17. August 200619 j Hallo zusammen. Ich habe ein riesen Problem und bin über jeden Vorschlag dankbar. Mein Netz: Ich möchte Heimarbeitsplätze einrichten. Dazu baue ich eine VPN Verbindung zum Dlink Router auf. Die Verbindung funktioniert einwandfrei. Das Problem ist dass ich nicht an die Rechner im LAN dahinter komme da diese alle nicht den DLINK VPN Router als Gateway eingetragen haben. Leider kann ich den DLINK Router auch nicht als Gateway eintragen da alle Clients den Windows 2000 Server als Gateway haben müssen, da dieser über den CISCO Router (der baut ein VPN zu einer großen deutschen Automarke auf) auf gewisse Webanwendungen und Datentransfere den CISCO Router als Gateway haben muss. Wenn ich am 2000 Server den Default Gateway auf den DLINK ändere komme ich von der weiten Welt dran. Das heisst das Routing auf dem DLINK funktioniert und die Firewalls sind richtig konfiguriert. Ist es vielleicht möglich dem 2000 Server zu sagen dass er ein dynamisches Routing macht? Das heisst für gewisse Adressen den CISCO Router nimmt und für den Rest den DLINK? Oder hat jemand eine andere Idee? Im Endeffect würde es mir reichen wenn ich den UNIX und den 2000 Server von der weiten Welt erreichen könnte. Hoffe auf schöne Antworten... ) Danke Gruß Bilderbuch
21. August 200619 j naja ich glaube das günstigste wäre wenn du dem win2000 Server ein weiteres Netzwerkinterface verpasst (auch Virtuell) und dann anhand von Routing regeln zum entsprechenden Gerät weiterleitest.
22. August 200619 j Die virtuelle Varaiante gefällt mir am besten, da ich räumlich bedingt kein weiteres Kabel legen möchte. Blöde Frage vielleicht aber wie gehe ich da jetzt vor? Kann ja nen Loopback Interface hinzufügen und dann?
22. August 200619 j mm also virtuelle Interfaces unter win2000 kann ich dir nicht beantworten vll. findet sich da was bei ms auf der Website. Unter Linux wärs kein Problem aber bei 2000 mm
22. August 200619 j Microsoft empfiehlt aus Sicherheitssicht, einen DC und den RRAS-Dienst (Router/VPN-Server/RAS) nicht zusammen auf einer Maschine zu betreiben.
24. August 200619 j Auf dem DC läuft ja auch kein RAS Server. Wenn das so wäre hätte ich auch kein Routing Problem da der DC Endpunkt wäre..... So schlimm ist die Zeichnung doch ganr nicht oder?
24. August 200619 j Auf dem DC läuft ja auch kein RAS Server. Stimmt schon, aber der DC ist durch das aktivierte IP-Forwarding ein Router. Und damit sind Teile des RRAS --- Routing and Remote Access Services --- aktiv. Ich wuerde an Deiner Stelle das gesamte Gebilde ueberdenken. Fragen, die sich mir aufwerfen: Warum haben der DC und die Clients oeffentliche IP-Adressen? - Fuer beide sollten Adressen aus einem der privaten Adressbereiche (10.0.0.0/8, 172.16.0.0/12 bzw. 192.168.0.0/16) genutzt werden. - Fuer Server- bzw. Diensteveroeffentlichungen wird klassischerweise eine DMZ aufgebaut, um die Sicherheit des restlichen Netzwerks nicht zu gefaehrden. - Fuer weniger Sicherheitsbewusste, es kann auch mit Portweiterleitungen auf einem Router gearbeitet werden. Warum muss ein Domain Controller routen? - Ein DC sollte nur die Aufgaben eines DC (sowie fuer das ActiveDirectory benoetigte Netzwerkdienste) haben - Der Cisco Router ist bereits mit einer Schnittstelle in einem privaten Netzwerkbereich (die Subnetmasken fehlen in Deiner Zeichnung und damit die Netzgroessen) - Der Cisco Router kann --- mit entsprechenden Zugriffslisten ausgestattet --- so eingeschraenkt werden, dass er z.B. nur den Unix Server erreicht. Auch beim Unix Server die Platzierung und Netzadressierung ueberdenken. Der Cisco Router kann --- je nach Modell --- auch als VPN-Server eingesetzt werden: - Warum wird ein zusaetzlicher (qualitativ um Klassen billiger) D-Link Router eingesetzt, wenn die bestehenden Internetkomponenten von Cisco sind, die mit einem Anruf beim zustaendigen Service (T-Com bzw. andere) konfiguriert werden koennen?
24. August 200619 j Warum haben der DC und die Clients oeffentliche IP-Adressen? Das ist so historisch gewachsen. Die komplette Adressbereich gehört dem Autofabrikanten. Habe das vor zwei Jahre so übernommen... Warum muss ein Domain Controller routen? Tja gute Frage. Ich mags auch nicht aber muss mich leider den Gegebenheiten anpassen. Und da kommt auch das nächste Problem: - Der Cisco Router kann --- mit entsprechenden Zugriffslisten ausgestattet --- so eingeschraenkt werden, dass er z.B. nur den Unix Server erreicht. Auch beim Unix Server die Platzierung und Netzadressierung ueberdenken. Der Cisco Router kann --- je nach Modell --- auch als VPN-Server eingesetzt werden: - Warum wird ein zusaetzlicher (qualitativ um Klassen billiger) D-Link Router eingesetzt, wenn die bestehenden Internetkomponenten von Cisco sind, die mit einem Anruf beim zustaendigen Service (T-Com bzw. andere) konfiguriert werden koennen? Ich habe leider keine Zugriff auf die Cisco Komponenten. Das ist ja das Problem. Unser "Systempartner" lässt das nicht zu. Und schon gar keine Änderungen. Das sind Herrgötter haben aber keine Ahnung. Mir gefällt das Gesamtgebilde auch ganz und gar nicht. Leider sind mir in dem Fall die Hände gebunden und ich muss zusehen dass ich das beste draus mache. Eine DMZ wäre schon traumhaft aber ich darf nunmal nicht.
24. August 200619 j Du brauchst die genaue (Sub-)Netzadresse und Subnetzmaske des Zielnetzes (bzw. die einzelnen Adressen der Systeme), die ueber den Cisco per VPN erreicht werden sollen. - RRAS-Dienst auf dem Windows 2000 Server aktivieren (sollte bereits mit dem aktivierten IP-Forwarding der Fall sein) - RRAS (Startmenue -> Verwaltung -> Routing and Remote Access) konfigurieren: -- Eintraege unter Server -> IP-Routing -> Statische Routen hinzufuegen --- entweder das gesamte Zielnetz + Subnetzmaske mit der Gatewayadresse Cisco oder --- einzelne Systeme mit der Subnetzmaske 255.255.255.255 und der Gatewayadresse Cisco - Standardgateway auf dem Windows 2000 Server aendern: Dort die Adresse des DLink eintragen - RRAS-Dienst (bzw. den gesamten Server) neustarten Das ist wie gesagt keine MS-Empfehlung, RRAS+DC auf einer Maschine zu betreiben.
24. August 200619 j Das hört sich richtig gut an. Dann werde ich morgen mal die Adressbereiche eintragen. Danke. Ich weiss DC und R/RAS ist nicht die feine englische...
Archiv
Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.