PORT-WEITERLEITUNG UND ROUTING - 2 NETZE AUF EDGEROUTER ER-X-SFP

Es gibt 7 Antworten in diesem Thema, welches 1.890 mal aufgerufen wurde. Der letzte Beitrag () ist von gierig.

    Hallo zusammen.

    Da ich neu in diesem Forum bin, erstmals ein Hallo an alle und vorab schon vielen Dank für eure Hilfe.


    Ich habe ein Problem mit folgendem Aufbau:

    Von meinem Arbeitsplatz-Rechner aus müsste ich eine Verbindung zu einem Server über Port 50005 herstellen.

    Leider lässt sich eine direkte Verbindung aufgrund von Security-Policies nicht einrichten.

    Daher muss ich den Umweg über ein zweites Netz mit entsprechender Port-Weiterleitung machen.

    Die Konfiguration des Routers habe ich über den "Basic Setup"-Wizard mit zwei Netzen durchgeführt.


    Hier mal kurz der Aufbau:

    · EdgeRouter ER-X-SFP

    · Netzwerk1 (ETH1) = IP address 10.140.175.253/26

    · Netzwerk2 (ETH2) = IP address 10.255.47.11/28

    · Netzwerk2 (ETH3) = IP address SERVER 10.255.47.12

    · System Gateway address = 10.140.175.254 (???)


    Und hier kurz wie die Verbindungen sein sollten:

    Mein Arbeitsplatz-Rechner kommt aus dem Netzwerk1 und muss über Port 50005 auf den Server mit der IP-Adresse 10.255.47.12 im Netzwerk2 zugreifen.

    Leider funktioniert das Ganze aber nicht, wie es sollte. D.h., ich kann keine Verbindung Server herstellen.


    Kann mir jemand erklären, ob die "System Gateway address" so korrekt ist, auf welches Routing hier zu achten ist und ob die Standard-Firewall-Regeln anzupassen sind.

    Leider sind meine Kenntnisse auf diesem Gebiet beschränkt, sodass ich auf Hilfe hier im Forum hoffe.


    Ich bin um jeden Tipp und jede Information dankbar.

    Vielen Dank!!!!

    Zitat von rexisr1

    · Netzwerk1 (ETH1) = IP address 10.140.175.253/26

    · Netzwerk2 (ETH2) = IP address 10.255.47.11/28

    Das sind keine Netzwerk- sondern Hostadressen. Eine Adresse für ein ganzes Netzwerk endet hinten mit "0", daher z.B. 10.140.175.0 und 10.255.47.0 (wie kommt man eigentlich immer auf so krumme IP-Bereiche, kann sich ja kein Mensch merken :frowning_face:). Prüf bitte auch einmal die CIDR-Suffixe (/26 u. /28), die bestimmen die Netzwerkgröße (/26=62 Hosts, /28=14 Hosts) und müssen mit den Angaben an anderen Stellen (z.B. DHCP-Dienst, fest vergebene IPs) übereinstimmen und für die Anzahl von Hosts im Netz auch ausreichen. Vielleicht hat sich Dein Problem damit schon erledigt, an sonst kann ich da nicht weiter helfen, denn ob z.B. Deine Gatewayadresse richtig ist, lässt sich mit Deinen spärlichen Informationen nicht beurteilen.

    Hallo bic.

    Vielen Dank für die Aufklärung und die Infos.

    Die CIDR-Suffixe sind korrekt.

    Welche Infos benötigst du noch? Vielleicht kann ich dir noch weitere hilfreiche Infos liefern.

    Zitat von rexisr1

    Welche Infos benötigst du noch? Vielleicht kann ich dir noch weitere hilfreiche Infos liefern.

    Wenn ich Deinen Eingangspost richtig gelesen habe, handelt es sich um zwei lokale Netzwerke, für welche Du Ports am Router abgetrennt hast (quasi portbasiertes Vlan), wobei Port 2 und 3 eine Bridge bilden, denn diese sind dem selben Netzwerksegment zugeordnet, auch wenn der Server direkt auf Port 3 hängt. Eine Standardroute scheint ja vorhanden zu sein, an sonst kämst du ja nicht in Internet. Daher könnte die von Dir gesuchte Route so aussehen:


    Für die Hinroute und das Quellnetzwerk 10.140.175.0/26 (PC-Netz):

    • Zielnetzwerkadresse: 10.255.47.0/28 (Netz des Servers)
    • Gateway/Schnittstelle: 10.140.175.x (Adresse des Ports des Netzes des PCs - hast du ja nicht genannt)
    • Metrik (Hops): 1

    Für die Rückroute und das Quellnetzwerk 10.255.47.0/28 (Netz des Servers)

    • Zielnetzwerkadresse: 10.140.175.0/26 (Netz des PCs)
    • Gateway/Schnittstelle: 10.255.47.x (Adresse des Ports des Netzes des Servers, daher günstiger Weise 10.255.47.12, aber auch die 10.255.47.11 sollte funktionieren)
    • Metrik (Hops): 1

    Es kann natürlich sein, dass der Eintag einer Rückroute nicht erforderlich ist, weil dies der Router beim Anlagen einer Route gleich automatsich erledigt.


    So, nun erschlag mich aber nicht, wenn es nicht funktioniert, ich empfehle ohnehin, das Manual Deines Routers zu befragen. Hier dürfte auch drin stehen, wie man statische Routen anlegt.

    Zitat von bic

    Eine Adresse für ein ganzes Netzwerk endet hinten mit "0", daher z.B. 10.140.175.0 und 10.255.47.0

    Da muss ich wieder sprechen.

    Bleiben wir bei seinen Adressen:


    · Netzwerk1 (ETH1) = IP address 10.140.175.253/26

    Netzname ist: 10.140.175.192/26 das geht von 10.140.175.193 bis 10.140.175.255

    Keine Null am ende...


    · Netzwerk2 (ETH2) = IP address 10.255.47.11/28

    Netzname ist: 10.255.47.0/28 geht 10.255.47.1 bis 10.255.47.14

    Hier gehört dann wirklich die null hin.


    Weiter unten sprichst du dann von

    10.140.175.0/26 was sich dann aber beißt mit den den vorgegebenen Netzwerken vom TO.





    Einmal editiert, zuletzt von gierig ()

    Gefällt mir 1
    Zitat von gierig

    · Netzwerk1 (ETH1) = IP address 10.140.175.253/26

    Netzname ist: 10.140.175.192/26 das geht von 10.140.175.193 bis 10.140.175.255

    Keine Null am ende...

    Stimmt :frowning_face:

    Zitat von gierig

    · Netzwerk2 (ETH2) = IP address 10.255.47.11/28

    Netzname ist: 10.255.47.0/28 geht 10.255.47.1 bis 10.255.47.14

    Hier gehört dann wirklich die null hin.

    Na wenigstens was :smiling_face:

    Zitat von gierig

    Weiter unten sprichst du dann von

    10.140.175.0/26 was sich dann aber beißt mit den den vorgegebenen Netzwerken vom TO.

    Das wäre dann halt die 10.140.175.192/26 - kommt davon, wenn man sich spät abends mit so krummen IP-Bereichen beschäftigt :grinning_squinting_face:

    Vielen Dank für die Infos.

    Leider funktioniert das Ganz noch nicht (auch mit den angepassten Routen).

    Was ich gesehen habe: wenn ich für switch0 die IP-Adresse 10.255.47.14/28 eintrage, dann klappt die Verbindung MEISTENS.

    Nochmals ich:

    Oder wie könnte man das Ganze besser aufbauen (vielleicht bin ich auch etwas um die Ecke gestartet??)?

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von rexisr1 mit diesem Beitrag zusammengefügt.

    Du könntest Anfangen und ein Bild Malen mit ALLEN ip Adressen, wo ist welche IP wo ist was angeschlossen.

    Gateway IP, etc... Das hier reicht dafür vollkommen und ist kostenlos.

    Aber auch Stück Papier oder Paint würde völlig ausreichen.


    Den abgesehen von „Netzwerk Nomenklatur “ sind die Hinweise von Bic alle korrekt. Jedenfalls auf der Basis von den

    Informationen die Du geliefert hast. Wichtig für Routen Entscheidungen sind halt wo die Gateway IP Adressen den nun

    liegen und wie der Client dahin kommt. (wenn deine Client/server „deinen“ Router nicht als Default drinnen haben müssen

    manuelle Routen dazu)


    Oder anders:

    Wenn du ein Netzwerk auf ETH1 hast und ein anders auf ETH2

    hast, dann fertig, geht. Denn das ist die Elementare Aufgabe eines jeden Routers, zwischen

    seinen direkt angeschlossenen netzen zu Routen. Dazu müssen die Clients den Router

    aber kennen (genauer den nächsten HOP auf dem Weg zum Ziel) entweder weder per direkter route oder weil die

    default route auch auf den gleichen router geht.

    (ACLs, FW, Routing Engine ausgeschaltet, lustiges NAT aussenvorgelassen.





    Zitat von rexisr1

    Von meinem Arbeitsplatz-Rechner aus müsste ich eine Verbindung zu einem Server über Port 50005 herstellen.

    Leider lässt sich eine direkte Verbindung aufgrund von Security-Policies nicht einrichten.

    Allerdings muss ich auch sagen und das gebietet der Geheime Codex der IT Abteilungen dieser Welt.

    Frag deine IT, wenn es Security-Policies gibt dann gibt es die aus guten Grund. Wenn ein Zugriff für die

    Arbeit nötig ist, spreche solange mit Chef bis das erfüllt ist oder lege die Arbeit nieder.

    Wenn du selber IT / Chef bist und dir was basteln sollst... dann halt wieder oben.