coreknabe
Goto Top

Adressraum IP-Adressen erweitern

Hallo,

wir haben ein privates C-Klasse Netz (192.168.100.xxx) mit Subnetzmaske 255.255.255.0. Jetzt werden die IP-Adressen knapp und ich möchte weitere IP-Adressen zur DHCP-Vergabe ermöglichen.

Im Hintergrund werkelt eine Securepoint-Firewall, die auch fürs Routing zuständig ist. Im Netz befinden sich zwei Windows 2003-DHCP-Server, auf einem 2008er würde ich einen weiteren Server mit den "neuen" Adressen einrichten. Internes Gateway ist die FW mit 192.168.100.4.

Jetzt stehe ich maximal auf dem Schlauch, habe schon einiges nachgelesen, hilft aber alles nur minimal weiter, für mich zumindest.

Frage ich einfach mal so in den Raum:
Kann ich ohne Änderung der Subnetzmaske weitere Adressen vergeben?
Muss die Firewall nachkonfiguriert werden?
Welches Gateway würde dann als Standard für alle Clients im Netz gelten?

Wenn ich manuell einem Windows-Client beispielsweise die 192.168.10.79 vergebe, kann ich das interne Gateway anpingen. Nicht jedoch andere Clients im Netz.

Sind wahrscheinlich ziemlich blöde Fragen, sorry. Leider sind Netzwerke nicht so mein Fachgebiet, bitte also um Nachsicht!

Content-Key: 131512

Url: https://administrator.de/contentid/131512

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: TsukiSan
TsukiSan 11.12.2009 um 14:54:55 Uhr
Goto Top
Wenn ich manuell einem Windows-Client beispielsweise die 192.168.10.79 vergebe, kann ich das interne Gateway anpingen.
nein, kannst du nicht, solange die SubNet in deinem Fall auf 255.255.255.0 steht.
Mitglied: maretz
maretz 11.12.2009 um 15:04:15 Uhr
Goto Top
[quote]
Muss die Firewall nachkonfiguriert werden?
[/quote]

Wenn du änderungen am IP-Bereich vornimmst kann man mit zimlicher Sicherheit (und ohne genau zu wissen was du hast) sagen: JA, die muss angepasst werden!
Mitglied: dog
dog 11.12.2009 um 15:06:27 Uhr
Goto Top
wir haben ein privates C-Klasse Netz (192.168.100.xxx) mit Subnetzmaske 255.255.255.0.

Vergiss mal das Class C - das ist irrelevant.

Kann ich ohne Änderung der Subnetzmaske weitere Adressen vergeben?

Ohne Änderung bei den Clients? Ja
Ohne Änderung am Server? Nur wenn du die Clients abwechselnd benutzt face-wink

Dabei gilt natürlich folgende Regel:
  • Clients müssen nicht untereinander kommunizieren
  • Alle müssen mit dem Server kommunizieren
  • Der Server muss mit allen kommunizieren

Die bisherigen Clients behalten /24, die Server bekommen /16 und die neuen Clients eine Maske bei der sie im selben Subnet wie die Server sind.

Grüße

Max
Mitglied: Coreknabe
Coreknabe 11.12.2009 um 15:30:42 Uhr
Goto Top
Das ging aber fix, danke!

Was ich vergessen hab: Alle Rechner im privaten Netz sind im Netz 192.168.100.1/16. Genug Adressen sind also da.

Vielleicht habe ich das Ausmaß meiner Dummheit noch nicht deutlich genug rübergebracht, deshalb noch mal gezieltere Fragen:
- Welchen IP-Kreis kann ich am Einfachsten ohne Änderung der Subnetzmaske verwenden? 192.168.10.x?
- Was muss ich dann an der Firewall-Konfiguration ändern? Zusätzliche IP auf das GW-Interface?
- Welches Gateway trage ich dann auf den Windows-Clients ein? Was gilt für die internen DNS-Server?
Mitglied: onkel-ossi
onkel-ossi 11.12.2009 um 15:49:30 Uhr
Goto Top
Hallo Coreknabe,

Folgende Konfig sollte klappen:
IP-Adressen der Clients: 192.168.100.xxx und 192.168.101.xxx
Keine Änderung an der Firewall
Gateway bleibt für alle Rechner (auch die neuen) gleich
Alle Rechner hängen im gleichen physikalischen Netz (also nicht durch die Firewall geroutet)

wie Dog geschrieben hat:
Die bisherigen Clients behalten /24, die Server bekommen /16 und die neuen Clients
eine Maske bei der sie im selben Subnet wie die Server sind.

