Routing Lan1 und Lan2

Status
Für weitere Antworten geschlossen.

Cinux

Benutzer
Mitglied seit
22. Jan 2016
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
Hallo Leute,

ich bin aktuell am verzweifeln. Ich versuche ein Verbindung zwischen Lan1 und Lan 2 des Synology DS415+ herzustellen.

Hier das Szenario, damit ihr wisst worum es geht.

Ich habe ein Netzwerk, welches von meiner Fritzbox gemanaged wird. Das umfasst DHCP und DNS sowie VPN.
Netzwerk: 192.168.178.0
Netmask: 255.255.255.0

In diesem Netzwerk befindet sich jeder Laptop/PC/Smartphone und Tablet was so zuhause rumlungert. Einschließlich dem zukünftigen Mediacenters. Ebenfalls in dem Netz über LAN1 angeschlossen ist das NAS (IP: 192.168.178.36).
Über diese Schnittstelle sollen jegliche Datenfreigaben abgehandelt und jeder Service, den das NAS zur Verfügung stellt, abgerufen werden.

Dann möchte ich gerne noch ein zweites Netzwerk haben.
Netzwerk: 192.168.150.0
Netmask: 255.255.255.0

Dieses befindet sich am Lanport 2 des NAS. Aktiviert ist hier DHCP sowie DNS. In diesem Netz steht nur eine physikalische Maschine in Form eines Hypervisors. Alle darauf erstellen Virtuellen Maschinen/Container etc. sollen mittels DHCP und DNS des DS415+ gemanaged werden.
Hier sollen anschließend verschiedene Dienste in verschiedenen virtuellen Maschinen laufen. Diese sollen jedoch auch von dem Netz 192.168.178.0 aus erreichbar sein.
Dies ist mir aktuell noch nicht gelungen.

DHCP auf dem NSA funktioniert. Ich habe eine virtuelle Maschine mit der IP 192.168.150.18 erhalten als ich diese erstellt habe.
Nun möchte ich gerne von der IP 192.168.178.2 auf die 192.168.50.18 zugreifen. Dies funktioniert noch nicht. Jedoch ein Ping auf 192.168.150.1
Weiterhin wäre es schön wenn ich dann den hostname anstelle der IP verwenden könnte. Das heißt für mich das die DNS Einträge in der Fritzbox angepasst werden müssen.
Aktuell habe ich da 192.168.150.1 als Bevorzugten und 8.8.8.8 als Alternativen. Aber auch das scheint nicht zu funktionieren.

An der Fritzbox habe ich eine statische Route für das Netz 192.168.150.1 über das Gateway 192.168.178.36 angelegt.
An dem NAS habe ich die Statischen Routen:
192.168.178.0 mit dem Gateway 192.168.178.1
192.168.150.0 mit dem Gateway 192.168.150.1


Ich gehe ganz stark davon aus, dass ich irgendwo ein kompletten Denkfehler habe und mich sicherlich mit einem Problem etwas zur Pfeile mache. Aber ich sehe wirklich nicht wo der Fehler ist.

Könnt ihr mir da weiter helfen? Ich habe darüber wohl schon zu sehr drüber nach gedacht...
Danke


Viele Grüße,
Cinux
 

generalfox

Benutzer
Mitglied seit
15. Mai 2015
Beiträge
32
Punkte für Reaktionen
0
Punkte
12
Hallo Cinux,

willkommen im Forum :)

Ich hab mal eine Übersicht erstellt, das sollte und helfen.
Zeichnung2.jpg

Ich würde erstmal alles über IP zum laufen bringen bevor ich mit DNS anfange, daher beschränke ich mich auch erstmal darauf.

In der Fritzbox sollte es so aussehen, damit die FB jeglichen Verkehr für das Netz 192.168.150.0/24 an die 192.168.178.36 routed:
Zeichnung2-fb.PNG

Wenn jetzt die NAS noch nicht angeschlossen sein würde, sehe ein erster Traceroute so aus:
Rich (BBCode):
C:\Users\fox>tracert 192.168.150.18

Routenverfolgung zu 192.168.150.18 über maximal 30 Abschnitte

  1    <1 ms    <1 ms    <1 ms  fritz.box [192.168.178.1]
  2  fritz.box [192.168.178.1]  meldet: Zielhost nicht erreichbar.

Ablaufverfolgung beendet.

