finchen961988
Goto Top

Kein Internetzugriff aus zweiten IP NETZ fehler im AD oder Watchguard?

Hallo und guten Morgen,

ich habe eine verständnis frage und hoffe ihr könnt mir helfen?

Ich habe eine AD mit IP BEREICH 192.168.0.0.-192.168.4.0 Gateway ist 192.168.0.4 (Watchguard Firebox) und DNS/WINS 192.168.0.250 und Subnet 255.255.0.0
Und ein Bereich für Drucker 192.168.10.0

Jetzt ist das so, da der 0 Bereich voll ist mit PCS und der 1 Bereich genutzt wird, jetzt ist das so, dass wenn ein PC eine IP aus dem 1er Bereich bekommt, er korrekt das Gateway übergeben bekommt auch den DNS (SERVER AD) sauber übergeben.

Mache ich nslookup auf die Domäne von einem Rechner 192.168.1.5 wird der Domänencontroller(DNS) sauber aufgelöst, mache ich das auf zum Beispiel web.de kommt er gar nicht raus.
Genauso bei ping auf web.de geht nicht raus, gebe ich dem gleichen Rechner eine I aus dem 0er Bereich alles OKAY geht.

Ich vermute es liegt an der Watchguard aber ich finde keinen PUnkt bei der Watchguard Firebox M500, alles aus dem Netzwerk 1 ins Internet zu lassen., die Schnittstelle steht auf Trusted mit der IP 192.168.0.4.

Könnt ihr mir ein Tipp geben was zu tun ist oder wo ich suchen muss, dass über das Gateway 0.4 bei der Watchguard auch das 1er Netz geht oder könnte nochirgenwo anders was falsch sein?

Content-Key: 346969

Url: https://administrator.de/contentid/346969

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: Finchen961988
Finchen961988 22.08.2017 um 11:19:15 Uhr
Goto Top
Aso die Netzwerke laufen alle über die ETH1 Schnittstelle
Mitglied: chgorges
chgorges 22.08.2017 aktualisiert um 11:48:25 Uhr
Goto Top
Zitat von @Finchen961988:
Ich habe eine AD mit IP BEREICH 192.168.0.0.-192.168.4.0 Gateway ist 192.168.0.4 (Watchguard Firebox) und DNS/WINS 192.168.0.250 und > Subnet 255.255.0.0
Und ein Bereich für Drucker 192.168.10.0

Darfst du nicht, es gibt in der Klassifizierung kein privates 192.168.x.x/16 Netz.

Wenn du ein 16er-Netz einsetzen willst, musst du auf 172.16.x.x ausweichen.

Wenn du deine Netze behalten willst, musst du diese unterteilen in

- 192.168.0.0/24
- 192.168.1.0/24
- 192.168.2.0/24
- 192.168.3.0/24
- 192.168.4.0/24

und diese via Routing verbinden.

D.h. kein Geräte-, sondern Layer-8-Problem ;)
Mitglied: Deepsys
Deepsys 22.08.2017 aktualisiert um 12:18:31 Uhr
Goto Top
Hi,

und was siehst du im Firebox System Manager?
Dort wirst du etwas Rotes von deiner IP sehen und dann weißt du ob die WG blockt, oder nicht.

Übrigens du hat nur EIN Netzwerk 192.168.0.0/16 und nichts mit "0" oder "1", das ist Quatsch.

Viele Geräte nehmen aber bei 192.168.0.0 direkt eine 24 Netzwerkmaske (255.255.255.0) und keine /16 (255.255.0.0).
Checke das mal in der Konfig der Schnittstelle der WG.

VG,
deepsys
Mitglied: Deepsys
Deepsys 22.08.2017 um 12:18:02 Uhr
Goto Top
Zitat von @chgorges:
Darfst du nicht, es gibt in der Klassifizierung kein privates 192.168.x.x/16 Netz.
Doch klar, darf er das:
192.168.0.0 bis 192.168.255.255 192.168.0.0/16

https://de.wikipedia.org/wiki/Private_IP-Adresse


Wenn du ein 16er-Netz einsetzen willst, musst du auf 172.16.x.x ausweichen.
Auch falsch, die alten Netzwerk Klassen gibt es nicht mehr!
Mitglied: chgorges
chgorges 22.08.2017 aktualisiert um 12:41:16 Uhr
Goto Top
Zitat von @Deepsys:

Zitat von @chgorges:
Darfst du nicht, es gibt in der Klassifizierung kein privates 192.168.x.x/16 Netz.
Doch klar, darf er das:
192.168.0.0 bis 192.168.255.255 192.168.0.0/16

https://de.wikipedia.org/wiki/Private_IP-Adresse

Na dann lies mal richtig, was erlaubt ist.

Zitat vierte Spalte:
Klasse C: 256 private Netze mit jeweils 256 Adressen;
192.168.0.0/24 bis 192.168.255.0/24

Man darf in einem 192.168.x.x-Netz keine Maske <24 benutzen, das ist Fakt.

Selbst Windows macht den Masken-Auto-Fill mit 255.255.255.0 nicht zum Spaß ...


Wenn du ein 16er-Netz einsetzen willst, musst du auf 172.16.x.x ausweichen.
Auch falsch, die alten Netzwerk Klassen gibt es nicht mehr!

Auch falsch, wie man dem heutig noch gültigem RFC1918 entnehmen kann https://tools.ietf.org/html/rfc1918 Punkt 3
Mitglied: Finchen961988
Finchen961988 22.08.2017 um 12:45:05 Uhr
Goto Top
Lösung gefunden
auf dem ETH 7 war das 1er Netz eingetragen, habe ich übersehen, dort geändert und schon läuft es

Danke schön
Mitglied: aqui
aqui 22.08.2017 aktualisiert um 12:50:14 Uhr
Goto Top
Ich habe eine AD mit IP BEREICH 192.168.0.0.-192.168.4.0
Gravierender Designfehler. Jetzt zwar nicht generell von der Subnetzmaske aber jeder Netzwerker weiss das man in einer Layer 2 Collision Domain niemals mehr als max. 150 Clients betreiben soll um so ein Netzwerk noch performant zu halten.
Das ist ein Dauemnwert der je nach Anwendungen mit plus minus nach oben und unten geht.
Mit deinen 256 Hosts und einem /16er Prefix aber einen klassischen Designfehler darstellt der dir früher oder später erhebliche Probleme bereiten wird.
Segmentierung ist hier also zwingend geboten. Allerdings ist ein sinnvolles Routing im 192.168er Bereich bei einer 16 Bit Maske natürlich völlig sinnfrei, da unmöglich.
Wenn müsstest du hier auf die anderen RFC 1918 IP Bereiche 172.16.0.0 /12 oder 10.0.0.0 /8 ausweichen.
Natürlich mit sinnvollen Subnetzmasken wie /24 usw.
Nur so wäre in deinem Umfeld eine sinnvolle Segmentierung und Lösung des Problems möglich.
Entsprechende Firewall Regeln auf der Watchguard natürlich vorausgesetzt.
Aber letztlich hast du ja den Fehler gefunden was aber das fehlerhafte Adress Design nicht löst !

Die Netzerk "Klassen" im IP gibt es in der Tat seit 1993 nicht mehr, das ist IP technische Steinzeit und heutzutage ungebräuchlich.
https://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing
Mitglied: Deepsys
Deepsys 22.08.2017 um 13:23:20 Uhr
Goto Top
Zitat von @chgorges:
Zitat vierte Spalte:
Klasse C: 256 private Netze mit jeweils 256 Adressen;
192.168.0.0/24 bis 192.168.255.0/24
Dort steht auch "(historisch)" face-wink

Auch falsch, wie man dem heutig noch gültigem RFC1918 entnehmen kann https://tools.ietf.org/html/rfc1918 Punkt 3
Genau, dort steht :
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

Aber streiten bringt hier nichts, er hat es gelöst.

Und ich sage auch nicht das es sinnvoll so ist
Mitglied: chgorges
chgorges 22.08.2017 aktualisiert um 13:44:22 Uhr
Goto Top
Auch falsch, wie man dem heutig noch gültigem RFC1918 entnehmen kann https://tools.ietf.org/html/rfc1918 Punkt 3
Genau, dort steht :
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

Mit dem Zusatz
We will refer to the first block as "24-bit block", the second as
"20-bit block", and to the third as "16-bit" block. Note that (in
pre-CIDR notation) the first block is nothing but a single class A
network number, while the second block is a set of 16 contiguous
class B network numbers, and third block is a set of 256 contiguous
class C network numbers.


face-smile

Aber streiten bringt hier nichts, er hat es gelöst.

Jop.
Mitglied: Finchen961988
Finchen961988 03.09.2017 um 16:44:41 Uhr
Goto Top
ICh habe es ja so übernommen und ändern ist so eine Sachen.

Aber mal nee Frage nehmen wir mal den IP Bereich mit Der Subnetmask
192.168.96.0 mit Subnetmask 255.255.240.0 ist das sauber gehalten so?

Wenn ich das Netwerk 192.168.100.0 habe mit Subnet 255.255.255.0 die müsste sich doch sehen oder nicht?
Mitglied: aqui
aqui 03.09.2017 aktualisiert um 22:49:32 Uhr
Goto Top
192.168.96.0 mit Subnetmask 255.255.240.0 ist das sauber gehalten so?
Klar, warum sollte es deiner Meinung nicht sauber sein ??
Netzwerk: 192.168.96.0
Host Adressbereich von 192.168.96.1 bis 192.168.111.254
Broadcast: 192.168.111.255
Saubere, korrekte und klassische IPv4 Adressierung.
Wenn ich das Netwerk 192.168.100.0 habe mit Subnet 255.255.255.0 die müsste sich doch sehen oder nicht?
Nein, das ist völliger Quatsch ! Woher hast du solch einen Unsinn ?
Warum kannst du hier nachlesen:
https://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing