2 Standorte - 1 Internetzugang

[scheichkind]

Hallo zusammen,

ich bin der Neue... und hätte gleich mal eine Frage zur Konfiguration unserer Lancom-Router.

Wir haben hier 2 Standorte, die über jeweils ihr eigenes Subnetz verfügen (Netz-1: 192.168.10.0/24, Netz-2: 192.168.20.0/24). Zur Zeit verfügt noch jeder Standort über einen eigenen Zugang zum Internet. Die beiden Standorte sind über eine Richtfunkstrecke mit 2x Lancom OAP-310agn miteinander verbunden und so konfiguriert, dass die Netze sich gegenseitig "sehen" - das ist auch so gewünscht. Zur Zeit verfügt noch jeder Standort über ein eigenes Gateway zum Internet. Wir haben nun aber in Netz-1 einen sehr schnellen Internetzugang: Netz-1 nutzt als Router ins Internet einen Lancom 1711+ VPN (IP: 192.168.10.1, wird bald durch einen aktuelleren Lancom mit Gigabit-LAN ersetzt), der hinter einem Unitymedia Kabelmodem hängt. Diesen Zugang möchte ich gerne auch für Netz-2 verfügbar machen und das 2. Gateway abschalten.

Zur Zeit ist der OAP-310 in Netz-2 so konfiguriert, dass alle Anfragen ins .10er Subnetz durchgeroutet werden, alle anderen Anfragen an Gateway 2 gehen -> die sollten aber künftig an Gateway 1 gehen, also direkt an die 192.168.10.1. An welchen Rädern muss/sollte ich drehen, um das zu realisieren? Reicht es, die Einstellungen im OAP-310 in Netz-2 anzupassen?

Gruß Dirk

[garfield0815]

endweder du Änderst alles auf ein supnetz was auch zur folge hat das das routing zwischen den 2 standorten flach fällt und es sich auch auf die Übertragungsgeschwindigkeit auswirken dürfte

oder du stellst den gw des internet losen standortauf den oap des standort und in diesen must du dan den standart gw af den des internet routers des gegenüberligenden router eintragen
oder einfach die standart route in deinem jetzigen router auf den schnellen router umleiten

im gegenzug must du aber auch die rückroute definiren

ich sage nur routingtabelle

ggf must du auch noch die dns einstellungen ändern

[scheichkind]

Erstmal vielen Dank für Deine schnelle Antwort, garfield.

Ich fasse das mal zusammen...

Eine Zusammenlegung der Subnetze möchte ich mal ausschließen, das wäre sehr aufwändig.

Nach aktueller IP-Belegung haben die Internet-Gateways jeweils die .1 und die Router der Richtfunkstrecke jeweils die .2, d.h. für

• Netz-1: Router Internet (Gateway) = 192.168.10.1, Router Richtfunk (Master) = 192.168.10.2
• Netz-2: Router Internet (Gateway) = 192.168.20.1, Router Richtfunk (Slave) = 192.168.20.2

An beiden Standorten befindet sich zudem ein Domänencontroller (192.168.10.10 und 192.168.20.10), die jeweils als DHCP- und DNS-Server fungieren.

Wenn ich Dich richtig verstehe, garfield, setze ich in Netz-2 zunächst bei allen Clients (über DHCP) die 20.2 als Gateway. In der Konfiguration des 20.2 das Standard-Gateway auf die 10.1 setzen? Wie/wo mache ich das (Routing-Tabelle?)? Müsste ich nicht auch die Default-Route auf die 10.1 setzen? Wie definiere ich die Rückroute? Ein Beispiel würde mir sehr helfen.
Muss ich tatsächlich auch etwas an den DNS-Einstellungen ändern, wenn das über die Domänencontroller abgewickelt wird?

Für weitere Tipps schon jetzt besten Dank.

Gruß Dirk

[Bernie137]

Hallo Dirk,

Ich antworte Dir mal, so weit ich es bis jetzt verstanden habe. Du hast noch nicht erwähnt, wie es zwischen den beiden OAPs läuft. Gibt es da ein Transfernetz oder wie habt ihr das gelöst? U.U. spielt das eine Rolle im Bezug aufs Routing. Und welcher Router im LAN 1 der Router für alle ist. Ich schreibe mal auf Verdacht.

Eine Zusammenlegung der Subnetze möchte ich mal ausschließen, das wäre sehr aufwändig.

Das ist auch klug so, denn wird es doch mal wieder anders...

Muss ich tatsächlich auch etwas an den DNS-Einstellungen ändern, wenn das über die Domänencontroller abgewickelt wird?

zu den Clients hin überhaupt nicht. Einzig im DNS auf dem Domain Controller im Netz 2 mit 192.168.20.10 musst Du mal schauen, wohin er weiterleitet, vermutlich noch auf den bisherigen Internetrouter 192.168.20.1.

