DHCP hinter fester IP

[rakader]

Wir hängen hier gerade gewaltig und benötigen dringend Hilfe. Problem "hier" ist Rumänien, unser Provider spricht Rumänisch - wir nicht.

Gegeben ist eine feste IP per Glasfaser. 5 IPs mit einem Default Gateway. Der Provider (Romtelekom) hat dazu eine Switch von Cisco gestellt. Problem: die 5 IPs genügen nicht. Der die Idee ein internes Netz per DHCP dahinter. Was müssen wir dazu tun? Geht das überhaupt? Auf die Cisco haben wir keinen Zugriff.

Hinter die Cisco-Switch kommt eine zweite Switch mit mehr Ports (TP-Link). Und dahinter eine NAS und Clients.

Entweder die NAS oder die zweite Switch sollen DHCP machen. Beide werden mit unterschiedlichen Werkseinstellungen ausgeliefert – mal mit IP-Bereich 192.168.x.x. mal mit 196.254.x.x

Noch mal die Frage: Können wir mit einer festen IP ein Netzwerk per DHCP-betreiben? Und wenn ja wie?

Ich hoffe mein Anliegen einigermaßen verständlich formuliert zu haben und bin mit Dank vorab.

 

[Marcel Bresink]

Das ist eigentlich eine Standardkonfiguration, die jeder 15-Euro-Home-Internet-Router beherrscht. Es reicht, die feste IP manuell für die WAN-Seite des Routers einzustellen. Das einzige Problem ist, dass Home-Geräte WAN-seitig auf 100 MBit/s begrenzt sind.

Die Formulierung "der Switch soll DHCP machen" ergibt allerdings keinen Sinn und 196.254 ist garantiert auch falsch.

 

[Bananenbieger]

Einfach ganz gewöhnlichen Router nehmen und hinter den Cisco hängen. LAN-seitig NAT mit DHCP konfigurieren. Fertig.

Mit einem Switch lässt sich das nicht bewerkstelligen, es muss schon ein Router sein.

 

[gKar]

Nur mal am Rande: DHCP heißt einfach nur, dass die Clients sich von Deinem Router dynamisch ihre eigenen IPs fürs Subnetz abholen (etwas vereinfacht). Das eigentliche Schlüsselwort für diese Konstellation wäre NAT (Network Address Translation), d.h. hinter dem Router wird ein eigenes LAN aufgespannt, der Router öffnet ein Gateway zu seinem WAN-Port (hier die Internet-Verbindung mit fester IP) und übersetzt die Adressen, die das Gateway passieren.
Ob nun im LAN DHCP eingesetzt wird oder die IPs der LAN-Teilnehmer manuell vergeben werden, spielt keine Rolle. Ebensowenig, ob der Provider nun eine feste IP vergibt oder sich der Router beim Provider ebenfalls dynamisch eine IP holt. Und wenn die Leitung nicht mal Kabel oder DSL, sondern direkt eine Ethernet-Leitung ist, entfällt nur die Notwendigkeit des Einsatzes eines DSL- oder Kabelmodems, ansonsten ist da wirklich kein Unterschied zum 0/8/15-Heimrouter.

 

[rakader]

Vielen Dank erst einmal für Ihre und Eure Antworten. Das Problem ist, dass wir nicht an die Cisco herankommen, da diese ausschließlich der Kontrolle des ISP unterliegt. Es ist ein Business-Vertrag, mit dem neben der Fest-IP mehrere Länder über VoIP und telefonieren.

Somit ist die Cisco-Switch der Gateway. Hinter den Switch soll ein zweiter Switch, TP-Link 3210. Gedacht ist: Dieser bekommt eine feste IP.

Problem 1: Dessen Maske ist nicht erreichbar. Standard-Konfig ist dort lt. Manual 192.168.0.1. Problem 2: lässt sich nicht resetten – das Konsolen-Kabel dafür hat einen VGA-Anschluss, den die Macs nicht mehr haben; meine VGA-Adapterkabel für Mac haben auch nur Muffenanschlüsse, keine Nut.

Problem 3: Hinter die TP-Link soll die NAS (dicke QNAP); Standard-Konfig: 169.254.100.100. Diese ist erreichbar. Ferner sollen 7 Macs an die TP-Link. Für Konferenzen haben wir einen eigenen Raum - hier soll später ein TP-Link-WLAN-Router mit 300MBps ran.

