Drei Netzwerkkarten und Route / IP Range nur über bestimmten Adapter zulassen

    Hallo zusammen,

    ich komme grad nicht weiter, und frag mal euch Nerds,
    ist sogar ein Thema von/für die Arbeit ^^


    Wir haben hier IndustriePCs mit Windows 10 Enterprise mit drei Netzwerkkarten.
    Dummerweise hat irgendwann mal irgendein Vogel bestimmt, dass unser WAGO, bzw. "Maschinen-Netz" über IP Adresse 1.1.1.x erreichbar sind.
    Das ging auch alles wunderbar, trotz der Hausnetzverbindung im Netz 10.x.x.x

    Seit neuestem gibt es ja den dämlichen Cloudflare DNS 1.1.1.1, der macht natürlich unser Maschinen-Netz "kaputt", da das Hausnetz auch Internetzugang hat, und immer den Cloudflare Dreck findet.
    An der Firewall können wir leider nichts verändern, die ist Zentral gesteuert, da haben wir keinen Zugriff drauf, ebenso wenig wie an den VLAN Einstellungen im Hausnetz.

    Jetzt das Problem, jedes mal wenn wir Zugrif auf unser MaschinenNetz wollen, und es ist nicht erreicbar, versucht der PC es über die Netzwerkkarte des Hausnetzes.


    Kann man also, irgendwie eine Routingtabelle am PC festlegen, dass egal was kommt, alles was mit 1.1.1.x ist, IMMER über Adapter #2 auch wenn der gerade mal keine Verbindung hat?
    Auch wenn Adapter #1 (Hausnetz) Verbindung hat?


    Haben schon die interne Windows Firewall eingestellt (alles was mit 1.1.1.x zu tun hat, aus dem IPR ange 10.x.x.x blockieren, alle Protokoll), aber ohne Erfolg. :(
    Das geht einmal, dann wieder nicht.
    Irgendwie geht dennoch Traffic, wenn die 1.1.1.x angfefragt wird irgendwann mal über die Hausnetz Netzwerkarte :(

    Mit der Commandshell und "route" werd ich nicht schlau, wie ich das einstellen muss, damit eben auf Adapter #1 KEINE 1.1.1.x Adressen laufen. :(


    Hoffe es ist einigermaßen verständlich...


    Grüße
    Acid

    Route ist da schon Dein Freund und Helfer. Du musst quasi eine (auf allen Clients die das betrifft!) erstellen die 1.1.1.x über das Gateway der Netzwerkkarte 2 schickt.

    Besonders sauber ist das dann aber nicht. Öffentliche IP Adressen haben in privaten Netzen nichts zu suchen, insofern ist es am sinnvollsten diesen Umstand zu ändern als irgendeine Frickellösung herbei zu führen.

    Ja, das mit den öffentlichen ip Adressen ist mir bewusst. Leider liegt das nicht in meiner Entscheidungsgewalt.
    Bei nem 15000 Mann (und Frau, und diverses) unternehmen, sollte man meinen, das sich „Entwickler“ auskennen, mit ip adressbereichen und nicht nach Willkür dünken... leider war/ist das nicht so. :(

    hast du ggf auch nen Tipp, wie ich diese Router unter Windows 10 anlege?
    Wie gesagt, ich werde mit dem Route nicht schlau :(


    Edit: die Netzwerkkarte #2 (Maschinennetz) hat kein gateway, da es im normalfall nur eine Verbindung zu zwei weiteren Geräten ist, über einen lokalen Switch.
    Sprich, dieser Adapter wird dann nur genutzt, um die Maschinen/Geräten, welche durchgetauscht werden können, anzusprechen. ;)
    Also, kein wirkliches "Maschinen" Netz, nur eben, dass die drecks Gegenstücke (WAGO Controller, und noch so ein Teil) IMMER im 1.1.1.x sind... weltweit bei uns, damals in den (gefühlten) 1870er Jahren festgelegt... ^^

    Nunja, mit Windows hab ich es nicht so. Unter Linux würde das so aussehen:

    Code
    route add -net 1.1.1.0 netmask 255.255.255.0 dev wlp2s0b1

    Eventuell ist die Syntax da auch gleich, keine Ahnung. Das hinter dev ist der Name des Netzwerkadapters (bei mir das WLAN).

