1 DHCP-Server - 2 SubNetze

T

thobro

New Member
Hallo Liebe Forenmitglieder,

ich habe ein kleines Problem und hoffe ihr könnt mir helfen. Stecke irgendwie fest.

Ich habe hier ein kleines Netzwerk, das ich betreue. Die Aufteilung habe ich in der beigefügten Anlage einmal aufgezeigt, so wie sie einmal sein soll.

Zur Zeit ist es so, das BEIDE Netze nicht existieren. Es ist nur ein großes vorhanden. Um das zu Ändern bin ich jetzt hier und soll das machen.

Kurz zum Hintergrund:
Es handelt sich hier um ein Jugendzentrum. Netz1 ist das Büronetz, Netz2 ist der Saal (öffentlich), hier können die Kinder/Jugendlichen sich Netbooks ausleihen und surfen, etc.
Bisher ist es so, das beide Netze vom Server mit IPs versorgt werden um über eine FritzBox (AP1) ins internet zu gehen.

Meine Überlegung war nun, dass ich die beiden Netze trenne, so das die Netbooks eine andere IP bekommen, als das Büronetz.

Leider scheiter ich hier irgendwie.

Der Server (Debian/GNU) hat von mir eine zweite Netzwerkkarte erhalten. Ich habe im DHCP-Server zwei Subnetze eingerichtet und dem DHCP-Server gesagt er soll auf beiden Netzwerkkarten (eth0 und eth1) lauschen. Leider vergibt der DHCP-Server nur Adressen aus dem Netz1-Bereich, Nicht aus dem Netz2-Bereich und ich weiss nicht woran das liegt.:confused:

Anbei dann mal die wichtigsten config-Dateien:
Die dhcpd.conf:
# LAN_Buero
subnet 192.168.2.0 netmask 255.255.255.0 {
range dynamic-bootp 192.168.2.50 192.168.2.59;
option domain-name-servers 192.168.2.10;
option domain-name "juze-elsdorf.lan";
option broadcast-address 192.168.2.255;
option subnet-mask 255.255.255.0;
option routers 192.168.2.1;
authoritative;
max-lease-time 10800;
default-lease-time 7200;
}
# LAN_Saal
subnet 192.168.1.0 netmask 255.255.255.0 {
range dynamic-bootp 192.168.1.50 192.168.1.59;
option domain-name-servers 192.168.2.10;
option domain-name "juze-elsdorf.lan";
option broadcast-address 192.168.1.255;
option subnet-mask 255.255.255.0;
option routers 192.168.2.1;
authoritative;
max-lease-time 10800;
default-lease-time 7200;
}
Click to expand...
Die /etc/default/dhcp3-server:
INTERFACES="eth0 eth1"
Click to expand...
Die /etc/network/interfaces:
# The primary network interface
allow-hotplug eth0
iface eth0 inet static
address 192.168.2.10
netmask 255.255.255.0
network 192.168.2.0
broadcast 192.168.2.255
gateway 192.168.2.1
dns-nameservers 192.168.2.10
dns-search juze-elsdorf.lan

# The secondary network interface
allow-hotplug eth1
iface eth1 inet static
address 192.168.1.10
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.2.1
dns-nameservers 192.168.2.10
dns-search JuzeSaal
Click to expand...

Solltet ihr noch weitere conf-Dateien benötigen, sagt bitte bescheid.

LG
Thomas
 

Attachments

  • Netzwerkplan.jpg
    Netzwerkplan.jpg
    144.5 KB · Views: 489
Last edited by a moderator:
Deine beiden Netze sind auf Layer2 immer noch ein Netz?
Dann weiß der Server nicht, dass er keine IP aus Netz1, sondern aus Netz2 vergeben soll.

Lösung:
-Entweder die IPs als manuellen Host-Eintrag in der dhcpd.conf festlegen
-besser: Die Netze wirklich Trennen und z.B. deinen Server als Router/Firewall verwenden
=> Hierdurch erreichst du auch mehr Sicherheit, was ja vermutlich der Zweck de ganzes ist.
 
Hallo

MOD: Fullquote entfernt.

Vielen Dank für deine Auskunft. Ja es soll dadurch mehr Sicherheit erzeugt werden. und wie genau richte ich den Server als Router ein?

LG
Thomas
 
Last edited by a moderator:
vb-server said:
IPv4-Forwarding und NAT aktivieren, den Server als Gateway angeben im DHCP.
Click to expand...

Gut, das IPv4-Forwarding habe ich jetzt aktiviert, in der Datei /etc/sysctl.conf.

Code: 
net.ipv4.ip_forward=1

Doch wie geht das jetzt mit dem NAT?

Grüße
Thomas
 
NAT halte ich für unnötig.
Zeichne doch mal die Netzstruktur bisher auf und erkläre, was genau du erreichen willst.
Wichtig ist, dass danach nicht mehr alle Geräte in einem Switch stecken können (wohl dein Fehler bisher), sondern du zwei brauchst.
 
Weil mir Deine Netzwerkkonfiguration noch nicht völlig klar ist, habe ich mal ein paar Adressen in den Plan eingetragen.
Falls ich etwas falsch verstanden habe, bitte korrigieren.

Was mir auffällt:
Das Saal-Netz hat ein komisches Gateway, hier müsste der DHCP-Server eine Adresse aus dem Subnetz 192.168.1.x angegeben sein, vermutlich "option routers 192.168.1.10".
Außerdem passen der DNS-Name und die Search-Einstellung nicht zusammen.
In der /etc/network/interfaces sollte für eth1 kein Default-Gateway eingetragen sein, da über dieses Interface eh keines erreichbar ist.
Im 192.168.2.0er Netz bräuchtest Du eigentlich eine kompliziertere Routing-Tabelle, so wie es momentan eingetragen ist, kann Client1/2 Rechner im Saal nicht erreichen - muss er aber vielleicht auch nicht.
 

Attachments

  • Netzwerkplan mit Addressen.jpg
    Netzwerkplan mit Addressen.jpg
    179.4 KB · Views: 545
Hallo,
Jesaja said:
Zeichne doch mal die Netzstruktur bisher auf und erkläre, was genau du erreichen willst.
Click to expand...

Die bisherige Netzstrucktur ist genau so wie sie im Netzplan eingezeichnet ist. Mit einer Ausnahme. Die Kabelverbindung aus dem AP2 geht nicht in den Server, sondern direkt in den AP1.

AP1 ist eine FritzBox 7270. AP2 ist ein Netgear AccessPoint.

Jesaja said:
Wichtig ist, dass danach nicht mehr alle Geräte in einem Switch stecken können (wohl dein Fehler bisher), sondern du zwei brauchst.
Click to expand...

Wenn es ja alles so läuft wie ich mir das vorstelle, dann hängt ja auch alles nicht mehr an einem Swicht (hier der AP1 = die FritzBox).
Es gibt dann nur noch eine Verbindung zwischen den beiden Netzwerken und die läuft über den Server. Das ich da ggf für den Internetzugang SQUID als Proxyserver installieren muss ist mir klar.

Internette Grüße
Thomas
 
Hallo,
Whistler said:
Weil mir Deine Netzwerkkonfiguration noch nicht völlig klar ist, habe ich mal ein paar Adressen in den Plan eingetragen.
Falls ich etwas falsch verstanden habe, bitte korrigieren.
Click to expand...

Die Adressen stimmen soweit wie du sie eingetragen hast ....

Whistler said:
Was mir auffällt:
Das Saal-Netz hat ein komisches Gateway, hier müsste der DHCP-Server eine Adresse aus dem Subnetz 192.168.1.x angegeben sein, vermutlich "option routers 192.168.1.10".
Click to expand...

Die Gatewayadresse 192.168.2.1, auf die du anspielst, ist die FritzBox (AP1).

Whistler said:
Außerdem passen der DNS-Name und die Search-Einstellung nicht zusammen.
Click to expand...

Gut, werde ich ändern, was schlägst du vor?

Whistler said:
In der /etc/network/interfaces sollte für eth1 kein Default-Gateway eingetragen sein, da über dieses Interface eh keines erreichbar ist.
Click to expand...

Werde ich dann am Montag entspechend ändern.

Whistler said:
Im 192.168.2.0er Netz bräuchtest Du eigentlich eine kompliziertere Routing-Tabelle, so wie es momentan eingetragen ist, kann Client1/2 Rechner im Saal nicht erreichen - muss er aber vielleicht auch nicht.
Click to expand...

Eigentlich muss ich aus dem .2.0-Netz nicht in das 1.0-Netz. Eher andersrum. Und dort brauche ich auch nur den Internetzugang, nichts weiter.

Internette Grüße
Thomas
 
Last edited by a moderator:
Hallo,
vb-server said:
Wenn dein ISP und die Gegenseite RFC1918-Adressen routen, dann ist NAT wirklich unnötig.
Click to expand...

Was hat mein ISP bzw. eine Gegenseite damit zu tun? Es handelt sich hier um ein Gebäude. Nur sollen halt zwei Netze mit zwei verschiedenen Funktionen getrennt werden, die bisher zusammen waren. Einmal das Büro/Verwaltungsnetzwerk. Und auf der anderen Seite das "öffentliche" WLAN-Netz, wo sich unsere Besucher/innen einklinken können.

Das einzige was von beiden genutzt werden soll ist die FritzBox (AP1) mit dem Zugang zum Internet.

Internette Grüße

Thomas
 
Die Gatewayadresse 192.168.2.1, auf die du anspielst, ist die FritzBox (AP1).
Click to expand...
Ja, aber aus dem 192.168.1er Netz braucht man erstmal ein Gateway, um das Netz mit der Fritzbox zu erreichen. Merkst Du was :D
Gut, werde ich ändern, was schlägst du vor?
Click to expand...
Rechner im Saal nehmen den Server (192.168.1.10) als Standard-Gateway, der routet dann (wie von vb-server beschrieben) weiter.

Da Du seit kurzem auch das Stichwort SQUID ins Rennen geworfen hast, könnte auch das 192.168.2er Netz den Server (192.168.2.10) als Gateway nehmen, der routet dann bei Bedarf ins 192.168.1er und ansonsten auf die Fritzbox.
Filtern kann man dann den Traffic entweder transparent per IPTables-Rule oder explizit per Eintrag des Proxyservers.
Falls Ihr da (wie an Schulen) entsprechende Jugendschutz-Auflagen habt und filtern müßt, geht es eh nicht anders.

Ansonsten müßte eine Route zum 192.168.1er und zusätzlich eine Default-Route auf die Fritzbox gesetzt werden oder die FB macht Route Deflection für das lokale Netz.

Und der Nameserver auf dem Debian-Server muß auch die beiden verwendeten Dummy-Zonen (juze-elsdorf.lan und JuzeSaal) kennen und richtig auflösen.
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top