Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

2 getrennten Netzwerke - zugriff auf Netzwerkdrucker Netzwerk 1 wie möglich?

Frage Netzwerke LAN, WAN, Wireless

Mitglied: 6ergsm

6ergsm (Level 1) - Jetzt verbinden

21.03.2010, aktualisiert 18.10.2012, 19878 Aufrufe, 43 Kommentare

Hallo,

wir haben zwei Netzwerke, eines mit 5 PC's (NET1), dass nur zum surfen da ist. Das andere mit 7 PC's (NET2), auf dem Bürosoftware, ect. läuft. An diesem Netzwerk (NET2) hängt ein Netzwerk-Multifunktionsfarblaserkopierer. Diese diente zu Drucken der Dokumente, insbesondere Bilder.
Nun sind wir auf eine andere Software umgestiegen, die einen Internetzugang benötigt. 2 von den 7 PC (NET2) kommen jetzt an das Netzwerk (NET1) mit Internet. Diese müßen aber wie die aus NET2 nun auch auf dem Netzwerk-Multifunktionsfarblaserkopierer zugreifen können. Jedes Netzwerk verfügt über einen seperaten Switch.
Wie kann ich es lösen, dass nun aus beiden Netzwerken dieser Netzwerk-Multifunktionsfarblaserkopierer genutzt werden kann, ohne dass ein Datenaustasch von den Rechner im NET1 zu NET2 möglich ist und das NET2 nach wie vor sicher ist - im NET2 laufen alle PC's on AV!

Gruß
43 Antworten
Mitglied: dog
21.03.2010 um 17:37 Uhr
Drucker in eigenes Subnetz packen und Firewall richtig konfigurieren?
Bitte warten ..
Mitglied: 6ergsm
21.03.2010 um 19:39 Uhr
Die beiden Netzwerke haben ja unterschiedliche Subnetze, in einem davon hängt ja der Drucker. Benötigt man da noch einen Router oder Switch den ich dann vor den Drucker hänge oder wie soll das gehen?
Bitte warten ..
Mitglied: brammer
21.03.2010 um 19:40 Uhr
Hallo,

das kommt auf deine HArdware und dein Budget an.
Wenn deine beiden Switche managebar sind und VLANs unterstützen packst du die Clients in je ein Subnetz und den Drucker in ein eigenes VLAN und routest zwischen den Netzen.

Was für Switche und was füt eine Router setzt ihr den ein?

brammer
Bitte warten ..
Mitglied: aqui
22.03.2010, aktualisiert 18.10.2012
Du steckst in einen der Rechner einfach für 4 Euro eine 2te Netzwerkkarte und aktivierst dort das Routing wie es in diesem Tutorial erklärt ist:
http://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...
Das wäre die einfachste Lösung die dich schnell zum Ziel führt.
Allerdings hat diese Lösung den nachteil, das dieser rechner mit den 2 NICs immer laufen muss damit du auch drucken kannst aus dem anderen Netz ! Ggf. also eher den Server mit 2 NICs ausstatten, der so oder so immer rennt.

Technisch besser ist es einen kleinen billigen DSL Router mit abschaltbarem NAT (Adress Translation) zu verwenden wie z. B. einen Linksys WRT54 mit DD-WRT Firmware oder einen Edimax-6214K oder GetNet_GR-154 oder andere billige 2 Port Router ohne NAT.
Damit kannst du dann für nicht mehr als 20 Euro beide netze koppen und problemlos mit allen Clients auf dem Drucker drucken !
Bitte warten ..
Mitglied: 6ergsm
22.03.2010 um 12:59 Uhr
@ Brammer...diese Switche verwenden wir:

http://www.nwlab.net/netzwerktechnik/TRENDnet-TEG-224WSplus-256.html

Sind managebar und unterstützen meines wissens Vlan. Aber wie mache ich das. Die Rechner bekommen je von einem Gateway-Rechner die IP und auch die DHCP. Der Drucker hat eine feste IP.

Gruß
Bitte warten ..
Mitglied: 6ergsm
22.03.2010 um 13:30 Uhr
Ach ja, der Router ist von O2 um halt ins Internet zu kommen...
Kann aber auch noch einen kaufen, die kosten ja nicht die Welt...
Bitte warten ..
Mitglied: aqui
22.03.2010, aktualisiert 18.10.2012
So ist es ! Die o.a. Koppelrouter kosten 20 Euronen. Du musst allerdings zwingend darauf achten das das NAT Feature abschaltbar ist und das die Router keine integrierten DSL Modems haben. Die o.a. Router supporten diese Voraussetzung !
Du musst extern zwischen den beiden Netzen routen, denn deine Switches supporten KEIN Layer 3 Switching also Routing im Switch selber.
Wenn du alles richtig gemacht hast sieht dein Netz dann so aus:

3c4ba47a67fbb7f6005c5c593192a25c - Klicke auf das Bild, um es zu vergrößern

Deine Switches sind auch VLAN fähig !! Wenn du deine beiden Netze Netz-1 und netz-2 auf 2 VLANs auf den Switches verteilt hast kannst du auch mit einem VLAN fähigen Router zwischen beiden Routen.
Wie das z.B. genau geht beschreibt dir dieses Tutorial:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...

