xDSL.at

[irwin65]

hallo liebes forum,

ich möchte zwei existierende heimnetzwerke kostengünstig wie in der grafik dargestellt verbinden.

• die netzwerke können über ein ethernetkabel verbunden werden.
• sicherheit ist hier kein thema.
• jeder soll auf möglichst alle geräte des jeweils anderen netzes zugreifen können (z.b. windows-freigaben, NAS, fernseher)
• die internetzugänge bleiben so wie sie sind getrennt wie bisher, kein gegenseitiges backup.
• mein wissen über solche vorgänge ist beschränkt, ein paar sachen habe ich mir angelesen und werde das weiter tun.
• ich möchte in den beiden netzen keine statischen DHCP-adressen konfigurieren, sondern DHCP verwenden wie bisher.

ich möchte die verbindung herstellen mit folgendem router: mikrotik routerboard RB750. (ja, ich weiss, steile lernkurve..(:-))

der router wird mit folgender konfigration versehen:

/system reset-conf skip-backup=yes no-defaults=yes
/ip address ad address=192.168.1.139/24 interface=ether2
/ip address ad address=10.0.0.99/24 interface=ether3

außerdem werde ich in den beiden DSL-modems in subnet-1 und subnet-2 noch statische routen ergänzen, dass alle geräte in das jeweils andere subnetz finden.
die statische routen lege ich wie folgt an (jeweils telnet auf die DSL-modems):

in subnet-1:
=>ip rtadd dst 192.168.1.0/24 gateway 10.0.0.1

in subnet-2:
=>ip rtadd dst 10.0.0.0/24 gateway 192.168.1.1


bin ich auf dem richtigen weg?

viele grüße
irvin

[jutta]

was willst du durch das verbinden der netzwerke erreichen? je nachdem muss die verbindung realisiert werden.

dh, sollen die einzelnen user auf gemeinsame ressourcen zugreifen koennen? (drucker, server, nas, interenetzugang...) oder nur auf bestimmte davon?
soll/darf jeder auf jeden pc zugreifen koennen?

ich sehe in deiner grafik 2 internetzugaenge. soll jedes teilnetz beim eigenen internetzugang bleiben oder der jeweils andere als backup eingerichtet werden?

[irwin65]

jeder soll auf möglichst alle geräte des jeweils anderen netzes zugreifen können (z.b. windows-freigaben, NAS, fernseher)

die internetzugänge bleiben so wie sie sind getrennt wie bisher, kein gegenseitiges backup.

ich habe diese info auch beim originalbeitrag ergänzt, damit ev. zukünftige leser gleich alles an einer zentralen stelle haben.

[irwin65]

das ganz hat bei mir schon "geschichte". ich hab das vor jahren schonmal gehabt (die zwei netzwerke verbunden, sodass jeder beim anderen auf den rechner kam, damals mit zwei speedtouch über lan-kabel verbunden). ich hatte das damals in diesem forum erfragt und dann auch hinbekommen. dann wurd's mal weniger benutzt, dann wurden die modems getauscht (585 statt 546), dann hab ich's wieder mal hinbekommen, dann kamen die pirellis, dann ging's auch mal, dazwischen neu aufsetzen, was weiss ich, dann stellt sich heraus, dass ich in den pirellis keine rechte mehr habe, eine statische route einzurichten, da müsste ich zuerst alte firmware einspielen.....dann die idee, alle rechner im selben subnetz zu lassen und nur die DHCP-server durch eine firewall zu trennen (sinnvoll oder nicht egal, idee auch in diesem forum mal kurz präsentiert vor ein paar tagen...eher gescheitert..(:-))....

jedenfalls ... jetzt bin ich wieder dran und möchte "eine gscheite lösung", die länger hält...

[jutta]

ich bin noch am ueberlegen, welche loesungen es gibt.

-) die einfachste waere, alle im gleichen subnetz und die ip adressen statisch vergeben, gateway usw auch fix eintragen.

-) zweite: alle im gleichen subnetz und die pcs (und sonstiges zeug) in den jeweiligen routern eintragen. dabei die dhcp-pools anpassen. dh, der eine router soll zb 192.168.0.2 bis 192.168.0.20 vergeben und der andere 192.168.0.21 bis 192.168.0.41. vorausgesetzt, deine router koennen das.

[irwin65]

>>-) die einfachste waere, alle im gleichen subnetz und die ip adressen statisch vergeben, gateway usw auch fix eintragen.

mag ich nicht. weil: dann bin ich immer am rödeln, wenn neue geräte hinzukommen. ich möchte das bei mir nicht zum dauerthema machen. ich möchte eine lösung, mit der ich für die "zukunft gleich mit vorsorge".

