pfSense upgrade von C auf B Netzwerk?!

[AgentHawk]

Moin Moin,

ich müsste eig. mein Netzwerk langsam vergrößern, da mir der IP bereich ausgeht (kleines Büro, Zuhause, SmartHome).

Gerade weil ich mir die Adressen auch gerne Sortiere hab ich da schon arge Probleme und muss zu oft neue Clients zwischen bereiche klemmen und so ein Sortieren schon fast unmöglich wird. Aktuell knapp 200 Clients die IPs beziehen.

Daher meine Überlegung von meinem C Netzwerk auf ein B Netzwerk zu wechseln. Da ich aber so gar nicht in dem Netzwerk Game drin bin, hab ich da noch zu viele Fragen.

- Soweit ich das verstanden habe, kann ich mein 192.168.x.x Netz so nicht weiterverwenden?! Sondern hätte Adressen 128.0.0.0 – 191.255.255.255 Verfügung.

- Wie klappt das dann in Pfsense? Den Suffix von /24 auf /16 ist noch einigermaßen klar, aber die läuft ja auch auf einer 192.168.. IP und ist dann nicht mehr erreichbar?

Falls ihr noch Tipps oder Sachen habt die ich bedenken müsste, bin über alles dankbar

 

[wern001]

natürlich kanst Du 192.168.x.x Netz weiter verwenden.
einfach eine andere Subnet mask verwenden und supernetting machen. z.B 192.168.1.x und 192.168.2.x zusammenfügen.
Wenn Du lustig bist kanst Du alles von 192.168.0.x bis 192.168.254.x zu einem großen Netzwerk zusammenfügen.

 

[Harrdy]

A,B,C Netzwerkklassenunterteilungen sind ein Konstrukt aus den 90er. Verwendet heutzutage niemand mehr. Du kannst dein bisheriges Netz beibehalten und vergrößerst die Subnetzmaske einfach von /24 auf /23 (255.255.255.0 auf 255.255.254.0). Und schon hast du die Doppelte Anzahl an IP Adressen zur Verwendung.

Mit der Seite https://www.site24x7.com/de/tools/ipv4-subnet-zrechner.html kannst du durchspielen wie sich die IP Bereiche durch entsprechende Subnetzmasken ändern.

 

[AgentHawk]

Ahhh - Das heißt ich muss nicht wirklich was umstellen außer den suffix auf 23 oder 22?

Danke euch!

 

[wern001]

A,B,C Netzwerkklassenunterteilungen sind ein Konstrukt aus den 90er. Verwendet heutzutage niemand mehr.

Jede Fritzbox und auch alle anderen Router die ich kenne verwendet diese Konstrukt.

 

[Harrdy]

Wo in der Fritzbox soll das wörtlichen A,B,C Klasse Verwendung finden? Oder verwendest du A,B,C Klassen als synonym für Subnetting? Was aber nicht das gleiche ist.

Ahhh - Das heißt ich muss nicht wirklich was umstellen außer den suffix auf 23 oder 22?

Richtig, aber am besten nur so groß wie nötig wählen. Aber ner gewissen Größe gibts nämlich dann wieder ganz andere Probleme (Broadcast Storm, um nur eines zu nennen)

 

[wern001]

Das Class-C Netzwerk ist von 192.0.0.0 – 223.255.255.255 und der 192.168.x.x ist der Private bereich davon der im Internet nicht weiter geroutet wird. Die Fritzbox verwendet normal 192.168.178.x ergo also ein Class-C Netzwerk. Stehen tut das nirgends ist aber dennoch so.

 

[AgentHawk]

Okay - das hat schon mal geklappt.

Ich musste aber zwecks Überschneidung mit meinem GuestLan die Adresse von diesem auf 192.169.. ändern.
Das ist okay - oder stellt das ein Problem da?

 

[wern001]

Meistens geht es dennoch. Sauber ist es nicht. Hängt mit den Broadcast Adressen zusammen die sich mit der Subnetmask ändert.

 

[Harrdy]

Bei Klasse A,B,C Netzen gab es allerdings nur feste Masken.

A mit /8
B mit /16
C mit /24

Andere Varianten gibt es dabei nicht. Heute Router setzen allerdings Subnetting ein. Damit ist es auch möglich ein wie du es beschreibst "A-Klassennetz" mit ner /24er Maske in 65536 unterschiedliche Netze zu unterteilen.

