Probleme mit Routing interner LANs

Hallo PeterS,

Da du hinter der Astaro nochmals eine Firewall hast, welche wiederum selber NATen tut  so wird dieses Konzept nicht funktionieren.
Beispiel:
Wenn jetzt jemand aus dem LAN III Surft, dieser als Standard Gateway WLAN Router II hat, WLAN Router II wiederum als Standard Gateway die Astaro so kommt bei der Astaro nur jeweils eine IP an, nämlich diese vom WLAN Router II. (192.168.200.1)
Dieses Problem hast du bei DMZ I und DMZ II. Dass heisst du kannst hier nur mit der IP des WLAN Router II Einschränkungen treffen, dies gilt dann aber für alle Hosts welche hinter dem WLAN Router II sind, ausser du beschränkst ebenfalls auf dem WLAN Router II mittels Packet Filter.
Du musst alle Netze auf der Astaro hinterlegen auf den NICs (pro Interface, oder Additional) ebenfalls müssen die Physikalisch verbunden sein. Sprich LAN III und LAN II auf dedizierten NIC Patchen. (oder 1x LAN Netz als Additional auf gleiche LAN NIC)
Nur so kann die Astaro die verschiedenen Netze sehen und Routen! (Übrigens nicht nur Astaro, sondern alle Firewalls, da dies Netzwerktechnisch bedingt ist, ausser man macht das Routing auf den Switches)
Du benötigst dann mind. 5 Ethernet Ports, welche für DMZ und LAN zuständig sind, ebenfalls noch zwei zusätzliche für die Redundante WAN Anbindung. (Insgesammt 7 NIC's).
Danach kannst du per Packet Filter einrichten, wo welcher Traffic in den Segmenten durchgelassen wird und wo in welches eben nicht.
So klappts dann auch mit dem Routing [;)].


Grüsse,
Rezax

Hallo PeterS,

Da du hinter der Astaro nochmals eine Firewall hast, welche wiederum selber NATen tut  so wird dieses Konzept nicht funktionieren.
Beispiel:
Wenn jetzt jemand aus dem LAN III Surft, dieser als Standard Gateway WLAN Router II hat, WLAN Router II wiederum als Standard Gateway die Astaro so kommt bei der Astaro nur jeweils eine IP an, nämlich diese vom WLAN Router II. (192.168.200.1)

?!? Warum sollte das Surfen so nicht funktionieren? Masquerading hinter Masquerading ist überhaupt kein Problem und funktioniert solange wie es der Hopcount zulässt.

Natürlich verhindert Masquerading die direkte Kommunikation untereinander, d.h. Rechner aus LAN II können nicht direkt mit Rechnern aus LAN III kommunizieren und umgekehrt (genauso LAN I mit II & III). Das macht spezielles NAT erforderlich.

Allerdings ist das ein sehr häßliches Setup, zugegeben. Aber wenn die internen Netze nicht uneingeschränkt untereinander kommunizieren müssen, ist das gar kein Problem, surfen und Verbindungen nach Aussen über die ASG funktionieren.

Um aber der Frage des Threads nachzukommen: Statt der beiden NAT/Masquerading-Router musst Du Standardrouter hernehmen. Wenn das billige Soho-Router für den Heimgebrauch sind, ist das Konfigurieren von eigenen Routen höchstwahrscheinlich damit nicht möglich. Wenn Du dort aber Routen anstatt Masquerading konfigurieren kannst, so musst Du der ASG die jeweiligen Netze hinter den Routern bekannt machen (als Statische Routen auf der ASG, über die jeweiligen Router).

Die ASG unterstützt als Routing-Protokoll OSPF, damit ließe sich das Problem elegant lösen wenn die anderen Router das auch unterstützen.

Übrigens:

in unserem Projekt sollen 3 LAN Segmente ...

Du hast hier VIEL mehr Segmente als nur 3. Bei einem geswitchten LAN wie bei Dir beschreibt im Prinzip jede einzelne Kabelverbindung ein eigenes Segment. Bei Ethernet ist ein Segment eine Kollisionsdomäne. Bei einer Punkt-zu-Punkt-Verbindung, wie es bei geswitchten LANs der Fall ist, gibt es keine Kollisionen, da jede Verbindung ein dediziertes Segment ist. Nur mit Repeatern (=Hubs) kann man bei Twisted Pair größere Kollisionsdomänen schaffen. Früher waren Kollisionen wirklich ein Problem und Bridges (=Switches) waren sehr teuer.

Ich bin davon ausgegangen das dies "stink" normale Wireless Router sind und keine z.b Sonicwall TZ 180  Profi Wireless Access Points mit ultimativen Routing Möglichkeiten [;)].
Habe deswegen auch die OSPF Option weggelassen, da dies ebenfalls nur Profi Geräte Unterstützten übrigens gilt das gleiche auch für Masquerading, die Home dinger bieten das nicht.

Davon ging ich ebenfalls aus, tut aber garnichts zur Sache Deiner falschen Aussage dass Surfen aufgrund von Masquerading hinter Masquerading nicht möglich sei.

Auch Dein letzter Satz ist genau umgekehrt wie Du sagst: Home-Router machen so gut wie alle Masquerading!  Was dagegen nicht alle unterstützen ist umfangreiches NAT.

Im übrigen gibt es durchaus auch bessere Home-Geräte. Mein 45€ WRT54GL mit Tomato Firmware zuhause z.B. hätte damit gar kein Problem.

Guten Abend,

zunächst mal allen recht herzlichen Dank für die umfangreichen Informationen.

Im Testaufbau befinden sich einfache WLAN-Router von TP.LINK hinter der ASG. Die Konfigurationsmöglichkeiten sind da sehr beschrankt. 

Ich bin noch auf der Suche nach einfachen Routern. Da es sich um eine kleinen, gemeinnützigen Verein handelt, soll es auch nicht so viel Geld kosten. Mir ist klar, dass ich mit "normalen" Routern das Netz einfacher aufbauen kann. Bis jetzt habe ich aber nichts unter der "Cisco" Klasse gefunden. Vielleicht hat ja einer von Euch noch eine Idee.

Meine Erfahrungen mit Astaro halten sich auch noch in Grenzen, so dass ich eigentlcui noch am Lernen bin. Deshalb nochmal besten Dank für die Antworten, die ich noch in aller Ruhe auswerten werden.

Wenn's Änderungen in der Landschaft gibt, melde ich mich wieder,

Gruss Peter

PS. Ich komme mit dem BulletinBoard auch noch nicht so gut zurecht. Ich konnte keinen individuellen Reply finden.

Wenn man auf die beiden Router verzichten kann, dann würde ich diese weglassen und die 5 Lansegmente direkt an der ASG anschliessen. (5 Netzwerkkarten)
Ob ein einfacher Router zwischen DMZ1 und LAN2 wirklich die SQL und FTP Server schützt, wage ich mal zu bezweifeln.
Und wenn in DMZ2 keine Rechner drin sind, kann man dieses Segment auch weglassen und LAN3 direkt an der ASG anschliessen.

Gregor Kemter

Schon wieder das böse "Segment"-Wort [:D]

Wer es einfach nicht glauben will: http://www.itwissen.info/definition/lexikon/LAN-Segment-LAN-segment.html

Einen sehr guten und günstigen Soho-Router habe ich ja bereits genannt.

Moin,

ich würde alle Lans direkt an die ASG anschliessen.
Ggf. je nach Switch Konstellation über VLANS.

Port 1 Admin Port, Port 2 Vlan2 und Vlan3 für DMZ1 und 2, Port3 Vlan4 und5 für Lan 2 und 3.

Sven

Schon wieder das böse "Segment"-Wort [:D]

Wer es einfach nicht glauben will: LAN-Segment :: LAN segment :: Definition :: IT-Lexikon

Was ist an dem Lan-Segment-Wort so böse ? [:S]


Gregor Kemter

Was ist an dem Lan-Segment-Wort so böse ? [:S]


Gregor Kemter

Nun ich versuche zu erklären, dass es etwas anderes bedeutet als hier offenbar mehrfach angenommen wird.

Sorry, I can't get my brain to write everything in German right now...

You are right Mario, it's sloppy of us to use "segment" when we are talking about routed subnets.

But, I don't understand that you say there's no probnlem with double natting (masquerading)  when IPSec and, I thought, other protocols have difficulty with it.  Can you be more specific?

Entschuldigt mein Englisch zurück auf Deutsch, bitte.

vD im Voraus - Bob

Nun ich versuche zu erklären, dass es etwas anderes bedeutet als hier offenbar mehrfach angenommen wird.

OK, also für mich ist ein Lan-Segment (sehr vereinfacht dargestellt):
ein Switch wo nur Geräte angeschlossen sind, die sich das selbe IP-Netz teilen.

Mann kann natürlich via VLAN eine quasi Trennung auf dem Switch bewirken,
oder mit mehreren IPs auf der selben Hardware eine logische Trennung bewirken.
Ich meinte aber aber eine strikte physikalische Trennung also mehrere Lan-Segmente. Oder habe ich wieder was was falsch verstanden ? 

Gregor Kemter

Wenn die Netze physikalisch getrennt sind (Durch Router), spricht man von mehreren Netzen und nicht von Segmenten. Denn genau das sind sie [:D]

Segmente _sind_ physikalisch getrennt (Bei Verwendung von Switches statt Hubs). Sonst könnte man an jedem Port am Switch den gesamten Verkehr der anderen Ports mithören (Wie bei einem Hub), wenn tatsächlich dasselbe Medium verwendet würde.

Also nochmal:
Switch oder Router/Rechner  Switch oder Router/Rechner
=> Dann ist genau das eine Kabel genau ein Segment.

Switch oder Router/Rechner  Hub  Switch oder Router/Rechner
=> Dann ist es auch genau ein Segment.

Switch oder Router/Rechner  Switch  Switch oder Router/Rechner
=> Dann sind es 2 Segmente.

Ist doch ganz einfach?

Wenn die Netze physikalisch getrennt sind (Durch Router), spricht man von mehreren Netzen und nicht von Segmenten. Denn genau das sind sie [:D]

Segmente _sind_ physikalisch getrennt (Bei Verwendung von Switches statt Hubs). Sonst könnte man an jedem Port am Switch den gesamten Verkehr der anderen Ports mithören (Wie bei einem Hub), wenn tatsächlich dasselbe Medium verwendet würde.

Also nochmal:
Switch oder Router/Rechner  Switch oder Router/Rechner
=> Dann ist genau das eine Kabel genau ein Segment.

Switch oder Router/Rechner  Hub  Switch oder Router/Rechner
=> Dann ist es auch genau ein Segment.

Switch oder Router/Rechner  Switch  Switch oder Router/Rechner
=> Dann sind es 2 Segmente.

Ist doch ganz einfach?