Hallo zusammen,
nachdem mir bei meiner ersten Anfrage so gut geholfen wurde, kommt hier meine nächste.
Ich soll folgendes umsetzen:
Wir haben einen 1722 VoIP hier als Router im Einsatz. Im Zielbetrieb soll es drei Netze geben, die rein durch IP getrennt sind, auf einer physikalischen Infrastruktur.
Netz 192.168.1.x für alle Clients + Server + Internet (Adressen (über MAC) per DHCP für Clients)
Netz 192.168.2.x für einige spezielle Clients, die nur ins Internet dürfen aber Adressen per DHCP bekommen sollen (auch über MAC)
Netz 192.168.3.x für unserer Gäste, die sollen beliebige Adressen per DHCP bekommen und ins Internet dürfen
Zusätzlich sollen aber die Netze 2 und 3 nicht über den VPN-Tunnel (zur Außenstelle) kommunizieren dürfen.
In der KB habe ich zwar einige Dokumente gefunden, aber ich weiß nicht genau wie ich das angehen soll, da mit einige Grundlagen sicher fehlen.
Im IST-Zustand haben wie das 1er Netz das über VPN-Tunnel kommunizieren darf, IP-Adresse anhand MAC vergibt + einen Adresspool.
Also, wie fange ich an?
Danke für eure Antworten!
Gruß
drei IP-Netze auf einer physikalischen Infrastruktur - wie?
Moderator: Lancom-Systems Moderatoren
Hi user123
für die reine Netztrennung ist ARF gedacht, d.h. du verpaßt den Netzen unterschiedliche Interface-Tags (ungleich 0) und hast sie dadurch voneinander getrennt. Der VPN-Route verpaßt du das als Routing-Tag das Interface-Tag des ersten Netzes - damit kann nur das erste Netz ins VPN.
Das einzige nicht direkt lösbare Problem ist die Adreßzuweisung per DHCP, da das LANCOM nicht weiss, welchem Netz es eine Anfrage zuorden soll - zumindest solange die Zuweisung nicht an eine MAC-Adresse gekoppelt ist. Das LANCOM vergibt daher an unbekannte Rechner immer Adressen des ersten ARF-Netzes, das an ein LAN-Interface gebunden ist. Dabei steht das Netz mit dem kleinsten Interface-Tag oben in der Liste.
Daraus folgt, daß das Gastnetz das niedrigste Interafce-Tag haben muß, z.B. 1 und die anderen beiden Netze z.B. 2 und 3. Damit wird allen unbekannten Rechnern automatisch eine IP aus dem Gastnetz zugewiesen.
Sinnvollerweise trennst du aber alle Netze auch physikalisch voneinander, denn dann kannst du auch in jedem Netz dynamisch IP-Adressen per DHCP verteilen
Gruß
Backslash
für die reine Netztrennung ist ARF gedacht, d.h. du verpaßt den Netzen unterschiedliche Interface-Tags (ungleich 0) und hast sie dadurch voneinander getrennt. Der VPN-Route verpaßt du das als Routing-Tag das Interface-Tag des ersten Netzes - damit kann nur das erste Netz ins VPN.
Das einzige nicht direkt lösbare Problem ist die Adreßzuweisung per DHCP, da das LANCOM nicht weiss, welchem Netz es eine Anfrage zuorden soll - zumindest solange die Zuweisung nicht an eine MAC-Adresse gekoppelt ist. Das LANCOM vergibt daher an unbekannte Rechner immer Adressen des ersten ARF-Netzes, das an ein LAN-Interface gebunden ist. Dabei steht das Netz mit dem kleinsten Interface-Tag oben in der Liste.
Daraus folgt, daß das Gastnetz das niedrigste Interafce-Tag haben muß, z.B. 1 und die anderen beiden Netze z.B. 2 und 3. Damit wird allen unbekannten Rechnern automatisch eine IP aus dem Gastnetz zugewiesen.
