3
Fileserver und Heimnetz in getrennten Netzen
Hallo Leute,
ich verzweifel langsam an meinem neu geplanten Netzwerk.
Erst einmal zur Hardware, sowie deren IP-Adressen:
VDSL-Router: 192.168.2.1
PC's und div. Media Receiver: 192.168.2.0er Netz
Linksys WRT54GL (DD-WRT Firmw.) 192.168.100.1 (WAN: 192.168.2.250)
WLAN ist ausgeschaltet, soll als reiner LAN-LAN Router dienen.
Fileserver (Win 2k3): 192.168.100.50
Nun sollen die Clients im 2.0er Netz auf den Server im 100.0er Netz zugreifen können. Jedoch bekomme ich dies um's verrecken nicht hin. Ping vom 100.0er Netz ins 2.0er funktioniert, umgekehrt jedoch nicht. Die Firewall im Linksys habe ich zu Konfigurationszwecken ausgeschaltet. Im Router sind standartmäßig folgende Routen eingetragen, die sich nicht löschen lassen:
Ziel-Netz Maske Gateway Interface
192.168.100.0 /24 0.0.0.0 LAN & WLAN
192.168.2.0 /24 0.0.0.0 WAN
169.254.0.0 /16 0.0.0.0 LAN & WLAN
0.0.0.0 /0 192.168.2.1 WAN
Nur um von vornherein mögliche Ursachen richtung Server auszuschließen: Wenn der Server im 2.0er Netz steht funktioniert alles einwandfrei, liegt also definitiv am Router.
Nun hoffe ich, dass mich jemand von dem Ärger erlösen kann. Bin um jeden fachlichen Rat dankbar.
-EDIT-
Ich habe zum testen mal den Clients im 2er Netz als Gateway den Linksys Router eingetragen und kann nun in beide Richtungen pingen. Jedoch habe ich immernoch keinen Zugriff auf meine Netzlaufwerke. Wenn ich den Server ins 2er Netz umlege, habe ich vollen Zugriff.
--
mfg Maddrixx
ich verzweifel langsam an meinem neu geplanten Netzwerk.
Erst einmal zur Hardware, sowie deren IP-Adressen:
VDSL-Router: 192.168.2.1
PC's und div. Media Receiver: 192.168.2.0er Netz
Linksys WRT54GL (DD-WRT Firmw.) 192.168.100.1 (WAN: 192.168.2.250)
WLAN ist ausgeschaltet, soll als reiner LAN-LAN Router dienen.
Fileserver (Win 2k3): 192.168.100.50
Nun sollen die Clients im 2.0er Netz auf den Server im 100.0er Netz zugreifen können. Jedoch bekomme ich dies um's verrecken nicht hin. Ping vom 100.0er Netz ins 2.0er funktioniert, umgekehrt jedoch nicht. Die Firewall im Linksys habe ich zu Konfigurationszwecken ausgeschaltet. Im Router sind standartmäßig folgende Routen eingetragen, die sich nicht löschen lassen:
Ziel-Netz Maske Gateway Interface
192.168.100.0 /24 0.0.0.0 LAN & WLAN
192.168.2.0 /24 0.0.0.0 WAN
169.254.0.0 /16 0.0.0.0 LAN & WLAN
0.0.0.0 /0 192.168.2.1 WAN
Nur um von vornherein mögliche Ursachen richtung Server auszuschließen: Wenn der Server im 2.0er Netz steht funktioniert alles einwandfrei, liegt also definitiv am Router.
Nun hoffe ich, dass mich jemand von dem Ärger erlösen kann. Bin um jeden fachlichen Rat dankbar.
-EDIT-
Ich habe zum testen mal den Clients im 2er Netz als Gateway den Linksys Router eingetragen und kann nun in beide Richtungen pingen. Jedoch habe ich immernoch keinen Zugriff auf meine Netzlaufwerke. Wenn ich den Server ins 2er Netz umlege, habe ich vollen Zugriff.
--
mfg Maddrixx
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 99186
Url: https://administrator.de/contentid/99186
Printed on: April 25, 2024 at 21:04 o'clock
3 Comments
Latest comment
Die Firewall hast du ausgeschaltet aber vermutlich nicht das NAT sprich die Network Adress Translation (bei dd-wrt ist das moeglich) und so hast du eine NAT Firewall zwischen deinem 100er Netz und dem 2er Netz. Sprich alle deinen IP Pakete aus dem 100er Netz tauchen auf der anderen Seite mit der 2er IP Adresse des Routers auf !!!
Leider teilst du uns ja nicht mit WIE du dein Netz zusammengeschaltet hast aber vermutlich wird es so wie hier beschrieben geschehen sein:
http://www.heise.de/netze/DMZ-selbst-gebaut--/artikel/78397
Du kannst das auch sehr leicht sehen, denn alle Paktete vom 100er Netz sollten im 2er Netz nie auftauchen, da der Router sie alle auf seine 2er IP Adresse umsetzt. Genau das also was er auch im DSL mit einer oeffentlichen IP macht.
Ein sicheres Indiz dafuer das NAT bei dir aktiviert ist und den Fehler verursacht !
Lade dir mal einen Sniffer auf den Server entweder den Wireshark oder den MS-NetMonitor.
Das sollte dir das sofort zeigen und bestaetigen !!
Was passiert ist wenn du vom 2er ins 100er Netz pingen willst das die NAT Firewall das blockiert da sie keine Port Forwarding Regel hat dafuer. Bei Ping muesstest du z.B. dies mit ICMP Forwarding realisieren. Trag das mal ein fuer z.B. ICMP oder HTTP Port 80 auf die lokale IP des Servers (sofern ein Webserver darauf rennt) und schon sollte es klappen !
Letztlich aber Unsinn, denn wenn du NAT daktivierst musst du diese Klimmzuege nicht machen !
In einem transparent gerouteten Netz wie deinem ist das verwenden von NAT natuerlich Unsinn und es behindert dich nur, da du es ja nicht brauchst. Das wichtige NAT macht ja dein VDSL Router !!
Du solltest das im dd-wrt Setup abschalten, damit sollte dann jede Kommunikation zwischen beiden Netzen fehlerfrei laufen !!!
Ansonsten kannst du immer noch den Server zum Router machen:
Besser ist natuerlich der dd-wrt...keine Frage. Der kann das naemlich auch !
Leider teilst du uns ja nicht mit WIE du dein Netz zusammengeschaltet hast aber vermutlich wird es so wie hier beschrieben geschehen sein:
http://www.heise.de/netze/DMZ-selbst-gebaut--/artikel/78397
Du kannst das auch sehr leicht sehen, denn alle Paktete vom 100er Netz sollten im 2er Netz nie auftauchen, da der Router sie alle auf seine 2er IP Adresse umsetzt. Genau das also was er auch im DSL mit einer oeffentlichen IP macht.
Ein sicheres Indiz dafuer das NAT bei dir aktiviert ist und den Fehler verursacht !
Lade dir mal einen Sniffer auf den Server entweder den Wireshark oder den MS-NetMonitor.
Das sollte dir das sofort zeigen und bestaetigen !!
Was passiert ist wenn du vom 2er ins 100er Netz pingen willst das die NAT Firewall das blockiert da sie keine Port Forwarding Regel hat dafuer. Bei Ping muesstest du z.B. dies mit ICMP Forwarding realisieren. Trag das mal ein fuer z.B. ICMP oder HTTP Port 80 auf die lokale IP des Servers (sofern ein Webserver darauf rennt) und schon sollte es klappen !
Letztlich aber Unsinn, denn wenn du NAT daktivierst musst du diese Klimmzuege nicht machen !
In einem transparent gerouteten Netz wie deinem ist das verwenden von NAT natuerlich Unsinn und es behindert dich nur, da du es ja nicht brauchst. Das wichtige NAT macht ja dein VDSL Router !!
Du solltest das im dd-wrt Setup abschalten, damit sollte dann jede Kommunikation zwischen beiden Netzen fehlerfrei laufen !!!
Ansonsten kannst du immer noch den Server zum Router machen:
Besser ist natuerlich der dd-wrt...keine Frage. Der kann das naemlich auch !
Vielen Dank für die schnelle und ausführliche Antwort!
Es gibt zwar einen Reiter NAT/QOS, dort kann ich aber lediglich Ports forwarden und Einstellungen zum QOS vornehmen. Ansonsten kann ich nirgends eine Einstellung finden, wo ich das NAT abschalten kann. Zur Info: Ich habe DD-WRT mini.
Ich habe einfach mal alle Ports von 1-65535 geforwarded. Trotzdem habe ich keinen Zugriff auf meine Netzlaufwerke. Der Ping ging auch vorher schon durch, seitdem ich auf den Clients als Gateway den Linksys (192.168.100.1) eingetragen habe.
Gruß Maddrixx
Es gibt zwar einen Reiter NAT/QOS, dort kann ich aber lediglich Ports forwarden und Einstellungen zum QOS vornehmen. Ansonsten kann ich nirgends eine Einstellung finden, wo ich das NAT abschalten kann. Zur Info: Ich habe DD-WRT mini.
Ich habe einfach mal alle Ports von 1-65535 geforwarded. Trotzdem habe ich keinen Zugriff auf meine Netzlaufwerke. Der Ping ging auch vorher schon durch, seitdem ich auf den Clients als Gateway den Linksys (192.168.100.1) eingetragen habe.
Gruß Maddrixx
Mmmhhh, koennte an der Mini Version liegen. Eigentlich kann man NAT dort auch deaktivieren.
Beim normalen dd-wrt geht das unter
Setup -> Advanced Routing -> Hier stellst du ihn um vom Gateway in den Router Modus !
Damit ist NAT abgeschaltet !
Jetzt benoetigst du auch KEIN Port Forwarding mehr also loeschen !!
Mit dem Gateway ist klar. Du kannst dich etwas an dem Tutorial oben orientieren. Stell dir statt PC-Router eben deinen dd-wrt vor.
Dein Netzwerk sollte ja so aussehen:
(Client)---192.168.100.0 /24---(dd-wrt-Router)---192.168.2.0 /24---(VDSL Router)
Es ist klar das alle Clients im .100er Netz die lokale .100er IP des dd-wrt als Gateway eingetragen haben muessen. Als DNS Server MUSS hier die IP des VDSL Routers konfiguriert werden, denn der ist ist ja DNS Proxy im Netz !!
Clients im .2er Segment haben DNS und Gateway IP vom VDSL Router ! Falls der DHCP macht achte darauf das das dd-wrt Interface im .2er Netz ausserhalb dessen DHCP Range liegt !!!
Folgende Ping Test sollten fehlerfrei funktionieren:
Achtung: Letzterer Ping kann nur und ausschliesslich funktionieren wenn du auf dem VDSL Router eine zusaetzliche statische Route mit
Zielnetz: 192.168.100.0 Maske 255.255.255.0 Gateway: 192.168.2.250
eingetragen hast !!!
Diese Route ist essentiell wichtig, denn sonst routet der VDSL Router Pakete mit diesen IP Adressen ins Internet und damit ins Nirwana !! Die sollen ja an den dd-wrt gehen, damit der das weiterroutet !!
Kann dein VDSL Router keine statischen Routen im Setup, dann hast du keinerlei Chance das Netz so zu realisieren, dann bist du gezwungen NAT auf dem dd-wrt zu machen, denn dann duerfen keine .100er IP Adressen am VDSL Router auftauchen und das bekommt man eben nur mit NAT hin !!!
Halte dich an dieses Szenario
http://www.heise.de/netze/DMZ-selbst-gebaut--/artikel/78397
das dir das ganz genau beschreibt.
Der entscheidende Nachteil ist das du dann zwangsweise mit NAT und eben Port Forwarding arbeiten musst, damit du Clinets vom .2er Netzwerk aus im .100er netzwerk erreichen kannst.
Ein transparentes verbinden (Routing) aller Clients ist dann nicht mehr moeglich !!
Du kannst dann immer nur einzelne Dienste auf genau einen Rechner im .100er Netz freigeben...oder eben mit Port Translation etwas spielen... Die Moeglichkeiten sind zum transparenten Routen aber sehr limitiert !
Es gilt das was im o.a. zum Thema ICS steht.
Das o.a. Tutorial beschreibt dein netz genau. Es gilt dort alles auch fuer dich wenn du den PC mit deinem dd-wrt ersetzt !!
Beim normalen dd-wrt geht das unter
Setup -> Advanced Routing -> Hier stellst du ihn um vom Gateway in den Router Modus !
Damit ist NAT abgeschaltet !
Jetzt benoetigst du auch KEIN Port Forwarding mehr also loeschen !!
Mit dem Gateway ist klar. Du kannst dich etwas an dem Tutorial oben orientieren. Stell dir statt PC-Router eben deinen dd-wrt vor.
Dein Netzwerk sollte ja so aussehen:
(Client)---192.168.100.0 /24---(dd-wrt-Router)---192.168.2.0 /24---(VDSL Router)
Es ist klar das alle Clients im .100er Netz die lokale .100er IP des dd-wrt als Gateway eingetragen haben muessen. Als DNS Server MUSS hier die IP des VDSL Routers konfiguriert werden, denn der ist ist ja DNS Proxy im Netz !!
Clients im .2er Segment haben DNS und Gateway IP vom VDSL Router ! Falls der DHCP macht achte darauf das das dd-wrt Interface im .2er Netz ausserhalb dessen DHCP Range liegt !!!
Folgende Ping Test sollten fehlerfrei funktionieren:
- Ping vom .100er Client auf 192.168.100.1 (dd-wrt IP)
- Ping vom .100er Client auf die 192.168.2.250 (dd-wrt IP im .2er Segment)
- Ping vom .100er Client auf die 192.168.2.1 (VDSL Router IP im .2er Segment)
Achtung: Letzterer Ping kann nur und ausschliesslich funktionieren wenn du auf dem VDSL Router eine zusaetzliche statische Route mit
Zielnetz: 192.168.100.0 Maske 255.255.255.0 Gateway: 192.168.2.250
eingetragen hast !!!
Diese Route ist essentiell wichtig, denn sonst routet der VDSL Router Pakete mit diesen IP Adressen ins Internet und damit ins Nirwana !! Die sollen ja an den dd-wrt gehen, damit der das weiterroutet !!
Kann dein VDSL Router keine statischen Routen im Setup, dann hast du keinerlei Chance das Netz so zu realisieren, dann bist du gezwungen NAT auf dem dd-wrt zu machen, denn dann duerfen keine .100er IP Adressen am VDSL Router auftauchen und das bekommt man eben nur mit NAT hin !!!
Halte dich an dieses Szenario
http://www.heise.de/netze/DMZ-selbst-gebaut--/artikel/78397
das dir das ganz genau beschreibt.
Der entscheidende Nachteil ist das du dann zwangsweise mit NAT und eben Port Forwarding arbeiten musst, damit du Clinets vom .2er Netzwerk aus im .100er netzwerk erreichen kannst.
Ein transparentes verbinden (Routing) aller Clients ist dann nicht mehr moeglich !!
Du kannst dann immer nur einzelne Dienste auf genau einen Rechner im .100er Netz freigeben...oder eben mit Port Translation etwas spielen... Die Moeglichkeiten sind zum transparenten Routen aber sehr limitiert !
Es gilt das was im o.a. zum Thema ICS steht.
Das o.a. Tutorial beschreibt dein netz genau. Es gilt dort alles auch fuer dich wenn du den PC mit deinem dd-wrt ersetzt !!
