Administrator Startseite

Apple

iOS, iTunes, Mac OS X

Entwicklung

Assembler, BASIC, Batch & Shell, Bibliotheken & Toolkits, CSS, C und C++, Datenbanken, HTML, IDE & Editoren, Installation, Java, JavaScript, KiXtart, Lizenzierung, Pascal & Delphi, Perl, PHP, Python, VB for Applications, Visual Studio@, Webentwicklung, XML

Hardware

Benchmarks, Cluster@, CPU, RAM, Mainboards, Drucker und Scanner, Festplatten, Raid, Grafikkarten & Monitore, LAN, WAN, Wireless@, Multimedia & Zubehör, Notebook & Zubehör, Router & Routing@, SAN, NAS, DAS, Server-Hardware, Sonstige Peripheriegeräte, Speicherkarten, Switche und Hubs

Internet

Blogs, CMS, Domain Registrierung, E-Books, E-Business, E-Mail, Flatrates, Hosting & Housing, Informationsdienste, Instant Messaging, Onlinedienste, SEO, Server, Soziale Netzwerke, Utilities, Webbrowser

Linux

Apache Server, Debian, Desktop, Netzwerk, OpenOffice, LibreOffice, RedHat, CentOS, Fedora, Samba, Suse, Tools & Utilities, Ubuntu, Userverwaltung

Microsoft

Exchange Server, Hyper-V@, Installationsprobleme, Netzwerk, Office, Outlook & Mail, Systemdateien, Tools & Utilities, Userverwaltung, Visual Studio@, Windows 7, Windows 8, Windows Phone, Windows Server, Windows Vista, Windows XP

Multimedia

Audio, Digitiales Fernsehen, Grafik, Icons, Schriftarten, Video

Netzwerke

Cluster@, DNS, DSL, VDSL, Groupware, Grundlagen, ISDN & Analoganschlüsse, LAN, WAN, Wireless@, Monitoring, Netzwerkmanagement, Netzwerkprotokolle, Router & Routing@, TK-Netze & Geräte, UMTS, EDGE & GPRS, Voice over IP

Off Topic

Humor (lol), Administrator.de Feedback, Papierkorb

Sicherheit

Backup, Erkennung und -Abwehr, Firewall, Grundlagen, Informationsdienste, Rechtliche Fragen, Sicherheits-Tools, Tipps & Tricks, Verschlüsselung & Zertifikate, Viren und Trojaner

Sonstige Systeme

Google Android, MikroTik RouterOS, Novell Netware, Sun Solaris

Virtualisierung

Hyper-V@, KVM, Vmware, Xenserver

Weiterbildung

Aus- und Weiterbildung, Ausland, Schulung & Training, Studentenjobs & Praktikum

Zusammenarbeit

Biete Zusammenarbeit, Suche Projektpartner
Weniger Werbung?
Cover IT-Administrator
In der Juni-Ausgabe des IT-Administrator Magazins dreht sich alles um den Schwerpunkt 'Monitoring & Dokumentation'. So zeigen Ihnen die Redaktion unter anderem, wie die Netzwerküberwachung in heterogenen Umgebungen mit Zenoss funktioniert und auf welchem Weg Sie Leistungsdaten von Windows-Clients mit der PowerShell abfragen. Daneben lesen Sie, wie Sie die I/O-Last auf Ihren Servern im Blick behalten und Ihr Red Hat Enterprise Linux auf Trab bringen. ... mehr
Mitglied: aqui
07.04.2007, aktualisiert 12.07.2014, 270789 Aufrufe, 90 Kommentare, 11

Routing mit 2 Netzwerkkarten unter Windows u. Linux

IP Netzwerkkopplung (Routing) über einen Server oder PC mit 2 oder mehr LAN oder WLAN Netzwerkkarten oder mit einem dedizierten Router mit mehreren LAN Ports zum Verbinden von 2 oder mehr IP Netzwerk Segmenten.



Dieses Tutorial ist eine kurze Anleitung zur Kopplung von 2 Netzsegmenten (Ethernet oder WLAN) über einen Rechner mit 2 Netzwerkkarten. Dieser Rechner kann ein Server oder ein normaler PC sein. Das Netzwerkhandling und die IP Adressierung ist immer dasselbe. Auch ob das verwendete OS Windows oder Linux ist, ist unerheblich außer das bei Windows ein paar Punkte mehr im Setup zu beachten sind !

Dieses HowTo beschreibt primär eine Kopplung von 2 oder mehr IP Netzen nicht nur auf Basis einer Kupfervernetzung (Ethernetkabel) über einen Rechner mit 2 Netzwerkkarten sondern auch über ein WLAN.
In einem WLAN statt LAN Szenario sind die IP Adresseinstellungen identisch so das dies HowTo auch uneingeschränkt dafür verwendet werden kann ! Lediglich die Settings für WLAN SSID und Verschlüsselung kommen hinzu ! Ein paar Punkte am Schluss dieses HowTos beleuchten mögliche Designs in einem WLAN Umfeld.
Es besteht ferner keine Limitierung auf 2 Netzwerkkarten auch ein Szenario mit 3 oder mehr Karten ist denkbar. Die Konfigurationsschritte sind aber immer die gleichen wie im Folgenden beschrieben.
Der zweite Teil dieses Tutorial beschäftigt sich dann mit der Kopplung über einen dedizierten Router die aus Performancesicht immer der Kopplung über einen Server vorzuziehen ist. Der Server soll "serven" der Router "routen"....

Bei mehr als 3 Netzwerkkkarten sollte man sich immer Gedanken über einen Layer 3 fähigen LAN Switch machen oder immer einen externen-Router verwenden, da dann mit einem Server oder PC aus Performancegründen kein performantes Routing mehr zu empfehlen ist !

Es sei aber zusätzlich auf das sehr gute Tutorial von „Atti“ hier verwiesen, der eine WLAN Kopplung 2er Netze schon sehr detailiert beschrieben hat unter diesem_URL

OK, wie sieht nun so ein solches, klassisches Szenario aus was hier im Forum sehr oft angefragt wird:


Klicken Sie auf das Bild, um es zu vergrößern - 85db6052c0e5d993b9a3ea204f7db80c-2kartenht.jpg



Grundlegende Designüberlegungen:

Sieht man sich so ein Netzwerk Design einmal etwas genauer an, ist es vereinfacht nichts anderes als ein lokal geroutetes Netz:

(Internet)----(DSL Router)----IP Netz----(Server/PC_als_Router)----IP Netz----(Client)

Der Server/PC der beide IP Netze miteinander verbindet ist also schlicht gesehen nichts anderes als ein weiterer Router bzw. muss IP Routingfunktionen zur Verfügung stellen. Generell ist das immer möglich, allerdings sind diese Funktionen im Normalbetrieb bei Windows und Linux in der Grundkonfiguration immer abgeschaltet und müssen erst aktiviert werden damit so ein Netz fehlerfrei funktioniert !

Es gibt also ein paar Vorbedingungen um so ein Szenario erfolgreich zum Laufen zu bekommen, die leider auch abhängig sind von den Möglichkeiten des verwendeten DSL Routers !
In der Regel ist das der Umgang mit zusätzlichen statischen Routen auf dem verwendeten Internet Router. Das können leider nicht alle Consumer DSL Router !
Bei vielen Billigsystemen wird auf dieses Feature aus Preisgründen einfach verzichtet. Es macht also durchaus Sinn sich VOR dem Kauf darüber zu informieren ob das anvisierte Routermodell das supportet oder nicht, will man so ein Netzwerk wie das obige realisieren !!!
Als Daumenregel gilt: Router die statische Routen nicht unterstützen im Setup sind meist auch sonst schlecht oder mangelhaft in der Ausstattung mit Features also besser: Finger weg davon !!
Leider kann man sich nicht immer gegen Provider "Zwangsrouter" wehren die oft nur eine simple Minimalausstattung an Bord haben. Leider gilt das auch oft für die Sicherheit wie die Router Skandale belegen. Es ist also immer hilfreich auch zur eigenen Sicherheit über einen Tausch solcher Router nachzudenken. Router mit freier Firmware wie OpenWRT oder DD-WRT sind hier erste Wahl.
Wie man aus diesem Dilemma herauskommt wenn man schon so ein simples Routersystem besitzt, der keine zusätzlichen statischen Routen supportet, sehen wir später in diesem Tutorial...


Hier noch einmal die wichtigsten Punkte für die Installation:

1.) Beide IP Segmente (Netzwerkkarte-1 und Netzwerkkarte-2) müssen unbedingt in unterschiedlichen IP Netzen sein !!
Der RFC-1918 gibt allen Netzwerk Admins 3 komplette IP Adressbereiche aus denen man sich bedienen kann:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Man muss also nicht immer die banalen allerwelts 192.168er Adressen verwenden was auch sehr kritisch sein kann beim Einsatz von VPN ! Man schützt im Gegenteil noch zusätzlich sein Netzwerk mit entsoprechend individuellen IPs vor klassischen Angriffen auf diese Allerwelts IPs.
Kombinationsbeispiele: (Hier mit der Angabe der IP Netze !)

Also z.B. NIC1 = 192.168.1.0, Maske: 255.255.255.0, NIC2 = 172.16.1.0, Maske: 255.255.255.0
oder
NIC1 = 192.168.1.0, Maske: 255.255.255.0, NIC2 = 192.168.2.0, Maske: 255.255.255.0
oder
NIC1 = 10.0.1.0, Maske: 255.255.255.0, NIC2 = 10.0.2.0, Maske: 255.255.255.0
oder...oder...

(Die Beispiel oben beziehen sich auf die Kombination der IP Netzwerke, deshalb die Angabe einer "0" im Hostanteil der Adresse. Alle Hostbits der IP Adresse auf "0" bzeichnet immer das IP Netz !
Im reellen Betrieb müssen hier natürlich Host Adressen vergeben werden für die Endgeräte !
Beispiel: NIC1 = 192.168.1.254, Maske: 255.255.255.0, NIC2 = 172.16.1.254, Maske: 255.255.255.0 (analog für die anderen Beispielnetze..)

2.) Die NIC Adressen des Servers/PCs der auch ein Routing ausführt sollten statisch sein, denn der Server/PC ist ja ebenfalls ein Router und dynamische Adressen die per DHCP (DHCP Server im DSL Router) an ihn verteilt würden, könnten die statischen Routen aushebeln und zum Nichtfunktionieren des Netzes führen !!
Wichtig: Die statischen IP Adressen sollten immer außerhalb der DHCP Range des DSL Routers liegen, um IP Adresskonflikte und Doppelbelegungen zu vermeiden (Fehlfunktion) !! Also immer vorher im Websetup des Routers unbedingt nachsehen wie dieser DHCP Adressbereich eingeteilt ist und ihn bei Bedarf verkleinern sollte er den gesamten IP Hostbereich im Netz umfassen !!! Generell sollte man das so oder so IMMER anpassen um einen gewissen Pool von festen IP Adressen im Netzwerk zur Verfügung zu haben !
Diese Regel gilt sowohl für LAN als auch WLAN Interfaces, sollte einer der Links ein WLAN sein.

3.) Der Router muss den Eintrag zusätzlicher statischer Routen supporten. Kann er das nicht, wie einige Billigstprodukte, muss man mit einem „NAT Trick“ arbeiten. Dazu später unten mehr...

4.) Alle Adressen im „Client Segment“ müssen statisch vergeben werden, da hier ja kein DHCP Server vorhanden ist. (Ausnahme: man lässt einen separaten DHCP Server dafür auf dem Server/PC laufen.)

5.) Statische Routen auf dem Server/PC selber sind NICHT erforderlich !!! (Der Server/PC Rechner kennt ja alle IP Netze, da sie an ihm ja selbst direkt angeschlossen sind !
Ein Fakt zu dem im Forum hier vielfach Falschinformationen gepostet werden !!!


VLAN Routing bzw. VLAN Switches mit Tagged Interfaces

Das Routing von VLANs auf einem VLAN Switch mit nur einer 802.1q Tagging fähigen Netzwerkkarte im PC/Server beschreibt ein gesondertes Tutorial in Anlehnung an diesen Inhalt:

http://www.administrator.de/index.php?content=58974
bzw.
http://www.administrator.de/index.php?content=110259
mit einem externen Router.


Was ist nun zu konfigurieren ???

Ein Beispiel Netzwerk mit 2 LANs:
(Alle Adressen sind Beispiele und müssen bei Bedarf an vorhandene IP Netzaddressierungen angepasst werden) Bei einer Installation "auf der grünen Wiese" kann man sie aber so problemlos übernehmen !
IP Netzwerk an Netzwerkkarte-1 (Router-Segment) = 192.168.1.0, Maske: 255.255.255.0 (Hostadresse = .0 bezeichnet immer das Netzwerk selber !)
IP Host Adresse DSL Router: 192.168.1.1 (Wird als Standardgateway eingetragen)
Dann ist die IP Host Adresse der Server NIC1 z.B. die: 192.168.1.254

IP Netzwerk an Netzwerkkarte-2 (PC-Segment) = 172.16.1.0, Maske: 255.255.255.0
Dann ist die IP Host Adresse der Server NIC2 z.B.: 172.16.1.254 (Maske 255.255.255.0)
Gateway und DNS Eintrag bleibt hier leer !

Ohne statische IP Adressvergabe kann natürlich im PC Segment auch DHCP zum Einsatz kommen. Setzt man einen 2k oder 2k3 Serveroder Linux ein haben diese es gleich mit an Bord.
Ist der Verbindungs PC mit den 2 NICs ein XP Rechner der von sich aus ja keinen DHCP Server an Bord hat, kann man z.B. einen kleinen DHCP Server wie diesen:

http://ruttkamp.gmxhome.de/dhcpsrv/dhcpsrv.htm

zum automatischen Bedienen des PC Segmentes mit IP Adressen benutzen !

Wichtig: Das Routing aktivieren bei Windows und Linux Systemen !!!:
Da das Routing per Default deaktiviert ist, muss man es bei Windows Systemen (und auch bei Linux) explizit einschalten !
Wie man das macht beschreibt Microsoft sehr detailiert in seiner Knowledgebase für Windows XP und Windows 2000 in folgendem Artikel:

Windows XP / Vista
http://support.microsoft.com/?scid=kb%3Bde%3B315236&x=7&y=14

Windows 2000:
http://support.microsoft.com/kb/230082/DE/

Windows Server 2003:
Bei Windows 2003/2008 Systemen ist lediglich der RAS/Routing Dienst mit der Option "LAN-Routing" zu aktivieren !

Windows Server SBS 2008 und höher:
Achtung: Automatische Konfig ist nicht supportet mit 2 Netzwerkkarten im NAT (ICS) Modus ! Es ist die Premium Version erforderlich !
Nur eine manuelle Konfig ohne NAT funktioniert !
Siehe: http://blogs.technet.com/sbs/archive/2008/09/16/sbs-2008-supported-netw ...
Dieser Thread hier bestätigt das technisch:
http://www.administrator.de/index.php?content=109181
Ein netshell Kommando erledigt das ebenso: netsh interface ipv4 set interface "(Name)" forwarding=enabled

Ein Serverbetriebssystem ist bei Windows NICHT zwingend erforderlich. Natürlich funktioniert dieses Szenario mit allen Windows OS' von Win98, XP, Vista, 7, 8 usw. bis Server 2012.
Wichtig ist das der Rechner nach dem Setzen der Registryparameter rebootet werden muss !!!
Nochmals: Ohne diese Routing Aktivierung ist eine geroutete IP Verbindung über diesen Server/PC nicht möglich !!!
Für eine Address Translation NAT bzw. ICS Konfiguration ist ein Routing Aktivierung NICHT erforderlich, da hier kein natives Routing gemacht wird sondern lediglich die IP Adressen des Client Segments auf die IP Adresse des Router Segments übersetzt wird. Man versteckt in so einer Konfiguration als gewissermaßen das Client Segment.
Details zur ICS (NAT) Konfiguration weiter UNTEN um Tutorial !

Linux ToDos:
Bei Linux als OS auf dem Server ist das Vorgehen analog. In der System Config Datei der meisten Linux Distributionen gibt es einen Parameter der ip_forwarding heisst. Dieser Parameter muss in der syscfg Config Datei auf YES gesetzt werden um das Routing zu aktivieren. Daraufhin muss man den inet Daemon neu starten oder den Rechner rebooten.
Alternativ kann die Einstelung ob der Kernel routet oder nicht auch von Hand vorgenommen werden, dazu existiert die Datei /proc/sys/net/ipv4/ip_forward. Genau genommen handelt es sich hier nicht um eine physikalische Datei, sondern um eine Schnittstelle zum Kernel. Der Inhalt der Datei ist entweder eine 0 (Routing ausgeschaltet) oder eine 1 (Routing eingeschaltet). Mit dem Befehl
echo 1 > /proc/sys/net/ipv4/ip_forward
wird das Routing aktiviert.
Besser und einfacher ist aber immer der Weg über die Systemdatei mit dem Konfigurator wie YAST oder den Systemsettings.

Analog gilt das für Unix Derivate wie Apple Mac OS-X das dafür aber einen entsprechenden Button in den Systemeinstellungen unter Netzwerk hat.
Reine Linux Networking und Firewall Distros wie z.B. pfSense oder FLI4L haben diesen Parameter immer schon per Default aktiviert !

Nun gibt man den Clients im Client Segment statische IP Adressen. (Entfällt natürlich bei DHCP Betrieb !) Am Beispiel eines Clients sind das folgende IP Adress Settings folgend dem obigen IP Beispiel:
(Dies entfällt natürlich sollte der routende PC/Server selber eine DHCP Funktion aktiv haben !)


Client PC Beispiel
IP Adresse: 172.16.1.1, Maske: 255.255.255.0, Gateway: 172.16.1.254 (Der Server/PC ist ja Router !)
DNS Server: 192.168.1.1
(Diese DNS IP Adresse ist unbedingt statisch einzugeben sonst funktioniert keine Namensauflösung im Client Segment !
Der DSL Router ist meist DNS Proxy so das er hier eingetragen wird ! (Ist er es nicht, muss hier die DNS IP Adresse des Providers konfiguriert werden die man ergoogeln kann !!)

Ist der Server selber DNS Server bzw. Proxy DNS dann wird am Client als DNS Adresse natürlich die Serveradresse des Client Segments eingetragen (hier im Beispiel dann die 172.16.1.254 !)
Dazu MUSS man aber sicherstellen das am Server der DNS Dienst aktiviert ist und eine DNS Weiterleitung auf den Router bzw. die Provider DNS Adresse eingetragen ist !
Dazu geht man bei Windows am Server in die DNS-Verwaltung, dann:
Rechtsklick auf den DNS-Server und Eigenschaften.
dort unter "Weiterleitungen"
unten eintragen: <Router_IP>, <Provider_DNS_IP> und jeweils auf "hinzufügen"
.
Bei Linux ist das /etc/resolv.conf.


Wichtige Einstellungen am Internet Router:

Der Internet Router kann das IP Segment (Clients, hier 172.16.1.0 /24) hinter dem Server / PC nicht kennen (woher auch..?)
Man muss ihm also nun beibringen wie er Packete ins Client Segment schicken kann !
Der Koppelrouter der ihm seine Packete dahin weiterleitet ist ja der Server oder PC selber mit den IP Segmenten an NIC1 und NIC2.
Folglich also, muss man dem Internet Router die Server / PC IP Adresse im gleichen IP Segment des Internet Routers als Ziel angeben für IP Packete in das 2te Client Netz !!!

  • Das geschieht auf dem Internet Router mit einer zusätzlichen statischen Route die unbedingt über das Websetup oder CLI Setup des Routers eingetragen werden muss !

Dieser Punkt ist unbedingt zu beachten und wird leider sehr oft vergessen !!! Ohne diese statische Router funktioniert dieses Szenario NICHT !!! Oder...
Ausschliesslich nur dann mit NAT (Adress Translation oder ICS/Masquerading) auf dem routenden PC/Server mit den 2 NICs.
(Siehe dazu weiter unten den Punkt: "Was machen nun Anwender deren DSL Billigstrouter keine zusätzlichen statischen Routen supporten ?..." das diese Variante der Einstellung genau betrachtet !!)

Im Folgenden ist einmal sehr detailiert der (geroutete) Weg eines IP Paketes beschrieben das aus dem Clientnetz via Router ins Internet geht. Es lohnt sich diesen Abschnitt zu lesen für das Verständnis des Routings in so einem Netz (wirklich !):


Der Weg eines LAN Paketes durch dieses Netz vom Router zum Client ?:
Damit man einmal sieht wie das alles zusammen spielt, ist hier eine kleine Ablaufbeschreibung der Reise eines solchen IP Paketes am Beispiel eines Pings vom Client mit der IP 172.16.1.1 zum Internet Router mit der Adresse 192.168.1.1 angefügt: (Die Variante inklusive NAT findet sich hier !)

1.) Client ist auf dem Netz 172.16.1.0 mit der Hostadresse .1 und erhält vom Ping Programm den Auftrag ein ICMP echo request Packet (Ping) an den Router 192.168.1.1 zu schicken.
2.) TCP/IP Stack des Client merkt das diese Zieladresse nicht in seinem IP Segment ist (anderes Netz !), denn er kennt ja seine eigene IP Adresse und damit sein eigenes Netz und befragt nun den PC IP Stack ob er ein Default Gateway Eintrag hat, wo er das IP Packet hinschicken kann, denn das Gateway wird ja schon wissen wie es weitergeht…
3.) Hier findet sich die 172.16.1.254 und das ist der als Router arbeitende Server/PC, also ab mit dem Packet dahin...
4.) Der Server (Router) empfängt nun das Packet, sieht auf die Zieladresse 192.168.1.1 und sieht daraufhin in seiner eigenen Routing Tabelle nach.....
5.) Gut !, Das 192.168.1.0er Netz ist an mir direkt angeschlossen also raus damit auf der NIC1 an diesem Segment...
6.) Nun landet das Packet beim Router der ja auch das Ziel ist. Der sieht nach was er machen soll...OK, ich soll ein echo reply an den Client 172.16.1.1 zurückschicken. Also, los gehts..
7.) Router sieht in der Routing Tabelle nach....

Es ist eine statische Route aufs 172.16.1.0er Netz im Router vorhanden => Weiter bei 9.)
Es ist KEINE statische Route aufs 172.16.1.0er Netz im Router vorhanden => Weiter bei 8.)

8.) OK, Router nimmt die default Route ins Internet da er 172.16.1.0 anderweitig ja nicht kennt und es an ihm selber ja nicht angeschlossen ist... Ab damit zum Internet Provider !
Hier verliert sich nun die Spur vom Packet 192.168.1.1, da dies eine RFC 1918 IP Adresse ist die nicht geroutet wird im Internet und der Providerrouter das Packet kommentarlos brutal und unbarmherzig in den Datenmülleimer verfrachtet. Im Client erscheint ein "Keine Antwort von 192.168.1.1" und der Anwender ist frustriert… face-sad

9.) Glück gehabt..., in der Routing Tabelle steht eine statische Route die dem Router sagt alles für 172.16.1.0 /24 schicke bitte an die 192.168.1.254 (Server/PC Router) Ok, und ab mit dem echo reply Packet an diese Adresse...
10.) Der Server / Router empfängt nun das Packet sieht auf die Zieladresse 172.16.1.1 und sieht daraufhin wieder in seiner Routing Tabelle nach.....
11.) Das 172.16.1.0er Netz ist an mir direkt angeschlossen also raus damit auf der NIC2 an diesem Segment zum Client...
12.) Perfekt, das Packet mit der echo Antwort vom Router ist da und erzeugt ein "Antwort von 192.168.1.1 !!!" am Client. Der Anwender ist happy und sagt
Bingo! es rennt... .

Soviel zur Routing Funktion....

Wichtige Punkte die zusätzlich zu beachten sind !

Was machen nun Anwender deren DSL Billigstrouter keine zusätzlichen statischen Routen supporten ???...

Erstmal ist das schlecht aber es gibt einen Workaround mit der Funktion Internetverbindungsfreigabe (ICS) oder NAT Basisfirewall (Win Server) unter Windows. (Unter Linux ist das NAT/PAT oder "Masquerading" mit ip_tables)
Auf der NIC-1, also dem Segment zum DSL Router, muss diese Funktion aktiviert sein ! Der Server/PC macht dann ein NAT (Network Adress Translation) zum IP Segment, NIC-1 setzt also das gesamte Netz der NIC-2 auf seine IP Adresse an der NIC1 um, ähnlich dem was DSL Router mit dem lokalen Netz zum Internet machen.
Bei Windows klickt man dazu auf die erweiterten Eigenschaften der NIC im Routersegment und setzt den Haken bei Gemeinsame Nutzung der Internetverbindung.
Dann wählt man danach den Heimnetz Adapter aus, was dann logischerweise die NIC des Clientsegments ist !
Damit ist ICS (Windows NAT) konfiguriert.


