brian85
Goto Top

Integration eines fremden Netzwerks (Routing-Problem)

Hallo zusammen,

ich bin im Sport tätig und kümmere mich dort um die Auswertung von Daten. Mein Verständnis von Netzwerken ist leider nicht sehr gut, trotzdem stehe ich vor einer Aufgabe, die ich gerne kurzfristig lösen möchte.
Wir verfügen über folgenden Aufbau. Wir haben eine Art Datenstation an der mehrere Benutzer sitzen können und Daten analysieren. An dieser Datenstation gibt es einen Router mit 2 Ports (LAN und WAN, Lancom 1781-4G). Der WAN Port wird benutzt um die Datenstation mit Internet zu versorgen. Der LAN Port ist verbunden mit einem unmanaged Switch an dem die Clients und der NAS hängen.
Weiterhin haben wir einen Ableger der Datenstation (im folgenden Datenstation 2 genannt) der weiter entfernt angeordnet und mit einer WLAN-Bridge an den Switch der Datenstation angeschlossen ist. Dort befindet sich ein weiterer unmanaged Switch an dem wiederrum Clients abgeschlossen sind.
Soweit ist das alles kein Problem und die Clients können alle untereinander Daten austauschen. Jetzt kommt die Schwierigkeit für mich.
An den Ableger der Datenstation wird per LAN ein FTP-Server angeschlossen. Dieser bewegt sich in seinem eigenen IP-Bereich und wird unabhängig von mir betrieben. Meine Clients sollen nun die Möglichkeit haben sowohl auf den FTP-Server als auch auf meinen NAS zugreifen zu können. Das bedeutet ich muss den FTP-Server irgendwie in mein Netzwerk integrieren und den Clients irgendwie mitteilen wie sie auf den NAS bzw. den FTP-Server kommen.

Wäre es auch möglich das LAN-Kabel welches vom FTP-Server kommt einfach in den Switch der Datenstation 2 zu stecken un dann mit entsprechenden lokalen Routing einträgen die Bedürfnisse zu erüllen?
Wäre es auch möglich an einem Client mit einem USB-2-LAN Adapter und entsprechenden Routing einträgen, die Bedürfnisse zumindest an einem Client zu erfüllen?

Vielen Dank

Content-Key: 314474

Url: https://administrator.de/contentid/314474

Ausgedruckt am: 28.03.2024 um 17:03 Uhr

Mitglied: 129813
129813 05.09.2016 aktualisiert um 18:02:16 Uhr
Goto Top
Hi,
add a static route on the default gateway (your router) which points to the gateway device of your other ip segment.
For example: The device which brings your network to the router has IP 10.1.0.100/24, your own network has 10.2.0.0/24, then the static route would be
NETWORK 10.2.0.0
NETMASK 255.255.255.0
GATEWAY 10.1.0.100
On the device which acts as the bridge from your network and the public you have to make sure that IP-Routing is enabled, and the firewalls must accept packets from different subnets.

For more details have a look here
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

But I would rather use a small router which supports multiple different network segments like a cheap Mikrotik.

Regards
Mitglied: Brian85
Brian85 05.09.2016 um 18:25:13 Uhr
Goto Top
Hi,
thanks for your reply.
Our network is 192.172.1.0/24 which means that a client is e.g. 192.172.1.64.
The ftp server is e.g. 163.169.172.1
My Router has the IP 192.172.1.1

What is the route I have to use in this case?
Would this mean that I can just plug the LAN cable from the FTP Server in the switch of datastation2 add the route to my router and it should work?
Mitglied: 129813
129813 05.09.2016, aktualisiert am 06.09.2016 um 08:09:31 Uhr
Goto Top
Zitat von @Brian85:

Hi,
thanks for your reply.
Our network is 192.172.1.0/24 which means that a client is e.g. 192.172.1.64.
The ftp server is e.g. 163.169.172.1
My Router has the IP 192.172.1.1

What is the route I have to use in this case?
NETWORK 163.169.172.0
NETMASK 255.255.255.0
GATEWAY 192.172.1.X
You need the IP of the FTP-Servers it get's in the outer network, as the gateway address.

Would this mean that I can just plug the LAN cable from the FTP Server in the switch of datastation2 add the route to my router and it should work?
Does the FTP-Server have 2 network adapters ? You're talking about a different subnet so i suppose your FTP-Server has two nics? One which leads to the outer world and one you use internally.
If it only has one NIC you have to add an additional IP from the 192.172.1.X network to the interface of the FTP-Server.

btw. 163.X.X.X and 192.172.X.X are not private network ranges, you shouldn't use this address range, because you hide public ip's with this setting!
https://de.wikipedia.org/wiki/Private_IP-Adresse

Please read the above tutorial for the basics of routing.
Mitglied: Brian85
Brian85 05.09.2016 um 19:24:37 Uhr
Goto Top
The FTP server is not connected to the outer world. There is only the possibility to connect to it via LAN. As I said already the FTP doesn't belong to me nor is it managed by me. It is existing for the people who wants to have access to it, but only locally.

Normally you take the cable to the FTP, plug it to your computer and you receive an IP address. Then the address is ftp://xml, so I don't even know the IP of the FTP I know only the name.

Normally I am sitting at Datastation 2 connected to my NAS and other clients in 192.172.1.0, but I also need the XML files from the FTP Server, so I have to be connected to the FTP as well.
Mitglied: 129813
129813 05.09.2016 aktualisiert um 21:23:55 Uhr
Goto Top
As I said already the FTP doesn't belong to me nor is it managed by me.
Then you need to setup an additional routing device if the person is not willing to add an IP-Address of your current range, without this it's not possible to route the packets to it.
Set the different subnet on the lancom or buy a small Mikrotik for 30-40 bucks like this one https://routerboard.com/RB750r2
Mitglied: aqui
aqui 05.09.2016 um 20:07:36 Uhr
Goto Top
Routing basics and a practical installation (MT included) for such a simple design describes this forum tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Mitglied: Lochkartenstanzer
Lochkartenstanzer 05.09.2016 aktualisiert um 23:05:14 Uhr
Goto Top
Moin,

Wenn Du einen Lancom 1781-4G hast, definier doch einfach auf einem LAN-Port das Netz 163.169.172.0/24 und häng da dran den FTP-Server.

Oder Du nimmst einen switch der VLANs kann, machst zwei VLANs und routest mit dem Lancom zwischen den VLANs.

Nachtrag: Nimm doch einfach einen einfachen Mikrotik-hAP für 20€, konfigurier den als NAT-Router, der den FTP-Server als exposed host anbietet. Dann mußt Du nicht einmal an Deinem Setup etwas ändern, sondern kannst den MIkrotik einfach als "Adapter" zwischen den FTP-Server und Ein netz hängen.


lks
Mitglied: Brian85
Brian85 05.09.2016 um 23:17:13 Uhr
Goto Top
Erstmal danke für die Ideen.
Ja, da weiß ich halt nicht wie ich das umsetzen kann. Beide Ports vom Lancom sind ja belegt. Ein Port für mein 192.172.1.0/24 Netz und ein Port für WAN (Internet). Mehr Ports hat der Lancom leider nicht.
Außerdem ist das Problem, dass rein räumlich gesehen der FTP-Anschluss bei Datenstation 2 ist und der Lancom Router in Datenstation 1. Zwischendrin ist nur eine WLAN-Bridge, weil keine Kabel zwischen Datenstation 1 und 2 verlegt werden können. Das bedeutet ich müsste um den FTP direkt an den Lancom anzuschließen eine zweite WLAN-Bridge anschaffen.

Es ist nicht das Problem einen Router oder einen Switch zu kaufen, ich möchte nur wissen was ich kaufen muss und wie ich es konfiguriere.

Wenn ich mir also einen switch besorge der VLANs kann, kommt der dann in Datenstation 1 oder 2? Und wie geht es dann weiter?

Mein Eindruck ist der, dass ich einen Router in Datenstation 2 brauche. An diesem Router ist 192.172.1.0/24 und 163.169.172.0/24 angeschlossen. Die Clients sind weiterhin alle im 192.172.1.0/24 Netz mit dem 192.172.1.1 als Standardgateway. Wenn ich das Tutorial richtig gelesen habe müsste ich dann im Router 1 (Datenstation 1) noch eine Route hinterlegen und das war's.

