2 Gateways - ein Netz. Verständnisfrage

Diskutiere 2 Gateways - ein Netz. Verständnisfrage im Internet, lokale Netzwerke und Wireless Lan Forum im Bereich Netzwerke & Serverdienste; Hallo Gemeinschaft, ich habe 2 Gateways zu einem Netz. Mit dem ersten kommen VPN Verbindungen Net2Net mittels FritzBox herein. Ich meine es ist...

  1. #1 Hobbystern, 08.05.2017
    Hobbystern

    Hobbystern Wahl-Debianer

    Dabei seit:
    02.02.2007
    Beiträge:
    192
    Zustimmungen:
    0
    Ort:
    westl. Ruhrgebiet
    Hallo Gemeinschaft,

    ich habe 2 Gateways zu einem Netz.
    Mit dem ersten kommen VPN Verbindungen Net2Net mittels FritzBox herein. Ich meine es ist IPSEC.

    Mit dem zweiten (vDSL) übertragen kleine Server Ihre Daten.

    Stelle ich nun als Defaultgateway das vDSL Gateway ein, habe ich keinen Zugriff mehr auf die Subnetze des ersten Gateway und umgekehrt.

    Gibt es eine einfache Lösung, wie ich diese beiden Gateways einander bekannt machen kann, so dass automatisch entschieden wird, ob: (Beispiel)

    10.0.0.1 Gateway 1
    10.0.0.2 Gateway 2
    10.x.0.x VPN Netz 1-254

    10.[1-254].0.[1-254] soll auf GW1 gehen, während
    Google.com auf GW2 aufgelöst werden kann

    Ich hoffe, dass ich das Problem klar darstellen konnte.

    Grüsse, Stefan
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. marce

    marce Kaiser

    Dabei seit:
    01.08.2007
    Beiträge:
    1.112
    Zustimmungen:
    9
    das Netz für GW1 in die Routing-Tabelle eintragen?
     
  4. #3 Hobbystern, 08.05.2017
    Hobbystern

    Hobbystern Wahl-Debianer

    Dabei seit:
    02.02.2007
    Beiträge:
    192
    Zustimmungen:
    0
    Ort:
    westl. Ruhrgebiet
    Hi Marce,

    Da kommen meine Kenntnis-Lücken. Die "Routing-Tabelle" wird mW. nach statisch am einzelnen Klienten geführt.
    Gibt es da eine Variante, wie ich das ganze zentralisieren kann, damit Änderungen an der ganzen Szenerie sofort durchgeführt werden?
     
  5. #5 Hobbystern, 08.05.2017
    Hobbystern

    Hobbystern Wahl-Debianer

    Dabei seit:
    02.02.2007
    Beiträge:
    192
    Zustimmungen:
    0
    Ort:
    westl. Ruhrgebiet
    Das setzt natürlich voraus, dass alle per DHCP entsprechende IP Adressen verpackt bekommen und nicht statische Klienten dabei sind.

    Damit ich mein Szenario ohne Endgeräteänderungen hinbekommen kann, müsste ich eigentlich einen "Router" vor die Gateways setzen, welcher dann die Anfragen erhält und entsprechend leitet. Richtig?

    Oder halt, alles auf DHCP umstellen...
     
  6. #6 hellfire, 09.05.2017
    hellfire

    hellfire Foren As

    Dabei seit:
    25.05.2016
    Beiträge:
    80
    Zustimmungen:
    10
  7. #7 Hobbystern, 14.05.2017
    Hobbystern

    Hobbystern Wahl-Debianer

    Dabei seit:
    02.02.2007
    Beiträge:
    192
    Zustimmungen:
    0
    Ort:
    westl. Ruhrgebiet
    So.

    Was lange währt, wird nett.
    Eine einfache Darstellung des Netzes hier. Das schwarze Feld ist das, was ich mir hier eigentlich als Lösung denke - wobei es zu besprechen wäre, ob es VOR die Router kommt, oder danach. (davor macht mehr Sinn)

    [​IMG]
     
  8. #8 hellfire, 16.05.2017
    Zuletzt bearbeitet: 16.05.2017
    hellfire

    hellfire Foren As

    Dabei seit:
    25.05.2016
    Beiträge:
    80
    Zustimmungen:
    10
    Grundsätzlich kann man natürlich einem Rechner 2 Gateways zuweisen. Doch das ist IMHO eine Komplexität die ich am Client nicht haben wollen würde.

    Mir fallen da spontan 2 möglichkeiten ein:

    Möglichkeit A) Netgear vor den Zyxel einbauen

    Der Netgear wird vor den Zyxel gesetzt und hat den Zyxel als DefaultGateway. Dafür bräuchte es dann ein weiteres Zwischennetz zwischen Zyxel und Netgear-Router. Falls der Zyxel auch noch DHCP-Server ist, dann müsste diese Aufgabe jetzt der Netgear übernehmen oder aber auf dem Netgear wird ein DHCP-Relay aktiviert, der auf den Zyxel als DHCP-Server alle DHCP-Anfragen weiterleitet.

