Neuling: Routing zwischen zwei LANs

  • Hallo zusammen,


    ich muß ein bestehendes Netzwerk um einen weiteren IP-Adressbereich erweitern, da die IPs knapp werden und bin dabei auf die Endian gestoßen. Sah soweit vielversprechend aus, jedoch so simpel es sein mag, ich bekomme es einfach nicht hin:


    Das bestehende Netzwerk hat 192.168.0.0/24 mit einem Router 192.168.0.1 und soll durch die Endian mit einem neuen 192.168.1.0/24 verbunden werden.


    Wenn ich es richtig verstanden habe, benötige ich dazu den "No Uplink Modus." Ich habe den "Netzwerksetup Wizard" durchlaufen lassen und habe nun folgendes Szenario:


    Rot: 192.168.0.1 (muß doch die IP des Routers sein, oder?)
    Grün: 192.168.0.253 (muß bei "no Uplink" doch aus dem Bereich von Rot sein, oder?)
    Blau: 192.168.1.1
    DHCP auf Blau mit 192.168.1.9 - 192.168.1.253


    PCs in Blau bekommen IPs zugewiesen, als Gateway bekommen sie 192.168.1.1, kommen aber nicht ins Internet oder ins grüne Netz - auch nicht, wenn ich die Inter-Zone Firewall deaktiviere. Sie könenn lediglich 192.168.0.253 und 192.168.1.1 anpingen, sonst nichts.
    Richte ich eine Route ein: Quelle leer=alle, Ziel 192.168.0.0/24 mit Gateway 192.168.0.253 so passiert auch da nichts.


    Was mache ich falsch?
    Besten Dank im Voraus,
    Thilo

  • Moin,


    "" Rot: 192.168.0.1 (muß doch die IP des Routers sein, oder?)""


    Nein, darf nicht die IP des Routers sein, muss also 192.168.0.2 sein und als Standardgateway
    trägst du 192.168.0.1 ein




    "" Grün: 192.168.0.253 (muß bei "no Uplink" doch aus dem Bereich von Rot sein, oder? )""


    Nein, muss ein andere Bereich sein also z.B. 192.168.1.1


    Blau dann 192.168.2.1


    Orange dann 192.168.3.1



    Grüße Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

  • Danke für Deine Hilfe!


    Ich habe es fast hinbekommen, aber anders.
    Ich glaube, ich habe den Modus "Kein Uplink" mißverstanden. EFW agiert dann ja nicht als Gateway. Wie aber vermittelt EFW dann zwischen den Netzen? Und warum wird man trotzdem nach einer Uplink/ROT IP gefragt? Wahrscheinlich genau dafür... :)


    Sabine schrieb:

    Nein, darf nicht die IP des Routers sein, muss also 192.168.0.2 sein und als Standardgateway trägst du 192.168.0.1 ein


    Ich dachte, ROT ist das Gateway? Bei "Kein Uplink" wird man nicht wie z.B. bei "geroutet" nach einer IP für ROT gefragt bzw. nur nach einem Gateway. Da ist der Wizard mißverständlich, hier wird meines Erachtens nur nach dem Gateway gefragt, nicht nach ROT:


    efw-forum.de/index.php?attachment/874/
    Auch wenn ich hier 192.168.0.1 (Router-IP) eintrage, ändert sich nichts.


    Sabine schrieb:

    Nein, muss ein anderer Bereich sein also z.B. 192.168.1.1

    Aber ich muß der EFW doch sagen, wie sie ins bestehende Netzwerk kommt. Ich dachte, GRÜN hänge ich ins bestehende Netzwerk und nutze BLAU für die Erweiterung? Steht zumindest in dieser Knowledge-Base so (hier heißt der Modus noch "Gateway" statt jetzt "Kein Uplink"):


    Zitat

    Note
    If you require a configuration where you will not need a Red (WAN) interface, you can select Gateway as the connection type and this will allow you to deploy the Endian in a semi-transparent configuration. This option will allow you to deploy the Endian into a network using the Green (LAN) interface as your primary network connection and using an existing gateway that lives within the Green network.


    Ich versuche es mit Deinen Angaben nochmal von vorn: Ziel : ein bestehendes Netzwerk 192.168.0.0./24 hat ein Gateway 192.168.0.1 zum Internet und soll um ein Netzwerk 192.168.1.1 erweitert werden. Alle sollen über 192.168.0.1 ins Internet kommen.
    Netzwerksetup Wizard starten:

    • Kein Uplink
    • BLAU
    • Ich habe zwei Netzwerkkarten in der Endian GRÜN = eth1 = soll ich 192.168.1.1 geben, BLAU = eth0 = gebe ich 192.168.2.1
    • ROT: Da sagst Du soll ich 192.168.0.2 eintragen

    Ich schalte in der EFW testweise alle Firewalls aus, schließe eth1 = GRÜN an das bestehende Netzwerk an, verbinde einen PC mit eth0, gebe ihm eine IP 192.168.2.2. Dann kann ich mit dem PC die 192.168.1.1 und die 192.168.2.1 anpingen., aber nichts aus dem bestehenden Netzwerk 192.168.0.0./24.


    Ich gehe über SSH auf die EFW, pinge 192.168.0.1 oder 192.168.0.2 an:
    connect: Network is unreachable
    Trage ich bei Punkt 4 192.168.0.1 ein, ändert das nichts.


    Wundert mich nicht, schließlich sagt route -n nicht mehr als:


    Kernel IP routing table
    Destination Gateway Genmask Flags Metric Ref Use Iface
    192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
    192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 br2


    Vermutlich muß man in dem Fall auf den Clients eine statische Route eintragen, ich hatte gehofft, das wäre nicht nötig.


    Nochmal anders: Netzwerksetup Wizard starten:

    • geroutet, ROT Ethernet statisch
    • NICHTS
    • GRÜN = eth1 = 192.168.1.1
    • ROT = eth0 = 192.168.0.2, lokales Gateway = 192.168.0.1 (Router-IP)

    Ich verbinde einen PC mit eth1, gebe ihm eine IP 192.168.1.2. Dann kann ich mit dem PC alles anpingen, komme auf Netzwerkfreigaben aus dem bestehenden Netzwerk und ins Internet. :thumbsup:


    Wermutstropfen: in der Netzwerkumgebung werden nur PCs aus grün angezeigt, das war bei dem Setup aber zu erwarten und sollte eigentlich durch die "Kein Uplink" Variante möglich sein. Ich habe in der EFW unter "Hosts bearbeiten" Geräte (Drucker, NAS, etc.) aus dem bestehenden Netzwerk hinzugefügt, so daß sie weiterhin unter dem bekannten Namen erreichbar sind.


    Besser wär' aber anders...


    Grüße,
    Thilo

  • Hallo, wenn es nur um mehr Rechner geht, warum nimmst du dann nicht eine andere Subnetzmaske ?
    Also : 192. 168.0.0/22 das reicht für 1000 Rechner . .




    Vielleicht hier noch mal eine übersicht wie man das Netzwerk der Endian einrichtet.


    http://www.hardwarecrash.de/in…r-eindian-firewall-teil-3


    Grüße Henning

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

  • Weil es auf dem Router ein recht komplexes Routing gibt. Der Router leitet HTTP-Anfragen über Modem/Leitung A, POP/IMAP/SMTP über Modem/Leitung B, einen Zugang eines Dienstleisters über eine dritte Internetleitung C.


    Ich habe bereits versucht, "einfach" die Netzmaske auf /20 zu ändern, aber dann kam alles andere durcheinander. Deshalb soll dieses komplexe Setup nicht angefaßt und das bestehende Netz um ein anderes erweitert werden.


    Gruß,
    Thilo

  • "" Der Router leitet HTTP-Anfragen über Modem/Leitung A, POP/IMAP/SMTP über Modem/Leitung B, einen Zugang eines Dienstleisters über eine dritte Internetleitung C. ""



    Wenn der Router 3 Wan Schnittstellen hat und er Http und POP/IMAP/SMTP auf 2 Leitungen aufteilt und der Dienstellenleiter eine eigene Leitung hat ( ich gehe davon aus das er eine eigene IP hat die im Router auf die dritte Schnittstelle gelegt wird ) muss der Rechner des Dienstellenleiters auf den Router direkt gelegt werden. Parallel dazu kommt dann die Endian dran, mit einer Grünen Zone und einer Blauen Zone. Dann hast du zwei voneinander getrennte Netze die nach der Endian automatisch auf die 2 Leitungen vom vorgeschalteten Router geleitet werden. Oder du machst hinter der Endian nur ein Netz ( Grün ) mit einer 22 Bit Maske.



    Was ist das für ein Router ?
    Weißt du wie er konfiguriert ist ?
    Wie viele Rechner hast du da denn im Netz ?


    Grüße Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

  • Wohl ein Mißverständnis: Es ist kein interner "Dienststellenleiter" mit einem PC im LAN, sondern ein externer Dienstleister, der Remote aufs Netzwerk über einen eigens dafür abgestellten Internetanschluß Zugriff bekommt.


    Es handelt sich um einen bintec RS232b, der sehr komplex konfiguriert ist :) Von mir gemachte Änderungen wurden nicht übernommen, trotz Neustart. An Clients sind es mit allen Pods und Pads und Phones etc. bestimmt 200 - 300.
    Aufgrund der Komplexität der Konfiguration und der Weigerung des bintec, Änderungen zu übernehmen, hatte ich an die Lösung mit dem zweiten Netz gedacht.


    Grüße
    Thilo

  • Hallo, bei dem Bintec handelt es sich um eine „ RICHTIGE „ Firewall !


    Wenn du im Bintec neue Regeln machst, kannst du beobachten ob es funktiniert , wenn du dich selber aussperrst ( ist schon den besten passiert ) machst du einen Neustart und die Konfiguration ist wieder wie vorher !
    Erst wenn alles funktioniert klickst du auf „ Konfiguration speicher „


    Die Bintec Firewall ist aber auch was für Leute die sich richtig auskennen . .


    Grüße Sabine


    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

  • "Die Bintec Firewall ist aber auch was für Leute die sich richtig auskennen . ."


    Ich weiß, da gibt es von Bintec m.W. extra Lehrgänge...
    Ich hatte Änderungen vorgenommen, die aber nicht gegriffen haben. "Konfiguration speichern" hatte ich angeklickt.
    Naja, um nicht alles zu vermurksen wollte ich eben auch die Endian zwischenschalten...


    Gruß
    Thilo