Zugriff auf unterschiedliche Netzwerke

[pfälzer]

Hallo zusammen,

ich habe hier noch ein kleines Problem.
Und zwar sieht es bei mir folgendermaßen aus.
Ich habe einen Linksys Router der die Internetverbindung herstellt. An dem Router ist ein Server verbunden sowie eine eine Fritzbox 7390.

Linksys Router hat die IP - 192.168.1.1 (DHCP Server)

Server Netzwerkkarte 1 hat die IP - 192.168.1.4
Server Netzwerkkarte 2 hat die IP - 10.10.32.0 (DHCP Server)

Fritzbox LAN 1 - 192.168.1.3 mit Hilfe der Einstellung:
(Externes Modem oder Router -Wählen Sie diesen Zugang, wenn die FRITZ!Box über "LAN 1" an ein bereits vorhandenes externes Modem oder einen Router angeschlossen ist.)

Sonstiges Netzwerk läuft auf IP - 192.168.178.0 (DHCP Server mal ein NAS)

So, soweit funktioniert auch alles.
Ich kann vom Bereich 192.168.178.0 auf den Bereich 10.10.32.0 zugreifen.
Jedoch vom Bereich 10.10.32.0 auf den Bereich 192.168.178.0 funktioniert der zugriff nicht.
Ich habe div. Routen im Linksysrouter hinterlegt.
Der Ping wir mit folgender Meldung abgebrochen:
Die Gültigkeitsdauer wurde bei der Übertragung überschritten

Ich vermute mal, dass die Fritzbox da noch irgendetwas blockt. Gibt es eine Einstellung, die erstmal alles durchlässt um zu testen, ob es an der Box liegt?
Kann ich irgendwo testen, wo es hängen bleibt?
Es gibt doch einen Befehl, mit dem die unterschiedlichen Stationen angezeigt wird, wie find ich den nochmal gleich?!

Schonmal vielen Dank
Gruß

EDIT:
Na beim schreiben ist mir dann das mit den unterschiedlichen Stationen eingefallen. Das ist der Befehl:

tracert

Da ist ersichtlich, dass es wohl am Linksys Router hängt. Muss mir dann nochmal die Routen genau anschauen...

 

[Mornsgrans]

Du musst auf Server 2 eine Route zum Router einrichten.

 

[Mampf]

Ich verstehe das so:

Linksys (192.168.1.1) - Server (192.168.1.4) -> 2.Karte 10.10.32.0/24
|
|- FB7390 (192.168.1.3) -> NAT -> 192.168.178.0/24

Soweit richtig?

 

[pfälzer]

Ich verstehe das so:

Linksys (192.168.1.1) - Server (192.168.1.4) -> 2.Karte 10.10.32.0/24
|
|- FB7390 (192.168.1.3) -> NAT -> 192.168.178.0/24

Soweit richtig?

Genau...

Wenn ich vom 192.168.178.0/24 Bereich den tracert Befehl "tracert 10.10.32.1" ausführe kommt:

1 2 ms 1 ms 1 ms fritz.box [192.168.178.254]
2 2 ms 2 ms 2 ms 192.168.1.1
3 * * * Zeitüberschreitung der Anforderung.
4 6 ms 2 ms 2 ms 10.10.32.1

Wenn ich das ganze vom 10.10.32.0/24 Bereich den tracert Befehl "tracert 192.168.178.1" ausführe könnt folgendes:

1 <1 ms <1 ms <1 ms 192.168.1.1
2 <1 ms <1 ms <1 ms Server.domäne.local [192.168.1.4]
3 1 ms <1 ms <1 ms 192.168.1.1
4 <1 ms <1 ms <1 ms Server.domäne.local [192.168.1.4]
5 1 ms 1 ms 1 ms 192.168.1.1
6 1 ms 1 ms 1 ms Server.domäne.local [192.168.1.4]

Und das dann bis 30. Danach wirds abgebrochen...

Leider bin ich noch nicht wirklich viel weiter gekommen. Ich bin nun wieder der Meinung, das die Fritzbox das ganze ablehnt. Da ich die 192.168.1.3 vom 10.10.32.0/24 Bereich anpingen kann.

 

[martina]

Hast Du überhaupt das Port Forwarding durch die NAT-Umsetzung konfiguriert? Ohne diese geht's zwar aus dem NAT-Netz überall hin, aber per Definition nicht von außen hinein.