Gedacht ist, dass die TP-Link das DHCP für alle Geräte dahinter macht. Müsste doch richtig gedacht sein - oder? Somit: Wie kann ich die TP-Link konfigurieren, wenn die sich nicht resetten lässt? Ich denke hier einen Fehler gemacht zu haben. Laut Anleitung geht der Reset dort nur per Konsolen-Kabel, das ich aber nicht nutzen kann.

 

[Wuchtbrumme]

auf den Switch kannst Du zugreifen, indem Du entweder eine IP-Adresse aus dem Subnet die der TP-Link angibt auf dem Mac auf das verbundene Interface bindest oder bei ebenso lokal verbundenem Interface den ARP-Cache spoofst.

Wie dem auch sei, das Vorhaben wird nicht zum Ziel führen. Abgesehen davon, dass ein Switch normalerweise gar nicht DHCP-Server kann, weil es auf OSI-Layer 2 arbeitet: Du kannst in Deinem Szenario mittels DHCP halt nur soviele IP-Adressen vergeben, wie Du vom Provider erhalten hast. Das würde zwar so funktionieren, aber halt in der Anzahl begrenzt. Ganz nebenbei ist es sicherheitstechnisch auch noch extrem unschön, denn in diesem Konstrukt sind alle (5, da 5 IPs) Rechner direkt mit dem Internet verbunden.

Willst Du mehr Rechner und auch alle Geräte mittels eines separaten Paketfilters vom Internet separieren und z.B. durch NAT extra Sicherheit gewinnen, bleibt nur, statt fünf IP-Adressen nur eine zu nutzen und einen Router einzusetzen. Der nutzt auf seinem Netzwerksteckplatz zum Cisco (den Ihr dazu nicht anfassen müsst) eine von dem fünf IPAdressen, benutzt intern (solche Geräte haben oft auch einen integrierten Switch) aber völlig andere (zumeist 192.168.0.x oder ähnlich). Damit sind dann intern auch deutlich mehr Geräte zu verkabeln und ins Internet zu bringen als mit der vorgeschlagenen Variante.

Insgesamt in der Beschau der Frage im Zusammenhang mit dem Aufbau eines Unternehmens (?) und den Implikationen auf die Sicherheit nd damit die Stabilität bzw. mlws. Geschäftsgrundlage würde ich doch sehr dazu raten, externes Knowhow einzukaufen. Kurz Lasst jmdn. ran, der sich damit im Gegensatz zu Euch auskennt.

 

[Marcel Bresink]

Das Problem ist, dass wir nicht an die Cisco herankommen, da diese ausschließlich der Kontrolle des ISP unterliegt.

Wozu sollte man da herankommen? Das hat doch niemand vorgeschlagen?

Problem 1: Dessen Maske ist nicht erreichbar.

Das geht ohne Probleme, indem Du vorübergehend einen Computer auf die feste Adresse 192.168.0.2, Netzmaske 255.255.255.0 setzt und ihn per Ethernet als einziges Gerät an den Switch anschließt. Statt Safari allerdings besser Firefox verwenden.

das Konsolen-Kabel dafür hat einen VGA-Anschluss, den die Macs nicht mehr haben

Nein, das ist ein serieller V.24-Anschluss. Den gab es bei Macs noch nie, außer beim Xserve. Ist aber hier völlig unnötig.

Der Switch wird übrigens in Standardkonfiguration "auch so" funktionieren und braucht keine IP-Adresse. Nur wenn man die Management-Funktionen des Switches nutzen will, braucht der eingebaute Management-Computer eine Adresse, um ihn per Netzwerk ansprechen zu können.

(dicke QNAP); Standard-Konfig: 169.254.100.100.

Das ist eine APIPA-Adresse, auf deren Teilnetz sich alle Geräte automatisch konfigurieren, wenn kein DHCP verfügbar ist und keine festen Adressen voreingestellt sind.

Gedacht ist, dass die TP-Link das DHCP für alle Geräte dahinter macht. Müsste doch richtig gedacht sein - oder?

Nein, ein Switch kann so etwas nicht. Soweit ich weiß, hat der TP-Link 3210 zwar Funktionen zum Erkennen von DHCP-Sabotage, stellt aber selbst keinen DHCP-Server bereit. Das wäre auch unüblich.

 

[Bananenbieger]

Vielen Dank erst einmal für Ihre und Eure Antworten. Das Problem ist, dass wir nicht an die Cisco herankommen, da diese ausschließlich der Kontrolle des ISP unterliegt.

Da ist kein Problem. Hänge hinter die Cisco einen Router und hinter dem Router dann das lokale Netz. Der Router an sich funktioniert aus Sicht des Ciscos als ganz normaler Client. Was hinter dem Router geschieht, interessiert den Cisco nicht mehr.

