Hallo,

ich hab folgende Aufgabe. Es gibt zwei LANs. Beide haben eigene Router mit Internetzugang und aktivem DHCP.

Es existiert ein Server, der zwei Ethernetschnittstellen hat. Somit befindet er sich in beiden Netzen.

Auf ihm läuft Server 2012 mit AD.

Wie kann ich jetzt von einem Gerät aus einem Netz auf ein Gerät aus dem anderen Netz zugreifen?

Kann man auf dem Server irgendwie routen? Wenn ja, wie und wo mache ich das?

Ich hab mal eine kleine Skizze gemacht, da wird vielleicht besser ersichtlich was ich meine.

Das Gerät 192.168.2.20 soll auf das Gerät 192.168.20.5 zugreifen können.

Das funktioniert auf jeden Fall.

Du musst hierfür aber statische Routen erstellen, das geht z.B. mit dem 'route add' Befehl in der cmd.

Sollte sogar auch mit einer Netzwerkkarte funktionieren, weil du dieser mehrere IPs zuweisen kannst.

äääh, das ist aber rein vom konzept her schon so falsch wie es eben nur geht.

Routing ist aufgabe von Routern, nicht von Domänen controllern. Das sind sensible schützenswerte server, keine network devices.

Stimme dir zu, ich hoffe es geht um eine 'proof of concept' Aufgabe.

Das Angriffsrisiko ist deutlich höher, gegenüber einem richigen Router, hätte ich wohl auch mal erwähnen sollen

Privat kann man das mMn aber durchaus so angehen, zumindest besser als ein einzelnes Netz.

Ja, da geb ich euch natürlich recht. Ist auch bloß ne Aufgabe, keine Angst ;-)

Würde der Befehl in etwa so aussehen damit 10.5 auf 2.20 zugreifen kann?

route add 192.168.2.20 mask 255.255.255.0 192.168.2.3

Ich denke die Subnetzmasken machen dir einen Strich durch die Rechnung. Auf der einen Seite hast du das Netz 192.168.10.0/16 und auf der anderen Seite 192.168.2.0/24.

was haben die damit zu tun?

Ich denke die Subnetzmasken machen dir einen Strich durch die Rechnung. Auf der einen Seite hast du das Netz 192.168.10.0/16 und auf der anderen Seite 192.168.2.0/24.

Somit hat man also rein theoretisch das Netz 192.168.2.0/24 auf beiden Seiten.

Da aber immer die am genauesten angegebene Range (mehr Bits) genommen wird beim Routing, sollte es eigentlich problemlos funktionieren, solange man keine Rechner im Netz 192.168.2.0/24 auf der Seite des /16er Netzes (rechte Seite in der Zeichnung) betreibt.

In dem Fall, wenn man dies machen würde, würden Pakete über die falsche Netzwerkkarte rausgeschickt werden und somit die Rechner nicht erreichen.

Es gibt btw. technisch einige Möglichkeiten die Aufgabenstellung zu realisieren - in der Praxis würde man es evtl. so machen - ist auch imho die einfachste Lösung:

- Routing am Server aktivieren (geht auch via netsh-Befehl oder Registryeintrag "IpEnableRouter" ohne extra Rollen)

- Auf Router 1 das Netzwerk des Routers 2 als statische Route (via Server-IP im Router 1 Netz) hinzufügen

- Auf Router 2 das Netzwerk des Routers 1 als statische Route (via Server-IP im Router 2 Netz) hinzufügen

Fertig - der Traffic geht dann allerdings über die Router 1 und 2, wenn ICMP Redirects nicht gesendet oder geblockt werden.

Was genau passiert - z.B. ob. ICMP Redirects von den Routern geschickt werden & von den Clients angenommen werden sollte man mal im Netzwerkanalyzer gesehen haben.

Andere Methoden (extra statische Route auf jedem Host, dynamische Routingprotokolle wie RIP, etc.) sind mit mehr Aufwand verbunden.

Grüße

Sascha

Nur noch als Hinweis - bitte bei Multihomed-DCs beachten:

Active Directory communication fails on multihomed domain controllers

Hm.. Dank Parallelbetrieb von IPv4 und IPv6 sind seit spätestens Windows Server 2008 alle DCs eigentlich "Multihomed" - gibts da immer noch DNS Probleme?

Es war im Ursprungspost nur von "Server" die Rede - obwohl man das natürlich so machen kann, würde ich jetzt nicht unbedingt einen DC auf einem Server laufen lassen, welcher für Routing, RAS oder Firewall, etc. zuständig ist..

Braucht man nur eine kleine Kiste als Router bietet sich sich dann eher so was wie z.B. ein Ubiquity EdgeRouter an - die Teile kosten nicht viel mehr als nen Appel und nen Ei.