Wieso hast du denn für den HS ein eigenes Subnetz? Benutzer und Passwort stimmen überein?

Schau doch mal mit wireshark rein was da passiert.

Das geht m.W. nicht.

Alle Netzwerkgeräte, die untereinander kommunizieren soll, müssen im gleichen Subnetz sein. Natürlich kanst du ein "Gateway" einsetzen um eine Verbindung zwischen verschidenen Subnetzen herzustellen (z.B. einen Router) aber das einfachste wäre, allen Geräten die gleiche Subnetzmaske einzutragen.

Dass bei dir trotz der falschen Subnetzmaske trozdem das Login angezeigt wird, kann am Browser cache liegen. Wenn du den mal leerst, müsste eigentlich eine Fehlermeldung kommen.

Klar, ohne Router geht da gar nix

genauere Beschreibung

Hallo *,

danke für Eure Tips. Da ich noch immer am Problem kaue, beschreibe ich meine Situation genauer:

Ich habe, um die beruflichen und privaten Daten / Netzwerke zu trennen, einen Lancom 1722 Router mit 3 Subnetzen. (s. auch pdf)

Subnetz 192.168.1.x (eine DMZ) enthält die Dienstleistungen für die Netze
Büro und Privat wie z.B. den Homeserver, einen Windows Server etc.

Von den anderen Netzen soll der Zugriff auf den Homeserver möglich sein.
Ich kann den Homeserver auch anpingen vom Netzwerk Home und Büro.
Ebenso geht auch ein Zugriff via http://homeserver/shs.
Die Seite (auch nach Cache leeren) wird angezeigt und die Eingabe des
Login/Paßwort ist möglich. Danach erscheint allerdings wieder der Loginbildschirm.

Wenn ich den Notebook in das Netzwerk 192.168.1.x hänge ist der Zugriff auf den Homeserver problemlos möglich.

Habt Ihr mir noch Ideen?


Evtl. kann mir ein IP-Trace helfen? Kann ich den auf dem Homeserver erzeugen?

Grüße
Stefan

vergiss es, das funktioniert so nicht.

Was Du brauchst ist ein System, welches zwischen Deinen Netzen vermittelt, nenne es Bridge oder auch echtes statisches oder dynamische Routen zwischen den Netzen. Dein Lancom routet Dir Dein Heimnetz ins Internet und bildet Dir am Heimnetz ein Switch aber sonst auch nix.

Du brauchst etwas Mächtigers. Z. Bsp.

Astaro Security Gateway, gibt es auch als kostenlose Home-User Lizenz. Ist allerdings eine Enterprise Lösung.

Aber damit kannst Du (4 Netzwerkschnittstellen vorausgesetzt) Deinen Traffic untereinander routen - und kannst eine echte DMZ aufbauen (die sollte dan n aber in einem 10.0.0.x Netz sein). Firewall, VPN, Web-Filter und und und inclusive...

Natürlich geht das, das nennt man TCP/IP und Routing, steht in einfachen RFC's, das funktioniert auf Millionen (Milliarden?) Hosts auf dieser schönen Welt (Stichwort: Internet!), die meisten davon übrigens auch ohne den Kindergarten von Astaro oder Lancom
Grundlagenwissen zu IP (Google, Wikipedia, IETF.org fragen?) ist allerdings hilfreich..

Makki

erstens ist Astaro kein "Kindergarten" (Du weisst wahrscheinlich nicht mal was das ist) und zweitens ist Deine Antwort schlichtweg wenig/garnicht hilfreich

Das man den Trafic routen muss ist wohl klar. Nur wer, in der Konstellation des Fragestellers soll hier das Routing zwischen den Netzen machen?

Naja, ich glaube schon zu wissen was das ist, ich mache seit rund 15j Netzwerksicherheit und all sowas..: Spielzeug, Sorry. Ich halte halt nichts von mittelmässig kopiertem GPL-Stuff, aber das mag Geschmackssache sein..
Meine Realität beginnt bei einem 7206VXR (oder die iptables halt im Griff haben, das erkennt man an mindestens einem commit des Herstellers auf lkml.org, von den astaro-Spielzeug hab ich da noch nicht soviel gesehen )

Da hast Du recht, es braucht hier nun wohl einen Router. Klingt böse,ist aber so. Und da muss man wissen, was man da tut. Auch böse, ist trotzdem immernoch so.. -> entweder man weis was man tut oder man sollte besser die finger von lassen..
(unabhängig von Astaro&Co: wenn man nicht weiss, was man mit IP tut, ist das nunmal primär gefählich)

Makki

Der Fragesteller braucht kein obskures "Security Gateway" oder so, sondern schlicht und einfach einen Router. Und vielleicht ein wenig Grundlagenwissen, da finde ich "TCP/IP Network Administration" von Craig Hunt (O'Reilly, was sonst) recht gut. Denn sonst wird das mit dem Einrichten des Routers auch nichts.

Routing in einem Gigabit-Netzwerk erfordert allerdings schon Performance, da wird man mit 4 PCI Realtek-Netzwerkkarten in einem alten PC nicht glücklich werden.

Marcus

ok, bin ich der Einzige, der wenigstens konkrete Hilfestellung gibt... der Rest war ja hier bisher nur ziemliches "ich hab unheimlich Ahnung - kann Dir aber auch nicht genau sagen wie es geht) Schlagwort routen - kann ja jeder was mit anfangen - ach ja und Ahnung muss man haben...

Auch wenn das Produkt hier unwissend diffamiert wird, die ASTARO ist (auch) ein Router - mit Zahlreichen Zertifizierungen (RSA, BSI, ISCA, Tolly u.a.).

Wie gesagt, gibt es von diesem Produkt eine kostenlose "Home-User-Lizenz" - damit könnte das Problem des Fragestellers konkret gelöst werden.

Sicher kann man auch dedizierte Router nehmen, aber dann nennt doch auch konkret Produkte - mit "irgendeinem" oder DSL Router geht das nicht..

Haben tut er doch einen Router - Lancom 1722. Hatte hier den gleichen - d.h. haben tue ich den immer noch, nur liegt er auf dem Haufen "übrig gebliebene Gerätschaften" - seit dem Wechsel auf 1&1 steht da halt ne Fritzbox im Regal und der HS ist ins Firmennetz gewandert, da steht ne richtige Firewall an einem eigenen VDSL.Wer nen guten gebrauchten Lancom 1722 VoIP braucht bitte PN.

Der Lancom 1722 hat vier 10/100-Ethernet-Interfaces die als Switch (Bridge) oder als geroutete Interfaces mit eigenen IP-Netzen konfiguriert werden können, d.h. INT1 = Netz A, INT2 = Netz B u.s.w.

Ich hatte hier auch den HS (und ein paar andere Hosts) am Lancom in einem eigenen IP-Netz, getrennt vom privaten Netz. Dazwischen noch auf dem Lancom ein Firewall-Regelwerk welches nur bestimmte IP-Adressen / IP-Ports zugelassen hat und die ganze Geschichte hat bei mir eigentlich immer allerliebst funktioniert - der HS stand ja hinterm Lancom in Netz B während das Haus mit den Visus, den Dreamboxen u.s.w. in Netz A war. Login-Probleme der beschriebenen Art habe ich auf dem HS nie gehabt, Zugriff ging immer problemlos via HS-Webinterface und HS-Client.

Wer ein IP-Netz mit mehreren Subnetzen einrichten will, sollte sich schon vorher mit der Materie beschäftigen. Denn sonst wird sich der erhoffte Sicherheitsgewinn nicht einstellen. Und wer mit dem Schlagwort "Router" nichts anfangen kann, der sollte erstmal ein "einfaches" Netz aufbauen und sich in das Thema einlesen. Ahnung muss man haben, ja.

Router selber bauen: List of router or firewall distributions - Wikipedia, the free encyclopedia
m0n0wall

Edit: Wenn der Lancom mehrere Subnetze routen kann, dann kann es ja nur noch an den eingestellten Regeln liegen, warum der Login nicht funktioniert. Also das Routing mal genauer anschauen.

Viel Spaß

Marcus

@makki

In dem Fall hast du meinen Beitrag nicht ganz gelesen! Da steht nämlich folgendes:

Das ist so absolut richtig und dekt sich mit deiner Aussage!
Also bitte erst lesen und dann die anderen niedermachen. Ich kenne mich zwar nicht ganz so gut mit Netzwerken aus wie du aber eine Grundahnung habe ich davon schon.