7
2 Subnetze, 1x Vigor 2910G und VPN, kein Routing zw. den Subnetzen möglich? Alternativen?
Hallo Gemeinde, ich habe ein kleines Problem. Ich habe ein Netzwerk mit 2 Subnetzen in einem LAN unter mir. Das Subnetz 192.168.16.0 ist für die Rechner und das Subnetz 192.168.15.0 ist für die IP-Telefonanlage. Bis vor einer Woche lief dort als Router ein Linksys AG241 v2 welcher mit Hilfe vom erweiterten Routing zwischen den Beiden Netzen vermitteln konnte. Nun sind wir auf einen SDSL Anschluss umgestiegen um Aussenstandorte mittels Site to Site VPN untereinander zu vernetzen. Jetzt habe ich mir einen Draytek Vigor 2910G geholt, weil dieser in einem CT Test mit sehr gut bewertet wurde. Wie ich aber feststellen musste, können die Draytekrouter der "niedrigeren" Preisklasse kein Subnetz-Routing (ist der Begriff eigentlich Richtig?) Nun bekomme ich es zwar hin die Standorte Rechnerseitig zu vernetzen, aber die IP-Telefone im anderen Netz werden ja nicht durchgeroutet. Welche Router können denn soetwas bzw. wie kann ich das realisieren, dass über eine VPN-Verbindung Rechner und Telefonie mit dem Hauptstandort verbunden werden können.
Ich hoffe ihr versteht mich ;)
MfG
Ich hoffe ihr versteht mich ;)
MfG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 162246
Url: https://administrator.de/contentid/162246
Printed on: April 23, 2024 at 10:04 o'clock
7 Comments
Latest comment
Am einfachsten ist ein zusätzlicher WRT54 oder ein Mikrotik 350 z.B. der das VLAN Routing macht.
Hier kannst du alle Optionen sehen die du hast:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Normalerweise rennt die Telefonie (VoIP) auch problemlos über ein VPN bzw. auch über geroutete IP Netze. Das ist ja gerade der tiefere Sin von VoIP das man IP unten drunter hat um das alles machen zu können.
Vermutlich hast du also nur einen Konfig Fehler begangen, denn auch der Draytek routet VoIP über sein VPN problemlos.
Was das VLAN Routing lokla anbetrifft hat er allerdings ein Problem, was aber ein kleiner 30 Euro Zusatzrouter wie oben problemlos fixen kann um alle deine Anforderungen zu lösen !
Hier kannst du alle Optionen sehen die du hast:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Normalerweise rennt die Telefonie (VoIP) auch problemlos über ein VPN bzw. auch über geroutete IP Netze. Das ist ja gerade der tiefere Sin von VoIP das man IP unten drunter hat um das alles machen zu können.
Vermutlich hast du also nur einen Konfig Fehler begangen, denn auch der Draytek routet VoIP über sein VPN problemlos.
Was das VLAN Routing lokla anbetrifft hat er allerdings ein Problem, was aber ein kleiner 30 Euro Zusatzrouter wie oben problemlos fixen kann um alle deine Anforderungen zu lösen !
Hallo, vielen Dank für die Antwort, dass Problem bei deiner Lösung ist, dass du VLAN-Switche vorraussetzt, die ich nicht habe, sondern nur "normale" PoE Switsche von Intellinet die keine VLAN beherrschen. Die beiden Subnetze laufen auch über ein gemeinsames physisches LAN. Das muss doch auch mit NAT oder internem Routing gehen bei einem Router. Der Vigor 2910G kann nur mit statischen Routen auf andere Router zeigen. Somit würde ich noch 2 weitere Router benötigen.
Also im Handbuch steht unter 3.2.2 im Bild auf Seite 32 alles was du willst...
Das Routing der beiden Subnetze über VPN muss ohnehin der Router am Remote-Standort machen (Seite 78).
Das Routing der beiden Subnetze über VPN muss ohnehin der Router am Remote-Standort machen (Seite 78).