Die Routen in der Syno sollten bereits ohne statische Routen stimmen.
Die lokalen Netze und das Internet (Gateway) kennt die Syno ja bereits durch die Netzwerkeinstellungen, daher sind manuelle Routen nicht notwendig und sollte wie im Bild aussehen.

Mit der Syno sollte Traceroute so aussehen:
Rich (BBCode):
C:\Users\fox>tracert 192.168.150.18

Routenverfolgung zu 192.168.150.18 über maximal 30 Abschnitte

  1    <1 ms    <1 ms    <1 ms  fritz.box [192.168.178.1]
  2    <1 ms    <1 ms    <1 ms 192.168.178.36
  3   192.168.150.1  meldet: Zielhost nicht erreichbar.

Ablaufverfolgung beendet.

Wenn die Hosts im Netz 192.168.150.0/24 nun den Gateway 192.168.150.1 kennen sollte es klappen und so aussehen
Rich (BBCode):
C:\Users\fox>tracert 192.168.150.18

Routenverfolgung zu 192.168.150.18 über maximal 30 Abschnitte

  1    <1 ms    <1 ms    <1 ms  fritz.box [192.168.178.1]
  2    <1 ms    <1 ms    <1 ms 192.168.178.36
  3    <1 ms    <1 ms    <1 ms 192.168.150.18

Ablaufverfolgung beendet.

Das wären erstmal die Grundvoraussetzung.

Ich hab Routings über die NAS noch nicht ausprobiert. Ich habe das bei mir mit dedizierten Linuxroutern gelöst, die untereinander mit OSPF kommunizieren.
Daher müssten andere dir bei diesem Detail helfen, aber vielleicht konnte ich dir bereits helfen.

Kennt jemand die minimum Einstellungen für das DSM damit routing möglich ist?


gruß Fox
 

Cinux

Benutzer
Mitglied seit
22. Jan 2016
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
Hallo Fox,

danke für die herzliche Begrüßung.

So wie du hier alles beschrieben hast, hatte ich es mir auch gedacht. Aber ganz so einfach scheint es eben doch nicht zu sein.

Die Fritzbox ist so konfiguriert wie du es sagst.

Wenn ich nun versuche 192.168.150.1 (Sprich das NAS am LAN2) zu erreichen erhalte ich folgendes:
Rich (BBCode):
tracepath -n 192.168.150.1
 1?: [LOCALHOST]                                         pmtu 1500
 1:  no reply
 2:  no reply
 3:  no reply
^C
Also kurz um keine Verbindung. Füge ich nun aber noch ein paar statische Routen im NAS mit ein komme ich bis dahin.
Routing_NAS.jpg
Rich (BBCode):
tracepath -n 192.168.150.1
 1?: [LOCALHOST]                                         pmtu 1500
 1:  192.168.150.1                                         0.383ms reached
 1:  192.168.150.1                                         0.337ms reached
     Resume: pmtu 1500 hops 1 back 1

Jedoch ist es immer noch nicht möglich eine Virtuelle Maschine zu erreichen.
Interessant ist das die VM, auf dem Hypervisor via DHCP eine IP bekommt, aber nicht der Hypervisor. Diesem muss ich statisch eine IP verpassen. Die Kommunikation der VM zum Hypervisor und zum NAS Funtkioniert ohne Probleme (DNS nicht berücksichtigt).

Weiterhin scheint die DHCP-Reservierung nicht zu funktionieren. Ich kann zwar MAC Adressen und IP Adressen eintragen aber zu gewiesen werden diese nicht.

Ich kann bin so langsam wirklich am ende mit meinem Latein, liegt das vielleicht an der Konifguration der LAN2 Schittstelle? Oder daran das sowohl das NAS (über LAN1) und der Hypervisor (über eine weiter NIC Schittstelle) von der Fritzboxs aus erreichbar ist? Aber das sollte doch bei getrennten NICs keine rollen spielen?

