2 gescheiden netwerken maken op 1 PC - Netwerken

vrijdag 27 juli 2007 13:17

Acties:

0 Henk 'm!

Topicstarter

Hallo,

Ik probeer een opstelling te bouwen waarbij 1 PC gebruikt maakt van 2 gescheiden netwerken.
De PC is uitgerust met 2 ethernet adapters

Netwerk 1:
- algemeen netwerk/verbinding met internet
- IP address toegewezen via DHCP

Netwerk 2:
- specifiek netwerk met o.a. een PLC, RFID reader, ethernet-camera,...
- range 172.16.17.0 mask 255.255.255.0
- fixed IP voor de netwerkkaart 172.16.17.1
- fixed IP voor de PLC 172.16.17.2
- ...

Nu is het de bedoeling dat wanneer ik op deze PC naar een toestel in range 172.16.17.0 zoek ik enkel naar Netwerk 2 kan kijken.

Nu is het zo dat ik via ping wel eerst op dit netwerk uitkom, maar dat ik via de configuratie software van de plc ook andere plc te zien krijg binnen deze range. Ik wil ten alle tijde vermijden dat deze PC een andere PLC zou proberen aan te spreken.
Is dit mogelijk binnen Windows XP?
Een echte router tussen deze 2 netwerken gaat te duur uitkomen (industriële router op 24VDC kost 600-800 EUR, huis-tuin-en-keuken router kan niet in deze omgeving).

Heeft er iemand ervaring met deze instellingen?
Ik heb al geexperimenteerd met het windows route commando maar dit geeft niet het gewenste resultaat: een volledige blokkering van het 172.16.17.0 bereik op netwerkkaart 1.

Alvast bedankt voor de hulp.

vrijdag 27 juli 2007 15:13

Acties:

0 Henk 'm!

VisionMaster

Security!

vivace schreef op vrijdag 27 juli 2007 @ 13:17:
Hallo,

Ik probeer een opstelling te bouwen waarbij 1 PC gebruikt maakt van 2 gescheiden netwerken.
De PC is uitgerust met 2 ethernet adapters

Netwerk 1:
- algemeen netwerk/verbinding met internet
- IP address toegewezen via DHCP

Netwerk 2:
- specifiek netwerk met o.a. een PLC, RFID reader, ethernet-camera,...
- range 172.16.17.0 mask 255.255.255.0
- fixed IP voor de netwerkkaart 172.16.17.1
- fixed IP voor de PLC 172.16.17.2
- ...

Nu is het de bedoeling dat wanneer ik op deze PC naar een toestel in range 172.16.17.0 zoek ik enkel naar Netwerk 2 kan kijken.

Nu is het zo dat ik via ping wel eerst op dit netwerk uitkom, maar dat ik via de configuratie software van de plc ook andere plc te zien krijg binnen deze range. Ik wil ten alle tijde vermijden dat deze PC een andere PLC zou proberen aan te spreken.
Is dit mogelijk binnen Windows XP?
Een echte router tussen deze 2 netwerken gaat te duur uitkomen (industriële router op 24VDC kost 600-800 EUR, huis-tuin-en-keuken router kan niet in deze omgeving).

Heeft er iemand ervaring met deze instellingen?
Ik heb al geexperimenteerd met het windows route commando maar dit geeft niet het gewenste resultaat: een volledige blokkering van het 172.16.17.0 bereik op netwerkkaart 1.

Alvast bedankt voor de hulp.
toon volledige bericht

Waarom werkt het niet als je een (anti) route regel toe te voegen aan netwerkkaart 1 om dat subnet van ethernet 2 uit te sluiten? Misschien moet je de routing service aanzetten dat je windows machine het dan wel beter begrijpt. Ik heb hier zelf bijv. weinig last van. Ik heb twee netwerkkaarten in mijn laptop en via alle twee de kaarten heb ik bijv. internet. Ze zitten in verschillende subnetten en komen op verschillende interfaces op de centrale router. Dus volgens mij werkt het allemaal prima in windows en vat ik niet wat het probleem is.

