Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

IP Subnetting auf 2 Nodes und Firewall als Gateway

Frage Sicherheit Firewall

Mitglied: xcabur

xcabur (Level 1) - Jetzt verbinden

27.04.2007, aktualisiert 30.04.2007, 4897 Aufrufe, 7 Kommentare

Hallo zusammen

Hätte da einmal ein Problem zum Thema Subnetting. Ich habe folgende momentane IP zuordnung.

Router: 172.16.32.254/24
PC1: 172.16.32.13/24 Gateway:172.16.32.254
PC2: 172.16.32.1 Gateway:172.16.32.254
und noch andere Rechner

Also mein Problem ist, dass kein Rechner auf den anderen Zugreiffen kann. Jeder Rechner muss jedoch auf das Internet können sprich Verbidnung zum Router.

Nach miner Überlegung, hätte ich die Subnetze so gebildet, dass möglichst wenig Nodes in einem Subnetz sind damit ich möglichs viele Rechner isolieren kann (Anzahl Subnetze)

Daher hätte ich die Subnetzmaske auf 255.255.255.252 gesetzt.
Theoretisch bedeutet dies jedoch, dass die Router IP nun ausserhalb des IP Ranges liegt und ich so nicht mehr mit dem Router kommunizieren kann bzw. mein Rechner nicht mehr vom WEB ansprech bar ist.

Ich muss dazu sagen, dass ich nicht die Möglichkeit hatte es auzuprobieren daher sind es reine theoretische Überlegungen. Gibt es eine Möglichkeit mein Problem zu lösen? Sind mine Überlegungen richtig?

Nochmals in Kürze: Wie definier ich ein Subnetz im IP Range 172.16.32.x, damit ich möglichst viele Subnetze habe und jeder Rechner im eigenen Subnetz nur mit dem Router kommunizieren kann nicht aber mit en anderen Rechnern, welche sich in andere Sunetze befinden?

Ich bin schon mal auf die Antworten gespannt!
Gruss und Danke
Mitglied: aqui
27.04.2007 um 21:25 Uhr
Die .252er Subnetzmaske ist schon richtig. Da hast du dann immer 2 Hosts pro Subnetz. Faktisch aber immer nur einen, denn die freie 2te Adresse brauchst du ja für dein Gateway Zugang.

Die Lösung ist aber gelinde gesagt großer Blödsinn, denn wie willst du diese Anzahl von Subnetzen auf einen Internetrouter bringen ??? Der müsste pro Subnet ein Interface haben oder wenn er 802.1q fähig ist bräuchtest du n Subinterfaces um das alles wieder zusammenzurouten.

Sowas löst man elegant mit einem Switch der sog. private VLANs supportet. Das ist eine Funktion die Broadcasts nicht auf alle Ports flutet sondern nur an ein definierten Uplink Port.
Dadurch ist eine any to any Kommunikation der PCs an diesem Switch nicht mehr möglich und nur mit dem Internetrouter, der dann an diesem Uplink Port hängt.
So gut wie alle mehr oder minder guten Switches supporten sowas problemlos !
Bitte warten ..
Mitglied: xcabur
28.04.2007 um 14:02 Uhr
Danke erst mal! Ja, an VLAN hab ich auch gedacht das Problem ist nur folgendes:
Die Rechner sind alle virtuell, sprich die hängen am glciehn Netzwerkkabel und somit am gleichen Switch Port. Am Switch hängt ebenfalls ein VPN fähiger Router. Jede bestimmte VPN Verbindung hat seinen eigenen virtuellen PC.
Da alle VPN End-Punkte eine fixe IP haben, wird mann anhand der IP von welcher das VPN aufgebaut wird mittels einer Route auf den eigenen virtuellen PC im 172.26.32.x Range weitergeleidet. Nun besteht das Problem, dass die persönlichen PC's sich unter einandern "sehen", da alle im selben Range sind. Dies möchte ich verhindern. Aufgrund der virtualität scheint mir das VLAN etwas schwer. Daher dachte ich an Subnetting. Hat jemand eine Idee wie ich dies lösen kann?
Bitte warten ..
Mitglied: aqui
28.04.2007 um 14:58 Uhr
OK, das erklaert dies etwas sehr spezielle Design wenn man es so nennen will. Dein Problem wird aber sein das du auch je einen VPN Prozess in diesem Subnetz haben musst und daran duerfte die Subnetting Loesung scheitern...

