Ich habe in einem LAN zunächst mit der IP-Telefonanlage angefangen, sagen wir mal mit dem Subnetz 192.168.13.0/24. Da hat Alles funktioniert. Dann dachte ich mir, dass es eine gute Idee ist, die normale IT (PC, Drucker usw.) mit einem getrennten Subnetz 192.168.14.0/24 zu versorgen, zumal man im Lancom-Router problemlos ein zweites IP-V4-Subnet aufmachen kann und der Router eigentlich problemlos und von sich aus zwischen beiden routet, auch der Internet-Zugriff klappte zunächst aus beiden Netzen. Leider muss ich nun feststellen, dass einige Geräte aus dem ersten Subnet Schwierigkeiten haben, DNS zu nutzen. Das war zunächst nicht aufgefallen, weil dort alles mit festen IPs versehen ist. Als nun aber an der TK-Anlage zum ursprünglichen ISDN-Interface ein SIP-Trunk hinzu kam, wurde sichtbar, dass sie keinen Internet-Zugriff mehr hat. Merkwürdigerweise kann mein Notebook (hat IP von DHCP aus 14er Netz) auf manche Geräte im 13er Netz zugreifen, auf manche nicht. Dazu muss ich mich dann manuell ins 13er Netz begeben. Was mich irritiert, ist die Ungleichmäßigkeit. Würde es generell nicht funktionieren, wäre ich zwar auch nicht glücklich, wüsste aber wenigstens, wonach ich suchen muss, aber so ... ? Kennt sich jemand mit Lancom (LCOS) so gut aus, dass er mir einen Tip geben könnte, woher das DNS-Problem kommt?
Frank E. schrieb: > Dann dachte ich mir, dass es eine gute Idee ist, die normale IT (PC, > Drucker usw.) mit einem getrennten Subnetz 192.168.14.0/24 zu versorgen, > zumal man im Lancom-Router problemlos ein zweites IP-V4-Subnet aufmachen > kann Wie hast Du diese Trennung genau vorgenommen? Jedes Subnetz eine eigene physikalische Ethernet-Schnittstelle am Router? Jedes Subnetz eine eigene VLAN-ID und dann die Trennung der Netze über einen VLAN-fähigen Switch gemacht? Oder beide Subnetze auf der selben Ethernet Broadcast Domain?
Gerd E. schrieb: > Wie hast Du diese Trennung genau vorgenommen? > Jedes Subnetz eine eigene physikalische Ethernet-Schnittstelle am > Router? Nein, beide auf LAN1 und von dort auf einen Level-2-Switch. > Jedes Subnetz eine eigene VLAN-ID und dann die Trennung der Netze über > einen VLAN-fähigen Switch gemacht? > Oder beide Subnetze auf der selben Ethernet Broadcast Domain? Beide auf der selben Broadcast-Domain.
:
Bearbeitet durch User
Frank E. schrieb: >> Wie hast Du diese Trennung genau vorgenommen? >> Jedes Subnetz eine eigene physikalische Ethernet-Schnittstelle am >> Router? > > Nein, beide auf LAN1 und von dort auf einen Level-2-Switch. Ich kenne Deinen Fehler jetzt leider nicht, bin aber kein Freund von dem von Dir gewählten Netzlayout. Denn im Gegensatz zu zwei getrennten Ethernetsegmenten, kannst Du bei Dir nicht mit einer Firewall steuern was zwischen den Netzen an Paketen fließen darf. Ich würde daher vorschlagen das in 2 echte Ethernetsegmente aufzuteilen. Vermutlich ist dann auch der Bug weg.
Frank E. schrieb: > Beide auf der selben Broadcast-Domain. Es gibt Fälle, wo man in einer einzigen Broadcast-Domain mit mehreren IP-Netzen arbeiten kann. Das geschilderte Szenario gehört nicht dazu.
@Frank Poste bitte einmal die komplette ip konfiguration von dem lancom router umd die szenarien die funktionieren bzw nicht funktionieren inkl. Ip config der jeweiligen geräte. Und nimm bitte die echten daten..sonst kann dir hier keiner helfen Btw. Für den fall, dass das für eine firma ist und nicht für den privaten einsatz...denk mal drüber nach pfsense oder sophos utm anzuschaffen...das ist für solche aufgaben besser geeignet..
Frank E. schrieb: > Dann dachte ich mir, dass es eine gute Idee ist, die normale IT (PC, > Drucker usw.) mit einem getrennten Subnetz 192.168.14.0/24 zu versorgen, > zumal man im Lancom-Router problemlos ein zweites IP-V4-Subnet aufmachen > kann und der Router eigentlich problemlos und von sich aus zwischen > beiden routet, auch der Internet-Zugriff klappte zunächst aus beiden > Netzen. Welchen Sinn macht es, die Geräte in zwei Netze aufzuteilen und dann über den Router wieder gegenseitig zuzugreifen? Erschließt sich mir nicht. Das ist schon aus Performancegründen grober Unfug, weil die CPU in den Lancoms gar nicht dafür ausgelegt ist, lokale Netze mit LAN-typischen Geschwindigkeiten zu routen. > Kennt sich jemand mit Lancom (LCOS) so gut aus, dass er mir einen Tip > geben könnte, woher das DNS-Problem kommt? Aus deiner Beschreibung werde ich nicht schlau. Von welcher Art Zugriff sprichst du? Dateifreigaben? Kannst du die IP der Geräte anpingen? Was ist bei den Clients als DNS-Server eingetragen, der Lancom? Ohne Kenntnis der genauen Config wird das hier ein "Rate mal mit Rosenthal". Gerd E. schrieb: > Denn im Gegensatz zu zwei getrennten > Ethernetsegmenten, kannst Du bei Dir nicht mit einer Firewall steuern > was zwischen den Netzen an Paketen fließen darf. Wieso sollte das nicht gehen? Selbstverständlich kann die Firewall des Lancom auch den Verkehr zwischen den Subnetzen steuern.
A. K. schrieb: > Frank E. schrieb: >> Beide auf der selben Broadcast-Domain. > > Es gibt Fälle, wo man in einer einzigen Broadcast-Domain mit mehreren > IP-Netzen arbeiten kann. Das geschilderte Szenario gehört nicht dazu. Blöde Frage: Warum nicht? Jedes IP-Netz hat doch seine eigene IP-Broadcast-Domain? Oder redest du jetzt von Layer 2?
Icke ®. schrieb: > Gerd E. schrieb: >> Denn im Gegensatz zu zwei getrennten >> Ethernetsegmenten, kannst Du bei Dir nicht mit einer Firewall steuern >> was zwischen den Netzen an Paketen fließen darf. > > Wieso sollte das nicht gehen? Selbstverständlich kann die Firewall des > Lancom auch den Verkehr zwischen den Subnetzen steuern. Aber nur wenn alle nach den Regeln spielen und auch wirklich den Lancom fürs Routing kontaktieren. Wenn alle nach den Regeln spielen und brav sind, brauchst Du aber auch keine Firewall. Der nicht so brave Rechner (für den die Firewall gedacht ist) greift einfach direkt aufs andere Netz zu, es liegt ja direkt an und er muss nur die Pakete direkt senden. Das ist also nur eine Schönwetter-Firewall.
Gerd E. schrieb: > Der nicht so brave Rechner (für den die Firewall gedacht ist) greift > einfach direkt aufs andere Netz zu, es liegt ja direkt an und er muss > nur die Pakete direkt senden. Da hast du schon Recht. Das Szenario beim TE sieht mir allerdings ohnehin nicht nach Hochsicherheitsanforderungen aus.
Reinhard S. schrieb: > Blöde Frage: Warum nicht? Jedes IP-Netz hat doch seine eigene > IP-Broadcast-Domain? Oder redest du jetzt von Layer 2? IP Netz-Broadcasts sind getrennt, sofern alle IP-Stacks fehlerfrei arbeiten. Broadcasts an 255.255.255.255 sind hingegen nicht getrennt. Heute verwendet man meist DHCP. Es hat schon Leute gegeben, die das in solcher Konfiguration in beiden Netzen probierten. Meine Daumenregel dazu: Wenn mehrere IP Netze auf einem LAN liegen und nicht durch VLANs getrennt sind, dann sollte nur eines davon geroutet sein. Die anderen sollten nur innerhalb dieses LAN genutzt werden.
Es ging nicht um irgendwelche , sonder rein schematisch um eine Art Ordnung. Ich werde das dann wegen der Probleme wohl wieder aufheben ...
Wort fehlt (per Handy getippt): Sicherheitszenarien
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.