hss-hk
Goto Top

Ein Netzwerk an Zwei Internet-Routern

Hallo Fachgemeinde,

ich habe eine ganz krasse Aufgabe bekommen und bin mir nicht sicher, ob das überhaupt geht.

Unser Kunde hat folgendes Problem:
Er ist über einen Router und über einen Proxyserver an einem Rechenzentrum angeschlossen.
Über diese DSL-Verbindung mit max. 2000 kbit wird der gesamte Internetverkehr mit 12 PCs abgewickelt.
Diese Verbindung ist aufgrund der immer größer werdenden Datenmenge extrem langsam geworden.

Der Kunde hat deswegen über KabelBW einen zweiten, schnellen Anschluss installieren lassen.
Nun sollen alle Anwendungen die nicht über das Rechenzentrum laufen müssen, über den zweiten Anschluss ins Internet gehen.
Das heißt Internetrecherche über Opera und Fritzbox, RZ-Anwendung über Mozilla und Proxy-Modem.

Folgende Konstellation ist vor Ort vorhanden:
Windows SBS 2011 Server mit zwei Netzwerkkarten
Spezieller Router der Telekom für den Rechenzentrumszugang mit einem festen IP-Bereich 10.xxx.xxx.xxx
12 PCs teils mit fester IP und teils mit DHCP
Diverse mobile Endgeräte (Smartphones, Tablets, Notebooks) über DHCP (zukünftig nur noch über KabelBW)
KabelBW Modem und Fritzbox 7390.
In der Fritzbox wird das Kabelmodem auf den IP-Bereich 192.168.100.0 geroutet.

Wie kann ich es bewerkstelligen dass z. B. Mozilla weiterhin den Proxy und den Telekom Router nutzt, aber Opera über die Fritzbox (192.168.100.x) ins Internet geht?

Ich hoffe ich habe mein Problem verständlich beschrieben und Ihr könnt mir helfen.

Content-Key: 245739

Url: https://administrator.de/contentid/245739

Ausgedruckt am: 29.03.2024 um 00:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 06.08.2014 um 16:12:52 Uhr
Goto Top
Moin,

MultiWAN-Router udn Policy Based Routing sind die Stichwörte. nach denen Du suchen willst.

Du instalierst so eine Router (z.B. Microtik oder Cisco) und stellst bei dem ein, zu welchen Netzen er über welchen Anschluß gehen soll

lks
Mitglied: chiefteddy
chiefteddy 06.08.2014 um 16:18:33 Uhr
Goto Top
Hallo;

Standard-Gateway aller Clients (am Besten über DHCP verteilen) auf FritzBox ändern. In Opera keinen Proxy konfigurieren. In Firefox Proxy für RZ eintragen.

Damit geht alles außer http vom Firefox über die Fritzbox.

Jürgen
Mitglied: HSS-HK
HSS-HK 06.08.2014 um 16:40:23 Uhr
Goto Top
Hallo chiefteddy,
danke für deine schnelle Antwort.

Habe ich das richtig verstanden:
Alle Clients auf DHCP umstellen?
das geht nicht.
1. Die meisten Clients benötigen eine feste IP vom Rechenzentrum.
2. Ich kann am Router des RZ den DHCP nicht abschalten, und zwei DHCP wären glaube ich fatal.
Ich könnte doch an allen Clients die erste IP-Adresse mit Gateway auf die Fritzbox einrichten und als zweite IP-Adresse die RZ-Adresse (10.xxx) eintragen. Als 1. DNS könnte ich dann die Fritzbox und als zweite DNS das RZ eintragen. Das mit dem Proxy bei Mozilla und ohne Proxy bei Opera könnte dann klappen.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 06.08.2014 um 16:53:15 Uhr
Goto Top
Das ist flickschusterei.