Eine denkbare Loesung waere alle virtuellen Adapter ueber eine transparente Bridge zu koppeln und auf ihnen ein 802.1q tagging zu fahren je Host. Virtuelle Adapter koennen das. Damit kannst du dann jeden Host in ein separates VLAN legen die sich nicht untereinander sehen. Die fasst du auf einem L3 Switch zusammen und in ein separates VLAN setzt du deinen zentralen VPN Router. Das sollte klappen...
Bitte warten ..
Mitglied: xcabur
28.04.2007 um 15:10 Uhr
HeHe dacht mir schon, dass dies speziell werden wird
Aber deine Antwort hört sich recht gut an, ich werd dies mal ausprobieren

Aber Netzwerkdesign technisch kann man da ja keine grosse veränderungen machen oder?
Denn es werden immer virtuelle Server bleiben und es wird immer ein Internetgateway sein, auf welchen die verschiedenen "Clients" das VPN aufbauen und auf ihren Hosted Server wollen. Oder siehst du da eine grundlegende andere Möglichkeit?

Gruss und Danke für diene Super Hilfe
Bitte warten ..
Mitglied: aqui
29.04.2007 um 15:32 Uhr
Nein, in der Tat, da bleibt sehr wenig Spielraum bei den speziellen Anforderungen. Dadurch das es ja virtuelle Maschinen sind, die an einem einzigen Switchport hängen bist du auf sowas letztlich festgenagelt.

Du könntest auch mit allen unterschiedlichen Netzen pro Host auf einem Link fahren und dann einen Switch (oder Router) einsetzen der sog. secondary interfaces supportet, also mehrfache IP Adressen pro Interface (Cisco kann sowas). Der routet dann immer auf demselben Kabel. Davon kann man aber nur abraten, denn solche Szenarion sind IP technisch vom Protokollhandling nicht supportet und lediglich für IP Migrationszwecke gedacht. (Probleme mit dem ICMP Handling). In Produktivumgebungen ist das ein absolutes Tabu will man sich nicht eine immerwährende Baustelle schaffen

Besser ist in jedem Falle mit dem .1q Tagging zu arbeiten, das skaliert erheblich besser und bewirkt ein saubers fehlerfreies IP Design ! Erfordert zwar einen L3 fähigen Switch aber das ist ja heutzutage auch im Low Budget Bereich kein Problem mehr.
Ohne diesen Switch benötigst du als Alternative mindestens einen VLAN (802.1q) tagging fähigen Layer 2 Switch aber einen Router der pro VLAN Tag ID dann ein virtuelles Subnetz Interface bedienen kann auf einem physischen Ethernet Interface. Auch das kann z.B. ein Cisco Router ab Modell 1700 leisten. Das ist letztlich die Auslagerung des Routings auf einen externen Router statt es im Switch abzuhandeln. Ist etwas umständlicher, geht aber auch.
Du brauchst nur zwingend diese Funktionen. In der einen oder in der anderen Variante !
Bitte warten ..
Mitglied: xcabur
29.04.2007 um 16:03 Uhr
Hei super! Danke vielmals für deine detalierten Antworten. Ich werde nächste Woche mal schauen, was sich da machen läst (Berücksichtigung der zur verfügungstehenden Resourcen und Meinung des Hauptverantwortlichen). Aber die Lösung mit dem Layer3 Switch hört sich serh gut an.
Nochmals Danke und noch ein schönes Weekend
Bitte warten ..
Mitglied: aqui
30.04.2007 um 16:57 Uhr
Bei dem Wetter, kein Problem
Wenns das war, bitte Thread oben als gelöst markieren !
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Switche und Hubs
gelöst IP Cam außen am Haus Zugriff sichern über Firewall ACL (6)

Frage von TimMayer zum Thema Switche und Hubs ...

Voice over IP
Fax over IP Einrichtung Gateway Call Manager (1)

Frage von mellon zum Thema Voice over IP ...

Router & Routing
Lancom N:N-NAT - öffentliche IP und Firewall

Frage von devil77 zum Thema Router & Routing ...

Firewall
Suche nach NAT-Gateway-Firewall-Lösung (9)

Frage von marcinomel zum Thema Firewall ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...