Wenn ein Client dann auf den FTP zugreifen möchte, wird er merken, dass sich dieser nicht in seinem IP-Bereich befindet und somit das Standardgateway bemühen (Router 1). Auf diesem Router sollte dann eine Route liegen, die die Anfrage an Router 2 weiterleitet. Router 2 kann mit der FTP-Anfrage etwas anfangen, weil er ja direkt mit dem Netz 163.167.172.0/24 verbunden ist.
Mitglied: LordGurke
LordGurke 06.09.2016 um 01:25:51 Uhr
Goto Top
Bin ich der einzige der sich wundert, warum der TO die Netze von "Royal Mail, UK" mit denen des US-Militärs in Arizona verbinden will? Weiß man da genaueres? face-wink
Mitglied: Lochkartenstanzer
Lochkartenstanzer 06.09.2016 um 08:36:18 Uhr
Goto Top
Zitat von @LordGurke:

Bin ich der einzige der sich wundert, warum der TO die Netze von "Royal Mail, UK" mit denen des US-Militärs in Arizona verbinden will? Weiß man da genaueres? face-wink

NSA schreibt dem BND die Subnetze vor. face-smile

lks


PS. Solche "verqueren" IP-Adressen wundern mich schon seit langem nicht mehr, weil die TOs meist Ihre IP-Adressen "verscheiern" wollen.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 06.09.2016 aktualisiert um 08:47:47 Uhr
Goto Top
Zitat von @Brian85:

Ja, da weiß ich halt nicht wie ich das umsetzen kann. Beide Ports vom Lancom sind ja belegt. Ein Port für mein 192.172.1.0/24 Netz und ein Port für WAN (Internet). Mehr Ports hat der Lancom leider nicht.

Das Modell das Du erwähnt hast, hat laut Datenblatt 4 LAN-Ports, die unabhängig voneinander zu konfigurieren sind.

Wenn ich mir also einen switch besorge der VLANs kann, kommt der dann in Datenstation 1 oder 2? Und wie geht es dann weiter?

An beide, damit Dein Netz druchgängig VLANs kann.


Mein Eindruck ist der, dass ich einen Router in Datenstation 2 brauche. An diesem Router ist 192.172.1.0/24 und 163.169.172.0/24 angeschlossen. Die Clients sind weiterhin alle im 192.172.1.0/24 Netz mit dem 192.172.1.1 als Standardgateway.

Diese Lösung habe ich Dir doch auch für 25€.

Einfach als Router konfigurieren, NAT einschalten und den FTP-Server als exposed Host einstellen. Dann sollte es ohne Probleme gehen.

lks

PS. Du kannst natürlich auch irgendeinen DDWRT-tauglichen TP-Link für 15€ nehmen. face-smile
Mitglied: 129813
129813 06.09.2016 aktualisiert um 08:50:02 Uhr
Goto Top
Beide Ports vom Lancom sind ja belegt.
? Your mentioned router 1781-4G has not 4 LAN ports ?!
http://www.lancom-systems.de/produkte/standortvernetzung/mobilfunk-rout ...

Are they selling light versions of this product?
Mitglied: Brian85
Brian85 06.09.2016 um 09:36:49 Uhr
Goto Top
Hi,

erstmal sorry wegen der Verwirrung mit dem Router. Habe mich vertippt. Wir haben einen LANCOM 1780EW-4G
https://www.lancom-systems.de/produkte/standortvernetzung/mobilfunk-rout ...

Zitat von @Lochkartenstanzer:

Diese Lösung habe ich Dir doch auch für 25€.

Einfach als Router konfigurieren, NAT einschalten und den FTP-Server als exposed Host einstellen. Dann sollte es ohne Probleme gehen.

lks
Ich habe mir jetzt einen hEX bestellt, um möglichst flexibel zu bleiben.

Ich werde dann versuchen mich an folgende Anleitung zu halten:
http://wiki.mikrotik.com/wiki/NAT_Tutorial
So müsste das klappen oder?

Jetzt ist mir noch eine Sache unklar. Normalerweise hat das Netzwerk des FTP seinen eigenen DHCP und verteilt IP Adressen. Wenn ich meinem Port jetzt einfach eine Adresse in diesem Bereich zuweise, besteht ja die Möglichkeit, dass diese schon vorhanden ist. Kann ich das irgendwie dynamisch machen? Also quasi die IP meines Routers dynamisch zuweisen lassen?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 06.09.2016 aktualisiert um 09:49:03 Uhr
Goto Top
Zitat von @Brian85:

Jetzt ist mir noch eine Sache unklar. Normalerweise hat das Netzwerk des FTP seinen eigenen DHCP und verteilt IP Adressen. Wenn ich meinem Port jetzt einfach eine Adresse in diesem Bereich zuweise, besteht ja die Möglichkeit, dass diese schon vorhanden ist. Kann ich das irgendwie dynamisch machen? Also quasi die IP meines Routers dynamisch zuweisen lassen?


Sollte eigentlich gehen, iirc.

imho sinnvoller wäre es aber, dem Ding sowohl "WAN-seitig" (=Dein Netz) als auch "LAN-seitig" (das andere Netz) feste Adressen zu verpassen.

lks

Nachtrag: Der Mikrotik ist zwar ein sehr leistungfähiger Router, hat aber sehr viele "Knöpfe" um dran zu schrauben. Ggf. ist es einfacher und billiger einfach einen von diesen Baumarktroutern zu nehmen. face-smile
Mitglied: aqui
aqui 06.09.2016 aktualisiert um 11:58:11 Uhr
Goto Top
Ich habe mir jetzt einen hEX bestellt, um möglichst flexibel zu bleiben.
Das ist auch die richtige Wahl !
Ich werde dann versuchen mich an folgende Anleitung zu halten:
Nein !
Bitte nicht, denn NAT ist für dich der vollkommen falsche Ansatz !! Du benötigst kein NAT (IP Adress Translation) in dem Setup !
Du willst doch nur 2 simple IP Netze routen. Das ist mit dem Mikrotik mit 3 Mausklicks im GUI in 5 Minuten erledigt !
Halte dich genau an dieses Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
(Kapitel: Mikrotik Router)
Dann klappt das auch auf Anhieb !
Normalerweise hat das Netzwerk des FTP seinen eigenen DHCP und verteilt IP Adressen.
Das kann auch so bleiben !
Wenn ich meinem Port jetzt einfach eine Adresse in diesem Bereich zuweise, besteht ja die Möglichkeit, dass diese schon vorhanden ist.
Richtig ! In der Tat die Gefahr besteht !!
Der verantwortungsvolle netzwerker sieht dann aber immer VORHER in die Konfig seines DHCP Servers welchen IP Bereich der vergibt und wählt dann logischerweise eine feste IP Adresse außerhalb dieses Bereiches !!!
Heisser Tip:
Router IP Adressen sind in der Regel immer ganz oben oder ganz unten !
Bei einer 24 Bit Maske und einer Netzwerk IP 10.1.1.0 /24 als Beispiel vergibst du für die Router z.B.:
  • Router 1: 10.1.1.1, Router 2: 10.1.1.254 oder...
  • Router 1: 10.1.1.1, Router 2: 10.1.1.2 oder...
  • Router 1: 10.1.1.254, Router 2: 10.1.1.253
Mit diesen Kombination kommst du vermutlich nicht mit dem DHCP in Konflikt und kannst dir die IP Adressen der beiden Systeme immer sehr leicht mehrken.
Kommt man aber auch leicht von selber drauf wenn man nur mal den gesunden Menschenverstand walten lässt face-wink
Mitglied: Lochkartenstanzer
Lochkartenstanzer 06.09.2016 um 11:57:38 Uhr
Goto Top
Zitat von @aqui:

Ich habe mir jetzt einen hEX bestellt, um möglichst flexibel zu bleiben.
Das ist auch die richtige Wahl !
Ich werde dann versuchen mich an folgende Anleitung zu halten:
Nein ! Bitte nicht, denn NAT ist für dich der vollkommen falsche Ansatz !!
Du willst doch nur 2 simple IP Netze routen. Das ist mit dem Mikrotik mit 3 Mausklicks im GUI erledigt !

Bei diesem Lösungsansatz aber an die statische Router auf dem Lancom denken!

lks
Mitglied: aqui
aqui 06.09.2016 um 11:59:04 Uhr
Goto Top
Wenn er das Routing Tutorial wirklich liest sollte er das auch auf dem Radar haben... face-wink
Mitglied: Brian85
Brian85 06.09.2016 um 20:49:49 Uhr
Goto Top
Ok danke für den Hinweis. Das von Dir genannte Tutorial habe ich mir schon angeschaut, bin nur wegen des Hinweises von Lochkartenstanzer auf dieses NAT-Tutorial gestoßen.

Mit der IP Adresse werde ich dann einfach ausprobieren einen wie du schon geschrieben hast sehr niedrigen oder sehr hohen Wert eintragen.