Sinnvollerweise trennst du aber alle Netze auch physikalisch voneinander, denn dann kannst du auch in jedem Netz dynamisch IP-Adressen per DHCP verteilen
Gruß
Backslash
Hallo,
danke für die schnelle Reaktion.
Ich habe nochmal alles überdacht, wir werden die Netze physikalisch trennen.
Reicht das dann bei den Schnittstellen / Ethernetports LAN-1 + LAN-2 + LAN-3 zuzuweisen und dann in den IP-Netzwerken zwei zusätzliche zu generieren?
+ dann zwei weitere DHCP-Netzwerke einrichten.
Reicht das?
danke für die schnelle Reaktion.
Ich habe nochmal alles überdacht, wir werden die Netze physikalisch trennen.
Reicht das dann bei den Schnittstellen / Ethernetports LAN-1 + LAN-2 + LAN-3 zuzuweisen und dann in den IP-Netzwerken zwei zusätzliche zu generieren?
+ dann zwei weitere DHCP-Netzwerke einrichten.
Reicht das?
Hi user123
Gruß
Backslash
jaReicht das dann bei den Schnittstellen / Ethernetports LAN-1 + LAN-2 + LAN-3 zuzuweisen
äh, wie jetzt? Die solltest du doch schon haben. Du mußt den Netze nur die logischen LAN-Interfaces (LAN-1 + LAN-2 + LAN-3) zuordnen.und dann in den IP-Netzwerken zwei zusätzliche zu generieren?
ja.+ dann zwei weitere DHCP-Netzwerke einrichten.
Gruß
Backslash
Hallo,
läuft soweit alles, aber:
Das mit den Schnittstellentags versteh ich nicht. Laut Handbuch kann ich auf kein Tag 0 Netz von anderen zugreifen, von Tag 9 Netzen aber auf alle anderen. Wenn ich jetzt derm 1er Netz die 1 gebe und dem 2er Netz die 2, kann ich trotz Route nicht auf eine PC im 1er Netz zugreifen.
Ich komme nicht weiter. Habe als Route 192.168.1.0/24 und als Router 192.168.2.254 eingetragen, reicht das nicht?
Gruß
läuft soweit alles, aber:
Das mit den Schnittstellentags versteh ich nicht. Laut Handbuch kann ich auf kein Tag 0 Netz von anderen zugreifen, von Tag 9 Netzen aber auf alle anderen. Wenn ich jetzt derm 1er Netz die 1 gebe und dem 2er Netz die 2, kann ich trotz Route nicht auf eine PC im 1er Netz zugreifen.
Ich komme nicht weiter. Habe als Route 192.168.1.0/24 und als Router 192.168.2.254 eingetragen, reicht das nicht?
Gruß
user123
Das geht natürlich auch mit Netzen - dann hebst du aber letztendlich die Trennung, die du mit dem ARF aufgebaut hast , wieder auf...
Gruß
Backslash
ich hoffe du meinstes auch das zweite Mal "Tag 0"...Laut Handbuch kann ich auf kein Tag 0 Netz von anderen zugreifen, von Tag 9 Netzen aber auf alle anderen
richtig. Um den Zugriff zu ermöglichen mußt du in der Firewall eine Regel erstellen, die den Zugriff erlaubt und dabei das Tag umsetzt, also um z.B. von Netz 1 auf Nezu 2 zugreifen zu dürfen:Wenn ich jetzt derm 1er Netz die 1 gebe und dem 2er Netz die 2, kann ich trotz Route nicht auf eine PC im 1er Netz zugreifen.
Code: Alles auswählen
Rtg-Tag: Tag des Netzes 2
Aktion: übertragen
Quelle: IP aus Netz 1
Ziel: IP aus Nezz 2
Dienste: gewünschter DienstRouten auf lokale Netze existieren implizit und müssen nicht extra eingetragen werden...Ich komme nicht weiter. Habe als Route 192.168.1.0/24 und als Router 192.168.2.254 eingetragen, reicht das nicht?
Gruß
Backslash
Hallo Backslash,
super alles funktiert, VPN auf der Gegenstelle hab ich die Tags geändert, der Zugriff ist jetzt so wie ich mir das vorstelle.
ABER:
2er und 3er Netz kommen nicht ins Internet, habe als Gateway je 192.168.2.254 und 192.168.3.254 eingetragen gehabt, in den IP-Netze, habe ich was vergessen?
Danke schonmal, aber das muss ich noch wissen!
super alles funktiert, VPN auf der Gegenstelle hab ich die Tags geändert, der Zugriff ist jetzt so wie ich mir das vorstelle.
ABER:
2er und 3er Netz kommen nicht ins Internet, habe als Gateway je 192.168.2.254 und 192.168.3.254 eingetragen gehabt, in den IP-Netze, habe ich was vergessen?
Danke schonmal, aber das muss ich noch wissen!
Hi user123
Gruß
Backslash
Du brauchst eigentlich nur eine ungetaggte Defaultroute (Routing-Tag 0) - zumindest solange der 1722 direkt den Internetzugang bereitstellt. Wenn der Internetzugang von einem anderen Router im LAN bereitgestellt wird, dann wird es kompliziert, denn dann mußt du die einzelnen Netze bis zu diesem Router getrennt voneinander halten, z.B. mit VLANs.2er und 3er Netz kommen nicht ins Internet, habe als Gateway je 192.168.2.254 und 192.168.3.254 eingetragen gehabt, in den IP-Netze, habe ich was vergessen?
Gruß
Backslash
Hallo Backslash,
die PCs aus dem 2er Netz können ins Internet per IP kommunizieren, DNS geht nicht, d.h. google.de etc. können nicht aufgelöst werden.
Die PCs erhalten als DNS-Server die 192.168.2.254 und leider die 192.168.1.38 welcher der 2te DNS aus dem 1er Netz ist? Wie kann das sein? Hab ich was falsch gemacht?
die PCs aus dem 2er Netz können ins Internet per IP kommunizieren, DNS geht nicht, d.h. google.de etc. können nicht aufgelöst werden.
Die PCs erhalten als DNS-Server die 192.168.2.254 und leider die 192.168.1.38 welcher der 2te DNS aus dem 1er Netz ist? Wie kann das sein? Hab ich was falsch gemacht?
Hi user123
Die PCs sollten eigentlich als DNS-Server nur das LANCOM zugewiesen bekommen - und zwar mit der Adresse, die das LANCOM in ihrem Netz hat (hier also vermutlich die 192.168.2.254).
Hast du im LANCOM den DNS-Server vielleicht unter TCP/IP -> Adressen fest vorgegeben? Diese Einstellungen sind global und können letztendlich bei ARF nicht genutzt werden.
Hier mußt du die zuzuweisenden DNS-Server in den DHCP-Einstellungen setzen TCP/IP -> DHCP -> DHCP-Netzwerke (oder beide auf 0.0.0.0 lassen, damit das LANCOM sich selbst zuweist)
Gruß
Backslash
Daß du aus dem 2er Netz nicht auf einen DNS-Server im 1er zugreifen kannst ist klar, denn du hast die Netze ja absichtlich über die Tags getrennt!Die PCs erhalten als DNS-Server die 192.168.2.254 und leider die 192.168.1.38 welcher der 2te DNS aus dem 1er Netz ist?
Die PCs sollten eigentlich als DNS-Server nur das LANCOM zugewiesen bekommen - und zwar mit der Adresse, die das LANCOM in ihrem Netz hat (hier also vermutlich die 192.168.2.254).
Hast du im LANCOM den DNS-Server vielleicht unter TCP/IP -> Adressen fest vorgegeben? Diese Einstellungen sind global und können letztendlich bei ARF nicht genutzt werden.
Hier mußt du die zuzuweisenden DNS-Server in den DHCP-Einstellungen setzen TCP/IP -> DHCP -> DHCP-Netzwerke (oder beide auf 0.0.0.0 lassen, damit das LANCOM sich selbst zuweist)
Gruß
Backslash