    Zusätzlich müsste der Zyxel noch eine statische Route konfiguriert bekommen, damit er das nicht mehr direkt verbundene Netz dann wieder kennt. Alternative wäre - falls der Zyxel keine statischen Routen kann - dass man auf dem Netgear Richtung Zyxel ein NAT konfiguriert. In diesem Fall muss man Zyxel nichts mehr konfigurieren.

    Den Zugriff auf das VPN sollte man mit der Firewall auf dem Netgear regeln können.

    In dem würde die VPN-Verbindung aber auch über das VDSL laufen(verschlüsselt + getunnelt). Ich weiss nicht ob das gewünscht ist. Vielleicht kann man das so umbiegen, dass die VPN-Daten über den eigenen Internetzugang gehen, die restliche Verkehr aber über den Zyxel abgewickelt wird.

    Möglichkeit B) Netgear als Nebenrouter vom Zyxel konfigurieren

    Das wird wahrscheinlich scheitern. Hierzu bräuchte es eine zusätzliche geroutete Schnittstelle. Die hat der Zyxel aber nicht so wie ich das sehe. Der hat nur 2 Seiten: Internet und mehrere LAN-Ports.

    In dem Fall bliebe der Zyxel der Hauptrouter und direkt mit dem LAN verbunden. Es gibt ein neues IP-Netz zwischen Zyxel und Netgear. Der Zyxel bekommt statische Routen für alle VPN-Netze bzw. für ein übergeordnetes Netz(10.0.0.0 / 8 ). Auch die VPN-Transfernetze zwischen VPN-Server und VPN-Client sollten auf den Netgear-Router zeigen. Der Netgear braucht zusätzlich eine statische Route, die auf den Zyxel zeigt oder - nicht ganz so gut - der Zyxel muss in Richtung Netgear ein NAT einfügen.

    ---

    Weitere Anmerkungen

    Grundsätzlich ist die Frage, wie Deine Umgebung aufgebaut ist. Ich vermute nicht, das IPSec im Einsatz ist. Das dürften die FritzBoxen nicht können.

    Manche Anwendungen sind besonders NAT-unfreundlich. Sprich es wird da vermutlich Probleme geben. Z. b. FTP oder VoIP(SIP/RTP) bereiten beim Einsatz von NAT besonders Probleme.

    Ansonsten scheint mir der Netgear die leistungsfähigere Komponente zu sein und sollte deswegen die zentrale Komponente sein, da das Zyxel-Gerät schlicht viel weniger Möglichkeiten hat.

    Die Frage, die sich mir sonst noch stellt, ist wie das VPN überhaupt zu stande kommt. Sind hier feste öffentliche IP-Adressen an den Routern im Spiel, oder wird hier mit DynDNS gearbeitet?
     
  9. #9 Hobbystern, 16.05.2017
    Hobbystern

    Hobbystern Wahl-Debianer

    Dabei seit:
    02.02.2007
    Beiträge:
    192
    Zustimmungen:
    0
    Ort:
    westl. Ruhrgebiet
    Eine sehr ausführliche Antwort, ich Danke.

    Da stimme ich mit Dir überein. Das ist ungewünscht. Ich meine "mit dem schwarzen Feld" auch eher einen Router, welche eine Routingtabelle steuert - also de facto eigentlich der Job der beiden Endgeräte - aber halt dynamischer.

    Das ist laut Netzwerk-Ansprechpartner der Weg der Wahl. Die genaue Konfiguration in den Geräten war wackelig und hat deutlich meine Kompetenz überschritten.

    Aber selbst wenn das laufen würde - wäre die Frage, ob man sich da nicht einen viel zu engen Flaschenhals und vorallem einen kritischen Punkt für Fehler einbaut. Fällt ein Gerät aus, ist eine komplizierte Konfiguration funktionsunfähig.

    Auch dies war ein Bastelszenario, welches man mir gab. Grundvoraussetzungen erfüllt, aber wer entscheidet was wo lang geht?!

    Mhmm....IPSEC scheint mit der FBF kompatibel zu sein. Wenigstens was Google so kennt....(link: http://www.draytek.de/aktuelle-news...em-draytek-router-und-einer-avm-fritzbox.html)

    Schade ist halt, dass der Netgear kein VDSL erkennen kann, er kann die Tags nicht lesen. Ansonsten wäre das alles hier eine einfache Nummer, denn er hat ja zwei DSL Anschlüsse....

