Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage zur Verbindung von zwei Netzwerken....

Frage Netzwerke Netzwerkgrundlagen

Mitglied: rock4k

rock4k (Level 1) - Jetzt verbinden

12.08.2008, aktualisiert 14.08.2008, 4836 Aufrufe, 14 Kommentare

Hallo an alle,

ich hoffe auf eure Unterstützung und habe folgendes Problem:

Schon einige Zeit arbeiten wir mit zwei Netzwerken, bedingt duch zwei Firmenstandorte. Nun haben wir seit heute eine Standleitung bekommen und möchten diese beiden Netzwerke miteinander verbinden. Beide Netze müssen aufeinander zugreifen können.

Die Konstellation:
Netz 1 -> IP 10.0.0.* mit SUB 255.0.0.0 -> + DSL Zugang (Gateway)
Netz 2 -> IP 192.168.178.* mit SUB 255.255.255.0 -> + DSL Zugang (Gateway)

Die Standleitung verhält sich wie eine Ethernet-Verbindung und funtioniert einwandfrei. Da es für uns das erste mal ist, verschiedene Netze "zusammenzubringen" war die erste Idee mit einem Router. Die hat leider mit 4 verschiedenen Geräten nicht funktioniert, da die T-Com Endgeräte 100Mbit/Fullduplex als fest eingestellt brauchen. Die sog. WAN-Ports an den Routern konnten bei keinem der Geräte auf 100Mbit/Fullduplex fest eingestellt werden. Deshalb verweigerte das T-Com Geräte bei drei Routern die Kommunikation mit dem WAN-Port.

Müssen wir wirklich einen Rechner mit 3 Netzwerkkarten benutzen, um das Routing bzw. die Bridge zu bilden? Macht das ein Router nicht auch?
Wie realisieren wir, dass bestimmte Anfragen in das andere Netz geroutet und die Anfragen in das Internet auch in das Internet entsprechend geroutet werden?

Noch etwas anderes:
Wir haben bisher in jedem Netz jeweils eine Hardware-Firewall (z.B. Firebox Watchguard) für den DSL-Zugang eingesetzt. Meine Frage dazu ist auch, ob so eine Firewall in der Lage ist zu routen?

Vielen Dank für eure Unterstützung und Lösungen.

Grüße Mario
Mitglied: uebeltat
12.08.2008 um 22:22 Uhr
Wenn du auf beiden Seiten eine Watchguard hast, kannst du damit ein VPN realisieren, welches die beiden Netze verbindet... So gehen Anfrage aus dem 192er Netz zum 10er Netz über VPN und alles was keine 10 am Anfang hat ins Internet... Und genau so ist es umgekehrt...

Hast du 2 Watchguard-Firewalls?
Bitte warten ..
Mitglied: SnowStar
12.08.2008 um 22:44 Uhr
Wenn der Router das kann, dann heisst der entsprechende Menüpunkt statische Routen, das kann jeder einfache Netgear Router, also wirst du da sicher fündig.
Jedes Windows kann das auch, hier heisst der Befehl "route".

Als Zieladresse für IPs im anderen Netz muss jeweils der Router des anderen Netzes angegeben werden.
01.
route add 10.0.0.0 255.0.0.0 <IP des 10.0.0.0 Routers> 
02.
 
03.
route add 192.168.178.0 255.255.255.0 <IP des 192.168.178.0 Routers>
Wenn mich mal nicht alles täuscht - bin in dem Fall nicht sehr gut auf Windows ;) Eventuell kann das ja noch wer ergänzen.
Bitte warten ..
Mitglied: spacyfreak
13.08.2008 um 06:37 Uhr
Ich hätts wohl so gemacht:

Auf beiden Seiten S-DSL mit fester IP Adresse.
Auf beiden Seiten ein VPN Gateway hinstellen (z. B. Cisco PIX)
Durch Access Listen ("Interesting Traffic") kann man definieren, welcher Traffic in den Tunnel zum anderen Standort gehen soll, und welcher Traffic unverschlüsselt ins Internet soll.

