brian85
Goto Top

Mobilen Standort mit lokalem Netzwerk flexibel verbinden

Hallo zusammen,

wir haben bei uns in der Firma (im Folgenden Werkstatt genannt) einen Windows Server und einige Computer in der Domäne, die meisten davon sind Laptops. Der Windows Server ist DHCP und DNS Server. Da wir im Rennsport tätig sind, sind wir häufiger auf Rennstrecken unterwegs. Dafür haben wir zwei Datenstationen, welche u.a. ein NAS und einen Router beinhalten. Die Laptops aus der Werkstatt werden dann ebenfalls an der Rennstrecke genutzt.
Bisher waren Firma und Datenstationen zwei unabhängige Systeme in anderen IP-Bereichen. Das bedeutet, dass wir an der Rennstrecke keine Vernetzung mit unserer Werkstatt hatten und der Router aus der Datenstation war DHCP-Server. Einen DNS Server gibt es in der Datenstation nicht.
Für die Zukunft würde ich das gerne ändern und würde gerne folgendes erreichen:
1. Wenn die Datenstation in der Werkstatt aufgebaut ist soll mit der Datenstation auch auf den Windows Server zugegriffen werden können, damit untereinander Daten ausgetauscht werden können.
2. Wenn die Datenstation an der Rennstrecke aufgebaut ist, soll eine VPN Verbindung mit der Werkstatt aufgebaut werden, so dass man auch von der Rennstrecke auf den Windows Server zugreifen kann
3. Auch wenn keine VPN Verbindung aufgebaut ist, soll das Netzwerk an der Rennstrecke funktionieren. D.h. auch ohne VPN soll ein DHCP Server anwesend sein, und das Rennstrecken-Netzwerk soll voll funktionsfähig sein

Könnt Ihr mir sagen, ob und wenn ja wie das umsetzbar ist? Konfigurierbare Ports sind an beiden Routern (Werkstatt und Datenstation) vorhanden. Die Werkstatt hat eine feste IP, die Datenstation nicht.
In der Werkstatt haben wir einen Sophos Router und in der der Datenstation einen Lancom LTE Router. Manchmal bekommen wir an der Rennstrecke Internet über LAN, dann benutze ich das, wenn kein Internet vorhanden ist, dann schaltet der Lancom selbstständig auf LTE um.

1. Funktioniert im Moment mit Einschränkungen. Der NAS in der Datenstation hat 4 LAN-Ports. 2 davon habe ich in unterschiedlichen IP-Bereichen laufen. Der eine Port ist im Bereich des Routers, welcher DHCP ist und der andere ist in einem getrennten Bereich. Wenn wir an der Rennstrecke sind aktiviere ich den Port im Router Bereich und setzen diesen Port als standard-Gateway. Bei den Rechnern in der Datenstation setze ich die IPs dann auf automatisch.
Wenn wir in der Werkstatt sind schalte ich den NAS um und aktiviere den anderen LAN-Port. Dieser hat eine IP-Adresse im Bereich unserer Werkstatt. Das gleiche mache ich mit den Clients in der Datenstation. Somit kann ich auf den Windows Server zugreifen. Der Aufwand dafür ist mir jedoch auf Dauer zu hoch und das System ist sehr fehleranfällig.
2. Haben wir bisher gar nicht realisiert
3. Ist bisher kein Problem, weil die Systeme ja nicht miteinander verbunden sind und somit autark funktieren.

Content-Key: 356944

Url: https://administrator.de/contentid/356944

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: aqui
Lösung aqui 04.12.2017 aktualisiert um 13:12:08 Uhr
Goto Top
Könnt Ihr mir sagen, ob und wenn ja wie das umsetzbar ist?
Mit jedem beliebigen VPN Router von der Stange. FritzBox, Mikrotik, Lancom, Cisco, pfSense Firewall, die üblichen Verdächtigen.
Hier findest du die Grundlagen dazu:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a

Du solltest in jedem Falle einen Router oder Firewall nehmen der mehrere geroutete LAN Ports supportet oder wenigstens die Lösung mit einem 802.1q (Tagging) fähigen Interface selber die Aufsplittung in 2 LAN Segmente zu supporten damit du dir diese unsägliche Frickelei mit dem NAS ersparen kannst.
Das ist ja tiefste Netzwerk Steinzeit wie du das machst.... Für einen Admin kein Wunder das sowas Gruseliges fehleranfällig ist.
Mit Policy Routing kann man dann auch das Routing komplett automatisieren so das du da nichts mehr frickeln musst.
Mit entsprechender HW Lancom, Cisco und Co ist das kein Problem und schnell umzusetzen. Die Grundlagen sind dafür ja schon vorhanden bei dir.
Mitglied: Brian85
Brian85 04.12.2017 um 16:54:09 Uhr
Goto Top
vielen Dank für die Rückmeldung.
Ich habe mit deiner Anleitung sowie der Anleitung aus folgendem Link:
Site-to-site VPN Sophos UTM
Tatsächlich eine funktionierende VPN Verbindung zwischen den beiden "Standorten" hinbekommen. Damit ist das Thema 2 weitestgehend erledigt. Ein kleines Problem habe ich jedoch noch. Die Laptops aus der Werkstatt-Domain haben Netzlaufwerke welche mit dem DNS-Namen und nicht mit der IP eingerichtet sind. Diese funktionieren über VPN nicht. Ich habe zwar DNS Weiterleitung eingerichtet und wenn ich FQDN verwende klappt es auch, aber einfach nur z.B. \\Server funktioniert nicht, ich muss dann schon \\Server.Werkstatt.lokal eingeben.

Könntest du mir jetzt noch etwas konkretere Tipps geben, wie ich 1+3 umsetzen kann?
Folgende Router sind im Einsatz:
- Werkstatt Sophos SG105W, Windows SBS Server ist DNS und DHCP-Server
- Datenstation: Lancom 1781VA-4G, Router ist DHCP Server
Beide Router haben 4 LAN-Ports wovon im Moment jeweils 3 Stück im Einsatz sind.
Mitglied: aqui
aqui 04.12.2017 um 18:17:50 Uhr
Goto Top
Diese funktionieren über VPN nicht
Ja, das ist normal und weiß jeder Netzwerker.
Guckst du auch hier zu dem Thema:
Routing-Problem über zwei Netzwerke
Trage die statisch in die hosts oder lmhosts Datei ein bei den rechneren dann ist das problem gelöst !!
1.)
NAS fest in eins der LAN hängen oder die Interfaces in 2 separate LANs an den VPN Routern oder Firewall.
Entweder direkt oder per VLAN
2.)
Wenn WLAN Reichweite ausreichend ist reicht dafür ein simpler WLAN Routzer dessen WLAN Interface man in den Client Mode setzen kann. Hier steht wie es geht:
Mit einem WLAN zwei LAN IP Netzwerke verbinden
3.)
Kann jeder Router automatisch.
Mitglied: Brian85
Brian85 04.12.2017 aktualisiert um 21:45:10 Uhr
Goto Top
So wie ich das sehe ist die Bearbeitung der hosts oder lmhosts Datei eher eine provisorische bzw. Bastel- Lösung richtig? Wie wäre denn die professionelle Lösung? Die Netzlaufwerke werden per Gruppenrichtlinie erstellt. Ich kann diese auch durch eine GPO ersetzen mit FQDN dann müsste das ja wieder funktionieren oder?

Generell wollte ich noch etwas erklären. Wenn die Datenstation in der Werkstatt steht, soll der Datenverkehr zwischen Datenstation und Werkstatt über LAN und nicht über VPN passieren, weil die Datenmenge, die ausgetauscht wird, zu groß ist. Somit denke ich fällt dein erster Vorschlag aus.

WLAN ist keine Option weil zu langsam.

Die VPN Verbindung ist nötig um z.B. auf den SQL-Server in der Werkstatt zugreifen zu können. Die eigentlichen Daten die bei einem Rennen anfallen, werden nicht über VPN verschoben, weil das zu viele Daten sind. Wir sammeln sicher 50 GB pro Wochenende und haben keine ausreichende Internetleitung dafür. Das wird dann nachträglich in der Werkstatt über LAN gemacht.

Folgende Idee habe ich dazu:
In der Werkstatt würde ich auf dem Sophos Router eine reservierte IP hinterlegen im IP Bereich der Werkstatt. Immer wenn die Datenstation also mit dem LAN der Werkstatt verbunden wird bekommt sie die gleiche IP. Dann kann ich auf dem Sophos eine statische Route einrichten so dass die Clients der Werkstatt auf die Datenstation zugreifen können.
Die Datenstation hat beim Lancom Router einen Port der DHCP Client ist über den Internet hergestellt wirde (bei Lancom nennen die das plain ethernet Verbindung). Die Clients der Datenstation brauchen dann keine Route um auf das Netzwerk der Werkstatt zu kommen, weil der Lancom beide Netzwerke kennt (in einem ist der DHCP Server und im anderen DHCP Client).
Was ich mich jetzt nur noch frage ist was dann mit dem VPN passiert. Woher weiß der Lancom bzw. woher wissen die Clients, dass sie in der Werkstatt nicht über VPN gehen sollen sondern über LAN?
Könnte das so funktionieren?
Mitglied: Brian85
Brian85 04.12.2017 um 22:16:11 Uhr
Goto Top
Nachtrag dazu. Ich habe das jetzt einfach mal so probiert und es scheint soweit zu funktionieren.
Fürs Verständnis wäre es jetzt trotzdem noch gut, wenn mir jemand erklären könnte, warum die Datenstation Clients in der Werkstatt nicht die VPN Verbindung sondern, die LAN Verbindung nehmen sollten. Ich kann anhand der Geschwindigkeit sehen, dass sie die LAN Verbindung benutzen, möchte aber sicher sein, dass die Konfiguration so Hand und Fuß hat.
Die NAS ist jetzt wieder fest im Netzwerk der Datenstation und muss nicht mehr umgestellt werden.
Achso falls sich jemand fragt, wieso ich dem Internetport meines Lancom Routers nicht einfach eine feste IP anstatt, wie eine IP beim DHCP zu reservieren. Das liegt daran, dass ich dann für jede Rennstrecke eine feste IP vom Rennstreckenbetreiber erfragen müsste und die IP jedes Mal im Router ändern müsste.

Im nächsten Schritt würde ich die Netzlaufwerke dann noch auf FQDN umstellen, und dann wären die Punkte eigentlich abgearbeitet.
Mitglied: aqui
aqui 05.12.2017 aktualisiert um 17:53:42 Uhr
Goto Top
warum die Datenstation Clients in der Werkstatt nicht die VPN Verbindung sondern, die LAN Verbindung nehmen sollten
Das ist ganz einfaches Routing !
Die Wegefindung wird anhand der Ziel IP Adresse entschieden. Sollten VPN und LAN beide aktiv sein und parallel ins Zielnetz führen forwardet der Router nach Bandbreite bzw. Link Cost. In der Regel hat ein VPN eine schlechtere Routing Cost und das LAN wird bevorzugt dann. Man könnte aber die LAN Cost auch künstlich schlechter setzen dann würde das VPN bevorzugt.
Mit dynamischen Routing Protokollen wie OSPF usw. wäre auch ein Balancing mit gleichzeitigem Faiulover möglich sofern deine Routing HW das supportet.
Hängt also alles davon ab welches Verhalten du preferierst ?!
Mitglied: Brian85
Brian85 07.12.2017 aktualisiert um 00:28:17 Uhr
Goto Top
Ja das hatte ich in der Zwischenzeit auch schon so herausgefunden. Im Lancom Router kann man dafür auch eine Distanz definieren. Normalerweise ist die immer 0, für die VPN Verbindung habe ich sie jetzt auf 2 gesetzt um sicherzustellen, dass er immer die LAN Verbindung nimmt, wenn diese vorhanden ist.

Grundsätzlich funktioniert jetzt alles gut, es gibt aber noch etwas Detailarbeit. U.a. kann ich aus dem Werkstatt-WLAN nicht auf die Datenstation zugreifen, vom LAN jedoch schon. Das würde ich aber in einem nächsten Schritt angehen. Jetzt interessiert mich erstmal folgender Sachverhalt:

Ich habe jetzt das Werkstatt Netzwerk mit 172.16.100.0/24 dann das Datenstation Netzwerk mit 172.16.10.0/24 und dann habe ich in der Werkstatt noch ein VLAN mit 172.16.50.0/24.

Sophos Interface 1 172.16.100.1 (Werkstatt Netzwerk)
Sophos Interface 3 172.16.50.1 (Werkstatt VLAN 2)

Lancom Interface 3 172.16.50.254
Lancom Interface 1 172.16.10.1

Am Sophos habe ich für das VLAN 2 einen DHCP laufen und eine statische Route eingerichtet die den Verkehr von 172.16.100.0 zu 172.16.10.0 über 172.16.50.254 leitet.
Am Lancom gibt es eine Route für den Verkehr der zu 172.16.100.0 soll, diese ist aber auf die VPN Verbindung beschränkt.

Trotzdem kann ich jetzt von allen Clients aus 172.16.10.0 auf 172.16.100.0 zugreifen und ich frage mich wieso. Dem Lancom Router sowie den Clients sollte das 172.16.100.0 eigentlich unbekannt sein. Das Einzige was ich mir vorstellen kann ist folgendes.
Z.B. ein Client versucht 172.16.100.100 zu erreichen, dafür wendet er sich an sein Standardgateway 172.16.10.1. Dieses hat für die Anfrage keine anwendbare Route und auch die eigenen Interfaces kenne diese IP nicht. Nur das Interface 3 hat als Standardgateway die 172.16.50.1. Dieses Gateway ist ja der Sophos Router welcher wiederum das 172.16.100.0 kennt. Könnte der Weg so ablaufen?
Mitglied: aqui
aqui 07.12.2017 um 10:03:08 Uhr
Goto Top
ich frage mich wieso. Dem Lancom Router sowie den Clients sollte das 172.16.100.0 eigentlich unbekannt sein.
Nein ist es ja nicht ! Du schreibst doch oben selber (Zitat) "Am Lancom gibt es eine Route für den Verkehr der zu 172.16.100.0 soll, diese ist aber auf die VPN Verbindung beschränkt."
Der Traffic gelangt also via VPN ins .100.0er Netz !
Warum siehst du dir denn nicht einfach mal die Routing Tabelle auf dem Sophos UND auf dem Lancom an ??? Da steht dann doch alles schwarz auf weiß wer was wohin routet !!
Oder...du nutzt mal Traceroute (tracert in Winblows) um die Routing Wege dir anzusehen. Traceroute zeigt den Weg zum Ziel immer einzeln Hop für Hop an.
Damit lässt sich sofort erklären welche Wege die Pakete nehmen. Da du ja eine Route hast ist es vermutlich klar das das klappt.
an sein Standardgateway 172.16.10.1. Dieses hat für die Anfrage keine anwendbare Route
Doch, eben die VPN Route wie du ja selber schreibst oben !
Oder....du hast noch einen gravierenden Konfig Fehler irgendwo und die Netze nicht sauber getrennt, was dann natürlich fatal wäre.
Könnte der Weg so ablaufen?
Wie gesagt...Traceroute oder Pathping sind deine besten Freunde hier !
Mitglied: Brian85
Brian85 07.12.2017 um 10:51:12 Uhr
Goto Top
Also wenn ich aus dem 10.0er Netz das 100.0er anpinge dann habe ich einen Ping von 1-2ms, das kann nicht die VPN Verbindung sein. Wenn ich das LAN Kabel an der Datenstation abziehe habe ich über VPN einen Ping von 200ms was bei unserer schlechten Internetverbindung plausibel erscheint.
Im Lancom ist eine VPN Verbindung eingerichtet und die Route ist auf diese Verbindung beschränkt. In dieser Verbindung ist die öffentliche feste IP der Werkstatt eingetragen.

Mit tracert usw. habe ich mich gestern den halben Tag beschäftigt.

Wenn ich z.B. an 172.16.10.240 sitze und tracert 172.16.100.123 mache dann bekomme ich genau 3 hops
der erste ist 172.16.10.1 also der Lancom Router. Der zweite ist 172.16.100.123 und der dritte ebenfalls 172.16.100.123
Von dem Vermittler-Netzwerk 172.16.50.0 ist da nichts zu sehen.

Kann es etwas mit der Plain Ethernet Verbindung zu tun haben (Lancom Plain Ethernet)? Der Lancom bekommt im Moment über das Interface 172.16.50.254 ja nicht nur Zugang zu dem Netzwerk sondern baut damit auch eine Internetverbindung für die Clients auf. Dafür ist das Interface ETH 3 im Lancom auf DSL 1 gestellt. Ich habe sonst keine Routen, NAT oder ähnliches eingerichtet, so viele Optionen gibt es ja nicht die dieses Phänomen verursachen können.