mit::route add -p 192.168.1.0 mask 255.255.255.0 192.168.0.200
bzw.
route add -p 192.168.0.0 mask 255.255.255.0 192.168.1.200
Wenn Du dieses Kommando auf allen Clients im jeweligen Netz in der Eingabeaufforderung eingibst, änderst Du die Routingtabelle ("route print"), dann gehen alle Pakete direkt and den Windows-XP-Router und somit in's andere Netz. Du kannst ja mal mit einem "tracert [IP_Adresse]" (in der Grafik z.B. auf Workstation C: tracert 192.168.1.4) den Weg Deiner Pakete verfolgen ...
Gruß
Atti
Ahh, ok.
Wir haben hier in jedem Netz 10 Rechner, ich denke dass es hier zu keinen größeren Problemen kommt, oder?
Ich will vermeiden die Route auf jedem Rechner zu konfigurieren. Da ich wenig Plan von routing habe und die anderen keine würde es darauf hinauslaufen das ich hier rumrennen würde und konfigurieren dürfte.
Gruß,
Wolfgang
Wir haben hier in jedem Netz 10 Rechner, ich denke dass es hier zu keinen größeren Problemen kommt, oder?
Ich will vermeiden die Route auf jedem Rechner zu konfigurieren. Da ich wenig Plan von routing habe und die anderen keine würde es darauf hinauslaufen das ich hier rumrennen würde und konfigurieren dürfte.
Gruß,
Wolfgang
@Atti
Atti deine Annahme ist falsch das aller Traffic über den XP Rechner geht ! Die statischen Routen bewirken lediglich das ausschliesslich der Traffic für die Netze 192.168..0.0 bzw. 192.168.1.0 über den XP Rechner gehen ! Für alles andere gilt ja die default Route in den Routern selber, die ins Internet zeigt !
Ausserdem geht sowieso auch dann nicht der gesamte lokale Traffic über den Router sondern lediglich das allererste Packet. Der Router schickt ein ICMP redirect Packet (Typ 5) an das Endgerät das ihm sagt das Gateway ist der XP Rechner. Der Grund für das ICMP Packet ist das er merkt das das Gateway zu diesem Netz im eigenen Subnetz liegt und ein sinnloser Hop dazwischenliegt.
Wie gesagt das Routing gilt lediglich nur für die beiden lokalen 192.168er Netze. Daraufhin (dem Redirect...) sendet das Endgerät in den jeweiligen Segmenten die Packete für das jeweils andere lokale Netz direkt an die XP Maschine ohne zusätzlichen Hop. Genau dafür gibt es den ICMP Typ 5 (redirect) um überflüssigen Traffic über zusätzliche Hops zu vermeiden !
Ein "route print" in der DOS Box zeigt dann diesen automatischen redirect mit dem entsprechenden Gateway Eintrag an.
So wie es derzeit konfiguriert ist sollte eine klassische Routing Lösung auch aussehen.
So gesehen hat "wollibn" mit der derzeitigen Konfig alles richtig gemacht. Wenn er jetzt noch den fli4l dazwischennimmt als Router hat er die XP Maschine wieder für sich und darf sie auch abschalten wenn er Lust hat
Atti deine Annahme ist falsch das aller Traffic über den XP Rechner geht ! Die statischen Routen bewirken lediglich das ausschliesslich der Traffic für die Netze 192.168..0.0 bzw. 192.168.1.0 über den XP Rechner gehen ! Für alles andere gilt ja die default Route in den Routern selber, die ins Internet zeigt !
Ausserdem geht sowieso auch dann nicht der gesamte lokale Traffic über den Router sondern lediglich das allererste Packet. Der Router schickt ein ICMP redirect Packet (Typ 5) an das Endgerät das ihm sagt das Gateway ist der XP Rechner. Der Grund für das ICMP Packet ist das er merkt das das Gateway zu diesem Netz im eigenen Subnetz liegt und ein sinnloser Hop dazwischenliegt.
Wie gesagt das Routing gilt lediglich nur für die beiden lokalen 192.168er Netze. Daraufhin (dem Redirect...) sendet das Endgerät in den jeweiligen Segmenten die Packete für das jeweils andere lokale Netz direkt an die XP Maschine ohne zusätzlichen Hop. Genau dafür gibt es den ICMP Typ 5 (redirect) um überflüssigen Traffic über zusätzliche Hops zu vermeiden !
Ein "route print" in der DOS Box zeigt dann diesen automatischen redirect mit dem entsprechenden Gateway Eintrag an.
So wie es derzeit konfiguriert ist sollte eine klassische Routing Lösung auch aussehen.
So gesehen hat "wollibn" mit der derzeitigen Konfig alles richtig gemacht. Wenn er jetzt noch den fli4l dazwischennimmt als Router hat er die XP Maschine wieder für sich und darf sie auch abschalten wenn er Lust hat
@aqui
... den Internetverkehr habe ich mit "fremden Netzen" natürlich nicht gemeint, dass dieser weiterhin über den Router geht, war ja eine Grundvoraussetzung in der Fragestellung ...
Gruß
Atti
... den Internetverkehr habe ich mit "fremden Netzen" natürlich nicht gemeint, dass dieser weiterhin über den Router geht, war ja eine Grundvoraussetzung in der Fragestellung ...
Gruß
Atti
Ist ok, aber wie gesagt der Traffic der "fremden Netze" geht durch die ICMP Redirects auch nicht permanent über die Router sondern nach dem ersten Packet dann generell direkt an den "XP (...oder fli4l) Router".
Der zentrale Routing Eintrag an den Routern ist m.E. die beste Lösung dieser problematik, denn Router sollen ja routen und nicht die Endgeräte sprich PCs
Der zentrale Routing Eintrag an den Routern ist m.E. die beste Lösung dieser problematik, denn Router sollen ja routen und nicht die Endgeräte sprich PCs