 

[pfälzer]

Hast Du überhaupt das Port Forwarding durch die NAT-Umsetzung konfiguriert? Ohne diese geht's zwar aus dem NAT-Netz überall hin, aber per Definition nicht von außen hinein.

in welchem Router? Im 192.168.1.1 Router ist NAT aktiv. In der Fritzbox haben ich schonmal versucht die Funktion "exposed host" zu aktivieren und einfach mal meinen NAS angegeben. Die Funktion soll mit gleich DMZ sein, also dass einfach alles durchgereicht wird. Leider ohne Erfolg. Ansonsten gibts in der FB leider nicht soviel Einstellmöglichkeiten. Habe ich da etwas übersehen?

Meine Routing im LinksysRouter (192.168.1.1) sieht folgendermaßen aus:

[TD="class: sub, align: center"]--.---.---.--
[/TD]
[TD="class: sub, align: center"]255.255.255.255[/TD]
[TD="class: sub, align: center"]0.0.0.0[/TD]
[TD="class: sub, align: center"]WAN[/TD]

[TD="class: sub, align: center"]239.255.255.250[/TD]
[TD="class: sub, align: center"]255.255.255.255[/TD]
[TD="class: sub, align: center"]0.0.0.0[/TD]
[TD="class: sub, align: center"]LAN[/TD]

[TD="class: sub, align: center"]192.168.178.0[/TD]
[TD="class: sub, align: center"]255.255.255.0[/TD]
[TD="class: sub, align: center"]192.168.1.4[/TD]
[TD="class: sub, align: center"]LAN[/TD]

[TD="class: sub, align: center"]192.168.1.0[/TD]
[TD="class: sub, align: center"]255.255.255.0[/TD]
[TD="class: sub, align: center"]0.0.0.0[/TD]
[TD="class: sub, align: center"]LAN[/TD]

[TD="class: sub, align: center"]10.10.32.0[/TD]
[TD="class: sub, align: center"]255.255.255.0[/TD]
[TD="class: sub, align: center"]192.168.1.4[/TD]
[TD="class: sub, align: center"]LAN[/TD]

[TD="class: sub, align: center"]239.0.0.0[/TD]
[TD="class: sub, align: center"]255.0.0.0[/TD]
[TD="class: sub, align: center"]0.0.0.0[/TD]
[TD="class: sub, align: center"]LAN[/TD]

[TD="class: sub, align: center"]0.0.0.0[/TD]
[TD="class: sub, align: center"]0.0.0.0[/TD]
[TD="class: sub, align: center"]--.---.---.--
[/TD]
[TD="class: sub, align: center"]WAN
[/TD]

Wenn ich die Route 192.168.178.0 -> 192.168.1.4 mit der 192.168.1.3 ersetze bekomme ich garkeine Verbinung mehr vom 10.10.32.0/24 Bereich

 

[Mampf]

1. Der 192.168.1.1 hängt am Internet. Da ist NAT schon mal richtig.
2. Du kommst aus dem 192.168.178.0 Bereich überall hin weil 192.168.178.254 dein Standardgateway ist. Sprich alles was nicht 192.168.178.0 ist wird an die 254 geschickt. Von da gehts über 192.168.1.3 (die andere Seite vom NAT) ins restliche Netz.

Was ist im 10.10.32.0 Netz der Standardgateway? 192.168.1.1?? Wundert mich weil das beim traceroute der 1. Schritt nach draußen ist. Auf jeden Fall muss man dann genau dort die Route nach 192.168.178.0 setzen.
Wer hat im 192.168.1.1 dir Route [192.168.178.0 / 255.255.255.0 / 192.168.1.4] gesetzt. Heißt doch das man wenn man als Paket nach 192.168.178.0 will den 192.168.1.4 nach dem Weg fragen soll, oder?
Siehe hierzu die Route [10.10.32.0 / 255.255.255.0 / 192.168.1.4]...

Fragen die nicht direkt zur Problemlösung beitragen:
Warum, wenn eh alle überall hin dürfen, machst du 3 Netze draus? Muss der Server 2 Netzwerkkarten haben? Weil er scheint kein Gateway zu sein...
Warum die FB7390 wenn man die Firewall/NAT nicht wirklich nutzen will?
Kurzum könnte man sich hier wenn man noch mal von vorne anfängt drüber nachzudenken vielleich Arbeit und eine komplexe Konfiguration sparen?

 

[fishmac]

Wozu die Mixtur aus Class A und Class B Netzwerken ? Wieso lädst Du nicht erstmal eine hinreichend präzise Netztopologie und einen Dump der Routing-Tabellen der Hops, die die Problempakete durchlaufen hoch ?

