7
Netzwerkaufbau, VPN-Routing, generelle Frage
hallo liebe community,
habe hier folgende frage.
ich bin gerade am aufbau eines größeren netzwerks.
meine zentrale hat folgende netzwerkeinstellungen:
zentrale:
10.0.0.0/8
nun die hauptfrage:
wenn ich mich nun via vpn von meinen außenstandorte zur zentrale verbinde,
welches lokale subnetz sollte ich am besten für die remote lans (außenstandorte) nehmen?
standort 1: 10.91.1.0/24
standort 2: 10.91.2.0/24
standort 3: 10.91.3.0/24
wäre diese konfiguration dann korrekt, oder eher nicht?
oder gibt es hier dann konfigurationsprobleme weil eben das remote lan sowie das zentrale lan dasselbe subnetz benutzen?
oder wie würdet ihr ein großes netzwerk aufbauen?
vielen dank
habe hier folgende frage.
ich bin gerade am aufbau eines größeren netzwerks.
meine zentrale hat folgende netzwerkeinstellungen:
zentrale:
10.0.0.0/8
nun die hauptfrage:
wenn ich mich nun via vpn von meinen außenstandorte zur zentrale verbinde,
welches lokale subnetz sollte ich am besten für die remote lans (außenstandorte) nehmen?
standort 1: 10.91.1.0/24
standort 2: 10.91.2.0/24
standort 3: 10.91.3.0/24
wäre diese konfiguration dann korrekt, oder eher nicht?
oder gibt es hier dann konfigurationsprobleme weil eben das remote lan sowie das zentrale lan dasselbe subnetz benutzen?
oder wie würdet ihr ein großes netzwerk aufbauen?
vielen dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 333105
Url: https://administrator.de/contentid/333105
Printed on: April 26, 2024 at 03:04 o'clock
7 Comments
Latest comment
Hallo,
1. ist das Netzwerk nicht groß
2. warum ein /8 CIDR? Nimm doch auch in der Zentrale ein /24 Netz dann hast du keine Probleme.
Zentrale: 10.91.0.0/24
und den Rest wie du angegeben hast.
Die VPN IP Adressierung sollte natürlich nicht mit der LAN IP Adressierung überein stimmen.
Gruß
1. ist das Netzwerk nicht groß
2. warum ein /8 CIDR? Nimm doch auch in der Zentrale ein /24 Netz dann hast du keine Probleme.
Zentrale: 10.91.0.0/24
und den Rest wie du angegeben hast.
Die VPN IP Adressierung sollte natürlich nicht mit der LAN IP Adressierung überein stimmen.
Gruß
Wenn du in der Zentrale einen /8 Prefix benutzt dann hast du dort das ganze 10er Netzwerk dort schon aufgebraucht.
In den remoten Standort kannst du dann logischerweise KEIN 10er netzwerk mit welchem Prefix auch immer einsetzen.
Logisch, denn die IP Adressierung ist dann nicht mehr eindeutig weil ein Router nicht mehr routen kann.
Das ist aber erste Klasse Grundschule IP Subnetting und solche einfachen grundlegenden Dinge in der IP Adressierung sollte man als Netzwerker aber wissen.
Der /8 Prefix geht also nicht wenn du in den Außenstandorten auch 10er Netze verwenden willst. Hier musst du einen größeren Prefix (Subnetzmaske) verwenden die die Außenstandort Netze trennen.
Netze müssen immer einzigartig sein in einem Netzwerk. Bei dir ist das mit der /8 Maske NICHT der Fall. Siehst du aber sicher auch selber.
Entweder also mit größerer als die /8 Maske in der Zentrale oder du nimmst dann dort 172.16-32er Netze oder 192.168.er Netze.
Ein Subnetzrechner hilt dir das auszurechnen wenn du es im Kopf nicht kannst:
https://www.heise.de/netze/tools/netzwerkrechner/
Wenn du ein größeres Kontingent an Netzen und Adressen brauchst in der Zentrale kann es auch eine kleinere Maske als /24 sein. Obwohl man wie jeder Netzwerker weiss niemals mehr als 150 Endgeräte in eine L2 Domain bringen sollte um die Performance zu halten. Segmentierung ist hier also auch angesagt.
Ist aber ne andere Baustelle und betrifft die VLAN Segmentierung dann in der Zentrale was hier ja nicht das Thema ist.
Und merke "groß" ist wie alles im Leben immer relativ. Was für dich groß ist ist für andere klitzeklein
P.S.: Deine Shift Taste ist defekt !
In den remoten Standort kannst du dann logischerweise KEIN 10er netzwerk mit welchem Prefix auch immer einsetzen.
Logisch, denn die IP Adressierung ist dann nicht mehr eindeutig weil ein Router nicht mehr routen kann.
Das ist aber erste Klasse Grundschule IP Subnetting und solche einfachen grundlegenden Dinge in der IP Adressierung sollte man als Netzwerker aber wissen.
Der /8 Prefix geht also nicht wenn du in den Außenstandorten auch 10er Netze verwenden willst. Hier musst du einen größeren Prefix (Subnetzmaske) verwenden die die Außenstandort Netze trennen.
Netze müssen immer einzigartig sein in einem Netzwerk. Bei dir ist das mit der /8 Maske NICHT der Fall. Siehst du aber sicher auch selber.
Entweder also mit größerer als die /8 Maske in der Zentrale oder du nimmst dann dort 172.16-32er Netze oder 192.168.er Netze.
Ein Subnetzrechner hilt dir das auszurechnen wenn du es im Kopf nicht kannst:
https://www.heise.de/netze/tools/netzwerkrechner/
Wenn du ein größeres Kontingent an Netzen und Adressen brauchst in der Zentrale kann es auch eine kleinere Maske als /24 sein. Obwohl man wie jeder Netzwerker weiss niemals mehr als 150 Endgeräte in eine L2 Domain bringen sollte um die Performance zu halten. Segmentierung ist hier also auch angesagt.
Ist aber ne andere Baustelle und betrifft die VLAN Segmentierung dann in der Zentrale was hier ja nicht das Thema ist.
wäre diese konfiguration dann korrekt, oder eher nicht?
Sie ist NICHT korrekt aufgrund der falschen IP Adressierung bzw. Segmentierung im 10er Netzoder wie würdet ihr ein großes netzwerk aufbauen?
Mit einer richtigen und korrekten IP Adressierung und Verwendung von Subnets Und merke "groß" ist wie alles im Leben immer relativ. Was für dich groß ist ist für andere klitzeklein
P.S.: Deine Shift Taste ist defekt !
Vielen Dank für Eure Antworten!
D.h. folgendes Setup wäre dann korrekt?
Standort 1: 10.91.1.0/24 [10.91.1.1-254 (/24)]
Standort 2: 10.91.2.0/24 [10.91.2.1-254 (/24)]
Standort 3: 10.91.3.0/24 [10.91.3.1-254 (/24)]
Zentrale: 10.90.0.0/24 [10.90.1.1-10.90.254.254 (/24)]
Wenn ich dann in der Zentrale noch eine weitere Range für andere Zwecke verwenden möchte,
Dann haben die Außenstandorte 10.91.1-254.X, und das LAN in der Zentrale 10.90.X.X.
Dieses Setup würde funktionieren, order?
#2: Kann ich dann für die Zentrale ein zweites LAN mit 10.1.0.0/24 auch einrichten, ohne dabei das 90er Netz zu stören?
Vielen Dank
D.h. folgendes Setup wäre dann korrekt?