>>-) zweite: alle im gleichen subnetz und die pcs (und sonstiges zeug) in den jeweiligen routern eintragen. dabei die dhcp-pools anpassen. dh, der eine router soll zb 192.168.0.2 bis 192.168.0.20 vergeben und der andere 192.168.0.21 bis 192.168.0.41. vorausgesetzt, deine router koennen das.

hab ich auch überlegt. aber ich glaube, ich kann hier nicht vermeiden, dass familie A über den internetzugang von familie B ins internet geht. das möchte ich nicht. daraus geboren wurde die idee, dass DHCP-requests genau an der schnittstelle geblockt werden. aber: was ist dass dann für ein gerät? wenn's ein router sein soll => der verlangt meines wissens, dass zwei verschiedene subnetze angeschlossen sind....ich hab mich da schon ein paarmal im kreis gedreht. wenn du einen ausweg weisst, gerne....

[Roland M.]

Hallo!

ich bin noch am ueberlegen, welche loesungen es gibt.

Bin auch am überlegen...

-) die einfachste waere, alle im gleichen subnetz und die ip adressen statisch vergeben, gateway usw auch fix eintragen.

IP statisch? Na, ja. Bei Server etc. kein Problem, aber bei Clients und alles, was heute aktuell ist wie Smartphone, Tablet, PDA, ... Ich weiß nicht.


Wie wärs mit einem kleiner transparenten Firewall (Sophos, Monowall, IPCop,...), die nur den DHCP-Traffic (announcement, Requests,...) blockiert?

Wenn zwei LAN-Kabel zwischen den Standorten möglich wären, würde ich es mit einer Sophos-Firewall (mit 4 NICs) lösen...


Roland

[al]

Also irgendwie passen da Text und Bild nicht zusammen. Im Text steht, der Interconnect-Router hätte 192.168.1.139 und 10.0.0.99, in der Zeichnung steht was anderes. Jedenfalls muss in den Interconnect-Routen das jeweilige Gateway eingetragen sein. Und die jeweiligen default Routen haben die DSL-Router als Gateway.

(wie immer, richtig aufzeichnen hilft...)

/al

[irwin65]

>>IP statisch? Na, ja. Bei Server etc. kein Problem, aber bei Clients und alles, was heute aktuell ist wie Smartphone, Tablet, PDA, ... Ich weiß nicht.

da versteht mich jemand. hurra (:-)


>>Wenn zwei LAN-Kabel zwischen den Standorten möglich wären, würde ich es mit einer Sophos-Firewall (mit 4 NICs) lösen...

es liegt dort 1 (!) LAN-kabel, ein zweites ist nicht möglich. das eine kabel ist unter der erde verbuddelt. das passierte vor drei jahren, als ich mein haus gebaut hatte

>>Wie wärs mit einem kleiner transparenten Firewall (Sophos, Monowall, IPCop,...), die nur den DHCP-Traffic (announcement, Requests,...) blockiert?

ja, genau. kenn mich da nicht genau aus. habe nur gesehen: monowall gleich software, hardware dazu => ca. 130 bis 150 EUR. wär schon noch ok.

aktuelle situation:
(1) wenn ich zwei subnetze mache, dann brauche ich den DHCP-verkehr nicht blockieren, weil der DHCP-verkehr kann eh keinen router überschreiten (wenn dieser kein "relay" macht). korrekt?
(2) nur EIN subnetz => das krieg ich nicht hin mit diesem router. da bräuchte ich wohl ein gerät mit firewall only...das wäre dann wohl so ein alix-gerät mit monowall drauf. korrekt?

[irwin65]

>>Also irgendwie passen da Text und Bild nicht zusammen. Im Text steht, der Interconnect-Router hätte 192.168.1.139 und 10.0.0.99, in der Zeichnung steht was anderes.

die ip der internet-connect-router ist nicht im bild eingezeichnet und nicht im text beschrieben.
im bild bei den internet-connect-routern eingezeichnet ist der befehl, der abgesetzt wird im router zum ergänzen der statischen route.

nachdem das bild anders verstanden wird als es der zeichner beabsichtigte, ist es einfach ein schlechtes bild...sobald ich zeit finde, werde ich es überarbeiten.

falls der befehl zum eintragen der statischen route im router fehler aufweist, bin ich für jeden hinweis dankbar.

