Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Adressraum IP-Adressen erweitern

Frage Netzwerke

Mitglied: Coreknabe

Coreknabe (Level 2) - Jetzt verbinden

11.12.2009, aktualisiert 18.10.2012, 12736 Aufrufe, 16 Kommentare

Hallo,

wir haben ein privates C-Klasse Netz (192.168.100.xxx) mit Subnetzmaske 255.255.255.0. Jetzt werden die IP-Adressen knapp und ich möchte weitere IP-Adressen zur DHCP-Vergabe ermöglichen.

Im Hintergrund werkelt eine Securepoint-Firewall, die auch fürs Routing zuständig ist. Im Netz befinden sich zwei Windows 2003-DHCP-Server, auf einem 2008er würde ich einen weiteren Server mit den "neuen" Adressen einrichten. Internes Gateway ist die FW mit 192.168.100.4.

Jetzt stehe ich maximal auf dem Schlauch, habe schon einiges nachgelesen, hilft aber alles nur minimal weiter, für mich zumindest.

Frage ich einfach mal so in den Raum:
Kann ich ohne Änderung der Subnetzmaske weitere Adressen vergeben?
Muss die Firewall nachkonfiguriert werden?
Welches Gateway würde dann als Standard für alle Clients im Netz gelten?

Wenn ich manuell einem Windows-Client beispielsweise die 192.168.10.79 vergebe, kann ich das interne Gateway anpingen. Nicht jedoch andere Clients im Netz.

Sind wahrscheinlich ziemlich blöde Fragen, sorry. Leider sind Netzwerke nicht so mein Fachgebiet, bitte also um Nachsicht!
Mitglied: TsukiSan
11.12.2009 um 14:54 Uhr
Wenn ich manuell einem Windows-Client beispielsweise die 192.168.10.79 vergebe, kann ich das interne Gateway anpingen.
nein, kannst du nicht, solange die SubNet in deinem Fall auf 255.255.255.0 steht.
Bitte warten ..
Mitglied: maretz
11.12.2009 um 15:04 Uhr
[quote]
Muss die Firewall nachkonfiguriert werden?
[/quote]

Wenn du änderungen am IP-Bereich vornimmst kann man mit zimlicher Sicherheit (und ohne genau zu wissen was du hast) sagen: JA, die muss angepasst werden!
Bitte warten ..
Mitglied: dog
11.12.2009 um 15:06 Uhr
wir haben ein privates C-Klasse Netz (192.168.100.xxx) mit Subnetzmaske 255.255.255.0.

Vergiss mal das Class C - das ist irrelevant.

Kann ich ohne Änderung der Subnetzmaske weitere Adressen vergeben?

Ohne Änderung bei den Clients? Ja
Ohne Änderung am Server? Nur wenn du die Clients abwechselnd benutzt

Dabei gilt natürlich folgende Regel:
  • Clients müssen nicht untereinander kommunizieren
  • Alle müssen mit dem Server kommunizieren
  • Der Server muss mit allen kommunizieren

Die bisherigen Clients behalten /24, die Server bekommen /16 und die neuen Clients eine Maske bei der sie im selben Subnet wie die Server sind.

Grüße

Max
Bitte warten ..
Mitglied: Coreknabe
11.12.2009 um 15:30 Uhr
Das ging aber fix, danke!

Was ich vergessen hab: Alle Rechner im privaten Netz sind im Netz 192.168.100.1/16. Genug Adressen sind also da.

