Zwei Parallel laufende Netzwerke mit gleichen IP's aufbauen.

[Extra1bd]

Hallo liebe Lerser*innen und *außen,

Als angehender IT'ler bin ich mehr und mehr gefrustet, da ich entweder meine Fragen nicht richtig stellen kann, mein Vorhaben einfach nicht realisierbar ist oder meine Kollegen keinen Peil haben...

Mal ganz unabhängig vom Nutzen oder den Sinn dahinter, würde ich gerne etwas wissen:

Ich stelle mir seit langem die Frage, ob es möglich ist, 2 Getrennte Netzwerke (Siehe Schaubild Part 1) aufzubauen?!.
Lan Port 1 hostet das Netzwerk 192.168.2.1 -> PC1 & PC2...
Lan Port 2 hostet ebenfalls das Netzwerk 192.168.2.1 -> PC3 & PC4
Beide sind jedoch voneinander getrennt und arbeiten unabhängig von einander. Heist PC 1 und PC 3 welche ja die selbe Lokale IP haben arbeiten jedoch in vollkommen unterschiedlichen Netzwerken. Haben nach außen jedoch die selbe IPV4 bzw. IPV6.. da alles über den selben Internet Anschluss geht.

Gibt es hierfür Router, welche ggf. jedem Port ein Netzwerk zuweisen können? Wie im Bild zu sehen?
Ich möchte explizit keine Software Trennung alias VLAN und co.
Ein Arbeitskollege meinte, man würde hierfür Routing-Tabellen benötigen oder gar Router welche jeden Port einzeln "NATen".

Und hier türmen sich mir die Fragezeichen auf der Stirn.

Ich dachte eigentlich, dass so etwas "relativ" einfach mit einem zweiten Router realisierbar wäre, wurde jedoch von mehreren Kollegen eher mundtot geredet, als das man auf meine Skizzen einging ...(Schaubild Part 2)

Router 1 agiert als "Moden" für den Router 2, welcher unter Router 1 ein eigenes Netzwerk aufbaut. Wo hingegen Router1 unabhängig davon sein eigenes Netzwerk hat. Quasi über den LAN Port 4 nur ein "schein DSL" für den Router 2 zur Verfügung stellt.

Ich hoffe die Community hier ist etwas nachsichtiger, und kann meine Frage verstehen. Gegebenenfalls habe ich ja auch nur einen Denkfehler.

Freundliche Grüße,

euer ExTra

 

[Raijin]

Nicht alles was technisch möglich scheint, ist auch sinnvoll. Es gibt Situationen, in denen man um identische Subnetze nicht herumkommt, aber das hat in der Regel besondere Gründe. Entscheidend ist jedoch, dass man sich in solchen Szenarien nicht noch absichtlich ins eigene Knie schießt und ohne Grund dazu zwingt, das alles mit nur einem Router zu machen und ohne zusätzliche Hardware anzuschaffen, "nicht in Software" und so weiter... Auch entsprechende Gedankenspiele sind sinnfrei, weil es sieben Quadrillionen handfeste Gründe dagegen gibt und der eigene "Wunsch" ein schwacher Gegengrund ist. Das ist nichts was man mit einem 15€ TP-Link Router umsetzt bzw umsetzen kann..............

Meine Firma installiert beispielsweise bei Kunden Steuerungen für bestimmte Industriemaschinen (Wellpapp-Industrie). Die Panels, SPSn, Antriebe, Sensoren, etc haben alle Standard-IPs, es ist also bei jedem Kunden exakt dasselbe Subnetz vor Ort, weil es ein organisatorischer Albtraum wäre, 100+ Netzwerkteilnehmer individuell zu konfigurieren.
Via VPN leisten wir Remote Support. Dazu muss unser VPN-Setup 1:1 NATten, damit man eben gezielt auf ein Kundennetzwerk zugreifen kann, obwohl sie beim Kunden alle das identische Subnetz haben.

Wenn man jedoch am einem Standort ein Netzwerk designed, achtet man penibel darauf, dass es keine Überschneidungen gibt, wenn es nicht irgendwo irgendeinen zwingenden Grund dafür gibt. Subnet-Design ist daher eine wichtige Aufgabe eines IT-Admins, um Konflikte jedweder Art zu vermeiden. Wer sich sowas bewusst und ohne Grund ins Netzwerk holt und dann auch noch mit Consumer-Equipment umsetzen möchte, hat als IT-ler in meinen Augen den falschen Beruf gewählt

Mein Vorschlag wäre daher: Weg mit dem Gedanken der identischen Subnetze am selben Router und  sinnvolle Subnetze wählen.

 

[Robo32]

Naja, wenn du auf VLANs* verzichten willst, dann eben drei Router und doppeltes NAT wenn sich das nicht deaktivieren lässt.
Verstehe aber das Problem mit den VLANs nicht, davon bekommen die Anwender doch nichts mit...

*dafür würde bereits ein recht günstiger 5-Port Switch reichen

 

[Extra1bd]

...
Verstehe aber das Problem mit den VLANs nicht, davon bekommen die Anwender doch nichts mit...

Weils leider eine Softwarelösung wäre. Ich jedoch eine hardware Lösung suche.

Zumal managebare Switche mit vlan unterstützung auch nicht gerade billig sind.

Ich habe 2 kleine Router (tp-links) hier..
Und wollte einfach mal damit spielen.

Ggf. Würde ich in meinem Haus (in ferner zukunft) jedem Stockwerk ein eigenes Netz geben und diese dann über die schon vorhandenen APs laufen lassen.

Wie gesagt nur Gedanken Spielereien.

Naja, wenn du auf VLANs* verzichten willst, dann eben drei Router und doppeltes NAT wenn sich das nicht deaktivieren lässt.

*dafür würde bereits ein recht günstiger 5-Port Switch reichen

Würdest du das bitte, speziell mit den 3 Routern näher erläutern?

Freundliche Grüße

 

[eigs]

Gibt es hierfür Router, welche ggf. jedem Port ein Netzwerk zuweisen können? Wie im Bild zu sehen?

Ja, MikroTik.

Ein Arbeitskollege meinte, man würde hierfür Routing-Tabellen benötigen oder gar Router welche jeden Port einzeln "NATen".

Korrekt, man benötigt an beiden Ports Routing Tabellen und muss NATen.
VLAN benötigst du nicht weil die Ports direkt zugewiesen werden. Selbst wenn du beim ROUTERboard mehrere Ports in einem Netzwerk zusammenfassen möchtest reicht dafür eine Bridge.

 

[Robo32]

Ja, MikroTik.

Nicht nur, aber auch mit zwei gleichen Netzen und dann auch mit gleichen Clients IPs in beiden?
Strenggenommen ist aber auch das eine Softwarelösung.

Würdest du das bitte, speziell mit den 3 Routern näher erläutern?

In deiner ersten Zeichnung (waren vorher noch nicht sichtbar) einfach die zwei Switche durch Router ersetzten.
Der Router welcher DSL macht muss aber eine andere IP haben weil du bei den anderen auf WAN und LAN wahrscheinlich nicht das gleiche Netz konfigurieren kannst.

Quadratur des Kreisens bzw. Murks je nach Tagesform...
Routing-Tabellen kann man übrigens vergessen da bei gleichen Netzen diese nicht eintragbar sind.

 

[eigs]

aber auch mit zwei gleichen Netzen und dann auch mit gleichen Clients IPs in beiden?

Ja.

Strenggenommen ist aber auch das eine Softwarelösung.

Ja, es ist eine Softwarelösung. Mir ist keine NAT Lösung bekannt die ohne Software funktioniert. Auch der Vorschlag mit 3 Router setzt Software in jedem Router voraus.