[irwin65]

so....

ich hab es jetzt geschafft, meinen neuen mikrotik router so einzurichten, wie in der grafik oben beschrieben.

ich kann ihn von beiden netzen aus anpingen. so weit war ich noch nie....eine route im dsl-router-modem in subnetz-2 habe ich auch hinterlegt....

und ich dachte, ab diesem zeitpunkt sehe ich in meinem pc in subnetz-2 die computer aus subnetz-1 - in der windows netzwerkumgebung.

irrtum. dem ist nicht so.

ich habe heute keine energie mehr. werde demnächst mal zusammenschreiben, wo ich stehe und was das problem ist...vielleicht verhindert noch "die firewall in den dsl-router-modems" mein absichten..

danke bisher und viele grüße
irvin

[irwin65]

schönen guten morgen,

alles verbunden. funktioniert nicht d.h. ich kann von meinem pc in subnet-2 nicht zugreifen auf ein gerät aus subnet-1, z.b. auf das NAS namens franz mit ip 10.0.0.97. ping funktioniert nicht, tracert auch nicht, tracert unten beigefügt.

auf dem synology-NAS läuft keine firewall oder sonst irgendwas.

ich kann aus subnet-1 auf den neuen router in der mitte (Router-X in der Grafik) zugreifen. wenn ich mich dort einlogge und einen IP-scan starte, findet er tätsächlich die geräte in subnet-1, auch den franz=10.0.0.97

die aktualisierte grafik ist beigefügt.

dass (V1) nicht funktioniert, würde ich mir so erklären, dass der dsl-modem-router in subnet-1 eine firewall hat, die pakete aus anderen subnetzen nicht akzeptiert...(ich reime mir das jetzt zusammen...!? aber dann dürfte doch auch der port-scan nicht erfolgreich sein?)

warum (v2) nicht funktioniert, keine idee...

hat jemand ein idee???

viele grüße
irvin

D:\_system2\_user\Irvin2>tracert 10.0.0.97

Routenverfolgung zu 10.0.0.97 über maximal 30 Abschnitte

1 43 ms 99 ms 99 ms speedtouch.lan [192.168.1.138]
2 1 ms <1 ms <1 ms irvins-routerbox.lan [192.168.1.139]
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
6 ^C
D:\_system2\_user\Irvin2>

============================
Einstellung von Router-X
============================

MMM MMM KKK TTTTTTTTTTT KKK
MMMM MMMM KKK TTTTTTTTTTT KKK
MMM MMMM MMM III KKK KKK RRRRRR OOOOOO TTT III KKK KKK
MMM MM MMM III KKKKK RRR RRR OOO OOO TTT III KKKKK
MMM MMM III KKK KKK RRRRRR OOO OOO TTT III KKK KKK
MMM MMM III KKK KKK RRR RRR OOOOOO TTT III KKK KKK

MikroTik RouterOS 5.9 (c) 1999-2011 http://www.mikrotik.com/





[admin@MikroTik] > /interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE MTU L2MTU MAX-L2MTU
0 ether1 ether 1500 1600 4076
1 R ether2 ether 1500 1598 2028
2 R ether3 ether 1500 1598 2028
3 X ether4 ether 1500 1598 2028
4 ether5 ether 1500 1598 2028
[admin@MikroTik] > /ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 192.168.1.139/24 192.168.1.0 ether2
1 10.0.0.99/24 10.0.0.0 ether3
[admin@MikroTik] > /ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADC 10.0.0.0/24 10.0.0.99 ether3 0
1 ADC 192.168.1.0/24 192.168.1.139 ether2 0
[admin@MikroTik] > /ip firewall export
# jan/02/1970 11:53:34 by RouterOS 5.9
# software id = GY0N-3UB9
#
/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s \
tcp-close-wait-timeout=10s tcp-established-timeout=1d \
tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s \
tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=no \
tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s
/ip firewall service-port
set ftp disabled=no ports=21
set tftp disabled=no ports=69
set irc disabled=no ports=6667
set h323 disabled=no
set sip disabled=no ports=5060,5061 sip-direct-media=yes
set pptp disabled=no
[admin@MikroTik] >
[admin@MikroTik] >

[Herculess]

da du ein asymmetrisches routing hast, kann es sein, dass sich da eine firewall einmischt.
mach mal einen netzwerk mitschnitt auf beiden seiten, dann weißt du welches gerät das hin- bzw. rückpaket schluckt.

In der Zeichnung hast du die Modem Routen falsch eingetragen (10.0.0.1/192.168.1.1) diese gateways gibt es nicht?

greets

[irwin65]

oh je....(:-)

"asymmetrisches routing" hab ich gegoogelt, soweit verstanden........

>>mach mal einen netzwerk mitschnitt auf beiden seiten .....

oh mei....wie geht denn das? wenn's dir nicht zu blöd ist, verlier ein paar worte darüber, wie ich das am besten anpacke....dann würde ich das gerne versuchen...nachdem ich einkaufen war und beim friseur ... letzeres dauert bei mir immer ca. 5 minuten..(:-)

[Herculess]

je nach betriebssystem unterschiedlich
was ich für mikrotik auf die schnelle gefunden habe: http://wiki.mikrotik.com/wiki/Manual:To ... et_Sniffer
für windows gibt's wireshark

aber du solltest erst auch noch prüfen ob deine gesetzten gateways für die unterschiedlichen netze auf den speedtouch richtig gesetzt sind.

greets