Alle drei Lösungen führen dich zum Erfolg bzw. zum Drucken !
Bitte warten ..
Mitglied: 6ergsm
22.03.2010 um 16:46 Uhr
Hi,

sind die o.a. Router auch VLAN fähig?
D.h. ich komme nicht daran vorbei, VLAN's zuerstellen?
Durch den Router ist es aber nicht möglich vom VLAN2 in das Inet zu gehen oder? Das darf auf jeden Fall nicht sein.
ICh werde mir mal die Anelitung durchlesen, danke, hoffe ich versteht das!

GRuß
Bitte warten ..
Mitglied: aqui
22.03.2010 um 18:31 Uhr
Nein, dann hast du es falsch verstanden oder nicht richtig gelesen:
Nein, VLANs benötigst du nicht, wäre nur eine Option !
Die Zeichnung oben zeigt dir ja wie es ganz normal ohne VLANs mit deinem beiden Switches und einem 20 Euro Router funktioniert...oder eben mit 2 NICs in einem PC !

Wenn du VLAN hast (oder hättest) wäre auch die o.a. Lösung mit der kostenlosen Monowall oder PFSENSE und VLANs möglich !
Bitte warten ..
Mitglied: dog
22.03.2010, aktualisiert 18.10.2012
Grobe Beispielkonfiguration für einen MikroTik Router http://www.administrator.de/wissen/mikrotik-rb750-quick-review-124700.h ... (portbasiert):

01.
/int eth 
02.
set 0 name=ether1-internet comment="Netz mit dem Internet-Router" 
03.
set 1 name=ether2-lan1 comment="Netz mit Internet-Clients" 
04.
set 2 name=ether3-lan2 comment="Netz mit anderen Clients" 
05.
set 3 name=ether4-common comment="Drucker etc." 
06.
 
07.
/ip addr 
08.
add int=ether1 addr=192.168.0.2/24 
09.
add int=ether2 addr=192.168.33.1/24 
10.
add int=ether3 addr=192.168.34.1/24 
11.
add int=ether4 addr=192.168.35.1/24 
12.
 
13.
/ip route 
14.
add dst=0.0.0.0/0 gatew=192.168.0.254 
15.
 
16.
/ip fire nat 
17.
add chain=srcnat out-interf=ether1 action=masq comment="Traffic zum Upstream-Router NATten, damit wir keine Rueckrouten brauchen" 
18.
 
19.
/ip dns 
20.
set allow-remote=yes 
21.
 
22.
/ip fire filter 
23.
add chain=forward connection-sate=invalid action=drop 
24.
add chain=forward connection-state=established action=accept comment="Conntrack: bestehend" 
25.
add chain=forward connection-state=related action=accept comment="Conntrack: related" 
26.
add chain=forward in-interf=ether2 out-interf=ether1 action=allow comment="Internet-Zugriff fuer NET1 zulassen" 
27.
add chain=forward in-interf=ether2 out-interf=ether4 action=allow comment="Zugriff auf Drucker aus NET1 zulassen" 
28.
add chain=forward in-interf=ether3 out-interf=ether4 action=allow comment="Zugriff auf Drucker aus NET2 zulassen" 
29.
add chain=forward action=drop comment="Last rule: Alles verwerfen" 
Monowall/pfsense sind in der Firewall-Konfiguration noch etwas leichter.
Bitte warten ..
Mitglied: 6ergsm
22.03.2010 um 20:25 Uhr
Ok,

dann habe ich es falsch verstanden.
D.h. der MikroTik Router würde damit funktionieren? Dann bestell ich den mal, da die Konfiguration auch schon so schön hier steht. Oder gibt es einen besseren und leichter zu konfigurierbaren Router?

add int=ether1 addr=192.168.0.2/24 -> was bedeutet die /24 eigentlich? Ist das eine IP range?
Bitte warten ..
Mitglied: dog
22.03.2010 um 20:29 Uhr
und leichter zu konfigurierbaren Router?

Leichter zu konfigurieren auf jeden Fall (wie aqui schon sagte monowall/pfsense).
RouterOS kann für Anfänger ziemlich einschüchternd sein.

was bedeutet die /24 eigentlich? Ist das eine IP range?