NAS_LAN2_Config.jpg

Kann vielleicht jemand die Erleuchtung bringen? :)

Viele Grüße,
Cinux

NACHTRAG:
Wenn ich versuche den Hypervisor zu erreichen (vom 192.168.178.0 Netz aus). Erhalte ich das:
Rich (BBCode):
tracepath -n 192.168.150.2
 1?: [LOCALHOST]                                         pmtu 1500
 1:  192.168.178.1                                         0.522ms 
 1:  192.168.178.1                                         0.440ms 
 2:  no reply
 3:  no reply
^C
 

joku

Benutzer
Mitglied seit
06. Mrz 2011
Beiträge
6.664
Punkte für Reaktionen
2
Punkte
164
Kann vielleicht jemand die Erleuchtung bringen? :)
Hallo, ist den das IPv4-Forwarding aktiviert ?
zB.:
echo 1 > /proc/sys/net/ipv4/conf/all/forwarding
oder VPN Server installieren starten und nicht benutzen, erledigt das gleich für immer.
und das hier DS412+ als Netzwerkbrücke mal gelesen ?
und mit der Suche lässt sich bestimmt noch mehr finden :)

Gruß Jo
 

tschortsch

Benutzer
Mitglied seit
16. Dez 2008
Beiträge
1.645
Punkte für Reaktionen
34
Punkte
74
Bisher sind der großteil der Anfragen ob die DS routen kann im Sande verlaufen. (Alles geht nur per Konsole und beim nächsten update kanns wieder weg sein) Ausserdem ist die ds kein Router...

Rein aus interesse warum bekommt der Hypervisor eine eigenes Netz wenn der dann erst wieder von aussen (LAN) erreichbar sein soll? Warum nicht gleich in dei DMZ der Fritzbox? Dann hast ein eigenes Netz und brauchs tnicht über Routing überlegen.
Oder ist der Grund viel einfach das der Hypervisor-Server bei der DS Stehen soll und dort nur 1 LAN Kabel hingeht?
 

Cinux

Benutzer
Mitglied seit
22. Jan 2016
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
Hallo, ist den das IPv4-Forwarding aktiviert ?
zB.:
echo 1 > /proc/sys/net/ipv4/conf/all/forwarding
oder VPN Server installieren starten und nicht benutzen, erledigt das gleich für immer.
und das hier DS412+ als Netzwerkbrücke mal gelesen ?
und mit der Suche lässt sich bestimmt noch mehr finden :)

Gruß Jo

Hallo joku,

stimmt, an das forwarding habe ich garnicht gedacht. Die DS ist ja doch nur ein Linux. Daran muss ich mich erst gewöhnen. Jedoch hat das umstellen nichts gebracht. Funktioniert immernoch nicht.
Danke für den Link den schaue ich mir mal an.
Zur Suchfunktion, die habe ich schon verwendet, nur hat sie mir nicht sehr geholfen, da ich gezweifelt habe ob es so überhaupt richtig ist.

Bisher sind der großteil der Anfragen ob die DS routen kann im Sande verlaufen. (Alles geht nur per Konsole und beim nächsten update kanns wieder weg sein) Ausserdem ist die ds kein Router...

Hi tschortsch
Rein aus interesse warum bekommt der Hypervisor eine eigenes Netz wenn der dann erst wieder von aussen (LAN) erreichbar sein soll? Warum nicht gleich in dei DMZ der Fritzbox? Dann hast ein eigenes Netz und brauchs tnicht über Routing überlegen.
Oder ist der Grund viel einfach das der Hypervisor-Server bei der DS Stehen soll und dort nur 1 LAN Kabel hingeht?

Interessante Frage. Ich versuche mal meine Idee zu umreisen, wie final dann mal die Infrastruktur aussehen soll.
Der Hypervisor soll später direkt über ein LAN Port an der Fritzbox von Internet aus erreichbar sein (Stichwort DMZ). Gleichzeitig soll das NAS über LAN2 mit dem Hypervisor/VMs verbunden sein und somit als Storage Netz dienen. Da ich allerdings auch den ein oder anderen Dienst Lokal verwenden will, z.b. ne Datenbank für Kodi. So möchte ich eine Trennung das man zwar von aussen drauf kommt, aber nicht weiter ins locale Netzwerk.

Ob das nun eine wirklich gelungene oder schlaue Umsetzung ist, sei erstmal dahin gestellt. Es scheiterte ja bei mir schon am einfachsten..
 

joku

Benutzer
Mitglied seit
06. Mrz 2011
Beiträge
6.664
Punkte für Reaktionen
2
Punkte
164
Jedoch hat das umstellen nichts gebracht. Funktioniert immernoch nicht.
Ok, da versuch ich es mal anders :)

Nach Deinen Angaben, verstehe ich das so

Netz 1 192.168.178.0

NAS 192.168.178.36

Hier VPN Server installieren und nur aktivieren oder auf der Konsole
echo 1 > /proc/sys/net/ipv4/conf/all/forwarding

NAS 192.168.150.???

