+-Serie DS1511+ Nur ein Gateway für beide Lan ports?? Ich benötige getrennte..

[theoberlin]

Hallo,

ich habe ein Problem mit der Diskstation 1511+.
Bisher habe ich nur ein Lan port benutzt. Jetzt benötige ich ein 2. Netz in dem die Diskstation ebenfalls steht.
Dieses hat einen anderen IP Bereich.
Ich kann zwar beiden Lan Anschlüssen unterschiedliche IPs geben aber das Gateway kann ich nur allgemein für beide auswählen.
Da ich 2 verschiedene habe, muss ich diese getrennt einstellen.

Wo kann ich irgendwie verschiedene Gateways einstellen?

Lg
Theo

 

[Ap0phis]

Das Gateway brauchst du nur, um mit der DS ins Internet zu kommen, um z.B. Updates zu laden.
Von daher braucht man nur eins!

Um die DS im Netz 2 erreichbar zu machen, mußt du in der Tat nur eine IP-Adresse eingeben.

Du kannst also mit dem Gateway einstellen, über welches der beiden Netze deine DS Updates laden kann.

 

[theoberlin]

Mal kurz den Kontext: Internet -->Firewall-->>Diskstation Lan1 von Extern
--->PC -->Lan 2 von intern.

Schiebe ich jetzt Daten vom PC auf die Diskstation und habe die Firewall als Gateway bzw. für diesen Fall viel wichtiger als Router angegeben wird der Verkehr nicht vom PC Direkt an die Diskstation geroutet sondern mit langsamen 20mb/sek über die Firewall.
Ich will aber über gigabit Netz direkt an den Lag 2 der DIskstation.

Ist in dieser aber als Gateway (okay egal) aber auch als router bei BEIDEN Lan Schnittstellen die Firewall angegeben werden die Daten immer über die Firewall geroutet....

Es ist doch nicht so schwer 2 Lan posts vollkommen unabhängig voneinander konfigurieren zu können...inkl gateway...

Lg
Theo

 

[Ap0phis]

Ich versteh´s zwar immer noch nicht wirklich, aber ein Gerät mit 2 Gateways muß routen können, um Anfragen gezielt über das richtige Gateway leiten zu können.
Das habe ich bei der DS nicht ausprobiert. Da können andere hier sicher besser helfen.

 

[theoberlin]

Also die DS steht in einer DMZ von Außen über eine Portweiterleitung der Firewall erreichbar.
Die Firewall erlaubt natürlich keine 100 MB/Sec Durchsatz deswegen hängt am LAN 2 Der DS eine direkte Verbindung zum Internen L3 Router des LAN Netzes.

Mein PC verbindet sich jetzt als Netzlaufwerk mit der DS. Da als Standardgateway in der DS die Firewall steht wird der Netzwerkverkehr über die Firewall geleitet ergo langsam.
Ich müsste jetzt ein 2. gateway einrichten und die IP des Gigabit Routers nehmen damit der Datentransfer nichtmehr über den Umweg der Firewall geht. Und genau das kann ich nicht da nur ein stanardgateway angegeben werden kann das für beide LAN Ports gilt.
Ich hoffe das war verständlich.

lg
Theo

 

[Ap0phis]

...
Mein PC verbindet sich jetzt als Netzlaufwerk mit der DS. Da als Standardgateway in der DS die Firewall steht wird der Netzwerkverkehr über die Firewall geleitet ergo langsam. ...

Das stimmt ja nicht. (Genau das meinte ich oben!)
Das Gateway in deiner DS hat absolut nichts mit dem Routing für deinen PC zu tun.
Dafür hat der PC einen eigenen Eintrag für ein Standard-Gateway, was in dem Falle ja dein interner Router sein sollte!

 

[theoberlin]

Okay vielleicht habe ich ja irgendeinen Denkfehler.
Aber solange ich das Standardgateway der DS nicht auf den IP Port des internen Router stelle, sondern es auf der firewall steht, kann ich die DS nicht intern erreichen....eine Idee wo der Fehler liegt?

 

[Ap0phis]

Evtl. an der internen Firewall deiner DS!? ... dass die die Zugriffe aus Netz 2 sperrt!?

 

[theoberlin]

Nein die ist abgeschaltet....ich komme nur auf die DS auf LAN 2 mit der ip 192.168.4.10 wenn ich ich xx.xx.4.3 (IP interface des VLANS auf de Router) als gateway eingebe....
sobald ich als gateway xx.xx.2.1 (firewall) drinn habe kommt der Netzwerverkehr über die Firewall slebst wenn ic als IP für das Netzlaufwerk xx.xx.4.10 angegeben habe..

 

[Ap0phis]

Im PC hast du aber schon 2 Netzwerkkarten und dort nicht bei beiden das gleiche Standardgateway eingetragen!?

 

[theoberlin]

Naja das kann man so einfach nicht sagen.
Der Rechner hängt mit einem Lan Port am Internen Router der die Vlans Route.
Einmal geht die gewünscht verbindung Direkt in ein anderes VLAN in dem die Diskstation steht.
Und außerdem besteht natürlich eine Verbindung in ein anderes WLAN wo die Firewall steht. Von der geht die DMZ aus über die ich ja nicht gehen will...

 

[Ap0phis]

Ok, ich denke, dass ich hier nicht den richtigen Überblick habe, oder was falsch verstehe.
Du hast nicht zufällig einen übersichtlichen Netzwerkplan?

 

[Benares]

@theoberlin

Jedes LAN hat nur ein Default Gateway.

Wenn ich deine Netzwerkstruktur richtig deute, hast du zwei LANs
1.) Das Netz an LAN1 der DS, welches du als DMZ bezeichnest, nennen wir es mal "LAN1"
2.) Das Netz an LAN2 der DS, nennen wird mal "LAN2".

Für alle Rechner in "LAN2" ist LAN2 der DS das Default Gateway, für alle Rechner in LAN1 ist das die Firewall bzw. der Router.
Weiterhin brauchen alle Rechner in LAN1 aber noch eine Netzroute zu LAN2 über Gateway "LAN1 der DS", damit sie Pakete dorthin nicht an die Firewall bzw den Router schicken sondern zur DS.
Diese Netzroute kannst du auf jedem Rechner in "LAN1" oder du einfach auf dem Router setzen. Pakete aus LAN1 an LAN2 gehen dann zunächst zum Router und werden dort zurück an die DS und weiter in LAN2 geroutet.

Ganz nach dem Motto: "Vom Wohnzimmer (LAN1) in den Garten (LAN2) geht's durch die Terassentür (LAN1 der DS) raus, durch die Haustür (Router) geht's überall hin. Für Leute im Garten ist die Terassentür (LAN2 der DS) das Default Gateway, wenn der Garten sonst keinen Ausgang hat."
Verständlich?

Gruß Benares

 

[theoberlin]

ALso ich habe mal eine kurze Netzwerkskizze gemacht weil mein richtiges Konzept kann ich hier natürlich nicht posten
Der PC steht im VLAN 51 Default gateway des PC´s ist 192.168.51.3 (IP des Router Interfaces)
Der Router hat eine Default Route auf die Firewall (192.168.2.1)
Am Router ist die Diskatstion mit Ip 192.168.4.10 direkt angeschlossen (im eigenen VLAN)
Die Diskstation ist zusätzlich an der Firewall in der DMZ Zone angeschlossen. (IP 192.168.10.10)

Wenn ich jetzt ein Laufwerk verbinde mit IP 192.168.4.10 geht die Route trotzdem über die Firewall an LAN 1 mit IP 192.168.10.10.

Banares verstehe ich ansich, allerdings gibt es im LAN 1 keine Rechner sondern nur der Zugriff von außen über die Firewall muss möglich sein. Am LAN 2 der Diskstation eben nur von Innen. vom L3 Router der die VLANS verwaltet.

Ich vermute mal Mein Problem ist die Default Route im Router auf die Firewall allerdings kann ich ja nicht sagen "verkehr von PC immer auf Diskatstion" Weil ich ja dennoch eine Internetverbindung zur Firewall benötige..

Also ich benötige folgendes...Alle Anfragen müssen an die Firewall gehen. Nur der Datentransfer zur Diskstation mit der extra IP Darf nicht über die Firewall gehen sondern Netzintern an den 2. LAN Port.

Wo ist denn meine Denkblockade?

Lg
Theo

 

[jahlives]

imho müsstest du dazu auf Router L3 eine Route setzen für die IP der DS welche du direkt, also ned via Firewall, erreichen willst. Sonst kommt die Default Route zum tragen. Ich würde probieren die Route in etwa so zu setzen

route add -host 192.168.4.10/32 gw 192.168.4.10 dev eth2

 

[theoberlin]

Hallo jahlives

Das Problem ist, wenn ich im Router eine Static Route setze die allen Verkehr vom Rechner 192.168.51.112 auf die IP 192.168.4.10 der DS Routet habe ich keine Internetverbindung mehr bzw. erreiche andere Server nichtmehr.

Allerdings verstehe ich deinen Routeintrag nicht ganz.... du bindest ja quasi das gateway an die Zielip bzw. den physikalischen Port.....Es ist ein Cisco Router (SG500-52) ich weiß jetzt nicht wie der Syntax da genau ist in diesem Fall...
Hast du einen Denkanstoß?
lg
Theo

 

[jahlives]

wieso sollte der gesamte Traffic umgeleitet werden? Ist ja eben keine default Route, sondern eine Hostroute. Die Route besagt letztlich nur: wenn Traffic für 192.168.4.10/32 dann ned via default sondern direkt via das entsprechende Interface (eth2) raus. Setzt voraus, dass der L3 die IP 192.168.4.10 kennt

 

[theoberlin]

Soweit hat es klick gemacht
Klar das wenn ich als Destination die 192.168.4.10 nehme nur der Traffic für die Besagte IP dorthin geroutet wird. Danke.

Allerdings wüsste ich nicht wie ich eine Route an ein Interface binde am Cisco....müsste es nicht reichen wenn ich sage Destination 192.168.4.10 --> An Gateway 192.168.4.10?
Die DS ist im VLAN 4 welches der L3 selbst erstellt und über ein IP Interface (192.168.4.3) ansprechen kann.

 

[theoberlin]

Also ich habe jetzt folgendes gemacht.
Rechner hängt in seinem VLAN am L3. Auf dem L3 ist eine Static Route eingetragen Destinantion 192.168.4.10/32 gateway 192.168.4.10 Metric 1
Diskstation hat die IP 192.168.4.10 hängt auch im richtigen VLAN. Acceslisten stehen auf Permit all.
Ich kann die Diskstation unter 192.168.4.10 nicht anpingen. Hat jemand eine Idee? ist siche rnur ein blödr Fehler aber er fällt mir gerade nicht auf....

Lg
Theo

 

[jahlives]

wenn du die DS ned pingen kannst, kann es zwei Gründe dafür geben: 1. die Pakete kommen schonmal gar ned bis zur DS oder 2. die Pakete kommen bis zur DS nur antwortet diese ned auf dem Interface wo die Pakete auch reingekommen sind.Mittels traceroute solltest du sehen können ob die Pakete den richtigen Pfad zur DS nehmen. Ist dies der Fall dann dürfte 2. das Problem sein. In dem Fall würde ich vermuten die DS antwortet auf dem Interface wo auch die default Route drauf ist. Da wirst du imho auch auf der DS eine Route zurück in dein LAN auf dem korrekten Interface setzen müssen