    Achja, das dürfte auch nur mit Admin-Rechten gehen. Solltest Du keine haben dann kannste das vergessen.

    Nachtrag:
    Ich habe das eben mal auf meinem OpenHab Pi ausprobiert da da die eth0 Schnittstelle momentan nix macht und siehe da es funktioniert. ;)

    Also erstmal musst du rausfinden welches das richtige Interface ist:
    netsh interface ipv4 SHOW interfaces

    das sieht dann bei mir so aus:

    Code
    Idx     Met         MTU          State                Name
---  ----------  ----------  ------------  ---------------------------
  1          75  4294967295  connected     Loopback Pseudo-Interface 1
 10          25        1500  connected     Ethernet

    Meine Netzwerkkarte hat also hier den Index 10.

    Nun geht es darum den gesammten Bereich umzurouten.
    Dafür musst du die IP deines Routers kennen.
    Das ist dann auf dein Beispiel bezogen:
    route -p ADD 1.1.1.0 MASK 255.255.255.0 192.168.123.1 METRIC 3 IF 10
    Zur Erklärung: -p macht die Sache permanent, also kann zum testen weg gelassen werden
    ADD IP-Adress-Bereich Ziel - damit wird der gesammte 1.1.1.0 - 254 Bereich gemeint weil als Maske255.255.255.0 Benutzt wird.
    Willst Du nur eine IP Adresse über die Netzwerkkarte leiten benutzt du als IP die genaue IP und als Maske 255.255.255.255

    192.168.123.1 ist hier meine Gateway IP, also mein Router.
    Metric - umso tiefer umso mehr Vorrang. Du kannst damit z.B. festlegen das er nacheinander die Interfaces benutzt.IF #Interface Nummer sollte klar sein.
    Die Ausgabe ist dann einfach "OK!"Willst du die Route wieder löschen:
    route DELETE 1.1.1.0

    Die aktuellen Routen kannst Du wie gesagt mit route PRINT ausgeben.

    --------------
    Guides nicht mehr verfügbar wegen Youtube unvermögen guten von schlechten Kodi Videos zu unterscheiden.

    Endlich kam ich mal wieder an den Rechner...

    Zitat von muchtkutte

    Mach doch mal 'n Screenshot von "route print".

    Habe die MAC Adressen und die IP Adressen im 10er Netz weitestgehend ausge-x-t, hoffe man sieht und erkennt dennoch etwas...
    (ja, ich weiß, privates Netz und so, aber da weltweites unternehmen usw... seufz)


    Code
    Idx     Met         MTU          State                Name
---  ----------  ----------  ------------  ---------------------------
  1          75  4294967295  connected     Loopback Pseudo-Interface 1
 12          35        1500  connected     Hausnetz
 15          35        1500  connected     WAGO
  2           5        1500  disconnected  Frei

    Und dennoch geht er irgendwann anch einer Zeit wenn die Ziel-IP 1.1.1.130 nicht schnell genug reagiert über die Hausnetz-Adresse


    Edit: Habe über die Metzric die Verbindung 0.0.0.0 über Subnetz 0.0.0.0 von Metric 35 von Adapter "Hausnetz" jetzt erhöht und 1.1.1.

    Habe jetzt kein windows parat auf dem ich rumexperimentieren kann.

    Was mir auffaellt: Skybird hat empfohlen, als Metrik '3' anzugeben. In Deinem output sehe ich aber metrik 291. Wuerde empfehlen mal auszuprobieren, ob/wie man da richtig die metrik setzt.

    Wenn das internet netz nicht laeuft dann ist das ganz normal, dass dann die naechstbeste route genommen wird, was dann halt die default-route ist.

    Ein trick der evtl. funktionieren koennte waere es nochmal die 1.1.1.0/24 route auch auf das loopback interface zu setzen. Aber mit hoehrer metrik als auf dem lokalen LAN. In der theorie sollte er dann halt wegen besserer metrik das lokale LAN verwenden wenn es laeuft, und ansonsten den verkehr halt ueber das loopback interface abzusetzen - statt auf die default-route auszuweichen.

    Zitat von AcidRain

    Bei nem 15000 Mann (und Frau, und diverses) unternehmen, sollte man meinen,

    Bei einem 15000 Mann/Frau Betrieb sollte man meinen, dass es eine IT gibt und unter anderem (mindestens) einen Netzwerkadministrator. Dieser Netzwerkadministrator kann, darf, soll und muss die Entscheidungsgewalt haben, dass öffentliche IP Adressen intern nicht vergeben werden. Alles andere kann sich ein so großer Betrieb doch gar nicht leisten. Das crasht früher oder später wieder. Dafür gibt es doch private Class-A Netze.

    Zitat von AcidRain

    Leider liegt das nicht in meiner Entscheidungsgewalt.

    Dann sprich mit dem in dessen Entscheidungsgewalt es liegt und mach ihm die Sachlage klar. 1.1.1.1 existiert schon seit April 2018 als CF DNS: https://blog.cloudflare.com/dns-resolver-1-1-1-1/

    Wir haben da gerade so eine alte Stolperstrasse aus dem roemischenn reich freigegeben, die 2000 jahre unter verschluss war.Warum versuchen Sie da nicht mal einen schnellen neuen Internet Dienst darauf zu fahren ?

    *rotfl*

    https://en.wikipedia.org/wiki/1.1.1.1

    Keine Ahnung, was sich cloudfare dabei gedacht hat, diese Adresse zu waehlen. Die haben ja auch andere Adressen. Eine Loesung darauf zu bauen, wie die Welt sein sollte ist immer schlechter als eine, die darauf basiert, wie die Welt wirklich ist.

    Meine Verschwoerungstheorie ist ja, das das bei Cloudfare alles IPv6 fans waren, die den Kunden die noch immer IPv4 verwenden mal so richtig einen reindruecken wollten. Aber ich habe keine Ahnung.

    Zitat von te36

    Aber ich habe keine Ahnung.

    Das merkt man leider... Wieso sollte Cloudflare die Adresse nicht nutzen dürfen? Es ist glasklar geregelt, welche Adressen im Internet verwendet werden dürfen. Google verwendet z.B. auch 8.8.8.8 und dann gibt es noch Quad9 , die 9.9.9.9 nutzen. Ist das etwa auch nicht genehm? Die einzigen, die hier Mist gebaut haben, sind die IT Mitarbeiter in der besagten Firma.

    Zitat von kingbuzzzo

    Das merkt man leider... Wieso sollte Cloudflare die Adresse nicht nutzen dürfen? Es ist glasklar geregelt, welche Adressen im Internet verwendet werden dürfen. Google verwendet z.B. auch 8.8.8.8 und dann gibt es noch Quad9 , die 9.9.9.9 nutzen. Ist das etwa auch nicht genehm? Die einzigen, die hier Mist gebaut haben, sind die IT Mitarbeiter in der besagten Firma.

    AFAIK waren 8/24 oder 9/24 nicht seit den 80'er Jahren reserviert == global unbenutzt.

    https://www.heise.de/newsticker/mel…tzt-922376.html

    D.h. cloudfare wusste, dass die Adressen verschmutzt sind. Evtl. hat man die Adresse 1.1.1.1 also so eine Art Entschmutzungskation verwendet, damit die restlichen 1.0.0.0/8 Adressen entseucht werden. Alles in allem auf jeden Fall eine dreckige Aktion.

    "Allerdings nutzen einige Netzwerker diese Adressen unberechtigt für Beispiele, als Vorgabe oder sogar als pseudo-private Adressen. So kommunizieren Teilnehmer am dezentralen Peer-to-Peer-Netz anoNet über Adressen aus dem Bereich 1/8."

    Mehr ist dazu nicht zu sagen, das Problem ist hausgemacht.

    Klar ist das hausgemacht, aber wenn ich Cloudfare waere und wuesste das da ein guter Teil Kunden Probleme mit der Adresse haben koennte, warum sollte ich die verwenden ? Und es geht ja nur um eine Adresse, nicht um die armen Leute, die vielleicht einen ganzen Adressbereich in 1.0.0.0/8 im Internet nutzen wollen. Die haben ja keine Alternative. Aber eine einzige "well-known" adresse kann man ja ueberall hin legen. Da muss also IMHO mehr dahinter gesteckt haben, diese Adresse zu waehlen.

    Ok ich verstehe wo du hin willst, aber a) glaube ich nicht, dass ein großer Teil Probleme haben wird, sondern eher ein kleiner Teil und b) ist so eine Adresse nun mal sehr einfach zu merken und somit gold wert. Ich persönlich hätte auch nicht gezögert, diese Adresse zu nehmen.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden