Forum: PC Hard- und Software 192.168.2.0 = 192.168.2.1-255 ?

Informiere dich über die Funktion der Netzmaske.

Broadcast-address aka Rundumschlag-Ausrichtung ?

"Jede IP-Adresse besteht aus 4 Dezimalzahlen – sogenannten Oktetten –, 
die durch Punkte getrennt sind. Ein Oktett beinhaltet 8 Bit, weshalb 
jede IPv4-Adresse automatisch eine 32-Bit-Adresse ist. Jedes Oktett kann 
eine Zahl zwischen 0 und 255 darstellen. Die Broadcast-Adresse wird 
immer im abschließenden Bereich des Host-Anteils einer Adresse (startet 
im dritten oder vierten Oktett) gekennzeichnet: Wenn alle Host-Bits auf 
den Binärwert „1“ gesetzt sind, handelt es sich um die 
Broadcast-Adresse."

Thomas schrieb:
> Wollte mal fragen ob bei einer Firewallregel 192.168.2.0 dem ganzen
> Bereich aus diesem Netz entspricht

In WELCHER Firewall?

Üblicherweise heisst 192.168.2.0, dass exakt dieser eine Host gemeint 
ist, ansonsten musst Du entweder einen CIDR-Suffix (hier /24) oder eine 
Netmask (hier 255.255.255.0, in Cisco-ACLs invertiert) angeben.

Aber wenn es hier wirklich um Sicherheit geht, lass es jemanden machen, 
der sich damit auskennt.

https://www.ionos.de/digitalguide/server/knowhow/broadcast-adresse/

Bradward B. schrieb:
> "Jede IP-Adresse besteht aus

Wenn Thomas etwas von ShitGPT vorgeschwätzt bekommen möchte, wird er in 
der Lage sein selbst aktiv zu werden. Oder wolltest du zeigen, dass du 
auch eine Anfrage an eine AS-Maschine** stellen kannst?

**AS Artificial Stupidity

@Thomas
Was willst Du mit der Regel erreichen?
Sollen über diese Regel alle Rechner mit 192.168.2.xxx sich 
untereinander im Subnetz ereichen können?

> Oder wolltest du zeigen, dass du
> auch eine Anfrage an eine AS-Maschine** stellen kannst?


Negative.

konkret habe ich ein Problem das 2 Router in einem Netz, sind der eine 
kümmert sich um DHCP und DNS, der andere ist eher ein AP und switch. 
Wenn ich mit einem Rechner am Router 1 eine Namensauflösung mache von 
einem Rechner am Router 2 bekomme ich die IP und wenn ich von einem 
Rechner am Router 2 versuche einen Namen von einem Rechner am Router 1 
aufzulösen funktioniert es nicht.

Ich wollte jetzt mal probeweise in beiden Routern erlauben das DNS 
Geschichten also Port 53 durchkommen sollen um zu sehen ob es hier 
Probleme gibt.

Es sollen also alle IPs mal den Port 53 von und zum DNS 192.168.2.2 
nutzen können.

Habe, die Masken für Port- oder IP Forwarding zur Verfügung. 
Veränderungen über iptables müsste ich über Telnet manuell 
konfigurieren. Wollte jetzt also mal ne Lücke in die Firewall schießen 
um zu sehen ob es daran hängt oder es handelt sich um ein NAT Problem, 
da aber alle Rechner bezüglich DHCP und DNS an den Router 1 anklopfen 
dache ich, dass das erledigt wäre.

@Dieter D: Ja das wollte ich. Über die IP funktioniert es ja auch wenn 
ich ssh 192.168.2.xxx verwende klappt das in Verbindung mit einem 
Rechnernamen aber nur in eine Richtung.

Thomas schrieb:
> Wenn ich mit einem Rechner am Router 1 eine Namensauflösung mache von
> einem Rechner am Router 2 bekomme ich die IP und wenn ich von einem
> Rechner am Router 2 versuche einen Namen von einem Rechner am Router 1
> aufzulösen funktioniert es nicht.

Mach mal eine Zeichnung, was wie angeschlossen ist und was welche 
IP-Adresse hat.

Thomas schrieb:
> Ich wollte jetzt mal probeweise in beiden Routern erlauben das DNS
> Geschichten also Port 53 durchkommen sollen um zu sehen ob es hier
> Probleme gibt.

Port Forwarding hat nichts damit zu tun, bzw. falls doch, hast Du da 
ziemlichen Murks mit Doppel-NAT gebaut.

Bei eingehenden Port Forwards wird vermutlich nur zwischen einer 
eingetragenen IP-Adresse (nur Verbindungen von dort akzeptieren) und 
0.0.0.0 (Verbindungen von überall akzeptieren) differenziert.

Vielleicht ist beim anderen Rechner ssh-Anfragen, also die andere 
Richtung nicht erlaubt oder die Keys sind nicht akzeptiert. Vielleicht 
hilft eine Anwendung, wie  etherape weiter, um herauszufinden, was 
wirklich passiert,

hier mal ein Bild, die Sache ist dann aber "von Router 2 zu Router 3 
geht" "von Router 3 zu 2 geht die Namensauflösung nicht". SSH 
funktioniert ja die keys passen auch alle. Double NAT kann schon sein 
aber wie gebe ich das passend frei?

Thomas schrieb:
> hier mal ein Bild

Wenn die Router alle über ihre LAN-Interfaces (nicht WAN!) verbunden 
sind, sollte das eigentlich funktionieren und kein Doppel-NAT mit 
entsprechenden Komplikationen entstehen.

Benutzen alle Client-Systeme als Nameserver den 192.168.2.2 (mit 
ipconfig /all bzw. cat /etc/resolv.conf überprüfen)?

Hmmm schrieb:
> Benutzen alle Client-Systeme als Nameserver den 192.168.2.2

Mir ist auch schon aufgefallen dass die ersten 6 Stellen bei allen 
Rechnern immer gleich sind (192.168). Nur die letzten beiden Stellen 
ändern sich. Dabei gibt es doch einige Millionen Rechner in Deutschland.

Wie kann man die, nur durch ändern der letzten beiden Stellen, dann noch 
auseinander halten? Dass dann viele Rechner die gleiche Nummer haben 
wird wohl geflissentlich akzeptiert.

Wozu hat man denn dann die ersten 6 Stellen, wenn man die nicht ändern 
will?

Otto K. schrieb:
> Mir ist auch schon aufgefallen dass die ersten 6 Stellen bei allen
> Rechnern immer gleich sind (192.168).

Falls Du die Frage ernstmeinst: Das ist privater Adressraum (RFC1918), 
der im öffentlichen Internet nicht verwendet wird.

Um die Umsetzung zwischen diesen lokalen IP-Adressen und (im Fall einer 
üblichen Privatkunden-Anbindung) der einzigen öffentlichen IP-Adresse 
kümmert sich der Router, Stichwort NAT (Network Address Translation).

ja WAN ist deaktiviert, die hängen alle im gleichen Netz. Muss mal 
händisch alle Clients checken, die Antwort sagt aber das es über 
192.168.2.2 läuft.

>nslookup Rechner 1.2

Server:    192.168.2.2
Address:  192.168.2.2#53

** server can't find Rechner 1.2: NXDOMAIN

Thomas schrieb:
>>nslookup Rechner 1.2

Mit solchen Hostnames kann das nichts werden, erlaubt wäre z.B. 
"rechner-1-2".

Thomas schrieb:
> ** server can't find Rechner 1.2: NXDOMAIN

Also eindeutig kein Firewall-Problem, der Nameserver kennt den Hostname 
schlichtweg nicht.

Hmmm schrieb:
> Das ist privater Adressraum (RFC1918), der im öffentlichen Internet
> nicht verwendet wird.

Um so schlimmer, denn wenn sich ein Hacker einmal in diesem Raum 
befindet, dann bräuchte er ja nur die letzten beiden Stellen ändern und 
hätte dann Zugriff auf alle sensiblen Daten!

