Debian-Server mit 2 Subnetzen und FritzBox

[GWBln]

Hallo Leute, ich bekomme mein Netzwerk nicht gebacken, so sieht es aus:

Code: Alles auswählen

        a/=========| Server |========\b
         |         ----------        |   Lan1
         |                           |
 /---------------\           /---------------\
 |   Switch a    |           |    Switch b   |
 \---------------/           \---------------/
   |          |                |           |
   | Lan2     | Lan3           |           |
   |          |                |           |
 ------      ------          ------       ------
 | R3 |      | FB |          | R2 |       | R1 |
 ------      ------          ------       ------
               |
              / \
      Internet   WLAN für mobile Geräte, USB-Platte

• Server:

Betriebssystem Debian
Dateiserver (nfs, samba)
DHCP+DNS für Lan1 + Lan2
zwei Netzwerkschnittstellen

• Kabel

TP-Kabel über einen Switch zum Rechner R3 (Lan2) und zur FritzBox (Lan3); physisches Kabel mit zwei unterschiedlichen IPv4, weil eine dritte Schnittstelle schwierig ist und ein weiteres Kabel benötigt wird
TP-Kabel über einen Switch zum Rechner R2 und R1, Printer
Die Rechner R1, R2, R3 sowie der Printer haben eine feste IPv4
alle Rechner benutzen Linux als Betriebssystem, kein Rechner im LAN benutzt Windows

• Switch

einfache Geräte, L2; an den beiden Switches können weitere Rechner per Kabel angeschlossen werden. Diese bekommen ihre Netzwerkdaten vom DHCP auf dem Server.

• Mobilnetz

Die mobilen Geräte erhalten ihre Netzwerkdaten von der FritzBox.

• Ziel

Ziel soll sein, das alle Geräte untereinander kommunizieren können und sowohl lesend wie schreibend auf den Server zugreifen können. Außerdem soll der Printer von allen ansprechbar sein.

Alle Rechner haben eine Gigabit Schnittstelle und diese sollte für den privaten Bereich ausreichend sein.

Meine Frage(n):
Wie setze ich das um?
Macht eine Bridge für Lan1 + Lan2 Sinn oder besser zwei Teilnetze der Art 192.168.local/16 oder ähnlich?
Wenn ich die Infos im Netz zu einem Subnetz richtig interpretiere kann ich dafür die eine Schnittstelle benutzen, wobei Lan1 und Lan2 über einen Switch an eth0 angeschlossen werden.

Allerdings gibt es da noch das Problem, dass es z.Zt. nur ein Kabel (etwa 20m) als Verbindung zu Rechner R3 und zur FritzBox gibt. Ist das machbar und wenn ja wie? Aufteilung eines IPv4-Bereiches?

[DeletedUserReAsG]

Ziel soll sein, das alle Geräte untereinander kommunizieren können und sowohl lesend wie schreibend auf den Server zugreifen können. Außerdem soll der Printer von allen ansprechbar sein.

In dem Fall würde ich alle Geräte an einen Switch und in ein Netz hängen, und fertig. Bringt ja nichts, erst alles aufwendig zu trennen, um dann zu konfigurieren, dass doch alles wieder zusammenhängt.

Man kann Switches auch problemlos hintereinander hängen, so dass du mit deinen 20m Kabel in den Raum von Fritzbox und R3 gehen, und dort den Switch hinstellen kannst. Haben die Fritzboxen nicht auch einen eingebauten Switch, wie die meisten anderen Plastikrouter? Falls ja, könntest du dir den Extraswitch dort sparen.

[GWBln]

In dem Fall würde ich alle Geräte an einen Switch und in ein Netz hängen, und fertig. Bringt ja nichts, erst alles aufwendig zu trennen, um dann zu konfigurieren, dass doch alles wieder zusammenhängt.

Man kann Switches auch problemlos hintereinander hängen, so dass du mit deinen 20m Kabel in den Raum von Fritzbox und R3 gehen, und dort den Switch hinstellen kannst. Haben die Fritzboxen nicht auch einen eingebauten Switch, wie die meisten anderen Plastikrouter? Falls ja, könntest du dir den Extraswitch dort sparen.

Danke für die Antwort, aber:
Ich habe vergessen zu erwähnen, dass die Geräte in verschiedenen Räumen sind:

• Rechner R3 und die FritzBox sind im Raum A. Kabel A zum Server etwa 20m

• Der Server ist im Flur.

• Rechner R1 + R2 sind in Raum B. Kabel B zum Server etwa 30m

Ein weiterer Grund für die Aufteilung:

Der Server soll als zusätzliche Firewall das interne Netz nach draußen abschirmen, was schlecht möglich ist, wenn alles in einem Netz ist.

Bis vor kurzem gab es 2 Netze: Fritz-Netz und Local-Netz.

Durch die Auftrennung mußte ich ein drittes Netz anlegen, weil die IP-Adressen unterschiedlich sein müssen. Wäre es eine Überlegung wert, das Local-Netz in getrennte Subnetze mit entsprechender Maske anzulegen? Zumindest was das routing angeht?

Ich bin mir im Klaren darüber, dass die gemeinsame Nutzung von Kabel A suboptimal ist (aus Sicht der Abschirmung).

[GWBln]

Meine Frage(n):
Wie setze ich das um?
Macht eine Bridge für Lan1 + Lan2 Sinn oder besser zwei Teilnetze der Art 192.168.local/16 oder ähnlich?
Wenn ich die Infos im Netz zu einem Subnetz richtig interpretiere kann ich dafür die eine Schnittstelle benutzen, wobei Lan1 und Lan2 über einen Switch an eth0 angeschlossen werden.