Das ist die klassische Variante - einfach, günstig und stabil.
Bitte warten ..
Mitglied: rock4k
13.08.2008 um 08:17 Uhr
Die Lösung mit den Firewalls haben wir uns ebenfalls gedacht. Also wir haben eine Zyxel ZyWall 5 und eine Firebox Watchguard 700.
Diese haben wir bisher für die jeweils anliegenden DSL Anschlüsse verwendet, auch um einen VPN Tunnel über das DSL zu realisieren.

Unsere Überlegung ging dahin, dass wir die Firewalls weiterhin für beides nutzen können. Also für DSL und Standleitung. Wobei wir noch gern den VPN-Tunnel auf der Standleitung hätten.

Noch eine andere Frage: Die Firewalls haben doch mehrere Ports, können die auf alles "routen" was da angesteckt wird? Oder ist die funktionsweise eher wie bei einem Router. z.B. 5 Ports werden auf den 1 Port Firewall out geroutet?


Wie gesagt, mit normalen Routern hat es nicht funktioniert, weil es einfach an der technischen Seite liegt. Bei keinem der Router konnte der WAN-Port fest auf 100Mbit/Fullduplex mit Autosensing = off eingestellt werden. Diese Einstellung brauch die Box der T-Com. Deshalb fand keine Kommunikation zwischen dem Router und der T-Com Box statt.
Bitte warten ..
Mitglied: wiesi200
13.08.2008 um 08:30 Uhr
Ich würde das auch mit einer Cisco Pix bzw. einer ASA machen.
Komisch das das die T-Com nicht hinkiregt. Wir haben soetwas von denen Bezogen und haben keine Probleme damit.
Bitte warten ..
Mitglied: SnowStar
13.08.2008 um 08:40 Uhr
Unsere Anbindung hier im Haus ist auch durch die T-Com geschaltet.
Im Endeffekt haben wir auf beiden Seiten eine 0 8 15 Ethernet Buchse, die geschaltene Leitung verhält sich nicht anders wie ein langes Kabel.
Zugriffe von aussen sind da nicht möglich.

Wüsste also nicht, wo da das Problem sein soll (nur weil ich gerade die ganzen Diskussionen um sonstwelche Hardware sehe).
Die Hardware die vorhanden ist reicht doch völlig aus, wenn er einfache statische Routen setzen kann.

Vielleicht sollten sich die Antworten ein bisschen mehr in diese Richtung bewegen, statt "also ich hätte ja ... gekauft und ... gemacht" - schließlich soll ja geholfen werden beim aktuellen Stand der Technik das Problem zu lösen (auch wenn es sicher bessere Lösungen gibt).
Bitte warten ..
Mitglied: uebeltat
13.08.2008 um 08:55 Uhr
Noch eine andere Frage: Die Firewalls haben doch mehrere Ports, können die auf alles "routen" was da angesteckt wird? Oder ist die funktionsweise eher wie bei einem Router. z.B. 5 Ports werden auf den 1 Port Firewall out geroutet?

Die Watchguard kann das, du kannst ja für jeden Port individuell festlegen was er macht... du könntest damit auch 5 DSL-Anschlüsse auf 1 LAN legen... Und dann Traffic-Shaping... Ist sicher ganz lustig, wie schnell das dann geht

Ob die Zyxwl das kann weiß ich leider nicht... Gehe aber mal davon aus...
Bitte warten ..
Mitglied: wiesi200
13.08.2008 um 09:04 Uhr
@SnowStar
Schon einmal mit dem Wort SICHERHEIT auseinander gesetzt?
Bitte warten ..
Mitglied: SnowStar
13.08.2008 um 11:27 Uhr
Siehe oben - Zugriff von aussen ist nicht möglich (bei uns, sein Konfiguration kenne ich ja nicht!).

Das er mit jetziger Hardware wohl keine Verschlüsselung nutzen kann, steht ja wieder auf einem anderen Blatt.

Zudem gehe ich davon aus, dass er das nicht ausser Acht lässt.