/24 bedeutet, dass die ersten 24 Bit der Subnetzmaske (von links) auf 1 stehen.
Dezimal dargestellt ergibt sich dann 255.255.255.0
Bitte warten ..
Mitglied: 6ergsm
22.03.2010 um 20:41 Uhr
Naja ich denke dann kann man mit Eurer Hilfe hier schon hin bekommen, ist ja kein Netzwerk mit 100 Rechner...
Ich besorg das Teil und schau mal wie weit ich komm.


Die Ip des LAN1 sind ja
192.168.0.33
192.168.0.34
192.168.0.35
....

wie gebe ich diese ein?

add int=ether1 addr=192.168.0.33/24
add int=ether1 addr=192.168.0.34/24
add int=ether1 addr=192.168.0.35/24
....

so?

Den Rest deiner Konfiguration kann ich ja so übernehmen oder muss noch was geändert werden ausser der IP's?

Kann ich diese Einstellungen auch über die Webbox machen oder geht das nur über den Terminal?
Bitte warten ..
Mitglied: dog
22.03.2010 um 20:45 Uhr
add int=ether1 addr=192.168.0.33/24
add int=ether1 addr=192.168.0.34/24
add int=ether1 addr=192.168.0.35/24

Das passt nicht.
Die IPs sind ja alle im selben Subnetz.
Eine mögliche Konfiguration wäre

01.
add int=ether1 addr=192.168.33.1/24  
02.
add int=ether1 addr=192.168.34.1/24 
03.
add int=ether1 addr=192.168.35.1/24
Kann ich diese Einstellungen auch über die Webbox machen

Webbox würde ich meiden.
Es ist ein relativ grundsätzliches Interface was viele Einstellungen automatisch macht und damit nicht unbedingt gut funktioniert wenn man andere Einstellungen von Hand setzt.
Bitte warten ..
Mitglied: 6ergsm
22.03.2010 um 21:39 Uhr
Ok,

ich dachte immer man ändert für jedes Netzwerk die letzte Range - versteh ich jetzt nicht?!

192.168.1.X

D.h. dann, ich änder die IPs aller Rechner wie folgt ab

192.168.XXX.1

und adde die dann nach einander in dem Router, wobei ich jedem Rechner differenziert ether1 oder 2 zuweise?
Bitte warten ..
Mitglied: dog
22.03.2010 um 21:52 Uhr
Jetzt komme ich nicht mit.

01.
add int=ether2 addr=192.168.33.1/24  
Diese Einstellung weist dem Router auf Port 2 die IP-Adresse 192.168.33.1 und die Subnetzmaske 255.255.255.0 zu.
Alle anderen Rechner, die irgendwie (über Switch, Hub, etc.) an diesem Port hängen müssen dann eine IP zwischen 192.168.33.2 und 192.168.33.254 haben.

Gleiches Spielchen für das nächste Interface
01.
add int=ether3 addr=192.168.34.1/24 
Diese Einstellung weist dem Router auf Port 3 die IP-Adresse 192.168.34.1 und die Subnetzmaske 255.255.255.0 zu.
Alle anderen Rechner, die irgendwie (über Switch, Hub, etc.) an diesem Port hängen müssen dann eine IP zwischen 192.168.34.2 und 192.168.34.254 haben.

usw.

In meinem Beispiel oben habe ich 4 Interfaces/Subnetze konfiguriert:

  • 1: Ein Subnetz in dem sich nur der DSL-Router und der Mikrotik-Router befinden
  • 2: Ein Subnetz mit den Clients die ins Internet kommen
  • 3: Ein Subnetz mit den Clients die nicht ins Internet kommen
  • 4: Ein Subnetz mit dem Drucker

Natürlich könnte man den bisherigen DSL-Router auch rauswerfen und das direkt mit dem Mikrotik machen, aber dann werden die Firewall-Regeln noch komplizierter, weshalb ich das mal gelassen habe.

01.
 +----------+                         NET1 
02.
 | Internet |                           | 
03.
 +----------+                           | 
04.
       |                         192.168.33.0/24 
05.
       |                                | 
06.
       |                                | 
07.
+------------+                    +----------+ 
08.
| DSL-Router |-- 192.168.0.0/24 --| MikroTik |-- 192.168.35.0/24 -- Drucker 
09.
+------------+                    +----------+ 
10.
11.
12.
                                 192.168.34.0/24 
13.
14.
15.
                                       NET2
Bitte warten ..
Mitglied: 6ergsm
23.03.2010 um 00:02 Uhr
Ok, ich glaub jetzt habe ich es geschnallt - habe zu weit gedacht...