I've visited the Mothership @ Cupertino

maandag 30 juli 2007 13:10

Acties:

0 Henk 'm!

vivace

Topicstarter

Hallo VisionMaster,

Kan je mij de syntax eens geven van zo'n antirouteregel?

via route /? in de command prompt vind ik geen info.

C:\>route /?

Manipulates network routing tables.

ROUTE [-f] [-p] [command [destination]
[MASK netmask] [gateway] [METRIC metric] [IF interface]

-f Clears the routing tables of all gateway entries. If this is
used in conjunction with one of the commands, the tables are
cleared prior to running the command.
-p When used with the ADD command, makes a route persistent across
boots of the system. By default, routes are not preserved
when the system is restarted. Ignored for all other commands,
which always affect the appropriate persistent routes. This
option is not supported in Windows 95.
command One of these:
PRINT Prints a route
ADD Adds a route
DELETE Deletes a route
CHANGE Modifies an existing route
destination Specifies the host.
MASK Specifies that the next parameter is the 'netmask' value.
netmask Specifies a subnet mask value for this route entry.
If not specified, it defaults to 255.255.255.255.
gateway Specifies gateway.
interface the interface number for the specified route.
METRIC specifies the metric, ie. cost for the destination.

All symbolic names used for destination are looked up in the network database
file NETWORKS. The symbolic names for gateway are looked up in the host name
database file HOSTS.

If the command is PRINT or DELETE. Destination or gateway can be a wildcard,
(wildcard is specified as a star '*'), or the gateway argument may be omitted.

If Dest contains a * or ?, it is treated as a shell pattern, and only
matching destination routes are printed. The '*' matches any string,
and '?' matches any one char. Examples: 157.*.1, 157.*, 127.*, *224*.
Diagnostic Notes:
Invalid MASK generates an error, that is when (DEST & MASK) != DEST.
Example> route ADD 157.0.0.0 MASK 155.0.0.0 157.55.80.1 IF 1
The route addition failed: The specified mask parameter is invalid.
(Destination & Mask) != Destination.

Examples:

> route PRINT
> route ADD 157.0.0.0 MASK 255.0.0.0 157.55.80.1 METRIC 3 IF 2
destination^ ^mask ^gateway metric^ ^
Interface^
If IF is not given, it tries to find the best interface for a given
gateway.
> route PRINT
> route PRINT 157* .... Only prints those matching 157*
> route CHANGE 157.0.0.0 MASK 255.0.0.0 157.55.80.5 METRIC 2 IF 2

CHANGE is used to modify gateway and/or metric only.
> route PRINT
> route DELETE 157.0.0.0
> route PRINT

maandag 30 juli 2007 16:52

Acties:

0 Henk 'm!

VisionMaster

Security!

vivace schreef op maandag 30 juli 2007 @ 13:10:
Hallo VisionMaster,

Kan je mij de syntax eens geven van zo'n antirouteregel?

via route /? in de command prompt vind ik geen info.

C:\>route /?

Manipulates network routing tables.

ROUTE [-f] [-p] [command [destination]
[MASK netmask] [gateway] [METRIC metric] [IF interface]

-f Clears the routing tables of all gateway entries. If this is
used in conjunction with one of the commands, the tables are
cleared prior to running the command.
-p When used with the ADD command, makes a route persistent across
boots of the system. By default, routes are not preserved
when the system is restarted. Ignored for all other commands,
which always affect the appropriate persistent routes. This
option is not supported in Windows 95.
command One of these:
PRINT Prints a route
ADD Adds a route
DELETE Deletes a route
CHANGE Modifies an existing route
destination Specifies the host.
MASK Specifies that the next parameter is the 'netmask' value.
netmask Specifies a subnet mask value for this route entry.
If not specified, it defaults to 255.255.255.255.
gateway Specifies gateway.
interface the interface number for the specified route.
METRIC specifies the metric, ie. cost for the destination.

All symbolic names used for destination are looked up in the network database
file NETWORKS. The symbolic names for gateway are looked up in the host name
database file HOSTS.

If the command is PRINT or DELETE. Destination or gateway can be a wildcard,
(wildcard is specified as a star '*'), or the gateway argument may be omitted.

If Dest contains a * or ?, it is treated as a shell pattern, and only
matching destination routes are printed. The '*' matches any string,
and '?' matches any one char. Examples: 157.*.1, 157.*, 127.*, *224*.
Diagnostic Notes:
Invalid MASK generates an error, that is when (DEST & MASK) != DEST.
Example> route ADD 157.0.0.0 MASK 155.0.0.0 157.55.80.1 IF 1
The route addition failed: The specified mask parameter is invalid.
(Destination & Mask) != Destination.

Examples:

> route PRINT
> route ADD 157.0.0.0 MASK 255.0.0.0 157.55.80.1 METRIC 3 IF 2
destination^ ^mask ^gateway metric^ ^
Interface^
If IF is not given, it tries to find the best interface for a given
gateway.
> route PRINT
> route PRINT 157* .... Only prints those matching 157*
> route CHANGE 157.0.0.0 MASK 255.0.0.0 157.55.80.5 METRIC 2 IF 2

CHANGE is used to modify gateway and/or metric only.
> route PRINT
> route DELETE 157.0.0.0
> route PRINT

toon volledige bericht

Met anti-route regel bedoel ik dat je iets specifieks wilt routeren via een andere interface. De route alles niet door die ene interface, maar wel door die andere. Dat kan je wel doen.
Alle negatieve statements kan je ook schrijven met positieve statements, en dat zal je hier moeten proberen.

I've visited the Mothership @ Cupertino

maandag 30 juli 2007 16:59

Acties:

0 Henk 'm!

Paul

vivace schreef op vrijdag 27 juli 2007 @ 13:17:
Het gewenste resultaat: een volledige blokkering van het 172.16.17.0 bereik op netwerkkaart 1.

Euh? Dat is er toch al? De route naar 172.16.17/24 gaat al naar net2, waarom zou je TCP-IP-stack dan op net1 zoeken?

Ik ga er daarbij wel even vanuit dat het IP dat je op netwerk 1 via DHCP krijgt niet in 172.16.17/24 zit. Zit hij daar wel in dan is het niet vreemd dat de meest vage dingen gaan gebeuren.

Wil je het echt helemaal zeker weten dan moet je een firewall installeren waarin je een regel aanmaakt dat op interface 1 met doel 172.16.17/24 alles gedropt of ge-reject wordt.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

maandag 30 juli 2007 19:46

Acties:

0 Henk 'm!

VisionMaster

Security!

Paul Nieuwkamp schreef op maandag 30 juli 2007 @ 16:59:
[...]
Euh? Dat is er toch al? De route naar 172.16.17/24 gaat al naar net2, waarom zou je TCP-IP-stack dan op net1 zoeken?

Ik ga er daarbij wel even vanuit dat het IP dat je op netwerk 1 via DHCP krijgt niet in 172.16.17/24 zit. Zit hij daar wel in dan is het niet vreemd dat de meest vage dingen gaan gebeuren.

Wil je het echt helemaal zeker weten dan moet je een firewall installeren waarin je een regel aanmaakt dat op interface 1 met doel 172.16.17/24 alles gedropt of ge-reject wordt.

Om even een nutteloos korte post toe te voegen... wat jij hier typt, had ik dus ook in mijn hoofd. Ik snap niet waarom het niet kan werken.

I've visited the Mothership @ Cupertino

maandag 30 juli 2007 21:11

Acties:

0 Henk 'm!

jvanhambelgium

Tja,

>maar dat ik via de configuratie software van de plc ook andere plc te zien krijg binnen deze range. >Ik wil ten alle tijde vermijden dat deze PC een andere PLC zou proberen aan te spreken.

Uw applicatie draait op de PC met de 2 NIC's ?
Die zal denkelijk een serieuze discovery doen mogelijks met broadcasten en het gaat mischien automatisch alle NIC's gebruiken die in het systeem zitten. (typisch)
Mischien een discovery op Ethernet-niveau (type cisco cdp) waarbij alle NIC's aangesproken worden ;-) dan maakt uw bovenliggen IP stack niet veel uit.