Wenn ich Dich richtig verstehe, garfield, setze ich in Netz-2 zunächst bei allen Clients (über DHCP) die 20.2 als Gateway.

Korrekt.

In der Konfiguration des 20.2 das Standard-Gateway auf die 10.1 setzen? Wie/wo mache ich das (Routing-Tabelle?)? Müsste ich nicht auch die Default-Route auf die 10.1 setzen?

Ja das ist ein und dasselbe, Ip-Router->Routing->IPv4-Routing-Tabelle

Code: Alles auswählen

IP-Address       IP-Netmask       Rtg-tag  Peer-or-IP        Distance  Masquerade  Active   Comment                              
255.255.255.255  0.0.0.0          0        192.168.10.1         0         No          No   

Wie definiere ich die Rückroute? Ein Beispiel würde mir sehr helfen.

Je nachdem wer Router für die Geräte im LAN1 ist. Wenn der Internet-Router 192.168.10.1 der Router für alle Devices ist. Wieder Ip-Router->Routing->IPv4-Routing-Tabelle. Diese Route sollte aber schon existieren, sonst würde es ncht funktionieren. Ist hingegen 192.168.10.2 für alle der Router ist keine Rückroute notwendig, dafür müsste aber eine default INternet Route existieren.

Code: Alles auswählen

IP-Address       IP-Netmask       Rtg-tag  Peer-or-IP        Distance  Masquerade  Active   Comment                              
192.168.20.0     255.255.255.0    0        192.168.10.2         0         No          No   

vg Bernie

[garfield0815]

ob es ein transfer netz gibt dürfte egal sein

wichtig ist das der default gateway vom 2. standort weis das er über den router des 1. netz ins internet gehen soll

grundlage des klasischen routings und ist letzendlich egal welche hardware du hast

wen dü über einen localen dns gehs muss er natürlich wissen wen er fragen soll wen eine dns anfrage kommt

[scheichkind]

Besten Dank Euch beiden, v.a. an Bernie für die ausführliche Antwort. Im Grunde beschreibst Du genau meinen Plan für die Umsetzung, nur leider funktioniert es nicht. Habe das gerade noch mal nachvollzogen und die Schritte 1:1 umgesetzt (zunächst nur auf 1 Client das Gateway geändert). Und ja, es gibt ein Transfernetz, und ich denke, genau hier liegt der Knackpunkt: Die beiden Router der Richtfunkstrecke sprechen sich über ein 10er-Netz an. Der "Master" hat im INTRANET die 192.168.10.2 = 10.0.0.1 im TRANSFER, der "Slave" die 192.168.20.2 = 10.0.0.2. Deswegen funktioniert wahrscheinlich der direkte Zugriff auf die 10.1 nicht, wie ich es in der Routing-Tabelle des 20.2 umgesetzt habe (siehe angehängten Screenshot).

Kurioserweise (für mich ) schmiert bei dem Versuch auch gleich der Internetzugriff (oder nur die Namensauflösung?) aus Netz-1 mit ab! Woher kommt das??? Also erst mal alles zurück gestellt.

ob es ein transfer netz gibt dürfte egal sein

Ist das wirklich so?

[scheichkind]

Angehängt hier noch die Definition des Transfernetzes unter "IP-Netzwerke".

[Bernie137]

Die Routing Tabelle ist von welchem Gerät?
Auf alle Fälle lösche bitte zunächst alle Routen bei denen im Kommentar steht "block private networks" in beiden OAPs (ggf. auch im Internet Router von LAN 1) und teste noch einmal.
Und im LAN 1, wer ist dort das Gateway für alle - der OAP oder der Internet Router?

vg Bernie

[scheichkind]

Die Routing Tabelle ist von welchem Gerät?

Stammt vom Router Richtfunkstrecke in Netz-2, also 192.168.20.2.

Auf alle Fälle lösche bitte zunächst alle Routen bei denen im Kommentar steht "block private networks" in beiden OAPs (ggf. auch im Internet Router von LAN 1) und teste noch einmal.

Mache ich, die "block private networks" standen in der Standard-Konfig - sind jedenfalls nicht von mir angelegt.

Und im LAN 1, wer ist dort das Gateway für alle - der OAP oder der Internet Router?

Der Internetrouter, also die 192.168.10.1, der schickt dann allerdings alle Anfragen an das 20er-Netz an den 192.168.20.1, also den Router Richtfunkstrecke auf Seiten von Netz-1.