Finde es nur ein bißchen Schade, dass eben über sonstweitige (nicht gerade kostengünstige) Lösungen diskutiert wird, die möglicherweise garnicht in Frage kommen.

Klinke mich an dieser Stelle dann mal aus ;)
Bitte warten ..
Mitglied: wiesi200
13.08.2008 um 18:33 Uhr
Siehe oben - Zugriff von aussen ist nicht möglich (bei uns, sein Konfiguration kenne ich ja nicht!).

Irgendwie muss der Zugriff auch geschutzt sein, soetwas passiert nicht von alleine. Und das kann z.b. die Pix/ASA übernehmen und das relativ gut.
Und wie du schon erkannt hast werden bei deiner Lösung die Daten unverschlüsselt gesendet und dann bringst dir so gut wie überhaupt nichts wenn du den zugriff von aussen auf das interne Netz blockierst. Du hast dann eine massive Sicherheitslücke.

Und die kleinste ASA kostet wie ich mich erinnere um die 200€. Das ist noch für ne Firma bezahlbar. Da ist es teurer eine PC dafür abzustellen
Bitte warten ..
Mitglied: uebeltat
13.08.2008 um 18:57 Uhr
ich glaube ihr 2 redet an einander vorbei
Bitte warten ..
Mitglied: rock4k
14.08.2008 um 10:05 Uhr
Also... erst einmal Danke an alle, die versucht haben mich zu unterstützen. So habe ich auf ein paar Fragen (für mein besseres Verständnis) richtige Antworten erhalten.

Doch wie SnowStar schon richtig meint, ist es nicht sehr hilfreich, wenn als Antwort kommt:
"Ich hätts wohl so gemacht:" oder "Ich würde das auch mit einer Cisco Pix bzw. einer ASA machen."

Das hilft einem überhaupt nicht weiter. Da es mein erster Post in diesem Forum ist,
hat man das Gefühl als würden hier Produkte einer bestimmten Marke angepriesen.
(ein Schelm, wer böses dabei denkt...)

Aber was nützt mir das? Selbst wenn wir diese Geräte bestellt hätten, dann wäre wieder eine
Woche in's Land gegangen mit einer ungenutzten Standleitung.

Und SnowStar hat auch recht, dass die vorhandene Hardware vollkommen ausreicht. Das haben wir gestern abend umgesetzt.
Und zwar so:

Die Verbindung sieht detailliert so aus:

Netz1 <-> Firebox Watchguard <-> DMZ <-> T-Com1 <-> T-Com2 <-> DMZ <-> Zyxel ZyWall <-> Netz2
(alles über VPN Tunnel)

und Netz1 <-> Firebox Watchguard -> DSL
und Netz2 <-> Zyxel ZyWall -> DSL

So und nun funktioniert hier alles bestens mit sicherem VPN Tunnel. Die Kommunikation der Firewalls findet extra noch in einem DMZ statt.
Was will man mehr?

Wir haben jetzt zwischen den zwei Standorten einen Ping von 7ms.
Danke noch mal für euren Beistand. Bis denn....

Grüße Mario
Bitte warten ..
Mitglied: wiesi200
14.08.2008 um 19:44 Uhr
Naja ich würd nicht sagen das man was anpreist sonder man schreibt von dem was man selbst im Einsatz hat und weis das es funktioniert.

Und das man nur eine Statische Route setzten kann stimmt zwar. Aber das ist eine Lösung die man so nicht empfehlen kann da es einfach Sicherheitstechnisch gelinde gesagt sehr unüberlegt ist.

Das mit dem VPN Tunnel ist aber eine gute Lösung und eigentlich nichts anderes was die Cisco macht.
Bitte warten ..
Mitglied: spacyfreak
14.08.2008 um 19:58 Uhr
Yo schön dass es klappt.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Router & Routing
VPN in LAN-LAN Verbindung zwischen zwei Fritzbox-Netzwerken in DMZ (3)

Frage von Molar88 zum Thema Router & Routing ...

Webbrowser
gelöst Firefox 50 downloads stocken ohne Internet Verbindung (2)

Frage von LordXearo zum Thema Webbrowser ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (32)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...