Indien het een L3 (IP) discovery is moet je eens navragen bij de fabrikant HOE de applicatie de discovery doet...

maandag 30 juli 2007 21:23

Acties:

0 Henk 'm!

The-Source

Zover ik het nog goed weet

moet je om een goede routering te krijgen met je subnet mask van beide kaarten gaan spelen.

Als je netwerk uit je 172.16.17.x netwerkt niet verder gaat dan bv 172.16.17.16 dan zou je subnetmasker 255.255.255.228 kunnen gebruiken (ff uit het hoofd dus het laaste getal zal ik wel fout hebben) Dit laatste getal zorgt ervoor dat hij niet buiten die specifieke range gaat zoeken op die eth controller.
Dit zelfde trukje kun je dus ook in je DHCP server instellen zodat je niet ongewenst broadcast berichten gaat krijgen.

wederom zoek ff op wat het laatste getal precies moet zijn voordat je halve netwerk niet meer bereikbaar is

Taal fouten inbegrepen ;)
Mijn AI Art YouTube kanaal

dinsdag 31 juli 2007 07:46

Acties:

0 Henk 'm!

vivace

Topicstarter

Het probleem met de 2 netwerken doet zich vooral voor wanneer de hoofd-plc in storing is.

VB:
situatie 1: de doel PLC op nw2 draait zonder problemen
-> ethernet adapter 2 zal gebruikt worden omdat dit volgens windows de kortste weg is naar 172.16.17.2

situatie 2: de doel PLC is in storing
-> windows zal zien dat 172.16.17.2 niet meer beschikbaar is op nw2 en zal verder gaan zoeken op nw1.
Als daar toevallig een andere (test-)PLC op staat, die waarschijnlijk ook op 172.16.17.2 staat omdat deze per default van bij de leverancier op dit adres staan, kan het zijn dat de applicatie denkt dat er niets aan de hand is, maar kan de ganse machine die aangestuurd wordt door deze PLC op nw1 wel heel vreemde zaken gaan doen.

situatie 3: de configuratiesoftware zendt een broadcast uit
Ook hier is het mogelijk om ongewenst een verkeerde PLC te gaan herprogrammeren.

Met een goede firewall zal de blokkering van 172.16.17.0 waarschijnlijk wel werken, maar de PC waarop de aansturing draait moet ook een aantal tijds-kritische en rekenintensieve taken op zich nemen (typische processorbelasting is vaak 95-100% gebruik makende van de snelst beschikbare processoren die vrijgegeven zijn voor industrieel gebruik). Als deze firewall niet al te veel processorbelasting vraagt en niet elke dag naar updates zoekt is dit wel het proberen waard.
Enige adviesen voor een zo simpel mogelijke firewall die tegen lage kost commercieel gebruikt mag worden en die de functie heeft om een IP range te blokkeren op 1 enkele netwerkadapter?

dinsdag 31 juli 2007 08:16

Acties:

0 Henk 'm!

Paul

Hieruit maak ik op dat op netwerk1 het adres (en dus niet zozeer je door jou gewenste PLC, gewoon, via TCP/IP dat adres) 172.16.17.2 dus gewoon te bereiken is?

2 netwerken op 1 pc die beiden in dezelfde range zitten maar wat toch beiden andere netwerken zijn geeft dit soort problemen. Post eens een "ipconfig /all", dan hoeven wij hier ook niet meer te gokken hoe het nu zit met adressen en ranges enzo

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

dinsdag 31 juli 2007 09:26

Acties:

0 Henk 'm!

jvanhambelgium

een wijze chinees zei ooit : een tekening zegt meer dan 1000 woorden

Dus effe paint.exe opstarten en leef je effe uit als je wilt.

Is het Siemens S7 spul ? Die server is een OPC server ?

Begin ook inderdaad es met de ipconfig /all te posten...