Wie bereits erwähnt, benötige ich dann noch 2 weitere Router pro VPN-Seite, das ist schlichtweg nicht praktikabel. Mal sehen, ob ich ein Bild meiner LAN-Situation hier hochgeladen bekomme, um es zu verdeutlichen, aber mir scheint, dass es wohl nicht so einfach ist. MfG
Beide Subnetze über eine gemeinsame Infrastruktur laufen zu lassen ist ein ziemlicher IP Designfehler der eher von Unkenntniss im IP Design zeugt denn von sinnvollem Netzdesign, sorry aber das ist ein laienhafter NoGo und das Problem ist schon ganz woanders.... !
Um das abzubilden benötigst du einen Router der sog. IP Secondary Interfaces auf dem LAN Port supportet also 2 gültige IP Adressen pro LAN Port um zwischen diesen Subnetzen auf einem Draht routen zu können.
Billige Consumer Systeme können das nicht aber jeder einfache Cisco Router ! Wenn du dir also einen billigen Cisco 831, 1700er, usw. von eBay besorgst dann kannst du das Problem mit einer simplen Konfig Zeile in 5 Minuten zufriedenstellend lösen.
Ansonsten bleibt dir nur der Umweg die Netze auf getrennten Switches zu bedienen oder VLAN fähige Switches zu verwenden, da der Kardinalsfehler schon im falschen Design gemacht wurde ! Alternativ Telefone und Restnetz in ein gemeinsames IP Netz zu bringen. Aus Sicherheitssicht aber fragwürdig, da dann mit einfachsten Tools die Gespräche abhörbar sind, was allerdings in deinem jetzigen Design auch problemlos möglich ist, deshalb bringt man Voice ja auch immer in einer VLAN Infrastruktur unter zumal diese Switches heute nicht mehr kosten.
Aber das Kind ist ja bei dir schon in den Brunnen gefallen...
Um das abzubilden benötigst du einen Router der sog. IP Secondary Interfaces auf dem LAN Port supportet also 2 gültige IP Adressen pro LAN Port um zwischen diesen Subnetzen auf einem Draht routen zu können.
Billige Consumer Systeme können das nicht aber jeder einfache Cisco Router ! Wenn du dir also einen billigen Cisco 831, 1700er, usw. von eBay besorgst dann kannst du das Problem mit einer simplen Konfig Zeile in 5 Minuten zufriedenstellend lösen.
Ansonsten bleibt dir nur der Umweg die Netze auf getrennten Switches zu bedienen oder VLAN fähige Switches zu verwenden, da der Kardinalsfehler schon im falschen Design gemacht wurde ! Alternativ Telefone und Restnetz in ein gemeinsames IP Netz zu bringen. Aus Sicherheitssicht aber fragwürdig, da dann mit einfachsten Tools die Gespräche abhörbar sind, was allerdings in deinem jetzigen Design auch problemlos möglich ist, deshalb bringt man Voice ja auch immer in einer VLAN Infrastruktur unter zumal diese Switches heute nicht mehr kosten.
Aber das Kind ist ja bei dir schon in den Brunnen gefallen...
Vielen Dank für deine Antwort, aber zu meiner Verteidigung muss ich sagen, dass der Mist nicht auf meinen Schultern gewachsen ist, sondern eine Ebene über mir. Dass passiert, wenn der IT-Verantwortliche bei Verhandlungsgesprächen aussen vorgelassen wird und ich es dann im nachhinein ausbügeln muss. Andererseit hätten diejenigen, die VoIP vertreiben, bei Ihrer IP-Vergabe darauf achten müssen. VLAN-Switche mit PoE sind dann aber doch ein ganzes Stück teurer als gedacht. Eventuell designe ich die Infrastruktur noch um und baue VLAN-Netze auf bzw. Trenne die Netze physisch. Wie es mir scheint, komme ich um einen Routerneukauf ohnehin nicht herum. Also erstmal vielen Danke für die kritischen Worte und die Anregung. Darf ich fragen, wo du dir dein Wissen angeeignet hast?. Wie würde ein korrekt aufgebautes Netz mit IP-Adressen aussehen?
Den Fehler hast dann aber du gemacht das du trotz besserem Fachwissen diesem Chaos Design stillschweigend zugestimmt hast statt laut zu protestieren.
Aber egal...das Kind ist eh in den Brunnen gefallen. Kann man nur hoffen das du beim nächsten Mal mit am Tisch sitzt und auch den VoIP Heinis die das verbockt haben auf die Finger haust. Fachleute waren das wahrlich nicht !!
Mit der VLAN Trennung bist du aber auf dem richtigen Weg. Das wäre ein erster vernünftiger Schritt. Physische Trennung ist auch OK aber nicht optimal, da das wieder 2 getrennte Infrastrukturen erfordert. Huetzutage macht man das sinnvollerweise mit VLANs, denn VLAN Switches kosten nicht wirklich viel mehr als welche ohne.
PoE wäre nicht zwingend aber besser um die Verfügbarkeit der Telefone zu erhöhen und dich von dem Gefrickel mit Steckernetzteilen zu befreien.
Wenn du einen fachkundigen "IT-Verantwortlichen" hättest hätte er das schon längst gemacht und nicht sinnlos Geld mit so einem Gefrickel wie oben verbrannt.
Ein Korrekt aufgebautes Netz würde so aussehen, das du 2 VLAN erzeugst wo eins den Voice Traffic bedient und eins das normale lokale LAN. Die Standort Kopplung kann man dann mit den oben zitierten Draytek Systemen mit einer LAN zu LAN Kopplung machen. Auch Darüber lässt sich vollkommen problemlos SIP und RTP übertragen (von IP für Voice benutzte Protokolle) so das auch eine remote Anbindung von VoIP Telefonen an eine zentrale VoIP Anlage wie Asterisk etc. absolut problemlos mit preiswerten Mitteln möglich ist.
Sowas wird tausendfach in kleinen Offices so umgesetzt und ist ein billiges Standarddesign.
Zugegeben, die meisten wissen oft nicht was VLANs sind und hauen Voice und LAN zusammen in ein IP Netz. Dann aber wenigstens , im Gegensatz zu dir, mit einer gemeinsamen IP Adresse. Rechtlich ist sowas bedenklich, denn dann kann jeder im Netz mit Paket Sniffern problemlos sämtliche Telefongespräche belauschen. Aus rechtlicher Sicht mehr als grenzwertig...
Aber egal...das Kind ist eh in den Brunnen gefallen. Kann man nur hoffen das du beim nächsten Mal mit am Tisch sitzt und auch den VoIP Heinis die das verbockt haben auf die Finger haust. Fachleute waren das wahrlich nicht !!
Mit der VLAN Trennung bist du aber auf dem richtigen Weg. Das wäre ein erster vernünftiger Schritt. Physische Trennung ist auch OK aber nicht optimal, da das wieder 2 getrennte Infrastrukturen erfordert. Huetzutage macht man das sinnvollerweise mit VLANs, denn VLAN Switches kosten nicht wirklich viel mehr als welche ohne.
PoE wäre nicht zwingend aber besser um die Verfügbarkeit der Telefone zu erhöhen und dich von dem Gefrickel mit Steckernetzteilen zu befreien.
Wenn du einen fachkundigen "IT-Verantwortlichen" hättest hätte er das schon längst gemacht und nicht sinnlos Geld mit so einem Gefrickel wie oben verbrannt.
Ein Korrekt aufgebautes Netz würde so aussehen, das du 2 VLAN erzeugst wo eins den Voice Traffic bedient und eins das normale lokale LAN. Die Standort Kopplung kann man dann mit den oben zitierten Draytek Systemen mit einer LAN zu LAN Kopplung machen. Auch Darüber lässt sich vollkommen problemlos SIP und RTP übertragen (von IP für Voice benutzte Protokolle) so das auch eine remote Anbindung von VoIP Telefonen an eine zentrale VoIP Anlage wie Asterisk etc. absolut problemlos mit preiswerten Mitteln möglich ist.
Sowas wird tausendfach in kleinen Offices so umgesetzt und ist ein billiges Standarddesign.
Zugegeben, die meisten wissen oft nicht was VLANs sind und hauen Voice und LAN zusammen in ein IP Netz. Dann aber wenigstens , im Gegensatz zu dir, mit einer gemeinsamen IP Adresse. Rechtlich ist sowas bedenklich, denn dann kann jeder im Netz mit Paket Sniffern problemlos sämtliche Telefongespräche belauschen. Aus rechtlicher Sicht mehr als grenzwertig...