Bbesorg Dir einen microtik RB750 häng Dein LAN und Deine zwei Router an den und schon kannst Du am Microtik einstellen, welches Netz üebr welchen Weg angesprochen werden soll.

du kannst es sogar so einstellen, daß beide Anschlüsse gleichezeitig genutzt werden udn damit mehr bandbrete zur verfügugn steht.

lks
Mitglied: HSS-HK
HSS-HK 06.08.2014 um 17:20:39 Uhr
Goto Top
Hallo Lochkartenstanzer,

woher will der Microtik RB 750 wissen über welchen Ausgang ich ins Internet möchte wenn nur die Anwendung entscheidet ob ich über den Proxy-Router oder die Fritzbox ins Internet will?
Mitglied: HSS-HK
HSS-HK 06.08.2014 um 17:27:43 Uhr
Goto Top
Hallo Fachgemeinde,
ich muss jetzt auser Haus.
Bin Morgen wieder erreichbar.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 06.08.2014 um 17:39:33 Uhr
Goto Top
Zitat von @HSS-HK:

Hallo Lochkartenstanzer,

woher will der Microtik RB 750 wissen über welchen Ausgang ich ins Internet möchte wenn nur die Anwendung entscheidet ob
ich über den Proxy-Router oder die Fritzbox ins Internet will?

Anhand der Zielnetze?

lks
Mitglied: chiefteddy
chiefteddy 06.08.2014 um 18:17:54 Uhr
Goto Top
Hallo,

nochmal für mich zum Verständnis:

- Du hast ein physisches Netz, nicht abgegrenzt durch VLANs

- in diesem Netz betreibst Du 2 unterschiedliche IP-Netze : 10.x.x.x und 192.168.100.x

- bis jetzt haben alle Clients eine IP aus dem Subnetz 10.x.x.x, entweder fest oder über DHCP vom Telekom-Router

Habe ich Dich bis dahin richtig verstanden?

In einem phy. Netz betreibt man in der Regel nur ein !! IP-Netz (oder man nutzt VLANs und muß zwischen diesen routen --> Layer 3-Switch). Daraus folgt, die FritzBox bekommt eine frei IP aus dem 10.x.x.x-Bereich fest zugewiesen. Alle Clients bekommen ihre IP fest zugewiesen und als Standard-GW die IP der Fritzbox.

Einen Client richtet man nicht mit 2 IP-Adressen auf einer NIC ein. Selbst wenn, kann man nur ein Standard-GW einrichten. Das ist ja der Sinn eines Standard-GWs!!

Wenn die Nutzung der FrizBox asl Standard-GW nicht möglich ist, bleibt nur die "große Lösung" mit einem weiteren Router, wie in den anderen Meldungen bereitz beschrieben. Da die Clients dann aber in einem eigenem Subnetz liegen und die beiden Router dann auch jeweils ein eigenes Subnetz (10.x.x.x und 192.168.100.x) haben. liegen die Clients nicht im 10.x.x.x-Netz!

Jürgen
Mitglied: aqui
aqui 06.08.2014, aktualisiert am 07.08.2014 um 18:55:40 Uhr
Goto Top
Nein falsch....
  • Er betreibt ein flaches Netzwerk mit 12 PCs
  • Er bekommt über einen Providerrouter via DHCP 10er Adressen und hat dadrüber gleichzeitig eine RZ Connectione (VPN, MPLS, etc.) eines Dienstleisters.
  • Providerrouter ist zu lahm, deshalb hat der Kunde sich einen zusätzlichen Kabel BW Anschluss über die FB ins Netz gehängt.
  • Auf den Provider Router hat er vermutlich keinerlei Zugriff ?! (geraten)
  • Nun möchte er das wenn er ins RZ Netzwerk über den Dienstleister geht das weiterhin über dessen Router rennt aber wenn er so ins Internet will das das über die FB rennt.

Die Lösung ist kinderleicht und ein Klassiker der hier wöchentlich gefragt wird.
Es gibt 2 Optionen zur Lösung:

1.) Erste Möglichkeit:
  • FritzBox in das vorhandene 10er Netz mit fester IP setzen
  • An den Clients das default Gateway mit einer Batch überschreiben auf die IP der FB
  • statische Route auf der FB eintragen RZ Dienstleister Zielnetz IP via Diensteleister Router Gateway
  • Fertisch

2.) Zweite Möglichkeit: (eleganter)
  • 30 Euro Mikrotik RB750 beschaffen oder 2te Netzwerkkarte in Server
  • Client Netzwerk und Providerrouter Netz in 2 IP Netze trennen
  • Auf dem Mikrotik Router default Route via FB eintragen und statische Route RZ Dienstleister Zielnetz IP via Diensteleister Router Gateway
  • NAT ins 10er Netz aktivieren.
  • DHCP an Clients verteilen
  • Wenn man VLAN fähige Switches hat ist auch eine Trennung via VLAN möglich
  • Fertisch

