NAS-Server mit 2 Netzwerkkarten beide im Class A Netz

Meiner TS-509 kann ich problemlos zwei verschiedene IP aus dem 10er-Bereich zuweisen. Da ich aber nur ein Netz habe, kann ich auch nur darüber auf das Gerät zugreifen. Ich sehe aber keinen Grund, welhalb es mit der zweiten IP nicht gehen sollte.

Klar, das sollte gehen. Ist das Netz so gross, dass es class A sein muss?

Wenn du vornedran nix verfrickelt hast sollten die beiden Netze im NAS auch getrennt bleiben. Soweit ich gesehen habe gibt es kein forward zwischen den adaptern.

Hallo Manni,

ja das ist soweit mit dem NAS möglich

Zitat

Multi-IP Setting, Port Trunking/ NIC Teaming

allerdings würde ich die Sache über einen Managed Switch lösen!

Christian

Ich nehme mal an, ihr habt in der Schulw Windowskisten....richtig?
Wie macht ihr da die ganze Benutzerverwaltung?

Für mich hört sich das ganze schon die ganze Zeit nach 'ner etwas anderen Art von einer RADIUS Server Implementierung an, oder auch IAS, so wie es M$ nennt. Das erklärt auch das VLAN.

Hab mich da mal umgeschaut.
Anscheinend verwendet ihr dann wohl dieses MNSpro.
Wie ich das verstanden habe, sind da wohl auch Server eingebunden und eine zentrale Benutzerverwaltung (wobei mir unklar ist, ob das auf workgroupebene umgebogen wird, oder auf einem AD fusst).
Wenn in beiden Netzen ein Server vorhanden ist, wäre es am zweckmässigsten, das NAS erst gar nicht ins LAN zu nemen, sondern direkt via iSCSI targets auf den Servern einzuhängen. Freigaben und Berechtigungen sind dann wie gehabt über die gewohnte Benutzerverwaltung festzulegen.

Vorausgesetzt natürlich, es ist für jedes Netz ein zentrales Serversystem vorhanden, oder wiederum ein System, das in beide Netze zeigt.....ich kann da hinsichtlich der infos nur vage spekulieren.

Wenn es sich um die genannte Lösung handelt, dann mal hier schauen.
Vielleicht fällt jemandem noch was auf.

Zitat von "TrueFazer"

Wenn in beiden Netzen ein Server vorhanden ist, wäre es am zweckmässigsten, das NAS erst gar nicht ins LAN zu nemen, sondern direkt via iSCSI targets auf den Servern einzuhängen. Freigaben und Berechtigungen sind dann wie gehabt über die gewohnte Benutzerverwaltung festzulegen.

Wäre es dann nicht noch einfacher, den Servern die entsprechenden Kapazitäten gleich direkt einzubauen..? :->
Die Domäne von iSCSI ist eigentlich eine Verwendung analog einem SAN ( "SAN für Arme"), sprich die günstige Verteilung und Verwaltung von Speicherkpazitäten, die auf großen Storageboxen zur Verfügung gestellt werden, an eine größere Anzahl Client Computer und/oder auch Virtuelle Maschinen.Eine NAS Box anzuschaffen, um sie dann über einen oder auch 2 relativ dünne Gbit Links an zwei Server zu dedizieren, finde ich weder kosten- noch performancetechnisch besonders sinnig.Aber gut..machbar ist vieles..:-)

Zitat von "Manni.EW"

Mein Problem ist, dass beide Netze physikalisch getrennt sein müssen, der Datenzugriff jedoch aus beiden Netzen möglich sein soll.

Zitat von "Manni.EW"

Bei zwei A-Netzen geht dies nicht mehr. Nun soll nicht noch ein weiterer Server eingerichtet werden. Die Kosten sprengen
unseren Finanzrahmen. Ein NAS-Server erfüllt hier den Zweck vollkommen, wenn er aus zwei A-Netzen erreicht werden kann.

Also...es ist so: Es kann keine 2 10er Class-A Netze geben..:-))

Es gibt nur eines und das lautet 10.0.0.0/255.0.0.0 ( 10.0.0.0/8 )...soviel erstmal dazu.

Es kann nun sein, das der Thecus eine Zuweisung von zweimal dem gleichen Netz einfach nicht zuläßt, weil das so jemand bei Thecus festgelegt hat...z.B. könnte es eine simple Beschränkung des Web Frontends sein.

Technisch gesehen ist es möglich, 2 NICs in das gleiche IP Netz zu setzen.Das funktioniert sogar mit nur einem NIC, wenn man mehrere IPs darauf bindet ( IP Aliasing).

Aber: wenn beide Netze nicht miteinander in Verbindung stehen sollen ( also keine Switch Verbindung zwischen den Netzen und Routing auf den NAS NICs ist deaktiviert), werden daraus 2 getrennte Netzwerksegmente.Da das NAS aber als Endpunkt mit beiden Netzen verbunden ist und für ausgehende Pakete eine Routing-Entscheidung treffen muß, folgt daraus, das IPs in beiden Netzen nur einmal vorkommen dürfen.

Ist dies der Fall bzw. kann das gewährleistet werden ?

Allerdings erschließt sich mir der Sinn einer Class-A Netmask in so einem kleinen Netz auch nicht so wirklich...? Mit 2 kleineren, aber dann verschiedenen 10er Netzen wäre es viel unkomplizierter.Andere mögliche Lösung wäre, für das Lehrer-Netz zusätzlich mit einem IP Alias in einem anderen Netz zu arbeiten ( z.B. 192.168.0.0/24), mit welchem man dann auf das NAS zugreift.

Ob es bei QNAP möglich ist ( vom Web Frontend zugelassen wird..), auf beide NICs das 10er Class A zu assignen, kann ich Dir nicht beantworten, da ich keines besitze.Es gibt weiter oben im Thread die Aussage, das es möglich sei, allerdings kam dabei nicht exakt heraus, ob dies 2mal das 10er/8 Netz war.Vielleicht kann das mal jemand mit einem Dual NIC QNAP hier explizit ausprobieren.

z.B.
10.0.0.44/255.0.0.0
10.0.0.55/255.0.0.0

Aber: die Frage ist eben auch, ob man um ein Konstrukt herum ein anderes baut, um daraus eine gute Sache werden zu lassen.

Denn:

Zitat von "RFC1925 - The Twelve Networking Truths"

With sufficient thrust, pigs fly just fine. However, this is not necessarily a good idea. It is hard to be sure where they are going to land, and it could be dangerous sitting under them as they fly overhead.

Grüße,

DocHollywood

Also so ...

Wobei ich mir immer noch die Frage stelle wieso es so umständlich gehandhabt wird? Wenn sich wirklich alle Clients im selben Bereich bewegen würden und Beschränkung nur Anhand des Benutzername+Passwort stattfinden würde sollte die doch ausreichen?
Ich kenne eine ähnliche Konstellation aus einer Technikerschule wo es 2 verschiedene Netzlaufkwerke gibt 1) \\Server\Schueler\...\... 2) \\Server\Lehrer\...\...

Christian

Zitat

Es gibt nur eines und das lautet 10.0.0.0/255.0.0.0 ( 10.0.0.0/8 )...soviel erstmal dazu.

Jo, hatte ich nicht bedacht. :oops:

Ich weiss aber immer noch nicht, warum das Class A Netze sein müssen.
Die beiden Netze unterscheiden wohl im 2ten Oktet, wäre es dann nicht möglich, dass ich dem NAS einfach eine 16er maske verpasse?
Ich hab sowas noch nicht probiert, oder hab ich da wieder was übersehen? :-/

Jedenfalls scheint es diese MNSpro Geschichte 2mal zu geben und ich gehe davon aus, dass es für beide je einen Host geben muss, der 24/7 online ist.
Kosten spielen hier wohl auch eine grosse Rolle und offensichtlich ist nichts ausbaufähiges da, sonst hätte man nicht den thecus als Datengrab.
Daher meine Überlegung , ob es nicht am einfachsten wäre, auf diesen hosts ein iscsi target einzuhängen.
Falls da nur 100Mb-Netze existieren, reicht die Performance mehr als aus. Selbst bei GB.
Das ist ne Schule und nicht die CIA, und das ist auch nur eine Fileserverfunktion, wahrscheinlich ist da auf der Internetleitung mehr traffic, als im LAN

Deine Idee mit dem Alias wird man nicht in Betracht ziehen, solche schulischen Landeslösungen sind sehr restriktiv geplant.
Wenn die zwei physikalisch getrennte Netze sagen, dann meinen die das auch so.
Das sind alles Punkte, die die Bertreiberfirma festlegt und liegen nicht im Ermessen der Schule.

Deshalb würde ich auch gern wissen, wie der Betreiber das sieht und welche Möglichkeiten er seinerseits einräumt

@ Christian

Auf einer Technikerschule hat man einen grösseren Vernunftfaktor

Bei Verwendung von Kiddies trennt man die Netze allzu gern auf, weil von ersteren gerne versucht wird die Lehrerpasswörter zu hacken. :mrgreen:

Zitat von "TrueFazer"

Die beiden Netze unterscheiden wohl im 2ten Oktet, wäre es dann nicht möglich, dass ich dem NAS einfach eine 16er maske verpasse?
Ich hab sowas noch nicht probiert, oder hab ich da wieder was übersehen?

Die beiden Netze unterscheiden sich gar nicht, das ist durch die Maske festgelegt.Es sind beides /8 Netze, die mit 10 anfangen.Wenn Du nun auf dem NAS für ein Netz eine 16er Maske einstellst, führt das dazu, das ein Teil des Netzes vom NAS aus nicht mehr erreicht werden kann.Abgesehen davon löst das aber nicht das Problem, das doppelte IPs nicht vorkommen dürfen.Vielleicht ist es aber ein Mißverständnis und es sind in Wirklichkeit zwei /16 Netze.

Das Konstrukt selber mit den 2 identischen aber segmentierten Netzen funktioniert, das habe ich gerade mal ausprobiert.Bei identischen IPs wird die gefunden, deren Netz Routing Eintrag als erstes in der Liste steht.Oder anders ausgedrückt, sobald ein Interface eine positive Antwort auf den ARP zurückbringt, wird nicht mehr weitergesucht.

Zitat von " TrueFazer"

Deine Idee mit dem Alias wird man nicht in Betracht ziehen, solche schulischen Landeslösungen sind sehr restriktiv geplant.
Wenn die zwei physikalisch getrennte Netze sagen, dann meinen die das auch so.

Der Alias ändert nichts an der Trennung.Es bleiben 2 Netzwerksegmente, die voneinander getrennt sind.Viel besser als diese Krücke wären aber immer noch 2 verschiedene Netze.

Die Antwort von Christian beantwortet aber die Eingangsfrage des OPs denke ich, unabhängig von den weiteren Problemen, die mit dieser Lösung verbunden wären.

Grüße,

DocHollywood

Hmm ich würde den Lehrern einfach entsprechend komplizierte Passwörter per Richtlinie aufs Auge drücken - und schon wäre das ganze wohl kräftig entschärft.
Aber auch anhand unserer Kundschaft - und das sind Lehrer dabei - ist das wohl ein hoffnungsloses Unterfangen. *grins*

Zitat von "DocHollywood"

Die beiden Netze unterscheiden sich gar nicht, das ist durch die Maske festgelegt.Es sind beides /8 Netze, die mit 10 anfangen.Wenn Du nun auf dem NAS für ein Netz eine 16er Maske einstellst, führt das dazu, das ein Teil des Netzes vom NAS aus nicht mehr erreicht werden kann.Abgesehen davon löst das aber nicht das Problem, das doppelte IPs nicht vorkommen dürfen.Vielleicht ist es aber ein Mißverständnis und es sind in Wirklichkeit zwei /16 Netze.

Sorry, falsch formuliert.
Ich meinte natürlich definierte Scopes für die Netze.
Also z.B. 10.10.0.0 für Lehrer und 10.20.0.0 für Schüler.
Wenn ich auf dem NAS eine 16er netzmaske vergebe und jedem adapter eine IP aus dem jeweiligen Scope zuweise, dann erreiche ich doch alle relevanten Teile des jeweiligen Netzes. Ich geh da einfach mal von aus, ich mein, ich hab ein Gebäude mit 2 Netzen, wieviele IP's kann ich da schon brauchen. :-/
Dann ist es hinfällig ob auf dem Netz selbst eine 8er oder 16er Netzmaske definiert ist. Für das NAS sind es 2 getrennte 16er Netze und dementsprechend trägt es auch die routes ein. Oder seh ich das falsch?

Zitat

Das Konstrukt selber mit den 2 identischen aber segmentierten Netzen funktioniert, das habe ich gerade mal ausprobiert.Bei identischen IPs wird die gefunden, deren Netz Routing Eintrag als erstes in der Liste steht.Oder anders ausgedrückt, sobald ein Interface eine positive Antwort auf den ARP zurückbringt, wird nicht mehr weitergesucht.

jo, ist bekannt

Zitat

Der Alias ändert nichts an der Trennung.Es bleiben 2 Netzwerksegmente, die voneinander getrennt sind.Viel besser als diese Krücke wären aber immer noch 2 verschiedene Netze.

Zweifellos. Aber ohne nähere Angaben zu diesem Konstrukt spekulieren wir ohnehin nur in der Gegend rum.
Könnte ja wirklich sein, dass nur typische Class A Adressräume verwendet werden, aber eine 16er Maske drüberliegt und da lacht sich jemand schief, wie wir hier vom hundertsten ins tausendste kommen :mrgreen:

Gruss
Micha