Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Routing von mehreren Netzen über einen Router

Frage Netzwerke Router & Routing

Mitglied: blackpuma

blackpuma (Level 1) - Jetzt verbinden

24.03.2011, aktualisiert 18.10.2012, 4856 Aufrufe, 10 Kommentare, 1 Danke

Schönen guten Tag!

bei uns steht eine kleine Umstrukturierung an und daraus resultiert meine Frage.

Wir haben 3 Standorte. Zwei Office und am dritten stehen die Server. Diese sind in einem MPLS Netz über den Provider Verbunden. Jetzt gibt es allerdings umstrukturierungen und das erfordert eine Erweiterung. Aufgrund der Übersichlichkeit ist im Bild nur 1 Office eingezeichnet.

Bestand jetzt ist VLAN 1 und MPLS 1. Dazu sollen die übrigen Teile kommen wie auf dem Bild zu sehen sind. 43ad83286a7adbefd884e1b6da547bd4 - Klicke auf das Bild, um es zu vergrößern

Dabei soll dann VLAN 1 auf MPLS 1 zugreifen können. VLAN 2 auf MPLS 2 und weiter über einen Router auf MPLS 1. Ist dies so durchführbar? MPLS 1 aber nicht auf MPLS 2.

BG
Andreas
Mitglied: SlainteMhath
24.03.2011 um 11:20 Uhr
Moin,
die Antwortet lautet: Ja, wenn der Router das kann geht das

lg,
Slainte
Bitte warten ..
Mitglied: Anton28
24.03.2011 um 11:28 Uhr
Servus Andreas,

- Welche Router sind im Einsatz ?
- Wer ist der Leitungsprovider ?
- Wie ist die IP-Struktur der Standorte ?

Wie Slainte schon sagte, wenn der Router das anbietet dann geht das.

Gruß

Anton
Bitte warten ..
Mitglied: blackpuma
24.03.2011 um 12:30 Uhr
Es sind großteils Cisco 1700 im Einsatz. Provider ist die Telekom.
Bitte warten ..
Mitglied: aqui
24.03.2011 um 19:55 Uhr
Ja, die Cisco 1700er Router supporten das mit ACLs und PBR absolut problemlos. Das ist ein simpler 5 Zeiler in der Konfig !
Bitte warten ..
Mitglied: keksdieb
31.03.2011 um 20:24 Uhr
Moin moin,

ich habe ein ähnliches Thema:

Mein Router (Cisco 1841) hat 6 Netzwerkkarten, eine hängt im lokalen Netz (FE0/1) und eine im Internet mit fester IP Adresse (FE0/0).

Nun sollen 2 weitere Netzwerke mit eigener IP Range und eigenem Subnetz erstellt und über die IP Adresse FE0/0 geroutet werden.
Allerdings habe ich gerade eine Denkblockade

Ich habe ja die Route 0.0.0.0 0.0.0.0 auf die IP Adresse von FE0/0 geroutet, wie route ich nun FE0/1/0 und FE0/1/1 auf das Gateway?
Ich stehe gerade auf dem Schlauch und brauche einen Denkanstoss...

Gruß Keksdieb
Bitte warten ..
Mitglied: aqui
01.04.2011 um 09:35 Uhr
@keksdieb
Deine Beschreibung ist etwas konfus und wirr, sorry. Sinnvoll versteht man daraus das du 2 weitere IP Netze einfach ins Internet routen willst ist das so richtig ?
Was unklar ist: Liegen diese IP Netze parallel mit im lokalen Netz, also fährst du mehrere logische IP Netze "auf einem Draht" ?
Wenn dem so ist dann vergibst du dem Interface an FE 0/1 einfach 2 "secondary" IP Adressen und gut ist.

Bedenke aber das das TCP/IP Protokoll generell sowas nicht zulässt und du Probleme mit ICMP Paketen usw. bekommen kannst. Außerdem machst du ein lokales Routing auf einem Draht was bei Cisco in der Regel Process switched ist also immer direkt über die CPU geht.
Wenn du 6 separate Interfaces hast was hindert dich denn dadran diesen IP Netzen auf dedizierte Router Interfaces zuzuweisen ??
Damit hättest du dann eine sinnvollere und zudem technisch bessere Lösung.
Alternativ gehst du über VLANs und legst einen Trunk auf den Router mit Subinterfaces.
Auch das ist allemal sinnvoller und technisch besser als mit Secondary IP Adressen auf dem gleichen Interface zu arbeiten !

Reicht dir das erstmal als Denkanstösse um deine Blockade zu beseitigen ?!
Bitte warten ..
Mitglied: keksdieb
01.04.2011 um 13:36 Uhr
Hmm... irgendwie bin ich jetzt verwirrter als vorher :D

Ich komm nochmal neu rein:

Fakten:
Produktiv LAN = 192.168.0.0 / 24
VPN Client LAN = 192.168.1.0 / 24
DMZ = 192.168.2.0 / 24

Eine Cisco 1841 mit FE 0/0 und FE 0/1 (Standard)
Eine Netzwerkkarte für die 1841 mit 4 weiteren Ports (FE 0/1/0 bis FE 0/1/3)

Auf dem Netzwerkport FE 0/0 liegt die feste IP vom Provider (z.B. 1.2.3.4)

das interne Netzwerk 192.168.0.0 / 24 greift mit der Route 0.0.0.0 0.0.0.0 1.2.3.4 auf das Internet zu.

Jetzt möchte ich gerne das Netzwerk DMZ über die externe IP erreichbar machen und die DMZ zum Produktiv LAN per ACL (das klappt bereits) einschränken.

Das VPN Client Netzwerk soll ebenfalls per ACL kontrolliert ins Produktiv LAN geroutet werden.
Das Problem ist allerdings, dass DMZ und VPN eine eigene externe IP Adresse bekommen sollen (auf eine der übergebliebenen FE Interfaces).

Hoffentlich hab ich jetzt etwas transparenter beschrieben...

Das Routing aus dem Produktiv-Lan funktioniert, allerdings können alle anderen Interfaces ebenfalls das Produktiv-Lan und das Interface FE 0/0 erreichen.

Irgendwie stehe ich gedanklich vollkommen auf dem Schlauch

/Edit
Ich könnte ja auf den jeweiligen Interface den Zugriff auf das andere Netzwerk generell (bis auf die gewünschten Protokolle) verbieten!
Aber wie sage ich dem Interface 0/1/0 gehen über Interface 0/1 ins Netzwerk 192.168.0.0 ...?

Och ich Depp.... einfach statische Routen eintragen und den Rest erledigt das IOS!
Oder sehe ich das falsch?

Gruß Keksdieb
Bitte warten ..
Mitglied: aqui
02.04.2011, aktualisiert 18.10.2012
Mmmhhh, irgendwie machst du da wohl einen Denkfehler und/oder siehst den Wald vor lauter Bäumen nicht ?
Wo ist denn dein Problem du hast doch genug Interfaces am Router um das im Handumdrehen zu realisieren:
  • Provider an Interface FE 0/0
  • DMZ an Interface FE 0/1
  • Produktiv LAN an Interface FE 0/1/0
  • VPN LAN an virtuelles Template Interface
Fertich ist der Lack ! Aussehn sollte das dann so wenn man deine o.a. Beschreibung richtig versteht:

3856db65765e538fc49b3b466252b3b7 - Klicke auf das Bild, um es zu vergrößern

Die dazu korrespondierende Cisco Konfig sähe dann ungefähr so aus:

service timestamps log datetime localtime
!
hostname router
!
username Dialin password Geheim
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
ip domain-name keksdieb.de
ip name-server 8.8.8.8
ip dhcp excluded-address 192.168.0.1 192.168.0.199
ip dhcp excluded-address 192.168.0.250 192.168.0.254
!
ip dhcp keksdieb
network 192.168.0.0 255.255.255.0
domain-name keksdieb.local
dns-server 8.8.8.8 1.2.3.4
default-router 192.168.0.254
lease 0 3
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
interface FastEthernet0/0
description Provider vom Keksdieb
ip address 1.2.3.4 255.255.255.252
ip nat outside
no cdp enable
!
interface FastEthernet0/1
description DMZ vom Keksdieb
ip address 172.16.1.254 255.255.255.0
ip nat inside
!
interface FastEthernet0/1/0
description Lokales LAN vom Keksdieb
ip address 192.168.0.254 255.255.255.0
ip nat inside
!
interface Virtual-Template1
description PPTP Dialin Interface fuer Keksdiebs VPN
ip address 192.168.1.0 255.255.255.0
no keepalive
peer default ip address pool pptp-dialin
ppp encrypt mppe auto
ppp authentication pap chap ms-chap
!
ip local pool pptp-dialin 192.168.1.1 192.168.1.100