D.h.: Die Subnetzmaske der Server wird geändert: von 255.255.255.0 auf 255.255.0.0

So habe ich es verstanden, vielleicht ist aber auch meine Ahnungslosigkeit grenzenlos face-wink

Gruß
Thomas
Mitglied: Coreknabe
Coreknabe 11.12.2009 um 16:05:49 Uhr
Goto Top
Hi Thomas,

so habe ich das auch versucht. Resultat: Die FW lässt sich vom Client anpingen, ich komme mit dem Client aber weder ins lokale Netz, also kein Kontakt zu anderen Clients, Internet funktioniert auch nicht. Und: Ist ein Windows 7-Client, wenn ich die Änderung vornehme, meckert er:

Warnung - Mehrere Standardgateways bieten Redundanz für ein einzelnes Netzwerk (wie z.B. ein Intranet oder das Internet). Die Standardgateways funktionieren nicht richtig, wenn sie sich auf zwei separaten Netzwerken befinden (ein Gateway im Intranet und das andere im Internet). Soll diese Konfiguration gespeichert werden?

--> Ja

Folgendes habe ich eingetragen: IP 192.168.101.79, GW 192.168.100.4, DNS1 192.168.100.12, DNS2 192.168.100.3. Netz ist FW-seitig für alle Clients inkl. Server 192.168.100.1/16
Mitglied: onkel-ossi
onkel-ossi 11.12.2009 um 16:43:46 Uhr
Goto Top
Zitat von @Coreknabe:
Folgendes habe ich eingetragen: IP 192.168.101.79, GW 192.168.100.4, DNS1 192.168.100.12, DNS2 192.168.100.3. Netz ist FW-seitig
für alle Clients inkl. Server 192.168.100.1/16


damit meinst du sicher das Subnetz steht auf 255.255.255.0, oder?

zweite Frage: Hat die Firewall auch die passende Einrichtung, oder ist dort eine andere Subnetzmaske eingerichtet?
Mitglied: Coreknabe
Coreknabe 11.12.2009 um 16:54:14 Uhr
Goto Top
Ist richtig, Subnetz 255.255.255.0, Firewall gibt dies vor.

Hab jetzt mal auf dem Client mit der neuen IP im Firefox die FW als Proxy eingetragen, was vorher nicht nötig war. Ich komme jetzt mit diesem Rechner ins Internet... Ist aber als transparenter Proxy auf der FW eingerichtet, daran dürfte das doch also eigentlich nicht scheitern?!?
Mitglied: aqui
aqui 11.12.2009, aktualisiert am 18.10.2012 um 18:40:19 Uhr
Goto Top
Mmmhhh, eins ist nicht ganz klar oben gibst du an du hast eine 24 Bit Subnetzmaske und unten dann mit einmal eine 16 Bit Maske.
Klar kann man mit CIDR dem klassischen Class C Netz eine 16 Bit Maske überstülpen aber oft ist das gefährlich da diverse Endgeräte mit solchen CIDR masken nicht umgehen können und du bekommst noch erheblich mehr Probleme.
Diesen Weg solltest du eher vergessen.
Mit 2 unterschiedlichen IP Adressen auf einem Draht zu arbeiten ist auch kontraproduktiv, da du so immer auf dem selben kabel routen müsstest und langfristig mit ICMP Probleme bekommst.
Fazit: Nun wirst du von einem dummen Planungs- und Designfehler eingeholt weil du vermutlich vorher nicht nachgedacht hast.
Der RFC 1918 der uns die privaten_IP_Netze bietet, wie du sicherlich selber weisst, mit den 172er Adressblöcken diverser Class B Netze und ein 10er Netz Class A Netz, was mit einer 16er Maske z.B. auch als Class B z.B. subnetbar ist.
Leider bist du wie so viele hier dem banalen 192.168er Class C Wahn verfallen ohne mal etwas über den Tellerrand zu schauen... face-sad

Um das Elend abzukürzen: Generell kann man dir nur empfehlen den Sprung ins kalte Wasser zu machen und z.B. übers Wochenende dein IP Netz umzustellen auf z.B. eine Class C Netz wie 172.32.0.0 /24 z.B.
Gerade wenn du den Clients IPs per DHCP verteilst ist das eine schnelle Sache und mit ein paar Mausklicks erledigt..

Kannst du das nicht aus welchem Grund auch immer, solltest du ein neues IP Netzsegement mit einem Router oder Layer 3 Switch ankoppeln. Wenn du VLAN fähige Switches hast ist das im Handumdrehen eingerichtet. Viele Routing HowTos wie diese helfen dir dabei:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ggf. nutzt du einen Layer 3 fähigen Switch dafür, dann kannst du ein weiteres Subnez problemlos ohne großen Aufwand in dein vorhandenes IP Netz integrieren.
Mitglied: onkel-ossi
onkel-ossi 11.12.2009 um 17:10:36 Uhr
Goto Top
Wenn die Firewall das so vorgibt, ist der von aqui beschreibene Weg sicher der beste (wenn auch aufwendigere).

Schönes Wochenende
Thomas
Mitglied: Coreknabe
Coreknabe 11.12.2009 um 17:24:31 Uhr
Goto Top
Vielen Dank, aqui!

Um Deine Verwirrung etwas zu lüften: Ne, ich habe nirgends behauptet, dass ich ne 24 Bit-Maske habe, das waren die freundlichen Helfer hier :-P

Das ganze Netzwerk habe ich hier so übernommen, das haben clevere Planer eingerichtet. Aber wie gesagt, ich bin nicht der Netzwerkprofi, so dass ich das wenig beurteilen kann. Was ich an Deinem Vorschlag nicht ganz verstehe, was ändert es, wenn ich ein anderes Netz als das 192.168.x verwende? Kannst Du mir das bitte näher erläutern?

Ansonsten verschwinde ich jetzt mal ins Wochenende, mir dröhnt etwas die Birne... Euch allen ein schönes Wochenende, ich bin für weitere Anregungen dankbar!
Mitglied: aqui
aqui 11.12.2009 um 17:36:42 Uhr
Goto Top
Lies dir das Wiki hier durch:
http://de.wikipedia.org/wiki/IP-Adresse
bzw.
http://de.wikipedia.org/wiki/Netzklasse was es etwas genauer erklärt !
Dann kannst du deine Frage selber beantworten. Nur soviel:
192.168.x ist eigentlich eine feste Class C IP Adresse durch den festen Präfix 110... in den ersten Bits.
Damit behandeln viele TCP/IP Stacks auf Endgeräten dieses IP Netz immer wie ein Class C Netz.
Wenn du diesem nun zwangsweise eine CIDR Subnetzmakse verpasst von 16 Bits tust du ja so als ob es eine Class B Adresse wäre die aber fest einen Präfix 10... in den ersten Bits hätte. Damit kommen wie gesagt sehr sehr viele Endgeräte nicht klar weil sie eben keine CIDR Masken supporten und du so einen Präfix Mismatch zur verwendeten Subnetzmaske hättest.
Jetzt stell dir das Tohuwabohu bei dir vor von Geräten die es können und die es nicht können wenn du das machst. Wie willst du sowas noch troubleshooten...?? Mehr muss man wohl nicht sagen ?!
Mitglied: dog
dog 11.12.2009 um 21:04:31 Uhr
Goto Top
CIDR gilt ja nun schon seit 93 und ich habe bisher auch noch kein Gerät gesehen, was damit in irgendeiner Weise Probleme gehabt hätte.
Welche kennst du denn, aqui?

Grüße

Max
Mitglied: Coreknabe
Coreknabe 14.12.2009 um 10:12:56 Uhr
Goto Top
Ich wieder! face-smile

Hoffe, Ihr hattet ein schönes Wochenende!

Zum Thema CIDR: Bin da recht verunsichert, habe auch mit unserem Firewall-Lieferanten Securepoint gesprochen, dort sind keine entsprechenden Probleme bekannt... Ich will mich da nicht aus dem Fenster lehnen, weil ich da wenig Ahnung von habe. Deshalb mal eine Frage an Alle: Wie sind Eure Erfahrungen / Meinungen?

Aktueller Stand ist, dass es mit diesen Einstellungen grundsätzlich funktioniert:
- Keine Änderung an der Firewall
- Vorhandenes Netz intern: 192.168.100.xxx
- Subnetzmaske für alle: 255.255.0.0
- Erweiterung Adressraum auf 192.168.101.xxx

Nun die Einschränkung: Es geht grundsätzlich, bis auf die Tatsache, dass ich bei den alten Adressen 192.168.100.xxx keinen Proxy im Browser einstellen muss, um ins Internet zu gelangen. So weit, so logisch, weil transparenter Proxy auf der FW... Bei den neuen Adressen 192.168.101.xxx hingegen MUSS ich einen Proxy angeben. Nicht gerade praktikabel, wie kann ich das umgehen?
Mitglied: aqui
aqui 14.12.2009 um 12:33:21 Uhr
Goto Top
Indem du lokal auf dem Draht zwischen dem .100er und dem .101er Netz rotest wenn du beiden eine 24 Bit Maske gegeben hast.
Wie oben bereits gesagt, das ist eine nicht standardkonforme Frickelei.
Besser du integrierst noch ein separates Segment in der FW oder routest sauber zwischen beiden IP Netzen, dann hast du auch kein Problem mehr mit der Proxy Einstellung...oder entschliesst dich sauber auf ein Class B Netz zu gehen !! Dann sowieso nicht mehr !
Mitglied: Coreknabe
Coreknabe 14.12.2009 um 12:51:34 Uhr
Goto Top
Auch auf die Gefahr hin, dass ich mich wiederhole... Ich habe keine 24 Bit-Maske vergeben, sondern eine 16er... Und ich habe auch nirgends behauptet, dass es eine 24er-Maske ist...

Nachdem mir niemand glaubhaft darlegen konnte, welche Probleme es denn mit dem 192.168.xxx.xxx-Segment geben könnte (Praxis !), lösen wir das jetzt folgendermaßen:

Wie von aqui vorgeschlagen, separates Segment auf FW, plus Routing zwischen beiden Netzen.

Danke an Euch alle!