Also fasse ich mal zusammen:

Ich habe den SWITCH für LAN1. Diesem Switch gebe ich die IP 192.168.33.1/24
Alle Rechner in diesem LAN1 bekommen die IP 192.168.33.X

Ich habe den SWITCH für LAN2. Diesem Switch gebe ich die IP 192.168.34.1/24
Alle Rechner in diesem LAN2 bekommen die IP 192.168.34.X

Der Drucker bekommt die IP 192.168.35.1/24

Und der Router bekommt die IP 192.168.1.1/24 (ist schon so eingestellt)

Stimmt das so?
Bitte warten ..
Mitglied: aqui
23.03.2010 um 10:25 Uhr
Nicht ganz.... Hier nochmals die Zeichnung von dog mit den entsprechenden IP Adressen:

bede9d23d727613dfe4003c3ec91dc81 - Klicke auf das Bild, um es zu vergrößern

Daraus sollte klar sein wo welche IP hinkommt und auch welche IP der Mikrotik_Router bekommt !
Rein praktisch könntest du dir das separate Netzwerk mit dem Drucker sparen und den Multifunktionsdrucker in Netz-2 belassen.
Das bedeutet dann aber im Endeffekt das über den Router alle Benutzer aus Netz-1 Zugriff auf Netz-2 haben.
Das ist ggf. nicht gewollt, deshalb der korrekte Vorschlag von dog dem MF-Drucker ein separates Segment zu geben über das alle aus Netz-1 und -2 zugreifen können aber sich in ihren eigenen Netzen nicht sehen !
Sicherheitstechnisch ist dogs Design also etwas besser sofern die Netze 1 und 2 isoliert sein sollen !
Bitte warten ..
Mitglied: 6ergsm
23.03.2010 um 16:16 Uhr
Phu,

jetzt Blick ich es langsam nicht mehr. Also ich bleibe bei dem Bild von Dog, da ich definitiv die Netz trennen will und muss. Nur einem Netz soll INET zur verfügung stehen...
Wieso sind in deinem Bild bei 192.168.0.0 zwei Clients?

Dann mache ich es so?

Ich habe den SWITCH für LAN1. Diesem Switch gebe ich die IP 192.168.33.0/24
Alle Rechner in diesem LAN1 bekommen die IP 192.168.33.X und Gateway 192.168.33.1

Ich habe den SWITCH für LAN2. Diesem Switch gebe ich die IP 192.168.34.0/24
Alle Rechner in diesem LAN2 bekommen die IP 192.168.34.X und Gateway 192.168.34.1

Der Drucker bekommt die IP 192.168.35.0/24 und Gateway 192.168.35.1

Und der O2-Router bekommt die IP 192.168.0.254/24

Sorry das ich mich da so anstelle....
Bitte warten ..
Mitglied: dog
23.03.2010 um 16:40 Uhr
Wieso sind in deinem Bild bei 192.168.0.0 zwei Clients?

Kann man machen oder es auch lassen

Ich habe den SWITCH für LAN1. Diesem Switch gebe ich die IP 192.168.33.0/24
Alle Rechner in diesem LAN1 bekommen die IP 192.168.33.X und Gateway 192.168.33.1

192.168.33.0/24 ist keine IP sondern die Aussage, dass sich hier ein Netzwerk befindet, dass von 192.168.33.1 bis 192.168.33.254 geht.
Dem Switch kannst du dann eine IP ala 192.168.33.250 (Subnetzmaske: 255.255.255.0) geben.
Was der genau hat ist eigentlich auch egal, denn dass ist ja nur relevant, damit du auf die Oberfläche des Switches kommst. Für den Netzbetrieb selbst ist das egal.

Der Drucker bekommt die IP 192.168.35.0/24 und Gateway 192.168.35.1

Selbiges wie oben.
Dem Drucker musst du eine IP zwischen 192.168.35.2 und 192.168.35.254 geben (Subnetzmaske: 255.255.255.0)

Und der O2-Router bekommt die IP 192.168.0.254

LAN-seitig, ja.

Ich hab meine Beispielkonfiguration mal angepasst.
Bitte warten ..
Mitglied: 6ergsm
23.03.2010 um 17:03 Uhr
Zitat von dog:
> Wieso sind in deinem Bild bei 192.168.0.0 zwei Clients?

Kann man machen oder es auch lassen

Ich lass es
> Ich habe den SWITCH für LAN1. Diesem Switch gebe ich die IP 192.168.33.0/24
> Alle Rechner in diesem LAN1 bekommen die IP 192.168.33.X und Gateway 192.168.33.1

192.168.33.0/24 ist keine IP sondern die Aussage, dass sich hier ein Netzwerk befindet, dass von 192.168.33.1 bis 192.168.33.254
geht.
Dem Switch kannst du dann eine IP ala 192.168.33.250 (Subnetzmaske: 255.255.255.0) geben.
Was der genau hat ist eigentlich auch egal, denn dass ist ja nur relevant, damit du auf die Oberfläche des Switches kommst.
Für den Netzbetrieb selbst ist das egal.

> Der Drucker bekommt die IP 192.168.35.0/24 und Gateway 192.168.35.1

Selbiges wie oben.
Dem Drucker musst du eine IP zwischen 192.168.35.2 und 192.168.35.254 geben (Subnetzmaske: 255.255.255.0)

> Und der O2-Router bekommt die IP 192.168.0.254

LAN-seitig, ja.

Ich hab meine Beispielkonfiguration mal angepasst.

Ich glaub jetzt habe ich es geschnallt, man muss nicht die einzelnen Rechner in dem Router adden sondern nur die Netze?D.h. ich kann deine Konfiguration 1:1 übernehmen und muss nur die IPs der Rechner, dem entsprechenden Netz anpassen?
Bitte warten ..
Mitglied: dog
23.03.2010 um 17:07 Uhr
D.h. ich kann deine Konfiguration 1:1 übernehmen und muss nur die IPs der Rechner, dem entsprechenden Netz anpassen?

Theoretisch ja (du musst natürlich die richtigen Ports verwenden)
Bitte warten ..
Mitglied: 6ergsm
23.03.2010 um 17:11 Uhr
Ok, ich denke in der Anleitung wird schon stehen wie das Gerät technisch aufgebaut ist und wo welcher Port sitzt?
Ist gar nicht so einfach das Teil zu bekommen, die meisten Händler können nicht liefern...
Bitte warten ..
Mitglied: 6ergsm
28.03.2010 um 17:39 Uhr
@ DOG:

Ich glaub Dir ist bei der Konfiguration ein kleiner Fehler unterlaufen?!
Muss es nicht in der 26.,27. und 28. Zeile statt ALLOW, ACCEPT heißen? Denn allow nimmt er mir nicht als Befehl an und den finde ich auch nirgends in der Docu....

Den Rest habe ich mal so über Telnet rein gehackt. Morgen werde ich den Router mal an die Netzwerke anschließen.

Stimmt die IP Config so? Vorallem die erste Zeile?

http://img163.imageshack.us/img163/3765/83900315.jpg
http://img709.imageshack.us/img709/6076/firehk.jpg

Kann man eigentlich die IP der Routers ändern, bzw. in eines der beiden Netzwerke verlegen, denn die 192.168.88.1 ist unpassen...?!
Bitte warten ..
Mitglied: dog
28.03.2010 um 19:26 Uhr
Sorry, ja, accept wäre es gewesen.
Außerdem solltest du mal
01.
/sys reset-conf skip-def=yes no-back=yes
ausführen.
Das löscht die gesamte Konfiguration, was in deinem Fall notwendig ist.
Bitte warten ..
Mitglied: 6ergsm
28.03.2010 um 20:08 Uhr
Hi,

und dann muss ich alles nochmal eingeben? Wieso ist das nötig, woran erkennst du das?
Bitte warten ..
Mitglied: dog
28.03.2010 um 20:21 Uhr
Weil ich die Standardkonfiguration von MT kenne und die hilft dir hier nix

Allerdings musst du bedenken, dass du in dem Moment wo du die Konfiguration löschst ihn nicht mehr über IP ansprechen kannst.
Lad dir dafür http://demo.mt.lv/winbox/winbox.exe runter und klicke da auf "..." das findet den Router und dann klickst du auf die MAC-ID um dich zu verbinden.

Danach kannst du da im Terminal die Befehle ausführen.
Bitte warten ..
Mitglied: 6ergsm
28.03.2010 um 22:17 Uhr
Zitat von dog:
/sys reset-conf skip-def=yes no-back=yes.

--> muss skip-b und no-def heißen...

Konfiguration habe ich drauf, werde es morgen mal testen.
Man muss aber hoffentlich keine Ports oder irgendwas anderes noch einstellen z.B. für Emailverkehr der LAN1?
Bitte warten ..
Mitglied: FishersFritz
11.04.2010 um 13:26 Uhr
Hallo "dog",

das nenne ich mal eine Spitzenhilfestellung. Ich habe ein ähnliches Problem:

Zwei Netze, ein gemeinsamer Drucker und ein gemeinsamer Router "Speedport W503V", d.h. beide Netze sollen ins Internet.

Zusätzlich habe ich in einem Netz (nennen wir es "Netz mit Server") einen Windows-Server, auf den ich mich momentan mittels PPTP einwähle (Ports 1723 + GRE Protokoll). Bei mir käme also noch Port-Forwarding dazu.