Die statische Route werde ich eintragen, da habe ich mir das Tutorial schon in die Favoriten gelegt (ebenso wie das Tutorial für den Mikrotik Router).

Der Router soll morgen kommen, dann kann ich ihn schon mal in Betrieb nehmen, testen kann ich den ganzen Aufbau aber erst in 2 Wochen wieder.
Hoffen wir mal, dass es klappt!


Zu der IP Adresse wollte ich noch sagen, dass ich nicht die NSA oder sont was hacken will. Ich wusste die IP nur nicht mehr auswendig, konnte mich nur erinnern dass sie eher ungewöhnlich war und habe dann exemplarisch eine Zahl hingeschrieben. Nichtsdestotrotz bewegen wir uns auf LAN Ebene, weshalb der Angriff eh fehlschlagen würde, das weiß sogar ich^^
Mitglied: Brian85
Brian85 07.09.2016 um 11:14:01 Uhr
Goto Top
Eine Frage drängt sich mir noch auf. Ich habe jetzt den Router Reset durchgeführt und dem Interface ether 1 (192.172.2.254/24) und ether 2 (163.169.172.254/24) die beiden IPs zugewiesen.
Jetzt würde ich gerne die verbliebenen 3 Ports als Switch im 192.172.2.0 Netzwerk nutzen. Wie kann ich das im MikroTik konfigurieren?
Ich möchte bis zu 3 Clients an das 192.172.2.0 Netzwerk einbinden. Sollte ich dazu einen Switch an das ether1 Interface des Mikrotik hängen und dort die Clients einstecken, oder kann ich den Ports 3-5 diese Funktion zuweisen?

Danke sehr
Mitglied: 129813
Lösung 129813 08.09.2016 aktualisiert um 14:14:47 Uhr
Goto Top
Hi
To switch ports together you need one port as master and the others as slave.
So on the master interface set the master-port property to none and for all the slaves set the master-port property to the interface-name of the master port. That's all. Note you can only have one group of switchports, not multiple.
http://wiki.mikrotik.com/wiki/Manual:Interface/Ethernet

Regards
Mitglied: aqui
Lösung aqui 08.09.2016 aktualisiert um 19:03:49 Uhr
Goto Top
Hier kommt die Lösung auf dem Silbertablett zum Abtippen:

1.) Im Setup bei den Ports ether 2 bis 4 den Port ether 5 unten als Master Port setzen !

mtrou1

2.) IP Adressierung: Port ether 5 (Master Port) auf die 192.168.2.254 /24 setzen
Port ether 1 auf die 163.169.172.254 /24 setzen:


mtrou2

Die IP Adressierung muss so herum geschehen, da man Port 1 nicht in eine Switchgruppe setzen kann.

So sind jetzt die Ports ether 2 bis 5 als 4-Port Switch konfiguriert für das 192.168.2.0er Netzwerk und dort kannst du dann 4 Clients einstecken.
Port ether 1 ist dein Netzwerk 163.169.172.0 /24
Fertisch !

Nur mal doof nachgefragt: Das 163er Netz ist offiziell der Britischen Post zugewiesen !!
inetnum: 163.169.0.0 - 163.169.255.255
netname: UKPOIT-NET
descr: Royal Mail Group Limited
country: GB
org: ORG-BR23-RIPE
address: Chesterfield
address: GB

Du bist dir sicher gerade diese, vermutlich nicht dir gehörenden IPs zu verwenden und keine aus dem privaten_IP_Adresspool ??
Mitglied: Lochkartenstanzer
Lochkartenstanzer 08.09.2016 um 19:47:33 Uhr
Goto Top
Zitat von @Brian85:

Ok danke für den Hinweis. Das von Dir genannte Tutorial habe ich mir schon angeschaut, bin nur wegen des Hinweises von Lochkartenstanzer auf dieses NAT-Tutorial gestoßen.

Das NAT hatt ich vorgeschlagen, weil nciht klar war, ob man am LANDCOm rummfummeln darf. Wenn Du allerdings den LANCom beliebig konfigurieren darfst, ist der reguäre Routerbetrieb sinnvoller.

lks
Mitglied: Lochkartenstanzer
Lochkartenstanzer 08.09.2016 aktualisiert um 19:49:43 Uhr
Goto Top
Zitat von @aqui:

Nur mal doof nachgefragt: Das 163er Netz ist offiziell der Britischen Post zugewiesen !! ^^

nachdem wir darüber geblödelt haben, ob er die IP-Adressen von der NSA vorgeschrieben bekmmt, hatte der TO dazu gechrieben:

Zu der IP Adresse wollte ich noch sagen, dass ich nicht die NSA oder sont was hacken will. Ich wusste die IP nur nicht mehr auswendig, konnte mich nur erinnern dass sie eher ungewöhnlich war und habe dann exemplarisch eine Zahl hingeschrieben

Also irgendwelche aus den Fingern gesaugte Adressen statt der real verwendeten.

lks
Mitglied: aqui
aqui 08.09.2016 aktualisiert um 22:55:42 Uhr
Goto Top
Na denn.... Hauptsache er weiss was er tut und... was RFC 1918 IP Adressen sind face-wink ?!
Mitglied: 129813
129813 09.09.2016 um 07:35:57 Uhr
Goto Top
Zitat von @aqui:

Na denn.... Hauptsache er weiss was er tut und...
This reminds me to "Monty Python’s Life of Brian" face-big-smile
Mitglied: BirdyB
BirdyB 09.09.2016 um 09:28:29 Uhr
Goto Top
Zitat von @129813:

Zitat von @aqui:

Na denn.... Hauptsache er weiss was er tut und...
This reminds me to "Monty Python’s Life of Brian" face-big-smile

Always look on the bright side of life... face-big-smile
Mitglied: Lochkartenstanzer
Lochkartenstanzer 09.09.2016 um 09:42:45 Uhr
Goto Top
Zitat von @BirdyB:

Zitat von @129813:

Zitat von @aqui:

Na denn.... Hauptsache er weiss was er tut und...
This reminds me to "Monty Python’s Life of Brian" face-big-smile

Always look on the bright side of life... face-big-smile

... just before you draw your terminal breath. face-smile

lks
Mitglied: Brian85
Brian85 09.09.2016 um 14:47:13 Uhr
Goto Top
Hallo,

nochmal danke für die ganze Hilfe.

Ich habe heute folgendes gemacht. Den hanzen IP Bereich meines 192.172.1.0 Netzwerks geändert auf eine private Adresse 172.16.0.0. Die IP des FTP Server weiß ich immer noch nicht genau, habe jetzt zum Testen mal eine Ip eingetragen:
addresses

Weiterhin habe ich die ganzen Master-Einträge gesetzt. Als nächstes habe ich die statische Route im Lancom gesetzt:
route

Jetzt habe ich folgendes getestet. Ich habe einen PC mit IP 192.168.163.1/24 (Gateway 192.168.163.254) an den Ether 1 Port des MikroTik gehängt. Ether 2 Port ist mit meinem Lancom verbunden.
Ich habe dann einige Pings ausprobiert:
von 172.16.0.240 zu 192.168.163.254 (Mikrotik Router) -> Erfolg
von 172.16.0.240 zu 192.168.163.1 -> kein Erfolg
von 192.168.163.1 zu 172.16.0.1 (Lancom Router) -> kein Erfolg
von 192.168.163.1 zu 172.16.0.254 (Mikrotik Router) -> Erfolg

Die Route im Lancom arbeitet also und der MikroTik scheint auch zwischen den Ports zu routen, aber so richtig funktioniert es nicht. Habt Ihr da noch eine Idee?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 09.09.2016 aktualisiert um 14:51:01 Uhr
Goto Top
Zitat von @Brian85:

Die Route im Lancom arbeitet also und der MikroTik scheint auch zwischen den Ports zu routen, aber so richtig funktioniert es nicht. Habt Ihr da noch eine Idee?


In der Firewall die Kommunikation zwischen 192.168.163.0/24 und 172.16.0.0/24 erlaubt?

Auch Windows-Firewall checken!

lks
Mitglied: Brian85
Brian85 09.09.2016 um 17:56:22 Uhr
Goto Top
Also das Problem lag daran, dass ich Maskierung eingeschaltet hatte (weil Lancom dies empfohlen hatte). Als ich die Maskierung ausgeschaltet hatte ging es aber immernoch nicht.
Dann habe ich Clientseitig die EndpointProtection ausgeschaltet und dann ging es.