Allerdings gibt es da noch das Problem, dass es z.Zt. nur ein Kabel (etwa 20m) als Verbindung zu Rechner R3 und zur FritzBox gibt. Ist das machbar und wenn ja wie? Aufteilung eines IPv4-Bereiches?

Was ich vergessen habe zu erwähnen:

Als Lösung möchte ich gerne »systemd-networkd« einsetzen, da ich dort wohl die optimalsten Möglichkeiten habe und dies der »state-of-the-art« ist.

Von daher suche ich auch die notwendigen Inhalte von Dateien wie Lan1.network, Lan2.network, ...
wobei ich davon ausgehe, dass getrennte Dateien sinnvoll sind.

[DeletedUserReAsG]

Ich habe vergessen zu erwähnen, dass die Geräte in verschiedenen Räumen sind:

Ich sehe das Problem damit nicht.

Der Server soll als zusätzliche Firewall das interne Netz nach draußen abschirmen, was schlecht möglich ist, wenn alles in einem Netz ist.

Das ist genauso schlecht möglich, wenn, wie du schreibst, sowieso alles mit allem kommunizieren können soll.

Wie auch immer – ich würde die Netze halt in verschiedene Segmente legen, und weil ich es gerne einfach habe, würde das IP-seitig etwa so aussehen: 192.168.0.0/24 für das interne Netz und 192.168.1.0/24 für die Fritzbox. R3 würde ich, wenn er nicht ausdrücklich in der „Dirty DMZ“ stehen soll, im 192.168.0.0/24-Netz unterbringen – man kann verschiedene Netze über eine Leitung laufen lassen.

Von daher suche ich auch die notwendigen Inhalte von Dateien wie Lan1.network, Lan2.network

Ahso, du willst was Fertiges zum Copypasten. Damit will ich leider nicht dienen – aber vielleicht hat ja jemand Anderes Langeweile

[heisenberg]

Erst einmal danke für die gute Darstellung Deiner Ist-Situation. Da macht es Freude sich damit zu beschäftigen.

Der Server soll als zusätzliche Firewall das interne Netz nach draußen abschirmen, was schlecht möglich ist, wenn alles in einem Netz ist.

Da ist die Frage, wie Du das genau meinst. Grundsätzlich von draußen nach drinnen, ist das ja schon mal abgeschirmt, weil die Fritte ja nur NAT macht und da deswegen nichts reinkommt. Wenn Dir das zu unsicher ist, kannst Du Den Server als Firewall zw. Fritte und internes Netz platzieren.

Letzteres wäre auch zu empfehlen, wenn Du den Traffic nach draußen kontrollieren möchtest.

Das wäre dann dieser logische Aufbau:

Code: Alles auswählen

FRITTE --- SERVER --- INT_LAN

Hier gibt es dann zwei IP-Netze: LAN-Fritte und LAN-intern.

Physisch dann entweder Server zur Fritte stellen (ohne zus. Kabel z. B. durch verbinden der beiden Kabel, die vorher im Server eingesteckt waren mit einer RJ45 Doppelkupplung, oder vielleicht ist eines der beiden Kabel so lang, dass es zur Switchdirektverbindung reicht.) oder Fritte zum Server (mit zus. Kabel).

Das WLAN von der Fritte darfst Du dann nicht mehr benutzen, da die WLAN-Clients ja nicht mehr am internen Netz wären - Höchstens noch als Gäste-WLAN, die nicht ins interne Netz dürfen. D. h. Du könntest Deinen Server zum WLAN-Accesspoint machen(mit einer Karte: Frage an alle: Kann man das mit jeder WLAN-Karte?) oder einen zusätzlichen AP(gl.inet? Alte Fritte?) dazu stellen, der die Clients im internen Netz einbindet.

[GWBln]

Von daher suche ich auch die notwendigen Inhalte von Dateien wie Lan1.network, Lan2.network

Ahso, du willst was Fertiges zum Copypasten. Damit will ich leider nicht dienen – aber vielleicht hat ja jemand Anderes Langeweile

Nein, ich möchte den grundsätzlichen Aufbau der Dateien in /etc/systemd/network/x.network u.a. mit denen ich ein Routing in beiden Richtungen zwischen zwei Netzwerk-Interfaces machen kann.

Es gibt zwar die mehr oder weniger klassische Möglichkeit das mit NAT/iptables zu tun, aber das ist mir zu kompliziert!

In der Doku von networkd sind etliche Möglichkeiten beschrieben, wie der daemon systemd-networkd die Schnittstellen behandelt. Dazu gibt es die Dateien x.network, x.netdev, x.link; die dort beschrieben Möglichkeiten sind sehr komplex!
In dieser Doku wird auch eine bridge beschrieben (Netzwerkbrücke), die beliebige Schnittstellen auf der Ebene 2 verbinden kann, u.a. als Internet-Verbindungsfreigabe.

Ich möchte also wissen, ob sich jemand damit auskennt.
Hat jemand schon einmal z.B. eine bridgec mit diesen Tools erstellt?
kann ich damit meine 3 Schnittstellen quasi im Dreieck miteinander verbinden?

Ein Nachtrag zum generell erwünschten internen Zugriff:

Früher hatte ich alle Rechner und die FritzBox in einem physikalischen Netz, aber mit verschiedenen IPv4-Adressbereichen.
So konnte ich auch auf meinen Server vom Handy aus zugreifen, dort aber nur auf den Webserver ... aber nicht weiter! Mit den entsprechenden Port-Weiterleitungen sollte aber sogar eine ssh-Sitzung per Handy auf einem lokalen Rechner möglich sein ... das kann zwar ein Handy nicht, aber ein Rechner mit WLAN, der sich in meinem Netz anmeldet!