"historisch gewachsenen" Chaos Lancom 1711+VPN Router

[Schorsch]

Hallo zusammen,

ich hoffe ihr könnt mir zeitnah helfen. Ich durfte ein meiner Meinung nach ordentliches Durcheinander hier übernehmen. Die Köpfe die es verzapft haben, sind nicht mehr greifbar.
Also wir haben hier mehrere Hardwaremaschinen auf denen per VMWare virtualisierte Windows Dosen laufen ( auf denen wiederum mittels Parallels weitere Container vorliegen) Zusätzlich gibt es weitere Hardware Server mit Windows, die nach und nach virtualisiert werden sollen.

So weit so gut. Ich selbst bin noch nicht wirklich fit was Routing und Subnetting angeht, daher die Frage an euch, wie kann man sowas am besten in Netzen abbilden? Hardware in ein Netz, virtuelle Maschinen in ein anderes? Paralles nochmal eines?
Die einzelnen Parallelscontainer sollen "meist" nichts von den anderen wissen, es gibt allerdings einen Bereich in denen je 2 Container miteinander kommunizieren müssen.

so Nun zum Chaos.
Historisch bedingt erfolgt die Internetversorgung des ganzen über 5 Router (Lancom 1711+ VPN) Jeder Router hat eine eigene öffentliche IP, Intern gibt es mehrere /24 Subnetze, wo einzelne Router mehrere Netze besitzen, aber auch mehrere Netze auf unterschiedlichen Routern verfügbar sind. Soll heissen:
Router1 hat die Netze 192.168.1.0/24 seine IP dann 192.168.1.254, dazu das 192.168.2.0/24 mit der 2.254
Router2 hat die Netze 192.168.3.0/24 seine IP dann 192.168.3.254, dazu das 192.168.4.0/24 mit der 4.254 und dummerweise auch das 192.168.2.0/24 mit der IP 2.253
usw.
Zugriffe von außen erfolgen über Unmengen von Portweiterleitungen zu den Parallels Containern.

Das meiner Meinung nach größte Kuddelmuddel kommt nun, alle Router wurden intern auf den selben Switch zusammengesteckt, wo auch alle Server ankommen.
Die einzelnen Server haben nun munter durch die Bank, IPs aus den einzelnen Netzen. Sollen nun 2 Server mit einander kommunizieren, liegen aber erstmal in verschiedenen Netzen, wurden einfach IPs aus den anderen Netzen hinzugefügt. Was dazu führt, das ein Server auf einem Interface teilweise 10 IPs besitzt.

Irgendwie tut das ganze, aber durchblicken tut niemand so recht.

Mein Plan ist nun, das ganze zu entwirren. Je nach Aufgabe, möchte ich die Server in 2 große Bereiche aufteilen. Dazu hätte ich gern eine IP Struktur aus der ggf ersichtlich ist, ob ich es mit einer Hardware, VM oder Parallesdose zu tun habe. Macht das Sinn? Wie würdet Ihr das aufziehen?
Ich möchte erstmal nicht groß anfangen mit VLans usw weiter, sondern erstmal ein bisschen Struktur reinbringen und so zumindest meine Idee, je Router ein oder auch mehrere Netze, die aber jeweils nur auf einem Router verfügbar sind. Jeder Server egal ob HW, VM oder Parallels Container, soll EINE IP bekommen. Sofern er in ein anderes Netz muß, sollte das über die Router geschehen.

Kann mir jemand sagen, wie ich das ganze beginnen kann, natürlich im laufenden Betrieb und ohne merkliche Ausfälle für die werte Kundschaft.
Muß ich im Router einzelne Netze auf unterschiedliche Switchports legen, oder kann das über einen gemacht werden. Wie kann ich die Router untereinander verschalten, damit die einzelnen Netze miteinander können?

Vielen Dank für Eure Ideen

Georg

[Bernie137]

Hallo Georg,

viele Wege führen nach Rom. Was Du beschreibst, scheint sehr komplex zu sein. Auch wenn es alles etwas verworren klingt, Du solltest bei allen Gegebenheiten/Konfigurationen immer hinterfragen, was wurde damit realisiert und warum so. Da kann man kaum Empfehlungen hier geben, nur so paar allgemeine Dinge:

Ich selbst bin noch nicht wirklich fit was Routing und Subnetting angeht, daher die Frage an euch, wie kann man sowas am besten in Netzen abbilden?

Dann sollte man dort nicht als Lernobjekt mit Routing und Subnetting beginnen.

Das meiner Meinung nach größte Kuddelmuddel kommt nun, alle Router wurden intern auf den selben Switch zusammengesteckt, wo auch alle Server ankommen.

Das muss nichts heißen, dort könnten VLANs konfiguriert sein.

Mein Plan ist nun, das ganze zu entwirren. Je nach Aufgabe, möchte ich die Server in 2 große Bereiche aufteilen. Dazu hätte ich gern eine IP Struktur aus der ggf ersichtlich ist, ob ich es mit einer Hardware, VM oder Parallesdose zu tun habe. Macht das Sinn? Wie würdet Ihr das aufziehen?

Kann man machen, aber wozu? Die Fragestellung lautet eher: Was soll erreicht werden? Wenn virtuelle Maschinen mit native Maschine oder wie auch immer miteinander kommunizieren sollen, bietet sich eher ein Subnetz an, damit der Datendurchsatz nicht über einen Router laufen muss. Wurden mit den Subnetzen hingegen DMZs abgebildet sieht die Sache schon wieder anders aus.

vg Bernie

[Schorsch]

Hallo Bernie,

vielen Dank für deine Antwort. VLans sind keine eingerichtet.
Das ganze wurde, so wurde es mir überliefert aus Unwissenheit und Bequemlichkeit gemacht.

Problem ist, das Teile des Netzes sehr schnell sind, andere dagegen kriechend langsam. Ich vermute daher Konflikte in den Subnetzen (es fühlen sich ja zum Teil unterschiedliche Router dafür zuständig)

Zum Üben habe ich mir mit 2 Extra Routern das Netz in klein nachgebaut. 2 PCs angeschlossen, sofern beide PCs IP aus beiden Netzen haben, funktioniert die Kommunikation, sofern ich je nur eine IP pro PC habe klappt es eben nicht.

Testweise habe ich ein 2 Subnetze auf einem Router auf deren ETH Ports festgenagelt und nach dieser Anleitung https://www2.lancom.de/kb.nsf/1275/8E3D ... enDocument
eingerichtet. So können sich die beiden PCs unterhalten.

Nun kommt ein weiterer Router ins Spiel mit einem eigenen Subnetz. Wie kann ich es nun erreichen, dass ein PC vom Router1 mit einem PC auf Router2 kommunizieren kann?

[Bernie137]

Wie kann ich es nun erreichen, dass ein PC vom Router1 mit einem PC auf Router2 kommunizieren kann?

- PC1 hat als Standard Gateway Router 1
- PC2 hat als Standard Gateway Router 2
- zwischen Router 1 und Router 2 ist gemeinsames Subnet, damit sich die Router unterhalten können

Nun werden in beiden Routern unter IP-Router -> Routing -> IPv4-Routing-Tabelle hinterlegt:

Code: Alles auswählen

Router 1

IP-Address                       IP-Netmask                  Router             Masquerade
------------------------------------------------------------------------------------------------
[Netzadresse-hinter-Router2]    [zugehörige Maske]          "IP-vom-Router2"    off

Code: Alles auswählen

Router 2

IP-Address                       IP-Netmask                  Router             Masquerade
------------------------------------------------------------------------------------------------
[Netzadresse-hinter-Router1]    [zugehörige Maske]          "IP-vom-Router1"    off

IP-vom-RouterX ist jeweils die des Routers im Transfernetz. Die Netzadresse-hinter-RouterX ist das Netz, in dem sich jeweils ein PC befindet.

vg Bernie

[Schorsch]

Hallo Berni,

Klasse, so funktionierts! Vielen Dank!

So wenn ich es nun etwas weiter spinne, lege ich das Transfernetz auf alle 5 Router.
Und erstelle Routen für die "Fremdnetze" von den einzelnen Routern zu den IPs der jweiligen Zielrouter.

Aktuell finden sich die Server dadurch, dass sie jeweils eine IP im Zielnetz haben. Durch die Routen ändert sich daran erstmal nichts, oder?

Sobald die Routen drin sind, könnte ich also anfangen und auf den Servern die dann überflüssigen IPs zu entfernen, sodass die Server fortan Ihre Gateways befragen müssen.
Sehe ich das richtig, oder kann ich mir hierdurch Schleifen bauen, die das Netz noch schlimmer machen?

Probleme habe ich aktuell noch mit 2 Routern, die beide ein 192.168.15.0/24 für sich beanspruchen. Das wird sich über Routen nicht lösen lassen, oder?

[Bernie137]

Hallo Georg,

Sobald die Routen drin sind, könnte ich also anfangen und auf den Servern die dann überflüssigen IPs zu entfernen, sodass die Server fortan Ihre Gateways befragen müssen.

Theorethisch ja. Aber was heißt das schon, Du bist vor Ort. Und die Router haben ja auch noch Firewalls, da kommen u.U. einige Regeln auf Dich zu.

Sehe ich das richtig, oder kann ich mir hierdurch Schleifen bauen, die das Netz noch schlimmer machen?

Die Gefahr besteht durchaus, da ja alles irgendwie doppelt ist. Hier hilft nur behutsam vorgehen.

Probleme habe ich aktuell noch mit 2 Routern, die beide ein 192.168.15.0/24 für sich beanspruchen.

Was muss ich mir darunter vorstellen?

vg Bernie