Sollte es reichen wenn ich für FTP den TCP Port 21 freischalte?
Mitglied: aqui
aqui 09.09.2016 um 18:20:11 Uhr
Goto Top
Deine gepostet Routing Tabelle oben von wo kommt die her, vom Lancom ?
Sorry...ja lese ich gerade. OK die Tabelle stimmt.
Hast du entsprechend auch eine Default Route auf dem MT eingerichtet ??
0.0.0.0 /0 -> 192.168.163.1
Aus IP Sicht wäre das dann alles.
Die Anmerkung der Firewall vom Kollegen LKS gilt für dich NICHT für den MT Router, denn ACLs hast du da gar nicht aktiv, der routet alles ohne Einschränkung.
Wenn dann gilt das einzig nur für den Lancom sofern dort FW Funktionen aktiv sind.
Vermutlich aber auch nicht, denn er routet das 172.16.0er Netz ja nur lokal über sein LAN.
von 172.16.0.240 zu 192.168.163.1 -> kein Erfolg
Da könnte der Einwand vom Kollegen LKS greifen. Der Lancom muss natürlich eingehende ICMP Pakete (Ping) aus dem 172.16.0er Netzwerk akzeprieren !
Die Route im Lancom arbeitet also
Wie kommst du zu der Schlussfolgerung ??? Du schreibst doch selber:
von 192.168.163.1 zu 172.16.0.1 (Lancom Router) -> kein Erfolg
von 192.168.163.1 zu 172.16.0.254 (Mikrotik Router) -> Erfolg

Das sieht eher danach aus als ob die Default Route im MT auf die Lancom IP fehlt ?!
Mitglied: Lochkartenstanzer
Lochkartenstanzer 09.09.2016 um 19:32:34 Uhr
Goto Top
Zitat von @aqui:

Die Anmerkung der Firewall vom Kollegen LKS gilt für dich NICHT für den MT Router, denn ACLs hast du da gar nicht aktiv, der routet alles ohne Einschränkung.

Der hAP, den ich letztens in den Fingern hatte, war anderer Ansicht. face-smile

Er wollte zuerst passende ACLs, bevor er die Pakete durchgelassen hat. Kann natürlich auch sein, daß da einer da dran rumgespielt hatte und hinterher wollts keiner gewesen sein.

lks
Mitglied: Brian85
Brian85 09.09.2016 um 19:43:58 Uhr
Goto Top
Hi, wie vorhin geschrieben geht es jetzt. Es lag wohl an der IP Maskierung.
Eine Default Route habe ich nicht im MT hinterlegt. Ich dachte der Router kennt die beiden Routen, da er mit beiden Netzen verbunden ist?
Ich kam zu dem Schluss, dass die Route im Lancom arbeitet, weil ich ja von
172.16.0.240 zu 192.168.163.254 durch komme. Entferne ich die Route im Lancom funktioniert dieser ping nicht. Habe ich extra probiert.
Mitglied: aqui
aqui 10.09.2016 aktualisiert um 13:01:27 Uhr
Goto Top
Der hAP, den ich letztens in den Fingern hatte, war anderer Ansicht.
Mmmhhh...sollte das anders sein als beim RB750 / 2011 ?? Im Default gibt es dort keine ACLs !
Da muss ich ja dann heute bei dem tollen Wetter nochmal den hAP auspacken und das checken face-sad
Wehe du hast Unrecht LKS, dann kostet dich das ein kühles Blondes !! face-smile
Es lag wohl an der IP Maskierung.
Wohl ?? Oder lag es wirklich dran ? Falsche Subnetzmaske oder was wars ? Du hast eh noch einen gravierenden Fehler in der Konfig ! Siehe unten...
Ich dachte der Router kennt die beiden Routen, da er mit beiden Netzen verbunden ist?
Nicht denken sondern nachdenken !
Generell hast du Recht was diese beiden lokalen IP Netze betrifft. Zwischen denen kann der MT sauber routen, keine Frage !
Alles was aber in die weite Welt geht, oder wenn die Clients am 192.168.163er Koppelnetz den Internet Router als Gateway haben geht dann ins Nirwana.
Diese Skizze veranschaulicht das:

2mtnas

Das zeigt aber auch das deine statische Route im Lancom Router vollkommen FALSCH ist !
Die muss lauten:
Zielnetz: 172.16.0.0, Maske: 255.255.255.0, Gateway: 192.168.163.254

Das musst du dringenst korrigieren !
Mitglied: Lochkartenstanzer
Lochkartenstanzer 10.09.2016 um 13:55:35 Uhr
Goto Top
Zitat von @aqui:

Wehe du hast Unrecht LKS, dann kostet dich das ein kühles Blondes !! face-smile

Wenn Du vorbeikommst, bekomst Du Dein kühles Blondes, egal wer Recht hat.

Ich weiß es nicht mehr genau was nciht gepaßt hatte, aber wie gesagt, den hAP hate jemand schon "befummelt" und ich mußte erst dem Ding sagen, welche Pakete wohin dürfen. Vermutlich wäre es einfacher gewesen einfach Werkseinstellugen zu setzen und dann alles frisch zu machen, aber man hat ja seinen Ehrgeiz.

lks
Mitglied: Brian85
Brian85 11.09.2016 um 21:22:32 Uhr
Goto Top
Hallo aqui,

danke für deinen Beitrag, auch wenn ich deinen Ton mir gegenüber nicht angemessen finde.

Offenbar liegt hier ein Missverständnis vor, wenn ich mir deine Skizze anschaue. In meinem Fall ist:

- Lan 1: 172.16.0.0/24
- Lan 2: 192.168.163.0/24

und nicht umgekehrt, deswegen denke ich (nach intensivem Nachdenken ;) ), dass die Route im Lancom so stimmt.

Ob es nun schlussendlich an der IP Maskierung lag oder nicht, kann ich nicht 100%ig sagen, da ich nur Trail and Error machen kann, die Experten seid Ihr.
Mitglied: aqui
aqui 12.09.2016 aktualisiert um 09:18:45 Uhr
Goto Top
In einem Administrator Forum sollte man als blutiger Laie keine Mimose sein wenn der Ton mal etwas rauher wird. Wir sind alle ganz lieb hier... face-wink
und nicht umgekehrt, deswegen denke ich (nach intensivem Nachdenken ;) ), dass die Route im Lancom so stimmt.
Dann würde sie zweifelsohne stimmen, keinen Frage. Komisch ist es aber trotzdem, denn du sagtest du wolltest dem LAN 2 ein paar mehr Ports spendieren. Port 2 Master Port.
Ist der Mikrotik denn auch andersrum angeschlossen ??
Den Port ether 1 kannst du ja nicht in eine Switchportgruppe setzen sondenr nur die Ports 2 bis 5.
Interessant wäre dann also nochmal zu wissen wie jetzt genau der MT konfiguriert ist.
Das man bei der Maskierung Fehler macht ist eigentlich ungewöhnlich, denn du setzt ja generell nur 24 Bit Masken (255.255.255.0) ein ?!
Trial and Error meintest du, oder ? Ein Trail ist was anderes...
Mitglied: Brian85
Brian85 12.09.2016 um 13:38:38 Uhr
Goto Top
Ich denke, das Missverständnis kommt von meiner Umbenennung der IP-Bereiche.

Aus 192.172.1.0/24 wurde 172.16.0.0/24
Aus 163.169.172.0/24 wurde 192.168.163.0/24

Das bedeutet auch, dass ich mit dem Mikrotik dem LAN 1 mehr Ports geben wollte nur halt örtlich gesehen nicht an der Datenstation 1 sondern an der Datenstation 2.
Das muss man sich so vorstellen, dass LAN 1 auf deiner Skizze in der Mitte geteilt wird. Links ist Datenstation 1 angeschlossen und an der rechten Hälfte ist Datenstation 2 angeschlossen. Die linke Hälfte und die rechte Hälfte wird mit einer WLAN Bridge verbunden, alles im gleichen IP-Bereich, aber halt räumlich getrennt.