Hier mal zwei Wiki Artikel dazu in dene das schön erklärt wird.
https://de.wikipedia.org/wiki/Netzklasse
https://de.wikipedia.org/wiki/Subnetz

Dementsprechend wäre ein Klasse-C Netz immer auf 255 Clients beschränkt und eine Vergrößerung wäre nach altem Schema nur möglich ins 172er Netz mit ner festen Subnetzmaske von /16 zu gehen. Und nicht dynamisch in nem 192er Netz die Subnetzmaske auf über 24 zu vergrößern.

Kein mir bekannter Router hat diese Limitierung.

Ich musste aber zwecks Überschneidung mit meinem GuestLan die Adresse von diesem auf 192.169.. ändern.
Das ist okay - oder stellt das ein Problem da?

Du darfst für Hauptlan und Gastnetz nur keine überlappenden Bereiche verwenden. Wobei 192.169 falsch wäre. Der Private bereich ist 192.168.x.x

Wenn dein altes Netz 192.168.178.0/24 hatte, und dein Gastnetz 192.168.179.0/24 und du das Hauptnetz nun auf 192.168.178.0/23 änderst, dann wäre das überlappend zum Gastnetz.

Die Fritzbox verschiebt dir allerdings das Gastnetz automatisch ins 172er Netz falls du Statische Routen oder ein überlappendes Heimnetz zum Gastnetz hast. Bei anderen Routern musst du das Gastnetz ggf. selbst ändern.

 

[wern001]

Wen interessieren so alte Zöpfe?
Alte Zöpfe sind zum abschneiden da.

 

[Harrdy]

Richtig, sollte man. Der Threadersteller hatte dies aber so geschrieben und du bist auf das Pferd aufgesprungen von wegen verwendet jeder Router heutzutage noch so nachdem ich meinte dies es heutzutage nicht mehr richtig.

 

[Raijin]

Jede Fritzbox und auch alle anderen Router die ich kenne verwendet diese Konstrukt.

Nein. Das Klassensystem gibt es schlicht und ergreifend nicht mehr, weil heutzutage ausschließlich individuelle Subnetze zum Einsatz kommen. Bei den Netzklassen ist neben der starren Subnetzmaske ja auch die dazugehörige IP-Adresse fix bzw nur aus einem festen Bereich.



Wie dem auch sei @AgentHawk , wenn du "sortierst" wie du es nennst und da auch Bereiche für Büro, o.ä. dabei sind, kann man bei insgesamt 200 Geräten schon über separate Subnetze nebst VLANs und Router/Firewall dazwischen nachdenken. Die Sortierung würde dabei sogesehen automatisch erfolgen, weil zB das Büro dann 172.17.2.0 /24 hat und zB die Kinder-Geräte 10.11.12.0 /24, während sich die sonstigen Geräte in 192.168.123.0 /24 tummeln. Es ist prinzipiell nämlich nicht sinnvoll, ein privates Subnetz exorbitant groß werden zu lassen, nur im sich dann einen Kopp drum zu machen welche IPs man jedem Gerät zuweist (sei es manuell oder durch statische DHCP-Reservierungen).

Grundsätzlich sollte man sich auch dessen bewusst sein, dass die IP-Adresse von reinen Client-Geräten vollkommen egal ist. Nicht nur, dass man auf diese Geräte gar nicht von einem anderen Gerät aus zugreift, selbst wenn man es täte könnte man es ja auch über dessen Namen! Letzteres ist deutlich komfortabler, selbst wenn das Gerät eine feste IP hätte. Wozu sich merken, dass das Smartphone 192.168.123.221 hat (im 220-230 "Handybereich"), wenn man einfach "HawksIPhone" eintippen kann und der DNS daraus die IP macht?

 

[AgentHawk]

Ich wollte eig. zwecks Einfachheit ein etwas größeres Netz.
Da gerade IoT Geräte Probleme machten, wenn ich sie auf 2 Netze Trenne und dann "verbinde"?

Glaube da gabs massiv Probleme mit Multicast o.ä - aber zu lange her.


Soweit hatte das ja jetzt auch mit der /23 oder /22 geklappt. Nur hab ich dann kein Internet mehr
Muss dann am Client die Subnetzmaske auf 255.255.255.0 stellen dann gehts wieder.

Fehler noch net gefunden.
Grüße

 

[Bob.Dig]

Finde es merkwürdig, dass Du schon ein ganzes /24 belegt haben willst. Wenn Du da was geändert hast, musst Du das ggf. auf allen anderen Netzen auch ändern, aber Du scheinst ja eh alles in ein Netz zu packen? Nicht gerade typisch für pfSense würde ich sagen. Wenn Du tatsächlich kein DHCP nutzt, musst Du es auch auf allen deinen hunderten Geräten ändern...
Und was IoT betrifft, ausprobieren. Viele Geräte funken eh nach Hause. Ich habe mir zwei verschiedene vlans (WiFi) aufgesetzt mit unterschiedlichen Regeln und verteile die Geräte passend darauf. Dazu brauchst Du natürlich noch den passenden AP, Wifi direkt auf pfSense soll ja nicht so pralle sein.

 

[Raijin]

Ich wollte eig. zwecks Einfachheit ein etwas größeres Netz.

Ein großes Subnetz hat rein gar nichts mit Einfachheit zu tun.

Da gerade IoT Geräte Probleme machten, wenn ich sie auf 2 Netze Trenne und dann "verbinde"?

Ja, IoT kann Probleme machen. Multicasts sind nicht das Problem, sondern Broadcasts. Deswegen hatte ich oben auch explizit kein separates VLAN für IoT aufgelistet.

Bei IoT kommt es massiv auf das jeweilige Gerät und die dafür genutztes Apps an. So kann man zB eine Hue-Bridge für die Philips Leuchten in det App explizit via IP verbinden - auch in einem separaten Subnetz. Bei anderen Systemen geht das nicht immer, weil die Apps via Broadcasts nach den Geräten suchen (via Broadcast und somit ausschließlich im eigenen Subnetz).

Soweit hatte das ja jetzt auch mit der /23 oder /22 geklappt. Nur hab ich dann kein Internet mehr
Muss dann am Client die Subnetzmaske auf 255.255.255.0 stellen dann gehts wieder.

Das deutet auf - sorry - fehlendes Verständnis von IP und Subnetzmaske hin. Ein Grund mehr warum ich deine Vorgehensweise wenig zielführend finde. Dein Subnetz ist größer als das Subnetz meiner FIRMA ....Was sind das denn für 200 - in Worten zweihundert - Geräte?


Wie gesagt, das Sortieren innerhalb eines Subnetzes ist nur bei statischen Geräten einigermaßen sinnvoll. Dazu zählen zentrale Komponenten wie zB ein Netzwerkdrucker, NAS oder ein Server. Auch bei Geräten der Infrastruktur selbst wie Switches, APs und eben dem Router ist es üblich, diesen sinnvolle IPs zu geben. Es ist aber vollkommen absurd, jeden PC, jedes Smartphone, jeden TV, jedes Internetradio, jeden smarten Kühlschrank, jede Alexa, jeden pi**igen smarten Sensor bewusst in einen bestimmten IP-Bereich einzusortieren, um dann zwangsläufig soviel Reserven für jeden Bereich einzuplanen, dass in einem Privathaushalt ein 24-bit-Netzwerk nicht mehr ausreicht... Wenn du soviele Geräte hast, ok, aber dann ist für diese Anzahl der Grund für das größere Subnetz, aber nicht "die Reserve zum Einsortieren". Du machst dir damit - mit Verlaub - einen Kopf um etwas, das einfach nicht sinnvoll ist.

Wichtiger als "sortierte IPs" ist dann die Namensauflösung. Wenn die sauber funktioniert und die Namen gut gewählt sind, muss man sich keine einzige IP-Adresse mehr merken und es ist egal ob die IP des Druckers nu zwischen PC und Smartphone oder Internetradio und Kühlschrank liegt.

Ergänzung (29. August 2020)

Wenn du hier mal IP+Subnetzmaske des/der problematischen Gerätes postest, kann man ja mal drüber schauen warum es nicht geht. Ich vermute eine ungerade Startadresse des größeren Subnetzes, weil größere Subnetzmaske heißt nicht zwingend "mehr hinten dran", sondern kann eben auch "mehr vorne dran" bedeuten. IPs und Subnetzmasken sind Bitmuster, die miteinander verknüpft werden. Dadurch sind sie nicht so dezimal wie es aussieht.

 

[AgentHawk]

Ich bin gerade doch dabei es so zu machen wir ihr meintet. (teils)

Und ja " fehlendes Verständnis von IP und Subnetzmaske" da hast du recht. Hab ich aber im ersten Post direkt geschrieben. Will ja was lernen, sonst würde ich mir das nicht antuen.

Und nein ich hab nicht alles in einem Netz - Büro / Kameras / Server (VMs) hängen noch mal Seperat.
Aber - ich bin ein Fan von IoT - und da wir in ein Bestands Haus gezogen sind, war da aus Kosten / Zeit gründen kein KNX o.ä möglich und daher muss ich viel aus Shellys etc setzen. Und da verbraucht dann schnell mal jeder Schalter - jedes relais eine IP. Und das summiert sich schnell.

Aber grundsätzlich können die in ein 2 Netz rüber. Das hatte damals nur mit den Sonos boxen etc so garnicht geklappt.
Der kurze Shelly test ging aber recht gut.


Vielen dank für eure Tipps

 

[Raijin]

Wie gesagt, wenn du hier IP + Subnetzmaske problematischer Geräte nebst der Info welche IP dein Router und ggfs ein separater DNS hat, kann man beurteilen warum es zum Teil nicht funktioniert.

Was Schalter, Relais und dergleichen angeht, würde ich fast behaupten, dass es da gar kein Problem sein sollte, diese in ein anderes Subnetz zu packen. Prinzipiell ist es ja nur die Steuerzentrale, die direkt mit den Sensoren und Aktoren kommuniziert und da müsste es grundsätzlich möglich sein, diese Geräte auch direkt via (gerouteter) IP-Adresse zu erreichen. Klar, wenn man "Suche nach Geräten .." anklickt, wird dort einfach nur ein Broadcast ins Subnetz gehauen, der darauf wartet, dass sich alle Geräte melden, was bei einem gerouteten Subnetz nicht funktionieren wird. Es wäre aber ziemlich dumm von der Software, wenn sie nicht auch manuell hinzugefügte Komponenten finden würde, dann eben direkt über eine IP. Dazu kenne ich aber das System nicht gut genug (=gar nicht), aber es würde mich sehr wundern, wenn das nicht ginge...

 

[AgentHawk]

So - hat dann doch alles recht einfach gepasst und funktioniert.

Hab zwar jetzt wie ihr auch empfohlen hattet, die Schalter etc in ein 2. Vlan gepackt, aber wollte auch noch mal wissen, was an dem /23 Netz schief lief.

Scheinbar kann man nicht die NAT Adresse einfach erweitern auf /23 mit entsprechender IP.
Da ich zusätzlich eine kleine Telefonanlage hinter der pfsense betreibe musste ich die NAT Einstellungen auf Manuell stellen - daher kamen die Einstellungen nicht Automatisch.
Kurzer wechsel von Manuell auf Auto - und pfsense hat mir eine neue Rule eingestellt mit der zweiten Adresse und der /23 am Ende. Sprich zwei separate Lines.

Besten Dank noch mal für eure Hilfe
Jetzt läuft alles wie es soll.

Grüße

 

[Raijin]

Scheinbar kann man nicht die NAT Adresse einfach erweitern auf /23 mit entsprechender IP.

Prinzipiell schon, aber wie ich oben schon schrieb heißt "größere Subnetzmaske" nicht zwingend, dass das Subnetz nach hinten länger wird. Die Startadresse des Subnetz ist eine logische UND-Verknüpfung zwischen IP und Subnetzmaske, jeweils als Bitmuster interpretiert. Da IPs eben auf Bits basieren, sind sie nicht so dezimal wie ein Mensch sie gerne interpretiert.

Beispiele:

192.168.1.x /24
192.168.1.0 - 192.168.1.255

192.168.1.x /23
192.168.0.0 - 192.168.1.255

192.168.1.x /22
192.168.0.0 - 192.168.3.255


Wie man sieht erweitert sich ein 192.168.1er Subnetz mit 24er Subnetzmaske nach vorne, wenn man die Subnetzmaskeauf /23 aufbohrt, während es sich bei einer 22er Subnetzmaske in beide Richtungen erweitert.

24er Subnetze starten bei jedem x, 192.168.0.0, 192.168.1.0, 192.168.2.0, etc.

23er Subnetze starten dagegen immer bei x = 0, 2, 4, 6 ...

22er Subnetze bei x = 0, 4, 8, 12 ...


Deswegen kann es passieren, dass man die IPs der Geräte in ein falsches Subnetz packt, wenn man sich bei der Startadresse des Subnetzes täuscht. 192.168.1.0 - 192.168.2.255 ist zum Beispiel technisch unmöglich.



Da du der Bitte um Angabe der Subnetz- bzw. IP-Details nicht nachgekommen bist, kann ich nur mutmaßen, dass das bei dir das Problem war, wenn du der Meinung bist, dass die Erweiterung des Subnetzes nicht funktioniert hat. Wie auch immer, wenn jetzt alles läuft, dann hast du es ja hinbekommen