     
  10. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  11. #10 hellfire, 17.05.2017
    Zuletzt bearbeitet: 17.05.2017
    hellfire

    hellfire Foren As

    Dabei seit:
    25.05.2016
    Beiträge:
    80
    Zustimmungen:
    10
    Dann ist das Problem die statischen IPs. Das wird bei den oben aufgeführten Vorschlägen Probleme bereiten. Wenn sich die FritzBoxen zu einer bestimmten statischen IP verbinden und die Antwort kommt von einer anderen IP, das wird nicht funktionieren. Aber genau das würde z. B. in obiger Möglichkeit A) passieren, wenn der Netgear als Default-Router den Zyxel eingetragen hat.

    D. h. der von Dir vorgeschlagene Ursprungsweg - ein dritter vorgeschalteter Router wäre eine mögliche Lösung. Dieser Router leitet die VPN-IP-Netze an den Netgear weiter und hat als DefaultGW den Zyxel. Zyxel und Netgear haben dann keine IP mehr im LAN sondern zusammen mit dem neuen 3. Router ein separates, dem LAN vorgelagertes IP-Netz. Zyxel und Netgear müssen dann allerdings eine statische Route ins LAN zum 3. Router bekommen oder der 3. Router setzt diesbezüglich ein NAT um.

    Testweise kann man das ja mal mit einem beliebigen Linux-PC oder gar einer VM(vorausgesetzt, der VM-Host hat mindestens 3 Netzwerkkarten) umsetzen. Später kann man das ja als Mini-Firewall laufen lassen, die es bestimmt günstig überall gibt.

    ---

    Die Trennung von Zugangsrouter(Zyxel) und VPN-Server ist, wie man hier feststellen kann sinnvoll, da sich die eingesetzte Technik ändern kann und auch tatsächlich geändert hat. Insofern wäre für mich der Zyxel ganz und gar nicht überflüssig. Es ist halt ein Router für eine spezielle Internetleitung, von denen es noch mehr geben kann, bzw. der durch einen erneuten Technikwechsel vielleicht mal wieder getauscht wird.

    Wenn man aus kostengründen das Setup vereinfachen möchte, dann wäre es sinnvoll auf der schnelleren Technik statische IP(s) zu ordern(falls möglich), was dann natürlich wieder Konfigurationsaufwand nach sich zieht.
     
  12. #11 Hobbystern, 18.05.2017
    Hobbystern

    Hobbystern Wahl-Debianer

    Dabei seit:
    02.02.2007
    Beiträge:
    192
    Zustimmungen:
    0
    Ort:
    westl. Ruhrgebiet
    Danke hellfire für Deine ausführliche und sachliche Antwort!

    Der dritte Weg wäre für mich ebenfalls der Lösungsweg. Ein entsprechendes "firewall-linux" gibt es mit mehreren Ansätzen und Herausforderungen. EIne gute Idee.

    Es ändert sich immer etwas und somit ist man gesichert. Eine VM steht ebenfalls bereit - allerdings ist hier wirklich ein SPOF (SinglePoint..) zu sehen.

    Übrigens haben alle DSL Leitungen (Zyxel und Netgear) eine fixe IP - aber wie wir beide hier sehen, haben dynamische Konfigurationen Ihren Vorteil "durch die Zeit".

    Danke! Stefan
     
Thema:

2 Gateways - ein Netz. Verständnisfrage

Die Seite wird geladen...

2 Gateways - ein Netz. Verständnisfrage - Ähnliche Themen

  1. Intel und Canonical kooperieren bei IoT-Gateways

    Intel und Canonical kooperieren bei IoT-Gateways: Intel und Canonical haben eine Kooperation bei der Entwicklung von Gateways für das Internet der Dinge (IoT) beschlossen, die mit Snappy Ubuntu...
  2. Fehler beim setzen des Gateways beim booten

    Fehler beim setzen des Gateways beim booten: Hallo, wenn ich meinen Rechner boote bekomme ich beim hochfahren die Meldung ... Bringin up eth0 Setting default gateway ... SIOCADDRT:...
  3. Problem bei der installation einer Sun Netzwerkkarte

    Problem bei der installation einer Sun Netzwerkkarte: Guten Morgen zusammen, beim installieren einer zusätzlichen Netzwerkkarte habe ich ein Problem. Die Karte wird nicht automatisch installiert. Es...
  4. Netzwerkproblem ? , wo ud wie suchen

    Netzwerkproblem ? , wo ud wie suchen: Hallo Folgende Problem: Testserver ist i686 Debian-unstable , auf dem läuft primär der apt-proxy apt-cahcer ng. Zugriff im Moment nur per ssh....
  5. Routing 2 Subnetze (WLAN und ETH)

    Routing 2 Subnetze (WLAN und ETH): Hallo, hoffe ich bin hier richtig. Ich habe ein Raspberry Pi welcher als WLAN-Accesspoint dient. Dabei sehen die Interfaces wie folgt aus: wlan1...