Mein Miktrotik ist jetzt so eingestellt:
1: 192.168.163.254
2: 172.16.0.254 (Master)
3-5: Slave (wenn der Begriff so stimmt) von ether2

Ja ich meinte natürlich Trial and Error (Trail mache ich auch manchmal, dann aber mit dem Mountainbike^^)
Mitglied: aqui
aqui 12.09.2016 um 14:04:01 Uhr
Goto Top
OK, welches ist denn jetzt das Netzwerk an ether 1 sprich also dem Netz was Richtung Internet Lancom Router geht ?
Ums nochmal zu ordnen:
  • Das lokale Lancom LAN Netz 192.168.163.0 /24 mit Datenstation 1 geht an den MT ether 1 Port
  • Das 4er Switchfeld am MT ether 2 master geht auf das LAN 2 172.16.0.0 /24 mit Datenstation 2.
Ist das richtig so ?
Mitglied: Brian85
Brian85 12.09.2016 um 16:28:01 Uhr
Goto Top
Schau mal ich habe auch mal eine Skizze gemacht vom Netzwerkaufbau:

schema
Mitglied: aqui
Lösung aqui 12.09.2016 um 19:07:13 Uhr
Goto Top
OK, das macht die Sache dann klar. To Dos dann wie oben nur mit "verdrehten" IP Netzen face-wink
  • ether-2-master einrichten mit den Slave interfaces und .254er IP vergeben
  • ether 2 in das LAN 1 Segment stecken. Ports 3-5 sind dann weitere Switchports im LAN 1
  • ether 1 die IP .254 aus dem LAN 2 vergeben.
  • Default Route auf dem MT konfigurieren: Ziel: 0.0.0.0 /0, Gateway: 172.16.0.1
  • DHCP Server im MT aktivieren mit einem IP Adress Pool im LAN 2 (zuerst anlegen) und auf ether 1 binden wenn du im LAN 2 noch eine automatische dynamische IP Adressvergabe haben willst.
  • LAN 2 Clients haben die 192.168.163.254 als Default Gateway und die 172.16.0.1 als DNS Server. (Kannst du automatisch per MT DHCP Server vergeben lassen.
  • LAN 1 Clients haben vermutlich den DHCP Server auf dem lancom und bekommen von dort die 172.16.0.1 als Gateway und auch als DNS Server.
  • Deshalb brauch der Lancom noch die statische Route: //Zielnetz: 192.168.163.0, Maske: 255.255.255.0, Gateway: 172.16.0.254
  • Fertisch !
Jetzt kannst du vom LAN 2 alles pingen was im LAN 1 ist und ins Internet (z.B. 8.8.8.8). Und auch vom LAN 1 alles pingen und erreichen was im LAN 2 ist

Case closed face-wink
Mitglied: Brian85
Brian85 21.09.2016 um 08:59:05 Uhr
Goto Top
Morgen,

so nachdem ich am Wochenende die Gelegenheit hatte alles zu testen, muss ich sagen, dass es natürlich nicht funktioniert hat, wie sollte es auch anders sein?
Der Grund liegt darin, dass ich über den Aufbau des FTP-Servers falsch informiert war. Um es deutlich zu machen habe ich die Skizze nochmal angepasst:
netzwerk aufbau

Nachdem ich alles aufgebaut habe, war ich nicht in der Lage den vermeintlichen FTP-Server mit 192.168.213.254 anzupingen, was ich nachhinein auch Sinn macht. Da der Ping aus dem 172.16.0.0/24 Netz kommt und der Teilnehmer aus dem 192.168.213.0/24 Netzwerk, der von mir angepingt wird, zu 99% nicht meinen Miktotik 192.168.213.99 als default gateway hat, sondern seinen Router mit 192.168.213.254, der mein 172.16.0.0/24 Netzwerk nicht kennt. Aus diesem Grund habe ich beim Mikrotik NAT eingerichtet um sämtliche Adresse aus dem 172.16.0.0/24 Netzwerk in das 192.168.213.0/24 zu übersetzen, was dann schlussendlich auch geklappt hat. Leider kam ich dann zum nächsten Problem. Ich dachte der FTP-Server hätte die Adresse .254, doch leider ist das nur ein Router an den man sich anschließt. Der FTP-Server sitzt nochmal in einem anderen Subnetz, welches nur über den Router .254 erreichbar ist. Das läuft dann so ab, dass man sich normalerweise mit dem Router Extern verbindet und von dort via DHCP eine IP-Adresse bekommt. Den FTP-Server erreicht man dann via DNS (ftp://xml), deshalb kenne ich die genaue Adresse von LAN 3 auch nicht (auch wenn ich exemplarisch wieder eine Adresse angegeben habe). Jedoch wenn meine Clients im 172.16.0.0/24 Netzwerk eine DNS Anfrage schicken, geht diese natürlich nicht an den 192.168.213.254 Router, sondern an meinen default DNS-Server (Lancom Router) und läuft somit ins Leere.
Hätte es gereicht, wenn ich bei den Clients als alternativen DNS-Server 192.168.213.254 angegeben hätte?

Ich hoffe Ihr konntet meine Erklärung verstehen und habt einen Lösungsansatz für mich.
Mitglied: aqui
aqui 22.09.2016 aktualisiert um 11:18:42 Uhr
Goto Top
Nachdem ich alles aufgebaut habe, war ich nicht in der Lage den vermeintlichen FTP-Server mit 192.168.213.254 anzupingen,
Das ist auch vollkommen klar ! Siehst du auch selber !
Der Mikrotik hat eine Default Route auf den Lancom. Wenn er also was ans 192.168.213.0 /24 Netz sendet nutzt er diese Route da er keine spezifische Route hat für dieses Netzwerk !
Der Lancom routet es dann Richtung Provider und da gehts dann ins Nirwana da der IP Pakete in RFC1918 IP Netze (Private IPs) einfach wegschmeisst.
Logisch also das das so passiert.
Kannst du auch ganz einfach sehen wenn du statt Ping einmal traceroute (tracert) oder pathping verwendet hättest, denn dann hättest du sofort gesehen das der next Hop der Lancom ist und eben nicht der externe Router.
Works as designed also....
Würdest du das Gateway auf den externen Router setzen hast du das gleiche Problem.
Da du dort vermutlich keinen Zugriff auf die Konfig hast kannst du den lokales Netz am Lancom und das Internet via Lancomm nicht mehr erreichen weil diesem Router sicherlich die statischen Routen dafür fehlen.
Fazit: Auch klar das das in die Hose geht...

NAT auf dem Mikrotik einzurichten ist Unsinn und löst dein Problem nicht wirklich, verschlimmbessert es nur.
Die Lösung ist doch aber kinderleicht:
Trage einfach im MT eine weitere statische Route auf das 172.16.3.0 /24 Netz ein mit next Hop Gateway 172.16.213.254 (ext.Router Port).
Desgleichen auf dem Lancom damit die LAN 1 Clients zugreifen können !
Hier im Lancom kommt eine weitere statische Route 172.16.3.0 /24 auf next Hop Gateway 172.16.0.254 (MT) hinzu.
Clients in deinem LAN2 haben den MT als Default Gateway (am besten verteilt via DHCP Server auf dem MT)
Et voila...das wars !
Schon können alle Clients aus dem LAN 2 fehlerlos auf den FTP Server im 172.16.3.0 /24 Netz zugreifen via externem Router.
Was Clients aus dem LAN 1 anbetrifft ist das fraglich.
Leider schreibst du NICHT ob der externe Router NAT macht in deine Richtung, sprich also auf dem Interface was an dein 172.16.213.0 /24 Netz angeschlossen ist...?!
Bei Billigbreitbandroutern ist das oft der Fall wenn z.B. der WAN in dein LAN 2 angeschlossen ist ?! Die Konfig des ext. Routers ist also wichtig zu kennen.

Ohne NAT an diesem externen Router bräuchte dieser logischerweise auch eine statische Route ins 172.16.0.0 /24 LAN 1 Netz um Clients bei dir im LAN 1 erreichen zu können.
Sollte er NAT machen wird es eh komplizierter, denn dann müsste man auch noch ein Port Forwarding für FTP dort einrichten um die NAT Firewall an diesem ext. Router überwinden zu können face-sad
Zusätzlich muss der FTP Server den Passive Mode unterstützen sonst geht es gar nicht falls PFW konfiguriert werden müsste. Transparentes Routing wäre hier also allemal besser !

Für ein funktionsfähiges Routing Design ohne NAT am Ext. Router sähe die richtige Konfig so aus:
(Bridge Design mal weggelassen, da es für die Funktion hier irrelevant ist.)

3routerftp
(Die fehlende IP "?" am ext. Router und die Route für die LAN 1 Clients sind hier mal symbolisch aufgeführt und musst du ggf. anpassen.)
Mitglied: aqui
aqui 26.09.2016 aktualisiert um 09:22:52 Uhr
Goto Top
@Lochkartenstanzer
So, habs mal auf dem hAP und hexLite getestet. Es ist wie gewohnt. In den Werkseinstellungen gibt es KEINE Accesslisten.
Genau genommen muss man es etwas differenzieren:
  • Mit der optionalen Default Konfig (NAT auf dem WAN Port 1 und Restports sind lokales LAN) hat man natürlich auf dem WAN (Provider) Port einen Inbound Filter und aktives NAT
  • Ohne die Default Konfig, also als nackter Router, gibt es keinerlei Accesslisten im Default !
Mitglied: Lochkartenstanzer
Lochkartenstanzer 26.09.2016 um 09:39:00 Uhr
Goto Top
Zitat von @aqui:

@Lochkartenstanzer
So, habs mal auf dem hAP und hexLite getestet. Es ist wie gewohnt. In den Werkseinstellungen gibt es KEINE Accesslisten.