Standort 1: 10.91.1.0/24 [10.91.1.1-254 (/24)]
Standort 2: 10.91.2.0/24 [10.91.2.1-254 (/24)]
Standort 3: 10.91.3.0/24 [10.91.3.1-254 (/24)]
Zentrale: 10.90.0.0/24 [10.90.1.1-10.90.254.254 (/24)]
Wenn ich dann in der Zentrale noch eine weitere Range für andere Zwecke verwenden möchte,
Dann haben die Außenstandorte 10.91.1-254.X, und das LAN in der Zentrale 10.90.X.X.
Dieses Setup würde funktionieren, order?
#2: Kann ich dann für die Zentrale ein zweites LAN mit 10.1.0.0/24 auch einrichten, ohne dabei das 90er Netz zu stören?
Vielen Dank
Ja aber auch nicht gerade intelligent wenn du wachsen willst in der Zentrale. Hier ist denn wieder die Frage was ist "groß".
Mach es doch so das du sagst:
10.90.0.0 /16 dann und entsprechend = Lokales LAN dort dann z.B. 10.90.1.0 /24, Server oder RZ Netz:10.90.2.0 /24 und WLAN z.B. = 10.90.10.0 /24 und Gast-WLAN z.B. = 10.90.20.0 /24 usw.
Hier kannst du im 2ten Byte des Netzwerkteils der IP Adresse jetzt frei aussuchen was du da nehmen willst.
Das ganze dann auch für die 10.91er netze der Außenstandorte die du dann flexibel auch mit /24 Netzen segmentieren kannst.
Du hast dann sogar die Option das du eine Standortnummer usw. in die IP Adressierung der Außenstellen eincodieren kannst z.B.:
Durch die /16er Kontingente hast du dann auch genügend Platz sowohl für Zentrale als auch Außenstellen zu wachsen ohne das IP Konzept über den Haufen werfen zu müssen.
Das ist doch aber nun wirklich einfachstes IP Subnetting was einem schon der normale IT Verstand sagt !
Einfach mal etwas logisch nachdenken...auch wenn heute wieder mal Freitag ist
Mach es doch so das du sagst:
- Der Bereich 10.0.0.0 /16 ist für die Netze in der Zentrale = Lokales LAN dort dann z.B. 10.0.1.0 /24 und WLAN z.B. = 10.0.10.0 /24 und Gast-WLAN z.B. = 10.0.20.0 /24 usw.
10.90.0.0 /16 dann und entsprechend = Lokales LAN dort dann z.B. 10.90.1.0 /24, Server oder RZ Netz:10.90.2.0 /24 und WLAN z.B. = 10.90.10.0 /24 und Gast-WLAN z.B. = 10.90.20.0 /24 usw.
Hier kannst du im 2ten Byte des Netzwerkteils der IP Adresse jetzt frei aussuchen was du da nehmen willst.
- Der Bereich 10.91.0.0 /16 dann für die Außenstandorte
Das ganze dann auch für die 10.91er netze der Außenstandorte die du dann flexibel auch mit /24 Netzen segmentieren kannst.
Du hast dann sogar die Option das du eine Standortnummer usw. in die IP Adressierung der Außenstellen eincodieren kannst z.B.:
- Standort 1: 10.91.0.0 /16 = Lokales LAN dort dann z.B. 10.91.1.0 /24 und WLAN z.B. = 10.91.10.0 /24 und Gast-WLAN z.B. = 10.91.20.0 /24 usw.
- Standort 2: 10.92.0.0 /16 = Lokales LAN dort dann z.B. 10.92.1.0 /24 und WLAN z.B. = 10.92.10.0 /24 und Gast-WLAN z.B. = 10.92.20.0 /24 usw.
- Standort 3: 10.93.0.0 /16 = Lokales LAN dort dann z.B. 10.93.1.0 /24 und WLAN z.B. = 10.93.10.0 /24 und Gast-WLAN z.B. = 10.93.20.0 /24 usw.
Durch die /16er Kontingente hast du dann auch genügend Platz sowohl für Zentrale als auch Außenstellen zu wachsen ohne das IP Konzept über den Haufen werfen zu müssen.
Das ist doch aber nun wirklich einfachstes IP Subnetting was einem schon der normale IT Verstand sagt !
Einfach mal etwas logisch nachdenken...auch wenn heute wieder mal Freitag ist
Hallo,
ich würde eher zu
10.91.1.0/24 (oder /23 oder /22)
und
10.91.5.0/24
10.91.6.0/24
10.91.7.0/24
bzw
10.91.9.0/24
10.91.10.0/24
10.91.11.0/24
tendieren.
Dann kann man ausserhalb liegende Netze schön zusammenfassen
wie 10.91.5/22 .
Es hilft manchmal beim Routing und spart Einträge, macht die Sache ggfs übersichtlicher .
Nur so eine Überlegung, die mir schon öfter geholfen hat
Fred
ich würde eher zu
10.91.1.0/24 (oder /23 oder /22)
und
10.91.5.0/24
10.91.6.0/24
10.91.7.0/24
bzw
10.91.9.0/24
10.91.10.0/24
10.91.11.0/24
tendieren.
Dann kann man ausserhalb liegende Netze schön zusammenfassen
wie 10.91.5/22 .
Es hilft manchmal beim Routing und spart Einträge, macht die Sache ggfs übersichtlicher .
Nur so eine Überlegung, die mir schon öfter geholfen hat
Fred
Das ist generell richtig geht aber mit der /16er Maske ebenso. Hier könnte er eine Summarization pro Standort machen.
Du hast aber generell recht denn die Aufteilung in .90 und .91 ist taktisch gesehen nicht klug.
Besser ist man nimmt z.B, ein /9 Prefix an und würde dann allle Subnetze der Zentrale in den unteren Bereich 10.0.0.0 bis 10.127.255.255 legen und die Außenstellen in den oberen Bereich ab 10.128.0.0.
So wäre auch hier eine Route Summarization Zentrale zu Außenstellen und innerhalb der Standorte möglich.
Stellt sich aber wieder die Frage was genau groß für den TO ist...?
Wenn er nachher dynmaisch routen will über die VPN Tunnel um sich das Routing zu vereinfachen ist das durchaus sinnvoll.
Wenns allerdings bei popeligen 3 Standorten bleibt, dann kann man das auch mit simplen statischen Routen machen und hochtrabende Gedanken zu Summarization sind dann toll aber völlig übertrieben und letztlich unerheblich bei so einem einfachen Mininetz.
Du hast aber generell recht denn die Aufteilung in .90 und .91 ist taktisch gesehen nicht klug.
Besser ist man nimmt z.B, ein /9 Prefix an und würde dann allle Subnetze der Zentrale in den unteren Bereich 10.0.0.0 bis 10.127.255.255 legen und die Außenstellen in den oberen Bereich ab 10.128.0.0.
So wäre auch hier eine Route Summarization Zentrale zu Außenstellen und innerhalb der Standorte möglich.
Stellt sich aber wieder die Frage was genau groß für den TO ist...?
Wenn er nachher dynmaisch routen will über die VPN Tunnel um sich das Routing zu vereinfachen ist das durchaus sinnvoll.
Wenns allerdings bei popeligen 3 Standorten bleibt, dann kann man das auch mit simplen statischen Routen machen und hochtrabende Gedanken zu Summarization sind dann toll aber völlig übertrieben und letztlich unerheblich bei so einem einfachen Mininetz.
Hallo,
da hat sich wohl ein Fehler eingeschlichen....
10.90.0.0 /24 10.90.0.1 -10.90.0.254 wäre richtig
brammer
da hat sich wohl ein Fehler eingeschlichen....
Zentrale: 10.90.0.0/24 [10.90.1.1-10.90.254.254 (/24)]
10.90.0.0 /24 10.90.0.1 -10.90.0.254 wäre richtig
brammer
