Jump to content

Verbinden mehrerer Subnetzte


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Guten morgen,

 

ich habe folgendes Problem bei der Umstellung meiner Netzwerkinfrastruktur.

 

Momentan habe ich ein einziges großes Netz

IP: 10.1.0.0

SM: 255.255.0.0

Zum besseren Überblick wurde an alle Server 10.1.1.0, Workstations 10.1.2.0, Drucker 10.1.6.0 usw. vergeben.

 

Da ich jetzt auf eine neue Firewall umstelle (CheckPoint) möchte ich auch gleich die Netze etwas verkleinern, dabei sollen sich aber die IP Adressen nicht ändern. Ich habe vor einfach die Subnetmask etwas zu verkleinern.

SM: 255.255.255.0

 

 

Jetzt zu meiner eigentlichen Frage :D

Es müsste doch funktionieren wenn ich der Internen NIC der Firewall die

IP: 10.1.1.1

SM: 255.255.0.0

gebe, dass sie als Router für alle Subnetzte fungiert. Sie muss nur bei allen Rechnern als Default Gateway eingetragen sein, oder?

Ich möchte nämlich nicht für jedes Subnetz eine eigene NIC einbauen (außerdem hat der Firewallrechner nicht soviele Steckplätze :D )

Link zu diesem Kommentar

Nach allen Regeln von TCP/IP geht da nicht. Funktioniert aber trotzdem.

Wir hatten mal einen Router, der leider nur eine IP-Adresse annehmen konnte. Wir haben folgendes konfiguriert

Router 192.168.1.1 255.255.0.0

Netz1 192.168.1.0/24

Netz2 192.168.2.0/24

Beide Gateway 192.168.1.1

Wie gesagt: der reinen Lehre nach geht s nicht, es geht aber...

 

Zwischen den Netzen wurde dabei nicht geroutet (das war auch der Sinn der Sache) lediglich aus beiden Netzen ins Internet.

Um zwischen den Netzen zu Routen müsste Dein Router irgendwelche Einstellungen haben. Ob der das kann wage ich zu bezweifeln.

Kannst Du der Firewall nicht zwei IP-Adressen geben?

 

Ich denke am Ende wirst Du mit dem großen Netz leben müssen, oder alle IPs anfassen müssen.

Michael

Link zu diesem Kommentar

Hallo,

 

Da ich jetzt auf eine neue Firewall umstelle (CheckPoint) möchte ich auch gleich die Netze etwas verkleinern, dabei sollen sich aber die IP Adressen nicht ändern. Ich habe vor einfach die Subnetmask etwas zu verkleinern.

SM: 255.255.255.0

Dabei werden die Netze in der Tat kleiner. Nach deiner Beschreibung hast Du dann ein Netz für die Server, eins für die Clients und eins für die Drucker. Das macht herzlich wenig Sinn.

 

Gruß kobalt

Link zu diesem Kommentar
Original geschrieben von micha42

Nach allen Regeln von TCP/IP geht da nicht. Funktioniert aber trotzdem.

...

Kannst Du der Firewall nicht zwei IP-Adressen geben?

...

Michael

 

Hallo Michael,

 

danke für deine Antwort. Ich bin der Meinung, das es seit CIDR und VLSM auch offiziell funktionieren müsste.

Ich kann einem Interface leider nur zwei IPs zuweisen, das reicht aber bei weitem nicht aus.

 

Evtl. kann mir jemand anders noch weiterhelfen?

Link zu diesem Kommentar
Original geschrieben von kobalt

Hallo,

 

Dabei werden die Netze in der Tat kleiner. Nach deiner Beschreibung hast Du dann ein Netz für die Server, eins für die Clients und eins für die Drucker. Das macht herzlich wenig Sinn.

 

Gruß kobalt

 

Hallo Kobalt,

 

der Sinn liegt darin, dass ich über die Firewall Regeln erstellen kann und somit den Zugriff auf die Server aus dem Internen Netz limitieren kann, ähnlich einer DMZ.

Link zu diesem Kommentar
Original geschrieben von Josh16

...

Ich bin der Meinung, das es seit CIDR und VLSM auch offiziell funktionieren müsste.

mußte gerade erstmal nachgucken was das nun wieder für Abkürzungen sind. Lief bei mir bis dahin unter "Subnetting". ;)

 

Naja was die Begründung angeht:

Das Gateway muß meines Wissens (für die reine Lehre) im gleichen Subnetz liegen wie der Host. Was bei der beschreibenen Konfiguration definitiv nicht der Fall ist. Warum es aber trotzdem funktioniert weiß ich nicht. Das kann dann wieder an den Abkürzungen CIDR und VLSM liegen. :D

Evtl. kann mir jemand anders noch weiterhelfen?

Pöh ;)

Michael

Link zu diesem Kommentar

Hallo Josh16,

der Sinn liegt darin, dass ich über die Firewall Regeln erstellen kann und somit den Zugriff auf die Server aus dem Internen Netz limitieren kann, ähnlich einer DMZ.

Das ist schon klar, aber es macht - zumindest in den Fällen die ich mir denken kann - keinen Sinn, ALLE Server in eine DMZ zu stellen. Vor welcher Art Angriffen von innerhalb musst Du deine Server denn schützen? Die Clients müssen ja regelmässig mit den Servern kommunizieren (DHCP, DNS, DC) und wenn alles über Router laufen muss verlierst Du nur Geschwindigkeit. Wo wäre Deiner Ansicht nach der Gewinn?

 

Gruß kobalt

Link zu diesem Kommentar
Original geschrieben von kobalt

Hallo Josh16,

 

Das ist schon klar, aber es macht - zumindest in den Fällen die ich mir denken kann - keinen Sinn, ALLE Server in eine DMZ zu stellen. Vor welcher Art Angriffen von innerhalb musst Du deine Server denn schützen? Die Clients müssen ja regelmässig mit den Servern kommunizieren (DHCP, DNS, DC) und wenn alles über Router laufen muss verlierst Du nur Geschwindigkeit. Wo wäre Deiner Ansicht nach der Gewinn?

 

Gruß kobalt

 

Es geht nicht nur um Angriffe von z.B. Würmern die eingeschleppt werden. Es geht hauptsächlich um Berechtigungen. Es gibt Abteilungen die haben auf manchen Servern nichts verloren.

Für die Kommunikation über die Standartdienste werden natürlich entsprechende Ports freigegeben. Ich halte es für ein Gerücht das ein Router wesentlich langsamer ist als ein Switch.

Link zu diesem Kommentar
Es geht hauptsächlich um Berechtigungen. Es gibt Abteilungen die haben auf manchen Servern nichts verloren.

Dann dreh die NTFS-/Freigabe-Berechtigungen zu. Das wäre der einfachste Weg.

 

Ob sich die Geschwindigkeit in der Praxis tatsächlich bemerkbar macht, müsste man natürlich erst einmal messen. Theoretisch ist es aber langsamer (z.B. DHCP).

 

kobalt

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...