 

[pfälzer]

Also fangen wir mal von vorne an.

• Internet-Anbindung in Firma
  • Router mit der IP 192.168.1.1 (DHCP aktiv)
• In der Firma steht ein Server inkl. DHCP
  • IP Bereich ist der 10.10.32.0

• An dem Router (192.168.1.1) ist mit einer festen IP der Server (192.168.1.4) verbunden (NIC 2). Als Gateway wurde wohl in der NIC 1 (10.10.32.1) nichts eingetragen. NIC 2 (192.168.1.4) ist 192.168.1.1 als Gateway eingegeben.

• Nun kommt jedoch noch das Wohnhaus mit der FB hinzu welches ebenfalls mit dem Router (192.168.1.1) verbunden ist.

Es war bisher so, dass der Router (192.168.1.1) DHCP Server für das Wohnhaus war. Im Wohnhaus war dann einfach noch ein WLAN Router dazwischen geschalten um eben Wlan zu haben. Seit wir jedoch einen neuen Server haben fiel regelmäßig der DHCP Server am Firmenserver aus (warum auch immer). Nach dem ich auf jedenfall den DHCP Server am Router (192.168.1.1) deaktiviert haben gab es keinerlei Probleme mehr. Daher entschloss ich mich im Wohnhaus einen neuen IP-Bereich zu vergeben um keinen Einfluss mehr auf den DHCP Server im Server selbst zu haben.
So kam das mit den 3 völlig getrennten IP-Bereichen zusammen.

Ich bin jedoch offen für neues, besseres, brauchbareres, sinnvolleres...

EDIT:
So sehn die Routen auf dem 10.10.32.1 Server aus...

IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.4 276
10.10.32.0 255.255.255.0 Auf Verbindung 10.10.32.1 266
10.10.32.1 255.255.255.255 Auf Verbindung 10.10.32.1 266
10.10.32.255 255.255.255.255 Auf Verbindung 10.10.32.1 266
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.1.0 255.255.255.0 Auf Verbindung 192.168.1.4 276
192.168.1.4 255.255.255.255 Auf Verbindung 192.168.1.4 276
192.168.1.255 255.255.255.255 Auf Verbindung 192.168.1.4 276
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 10.10.32.1 266
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.1.4 276
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 10.10.32.1 266
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.1.4 276
===========================================================================
Ständige Routen:
Netzwerkadresse Netzmaske Gatewayadresse Metrik
0.0.0.0 0.0.0.0 ---.---.--.--- 5
0.0.0.0 0.0.0.0 192.168.1.1 Standard



Evtl. liegt auch hier der Fehler...

 

[Mampf]

1. DHCP in 192.168.1.0 (Linksys) brauchst du so nicht. In dem Netz sind ja nur der Server und die FB mit festen IP´s.
2. Der Server macht DHCP für 10.10.32.0 und sollte auch Standardgateway sein. Über NIC2 (192.168.1.4) gehts ja weiter.

Ist das für dich nicht ok wenn der private vom geschäftlichen Teil getrennt wird? Ist doch schön wenn man "von zu Hause" (192.168.178.0) in die Firma kommt, die Firma kommt aber nicht zu dir nach Hause Würd ich jetzt einfach so lassen.
Falls das für dich doch eher eins ist (Firma und Privat) würde ich die FB einfach auf LAN 2 stecken und schon macht die nur noch Accesspoint/Switch. Der 192.168.178.0 fällt weg und du nutzt privat einfach den 192.168.1.0 des Linksys.
Dann aber wieder den DHCP am Linksys anschalten...

Sind das Lösungswege für dich, oder sollen wir versuchen das mit 3 Netzen zu realisieren? Wobei du ja von 10.10.32.0 nach 192.168.178.0 willst und umgekehrt... dann bitte wie fishmac schon sagt die Routingtabellen von FB/Linksys/Server posten.

 

[pfälzer]

Mal ne kurze Zwischenfrage. Wär es im allgemeinen nicht sinnvoller, wenn ich den I-Net Router in das Firmennetz rein nimmt (unabhänig ob ich dann einfacher oder schwerer die zwei Netze verbinden kann).
Oder anderst gesagt, wie wird denn normalerweise ein Firmennetzwerk mit dem I-Net verbunden? So wie ich es gerade habe oder ist der Router im Netzwerk mit drin?