ip nat inside source static tcp 172.16.1.200 80 1.2.3.4 80 extendable
ip nat inside source list 103 interface FastEthernet 0/0 overload
ip route 0.0.0.0 0.0.0.0 1.2.3.5
no ip http server
!
access-list 103 permit ip 192.168.0.0 0.0.0.255 any
!
ntp server 131.188.3.223
end

Statische Routen sind völliger Unsinn, denn dein Router kennt doch alle IP Netze die an ihm dran sind. Das einzige was du benötigst ist einen Default Route Richtung Provider die du ja vermutlich schon hast.
Du musst dem Router also nicht sagen das er zum lokalen LAN via 0/1/0 gehen muss, denn der ist so intelligent das er das anhand der Zieladresse im Paket sofort selber weiss ! Dafür ist er ja ein Router !
Das o.a. Beispiel geht von einer DMZ mit RFC 1918 IP Adressen aus, deshalb auch das Beispiel wie du z.B. einen Webserver in der DMZ (172.16.1.200) mit einem static NAT Eintrag von außen erreichen kannst. Sollte deine DMZ aus öffentlichen IP Adressen bestehen, entfällt das static NAT Statement natürlich logischerweise ! Ebenso das NAT Statement auf dem DMZ Interface selber.

Im o.a. Beispiel sind jetzt allerdings keine ACLs für die DMZ und das VPN (hier im Beispiel PPTP Dialin für Win, Apple, iPhone usw. mit Standard Onboard Clients) mit berücksichtigt !
Den Zugriff der einzelnen Interfaces untereinader regelst du ausschliesslich über Acces Listen, den. Routen zwischen allen Interfaces kann der Router ja schon alleine wie du ja selber treffend bemerkst.
Bei der VPN Adresswahl hast du vermutlich ein paar Haschkekse zuviel gegessen, denn deine Adresswahl fürs VPN ist nicht gerade besonders intelligent. Wird dir auch sicher selber schnell bewusst wenn du DAS hier einmal genau durchliest:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html ...

Wo also ist denn nun genau dein Problem ??
Bitte warten ..
Mitglied: keksdieb
02.04.2011 um 19:39 Uhr
Aqui,

ich sach mal danke fürs Augen öffnen...!!!
Wald und Bäume treffen mein Problem ziemlich genau

Danke für die ausführliche Hilfe

Gruß Keksdieb

PS: lädst du die Grafiken irgendwo hoch und verlinkst sie dann? Wollte dir die grafische Darstellung auch gerne posten.
Bitte warten ..
Mitglied: aqui
03.04.2011 um 12:40 Uhr
Ganz einfach über die "Bilder hochladen" Funktion hier bei Administrator.de ! Siehe FaQ oder PM.
Wenn du deine Zugriffsbeschränkungen beschreibst versorgen wir dich gerne hier auch noch mit den korrekten ACLs für deinen Router
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
InterVlan Routing mit Linksys LRT224 Dual WAN Gigabit VPN Router (1)

Frage von darkliving zum Thema Router & Routing ...

Netzwerke
gelöst FritzboxLAN2LAN mit dahinterliegendem Router: Nur One-Way-Routing möglich (13)

Frage von SnowCrush zum Thema Netzwerke ...

Router & Routing
gelöst Routing zwischen zwei Netzen (31)

Frage von Xaero1982 zum Thema Router & Routing ...

Netzwerkprotokolle
DD-WRT Router: Frage zum Routing (13)

Frage von D46505Pl zum Thema Netzwerkprotokolle ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...