Ich würde mich freuen, wenn Du mir folgende Fragen beantworten würdest:

1. Kann die Konfiguration von oben mit den 4 Netzen und dem Router beibehalten werden oder sollte dann der Microtik sowohl die Interneteinwahl als auch das interne Routing übernehmen? Eventuell würden hier auch nur 3 Netze einen Sinn machen:

192.168.3.1/24 = Netz mit Server
192.168.4.1/24= Zweites Netz
192.168.5.1/24= Netz mit Drucker + Speedport-Router

2. Wie müsste meine Konfiguration im Microtik-Router aussehen und welche Einstellungen müsste ich im Speedort-Router machen, damit er den Server mit bspw. der IP "192.168.3.2" findet, wenn weiterhin der Speedport die Einwahl übernimmt.

3. Weißt Du, ob der Microtik-Router auch für jedes VLAN einen eigenen DHCP-Server bereitstellen kann oder benötige ich ggf. in den Netzen noch einen separaten DHCP-Server.

Vielen Dank schon mal vorab für Deine Unterstützung. Ich kann mir vorstellen, dass Du hier nicht für alle Microtik-Besitzer die Konfiguration schreiben möchtest. Würde mich aber trotzdem über Deine Unterstützung freuen!

FishersFritz
Bitte warten ..
Mitglied: dog
11.04.2010 um 17:29 Uhr
Kann die Konfiguration von oben mit den 4 Netzen und dem Router beibehalten werden oder sollte dann der Microtik sowohl die Interneteinwahl als auch das interne Routing übernehmen?

Deine Entscheidung. Beides ist möglich.
Wenn du einen MT direkt ans Internet hängst musst du dich aber auch mit der Firewall-Konfiguration auskennen, da die Standardkonfiguration nicht für DSL geeignet ist (Es ist halt ein "echter" Router).

Wie müsste meine Konfiguration im Microtik-Router aussehen und welche Einstellungen müsste ich im Speedort-Router machen

Das hängt von deiner Konfiguration ab.
Du kannst entweder mit NAT oder mit Routen arbeiten, wobei ich grade nicht weiß, ob der Speedport statische Routen unterstützt.

Beispielkonfiguration MT mit Routing:
01.
/int eth 
02.
set 1 name=ether1-uplink comment="Zum Speedport" 
03.
set 2 name=ether2-lanA comment="Erstes Netz mit Server" 
04.
set 3 name=ether3-lanB comment="Zweites Netz" 
05.
 
06.
/ip addr 
07.
add addr=192.168.5.2/24 int=ether1 comment="IP Speedport-Netz" 
08.
add addr=192.168.3.1/24 int=ether2 comment="GW-IP Erstes LAN" 
09.
add addr=192.168.4.1/24 int=ether3 comment="GW-IP Zweites LAN" 
10.
 
11.
/ip route 
12.
add dst-addr=0.0.0.0/0 gatew=192.168.5.1 
13.
 
14.
[... firewall konfiguration nach wunsch...]
Beispielkonfiguration MT mit NAT (Port-Forwarding vom Speedport auf die IP des MT):
01.
/int eth 
02.
set 1 name=ether1-uplink comment="Zum Speedport" 
03.
set 2 name=ether2-lanA comment="Erstes Netz mit Server" 
04.
set 3 name=ether3-lanB comment="Zweites Netz" 
05.
 
06.
/ip addr 
07.
add addr=192.168.5.2/24 int=ether1 comment="IP Speedport-Netz" 
08.
add addr=192.168.3.1/24 int=ether2 comment="GW-IP Erstes LAN" 
09.
add addr=192.168.4.1/24 int=ether3 comment="GW-IP Zweites LAN" 
10.
 
11.
/ip route 
12.
add dst-addr=0.0.0.0/0 gatew=192.168.5.1 
13.
 
14.
/ip firewall nat 
15.
add chain=srcnat out-interf=ether1 action=masq comment="SNAT nach Aussen" 
16.
 
17.
[... firewall + port forwarding konfiguration nach wunsch...]
3. Weißt Du, ob der Microtik-Router auch für jedes VLAN einen eigenen DHCP-Server bereitstellen kann

Soweit ich es im Kopf habe, ja.
Bitte warten ..
Mitglied: FishersFritz
11.04.2010 um 18:03 Uhr
@dog

Vielen Dank für Deine schnelle Hilfe

>Deine Entscheidung. Beides ist möglich.
>Wenn du einen MT direkt ans Internet hängst musst du dich aber auch mit der Firewall-Konfiguration auskennen, da die >Standardkonfiguration nicht für DSL geeignet ist (Es ist halt ein "echter" Router).

Ich weiß zwar ein paar Dinge über IP-Adressen, Ports und Port-Forwarding, jedoch ist mir eine "echte" bzw. komplette Firewallkonfiguration too much und so würde ich den einfachsten Weg gehen, also Port-Forwarding mit Speedport.

Leider sind die Speedports etwas "dumme" Kisten. Echte Routen werden keinesfalls unterstützt. Sogar bei Port-Forwarding kann ich nur Regeln für Geräte eingeben, die der Router automatisch im Netz findet.