Hmmm schrieb:
> Thomas schrieb:
>> hier mal ein Bild
>
> Wenn die Router alle über ihre LAN-Interfaces (nicht WAN!) verbunden
> sind, sollte das eigentlich funktionieren und kein Doppel-NAT mit
> entsprechenden Komplikationen entstehen.
Das ist in der Regel tatsächlich das Problem. Bei den DD-WRTs darf das 
WAN-Interface nicht benutzt werden. Man kann es sicherlich auch 
wegkonfigurieren und das Interface als LAN-Interface nehmen - aber das 
würde ich erst angehen, wenn alles läuft.

>
> Benutzen alle Client-Systeme als Nameserver den 192.168.2.2 (mit
> ipconfig /all bzw. cat /etc/resolv.conf überprüfen)?
ipconfig /all verrät auch die IP-Adresse des DHCP-Servers - könnte 
hilfreich sein.

Nochmal deutlich: die DD-WRTs dürften nicht routen. Dass einer DHCP/DNS 
liefert, ist dagegen kein Problem...

Gruß Jens

Otto K. schrieb:
> Mir ist auch schon aufgefallen dass die ersten 6 Stellen bei allen
> Rechnern immer gleich sind (192.168). Nur die letzten beiden Stellen
> ändern sich. Dabei gibt es doch einige Millionen Rechner in Deutschland.

Tja, Du hast halt auf der falschen Seite der Router, die diese einigen 
Millionen Rechner ins Internet verbinden nachgeschaut... kann passieren.

> Wie kann man die, nur durch ändern der letzten beiden Stellen, dann noch
> auseinander halten? Dass dann viele Rechner die gleiche Nummer haben
> wird wohl geflissentlich akzeptiert.

Gottseidank haben sich da kluge Leute dazu Gedanken gemacht und dabei 
ist das was sich "privater Adressbereich" nennt herausgekommen.

>
> Wozu hat man denn dann die ersten 6 Stellen, wenn man die nicht ändern
> will?

Wozu hat man das Internet wenn man nicht lernen will?

https://de.wikipedia.org/wiki/Private_IP-Adresse

Ja, ich weiß, schwer zu verstehen wenn man Deine Ausgangsfrage anschaut 
- aber versuchs mal, es lohnt sich.

Otto K. schrieb:
> Hmmm schrieb:
>> Das ist privater Adressraum (RFC1918), der im öffentlichen Internet
>> nicht verwendet wird.
>
> Um so schlimmer, denn wenn sich ein Hacker einmal in diesem Raum
> befindet, dann bräuchte er ja nur die letzten beiden Stellen ändern und
> hätte dann Zugriff auf alle sensiblen Daten!

Bitte "IP für Dummies" oder ein vergleichbares Buch lesen, verstehen und 
dann wieder hier aufschlagen. Danke.

Otto K. schrieb:
> Hmmm schrieb:
>> Das ist privater Adressraum (RFC1918), der im öffentlichen Internet
>> nicht verwendet wird.
>
> Um so schlimmer, denn wenn sich ein Hacker einmal in diesem Raum
> befindet, dann bräuchte er ja nur die letzten beiden Stellen ändern und
> hätte dann Zugriff auf alle sensiblen Daten!



Stimmt. Kann man nix machen, pech gehabt. Daher immer die sinnbildliche 
Haustüre auch brav absperren.

Und nun geh woanders trollen.

Klaus schrieb:
> Bitte "IP für Dummies" oder ein vergleichbares Buch lesen, verstehen und
> dann wieder hier aufschlagen. Danke.

Wenn man seine bisherigen Fragen als Maßstab nimmt, wird's mit einiger 
Wahrscheinlichkeit schon am Lesen scheitern.

die tatsächlichen hostnames haben weder -, _ noch . diese wollte ich 
hier aber nicht reinschreiben sondern nur zeigen das Rechner 1.2 am 
Router 2 und 1.4 am Router 4 hängt

Thomas schrieb:
> die tatsächlichen hostnames haben weder -, _ noch . diese wollte ich
> hier aber nicht reinschreiben sondern nur zeigen das Rechner 1.2 am
> Router 2 und 1.4 am Router 4 hängt

Auf jeden Fall ist das Problem, dass der Nameserver diese Hosts nicht 
kennt, das hat nichts mit Filtering oder sowas zu tun.

Interessant wäre dann noch, ob die Systeme wirklich alle ihre IP-Adresse 
vom selben DHCP-Server bekommen, denn der kümmert sich dann auch um die 
jeweiligen dynamischen DNS-Einträge.

Sherlock 🕵🏽‍♂️ schrieb:
> Informiere dich über die Funktion der Netzmaske.

macht er doch gerade! Aber dumme Antworten bringen ihn dennoch nicht 
weiter!

Was spricht gegen eine Separierung der Router in verschiedene private 
Netze?

Siehe Anhang.

Markus

Markus W. schrieb:
> Was spricht gegen eine Separierung der Router

Da sind (bis auf die Fritzbox) überhaupt keine Router im Spiel.
Das ist nur ein lokales privates Netz.
Wie schon geschrieben wurde, falls die DD-WRT-Kisten auch noch an ihrem 
WAN-Interface angeschlossen sind, ist das das Problem.

nein die DD-WRT Dinger laufen über LAN, fungieren also als Switch und 
WLAN-Accespoints. WAN ist deaktiviert und diese Büchse wird auch nicht 
verwendet.

Markus W. schrieb:
> Was spricht gegen eine Separierung der Router in verschiedene private
> Netze?

Ich wollte eben alle Clients in einem Netz haben, dann entfällt auch das 
Routing was noch zusätzliche Fehlerquellen mit reinbringen könnte. Durch 
weitere Routen würde das Problem ja nicht kleiner. Außerdem müsste ich 
die DHCP Vergabe mit statischen Leases dann auf 3 Geräten durchführen 
und so habe ich es zentral, was eigentlich der Hauptgrund für mich war.

Hmmm schrieb:
> Auf jeden Fall ist das Problem, dass der Nameserver diese Hosts nicht
> kennt, das hat nichts mit Filtering oder sowas zu tun.

das denke ich hier auch aber was könnte hier der Fehler.

> Interessant wäre dann noch, ob die Systeme wirklich alle ihre IP-Adresse
> vom selben DHCP-Server bekommen, denn der kümmert sich dann auch um die
> jeweiligen dynamischen DNS-Einträge

ja das ist definitiv der Fall, nur der eine DD-WRT Router kümmert sich 
darum. Bei den anderen beiden Geräten ist der DHCP-Server deaktiviert, 
es gäbe noch die Option fürs DHCP Forwarding, das wäre ja auch nur 
nötig, wenn ich verschiedene Netze hätte und sich ein anderer Router 
darum kümmern sollte.

>> Informiere dich über die Funktion der Netzmaske.

Jens K. schrieb:
> macht er doch gerade! Aber dumme Antworten bringen ihn dennoch nicht
> weiter!

Ja jetzt tut er das, nachdem ich ihm sinnvollerweise dazu geraten habe.

Thomas schrieb:
> ja das ist definitiv der Fall, nur der eine DD-WRT Router kümmert sich
> darum. Bei den anderen beiden Geräten ist der DHCP-Server deaktiviert

Und es bekommen auch alle Systeme ihre IP-Adresse dynamisch zugewiesen? 
Falls statische IP-Adressen dabei sind, landen die natürlich nicht in 
der DNS-Zone.

Hat die Kiste evtl. eine Liste, wo man alle zugewiesenen IP-Adressen mit 
den dazugehörigen Hostnames sieht? Das wäre ja ein Ansatzpunkt, um das 
zu debuggen.

Thomas schrieb:
> es gäbe noch die Option fürs DHCP Forwarding, das wäre ja auch nur
> nötig, wenn ich verschiedene Netze hätte und sich ein anderer Router
> darum kümmern sollte.

Genau.

Sherlock 🕵🏽‍♂️ schrieb:
> Ja jetzt tut er das, nachdem ich ihm sinnvollerweise dazu geraten habe.

Don't feed the troll, "Jensky" ist doch hier hinreichend als Provokateur 
bekannt.

Hallo Thomas,

Thomas schrieb:
> nein die DD-WRT Dinger laufen über LAN, fungieren also als Switch und
> WLAN-Accespoints. WAN ist deaktiviert und diese Büchse wird auch nicht
> verwendet.

darf ich fragen, was der Grund für dieses ungewöhnliche Setup ist?

> Ich wollte eben alle Clients in einem Netz haben, dann entfällt auch das
> Routing was noch zusätzliche Fehlerquellen mit reinbringen könnte. Durch
> weitere Routen würde das Problem ja nicht kleiner. Außerdem müsste ich
> die DHCP Vergabe mit statischen Leases dann auf 3 Geräten durchführen
> und so habe ich es zentral, was eigentlich der Hauptgrund für mich war.

Nunja, die DD-WRTs könntest Du einfach als Bridges (siehe dazu [1]) und 
die Fritzbox sowohl als DHCP-, als auch als Nameserver konfigurieren. 
Das wäre vermutlich die einfachste Lösung.

[1] https://wiki.dd-wrt.com/wiki/index.php/Bridging

also das Problem ist gelöst, an einem Router(3) der weder DHCP noch DNS 
zu erledigen hat war ein Hacken bei einer dnsmasq Option so hat der mit 
reingepfuscht. Es funktioniert jetzt alles.

Zu deiner Frage Sheeva P., warum das ganze.

Der DNS der Fritzbox (oder von 1und1 aka Telekom) spackt manchmal ab, 
trotz der Einstellungen alternative DNS Server und Rückfall... weiterhin 
stört mich bei der Fritzbox wenn ich dort z.B. meine 50 Clients mit 
einer statischen Lease versorgen will, muss ich jeden Teilnehmer extra 
auswählen dessen Maske Öffnen, Eingaben, übernehmen.... das ist sehr 
langwierig, bei DD-WRT kann ich das alles auf einer Seite erledigen. 
Dann kommt noch diese ungefragte Hostnamevergabe dazu PC-192-168-X-Y.

Das einzige was jetzt noch ist, sind unterschiedliche ARP Listen, aber 
das ist wahrscheinlich immer so, wenn ich von einem Client an Router 3 
eine ARP Abfrage starte erscheinen dort nicht alle Teilnehmer, ebenso 
wenn ich die vom Router 2 abrufe. Die Namensauflösung funktioniert aber 
trotzdem, wahrscheinlich landet die ARP nur beim jeweils ersten 
Router(vom Client) aus und schwirrt nicht im ganzen Netz rum.

Thomas schrieb:
> wenn ich von einem Client an Router 3 eine ARP Abfrage starte

Solange du den Unterschied zwischen Router und Switch nicht verstanden 
hast, und die Begriffe falsch verwendest, kannst du das Problem für dich 
nicht lösen.

Oliver

Thomas schrieb:
> wahrscheinlich landet die ARP nur beim jeweils ersten Router(vom Client)
> aus und schwirrt nicht im ganzen Netz rum.

Meistens werden ARP-Requests mit Unicasts beantwortet. Sofern der Switch 
dann weiss, an welchem Port der Empfänger hängt, geht das Paket auch nur 
dorthin.

Der Hersteller hat das Ding als Router rausgebracht und ich sage eben 
auch Router auch wenn er nichts zu routen hat und nur als Switch 
arbeitet.

Thomas schrieb:
> Zu deiner Frage Sheeva P., warum das ganze.
>
> Der DNS der Fritzbox (oder von 1und1 aka Telekom) spackt manchmal ab,
> trotz der Einstellungen alternative DNS Server und Rückfall... weiterhin
> stört mich bei der Fritzbox wenn ich dort z.B. meine 50 Clients mit
> einer statischen Lease versorgen will, muss ich jeden Teilnehmer extra
> auswählen dessen Maske Öffnen, Eingaben, übernehmen.... das ist sehr
> langwierig, bei DD-WRT kann ich das alles auf einer Seite erledigen.
> Dann kommt noch diese ungefragte Hostnamevergabe dazu PC-192-168-X-Y.

Okay, verstehe ich, lieben Dank für Deine Antwort! :-)