[Bernie137]

Dann bin ich der Auffassung sollte im OAP2 die Internetroute wegen Transfernetz anders lauten:

Code: Alles auswählen

IP-Address       IP-Netmask       Rtg-tag  Peer-or-IP        Distance  Masquerade  Active   Comment                             
255.255.255.255  0.0.0.0          0        10.0.0.1          0         No          No   

und im OAP1 dafür eine Internet Route:

Code: Alles auswählen

IP-Address       IP-Netmask       Rtg-tag  Peer-or-IP        Distance  Masquerade  Active   Comment                             
255.255.255.255  0.0.0.0          0        192.168.10.1         0         No          No   

Im Internet Router LAN1 die Rückroute

Code: Alles auswählen

IP-Address       IP-Netmask       Rtg-tag  Peer-or-IP        Distance  Masquerade  Active   Comment                             
192.168.20.0  255.255.255.0          0     192.168.10.2         0         No          No   

Rückroute im OAP1

Code: Alles auswählen

IP-Address       IP-Netmask       Rtg-tag  Peer-or-IP        Distance  Masquerade  Active   Comment                             
192.168.20.0  255.255.255.0          0     10.0.0.2          0         No          No   

Ich hoffe, ich habe jetzt keine Zahlendreher drinnen

vg Bernie

[scheichkind]

Ja, wunderbar, es läuft!! Nochmal ein ganz dickes DANKESCHÖÖÖN, Bernie.
Einen kleinen Haken gibt es noch... ein Ping auf externe Adressen geht nicht, wohl aber der TCP-Zugriff.

VG
Dirk

[Bernie137]

Ja, wunderbar, es läuft!!

Hey prima, das freut mich.

ein Ping auf externe Adressen geht nicht, wohl aber der TCP-Zugriff.

Vom Netzwerk 192.168.20.x aus?
In dem Fall prüfe der Reihe nach, bis wohin Du pingen kannst
- Ping auf 192.168.20.1 (sollte auf jedem Falle gehen)
- Ping auf 10.0.0.2
- Ping auf 10.0.0.1
- Ping auf 192.168.10.2
- Ping auf 192.168.10.1
- Ping auf <WAN IP> des Internet Routers
Beim Internet Router vermute ich, dass dort per Firewall der Ping unterbunden ist, Stichwort Deny-All? Das Netzwerk 192.168.20.x ist vermutlich nicht für Ping ins Internet zugelassen.

vg Bernie

[scheichkind]

Hallo Bernie,

werde am Montag gleich mal alles "durchpingen". Ich vermute hier als Ursache auch eher die Richtfunkstrecke bzw. das Transfernetz, da das Pingen schon vorher z.T. nicht funktionierte ins jeweils andere Subnetz. So konnte ich zwar den Router gegenüber und auch noch den Server anpingen, nicht aber die Clientrechner. Ping vom Netz-1 ins Internet geht, nicht aber aus Netz-2. Da das in der Praxis glücklicherweise nicht besonders stört, habe ich dem bislang keine allzu große Beachtung geschenkt. Wär natürlich trotzdem schön, wenn auch das künftig mal rundläuft.

Gruß Dirk

[Bernie137]

Hallo Dirk,

So konnte ich zwar den Router gegenüber und auch noch den Server anpingen, nicht aber die Clientrechner.

Dann kann es aber nicht an der RiFu-Strecke liegen, denn dann geht es ja prinzipiell schonmal und der Server ist zunächst auch nur ein "Client" hinter dem Router. Es hört sich für mich nach einem Windows Problem an. Typische Einstellung in der Windows Firewall ist immer "lokales Subnetz" zulassen und da gehört wechselseitig der jeweils andere Standort nicht dazu. Am besten die Firewall Ausnahmen per GPO regulieren.

Jetzt mal noch am Rande angefragt: Ist im Active Directory bei Euch "Active Directory-Standorte und -Dienste" gepflegt, also tatsächlich die beiden Subnetze 192.168.10.0 und 192.168.20.0 angelegt und die DCs ins richtige Subnetz verschoben? Erst dann erkennt die Netzwerkidentifizierung auch richtig das "Domänennetzwerk" in jedem Standort und es beantwortet auch der richtige DC die Anmeldung.

Ping vom Netz-1 ins Internet geht, nicht aber aus Netz-2. Da das in der Praxis glücklicherweise nicht besonders stört, habe ich dem bislang keine allzu große Beachtung geschenkt.

Ich denke, das hat eine andere Ursache. Wie ich schon schrieb, die Firewall im Internet Router.

vg Bernie

[scheichkind]

Jetzt mal noch am Rande angefragt: Ist im Active Directory bei Euch "Active Directory-Standorte und -Dienste" gepflegt, also tatsächlich die beiden Subnetze 192.168.10.0 und 192.168.20.0 angelegt und die DCs ins richtige Subnetz verschoben? Erst dann erkennt die Netzwerkidentifizierung auch richtig das "Domänennetzwerk" in jedem Standort und es beantwortet auch der richtige DC die Anmeldung.

Ja, das habe ich alles so eingerichtet. Kann aber durchaus sein, dass die FW auf den Clients das blockt, das habe ich noch nicht gecheckt. Windows Firewall ist deaktiviert, wir nutzen aber die von G Data. Die kann ich zentral administrieren, werde das prüfen.