 

[Robo32]

Kenne den MikroTik nicht, allerdings z.B. beim Cisco werden dann intern auch VLANs genutzt was der TE nicht will.
Aber ja, am Ende ist natürlich alles eine Softwarelösung, die Frage ist nur wie die Trennung erfolgt.

 

[eigs]

Kenne den MikroTik nicht,

Es gibt die Interfaces (Ethernet, WLAN).

Es gibt Bridges. Denen kann man Interfaces zuweisen die dann ein gemeinsames Netzwerk bilden. Wenn man zum Beispiel ether1 und ether2 in eine gemeinsame Bridge gibt verhalten sich diese Ports grundsätzlich (sofern nicht anders konfiguriert) so wie ein Switch.

Wenn man etwas konfiguriert (z.B. NAT) kann man ein Interface oder eine Bridge angeben.

Es gibt VLANs. Denen kann man eine Bridge zuweisen. Ein VLAN macht keinen Sinn wenn man es nicht in Verbindung mit einem anderen Gerät (z.B. Router, Switch) nutzt.

MikroTik RouterOS kann man übrigens herunterladen und für 24 Stunden ohne Lizenz im vollen Umfang nutzen.

 

[dvor]

Ich jedoch eine hardware Lösung suche.

IP-Vergabe ist immer Software. Du suchst eine Softwarelösung.

 

[conf_t]

Haben nach außen jedoch die selbe IPV4 bzw. IPV6.. da alles über den selben Internet Anschluss geht.

Ab hier hört der Spaß auf oder wird unnötig kompliziert (mit zusätzlichen NAT möglich, aber wozu?). Man hätte also Doppel NAT, Oder brauch eben doch 2 Public IPs. Löst man eben wenn es geht mit unterschiedlichen Subnetzen und 2 VLANs, und verfolgt besser nicht dien „zwei gleiche IP Netze“-Gedanken. Wenn die beiden Netze nirgends einen Berührungspunkt hätten (keinen gemeinsamen Internetzugang), wären VLAN vollkommen ausreichend zur Trennung und das ganze so einfach zu realisieren.

 

[TheManneken]

Was soll eigentlich der Sinn des Ganzen sein? Ich erkenne keinen. Liegt hier ein XY-Problem vor?

 

[0x8100]

Routing-Tabellen kann man übrigens vergessen da bei gleichen Netzen diese nicht eintragbar sind.

es sei denn, mal benutzt mehrere routingtabellen -> ip-netns. damit wäre das szenario mit den switches und einem linux-basierten router machbar.

hier eine beispiel-config -> https://blog.christophersmart.com/2...with-veth-to-nat-guests-with-overlapping-ips/

 

[Milchwagen]

LANCOM Router können genau das. Nennt sich ARF, Advanced Routing and Forwarding.

gleiche Netze auf unterschiedlichen Ethernet interfaces, getrennt ohne VLAN.

Edit: Für Privat würde ich die Geräte jedoch nur gebraucht empfehlen. Sind nur fürs Projektgeschäft oder Liebhaber gedacht.

Das angedachte Szenario ist oft angefragt. Nix kompliziertes.

 

[SirKhan]

Wie ja bereits beschrieben worden, am einfachsten wäre so etwas mit drei Routern (NAT) umzusetzen.
Einen fürs Internet und dem Netz 0. Und dann je einen weiteren für jedes Netzwerk (siehe Bild).
Das wäre verhältnismäßig einfach aufzubauen und auch am nächsten an einer Hardwarelösung. Innerhalb von Netzwerk 0 müsste man halt andere IPs haben.

Routingtabellen, etc. ist definitiv wieder eine Softwarelösung und auch schon wieder komplexer und fehleranfälliger. VLAN ist ja nicht gewünscht.

 

[Zero_Official]

@Extra1bd
Verstehe dein Vlan Problem nicht....
Es gibt doch Portbasiertes Vlan (in Hardware) und Tagged Vlan (sozusagen in Software.)
Layer 2+ Switche also Vlan mit Routing gibts doch gerade bei TPLink für paar Euros....

Aber Vielleicht verräts du was du errechen willst? es gibt ev. bessere Wege?

 

[PHuV]

Weils leider eine Softwarelösung wäre. Ich jedoch eine hardware Lösung suche.

Zumal managebare Switche mit vlan unterstützung auch nicht gerade billig sind.

Die sind dich heute auch nicht teuer:
https://www.amazon.de/Oakley-Mens-Skate-Boardshorts-Multicolor/dp/B01NBTI474/

Unabhängig davon macht man nirgends Subnetze mit gleichen IP Ranges innerhalb eines Netzes, das ist Blödsinn.

 

[Joe Dalton]

Moin,

VLANs lösen sein Problem nicht: die meisten Switches weigern sich auf gutem Grund in unterschiedlichen VLANs Interfaces aus den gleichen IP-Subnetzen zu konfigurieren (sinngemäß gilt das gleiche für alle Router/Firewalls ohne VRF-Unterstützung). D.h. VLAN A und B benötigen somit zwei unterschiedliche Netze, was hier nicht gewünscht ist. Also bräuchte es VRF und NAT, was i.d.R. eher Features von Routern sind - insbesondere NAT.

Wenn er denn dann endlich einen Router mit VRF-Unterstützung oder eine Routerkaskade aufbaut hätte, dann käme als Nächstes NAT auf ihn zu. Da ansonsten keine Zugriffe zwischen den (gleichen) IP-Subnetzen möglich ist bzw. auch die Routerkaskade nicht funktioniert.

@TheManneken hat in meinen Augen die richtige Frage gestellt: Was will der TE eigentlich erreichen und was genau ist sein Problem.

Wenn ich mir die WortWahl des TE und die Ablehnung von der „Softwarelösung“ VLAN ansehe, dann tippe ich mal auf fehlendes Know-How.

 

[conf_t]

unterschiedlichen VLANs Interfaces aus den gleichen IP-Subnetzen zu konfigurieren (sinngemäß

Warum willst du das machen? Für Switching braucht es nur VLAN, keiner VLAN Interfaces. Die brauchst du nur für Layer3 (Routing) oder Management-Interface(s). Und in unterschiedlichen VRF sollten doppelte IPS auf unterschiedlichen VLAN Interfaces auch nicht jedem Layer3 Switch was ausmachen.

Wir betreiben im Konzern zig Netze mit überlappenden IP Bereichen, aber die Kommunzieren i.d.R nicht mit einander, weil es unterschiedliche Mandaten gibt und für das Management der Netzwerkinfrastruktur gibt es ei Mgmt-VLAN. Wäre ja noch schöner, wenn die Mandaten sich auf die Switche verbinden könnten.

 

[Joe Dalton]

Warum willst du das machen? Für Switching braucht es nur VLAN, keiner VLAN Interfaces. Die brauchst du nur für Layer3 (Routing) oder Management-Interface(s). Und in unterschiedlichen VRF sollten doppelte IPS auf unterschiedlichen VLAN Interfaces auch nicht jedem Layer3 Switch was ausmachen.

Der TE möchte nicht nur Switching, sondern auch Routing (lies: Internet). Das mit den VRFs hatte ich im nachfolgenden Teil beschrieben…

Wir betreiben im Konzern zig Netze mit überlappenden IP Bereichen, aber die Kommunzieren i.d.R nicht mit einander, weil es unterschiedliche Mandaten gibt und für das Management der Netzwerkinfrastruktur gibt es ei Mgmt-VLAN. Wäre ja noch schöner, wenn die Mandaten sich auf die Switche verbinden könnten.

Das ist zwar schön und zweckdienlich für euch, aber dem TE ist mit so einem Aufbau nicht gedient. Da sowohl die passende Hardware als auch das notwendige Know-How fehlen.