Wie ich schon sagte, das Ding war schon "befummelt" und ich hatte den Ehrgeiz, das ohne Werkseinstellugen glattzuziehen. face-smile

Dein kühle blondes bekommst Du wie versprochen auf jeden Fall. Sag bescheid, wenn Du in der gegend bist.

lks
Mitglied: aqui
aqui 26.09.2016 um 11:16:50 Uhr
Goto Top
Muss ich dann mal checken was es im Bereich HN/MOS/KA/LU/MA/HD so Leckeres gibt ?!! face-big-smile
Mitglied: Lochkartenstanzer
Lochkartenstanzer 26.09.2016 um 12:12:38 Uhr
Goto Top
Zitat von @aqui:

Muss ich dann mal checken was es im Bereich HN/MOS/KA/LU/MA/HD so Leckeres gibt ?!! face-big-smile

Nachdem vor 2 Jahrem die lokale Brauerei nach 246 Jahren aufgehört hat, selbst zu brauen, und ich daher Dir das Natürtrübe als hiesiege Spezialität nicht anbieten kann, könnte ich Dir das Dachsenfranz als regionale Spezialität anbieten.

lks
Mitglied: aqui
aqui 26.09.2016 um 15:51:09 Uhr
Goto Top
Klasse... Genau DAS nehmen wir !!! face-big-smile
Mitglied: Brian85
Brian85 27.09.2016 um 10:40:33 Uhr
Goto Top
Hi Aqui,
danke für deinen Beitrag.

Die von Dir beschriebene Lösung ist leider so nicht umsetzbar.

1) Es gibt im LAN 2 keine weiteren Clients neben meinem MT, abgesehen von anderen Personen die sich mit der Zeitnahme verbinden (also mit dem ext. Router), mit denen ich aber nichts zu tun habe und auch nicht kommuniziere
2) Ob der externe Router NAT macht oder nicht, weiß ich nicht, da ich keinen Zugriff auf den Router habe. Es ist auch nicht möglich dort Routen oder Port Forwarding o.ä. einzurichten.

Um Missverständnissen vorzubeugen, hier nochmal eine Erklärung des Aufbaus:
Es gibt einen FTP Server der offiziellen Zeitnahme, welcher über den Router (in unseren Bildern mit "Ext. Router" 172.16.216.254 bezeichnet) erreichbar ist. Normalweise verbindet man sich mit dem Router per LAN, dieser hat offenbar einen DHCP-Server laufen, denn man bekommt eine IP. Dann kann man auf den FTP zugreifen indem man ftp://xml als Adresse verwendet. Offenbar geht damit eine DNS-Anfrage vom Client zum Router, welcher die Anfragen dann in ein anderes Netzwerk (in deinem Bild "FTP LAN") weiterleitet. (ich habe mit wireshark herausgefunden, dass die IP des FTP-Servers nicht im LAN 2 Subnetz liegt, sondern in einem weiteren Subnetz)

Alles was ich will, ist den Ext. Router mit meinem Miktotik zu verbinden und dadurch von den Clients aus LAN 1 auf den FTP zugreifen zu können. Somit sind das LAN 2 und FTP-LAN eigentlich nur Mittel zum Zweck. Der Vollständigkeit halber soll erwähnt sein, dass die Clients auf LAN 1 natürlich auch über den Lancom ins Internet kommen sollen.
Mitglied: aqui
aqui 27.09.2016 aktualisiert um 11:14:37 Uhr
Goto Top
1) Es gibt im LAN 2 keine weiteren Clients neben meinem MT,
Das ist für die Funktion des o.a. Designs auch logischerweise nicht erforderlich ! Es reicht wenn damit dein MT und der externe Router verbunden sind. Die o.a. Zeichnung besagt das ja auch.
2) Ob der externe Router NAT macht oder nicht, weiß ich nicht, da ich keinen Zugriff auf den Router habe
Das wäre aber wichtig zu wissen, denn davon ist die Funktion in entscheidendem Maße abhängig.
Einfach mal den Admin dieses Routers fragen. Egal ob NAT oder ohne wirst du das mit deiner Konfig anpassen können. Ohne fragen musst du langwierig rumprobieren um zu einer Lösung zu kommen.
Wenn du an der Tanke stehst musst du auch wissen ob Diesel, E10, Super oder Strom in den Tank muss, oder ??
Alles was ich will, ist den Ext. Router mit meinem Miktotik zu verbinden
OK, wenn es partout keinerlei Möglichkeiten gibt den ext. Router zu beeinflussen, dann musst du mit dem Mikrotik so tun als ob due User in dem LAN 2 bist.
Damit gaukelt man diesem Router ja dann ein Endgerät vor was direkt an ihm angeschlossen ist und damit wird es dann auch funktionieren.
Die Lösung ist dann das DU dann NAT (Masquerading) auf dem MT Port in dieses LAN 2 machen musst !
Zudem brauchst du dann eine Hostroute (32 Bit) auf die IP Adresse des FTP Servers mit Next Hop = Externer Router IP.
Damit ist das "Problem" dann im Handumdrehen zu lösen !
Alle deine Clients die dann aus deinen IP Netzen auf den FTP Server zugreifen wollen werden am MT Port der ins LAN 2 geht auf dessen IP Adresse geNATet.
Sprich sie tauchen also am externen Router mit einer Absender IP auf die aus dem LAN 2 kommt (IP des MT in diesem Netz)
Dadurch wird dieser Router diese Pakete dann an den FTP Server weiterleiten und auch der return Traffic geht dann an die MT IP Adresse der sie dann wieder über seine NAT Translation Tabelle auf die Ursprungs IP Adresse in deinem Netz übersetzt.
Im Grunde ist das auch kinderleicht das so umzusetzen mit dem MT. Zwingend ist dann eben nur NAT bzw. Masquerading auf dem MT Port der im LAN 2 hängt.
Im Grunde ist das dann einfach mit der simplen Default Konfig im MT gelöst.
Dort ist der Port 1 dann als NAT / Masquerading Port konfiguriert als DHCP Client wo er eine IP vom ext. Router bezieht.
Ports 2-5 arbeiten als Switch im lokalen LAN.
Das einzige was du machen musst ist nur den DHCP Server im lokalen LAN zu deaktivieren und die Hostroute auf den FTP Server im Lancom und MT eintragen, das wars !
Mitglied: Brian85
Brian85 27.09.2016 um 12:17:34 Uhr
Goto Top
Ok mir ist jetzt nur noch nicht ganz klar wie ich die Route auf den FTP Server im Lancom eintrage. Im Prinzip ist das ja auch der Aufbau, den ich am 21.09.2016 um 08:59 Uhr gepostet hatte.

Wenn ich an einem Client in LAN 1 sitze und dann ftp://xml eingebe, wird dieser ja eine DNS-Anfrage an den DNS Server stellen (in meinem Fall ist das der Lancom). Wie sage ich dem Lancom jetzt, was er mit dieser Anfrage machen soll? Ich kann natürlich nochmal versuchen die IP Adresse des FTP Servers herauszufinden und diese anstatt des Namens zu verwenden, wenn die Zeitnahme dann jedoch die IP ändert, bin ich geliefert. Offizielle Anweisung der Zeitnahme ist, den DNS Name zu verwenden.

Meiner Einschätzung nach muss ich dem Lancom sagen, wenn eine DNS anfrage mit ftp://xml kommt, dann leite diese weiter an 172.16.0.254 (MT LAN 1), und dem MT muss ich sagen, wenn eine DNS anfrage mit ftp://xml kommt, dann leite diese weiter an 172.16.213.254 (Ext. Router). Ist so etwas machbar? Ich habe schon einiges gegoogelt es und es handelt sich hier wohl um DNS-Forwarding.

Im Idealfall wären diese Forwarding natürlich dynamisch und ich könnte den LAN 2 Port am MT so konfigurieren, dass er seine IP dynamisch zugewiesen bekommt, dadurch wäre ich immer vorbereitet, wenn die Zeitnahme die IP ändert.

Könntet Ihr mir sagen, wass ich dazu im Lancom und MT einstellen muss? Ich habe zwar folgende Anleitung gefunden aber blicke trotzdem nicht durch:
Lancom DNS Forwarding
Mitglied: aqui
aqui 28.09.2016 aktualisiert um 10:22:07 Uhr
Goto Top
Ok mir ist jetzt nur noch nicht ganz klar wie ich die Route auf den FTP Server im Lancom eintrage.
Eigentlich ganz einfach. Da das ja eine Hostroute ist (einzelner IP Host) hat diese Route einen 32 Bit Prefix, sprich also eine 255.255.255.255 Maske.
Die Route lautet dann folglich so (Annahme FTP Server ist die 172.16.3.254):
Zielnetz: 172.16.3.254, Maske: 255.255.255.255, Gateway: 172.16.0.254

Das Gateway ist hier der MT natürlich.
Der MT braucht auch so einen Hostroute damit er die Pakete in Richtung externer Router schiebt und nicht via seiner Default Route auf den Lancom Zurück:
Zielnetz: 172.16.3.254, Maske: 255.255.255.255, Gateway: 192.168.213.254
Das sollte es gewesen sein.
Traceroute (tracert) oder Pathping zeigen dir dann ob das Routing auf den Ext. Router sauber funktioniert.
Wenn ich an einem Client in LAN 1 sitze und dann ftp://xml eingebe, wird dieser ja eine DNS-Anfrage an den DNS Server stellen (in meinem Fall ist das der Lancom)
Ja, natürlich, das ist klar. Der muss natürlich wenn du mit Namen arbeitest die 172.16.3.254 als IP zurückgeben sonst ist natürlich alle Mühe vergebens !
Da musst du mal ins Handbuch sehen ob der Lancom diese Möglichkeit hat das zu konfigurieren. Ansonsten musst du einen kleinen Raspberry Pi ins Netz klemmen der das macht. Oder...
du musst statt des Hostnamens immer die IP Adresse des FTP Servers angeben. Letzteres wäre logischerweise das Einfachste vom Aufwand her..
muss ich dem Lancom sagen, wenn eine DNS anfrage mit ftp://xml kommt, dann leite diese weiter an 172.16.0.254 (MT LAN 1)
Das wäre technischer Unsinn, denn eine DNS Abfrage kann natürlich niemals ein IP Paket Forwarding Entscheidung beeinflussen. Das macht ja die statische Route von oben auf dem Lancom.
Es reicht aus wenn der Lancom auf die DNS schlicht und einfach nur die IP Adresse des FTP Servers zurückgibt. Nicht mehr und nicht weniger.
und dem MT muss ich sagen, wenn eine DNS anfrage mit ftp://xml kommt
Oha....jetzt wirds aber gruselig mit deinem Know How und du kippst ab in freies Raten... face-sad
Der MT bekommt doch niemals von nirgendwo her DNS Abfragen ! Wenn dann ist da doch nur der Lancom als DNS konfiguriert. Nachdenken bitte....! Stell dir immer vor wie sich IP Pakete im Netz bewegen !
es handelt sich hier wohl um DNS-Forwarding.
Nein ! Es ist simples DNS only !
und ich könnte den LAN 2 Port am MT so konfigurieren, dass er seine IP dynamisch zugewiesen bekommt,
Das ist ja auch kinderleicht möglich indem du den LAN 2 Port als DHCP Client im MT einrichtest. Dann bekommt der vom Ext. Router eine dynamsiche IP !
Die Host Route brauchst du aber trotzdem. Es reicht dann aber wenn man die z.B. global nur auf den ether Port zeigen lässt an dem dieser Router hängt.
Auch das führt zum Erfolg !
Mitglied: Brian85
Brian85 28.09.2016 aktualisiert um 21:18:29 Uhr
Goto Top
Hmm jetzt weiß ich nicht ob wir aneinander vorbei reden, oder ich den Überblick gänzlich verloren habe.

Eigentlich ganz einfach. Da das ja eine Hostroute ist (einzelner IP Host) hat diese Route einen 32 Bit Prefix, sprich also eine 255.255.255.255 Maske.
Die Route lautet dann folglich so (Annahme FTP Server ist die 172.16.3.254):
Zielnetz: 172.16.3.254, Maske: 255.255.255.255, Gateway: 172.16.0.254

Das Gateway ist hier der MT natürlich.
Der MT braucht auch so einen Hostroute damit er die Pakete in Richtung externer Router schiebt und nicht via seiner Default Route auf den Lancom Zurück:
Zielnetz: 172.16.3.254, Maske: 255.255.255.255, Gateway: 192.168.213.254
Das sollte es gewesen sein.
Traceroute (tracert) oder Pathping zeigen dir dann ob das Routing auf den Ext. Router sauber funktioniert.
Wie bereits beschrieben, möchte ich ja aber den FTP Server nicht mit seiner IP Adresse ansprechen sondern mit dem DNS Name. Den es kann sein, dass die IP des Servers sich ändert. Ich wollte das jetzt folgendermaßen probieren. Ich konfiguriere den Lancom so, dass er alle DNS Anfragen mit *xml an 172.16.0.254 weitergibt. (das habe ich im DNS Menü des Lancom unter "weiterleitungen" gefunden) Im MT bin ich mir dann unsicher ob ich entweder einen statischen DNS Eintrag vornehmen kann (xml to 172.16.213.254 oder ob ich so etwas kompliziertes machen muss wie hier:
Mikrotik RouterOS – Conditional DNS-forward


Das wäre technischer Unsinn, denn eine DNS Abfrage kann natürlich niemals ein IP Paket Forwarding Entscheidung beeinflussen. Das macht ja die statische Route von oben auf dem Lancom.
Ich will ja auch noch keine Pakete verschicken, sondern ich will nur die DNS Anfrage weiterleiten

Oha....jetzt wirds aber gruselig mit deinem Know How und du kippst ab in freies Raten... face-sad
Der MT bekommt doch niemals von nirgendwo her DNS Abfragen ! Wenn dann ist da doch nur der Lancom als DNS konfiguriert. Nachdenken bitte....! Stell dir immer vor wie sich IP Pakete im Netz bewegen !
Nein normalerweise bekommt der nie DNS Anfragen, es sei denn der Lancom leitet die DNS Anfrage der Clients aus LAN 1 an den MT weiter, damit dieser sie dann an den Router 172.16.213.254 weiterleiten kann.

Das ist ja auch kinderleicht möglich indem du den LAN 2 Port als DHCP Client im MT einrichtest. Dann bekommt der vom Ext. Router eine dynamsiche IP !
Die Host Route brauchst du aber trotzdem. Es reicht dann aber wenn man die z.B. global nur auf den ether Port zeigen lässt an dem dieser Router hängt.
Auch das führt zum Erfolg !
Das mit der DHCP-Client Einstellung weiß ich. Ich wusste nur nicht, dass ich in einer Route auf einen Port verweisen kann. Wenn der Port des MT auf DHCP-Client eingestellt ist, bekommt dieser Port ja auch einen Standard-DNS-Server bzw. ein Standard-Gateway. Auf diesem müsste dann meine Route verweisen. Aber wie geht das?
Mitglied: aqui
aqui 29.09.2016 aktualisiert um 09:21:37 Uhr
Goto Top
Wie bereits beschrieben, möchte ich ja aber den FTP Server nicht mit seiner IP Adresse ansprechen sondern mit dem DNS
OK, sorry, das hatte ich bei der Beschreibung oben komplett übersehen. Du hast natürlich Recht.
Die o.a. Beschreibung schildert den Paket Flow nur anhand der nackten IP Adressen.
Erstmal ja auch nicht falsch damit du weisst wie sich die Pakete in dem Netz bewegen.
Thema DNS:
Hier musst du jetzt sehen welcher der DNS Server ist den deine Endgeräte befragen im Netz.
Hier musst du einen Eintrag vornehmen das bei Anfrage an ftp://xml dann statt "xml" die IP172.16.3.254 zurückgegeben wird.
Bekommt der Client die richtige IP läuft es so ab wie oben geschildert.
Das ist dann rein eine Frage der DNS Konfiguration bzw. des DNS Servers und hat dann per se mit dem Netzwerk als solches und der IP Wegefindung nichts mehr zu tun !
Du musst hier aufpassen das du nicht DNS und IP Routing verwechselst. Beides hat rein gar nichts miteinander zu tun !! Logischerweise kannst du mit Routing natürlich auch kein DNS Problem lösund und andersrum auch nicht...klar !
Deine Aussage:
Ich konfiguriere den Lancom so, dass er alle DNS Anfragen mit *xml an 172.16.0.254 weitergibt.
Ist deshalb technischer Unsinn, sorry. Klar kannst du das machen aber dann geht eine DNS Anfrage an den FTP Server ?
Frage: Was soll sie da ??
Ist der FTP Server dann auch gleich DNS Server das er den DNS Request in seine eigene IP Adresse auflösen kann ???
Vermutlich wohl nicht.
Der Client erwartet mit dem DNS Request ja das er von einem DNS Server eine IP Adresse auf einen angefragten Hostnamen zurückbekommt.
Sollte der FTP Server aber doch gleichzeitig auch DNS Server sein, dann funktioniert es natürlich.
Vermutlich hast du hier aber deinen Denkfehler der dich annehmen lässt das man mit DNS Forwarding Routing Probleme lösen kann. Ein Trugschluss !
Mitglied: Brian85
Brian85 30.09.2016 um 12:38:57 Uhr
Goto Top
Ist deshalb technischer Unsinn, sorry. Klar kannst du das machen aber dann geht eine DNS Anfrage an den FTP Server ?
Frage: Was soll sie da ??
Nein die 172.16.0.254 ist die IP des Mikrotik, an diesen soll die DNS Anfrage weitergeleitet werden, weil dieser die DNS-Anfrage dann an den ext. Router weiterleiten kann.