 

[Scotch]

Obwohl es schon mehrfach gesagt wurde, vielleicht noch mal ganz deutlich für den TE: Vergiss den TP-LINK, du brauchst einen Router. Mit einem Switch kannst du dein Problem nicht lösen.

 

[rakader]

Vielen Dank für Eure bisherigen Antworten. Zum Hintergrund: Wir sind keine Firma, sondern ein internationales Entwicklungsprojekt mit begrenzten Ressourcen.
Der TP-Link 3210 hat DHCP-Funktionalität. Wir haben unterdessen einen Windows-Rechner aufgetrieben, allerdings startet das bootUtil via Hyper Terminal nicht. via 192.168.0.2 kommen wir auch nicht ran.
Dort steht: TP-LINK> und es soll die Maske per ctrl und B erscheinen. Tut es aber nicht.
Einen Router habe ich gestern gekauft. Problem ist, dass die Anschlüsse nicht ausreichen. Ich benötige den TP-Link.
Die Konfiguration mit einer festen IP ist klar.

Ich versuche jetzt einmal die Lösung von Marcel Bresink und bin bis dahin mit Dank an alle hilfreichen Antworten.

 

[Bananenbieger]

Der TP-Link 3210 hat DHCP-Funktionalität.

Hat er nicht - Und das kann man auch in dessen technischen Spezifikationen nachlesen. Ein Switch ist für das, was Ihr da vorhabt, aufgrund seiner Eigenschaft als Switch gänzlich ungeeignet.

Häng den Router hinter den Cisco und häng den TP-Link hinter den Router. So sollte das funktionieren.

 

[Scotch]

Der TP-Link 3210 hat DHCP-Funktionalität.

Das ist - wie bereits geschrieben - Unsinn. Mach's wie von Bananenbieger beschrieben und verschwende keine Zeit darauf Zugriff auf die Managementkonsole des Switches zu bekommen - da gibt's keine Funktionen, die du brauchst und der Switch tut's auch so.

Und wenn du mal was Zeit hast, schreibst du uns mal, was das fuer ein Entwicklungshilfeprojekt ist, die euch ohne irgendjemanden der die Sprache spricht nach Rumaenien schickt und dann von euch erwartet, da ein LAN hochzuziehen, obwohl ihr ganz offensichtlich niemanden habt, der auch nur die Grundlagen beherrscht.

 

[Insulaner]

Nun, Bananenbieger hat Recht. Mit dem Vorschlag wird es funktionieren.
Allerdings glaube ich nicht (ohne jetzt jemandem böse zu wollen), dass
die Jungens in Rumänien das mit dem "einfach nen Router dazwischenhängen"
so hinbekommen. Ohne Netzwerk-KnowHow ist das etwas schwierig.

Evtl. könnte man helfen, wenn man die Adresse des Cisco-Gerätes kennen
würde, so ganz klar scheint mir das nicht zu sein.

Danach könnte man bei den Einstellungen, die auf dem "NAT-Router" gemacht
werden müssen, unterstützen.

Also: Welche IP-Adresse hat der Cisco-Router zu Deinem Netz hin?

 

[rakader]

Lieber Marcel Bresink, lieber Insulaner, lieber Bananenbieger, lieber Scotch,

ich muss als erstes gestehen, nicht viel Ahnung von der Funktionalität einer Switch (gehabt) zu haben. Zum einen konnte ich heute Mittag mit Hilfe von Marcel Bresinks Tipp die TP-Link 3210 zurücksetzen, indem einfach 192.168.0.1 und 192.168.0.2 verwendet wurde.

Zum anderen disponieren wir nunmehr auf Eure Anregungen hier im Thread um:
Hinter den Cisco Switch (ISP) kommt ein nunmehr gekaufter Router. Dahinter der TP-Link-Switch, an den die QNAP NAS sowie alle Clients angeschlossen werden. Ein Repeater (Access Point von TP-Link) führt vom Router in einen anderen Raum, der als Schulungsraum dient. Dort werden Clients per WLAN eingebunden. Es wird also nur eine feste IP gebraucht.

Nunmehr meine laienhafte Netzwerkfrage: Kann man das so machen und habe ich Eure Anregungen richtig verstanden und mit unseren Mitteln umgesetzt?

Allenthalben vielen herzlichen Dank für Euer aller Hilfe,

Radulph

 

[Wuchtbrumme]

das klingt ok. Sollte funktionieren. Beim Repeater bitte beachten, dass das die WLAN-Geschwindigkeit, die verfügbar ist, min. halbiert. Die WLAN-Geschwindigkeit ist immer brutto angegeben, netto (praktisch) realistisch sind Werte um die Hälfte der Brutto -Rate, jedenfalls bei Idealbedingungen. Kurz: Macht Euch im Schulungsraum nicht abhängig von hohen Bandbreiten (Videos, ...). Besser wäre, vom Switch zum Schulungsraum ein Kabel und daran ein Access Point zu verlegen.

 

[Bananenbieger]

Nunmehr meine laienhafte Netzwerkfrage: Kann man das so machen und habe ich Eure Anregungen richtig verstanden und mit unseren Mitteln umgesetzt?

Du hast alles richtig verstanden!

Den Router richtet ihr so ein, dass er auf der Internet-Seite (also da, wo die Verbindung zum Cisco per Kabel hergestellt wird), als DHCP-Client fungiert und auf der LAN-Seite als DHCP-Server. NAT ist dann oft automatisch bereits aktiviert, aber eventuell müsst ihr das auch separat einstellen.

 

[rakader]

Lieber Wuchtbrumme, lieber Bananenbieger,

vielen herzlichen Dank für Eure zusätzlichen Anregungen. Großartig - das wird so umgesetzt, wie es aus berufenem Munde schallt

Im Schulungsraum kommen Web-Videos für ein Redaktionssystem zum Einsatz; insofern werde ich den Access Point vom Switch her legen.

Vor dem Switch habe ich noch ein wenig Respekt - ich melde mich, wenn''s Probleme gibt (und auch wenn's funktioniert).

Nochmals vielen vielen herzlichen Dank für Eure Hilfe!!!

 

[Insulaner]

Ich bin mir noch nicht ganz sicher, ob das so alles stimmt.
Welche IP-Adresse hat denn der Cisco, den Du da bei euch vom
Provider stehen hast?
Wenn der eine IP-Adresse 192.168.x.y hat, dann sollte das Teil
eigentlich auch schon NAT machen. Wenn der aber eine "nicht private IP" hat,
dann wird kein NAT aktiviert sein.

In diesem Fall müsste dann folgendes geschehen:
Zwischen dem neuen Router, den ihr nun plant, und dem Cisco-Gerät des Providers
wird ein sogenanntes "Transitnetz" konfiguriert.
Der neue Router bekommt als WAN-Interface eine IP-Adresse aus dem Netz, welches das
Cisco-Gerät hat. Als Default-Gateway (oder auch Default Route) trägst Du auf eurem
Router dann die IP-Adresse des Ciscos ein. Auf der LAN-Seite eures Routers konfigurierst
Du ein anderes Netz, als auf der WAN-Seite. Das ist wichtig.
Irgendein privates Netz 192.168.x.0 mit der Subnetzmaske 255.255.255.0

Dann aktivierst Du auf dem Router NAT und DHCP.
So sollte es dann funktionieren.

Schema:

Internet - Cisco(Provider) - Transitnetz - Router(mit NAT) - internes Netz mit Rechnern und allem anderen

 

[rakader]

Zwischen dem neuen Router, den ihr nun plant, und dem Cisco-Gerät des Providers
wird ein sogenanntes "Transitnetz" konfiguriert.
Der neue Router bekommt als WAN-Interface eine IP-Adresse aus dem Netz, welches das
Cisco-Gerät hat. Als Default-Gateway (oder auch Default Route) trägst Du auf eurem
Router dann die IP-Adresse des Ciscos ein. Auf der LAN-Seite eures Routers konfigurierst
Du ein anderes Netz, als auf der WAN-Seite. Das ist wichtig.
Irgendein privates Netz 192.168.x.0 mit der Subnetzmaske 255.255.255.0

Dann aktivierst Du auf dem Router NAT und DHCP.
So sollte es dann funktionieren.

Schema:

Internet - Cisco(Provider) - Transitnetz - Router(mit NAT) - internes Netz mit Rechnern und allem anderen

Hallo Insulaner – das habe ich gerade so gemacht; mit NAT schaue ich noch. Prinzip habe ich aber verstanden. Vielen herzlichen Dank!

 

[Bananenbieger]

Wenn der eine IP-Adresse 192.168.x.y hat, dann sollte das Teil
eigentlich auch schon NAT machen.

Nicht zwangsläufig. Kann auch sein, dass das gesamte (oder lokale Teile vom) Glasfasernetz als privates Netz gestaltet sind. Spring: providerseitiges NAT.