Vorteil der zweiten Lösung:
  • Weniger Frickelei und Umbiegerei auf den Clients. Clients beleiben so wie sie sind
  • Saubere Trennung des Dienstleiter Netzes (10er Netz) von den Client sohne das man was manipulieren muss dort.
  • Durch das NAT ins 10er Netz "merkt" der Dienstleister nicht das die Clients nun eine ganz andere Netzwerk IP haben und sich anderweitig "frei" bewegen können.

Fazit: Die Lösung 2 ist eleganter denn man muss keinerlei Eingriffe oder Tricks anwenden und verändert am Dienstleister Netzwerk gar nichts.
Das ist ein simples und billiges Standardszenario was man mit dem kleinen Zusatzrouter in 10-20 Minuten zum Fliegen gebracht hat !
Grundlagen dazu behandeln diese Forumsthreads:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
bzw. mit VLANs:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mitglied: HSS-HK
HSS-HK 07.08.2014 um 11:40:03 Uhr
Goto Top
Hallo Aqui,

Du hast mein Problem perfekt erkannt!!!!

Alle Clients sind im selben Netz (10.xxx) und müssen es auch bleiben da die Proxy-Autentifizierung auch über die vom RZ fest vergebene IP-Adresse (10.xxx) erfolgt. Die Clients nutzen eine Webbasierte SAP-Anwendung über das RZ. Bedingung Internetexplorer oder Mozilla. Die gleichen Clients sollen nun alle anderen Internetaktivitäten wie z. B. Dropbox, Webhosting, diverse Uploadgeschichten und spezielle Webanwendungen die keinen Proxy unterstützen über den schnellen Internetzugang nutzen,
Ich habe verstanden, dass der microtik RB750 für die Lösung unumgänglich ist und werde ihn auch besorgen.
Ich habe aber noch nicht verstanden woher der RB 750 weis über welchen Router er gehen soll. Vielleicht stehe ich ja gerade total auf dem Schlauch. Der Unterschied am Client ist doch nur der Browser mit Proxy oder der Browser ohne Proxy.
Ich kenne den RB750 nicht und stelle mich vielleicht deshalb so blöd an.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 07.08.2014 aktualisiert um 12:02:26 Uhr
Goto Top
Zitat von @HSS-HK:

Der Unterschied am Client ist doch nur der Browser mit Proxy oder der Browser ohne Proxy.


Der Proxy schickt doch bestimmte domains auf besteimmte Ip-ziele.

dann sagst Du dem Microtik, daß diese IP-ziele ber Router 1 und alle anderen üebr Router 2 gehen sollen. (Nennst sich statische Routen).

lks
Mitglied: HSS-HK
HSS-HK 07.08.2014 um 13:11:45 Uhr
Goto Top
Hallo Lochkartenstanzer,
vielen Dank jetzt hab ich es kappiert,
eigentlich ganz einfach wenn man es schnallt.

Ich werde es nächste Woche einrichten.
So lange lasse ich die Frage noch als ungelöst stehen falls noch was unklar ist.
Ich glaube immer alles erst wenn ich sehe dass es geht.
Ich hoffe das ist ok.
Mitglied: aqui
Lösung aqui 07.08.2014, aktualisiert am 01.09.2014 um 08:55:00 Uhr
Goto Top
http://www.duden.de/rechtschreibung/kapieren

Sehr gut ist die Option 2 auch in diesem Thread nochmal erklärt inkl. Zeichnung, die die gleiche Anforderung hat:
Internet für die Clients
Das Uni Netzwerk ist dann hier analog dem Dienstleister 10er Netzwerk...

Im Grunde kann das Geforderte also jeder 20 Euro Breitband Router abdecken wie z.B. ein TP-Link 841 oder eben etwas eleganter der besagte Mikrotik 750.
Ein simples Standard Design....