Wenn ich es mit dem Port-Forwarding richtig interpretiere, dann müsste ich im Speedport (192.168.5.1) die gewünschten Ports auf den Microlink (192.168.5.2) forwarden und im Microlink wiederum sagen, dass er diese Ports auf den Server (192.168.3.2) weiterleitet.

Bspw. Internet:1723 (0.0.0.0/0:1723) --> Microlink :1723 (192.168.5.2/24:1723) --> Server:1723 (192.168.3.2:1723)

Ist dies so richtig? Und würdest Du mir dafür noch die Regeln mitteilen (auch für die Weiterleitung des GRE-Protokolls).

Wenn ich nicht richtig liege, dann würde ich nochmals auf Dich zukommen, sobald das Gerät da ist. Wenn es für Dich o.k. ist.

Einen schönen Sonntagabend wünscht Dir


FishersFritz
Bitte warten ..
Mitglied: dog
11.04.2010 um 18:19 Uhr
Ist dies so richtig? Und würdest Du mir dafür noch die Regeln mitteilen (auch für die Weiterleitung des GRE-Protokolls).

Ja.
01.
/ip firewall nat 
02.
add chain=dstnat in-interf=ether1 proto=udp dst-port=1723 action=dst-nat to-addr=192.168.3.2 comment="PPTP Aushandlung forwarden" 
03.
add chain=dstnat in-interf=ether1 proto=gre action=dst-nat to-addr=192.168.3.2 comment="PPTP Daten forwarden"
(in-interf kannst du weglassen, wenn du von allen Seiten des Routers eine PPTP-Verbindung aufbauen willst).

Wenn du die Kommunikation zwischen LAN-A und LAN-B verhindern willst brauchst du z.B. folgende Firewall-Regeln:
01.
/ip firewall filter 
02.
#Die Regeln erstellen eine SPI-Firewall (leichtere Konfiguration) 
03.
add chain=forward connection-state=established action=accept comment="SPI: Established" 
04.
add chain=forward connection-sate=related action=accept comment="SPI: Related" 
05.
add chain=forward connection-sate=invalid action=drop comment="SPI: Invalid" 
06.
#Wenn es in Richtung Internet geht ist es OK 
07.
add chain=forward out-interf=ether1 action=accept comment="Allen Traffic Richtung Internet erlauben" 
08.
#der Rest nicht 
09.
add chain=forward action=drop comment="Standardregel: Verweigern"
Bitte warten ..
Mitglied: FishersFritz
11.04.2010 um 20:20 Uhr
Klasse, das ist genau die Lösung, die ich brauche.

Wenn du die Kommunikation zwischen LAN-A und LAN-B verhindern willst brauchst du z.B. folgende Firewall-Regeln..

Bin mir auch sicher, dass ich alleine kaum darauf gekommen wäre

Dank' Dir nochmals herzlich
Bitte warten ..
Mitglied: FishersFritz
15.04.2010 um 21:03 Uhr
Hi dog,

jetzt muss ich doch nochmals auf Dich zurückkommen:

Deine Anleitung bzw. Skript hat wunderbar geklappt, soweit ich das testen konnte. Witzigerweise hat das Routing am Interface ether1 mit der Adresse 192.168.51 auch in einem anderen Netz geklappt. Ich habe ether1 mit einem Router verbunden, der eigentlich im Netz 192.168.1.0 arbeitet und er hat die Arbeit gleich aufgenommen. Ich vermute, dass ein DHCP-Client an dieser Schnittstelle aktiv ist.

Nun aber zu meiner Frage. Der Router wird an einem anderen Standort betrieben und ich möchte sichergehen, dass er dort reibungslos in Betrieb genommen werden kann. Ich bin mir nicht sicher, wie die DNS-Konfiguration nachher aussehen muss, damit die IPs im Internet (ether1 0.0.0.0/0) richtig aufgelöst werden.

An der Schnittstelle ether2 (192.168.3.0/24) läuft auf dem Mikrotik ein DHCP-Server, den ich als DNS-Adresse die IP 192.168.3.1 vergeben lassen. Ebenso vergibt er an ether3 (192.168.4.0/24) die DNS-Adresse 192.168.4.1, also jeweils die IP-Adresse des Mikrotik-Routers im jeweiligen Netz.

Im Router selbst kann ich ja den DNS-Server pflegen und Weiterleitungsadressen hinterlegen, dort habe ich dann die IP 192.168.5.254 (die Adresse des künftigen Speedport-Routers) hinterlegt. Ist das so richtig oder hätte ich die Adresse 192.168.5.254 (Speedport) direkt den Clients in beiden Netzen (ether2 und ether3) zuweisen sollen?

Würde mich über Deine Unterstützung freuen.
Bitte warten ..
Mitglied: dog
15.04.2010 um 21:34 Uhr
Das ist soweit schon richtig, aber du musst in der DNS-Konfiguration dann die Option "Allow Remote Requests" aktivieren, sonst macht er nichts.
Den DHCP-Client auf dem ether1 Interface würde ich noch löschen.
Bitte warten ..
Mitglied: FishersFritz
15.04.2010 um 21:42 Uhr
Jetzt muss ich schon mehr als 30 Zeichen für ein Dankeschön eingeben
Bitte warten ..
Mitglied: cheshunt
04.10.2010 um 22:07 Uhr
Ich möchte testhalber ein Netzwerk in zwei Subnetzwerke aufteilen. In beiden ist ein T-Home Media Reciver. Leider kann nur auf einem Gerät aufgenommen werden. Das möchte ich versuchen zu unterbinden. Durch die Trennung sollten sich die Geräte nicht mehr "sehen" und ich kann vielleicht jedes Gerät seperat verwenden! Wenn jemand andere Erfahrungen mit der Idee gemacht hat bitte ich auch um ein Feedback.

Brauche bitte Hilfe bei der Konfiguration. Toll wäre ein Screenshot der Notwendigen Einstellungen in WinBox!

Habe den Router laut Anleitung zurückgesetzt. Jetzt fehlt mir das wissen die IP zu setzen und das Subnetz einzurichten.

Hardware MikroTik RB750
Internet -- DSL Router Speedport W503 192.168.178.1 -- Port 1 (an den Router sind noch weitere Geräte über WLAN angeschlossen)
Net 1 192.168.178.0/24 Port 2
Net 2 192.168.2.0/24 Port 3

Vielen, vielen Dank für eure Hilfe!
Bitte warten ..
Mitglied: dog
04.10.2010 um 22:40 Uhr
Hast du VDSL oder nur reguläres DSL?
Ich weiß zwar die das unter VDSL läuft, ob es bei DSL auch so ist kann ich nicht sagen.
VDSL ist technisch ziemlich hässlich, aber mit MT möglich.

Wenn du aber nur verhindern willst, dass die beiden Media Receiver im LAN untereinander kommunizieren sollte das recht einfach gehen:

DSL-Router an ether1
Ein Gerät an ether2
Das andere an ether3

Konfiguration:
01.
/int bridge add name=bridge1 comment=Media-Bridge 
02.
/int bridge port 
03.
add port=ether1 bridge=bridge1 
04.
add port=ether2 bridge=bridge1 horizon=101 
05.
add port=ether3 bridge=bridge1 horizon=101
Bitte warten ..
Mitglied: cheshunt
05.10.2010 um 06:59 Uhr
Vielen Dank. Das hört sich ja sehr einfach an! Ich Teile mir VDSL mit meinem Vater über eine Richtfunkverbindung. Da aber sein Reciver über eine WLan Brigbe angeschlossen ist kommt es bei der Wiedergabe von aufgezeichneten Inhalten bei mir zu Perfomance Probleme (wenn er selber IP TV schaut). Das möchte ich gerne umgehen.
Werde deine Angaben eingeben und entsprechend ankabeln. Hört sich so an als ob ich bei der IP Vergabe gar nichts einstellen muß? Kann alles so bleiben und der Router hält die Geräte Hardwaretechnisch auseinander?
Bitte warten ..
Mitglied: cheshunt
05.10.2010 um 09:09 Uhr
Ist doch nicht so einfach, oder ich mach was falsch. Habe die Kommandos in die Konsole getippt und alles entsprechend verkabelt. Danach waren beide Netzwerk nicht mehr mit dem Internet verbunden! Wo liegt der Fehler?
Bitte warten ..
Mitglied: dog
05.10.2010 um 18:31 Uhr
Ja, aber ich habe gestern nachgelesen und so wie es aussieht passiert die Entscheidung, welches Gerät aufnehmen darf auf den Telekom-Servern.
In so einem Fall hast du keine Chance (außer du bist ein guter Programmierer )
Bitte warten ..
Mitglied: cheshunt
06.10.2010 um 14:12 Uhr
Das bin ich leider nicht! Danke für die Info! Werde das Gerät dann als Switch mißbrauchen, vielleicht brauche ich es doch irgendwann!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
Zugriff auf Netzwerk ohne public-IP (14)

Frage von tr1plx zum Thema Router & Routing ...

Windows Server
Kein Zugriff auf Netzwerk-Unterordner - trotz Berechtigung?! (4)

Frage von ordi303 zum Thema Windows Server ...

LAN, WAN, Wireless
Kein Zugriff im Netzwerk auf externe Festplatte (2)

Frage von achklein zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...