Vielleicht habe ich das Ausmaß meiner Dummheit noch nicht deutlich genug rübergebracht, deshalb noch mal gezieltere Fragen:
- Welchen IP-Kreis kann ich am Einfachsten ohne Änderung der Subnetzmaske verwenden? 192.168.10.x?
- Was muss ich dann an der Firewall-Konfiguration ändern? Zusätzliche IP auf das GW-Interface?
- Welches Gateway trage ich dann auf den Windows-Clients ein? Was gilt für die internen DNS-Server?
Bitte warten ..
Mitglied: onkel-ossi
11.12.2009 um 15:49 Uhr
Hallo Coreknabe,

Folgende Konfig sollte klappen:
IP-Adressen der Clients: 192.168.100.xxx und 192.168.101.xxx
Keine Änderung an der Firewall
Gateway bleibt für alle Rechner (auch die neuen) gleich
Alle Rechner hängen im gleichen physikalischen Netz (also nicht durch die Firewall geroutet)

wie Dog geschrieben hat:
Die bisherigen Clients behalten /24, die Server bekommen /16 und die neuen Clients
eine Maske bei der sie im selben Subnet wie die Server sind.

D.h.: Die Subnetzmaske der Server wird geändert: von 255.255.255.0 auf 255.255.0.0

So habe ich es verstanden, vielleicht ist aber auch meine Ahnungslosigkeit grenzenlos

Gruß
Thomas
Bitte warten ..
Mitglied: Coreknabe
11.12.2009 um 16:05 Uhr
Hi Thomas,

so habe ich das auch versucht. Resultat: Die FW lässt sich vom Client anpingen, ich komme mit dem Client aber weder ins lokale Netz, also kein Kontakt zu anderen Clients, Internet funktioniert auch nicht. Und: Ist ein Windows 7-Client, wenn ich die Änderung vornehme, meckert er:

Warnung - Mehrere Standardgateways bieten Redundanz für ein einzelnes Netzwerk (wie z.B. ein Intranet oder das Internet). Die Standardgateways funktionieren nicht richtig, wenn sie sich auf zwei separaten Netzwerken befinden (ein Gateway im Intranet und das andere im Internet). Soll diese Konfiguration gespeichert werden?

--> Ja

Folgendes habe ich eingetragen: IP 192.168.101.79, GW 192.168.100.4, DNS1 192.168.100.12, DNS2 192.168.100.3. Netz ist FW-seitig für alle Clients inkl. Server 192.168.100.1/16
Bitte warten ..
Mitglied: onkel-ossi
11.12.2009 um 16:43 Uhr
Zitat von Coreknabe:
Folgendes habe ich eingetragen: IP 192.168.101.79, GW 192.168.100.4, DNS1 192.168.100.12, DNS2 192.168.100.3. Netz ist FW-seitig
für alle Clients inkl. Server 192.168.100.1/16


damit meinst du sicher das Subnetz steht auf 255.255.255.0, oder?

zweite Frage: Hat die Firewall auch die passende Einrichtung, oder ist dort eine andere Subnetzmaske eingerichtet?
Bitte warten ..
Mitglied: Coreknabe
11.12.2009 um 16:54 Uhr
Ist richtig, Subnetz 255.255.255.0, Firewall gibt dies vor.

Hab jetzt mal auf dem Client mit der neuen IP im Firefox die FW als Proxy eingetragen, was vorher nicht nötig war. Ich komme jetzt mit diesem Rechner ins Internet... Ist aber als transparenter Proxy auf der FW eingerichtet, daran dürfte das doch also eigentlich nicht scheitern?!?
Bitte warten ..
Mitglied: aqui
11.12.2009, aktualisiert 18.10.2012
Mmmhhh, eins ist nicht ganz klar oben gibst du an du hast eine 24 Bit Subnetzmaske und unten dann mit einmal eine 16 Bit Maske.
Klar kann man mit CIDR dem klassischen Class C Netz eine 16 Bit Maske überstülpen aber oft ist das gefährlich da diverse Endgeräte mit solchen CIDR masken nicht umgehen können und du bekommst noch erheblich mehr Probleme.
Diesen Weg solltest du eher vergessen.
Mit 2 unterschiedlichen IP Adressen auf einem Draht zu arbeiten ist auch kontraproduktiv, da du so immer auf dem selben kabel routen müsstest und langfristig mit ICMP Probleme bekommst.
Fazit: Nun wirst du von einem dummen Planungs- und Designfehler eingeholt weil du vermutlich vorher nicht nachgedacht hast.
Der RFC 1918 der uns die privaten_IP_Netze bietet, wie du sicherlich selber weisst, mit den 172er Adressblöcken diverser Class B Netze und ein 10er Netz Class A Netz, was mit einer 16er Maske z.B. auch als Class B z.B. subnetbar ist.
Leider bist du wie so viele hier dem banalen 192.168er Class C Wahn verfallen ohne mal etwas über den Tellerrand zu schauen...

Um das Elend abzukürzen: Generell kann man dir nur empfehlen den Sprung ins kalte Wasser zu machen und z.B. übers Wochenende dein IP Netz umzustellen auf z.B. eine Class C Netz wie 172.32.0.0 /24 z.B.
Gerade wenn du den Clients IPs per DHCP verteilst ist das eine schnelle Sache und mit ein paar Mausklicks erledigt..

Kannst du das nicht aus welchem Grund auch immer, solltest du ein neues IP Netzsegement mit einem Router oder Layer 3 Switch ankoppeln. Wenn du VLAN fähige Switches hast ist das im Handumdrehen eingerichtet. Viele Routing HowTos wie diese helfen dir dabei:
http://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...
http://www.administrator.de/wissen/vlan-routing-%c3%bcber-802.1q-trunk- ...
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Ggf. nutzt du einen Layer 3 fähigen Switch dafür, dann kannst du ein weiteres Subnez problemlos ohne großen Aufwand in dein vorhandenes IP Netz integrieren.
Bitte warten ..
Mitglied: onkel-ossi
11.12.2009 um 17:10 Uhr
Wenn die Firewall das so vorgibt, ist der von aqui beschreibene Weg sicher der beste (wenn auch aufwendigere).

Schönes Wochenende
Thomas
Bitte warten ..
Mitglied: Coreknabe
11.12.2009 um 17:24 Uhr
Vielen Dank, aqui!

Um Deine Verwirrung etwas zu lüften: Ne, ich habe nirgends behauptet, dass ich ne 24 Bit-Maske habe, das waren die freundlichen Helfer hier :-P

Das ganze Netzwerk habe ich hier so übernommen, das haben clevere Planer eingerichtet. Aber wie gesagt, ich bin nicht der Netzwerkprofi, so dass ich das wenig beurteilen kann. Was ich an Deinem Vorschlag nicht ganz verstehe, was ändert es, wenn ich ein anderes Netz als das 192.168.x verwende? Kannst Du mir das bitte näher erläutern?

Ansonsten verschwinde ich jetzt mal ins Wochenende, mir dröhnt etwas die Birne... Euch allen ein schönes Wochenende, ich bin für weitere Anregungen dankbar!
Bitte warten ..
Mitglied: aqui
11.12.2009 um 17:36 Uhr
Lies dir das Wiki hier durch:
http://de.wikipedia.org/wiki/IP-Adresse
bzw.
http://de.wikipedia.org/wiki/Netzklasse was es etwas genauer erklärt !
Dann kannst du deine Frage selber beantworten. Nur soviel:
192.168.x ist eigentlich eine feste Class C IP Adresse durch den festen Präfix 110... in den ersten Bits.
Damit behandeln viele TCP/IP Stacks auf Endgeräten dieses IP Netz immer wie ein Class C Netz.
Wenn du diesem nun zwangsweise eine CIDR Subnetzmakse verpasst von 16 Bits tust du ja so als ob es eine Class B Adresse wäre die aber fest einen Präfix 10... in den ersten Bits hätte. Damit kommen wie gesagt sehr sehr viele Endgeräte nicht klar weil sie eben keine CIDR Masken supporten und du so einen Präfix Mismatch zur verwendeten Subnetzmaske hättest.
Jetzt stell dir das Tohuwabohu bei dir vor von Geräten die es können und die es nicht können wenn du das machst. Wie willst du sowas noch troubleshooten...?? Mehr muss man wohl nicht sagen ?!
Bitte warten ..
Mitglied: dog
11.12.2009 um 21:04 Uhr
CIDR gilt ja nun schon seit 93 und ich habe bisher auch noch kein Gerät gesehen, was damit in irgendeiner Weise Probleme gehabt hätte.
Welche kennst du denn, aqui?

Grüße

Max
Bitte warten ..
Mitglied: Coreknabe
14.12.2009 um 10:12 Uhr
Ich wieder!

Hoffe, Ihr hattet ein schönes Wochenende!

Zum Thema CIDR: Bin da recht verunsichert, habe auch mit unserem Firewall-Lieferanten Securepoint gesprochen, dort sind keine entsprechenden Probleme bekannt... Ich will mich da nicht aus dem Fenster lehnen, weil ich da wenig Ahnung von habe. Deshalb mal eine Frage an Alle: Wie sind Eure Erfahrungen / Meinungen?

Aktueller Stand ist, dass es mit diesen Einstellungen grundsätzlich funktioniert:
- Keine Änderung an der Firewall
- Vorhandenes Netz intern: 192.168.100.xxx
- Subnetzmaske für alle: 255.255.0.0
- Erweiterung Adressraum auf 192.168.101.xxx

Nun die Einschränkung: Es geht grundsätzlich, bis auf die Tatsache, dass ich bei den alten Adressen 192.168.100.xxx keinen Proxy im Browser einstellen muss, um ins Internet zu gelangen. So weit, so logisch, weil transparenter Proxy auf der FW... Bei den neuen Adressen 192.168.101.xxx hingegen MUSS ich einen Proxy angeben. Nicht gerade praktikabel, wie kann ich das umgehen?
Bitte warten ..
Mitglied: aqui
14.12.2009 um 12:33 Uhr
Indem du lokal auf dem Draht zwischen dem .100er und dem .101er Netz rotest wenn du beiden eine 24 Bit Maske gegeben hast.
Wie oben bereits gesagt, das ist eine nicht standardkonforme Frickelei.
Besser du integrierst noch ein separates Segment in der FW oder routest sauber zwischen beiden IP Netzen, dann hast du auch kein Problem mehr mit der Proxy Einstellung...oder entschliesst dich sauber auf ein Class B Netz zu gehen !! Dann sowieso nicht mehr !
Bitte warten ..
Mitglied: Coreknabe
14.12.2009 um 12:51 Uhr
Auch auf die Gefahr hin, dass ich mich wiederhole... Ich habe keine 24 Bit-Maske vergeben, sondern eine 16er... Und ich habe auch nirgends behauptet, dass es eine 24er-Maske ist...

Nachdem mir niemand glaubhaft darlegen konnte, welche Probleme es denn mit dem 192.168.xxx.xxx-Segment geben könnte (Praxis !), lösen wir das jetzt folgendermaßen:

Wie von aqui vorgeschlagen, separates Segment auf FW, plus Routing zwischen beiden Netzen.

Danke an Euch alle!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
SAN, NAS, DAS
gelöst QNAP TS-453U - drei IP-Adressen für iSCSI , SMB , Management (2)

Frage von caspi-pirna zum Thema SAN, NAS, DAS ...

SAN, NAS, DAS
QNAP Installationsproblem wenn der Client mehre statische IP-Adressen hat (6)

Erfahrungsbericht von StefanKittel zum Thema SAN, NAS, DAS ...

Sicherheit
Mirai-Botnetz: Dyn bestätigt Angriff von zig-Millionen IP-Adressen

Link von runasservice zum Thema Sicherheit ...

Ubuntu
gelöst Amavis Whitelist IP-Adressen

Frage von runasservice zum Thema Ubuntu ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...