Ich hoffe das ist ok.
Das ist absolut OK und Feedback ist fürs Forum immer gern gesehen hier ! Besonders wenns positiv ist face-smile
Mitglied: chiefteddy
chiefteddy 07.08.2014 um 17:09:03 Uhr
Goto Top
Hallo Aqui,

Zitat von @aqui:

Nein falsch....

Wieso falsch?

* Er betreibt ein flaches Netzwerk mit 12 PCs

Habe ich auch gesagt.

* Er bekommt über einen Providerrouter via DHCP 10er Adressen und hat dadrüber gleichzeitig eine RZ Connectione (VPN,
MPLS, etc.) eines Dienstleisters.

Steht bei mir auch.

* Providerrouter ist zu lahm, deshalb hat der Kunde sich einen zusätzlichen Kabel BW Anschluss über die FB ins Netz
gehängt.

Und der stellt das IP-Netz 192.168.100.x bereit. Siehe Fragestellung: "In der Fritzbox wird das Kabelmodem auf den IP-Bereich 192.168.100.0 geroutet."

* Auf den Provider Router hat er vermutlich keinerlei Zugriff ?! (geraten)

Das ist klar.


* Nun möchte er das wenn er ins RZ Netzwerk über den Dienstleister geht das weiterhin über dessen Router rennt aber
wenn er so ins Internet will das das über die FB rennt.


Und was ist an meinen restlichen Aussagen falsch?

Mein Kommentar bezog sich ja darauf, dass er auf die Client-NICs jeweils 2 IP-Adressen legen wollte:

Zitat von HSS-HK:
1. Die meisten Clients benötigen eine feste IP vom Rechenzentrum.
2. Ich kann am Router des RZ den DHCP nicht abschalten, und zwei DHCP wären glaube ich fatal.
Ich könnte doch an allen Clients die erste IP-Adresse mit Gateway auf die Fritzbox einrichten und als zweite IP-Adresse die RZ-Adresse (10.xxx) eintragen. Als > 1. DNS könnte ich dann die Fritzbox und als zweite DNS das RZ eintragen. Das mit dem Proxy bei Mozilla und ohne Proxy bei Opera könnte dann klappen.


Das die Lösung mit einem weiteren Router die "sauberste" Variante ist, ist ja auch unbestritten. Kostet aber einen weiteren Router und dessen Konfiguration. Und es setzt voraus, dass die RZ-Applikation über NAT funktioniert.

Zitat von HSS-HK:
1. Die meisten Clients benötigen eine feste IP vom Rechenzentrum.


Meine Lösung mit den unterschiedlichen Proxy-Einstellungen in den Browsern funktioniert, ist bei mir aus ganz anderen Gründen so im Einsatz.

Diese Lösung kostet nichts und entspricht genau seinen Vorgaben:

Zitat von HSS-HK:
Mozilla weiterhin den Proxy und den Telekom Router nutzt, aber Opera über die Fritzbox (192.168.100.x)



Jürgen
Mitglied: aqui
aqui 07.08.2014 aktualisiert um 19:10:54 Uhr
Goto Top
@chiefteddy
Du hast natürlich recht, sorry war etwas voreilig. Es bezog sich auch nur auf die Äußerung " in diesem Netz betreibst Du 2 unterschiedliche IP-Netze : 10.x.x.x und 192.168.100.x" denn die betreibt er ja noch nicht bzw. getrennt sondern hat es vor.
Ist aber korrigiert !

Nicht ganz richtig ist aber dennoch "Und es setzt voraus, dass die RZ-Applikation über NAT funktioniert. "
Das setzt der Koppelrouter mit NAT eben nicht voraus denn genau das NAT bewirkt das das Dienstleister 10er Netz gar nichts von der Umstellung merkt da ja auch weiterhin alle Clients über eine 10er Adresse arbeiten.
Die Lösung über dem Browser klappt natürlich auch, keine Frage. Knackpunkt ist aber hier das man den Clients als Standardgateway dann die Fritzbox konfigurieren muss.
Da er aber alle Client IPs im 10er Netz vom Dienstleister Router per DHCP bekommt geht das nur wenn dieser Router nur einen Pool von Adressen im 10er Netz vergibt (was zu 99% zu vermuten ist) und die verwendete Subnetzmaske dort kennt.

OK für einen kundigen Netzwerker keine große Tat, denn das hat man mit dem Wireshark in nichtmal 10 Sekunden ermittelt.
Man würde den Clients dann statische IPs außerhalb des Pools vergeben, die Fritzbox auf eine eben solche 10er IP umstellen und der FB dann eine statische Route verpassen für das Zielnetzwerk im RZ mit next Hop Gateway auf den Dienstleister Router bzw. dessen IP.
So, und da hast du zweifelsohne Recht, würde man es machen ohne jeglichen finanziellen Aufwand mit ein wenig Konfig Arbeit.
Voraussetzung ist allerdings die Bedingungen im 10er Client Netz sind so wie oben geschildert und der Kollege HSS-HK hat die grundlegensten Kenntnisse das umzusetzen, was ja eigentlich auch nicht schwer ist.

Es führen halt viele Wege nach Rom....
Mitglied: chiefteddy
chiefteddy 07.08.2014 um 19:27:40 Uhr
Goto Top
Zitat von @aqui:

Nicht ganz richtig ist aber dennoch "Und es setzt voraus, dass die RZ-Applikation über NAT funktioniert. "
Das setzt der Koppelrouter mit NAT eben nicht voraus denn genau das NAT bewirkt das das Dienstleister 10er Netz gar nichts von der
Umstellung merkt da ja auch weiterhin alle Clients über eine 10er Adresse arbeiten.


Hallo Aqui,

rein netzwerktechnisch ist das richtig. Ich hatte aber schon einige Male das Problem, dass die auf dem Server gehostete Anwendung (zB. Lizenz-Server), warum auch immer, nicht nur die IP-Adresse der Clients auswertete, sondern auch MAC-Adresse, Netbios-Name und andere "Schweinereien". Insofern muß die Routerlösung mit NAT getestet werden oder man läßt sich sein Scenario vom RZ "freigeben".

Jürgen
Mitglied: aqui
aqui 08.08.2014 um 11:15:09 Uhr
Goto Top
Mac Adresse kann ja niemals sein bei solch einer Auswertung, denn dann wäre so eine App nicht routingfähig was sie aber beim TP ja sein muss. Als Mac steht da ja als Absender MAC immer die Mac des Routers drin ?!
Aber alles andere könnte theoretisch sein, keine Frage. Wie immer: "Versuch macht klug !"
Jetzt ist der TO erstmal wieder dran mit einer Umsetzung des ganzen !!!
Mitglied: Lochkartenstanzer
Lochkartenstanzer 08.08.2014 um 11:30:34 Uhr
Goto Top
Zitat von @aqui:

Mac Adresse kann ja niemals sein bei solch einer Auswertung, denn dann wäre so eine App nicht routingfähig was sie aber
beim TP ja sein muss. Als Mac steht da ja als Absender MAC immer die Mac des Routers drin ?!

ich kenne Anwendungen, die binden die Lizenz an die Macadresse und die wird dann bei der Lizenzauswertung mitschickt. D.h. die Client packt dann seine Mac-Adresse in die Protokolle der höheren Schichten. Von daher können die Server schon durchaus erkennen, ob die Mac noch stimmt. da haben dann Routing udn NAt keinen Einfluß.

lks
Mitglied: aqui
aqui 08.08.2014 um 14:12:24 Uhr
Goto Top
Iiihh... wie perfide ist das denn ? OK, so geht das dann natürlich aber das wäre ja dann für den obigen Fall kein Problem, denn die original Clients schickten ja dann auch "ihre" Mac in der App mit. Da wär dann alles wieder sauber face-wink
Mitglied: HSS-HK
HSS-HK 01.09.2014 um 09:10:09 Uhr
Goto Top
Hallo Netzgemeinde,

ich bin wieder online.
Leider ist die Umstellung noch nicht eingerichtet da zuerst der Kunde den Termin verschoben hat und anschließend bin ich in Uhrlaub gefahren. Der neue und hoffentlich letzte Termin für die Umsetzung ist am 9.9. und am 10.9.2014.
Ich werde euch das Ergebnis und die Lösungskonfiguration zeitnah mitteilen und möchte mich schon mal recht herzlich für die Unterstützung bedanken.

hk
Mitglied: aqui
aqui 03.09.2014 um 19:49:44 Uhr
Goto Top
Wir sind weiterhin gespannt....!