Netz 2 192.168.150.0
Im Netz 1 solltest Du eine Router einlegen für das Netz 2

192.168.150.0/24 auf die IP zur DS 192.168.178.36

Das Netz ist die .0
An der Fritzbox habe ich eine statische Route für das Netz 192.168.150.1 über das Gateway 192.168.178.36 angelegt.

RouteIPv4.jpg

Gruß Jo
 

tschortsch

Benutzer
Mitglied seit
16. Dez 2008
Beiträge
1.645
Punkte für Reaktionen
34
Punkte
74
Wenn der hypervisor später sowieso an die dmz der fb soll warum jetzt den Umweg?
Der storage wird dem hv wahrscheinlich per iscsi bereitgestellt.
Hänge den hv an die fb. Mit einer zweiten nic (die für das von dir angedachte Szenario sowieso notwendig ist) im hv hängst du die ds direktan an Lan2, beide Geräte mit fixen ips. Die Firewall der ds dichtest du am lan2 soweit ab das du nur Zugriffe aufs iscsi Protokoll möglich sind.
Dann sollte die ds auch nicht von der dmz angreifbar sein.
Und Dienste auf dem hv kannst du ganz normal über die fb auch vom lan erreichbar sein.
 

Cinux

Benutzer
Mitglied seit
22. Jan 2016
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
Hey joku,

ganz genau so habe ich es. Um aber nochmal sauber das ganze auszuführen habe ich jetzt sowohl Hypervisor als auch das NAS neugestartet und das Forwarding aktiviert. Nun scheint es zu funktionieren.
Rich (BBCode):
tracepath -b 192.168.150.18
 1?: [LOCALHOST]                                         pmtu 1500
 1:  fritz.box (192.168.178.1)                             0.549ms 
 1:  fritz.box (192.168.178.1)                             0.514ms 
 2:  192.168.178.36 (192.168.178.36)                       0.524ms asymm  1 
 3:  192.168.150.18 (192.168.150.18)                       0.845ms reached
     Resume: pmtu 1500 hops 3 back 2
Lag es wohl doch nur am Forwarding. Ich danke dir ;)
Auch dem Rest. Ich lag ja doch nicht so falsch.

@tschortsch:
Genau so möchte ich das machen. Das eine NIC vom Hypervisor geht an den DS das andere später an die FB mit der DMZ. Aktuell sieht es Infrastrukturell etwas anders aus. Der HV steht hinter einem Switch, welcher an LAN1 der FB hängt. Am Switch hängt außerdem auch das lokale Netzwerk. Somit geht der HV sowieso nicht ins Internet. Ich wollte hier erst einmal nur herausfinden wieso das nicht funktionieren. Da ich nun ein neues subnetz habe, welches vom NAS gemanaged wird (ob das nun vorteilhaft ist oder nicht stelle ich erst einmal dahin) kann ich endlich mit den nächsten Schritten beginnen. Sprich iscsi, PXE. etc.


@All:
Ich setze den Beitrag mal auf gelöst (wenn das möglich ist). Sollte dennoch jemand Interesse haben weiter drüber zu unterhalten. Nur zu ;)


Danke an alle,
Cinux
 

generalfox

Benutzer
Mitglied seit
15. Mai 2015
Beiträge
32
Punkte für Reaktionen
0
Punkte
12
@Cinux

naja eine richtige DMZ unterstützt die FB ja nicht siehe AVM DMZ

um es in sinne einer DMZ abzusichern würde eine weitere Firewall von nöten sein.
kaskadesauber.png

Aber die DMZ würde dann auch wieder unterwandert sein, wenn die NAS direkt in beide Netze angeschlossen ist.

gruß fox
 

Cinux

Benutzer
Mitglied seit
22. Jan 2016
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
Hey Fox,

genau das ist mir auch schon vor Monaten aufgefallen, als ich die Idee zu allem hatte. Der Vorteil ist, das es noch lange Dauert bis ich das ganze wirklich frei ins Internet lassen kann. Mir friert schon der Hypervisor ein, wenn ich ein iscsi target nutzen will. Also noch mehr als genug Arbeit, bis das mal ins Internet geht. :D

Falls du noch weiter mit mir darüber reden möchtest, glaube ich, wäre es besser wenn wir das über Private Nachrichten machen. Es wird doch etwas Offtopic gerade. :)

Viele Grüße,
Cinux
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat