alternativende
Goto Top

VPN und RAS Aufbau wieso funktioniert dieser Aufbau?

Hallo zusammen,
ich habe ein Kundennetzwerk neu übernommen und wundere mich über den VPN Aufbau und wieso der so funktioniert wie er funktioniert.

Folgender Aufbau.

Zentrale
3 Windows Server
1x W2K = Exchange
1X W2K = Alter DC
1X W2K03 = Neuer DC, Terminalserver, Datenablage und und und

1 Lancom 1721+VPN Router


2 Aussenstellen
Kein Windowsserver nur eine Arbeitsgruppe mit XP Clients
Selbe Lancom Geräte, dienen als DHCP DNS und stellen die VPN Verbindung scheinbar über S0 Schnittstelle und Telefonnummern mit der Zentrale her. Die genaue Funktionsweise des VPNs hat sich mir noch nicht erschlossen, auch nicht wie man über eine Telefonnummer externe IP Adressen abfragen kann. Jedenfalls hängen in der Hauptstelle NTBA´s der Aussenstellen und vor Ort in den Aussenstellen befinden sich auch welche an die die Router angeschlossen sind.
In der Konfiguration der Router sprechen die Geräte die Hauptstelle per Namen an. Nun das VPN funktioniert jedenfalls, aber nun komme ich zum merkwürdigen.

Der AlteDC soll in näherer Zukunft abgeschaltet werden und durch den W2K03 ersetzt werden. Daher wollte ich zunächst mal den DHCP Server umziehen. Mit dem Resultat das ich den Umzug wieder rückgängig machen musste da die Aussenstellen die Verbindung zur Zentrale verloren.

Auf dem AltenDC ist Routing und RAS eingerichtet mit IGMP und einem sogenannten Proxy. Der RAS Server reserviert auch scheinbar für sich und den Exchange Server IP Adressen (Im Internet habe ich gelesen das es jeweils immer 10 Stück sind). Er reserviert aber keine für den neuen W2K03 Server auf den sich die User per RDP am Terminalserver anmelden. Trotzdem funktioniert die Verbindung.

Wie kann das sein? Wird das Routing und RAS nun benötigt oder nicht? Auf dem Router in der Zentrale sind scheinbar keine Routen angelegt und die Clients in den Aussenstellen können jeden Rechner im Netz problemlos erreichen nur nach dem Umzug des DHCP Servers brach alles zusammen. Die eignestellten DHCP Optionen auf dem alten DC kann ich morgen mal nachreichen und auch was bei Routing und RAS eingestellt ist.

Ich kann mir schlicht nicht erklären wieso der Client in der Aussenstelle ausgerechnet den DHCP Server der Zentrale benötigt vond em er gar keine Adresse bekommt und mit dem er sich nicht verbindet.

Bin ein wenig ratlos und für jeden Tipp dankbar.

gruß

Edit:
Hier mal das Bild. Hoffe es wird nun deutlicher. Ich verstehe eben nicht wieso der XPClient anscheinend auf den RAS und/oder auf den DHCP angewiesen sein soll.
Als Optionen gibt der DHCP Server in der Zentrale nur die Adresse des Routers, den DNS Server auf dem neuen und alten DC und WINS/NBT Knotentyp 0x8 weiter.

In den aktiven Leases des DHCP Servers sind Einträge die wie folgt aussehen vorhanden:


IP= 192.168.5.180
Name=DCNeu
Typ= DHCP
Eindeutige Kennung= RAS

Davon sind von jedem der Server ein paar mit fortlaufenden internen Adressen vorhanden.

fabbe8b79e9c2a211444b8a02fb7f3e5

Content-Key: 160089

Url: https://administrator.de/contentid/160089

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: spacyfreak
spacyfreak 03.02.2011 um 19:48:13 Uhr
Goto Top
Und ich wundere mich wie man auf die Idee kommt dass jemand den ganzen Text liest... face-smile
mach doch nen netzwerkplan, dann versteht eventuell auch einer die zusammenhänge..
Mitglied: aqui
aqui 04.02.2011 um 12:29:38 Uhr
Goto Top
2 Dinge lassen erhebliche Zweifel aufkommen ob du überhaupt verstanden hast was dort technisch passiert:

1.) Eine LAN zu LAN Kopplung heutzutage noch über ISDN mit 64kBit/s oder 128kBit/s zu machen, nichts anderes beschreibst du ja oben, ist eigentlich völliger Unsinn. Allein schon durch die geschwätzige Microsoft NetBios Kommunikation der 3 Lokaltionen wäre diese Bandbreite schon völlig ausgereizt ohne das da nur ein Byte Produktivtraffic übertragen wäre.
Zudem wäre ein VPN Router dann so oder so völliger Unsinn, denn bei ISDN würde man immer dedizierte Leitungen bekommen. VPN wäre da bei eigenen Leitungen logischerweise dann überflüssig da sie ja per se sicher wären.
Abgesehen davon ist der Lancom 1721 ein reinrassiger DSL Router :http://www.lancom-systems.de/LANCOM-1721-VPN.1264.0.html wie du da auf NTBA und ISDN kommst widerspricht sich also völlig ! ISDN nutzt er allerhöchstens als Backup oder Failover falls der VPN Tunnel einmal nicht verfügbar ist um die Kommunikation mit den Außenstellen aufrecht zu erhalten. Oder auch möglich....er realisiert eine VoIP Kopplung der Lokationen.

2.) Du schreibst "...ist Routing und RAS eingerichtet mit IGMP" ! IGMP ist ein Multicast Management Protokoll was mit klassischem Routing soviel zu tun hat wie ein Fisch mit einem Fahrrad. http://en.wikipedia.org/wiki/Internet_Group_Management_Protocol
Das ist in diesem Umfeld völlig unsinnig und nutzt kein Mensch, es sei denn er muss IPTV oder Audio über das VPN per Multicast PIM Sparse oder PIM Dense streamen !

Sorry, aber das lässt schon Zweifel aufkommen das du überhaupt das technische Verständnis für dieses Szenario mitbringst.
Nach deinen rudimentären Schilderungen von oben sieht es wie ein simples und banal einfaches Aussenstellen Vernetzungskonzept über DSL mit einem IPsec VPN Tunnel zwischen den Lokationen aus.
Ein absolutes Standardszeanrio in der Standortvernetzung was millionenfach bei Firmen so im Einatz ist ! Nichts besonderes also und kinderleicht zu durchschauen..
Besser also du siehst nochmal genau nach was dort gemacht wird und liest mal etwas über IPsec, VPN Tunneling usw. Auch über IGMP...das kann nicht schaden !
Mitglied: Alternativende
Alternativende 04.02.2011 um 19:43:09 Uhr
Goto Top
Hallo,
danke für deine "nette" Antwort.
Du hast Recht ich weiß nicht genau wie das VPN funktioniert bzw. ich weiß nicht wie die externen Geräte an die sich wechselnde externe Adresse der Zentrale kommen. Das die Verbindung nicht über ISDN oä. läuft ist mir schon klar, aber wie die externe Adresse ermitteln wird nicht.
Das VPN wird scheinbar über Port 443 mit IPSEC Zertifikaten hergestellt, aber es gibt keinerlei DynDNS Dienste. Was mich zudem stuzig machte ist die Tatsache das nach der Herabstufung des DHCP Server auf dem alten DC die VPN Verbindungen nicht mehr herzustellen waren.

Die Bekanntmachung der Adressen muss über Rufnummern funktionieren, aber so etwas habe ich noch nie gesehen.

Sorry aber gerade im IT Bereich kann man nicht alles kennen!
Mitglied: aqui
aqui 06.02.2011, aktualisiert am 18.10.2012 um 18:45:46 Uhr
Goto Top
Auch das ist wieder Unsinn was du schreibst. Port 443 (HTTPS) und IPsec haben rein gar nichts miteinander zu tun (außer das sie IP als Transport benutzen...) und Zertifikate sind Zertifikate auch die haben nichts ursächliches mit IPsec zu tun.
Bevor du also hier fröhlich mit gefährlichem Halbwissen im freien Fall weiterschwadronierst und andere fehlinformierst solltest du wohl besser erstmal etwas Fachliteratur lesen oder Dr. Google befragen, sorry !
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
SSL-VPNs im Enterprise Umfeld
Mit solchen haarstäubenden Beschreibungen und Spekulationen kann dir hier auch niemand weiterhelfen oder Tips geben die dich in der Angelegenheit wirklich weiterbringen.
So wie es aussieht wäre das eine Woche VPN Training Grundlagen was den Rahmen solch eines Forums absolut sprengt !
Eigentlich sollte ein Blick auf die Lancom Konfiguration in 3 Minuten jeglichen Zweifel und wilde Spekulation beenden, denn da sieht man sofort und auf Anhieb wie diese Vernetzung gelöst ist.
Wie bereits angemerkt: Ein banal einfaches Aussenstellen Vernetzungskonzept über DSL mit einem IPsec VPN Tunnel zwischen den Lokationen. Was anderes kann Lancom so oder so nicht...
Ein absolutes Standardszeanrio in der Standortvernetzung was millionenfach bei Firmen so im Einatz ist ! Nichts besonderes also ....
Als ITler sollte man aber wenigstens ansatzweise sowas kennen wenn man damit zu tun hat wie das bei dir ja anscheinend der Fall ist... Oder arbeitest du in der Buchhaltung ??
Mitglied: Alternativende
Alternativende 07.02.2011 um 08:07:10 Uhr
Goto Top
Schön und gut das du mich hier vorführen möchtest und deine Erhabenheit zur Schau stellst, aber den Kern der Frage hast du mir noch nicht beantworten können.
Wie ermitteln die Außenstellen die externe Adresse der Zentrale? Wie macht man so etwas über ISDN oder wie auch immer ohne DynDNS?
Bisher kenne ich eben nur OpenVPN.

Und warum hat sich die VPN Verbindung nicht aufgebaut als ich den bisherigen DHCP Server auf nicht autorativ gesetzt habe?
Normalerweise benötigt man doch kein Routing und RAS oder DHCP für ein stinknormales VPN so wie es da eingerichtet ist.
Mitglied: aqui
aqui 19.02.2011 um 11:27:35 Uhr
Goto Top
Lösung: Bei volldynmiachen IPs hat Lancom ein Feature um den Router auf der anderen seite per ISDN anzurufen und die Nummer mitzuteilen... Wieder was gelernt !

@Alternativende
Bitte dann auch
Wie kann ich einen Beitrag auf "gelöst" oder "erledigt" setzen?
nicht vergessen !
Mitglied: Alternativende
Alternativende 19.02.2011 um 12:20:49 Uhr
Goto Top
Hallo,
ja das ganze funktioniert über den D-Kanal und ist im Reference Handbuch von Lancom nachzulesen.
Danke für die Hilfe und ich denke wir haben beide etwas gelernt dabei.