Aber ich denke ich gebe es auf, ich habe nicht das Wissen den Unterschied zwischen DNS und IP Routing usw. zu kennen. Ich drehe mich da im Kreis.

Was ich damals probiert habe ich die IP Adresse des FTP direkt in den Browser einzugeben und eine statische Route im Lancom und MT, damit die IP Botschaft auch den FTP finden kann, aber ich bekomme da eine andere Antwort, als wenn ich im LAN 2 bin und mit DNS zugreife.
Im Moment löse ich es so, dass ich mich mit Wifi an den ext. Router anschließe und gleichzeitig per LAN mit dem LAN 1 verbunden bin.
Mitglied: aqui
aqui 30.09.2016 um 16:30:02 Uhr
Goto Top
weil dieser die DNS-Anfrage dann an den ext. Router weiterleiten kann.
Und warum gibst du dann nicht gleich die IP Adresse des externen Routers an für die Weiterleitung ???
Der MT kennt ja den Weg dahin (Routing Tabelle).
ich habe nicht das Wissen den Unterschied zwischen DNS und IP Routing usw. zu kennen
Eigentlich ja kein Hexenwerk !!
DNS ist eine notmale Anwendung im Netzwerk wie HTTP Webserver, FTP, Telnet, Video Streaming oder was auch immer.
Es benutzt das IP Protokoll nur als Transport um von A nach B zu kommen. Du musst nur die Wegefindung von der Anwendung trennen.
Wenn du von München nach Stuttgart willst siehst du auf die Verkehrszeichen (Router). Du aber fragst wieviel Kilometer es sind. Nur mit der Kilometerangabe kommst du aber nicht zum Ziel.
Das ist das schlichte und einfache Geheimnis.
Dein DNS Server ist hier der Schlüssel zum Erfolg !! Und nur der !
Der muss doch letztlich dem Client eine gültige IP Adresse des FTP Servers liefern der ihn danach gefragt hat.
WIE der DNS Server dann an die IP Adresse kommt ist rein Sache des DNS.
Im einfachsten Falle trägst du dem das statisch ein ala IP vom FTP.xml.com ist x.y.z.a.
Geht das nicht, dann musst du dem DNS Server sagen das er ggf. einen anderen DNS fragen muss der die IP kennt usw.
Die siehst es ist eine reine Frage der DNS Auflösung niemals aber der Wegefindung an sich. Die ist ja jetzt wasserdicht damit das alle deine Router die Wege zu jedem Ziel kennen.
Was ich damals probiert habe ich die IP Adresse des FTP direkt in den Browser einzugeben und eine statische Route im Lancom und MT, damit die IP Botschaft auch den FTP finden kann
Genau das ist auch erstmal der richtige Weg um DNS Probleme ausschliessen zu können.
aber ich bekomme da eine andere Antwort, als wenn ich im LAN 2 bin und mit DNS zugreife.
Sorry, aber das ist unverständlich ?? Was bekommst du denn für einen Art Antwort und vor allem von wem ?
Im Moment löse ich es so, dass ich mich mit Wifi an den ext. Router anschließe und gleichzeitig per LAN mit dem LAN 1 verbunden bin.
Ja, das ist verständlich das das geht. Der WLAN AP in diesem ext. Router ist direkt mit dem LAN Port gebridged wo der FTP Server steht. Damit bist du dann via WLAN direkt mit dem FTP Server LAN verbunden. Klar das es dann klappt.
Jetzt kommt die Kardinalsfrage:
Hast du zufällig einen Mikrotik mit WLAN ?? 980er oder hAP ??
Das wäre perfekt, denn dann könntest du diese WLAN Verbindung mit dem MT machen und wärst so per Router direkt mit dem FTP Server Netz verbunden. All das dann ohne Frickelei !!

Die Problematik wird hier nämlich auch noch sein das der WAN Port des ext. Routers an dem du mit dem MT jetzt hängst zu 99,9%iger Sicherheit NAT (Adress Translation) macht.
Ohne einen Port Forwarding eintrag für FTP auf diesem ext.Router würdes du dann so oder so die NAT Firewall nicht überwinden können !
Da du ja wie du sagst auf den Router keinen Zugang hast wird das Projekt dann so oder so zum scheitern verurteilt sein wenn du den WAN Port nimmst.
Der Mikrotik mit WLAN Port wäre hier die finale Lösung !!
Hättest du das nur gleich oben am Anfang gesagt... face-sad
Mitglied: Lochkartenstanzer
Lochkartenstanzer 30.09.2016 um 18:44:04 Uhr
Goto Top
Villeicht wäre es das einfach, einen Raspi zu nehmen, ihm ein zweites Ethernet zu spendieren und dann als ftp-proxy statt als Router zu nutzen. Dann müßte man das ganze Gedöns mit dem DNS und den routen nicht so komplizieren.

lks
Mitglied: aqui
aqui 30.09.2016 aktualisiert um 19:27:30 Uhr
Goto Top
Nützt ihm aber auch nix denn der ext.Router lässt ihn dann auch nicht über die NAT Firewall ohne Port Forwarding. Man kann davon ausgehen das das da sicher aktiv ist ?!
Der WLAN Mikrotik löst es aber im Handumdrehen via Wireless... face-smile
Mitglied: Lochkartenstanzer
Lochkartenstanzer 30.09.2016 um 19:58:52 Uhr
Goto Top
Zitat von @aqui:

Der WLAN Mikrotik löst es aber im Handumdrehen via Wireless... face-smile

Der RasPi kann auch WLAN. .-)

lks
Mitglied: aqui
aqui 01.10.2016 um 10:57:30 Uhr
Goto Top
Hast Recht...über den Trick wird es auch gehen. Preislich ist der Wireless MT aber so gut wie gleich und da würd ich dann aber einen Mikrotik hAP vorziehen face-wink
Mitglied: Brian85
Brian85 02.10.2016 um 07:22:44 Uhr
Goto Top
Die Sache ist die, mit WLAN ist nur eine Notlösung, weil die Bandbreite natürlich beschränkt ist. Auf lange Sicht möchte ich das schon mit LAN realisieren.
Unter Umständen wäre es eine Lösung einen Rechner permanent mit der Zeitnahme zu verbinden, der die Dateien immer kopiert und dann als eigenen FTP-Server einzurichten, wenn es anders nicht über LAN zu lösen ist.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 02.10.2016 um 09:47:04 Uhr
Goto Top
Zitat von @Brian85:

Die Sache ist die, mit WLAN ist nur eine Notlösung, weil die Bandbreite natürlich beschränkt ist. Auf lange Sicht möchte ich das schon mit LAN realisieren.
Unter Umständen wäre es eine Lösung einen Rechner permanent mit der Zeitnahme zu verbinden, der die Dateien immer kopiert und dann als eigenen FTP-Server einzurichten, wenn es anders nicht über LAN zu lösen ist.

Nimmdoch den raspberry, wie vorgesclagen.
Mitglied: aqui
aqui 02.10.2016 um 11:57:19 Uhr
Goto Top
Richtig, das könnte man machen. RaPi 3 mit FTP Server quasi als Proxy FTP laufen lassen und per WLAN an den ext. FTP ankoppeln wie oben.
Alternativ einen WLAN Mikrotik und dem it einer kleinen Panelantenne ausstatten um die Feldstärke und damit die Bandbreite auf hohem Niveau zu halten:
http://wimo.de/wlan-richtantennen-innen_d.html
Beides sind denkbare Lösungen die zum Erfolg führen.