 

[fishmac]

Wo sind die restlichen Routing Tabellen ?

 

[pfälzer]

In der FB sind keine extra eingetragen. Und es gibt auch keine Übersicht von denen, die dennoch existieren.
Somit sollte die vom Server (10.10.32.1) und vom Linksysrouter (192.168.1.1) alle sein, oder seh ich da etwas falsch?

hier nochmal auf einen Blick:

Linksysrouter:
[TABLE="class: cms_table"]
[TR]
[TD="class: cms_table_sub, align: center"]--.---.---.--[/TD]
[TD="class: cms_table_sub, align: center"]255.255.255.255[/TD]
[TD="class: cms_table_sub, align: center"]0.0.0.0[/TD]
[TD="class: cms_table_sub, align: center"]WAN[/TD]
[/TR]
[TR]
[TD="class: cms_table_sub, align: center"]239.255.255.250[/TD]
[TD="class: cms_table_sub, align: center"]255.255.255.255[/TD]
[TD="class: cms_table_sub, align: center"]0.0.0.0[/TD]
[TD="class: cms_table_sub, align: center"]LAN[/TD]
[/TR]
[TR]
[TD="class: cms_table_sub, align: center"]192.168.178.0[/TD]
[TD="class: cms_table_sub, align: center"]255.255.255.0[/TD]
[TD="class: cms_table_sub, align: center"]192.168.1.4[/TD]
[TD="class: cms_table_sub, align: center"]LAN[/TD]
[/TR]
[TR]
[TD="class: cms_table_sub, align: center"]192.168.1.0[/TD]
[TD="class: cms_table_sub, align: center"]255.255.255.0[/TD]
[TD="class: cms_table_sub, align: center"]0.0.0.0[/TD]
[TD="class: cms_table_sub, align: center"]LAN[/TD]
[/TR]
[TR]
[TD="class: cms_table_sub, align: center"]10.10.32.0[/TD]
[TD="class: cms_table_sub, align: center"]255.255.255.0[/TD]
[TD="class: cms_table_sub, align: center"]192.168.1.4[/TD]
[TD="class: cms_table_sub, align: center"]LAN[/TD]
[/TR]
[TR]
[TD="class: cms_table_sub, align: center"]239.0.0.0[/TD]
[TD="class: cms_table_sub, align: center"]255.0.0.0[/TD]
[TD="class: cms_table_sub, align: center"]0.0.0.0[/TD]
[TD="class: cms_table_sub, align: center"]LAN[/TD]
[/TR]
[TR]
[TD="class: cms_table_sub, align: center"]0.0.0.0[/TD]
[TD="class: cms_table_sub, align: center"]0.0.0.0[/TD]
[TD="class: cms_table_sub, align: center"]--.---.---.--[/TD]
[TD="class: cms_table_sub, align: center"]WAN
[/TD]
[/TR]
[/TABLE]

Server:
IPv4-Routentabelle
================================================== =========================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.4 276
10.10.32.0 255.255.255.0 Auf Verbindung 10.10.32.1 266
10.10.32.1 255.255.255.255 Auf Verbindung 10.10.32.1 266
10.10.32.255 255.255.255.255 Auf Verbindung 10.10.32.1 266
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.1.0 255.255.255.0 Auf Verbindung 192.168.1.4 276
192.168.1.4 255.255.255.255 Auf Verbindung 192.168.1.4 276
192.168.1.255 255.255.255.255 Auf Verbindung 192.168.1.4 276
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 10.10.32.1 266
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.1.4 276
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 10.10.32.1 266
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.1.4 276
================================================== =========================
Ständige Routen:
Netzwerkadresse Netzmaske Gatewayadresse Metrik
0.0.0.0 0.0.0.0 ---.---.--.--- 5
0.0.0.0 0.0.0.0 192.168.1.1 Standard

 

[fishmac]

Dein Router, den Du "Server" nennst, hat keine Router für Pakete nach 192.168.178/24.
Im Übrigen ist immernoch nicht klar wo das Netz 192.168.178/24 dran hängt.

 

[pfälzer]

Glaube wir reden noch etwas aneinander vorbei.
Den Server, den ich Server nenne ist ein Server, nämlich der Firmenserver mit NIC1 10.10.32.1 und NIC2 192.168.1.4
Linksysrouter stellt I-Net verbindung her, hat die 192.168.1.1
Die FitzBox hat auf LAN 1 die 192.168.1.3 und die eigentliche IP im FritzBox Netzwerk ist die 192.168.178.0
Und ist über folgende Einstellung mit dem Linksysrouter verbunden:
Externes Modem oder Router - Wählen Sie diesen Zugang, wenn die FRITZ!Box über "LAN 1" an ein bereits vorhandenes externes Modem oder einen Router angeschlossen ist.
IP-Adresse manuell festlegen
IP-Adresse 192.168.1.3
Subnetzmaske 255.255.255.0
Standard-Gateway 192.168.1.1
Primärer DNS-Server 192.168.1.1
Sekundärer DNS-Server . . .

 

[Mampf]

Mal ne kurze Zwischenfrage. Wär es im allgemeinen nicht sinnvoller, wenn ich den I-Net Router in das Firmennetz rein nimmt (unabhänig ob ich dann einfacher oder schwerer die zwei Netze verbinden kann).
Oder anderst gesagt, wie wird denn normalerweise ein Firmennetzwerk mit dem I-Net verbunden? So wie ich es gerade habe oder ist der Router im Netzwerk mit drin?

Ich denke das ist sinnvoller. Ich würde dem Server eine NIC wegnehmen und grob so planen:

Linksys 192.168.1.1 -> Internetrouter ohne DHCP
Server 192.168.1.10 -> DHCP/DNS-Server und was er halt sonst noch so macht -> Standardgateway für den Server und auch für den DHCP-Server 192.168.1.1. Bereich für den DCHP 100-200. DNS-Forward entweder auf 192.168.1.1 oder beliebigen Internet-Nameserver.
Fritzbox 192.168.1.2 -> an LAN1 als Router mit NAT/Firewall. Dahinter dann das Privatnetz 192.168.178.0.

Privat -> Firma -> INET... Heißt du kommst immer in Pfeilrichtung aber nicht in die andere. Du kommst also von Privat nach Firma aber nicht umgekehrt.



@fishmac: So wie ich das sehe ist der Server Bridge. Das Standardgateway für Server und Clients in 10.10.32.0 ist im Moment 192.168.1.1. Also muss dieser Router 192.168.1.1 das Netz 192.168.178.0 kennen.
Der zeigt für 192.168.178.0 aber nach 192.168.1.4 -> Server... Deswegen loopt der Traceroute denke ich auch.

 

[fishmac]

Glaube wir reden noch etwas aneinander vorbei.
Den Server, den ich Server nenne ist ein Server, nämlich der Firmenserver mit NIC1 10.10.32.1 und NIC2 192.168.1.4

Es gibt nur Router und Hosts. Da die Kiste mehr als ein Interface hat, ist ein Router.

Linksysrouter stellt I-Net verbindung her, hat die 192.168.1.1
Die FitzBox hat auf LAN 1 die 192.168.1.3 und die eigentliche IP im FritzBox Netzwerk ist die 192.168.178.0

Was soll das sein ?

Und ist über folgende Einstellung mit dem Linksysrouter verbunden:
Externes Modem oder Router - Wählen Sie diesen Zugang, wenn die FRITZ!Box über "LAN 1" an ein bereits vorhandenes externes Modem oder einen Router angeschlossen ist.

Warum machst Du nicht endlich mal ein Diagramm ? - Kannst Dich an dem hier orientieren...

 

[pfälzer]

so, hab mal kurz was gebastelt.
passt das so in etwa,@fishmac?

EDIT:
so werde ich es vermutlich nächstes We umbauen (Bild:Netzwerk_neu)

 

[fishmac]

so, hab mal kurz was gebastelt.
passt das so in etwa,@fishmac?

Nice...

Hast Du mal versucht die Route für 192.168.178/24 in die Routing Table Deines Servers einzutragen und dann nochmal ein traceroute, wie in Message #4 getestet ?

 

[pfälzer]

Nice...

Hast Du mal versucht die Route für 192.168.178/24 in die Routing Table Deines Servers einzutragen und dann nochmal ein traceroute, wie in Message #4 getestet ?

ja, ich habe schon...
route add -p 192.168.178.0 mask 255.255.255.0 192.168.1.1
route add -p 192.168.178.0 mask 255.255.255.0 192.168.1.3
route add -p 192.168.178.0 mask 255.255.255.0 192.168.1.4
...getestet.
Jeweils dann die letzte Variante gelöscht.
Ich habe die Route im Linksys Router auch schon gelöscht, bzw. ebenfalls die 192.168.1.3 und 192.168.1.4 Variante getestet.