Achtung bei der Verwendung von Windows ICS/NAT !:

Windows vergibt bei Aktivierung der ICS Funktion automatisch IMMER die 192.168.0.1 bzw. Windows 7 die 192.168.137.1 als IP Adresse auf dem sog. Heimnetz (Clientsegment) wie Windows es nennt !
Dieses Verhalten ist nur bei Windows XP so !! (Linux hat das nicht !)
Diese Adresse und auch das Netz selber darf auch NICHT nachtraeglich geändert werden, denn das führt sofort zum Nichtfunktionieren von Microsofts ICS (NAT) Funktion auf dem PC/Server !!
Man muss also zwangsläufig mit dieser Adressierung im Clientsegment leben und sein IPs ggf. entsprechend anpassen.
Der ICS Rechner arbeitet bei aktiviertem ICS automatisch als DHCP Server und vergibt dann dynamisch IP Adressen in diesem, von Microsoft festgelegten, ICS Client Netz 192.168.0.0 /24.
Eine statische IP Adressvergabe ist nicht mehr ratsam weil der ICS DHCP Server nicht konfigurierbar ist und es somit zu gefährlichen IP Adressdoppelungen kommen kann !
Besser also hier KEINE statischen Adressen verwenden, oder wenn dann, immer im unteren IP Adressbereich (192.168.0.10, .12, .13 usw.), da der ICS DHCP bei .252 rückwärts arbeitet.
Niemals die 192.168.0.1 statisch vergeben, denn das ist der PC selber und die IP ist durch MS festgelegt !!
Eine saubere ICS Konfuration sähe dann so aus:

Klicken Sie auf das Bild, um es zu vergrößern - f7023588f0b993821a65a5e45f111918-ics.jpg


Wie man ICS/Internet Sharing bei Windows aktiviert ist HIER_in_diesem_Tutorial noch einmal ganz genau beschrieben !
Der Router sieht jetzt durch ICS NAT keine Packete mehr aus dem Segment der NIC2 (die werden ja umgesetzt auf die IP Adresse von NIC1) und benötigt folglich auch keine statische Route mehr, da der Router ja keine Adresse aus dem NIC2 Segment mehr sieht und Traffic dahin wie lokaler Traffic behandelt wird, da die NAT Adresse ja eine lokale ist.

ICS/NAT beim Windows 2003, 2008 oder höher Server
Beim Win 2k3 Server ist die ICS Funktion in der NAT Baisfirewall versteckt im Setup unter Routing und RAS !!!
Sowie diese NAT Firewall aktiv ist auf einem der Adapter wird dort wie oben bei der XP oder 7 Version ein NAT gemacht !!! Letztendlich macht man so ein doppeltes NAT, einmal auf dem Server und ein 2tes Mal auf dem Router ins Internet, was eigentlich überflüssig und auch fehlerbehaftet sein kann.
D.h. bei NAT wird das gesamte Client IP Netzwerk (Quell IP Adresse) auf die IP der Server NIC umgesetzt und so das Client Netz gewissermaßen versteckt hinter der IP der Server NIC, denn nur diese IP ist nach außen sichtbar und nicht wie beim Routing sonst üblich die originale Quell IP Adresse !
Genau der Vorgang den auch ein DSL Router ins Internet macht, der setzt auch das lokale IP Netzwerk komplett um auf seine öffentliche IP so das das lokale netzwerk nicht mehr auftaucht. Das ist was mit NAT beschrieben wird !!
Logischerweise ist die NAT Firewall so nicht zu überwinden ohne ein Port Forwarding.
Folglich können in einem NAT Szenario keine Verbindungen von außen oder dem Router Segment zum Client Segment gemacht werden.
Das ist nur möglich in einem normal gerouteten Netzwerk OHNE ICS/NAT oder aktiver NAT Basisfirewall im 2k3 Server !

Nochmals zur Klarstellung:
ICS/NAT nur dann verwenden wenn man es wirklich muss !!
Besser ist immer ein natives und transparentes Routing ohne Aktivierung der ICS/NAT Funktion unter MS ! Es sollte also wenn möglich und gewollt immer diese Variante konfiguriert werden.
ICS ist lediglich ein "Notnagel" für Benutzer die einen Billigstrouter haben oder verwenden, der KEINE Funktion bzw. Option zur Konfiguration von statischen IP Routen in seinem Setup hat. Oder wer das 2te Netz mit einer NAT Firewall willentlich abtrennen möchte und damit eine Routing "Einbahnstrasse" in Kauf nimmt.
Leider ist es auch häufig so das Billigrouter kein NAT für IP Adressen des Clientsegments machen obwohl eine statische Route dahin besteht. Die Folge ist das Client Segment IP Adressen am Router nicht geNATtet werden und Clients aus diesem Netz somit nicht ins Internet gelangen.
In dem Fall ist man dann chancenlos und muss zwingend eine ICS/NAT/Masquerading Lösung verwenden da der Router eine saubere Routing Konfig dann so nicht zulässt. Sinn macht es dann häufig diesen Internet Router auszutauschen um nicht unnötige Kröten schlucken zu müssen.
Man sollte also immer VOR dem Kauf alle Features seines Routers klären bzw. erfragen !!


Nachteile einer ICS (NAT) Lösung:
Einige der gravierenden Nachteile, wie die Verwendung von statischen IPs, durch die Unkontrollierbarkeit des ICS DHCP Prozesses sind oben schon genannt worden. Es gibt aber weitere Nachteile:
Hat man im Segment der NIC1 auch PCs kann man mit diesen nicht mehr ins Segment der NIC2 kommunizieren, da man den NAT Prozess im Windows Server nicht überwinden kann !
Eine „Any to Any“ Kommunikation (Jeder mit Jedem) von Endgeräten in beiden Segmenten ist also dadurch so nicht mehr möglich. Aus dem Client Segment ist dies also eine „Einbahnstrasse“ ins Internet was aber für die meisten Szenarien ggf. ausreicht.
Benötige ich eine Any to Any Kommunikation benötige ich auch einen Router der sicher statische Routen supportet im Setup !
!!! Das sollte man sich VOR dem Kauf eines Routers überlegen !!!
Die Routing Lösung ist also in jedem Falle immer zu bevorzugen.

Eine weitere Option ist unter Windows das Bridging zwischen beiden LAN Segmenten. Dafür muss man aber zwangsweise mit gleichen IP Adressen bzw. im gleichen IP Netz arbeiten in beiden Segmenten.
Diese Bridging Lösung sollte man, wenn immer möglich, durch die hohe Broadcastbelastung des Servers/PC vermeiden !!!
Im Zweifelsfall IMMER lieber für ein paar Euro einen neuen Router erwerben der statische Routen supportet.
Technisch ist das immer besser als eine Frickellösung mit ICS NAT !!!


Spezialfall: Port Weiterleitung aus dem Internet auf Clients im Segment LAN-2:
Dieses Problem tritt häufig auf wenn es gewünscht ist einzelnen PCs im Client Segment LAN-2 remote aus dem Internet fernzubedienen mit VNC oder RDP z.B.
Meist taucht das Problem auf, das dies am Router so ohne weiteres nicht zu konfigurieren ist, da die lokale IP Adresse, die in die Port Forwarding (oder Port Freigabe) Tabelle des Routers eingetragen werden muss, ja nicht im lokalen IP Netz des Routers liegt.
Viele Consumer Router verweigern hier die Zusammenarbeit und ignorieren das Konfig Kommando in der PFW Tabelle oder führen das Port Forwarding schlicht nicht aus und das trotz korrekter statischer Route hier, die eigentlich das Zielnetz bekannt macht auf dem Router.
Meist ist das ein Bug in der Routerfirmware oder dadurch eben einfach schlicht nicht supportet. Ein Umstand mit dem man leider im Consumer Bereich häufig leben muss....
Es gibt aber wie (fast) immer einen Ausweg:
Man leitet mittels der o.a. Port Forwarding Liste am Router die z.B. VNC Packet (Port TCP 5900) oder RDP (Port TCP 3389) oder oder.. an die Server IP Adresse im Routersegment LAN-1.
Dort am Server, konfiguriert man dann ein Port Forwarding (Weiterleitung) auf die Clients bzw. dessen IP Adresse. Wie das geht beschreibt die MS Knowledgebase unter:

http://technet2.microsoft.com/WindowsServer/de/Library/6dd18466-d9dc-43 ...

Beim Windows 2003 und höher und Verwendung der NAT/Basisfirewall ist diese Funktion etwas versteckt:
Routing und RAS -> ServerName (lokal) -> IP-Routing -> NAT/Basisfirewall
Im rechten Teilfenster klickt man mit rechts auf die Verbindung, mit der man mit dem Internet verbunden ist (meist „Netzwerkverbindung“) und wechselt im aufpoppenden Fenster auf „Dienste und Ports“. Dies ist nur verfügbar, wenn die Verbindung mit einer Firewall geschützt ist.
Ein Klick auf „Hinzufügen“ und man kann Portfreigaben und Portweiterleitungen eintragen !

Bei Linux machen das entsprechend die ip tables Einstellungen am Interface für die es zuhauf HowTos im Internet gibt.
Damit ist auch eine remote Steuerung aus dem Internet von Endgeräten im Netz LAN-2 gegeben ! Im Segment LAN-1 funktionieren sie ja sowieso da das direkt am Router hängt.

Auch hier nochmals zum Abschuss der Hinweis: Sowas wie Port Weiterleitung ist nur erforderlich wenn man einen dummen Router hat der keine statischen Routen supportet und man gezwungen ist NAT/ICS einzusetzen !
In jedem Falle ist die reine Routing Lösung ohne NAT/ICS vorzuziehen bei der sowas nicht erforderlich ist !



DNS Integration beider IP Netze im DC:

Dieses Thema und seine Lösung behandelt ein separates Tutorial von dog auf das an dieser Stelle verwiesen wird:
http://www.administrator.de/index.php?content=113672



Alternativen mit anderem Design (WLAN):
Das sowohl das IP LAN Segment NIC1 als auch LAN Segment NIC2 durch eine entsprechende WLAN Infrastruktur mit oder ohne WLAN Accesspoint ersetzt werden kann ist klar ! Die Prozedur der IP Einrichtung wie oben beschrieben ist absolut gleich.
Designs können so aussehen (Variante 1)
Klicken Sie auf das Bild, um es zu vergrößern - b581ffebc93886fb0498aac87458c761-2karten1.jpg


...oder das WLAN als Client Segment (Variante 2)
Klicken Sie auf das Bild, um es zu vergrößern - 8610d17980fb192abf6b4eaf11b583b3-2karten2.jpg


Einen dieser Spezialfälle beschreibt der folgende Thread HIER im Forum !

Attis Tutorial von oben geht dort genauer drauf ein, die Vorgehensweise ist immer dieselbe wie oben beschrieben.
Eine interessante Alternative ist das Client Segment per WLAN ohne WLAN Accesspoint aufzusetzen.
Dazu betreibt man Server/PC und Clients im sog. WLAN Ad Hoc Mode ohne Accesspoint. Auch das ist problemlos möglich wie DIESER Thread hier u.a. beschreibt.
Unterschiedliche Designs der Infrastruktur gibt es zuhauf, das Vorgehen zum Routing aber ist immer gleich !


Routing OHNE einen Windows oder Linux Rechner mit 2 NICs

Natürlich ist auch ein Routing zwischen den LAN Segmenten ohne einen Rechner mit Linux oder Windows OS problemlos und preiswert möglich.
Diese Alternative ist allein schon aus Stromverbrauchsgründen sehr sinnvoll bei Dauerbetrieb. (Max. 15 Euro Stromkosten pro Jahr !)
Klassische Szenarien zum Verbinden mehrerer IP Netze sehen z.B. analog zu den PCs so aus:
Klicken Sie auf das Bild, um es zu vergrößern - 9529b933f84d3ebf951a335e304e8567.jpg


Ein VLAN basiertes Routing mit einem sog. "Lollipop Router" (Router am Lollistiel) in Verbindung mit einem nicht routingfähigen VLAN Switch und mehreren LAN Segmenten die als VLANs ausgelegt sind, zeigt die folgende Abbildung:
Klicken Sie auf das Bild, um es zu vergrößern - a4032b11f8e0a76945ab9e8e324aadd3.jpg


Generell reicht dafür ein alter, ausrangierter PC, besser aber ein kleines Mini ITX Board mit Atom CPU oder ein embedded Mini Mainboard wie z.B. der ALIX Serie die hier beschrieben sind:
http://www.alix-board.de/?gclid=CMzP1aPliJ4CFc8UzAodjh4-qA
bzw.
Ist hier bei Administrator.de eine genaue Anleitung zum Aufbau eines solchen Systems zu finden:
http://www.administrator.de/index.php?content=149915
Oder prädestiniert sind flexible Consumer Router die mit der quelloffenen Firmware OpenWRT oder DD-WRT arbeiten.

Das folgende Tutorial beschreibt im Detail wie so ein System selbst konfiguriert werden kann. Für Laien bietet sich die Möglichkeit für sehr wenig Geld ein Fertiggerät zu kaufen, das dann nur noch per Webinterface und ein paar Mausklicks konfiguriert werden muss:
Die Firewall Funktion bietet noch zusätzliche Sicherheiten wenn die Kommunikation z.B. nur auf Drucker- oder Serverzugriff oder andere Dienste beschränkt werden soll !

Besondere Aufmerksamkeit sollte man den Routern der sehr preiswerten Microtik Reihe 750 widmen wie hier:
http://www.administrator.de/index.php?content=124700
von dog im Forum beschrieben.
Das Mikrotik Routerboard_750 ist als 5 Port Router vom Preis und von den Features her unschlagbar. Es gibt keinen Router am Markt der so flexibel einsetzbar ist zu diesem Preis (ca. 35 Euro).
Damit lohnt eigentlich weder der Aufbau einer Pfsense Appliance noch das Flashen z.B. eine dd-wrt mit Linksys WRT54 wenn es nur ums Routen allein geht. Allerdings sollte man nicht vergessen das der Mikrotik Router etwas mehr Einarbeitung in die Konfiguration erfordert.
Blutige Laiene die nicht wirklich wissen was Routing ist sollten besser die o.a. ALIX Router-Firewall verwenden !
Der Linksys WRT54 DSL Router mit alternativer DD-WRT Firmware oder ein modernerer TP-Link WR841N ist aber auch ein gangbarer Weg, da er mit der freien DD-WRT bzw. OpenWRT Firmware immer eine abschaltbare NAT / Masquerading Funktion hat und so als transparenter Router betrieben werden kann.

Billige DSL Router ohne integriertes DSL Modem die nicht auf diese beiden offenen Firmware Versionen geflasht werden können eignen sich nur sehr bedingt für das o.a. Szenario, da man die NAT (IP Network Adress Translation) so gut wie immer nicht abschalten kann.
Routing wird mit NAT immer zur Einbahnstrasse zwischen den Netzen, da ein aktives NAT den Weg ins 2te Netz verhindert !
Ein Problem Klassiker der fast täglich hier im Forum aufläuft.
Diese generelle NAT Problematik erläutert auch dieser_Heise_Artikel im letzten Abschnitt unter "Internes":

Es gibt also bei kleinen Netzdesigns genug preiswerte Alternativen zu einen ggf. teuren Layer 3 Routing Switch oder einem teuren Server mit hohem Stromverbrauch.


Routing mit pfSense oder Monowall Firewall Router:
Als Router lässt sich dafür z.B. die kostenlose Firewall pfsense verwenden, die sich ebenfalls mit ein paar Mausklicks im Setup zu einem einfachen Router machen lässt.
Pfsense lässt sich problemlos mit einer simplen bootbaren CD oder einem USB Stick auf einem alten ausrangierten PC starten. Wie das geht ist bereits ausreichend HIER und auch HIER beschrieben.
Pfsense hat ein paar Vorteile:
  • Es lassen sich problemlos mehr als 2 Netzwerkinterfaces betreiben durch Hinzufügen weiterer NICs
  • Das ALIX Mini Maniboard hat per se 3 Interfaces zum Routen
  • Ein Minimainboard ist sehr sparsam zu betreiben im Dauerbetrieb und hat keine beweglichen Teile.
  • VLAN_Routing über einen tagged Link (802.1q) ist problemlos möglich. (Separates Tutorial hier )
Für den Dauerbetrieb empfehlen sich daher die ALIX oder miniITX Lösung aus Gründen des Stromverbrauchs.

Die Umsetzung ist recht einfach zu bewerkstelligen. Über das Websetup der pfsense Firewall:
Klicken Sie auf das Bild, um es zu vergrößern - 32d7dd538bde558ffa62784e6ecef46d-pfsense1.jpg

Klickt man auf den Menüpunkt "Advance Settings"
Hier setzt man nun den Haken bei "Disable all paket filtering":
Klicken Sie auf das Bild, um es zu vergrößern - 33bc1096b2c763e25bfb0a589a4eb058-pfsense2.jpg


Eine Integration mit VLANs ist ebenso konfigurierbar und beschreibt dieses_Tutorial.
Die Firewall wird so zu einem transparenten Router ohne NAT. Ist dennoch Security gewünscht zwischen den unterschiedlichen IP Segmenten kann man natürlich auch mit aktivierter Firewall Funktion arbeiten.
So lässt sich z.B. bei der Integration von Fremdnetzen der Zugriff auf bestimmte Rechner und Applikationen beschränken.


Routing mit Mikrotik RB750(G):
Wie oben bereits erwähnt ist eine der preiswertesten Möglichkeiten zwischen LAN Segmenten zu Routen das Mikrotik Routerboard 750 zu dem es hier im Forum schon einen Erfahrungsbericht von dog gibt.
Das ist ein fix und fertiger, kleiner sehr preiswerter Router (Strassenpreis 30€)
http://www.mikrotik-shop.de/product_info.php?info=p516_MikroTik-RB750.h ...
den man nur noch konfigurieren und mit seinen IP Segmenten verbinden muss.
Mit dem Mikrotik wird mit der "WinBox" ein sehr komfortables Setup Tool für Windows mitgeliefert mit dem die Installation im Handumdrehen erledigt ist. Außerdem verfügt der Router zusätzlich über ein WebGUI und ein normales CLI.
Durch die Eingabe von "r" an der Konsole (die man per Telnet z.B. mit PUTTY erreicht.) verhindert man eine werkseitige Default Konfiguration die den Mikrotik als klassischen DSL NAT Router konfiguriert.
Analog kann man per Telnet (Putty) mit dem menügesteurten Kommando /system reset-conf skip-backup=yes no-defaults=yes die werkseitige Default Konfig (4 Port Switch plus 1 NAT Routerport) deaktivieren und einen simplen 5 Port Router aus dem Mikrotik machen.
Ohne diese Default Konfig hat man dann einen "nackten" und transparenten 5 Port Router vor sich der dann max. 5 (mit VLANs entsprechend mehr) separate IP Netze routen kann.
Dieser Schritt ist sehr WICHTIG will man z.B. damit transparent 2 oder mehr IP Netze verbinden !
Über die WinBox weist man dann den Interfaces einfach eine IP des zu routenen Segments zu und fertig ist der Router. Bewährt haben sich IP Adressen "ganz oben" oder "ganz unten" z.B. 172.16.1.254 /24 oder 172.16.1.1 /24.
Die folgende Abbildung zeigt ein Beispiel für 3 Interfaces :

Klicken Sie auf das Bild, um es zu vergrößern - ae888a17afc687f49913675368a010ef.jpg


Anhand der Featureliste im WinBox Tool links sieht man sofort das natürlich auch VLANs supportet sind die ein VLAN_Routing_über_802.1q_Trunks ermöglichen und auch der Support von dynamischen Routing Protokollen wie RIP, OSP usw. ist problemlos möglich. Firewall Funktionen runden die Optionen ab.
Das Mikrotik Forum bietet zudem eine Fülle an Beispielkonfigs für bestimmte Anwendungen.
Für seinen Anschaffungspreis (ca.30 € Strassenpreis) ist der Mikrotik Router 750 und sein Gigabit fähiges Pendant der 750G unschlagbar für solche Szenarios.
Auch in Bezug auf den Energieverbrauch. Er sollte deshalb immer erste Wahl sein um so ein Routing Design zu realisieren und nicht einen Server mit Routing zusätzlich zu belasten !
Soll zum Routing auch noch Security (Zugangslisten) und VPN dazukommen ist die pfSense Lösung ggf. vorzuziehen allerdings dann bis max. 3 Interfaces sofern man die o.a. ALIX Board Appliance nutzt !
Der Mikrotik Router bietet 5 Ports und hat auch weitreichende Filtermechanismen die den pfSense Möglichkeiten in nichts nachstehen erfordern allerdings etwas Fachwissen zur Einstellung.


Routing mit OpenWRT Router zu Minimalkosten:
Ebenso preiswert und ein Klassiker mit Open Source Routing ist die freie Router Firmware OpenWRT die auf einer Vielzahl von Routern supportet ist.
OpenWRT ist eine Firmware die wie DD-WRT offen und nicht proprietär ist. Vor dem Hintergrund der in letzter Zeit sehr zahlreichen Router Skandale wie dem FritzBox Firmware Bug und den offenen Ports viele anderer Router wie sie z.B. hier beschieben ist, ist OpenWRT generell eine sehr gute Alternative für einen sicheren und durch die Software Modularität extrem flexibelen Heimrouter.
OpenWRT lässt sich durch sog. SW Packages, wie man sie auch bei der Firewall pfSense kennt, sehr flexibel erweitern und auf persönliche Bedürfnisse anpassen. Man kann z.B. mit einem Mausklick VPN Support auf dem Router hinzufügen.
Die Optionen sind sehr vielfältig und OpenWRT eine ideale und zudem sehr preiswerte Plattform für solche Experimente.

Das solche Flexibilität an Routerfunktionen nicht teuer sein muss zeigt das folgende Beispiel, denn als Hardware für die OpenWRT Variante verwendet dieses Tutorial einen TP-Link_WR841N für ca. 17 Euro Strassenpreis !
Bei diesen sehr geringen Kosten kann sich auch ein Netzwerk Anfänger angstfrei an Experimente mit dem Router heranwagen, denn preiswerter ist so eine LAN Kopplung derzeit nicht zu realisieren.
Der WR841 kommt in 2 Modellen daher einmal als "N“ und einmal als "ND“.
Das zusätzliche "D“ steht für "detachable“ und weisst daraufhin, das die WLAN Antennen beim „D“ Modell abnehmbar sind um z.B. externe Antennen für den Außeneinsatz (Richtfunk etc.) anzuschliessen. Beim nicht „D“ Modell sind sie fest mit dem Router verbunden. Ansonsten ist die HW der beiden Modelle vollkommen identisch !

Los gehts….
Zuallerst geht es an das Flashen der Firmware was mit ein paar Mausklicks über das grafische Router Setup erledigt ist.
Die Firmware lädt man von der OpenWRT Seite: http://wiki.openwrt.org/toh/tp-link/tl-wr841nd
Aktuelle Hardware ist in der Regel die HW Version 8.x. Sicher ist aber nochmal das Modellschild am gehäuse daraufhin zu überprüfen !
Über das Websetup des WR841 wählt man den Menüpunkt „Firmware Update“, wählt die OpenWRT Firmware Datei aus und klickt auf OK.
Der Router flasht die OpenWRT Firmware automatisch und ist nach ca. 3 Minuten unter der IP 192.168.1.1 wieder im Websetup erreichbar.

Klicken Sie auf das Bild, um es zu vergrößern - ab319f1736383caae821759d2c02b69d.jpg


Da der WAN Port (hier im Tutorial für das 2te IP Netzwerk !) im Default auf PPPoE (DSL Access) steht muss dieser zuerst auf Static für eine statische IP Adresse umgeschaltet werden. Mit Klick auf "switch protocoll“ erhält man die dafür nötigen Eingabefenster:

Klicken Sie auf das Bild, um es zu vergrößern - bf55b600ff25ed27d1781512fbceb9e5.jpg


Hier im o.a. Screenshot würde gleich der DHCP Server für das 2te IP Netzwerk aktiviert um dort ebenfalls dynamisch IP Adressen an Endgeräte zu vergeben.

Da der Router im Default mit einer Internet Konfig hochkommt ist am WAN / Internet Port eine Firewall mit NAT (IP Adress Translation) aktiv.
Wer das 2te Netz abtrennen möchte belässt alle Einstellungen dort und ist mit dem Setup fertig.
In der Regel kann man aber die Firewall nicht gebrauchen, da man ja transparent routen möchte zwischen beiden Netzwerken.
Folglich muss man im Firewall Setup nun das NAT (Masquerading) deaktivieren und die Weiterleitungsregeln (Forwarding) auf Accept setzen.

Klicken Sie auf das Bild, um es zu vergrößern - 4abf6fdcdbf3eacbb6e86fe02e6538c5.jpg


Mit einem Klick auf „Save and Apply“ sind diese Settings aktiv und der 17 Euro Router routet zwischen diesen beiden Netzen !

Fortgeschrittene Nutzer können den konfigurierten Switch über die 4 Ethernet Ports auflösen und dann mit max. 5 Ports routen.
Zusätzlich ist der Router auch VLAN fähig, kann also auf einem VLAN tagged Interface auch zwischen mehreren VLANs routen. Details zu diesem Setup findet man hier


Weiterführende Links


Praxisbeispiel 2 Netze u. 2 Internet Router ohne stat.Routing
http://www.administrator.de/contentid/228775

VLAN Routing zw. IP Netzen mit VLAN Switches
http://www.administrator.de/contentid/110259

2 IP Netze per WLAN koppeln
http://www.administrator.de/wissen/mit-einem-wlan-zwei-ip-netzwerke-ver ...

Mikrotik 750
http://www.administrator.de/contentid/124700

Ein Firewall Router mit pfSense oder Monowall
http://www.administrator.de/contentid/149915

VLAN Einrichtung und Routing an PC oder Server NIC
http://www.administrator.de/contentid/58974
Die Linux Variante (Raspberry Pi / Debian /Ubuntu
http://www.administrator.de/wissen/netzwerk-management-server-mit-raspb ...

Netzwerkkarte ICS / NAT Einrichtung
http://www.administrator.de/contentid/100265
90 Kommentare
Mitglied: masterG
02.05.2007 um 14:31 Uhr
Super Anleitung! Hab ich auch gleich ausprobiert! Und es klappt! Danke aqui!

masterG face-smile
Bitte warten ..
Mitglied: Ultraschnecke
05.05.2007 um 16:53 Uhr
Wär schön, den Titel so zu ändern, dass ersichtlich ist, dass die Anleitung für Windows gedacht ist...

Gruß
Bitte warten ..
Mitglied: aqui
08.05.2007 um 16:06 Uhr
Na ein bischen gilt sie ja auch für Linux face-wink
Bitte warten ..
Mitglied: c.t
08.06.2007 um 19:45 Uhr
Hallo,

ich bin ja eigentlich nicht blöd, aber ich bekomme meine Kiste nicht zum laufen.
Bei meinem Server 2003 rennt alles wie gewollt, via Routing und Ras.
Will mich jetzt nochmal nach langer Zeit mit Linux beschäftigen und habe das oben genannte Szenario. aber es geht nicht.
Meine Linuxkiste hat 2 NWKarten: 1 Nic 192.168.2.100 > die hängt an meinem Lancom-Router (192.168.2.1)
2 Nic des Linuxservers: 192.168.1.100 > da hängen die Clients dran

Auf dem Server habe ich für NIC 1 das GW 192.168.2.1 eingetragen
Für NIC 2 das GW 192.168.2.100
Für beide Karten IP_Fowarding aktiviert. Wenn ich jetzt ne öffentlich IP ping komme ich immer nur auf den Router danach verläuft alles im Nirwana.

Es kann ja nur am Router liegen, denke ich mal. Habe einige Routen ausprobiert aber es geht nicht. Wo liegt mein Denkfehler?

Für Hilfe wäre ich sehr dankbar.

Gruss

Christian
Bitte warten ..
Mitglied: c.t
09.06.2007 um 11:00 Uhr
jo., habe den Fehler gefunden. IP_Masquerading war noch ncht aktiviert face-sad

Gruss

Christian
Bitte warten ..
Mitglied: aqui
09.06.2007 um 15:01 Uhr
Masquerading benoetigst du nicht, denn das ist NAT !!! Damit versteckst du dein komplettes NIC2 Netz hinter der IP von NIC1 und routest mehr oder weniger nicht sondern arbeitest mit NAT, was dir Probleme beim Zugriff auf Geraete im Segment NIC2 beschert. Das ist nur der Notnagel fuer das beschriebene Routing Szenario wenn der DSL Router keine statischen Routen supportet !Dann ist NAT oder Masquerading natuerlich erforderlich. Ist so aber auch im Tutorial beschrieben face-wink
Dein Fehler ist, das du auf Segment 2 als Gateway .2.100 eingetragen hast, das ist Unsinn ! Der routende Server benoetigt lediglich ein einziges Gateway und das ist der Router .2.1 an NIC 1 sonst nichts !!! Der Gateway Eintrag an NIC2 (Clientsegment) muss hier also immer zwingend leer bleiben in einem gerouteten Umfeld ohne NAT !
Bitte warten ..
Mitglied: TobiisFreaky
18.10.2007 um 13:19 Uhr
hey perfekte beschreibung
hätest du das nur ein halbes jahr früher rausgebracht, hätte ich mich nicht damit rumquälen müssen

übrigens: man kann am Server sogar CD/DVD / Band und Diskettenlaufwerk erkennen =)

Super aqui, mach weiter so!
Bitte warten ..
Mitglied: unique24
18.10.2007 um 15:01 Uhr
Hallo

Auch in der neuen Firma, zu der ich bald wechsele, haben wir so eine ähnliche Konfiguration.
Ich frage mich aber wozu?

Wozu die ganzen Clients hinter den Server? Wegen der Doppelten Firewall?
Sind nicht die Clients so "ziemlich" egal. Das wichtigste Instrument stellt man so ja nach vorne. Den Server.

Darauf sind alle sensible Daten. Wenn einer den Router überlistet, ist er schon fast auf dem Server.

Was sind die Gründe, so eine Topology aufzubauen?

Danke

Hannes
Bitte warten ..
Mitglied: aqui
18.10.2007 um 16:44 Uhr
Wenn du den Server zu einem Zwangsproxy machst, kannst du so ein Umgehen der direkten Internetverbindung der Clients sicher unterbinden um eine Clientkommunikation mit öffentlichen Netzen besser zu steuern und sicherer zu machen.
Das ist z.B. ein Argument es gibt aber noch zig mehr. Für das Netz zuhause ist das nicht so relevant da hast du Recht und in großen professionellen Netzen löst man sowas mit Layer 3 fähigen Switches und Firewalls aber für den kleinen und Midrange Bereich kann es schon Gründe geben für den einen oder anderen...
Bitte warten ..
Mitglied: win2003serveradmini
18.10.2007 um 21:31 Uhr
Super beschreibung TOP sehr gut gemacht kann ich nur empfehlen !!! Wie wäre es gleich noch den Server als fette Firewall zu benutzen empfehle aber eher leistungsfähige rechner !!! keine "alten schwachen PC" sollen ja stabil laufen
Bitte warten ..
Mitglied: spacyfreak
20.10.2007 um 23:35 Uhr
Ja, gute Anleitung - gut gegliedert, und sogar mit Bild. Da kann man dann immer wieder mal drauf verweisen, wenn Fragen in der Richtung kommen.

Für daheim freilich überdimensioniert - da reicht zum Internet hin ein Router mit Firewall und gut ist um sich vor den üblichen Portscans oder Würmern zu schützen (die Schädlinge kommen heutzutage sowieso eher über "infiltrierte-Webseiten-Besuchen" oder Emailanhang-Anklicken, da hilft auch ein dritter und vierter Server den man zwischenschaltet nix, wenn der Benutzer quasi von "innen" die Tür aufmacht).

Aber es gibt auch genug Szenarien, wo genau diese Konstellation Sinn macht, z. B. als Contentfilter oder um das WLAN vom normalen LAN zu separieren.
Bitte warten ..
Mitglied: ctietje
12.11.2007 um 08:35 Uhr
brilliant!

nach verlorener Zeit mit einigen Versuchen gemäß der unvollständigen Beschreibung von Microsoft in sbsgsgab.doc bin ich mit dieser Beschreibung erfolgreich zum Ziel gekommen. Ich habe den Artikel redaktionell überarbeitet und für uns intern abgelegt!

Danke aqui! Weiter so!
Bitte warten ..
Mitglied: ktfreak
08.01.2008 um 23:18 Uhr
Hi,
habe ich das richtig verstanden: Muß auf dem als "Server oder PC" gekennzeichneten Rechner ein Windows-Server-Betriebssystem laufen?

Ich kann mir vorstellen, daß viele User so wie ich auch, kein extra Server-Betriebssystem nutzen, sondern nur eine normale Client-Version wie z.B. Windows XP Professional. Läßt sich die serverseitige Konfiguration auch auf einem Client-Betriebssystem umsetzen?

Wenn in dem Netzwerk 192.168.1.0 noch zusätzliche Stationen eingebunden sind (verkabelt), z.B. ein Notebook oder ein PC (beides Windows-XP-Client-BS), sind diese dann von 172.16.1.1 anpingbar, wenn man ihnen als zweites Gateway die Adresse des Servers 192.168.1.254 gegeben hat, ist ein zweite Gatewayangabe eigentlich möglich? Müssen evtl. auf den Stationen in diesem Netzwerk auch statische Routen eingerichtet werden?

danke schonmal im voraus...
Bitte warten ..
Mitglied: aqui
09.01.2008 um 11:08 Uhr
Hallo ktfreak,

Natürlich ist es egal was du auf dem als Server/PC gekennzeichneten PC als OS am Laufen hast. Das kann Linux, Win2k3, XPprof, MacOS-X, FreeBSD oder was auch immer sein.
Wichtig ist nur das man immer bedenkt, das das Feature IP Forwarding in den verwendeten OSes zu aktivieren ist wie im Tutorial beschrieben, denn das ist so gut wie immer deaktiviert so das ein Routing ohne Aktivierung nicht funktioniert ! (Ausnahme ist natürlich der Workaround bei Billigroutern über NAT (ICS) am PC/Server, denn da findet natürlich gar kein IP Routing statt !)

Natürlich kannst du auch weitere Endgeräte im LAN-1 (192.168.1.0/24) erreichen aus dem LAN-2 !
Weitere Gateways oder gar statische Routen usw. musst du natürlich nicht eintragen !
Aus Sicht von Clients im 172.16.1.0/24er Netz verhalten diese sich ja wie die Router IP adresstechnisch gesehen. Damit gilt dann wie im "Reise eines Packetes durchs Netz..." beschrieben der gleiche Weg eines Datenpacketes auch zu diesen Endgeräten !

Also Endgeräte können damit hier ganz einfach IP Adressen aus dem 192.168.1.0er Bereich bekommen und ob du als Gateway den Router direkt oder den PC/Server einträgst spielt keine Rolle (besser ist der Router !)
Achten muss man hier nur darauf, das sollte auf dem Router ein DHCP Server laufen, es nicht zu IP Adresskonflikten kommt durch doppelte Vergabe.
Hier gilt der goldene Grundsatz das statische IP Adressen natürlich außerhalb der evtl. vorhandenen DHCP Range des Routers zu konfigurieren sind !
Bitte warten ..
Mitglied: Netzheimer
28.01.2008 um 09:32 Uhr
Super Anleitung, aber warum steht sie unter Fragen und nicht unter Anleitungen?
Bitte warten ..
Mitglied: ktfreak
30.01.2008 um 08:09 Uhr
vielen Dank aqui,

ich habe das im Tutorial beschriebene Szenario mit geringen Abweichungen bereits praktikabel umgesetzt. Hat beim ersten Versuch geklappt, fast ganz ohne Routes einzurichten (außer auf Router selbst).
Bitte warten ..
Mitglied: aqui
15.02.2008 um 01:23 Uhr
Da hast du dann wohl nicht richtig hingesehen denn sie steht ganz klar in der Rubrik Router und Routing unter Tutorials !
Bitte warten ..
Mitglied: DeTommey
13.03.2008 um 11:03 Uhr
hallo,

sehr detaillierte Anleitung doch leider kann ich mein Problem nicht damit nicht lösen...

IP-Kreis 1: 192.168.100.0
IP-Kreis 2: 192.168.99.0

Ich habe einen Server (Windows Server 2003) mit 2 Nics. Beide Nics sind an den gleichen Switch angeschlossen.

IP-Nic 1: 192.168.100.65
IP-Nic 2: 192.168.99.1

Da mein Ip-Kreis 1 bald voll ist, möchte ich den IP-Kreis 2 einrichten. Die PCs aus dem IP-Kreis 2 sollen auf alle Resourcen (Mail-, File-Server, Drucker etc.) des Ip-Kreises 1 zugreifen können.

Außerdem laufen auf dem o.g. Server zwei VMs die in den neuen IP-Kreis (...99...) rein sollen.

Ich weiß nicht was ich wo genau einstellen muss.


Leider ergab meine zweitägige Suche kein erfolgreiches Ergebnis und ich wende mich nun vertrauensvoll an euch...

Grüße
Tom
Bitte warten ..
Mitglied: aqui
13.03.2008 um 11:24 Uhr
Niemals darfst du diese beiden IP Segmente wieder auf einem Layer 2 Switch vereinen !!!
Das darf man ausschliesslich nur wenn dieser Switch VLAN fähig ist und beide Beine in unterschiedlichen VLANs hängen Was du machst ist aus IP Sicht tödlich, denn du fährst 2 IP Netze in einer Layer 2 Domain zusammen was so nicht erlaubt ist aus IP Sicht.
Oder du musst eben dein IP Netzwerk weg von einem Class C netzwerk mit diesen unsaeglichen 192.168er Adressen die die ganze Welt benutzt auf ein Class B Netzwerk heben. Der RFC-1918 gibt uns ja noch die 172.16 bis 32er Adressen.
Ein Schwenk deiner NIC auf 172.16.0.0 mit einer 16 Bit Maske (255.255.0.0) loest dein problem also sofort !

Fazit: Du musst unbedingt deine LANs trennen entweder mit VLANs oder einem 2ten separaten Switch, sollte dein derzeitiger ein dummer nicht managebarer Switch sein. Das ist ja auch der Sinn der Sache mit den 2 Netzwerkkarten das ich 2 separate Segmente erhalte.

Wichtig ist das dein 2k3 Server das Routing eingeschaltet hat ! MS macht das per Default NICHT ! Das macht man indem man RAS/Routing aktiviert bei 2k3.
Die Routing Funktion bei dir kannst du ganz einfach testen mit folgendem einfachen Aufbau:

Server mit 2 NICs und an jedem Segment ein Client mit einer IP Adresse aus dem jeweiligen IP Segment (192.168.100.0/24 und 192.168.99.0/24).
Gateway zeigt auf die Server IPs im jeweiligen Segment (192.168.100.65/24 und 192.168.99.1/24).
Mit entsprechenden richtigen Firewall Einstellungen muss ein Ping beider Clients untereinander und auch ein Ping von beiden Clients auf jeweils beide Server IPs möglich sein !!
Damit funktioniert dann dein Routing und du kannst alle Resourcen in beiden Segmenten problemlos erreichen !!
Bitte warten ..
Mitglied: DeTommey
13.03.2008 um 12:13 Uhr
danke für die rasche antwort...

leider ist das hausinterne netz über 4 etagen und unzählige rüme verteilt (überall switche) ...
die server stehen alle in einem raum im 2.og und die neuen rechner stehen überall verteilt im haus. da wird es schwer die rechner von einander abzugrenzen.

gibt es eine andere möglichkeit außer vlans? der aufwand ist enorm - überall VLAN einrichen... außerdem stehen auch einige nicht managbare 8 port switche herum...

freu mich über jede idee...

grüße
tom
Bitte warten ..
Mitglied: aqui
14.03.2008 um 08:57 Uhr
Nein, da hast du keine Chance und solltest dir was anderes in puncto Design überlegen. Was du derzeit machst ist IP technisch nicht supportet !
Bitte warten ..
Mitglied: Web-Spirits
23.03.2008 um 00:22 Uhr
Hallo,

sehr schöne Beschreibung. Nur eines ist mir noch ein bischen unklar. Wo läuft jetzt der NAT-Dienst? auf dem DSL-Router (Bei mir BinTec X1200) oder auf dem Windows 2K3?

Meine Config:

BinTec X1200 (192.168.1.1) < - > (NIC1: 192.168.1.254) Win 2K3 (NIC2: 192.168.2.254) < - > Client Netz (192.168.2.0)

Dienste: DHCP, DNS, AD, RRAS

Ich hätte gerne das NAT, eigentlich die ganze Netzwerkverwaltung und Steuerung, auf meinem Win 2K3. Eigentlich brauch ich meinen BinTec nur um die Internetverbindung aufzubauen. Wenn ich das NAT auf dem BinTec deaktiviere geht das Internet gar nicht mehr.

Danke schon mal im voraus.

Marcus
Bitte warten ..
Mitglied: aqui
25.03.2008 um 15:28 Uhr
Oha, gleich 5 mal die Frage.... Ich würd dich bitte die 4 überflüssigen Postings zu löschen, damit der Thread nicht so unübersichtlich wird....

Antwort zu deiner Frage:
So wie oben beschrieben machst du sinnvollerweise nur einmal NAT und zwar am Router. Das erfordert dann aber eine statische Route im Router wie auch im Tutorial beschrieben.
Wenn du ein Billigstrouter wie z.B. Die Speedports hast di das nicht supporten hast du ja keine Chance und musst NATten auf dem Server/PC.
Man macht dann 2 mal NAT hintereinander. Ist ungünstig und kosmetisch nicht schön aber sonst hättest du ja keine Chance bei so einem Router das umzusetzen !
Besser also sauber ohne NAT Routen und NAT nur auf dem Router machen wenn möglich !
Bitte warten ..
Mitglied: tomyy666
30.04.2008 um 09:23 Uhr
Hallo aqui,

bei mir gestaltet sich die Netztopologie etwas komplexer. Vielleicht kannst Du mir hier noch einen Tipp geben.

Story:
Es gibt 2 Standorte. Jeder Standort für sich hat ein Netz mit Internetanschluss. Der Standort A hatte schon damals ein TR200bw und damit einen ordentlichen Router. Der Standort B ging den Weg ins Internet über einen Speedport. Also NAT x 2!
Soweit gab es mit dieser Konstellation keine Probleme.

Jetzt sollen Standort A und Standort B via VPN verbunden werden. Standort B hat hierzu einen R3000 erhalten. Standort A soll Server und Clients des Standort B verwalten (Remotedesktopverbindung).
Das VPN (mit dynamischen IP Adressen) zwischen TR200bw und R3000 ist aufgebaut.
Aus Standort A kann man sich von einem Client aus via Telnet (Putty, o.a.) mit beiden Routern verbinden und diese administrieren.

Die Netze sehen (beispielhafte Angaben) folgendermaßen aus:

Standort A
TR200bw Router zum Internet standort-a.dyndns.org
TR200bw Router zum Server 192.168.10.100

Server A NIC2 zum Router 192.168.10.1
Server A NIC1 zum internen Netz 172.16.0.1
DHCP, DNS, WINS (bedingt durch einige Drucker)

Standort B
R3000 Router zum Internet standort-b.dyndns.org
R3000 Router zum Server 192.168.0.100

Server B NIC2 zum Router 192.168.0.1
Server B NIC1 zum internen Netz 172.16.0.1 (historisch gewachsen)
DHCP, DNS, WINS (bedingt durch einige Drucker)

Ich möchte nun die finalen Handgriffe zur Verbindung der beiden Netze vornehmen. Ich habe leider nur 2 Tage (Wochenende) für die Umsetzung und ausgiebige Tests. Daher möchte ich soweit es irgendwie geht alles theoretisch vorbereiten und dokumentieren.
Fehler gibt es dann noch genug!

Damit ich die Clients am Standort B administrieren kann schalte ich auf dem Server B NAT ab.
Für das Routing werde ich wohl auch das interne IP Netz (z.B. 172.17.0.0) anpassen müssen.
Dann trage ich auf jedem Router die statischen Routen bis zu den jeweiligen Netzen (172.17.0.0 für Standort B, 172.16.0.0 für Standort A) ein.

Habe ich das soweit richtig verstanden?
Was mache ich mit dem NAT der beiden Router oder ist das für den Tunnel nicht relevant?

Ich könnte auch beide NICs der Server im Router routen lassen und das Routing auf dem Server abschalten. Das möchte ich aber erst einmal nicht betrachten.

Ich bedanke mich schon einmal vorab, auch für die gute Anleitung zum Routing.

Gruß
th
Bitte warten ..
Mitglied: aqui
30.04.2008 um 10:35 Uhr
Das NAT ist für den Tunnel nicht relevant, denn es gilt nur für den Internet Zugriff auf beiden Seiten ! Dein Knackpunkt ist die IP Adressgleichheit der beiden Clientnetze hinter dem Server !!! Diese sind nicht eindeutig ! (Gleiche IP Adresse !) und das funktioniert bei einer VPN Vernetzung natürlich dann nicht !!!
Leider schreibst du nicht WELCHE Subnetzmaske du dafür benutzt. Diese musst du aber in der Tat zwingend anpassen damit es funktioniert.
Wenn du eine Class B Maske (16 Bit, 255.255.0.0) benutzt dann muss z.B. so aussehen:

Standort A = 172.16.0.0 /16
Standort B = 172.17.0.0 /16

Bei einer 24 Bit Maske 255.255.255.0 kann es dann so aussehen:

Standort A = 172.16.10.0 /24
Standort B = 172.16.0.0 /24
Bitte warten ..
Mitglied: tomyy666
30.04.2008 um 10:50 Uhr
... in beiden Standorten verwende ich die Class B Maske.

Gut, dass mit den Clientnetzen habe ich mir schon gedacht. Der Router kann ja nicht wissen welches 172.16.0 ´er Netz ich meine.

OK, das kann ich via DHCP recht schnell anpassen. Ich denke mal, dass ich den Rest dann so richtig verstanden habe.

Danke für Deine schnelle Antwort!

Gruß
th
Bitte warten ..
Mitglied: aqui
30.04.2008 um 10:59 Uhr
OK, damit sähe dein Netz dann so aus:

Klicken Sie auf das Bild, um es zu vergrößern - cd9f6b945630985eea0ab2d504bcf836-vpn2netzeb.jpg


Damit sollte das dann problemlos laufen !
Bitte warten ..
Mitglied: tomyy666
30.04.2008 um 11:32 Uhr
Danke, Danke!

Zwei Anmerkungen noch zu der Darstellung:

1.) Tunnel IP Router A oder B
Das muss der Router alleine erledigen. Ich habe keine statische IP Adresse. Den Hostnamen kann ich ja nicht eintragen. So wie ich das sehe, tragen beide Router nach der Änderung der IP Adresse sich die Routen selbst neu ein.

2.) Die beiden Server sind auch Router. Hier muss / werde ich auch die statischen Routen eintragen. Sonst wäre der Weg ins ferne Netze für einen Client aus dem Standort A bereits am Server zuende. Ggf. kann ich auf den Servern auch RIP einschalten. Dann lernt er die Routen ins ferne Netz. Mache ich aber nicht so gerne.

Mögliche Probleme sollten aber dank Deine Hilfe verhältnismäßig klein bleiben.

Gruß
th
Bitte warten ..
Mitglied: aqui
30.04.2008 um 11:45 Uhr
Hi Thomas !

ad 1.)
Das stimmt. Je nachdem welcher Router der VPN Server oder Client ist wird im VPN Tunnel jeweils die LAN-1 Adresse von Standort A oder B benutzt. Der VPN Server gibt die Tunnel IP immer vor !! Das ist also abhängig von deiner VPN Konfiguration in den Routern. (Wer wählt sich wo ein...) Leider beschreibst du das nicht genauer. Daher also dann immer diese Tunnel IP des remiten Routers in den statischen Routen dort benutzen ! Ggf. reicht als next Hop (Gateway) Adresse auch das Tunnelinterface am Router selber so das du dann keine direkte IP angeben musst das klappt auch sofern der Router sowas zulässt in der Konfig (Handbuch !)

ad 2.)
Das ist Unsinn !!! Eine Route irgendwohin ist auf den Servern NICHT erforderlich !!! Der Server hat an NIC 1 ja eine default Route !! (An NIC-2 bleibt das Gateway leer wie im Tutorial bereits beschrieben !)
Dies default Gateway reicht vollkommen ! Alles was der Server also IPseitig nicht kennt (also nicht direkt an ihm dran ist) schickt er dann per default zum Router und der wird es schon wissen wo die Packete hinmüssen !! (Was er natürlich auch tut durch deine statischen Routen dort !)
Statische Routen auf dem Server sind damit also vollkommener Blödsinn und somit natürlich überflüssig !
Bitte warten ..
Mitglied: tomyy666
30.04.2008 um 12:03 Uhr
Hallo aqui,

ich wollte zu dem VPN keine Abhandlung mehr schreiben und nur dokumentieren, dass diese Verbindung existiert. Wäre vielleicht auch recht unübersichtlich geworden.

Primär ging es mir um das Thema Routing.

Noch einmal zu den Servern, die als Router konfiguriert sind. Ohne aktivierten Router, statische Routen und ohne RIP trennt doch der Server zwei Netzsegmente. Aktiviere ich den Router auf dem Server und damit auch RIP, dann baut er doch die Routingtabellen auf, die Du ansprichst.

Ich werde das auf alle Fälle mal ausprobieren. Wenn der Server Routingtabellen auch ohne RIP und statische Einträge aufbaut, dann sollte Dein Bild meine finale Lösung sein.

Vielen Dank noch einmal an dieser Stelle für den erfrischenden Austausch.

Gruß
th
Bitte warten ..
Mitglied: aqui
30.04.2008 um 12:13 Uhr
RIP ist ein dynamische Routingprotokoll, was du in der Regel NICHT benötigst. Du musst dich auch entscheiden:
a.) Entweder RIP, dann benötigst du gar keine statischen Routen ! Wozu auch ?? Denn RIP erledigt ja alles dynamisch !!!

b.) Du routest alles statisch ! Dann benötigst du natürlich auch kein RIP, musst aber alle Routen wie oben beschrieben statisch eintragen !

Beides, RIP und statisch, geht nicht oder ist kontraproduktiv im Netz und solltest du in jedem Falle vermeiden. So ein Banalnetz kann man problemlos mit statischen Routen bedienen, da der RIP Prozess nur unnötig Performance auf den Servern kostet. Die sollen serven und nicht hauptsächlich Router sein face-wink
Funktional geht es aber auch mit RIP keine Frage...
Bitte warten ..
Mitglied: mopsy
06.05.2008 um 19:40 Uhr
Hallo,

ich habe mir anhand dieser Anleitung folgendes nachgebaut:

Internet - Kabelmodem - FritzBox7170 (172.16.1.1) - NIC 1 (172.16.1.254)
Windows Server 2003 Routing und RAS (Basisfirewall aktiviert) - NIC 2 (192.168.77.1)
IP-Adressen vergibt der DHCP auf dem RRas-Server.

Das Internetrouting funktioniert tadellos aus dem gesamten Netzwerk, allerdings habe ich noch ein Routingproblem mit meinen VPN-Verbindungen.
Auf dem Server sind statische Routen eingerichtet für zB. entfernter Server 192.168.199.1 - eine statische Route: 192.168.199.0 Subnetz 255.255.255.0.
Wenn ein Client aus meinem Netz NIC 2 eine IP-Adresse aus dem entfernten Netz anfordert zB. Ping 192.168.199.1 stellt der Server die VPN-Verbindung über das Internet einwandfrei her, allerdings ist das entfernte Netz dann nur vom Server aus zu erreichen - und nicht von dem Client der die Verbindung angefordert hat - kein Ping möglich.

Was habe ich denn vergessen, oder falsch konfiguriert?

Danke, Gruß Stephan
Bitte warten ..
Mitglied: aqui
07.05.2008 um 00:28 Uhr
Normalerweise sind statische Routen Unsinn auf dem Server wenn dieser die VPN Verbindung herstellt, denn das VPN Netz ist ja dann direkt am Server angeschlossen so das er es kennt und eine statische Route vollkommen überflüssig ist.
Einzige Ausnahme: Dieses Zielnetz ist nicht das VPN selber sondern befindet sich hinter dem VPN und ist nur über den VPN Tunnel zu erreichen.
Mit deinen sehr spärlichen Informationen artet das hier jetzt in Raten aus so das eine qualifizierte Antwort schwierig ist.
Vermutlich hast du schlicht und einfach ein Routing Problem durch deine vermutlich sinnlosen Routen.
Was sagt denn ein Traceroute zum Zielsystem ?? Wo bleibt der Traceroute oder Pathping hängen ?? Dort ist meist auch fast immer der Fehler zu finden !!!
(Traceroute = tracert unter Winblows)
Bitte warten ..
Mitglied: mopsy
07.05.2008 um 21:19 Uhr
Normalerweise sind statische Routen Unsinn
auf dem Server wenn dieser die VPN Verbindung
herstellt, denn das VPN Netz ist ja dann
direkt am Server angeschlossen so das er es
kennt und eine statische Route vollkommen
überflüssig ist.
Die statischen Routen habe ich angelegt damit die VPN-Verbindung bei Bedarf aufgebaut wird. Es sind knapp 50 VPN-Verbindungen auf meinem Server eingerichtet die meine Client's mitverwenden sollen. Beispiel: Einer meiner Client's in München möchte auf eine Freigabe in Elmshorn \\192.168.199.25\Daten zugreifen. Die Freigabe ist auf einem Client in dem entfernten Netz eingerichtet. Wenn diese Freigabe nun von einem meiner Client's aufgerufen wird, baut mein Server den VPN-Tunnel über das Internet auf - dafür die statische Route 192.168.199.0 255.255.255.0 (Also wählen bei Bedarf). Sobald die Verbindung steht kann ich von meinem Server aus problemlos auf den entfernten Server und alle angeschlossenen Client's zugreifen - nur eben von meinen Client's nicht. face-sad

Einzige Ausnahme: Dieses Zielnetz ist nicht
das VPN selber sondern befindet sich
hinter dem VPN und ist nur über den
VPN Tunnel zu erreichen.
Ich bin nicht so der Netzwerkfuchs - mein Netz 192.168.77.0 baut über das Internet einen VPN-Tunnel zu dem anderen Netz auf. Die Einwahl erfolgt über eine dyndns-Adresse und am anderen Ende des Tunnel steht der Server 192.168.199.1 der die Verbindung annimmt. Nachdem die Verbindung steht sollten im Idealfall alle meine angeschlossenen Client's auf das entfernte Netz 192.168.199.0 zugreifen können.

Mit deinen sehr spärlichen
Informationen artet das hier jetzt in Raten
aus so das eine qualifizierte Antwort
schwierig ist.
Ich hoffe das ich es jetzt etwas genauer beschrieben habe ;)

Was sagt denn ein Traceroute zum Zielsystem
?? Wo bleibt der Traceroute oder Pathping
hängen ?? Dort ist meist auch fast immer
der Fehler zu finden !!!
(Traceroute = tracert unter Winblows)
tracert vom Server aus geht einwandfrei in das entfernte Netz, tracert vom Client aus geht bis zu meinen Server und dann ist Schluß.
Bitte warten ..
Mitglied: aqui
08.05.2008 um 10:11 Uhr
Dann sind zusätzliche statische Routen auf dem Server selber kompletter Blödsinn, denn dein Server der die VPN Verbindung aufbaut ist ja dann der Router dahin ! Da die Netze dann an ihm selber dran sind kennt er sie somit und benötigt natürlich so keine zusätzlichen statischen Routen !!!

Das Problem liegt einzig und allein auf deinen Clients, denn DORT ist es wichtig das sie den Server als default gateway eingestellt haben und nicht irgendwie den Router oder sowas.
Wenn sie auf den Router zeigen, dann muss HIER eine statische Route in die VPN Netze konfiguriert sein mit dem Netzwerkhop des Servers bzw. seiner IP dann als Gateway.
Wenn du das o.a. Szenario so aufgebaut hats mit 2 Karten im Server, stellt sich dies Problem aber erst gar nicht für dich, da deine Clients ja zwangsläufig den Server als Gateway eingetragen haben !!!
Vermutlich hast du dann nur schlicht und einfach vergessen das Routing auf dem Server zu aktivieren ?!
Bitte warten ..
Mitglied: mopsy
08.05.2008 um 23:10 Uhr
Vielen Dank für den Hinweis mit den fehlenden Routing ;)

Ja - es klappt jetzt!
Das mit den statischen Routen ist wohl ein Missverständnis, wenn ich mit dem Assistenten eine neue VPN-Verbindung einrichte - muss - ich eine statische Route angeben - woher soll sonst Routing und RAS wissen hinter welchem VPN sich die gewünschte IP-Adresse verbirgt - das klappt einwandfrei.

Den Server als Default Gateway hatte ich bereits eingestellt, soweit konnte ich folgen, denn woher soll auch der Router wissen wo ich gerade hin will ;)

So, und jetzt habe ich endlich den Fehler gefunden, auf NAT/Basisfirewall - Rechtsklick und Neue Schnittstelle hinzufügen, hier die VPN-Verbindung auswählen, Öffentliche Schnittstelle markieren, NAT und Basisfirewall aktivieren und die Ports anpassen - und schon geht das alles!

Nochmal Danke für Deine Tipps, läuft alles bestens.
Gruß Stephan
Bitte warten ..
Mitglied: tomyy666
09.05.2008 um 11:36 Uhr
Ich noch einmal,

die Konfiguration ist soweit fertig.
Die beiden SBS 2003 R2 haben keine statischen Routen. RIP ist auch nicht eingeschaltet.

Die statischen Routen (Netzwerkrouten) auf dem TR200bw und dem R3000 sind eingetragen.

Von dem Router A kann ich alles via Ping erreichen, auch die Clients im 172.17. - Netz. Das gleiche funktioniert auch von dem Router B.
Ich kann aber weder von einem Client noch von dem SBS (Standort A hinter dem Router A) in das 172.17. Netz pingen.
Jedoch kann ich von einem Client (auch vom SBS) aus dem Standort A auf die 192.168.1. Netzwerkkarte auf dem SBS in Standort B pingen.
Ein tracert nach 172.17.0.2 von einem Client aus Standort A endet an der LAN Schnittstelle des Routers am Standort A.
Bei den Clients habe ich als Standard Gateway die interne IP Adresse des SBS eingetragen.

Hast Du vielleicht noch einen Tip?

Besten Dank vorab!
Bitte warten ..
Mitglied: tomyy666
09.05.2008 um 12:05 Uhr
... ich habe mir eben noch einmal einige Beträge durchgelesen.
Dabei ist mir aufgefallen, dass ich auf beiden SBS noch NAT eingeschaltet ist! Blöde!!!
Das hatte ich vergessen. Dann kann es mit dem Ping nichts werden.

Ich hatte NAT einmal ausgeschaltet. Dann ging nichts mehr ins Internet.

Zu diesem Problem hatte ich irgendwann mal einen Beitrag gelesen. Habe leider vergessen wo das war.

Im Tunnel ist NAT-T aktiv. Deshalb klappt es wahrscheinlich vom Router aber nicht von den Servern oder Clients. Für die Serverkarte, die ich via Ping erreichen kann, habe ich ein forwarding eingerichtet.

Meine Frage muss ich daher ändern und um Unterstützung für die NAT Abschaltung auf dem SBS bitten.

Besten Dank vorab.
Bitte warten ..
Mitglied: aqui
10.05.2008 um 10:23 Uhr
Das ist dann eher eine Frage für die Rubrik Betriebssysteme -> Windows -> Netzwerk hier im Forum um nicht den Thread hier weiter aufzublähen....
Meist ist dies der Haken Schnittstelle für andere Teilnehmer des Netzes freigeben oder sowas ähnliches in den erweiterten Eigenschaften des Netzwerkkadapters. Gemeinhin bei Windows auch als "ICS" (Internet Connection Sharing) bezeichnet.
NAT darfst du in dem Szenario nicht machen, das ist klar, denn NAT zum Internet macht ja dein Router !!!
NAT musst du nur machen wenn der Router ein Billigstsystem ist und keine statischen Routen supportet. Und dann auch nur auf der NIC zum Router sonst nirgends !

Das ist so im Tutorial auch ganz klar beschrieben !
Bitte warten ..
Mitglied: tomyy666
10.05.2008 um 14:46 Uhr
... jupp, das habe ich auch gelesen und berücksichtigt!

Leider ist es doch kein Betriebssystemthema. Also keine Angst vor Blähungen face-wink
Ich habe mal ein Notebook (ganz ohne NAT) direkt an der Ethernetschnittstelle des Routers angeschlossen. Auch ohne SBS kommen die Pakete nicht in den Tunnel und werden direkt im Internet versenkt. Auch genau so wie es auch beschrieben wird.
Ich denke, das es ein Problem der Konfig (bezüglich der Schnittstellen) des Routers ist. Die Ethernetschnittstelle benötigt vielleicht noch einen Routingeintrag zur virtuellen Schnittstelle des Tunnels. Autodidaktisch bekomme ich das nicht hin.
Dann muss ich wohl das weniger aussagekräftige Handbuch des TR200bw von Funkwerk (kein Billigrouter der statische Routen kann) lesen.
Direkt vom Router aus geht alle wie gewünscht. Nur reicht das nicht.
Bitte warten ..
Mitglied: aqui
10.05.2008 um 15:31 Uhr
Das ist eigentlich verwunderlich, denn das VPN ist ja aktiv auf dem Funkwerk Router terminiert. Also alle Packete die dann zum Router gehen sollten auch problemlos weitergeleitet werden ins VPN wenn die Ziel IP Adresse im VPN liegt.
Eigentlich ist eine statische Route nicht erforderlich, wozu auch wenn das VPN direkt am Router liegt.
Es kann dann eigentlich nur eine Filter oder Firewall Funktion sein was ein Forwarding verhindert, oder das Zielsystem hat fuer den Rueckweg ein falsches Gateway eingetragen, was natuerlich auch moeglich ist !
Es ist ja gerade der positive Sinn und auch der Vorteil eines solchen VPN Routers das das eigentliche VPN auf IHM terminiert ist und er zentral routet und nicht auf einem Server im lokalen Netz, was dann wieder eine Frickelei mit NAT usw. bedeutet und immer eine sehr schlechte Loesung ist letztlich.
Vermutlich kann es sich bei dir dann nur um einen Konfigurationsfehler im Router selber handeln.... face-sad
Bitte warten ..
Mitglied: tomyy666
10.05.2008 um 16:32 Uhr
Firewall, Filter kann ich mir nicht vorstellen. Von dem Router A (Standort A) kann ich ja in das Netz hinter dem SBS am Standort B pingen. Vom Router B (Standort B) funktioniert das auch in das Netz am Standort A.

Bei dem TR200bw werden die Routen zum Zielnetz über das virtuelle Interface des Tunnels eingetragen. Ein Eintrag nur in der Routingtabelle funktioniert nicht. Hat jedenfalls bei mir nicht geklappt.
Die Konfig des TR200bw (Standort A) habe ich mir eben mal angesehen. Der hat keine Filter und keine Firewall aktiv. Soweit ich das beurteilen kann, ist alles OK.
Es muss aber am Router liegen.
Ein tracert vom Notebook in das Netz am Standort B endet immer an der Ethernetschnittstelle des TR200bw. Nur die Serverkarte am Standort B antwortet auch auf einen Ping vom Notebook aus.

Definierte Maßnahme: Handbuch lesen!
Bitte warten ..
Mitglied: staffalex
17.05.2008 um 12:59 Uhr
Hi,
coole Anleitung!
Aus wie immer unerfindlichen Gründen möchte ich gerne noch auf dem Server-PC einen DNS- + DHCP-Server für das 172er Netz laufen lassen. Den DNS- + DHCP-Server auf dem DSL-Router kann ich jedoch nicht abschalten, da dieser über seinen zweiten Netzwerkanschluss noch ein weiteres Netz bedient, das diese Dienste eben genau vom DSL-Router braucht.

Ich suche also eine Anleitung für DNS auf einem Rechner mit zwei Netzwerkkarten, wobei das DNS nur den Teil an einer der beiden Karten bedient. DHCP mit der gleichen Nebenbedingung kommt später dazu.

Ein Tip, wo eine Beschreibung zu finden ist, oder ein entsprechender Link wären schon klasse.

Danke schon mal.
Ciao
Alexander
Bitte warten ..
Mitglied: Frontstyler
26.08.2008 um 21:07 Uhr
Hallo, eine echt schöne Anleitung!
Besonders die Bilder machen das Ganze doch etwas verständlicher - vor allem für Laien wie mich.
Und genau dieses Laien-sein ist wohl auch mein Problem, denn trotz dieser ausführlichen Anleitung bin ich nicht zum gewünschtem Ziel gekommen.....

Also mein Ziel ist es einen PC (PC2) über einen anderen PC (PC1) mit dem Internet (über einen Router) zu verknüfpen und außerdem Dateien zwischen den PC's austauschen zu können.
Dies funktioniert allerdings nur teilweise...

Meine Konfiguration:

Router(D-LINK DI-604(Firmware3.11)):
IP:192.168.0.1
DHCP: AUS

PC1 (Vista Home Premium 64Bit)

Netzwerkkarte #1:
IP:192.168.0.2
Subnetzmaske:255.255.255.0
Standartgateway:192.168.0.1
DNS-Server:192.168.0.1
(Internetverbindung ist freigegeben)
("Diagnose" kann keine Fehler festgstellen)

Netzwerkkarte #2:
IP:172.16.1.1
Subnetmaske:255.255.255.0
Standartgateway: LEER
DNS-Server: LEER
(bei "Diagnose" wird Netzwerkadapter besitzt keine gültige IP-Adresse" angezeigt)

PC2(Vista Home Premium 32Bit)
Netzwerkkarte:
IP:172.16.1.2
Subnetmaske:255.255.255.0
Standartgateway:172.16.1.1
DNS-Server:192.168.0.1
("Diagnose": keine Probleme)

Firewall ist auf beiden PC ausgeschaltet und die Dateifreigabe eingeschaltet.
Meine Probleme:
Ich kann von PC1 nicht auf PC2 zugreifen (freigegebene Dateien).
Angeblich wird PC2 nicht gefunden.("Netzwerkpfad wurde nicht gefunden")
Außerdem werden die Netzwerke (192.168.0.0 und 172.16.1.0) im Netzwerk-und Freigabecenter als voneinander getrennt dargestellt, wobei 192.168.1.0. als Netzwerk identifiziert wird und 172.16.1.0 als "Nicht identifiziertes Netzwerk" bezeichnet wird.
Eine statische DHCP Einstellung am Router habe ich nicht vorgenommen, da ich mir nicht sicher bin, ob dies notwendig ist und wie das genau bei meinem Router funktioniert.
Internetzugang besteht allerdings von beiden PC einwandfrei.

habe ich etwas falsch eingestellt oder habe sonst etwas vergessen?
Danke für Hilfe!

Viele Grüße
Frontstyler
Bitte warten ..
Mitglied: aqui
27.08.2008 um 11:07 Uhr
Das ist auch ganz klar warum das nicht geht !! Wichtig ist ein kleiner Satz in deiner Beschreibung:
"(Internetverbindung ist freigegeben)"

Damit hast du NAT (Netzwerk Adress Translation) aktiviert in PC1. Bei MS heisst das auch Internet Connection Sharing D.h. das Netzwerk 172.1.6.1.0 wird komplett übersetzt auf die IP des PC-1 nämlich die 192.168.0.2 !

Damit ist ein Zugriff dann nicht mehr möglich. Windows erlaubt bei Aktievierung von ICS ausschliessliche die IP 192.168.0.1 auf dem aktiven Gerät !!!
Deine Konfig muss also von vorn herein gleich scheitern, was ein Laie meist nicht weist !!!

Im Tutorial steht auch ganz klar das ICS NICHT eingeschaltet werden soll !!!
Dies ist nur ein Notnagel wenn der Router ein absolutes Billigsystem vom Grabbeltisch ist der keine statischen Routen in seinem Setup supportet !!!
Dann (und nur dann !) kann man ICS (NAT) aktivieren um das Szenario doch noch zum Laufen zu bringen !
Man ist dann allerdings auf Verwendung des 192.168.0.0er Netzes bzw. der .0.1 auf dem PC-1 zwingend festgelegt durch das MS Verhalten in diesem Umfeld !!!

Also für dich gilt:
1.) ICS (NAT) deaktivieren und unbedingt das native Routing bei XP aktivieren in PC-1 wie hier beschrieben:
http://support.microsoft.com/?scid=kb%3Bde%3B315236&x=7&y=14

2.) Wenn du Pech hast und so einen Billigstrouter angeschafft hast der keine statischen Routen kann dann musst du ICS (NAT) verwenden, dein PC-1 muss dann aber zwingend die 192.168.0.1 haben (bekommt er so oder so automatisch wenn du ICS einschaltest !!) und der Router muss dann zwingend eine andere IP haben in diesem Netz z.B. die 192.168.0.254 !!!
Bitte warten ..
Mitglied: Frontstyler
27.08.2008 um 14:58 Uhr
Danke für die schnelle Antwort!
Allerdings hat sie mir nicht weitergeholfen..
Von PC-2 aus kann ich nun gar nicht mehr ins Internet und die Dateifreigabe scheitert schon bei der Suche nach PC-2 von PC-1 aus...
Mein Router ist wie gesagt der D-LINK DI-604, welcher statische IP akzeptieren sollte.

Was kann ich tun??

Meine Konfiguration:

Router(D-LINK DI-604(Firmware3.11)):
IP:192.168.0.1
DHCP: AUS

PC1 (Vista Home Premium 64Bit)

Netzwerkkarte #1:
IP:192.168.0.2
Subnetzmaske:255.255.255.0
Standartgateway:192.168.0.1
DNS-Server:192.168.0.1
(Internetfreigabe deaktiviert)

Netzwerkkarte #2:
IP:172.16.1.1
Subnetmaske:255.255.0.0
Standartgateway: LEER
DNS-Server: LEER
(bei "Diagnose" wird Netzwerkadapter besitzt keine gültige IP-Konfiguration" angezeigt)
(ist dies richtig so?)

PC2(Vista Home Premium 32Bit)
Netzwerkkarte:
IP:172.16.1.2
Subnetmaske:255.255.0.0
Standartgateway:172.16.1.1
DNS-Server:192.168.0.1
kein Internetzugang

....??
Bitte warten ..
Mitglied: aqui
02.09.2008 um 12:16 Uhr
Besser so:

Netzwerkkarte #2:
IP:172.16.1.1
Maske:255.255.255.0
Standartgateway: LEER
DNS-Server: LEER
(Die Diagnose Fehlermeldung ist Unsinn und darf niemals erscheinen !)

PC2(Vista Home Premium 32Bit)
Netzwerkkarte:
IP:172.16.1.2
Subnetmaske:255.255.255.0
Standartgateway:172.16.1.1
DNS-Server:192.168.0.1


Folgende Pingtests von PC-2 sollten zwingend klappen:

PC-2 => PC-1 Karte #2 (172.16.1.1 /24) muss klappen !
PC-2 => PC-1 Karte #1 (192.168.0.2 /24) muss klappen !

Scheitert schon der 2te Ping Versuch dann hast du KEIN Routing auf dem PC- aktiviert !!!
Dazu mittels Start --> Ausführen --> regedit in den Registryeditor wechseln.

HKEY_LOCAL_MACHINE --> System --> CurrentControlSet --> Services --> Tcpip --> Parameters

Unter dem Wert "IPEnableRouter" (REG_Dword)

0=Disabled
1=Enabled ---> Das MUSS aktiviert sein danach reload !

Auch ein Ping:
PC-2 => Router (192.168.0.1 /24) muss nach Aktivierung des Routings an PC-1 zwingend klappen !

Achtung:
Dafür MUSS dein D-Link Router eine statische Route im Router Setup konfiguriert haben ala !!!
Zielnetz: 172.16.1.0, Maske: 255.255.255.0, Gateway: 192.168.02
Ohne diese statische Route funktioniert es NICHT !!!
Kann dein D-Link keine statischen Routen wenn er ein Billigstrouter sein sollte, dann kannst du dieses Routing Szenario nicht umsetzen !!
Du MUSST dann zwangsweise ein ICS Konzept konfigurieren !
Diese Fakten solltest du dir bewusst machen !!

Bevor diese Pings nicht funktionieren, brauchst du gar nicht erst den Internetzugang testen !
Bitte warten ..
Mitglied: delphi1507
24.09.2008 um 01:22 Uhr
Hallo zusammen,
auch ich muss mich hier mal einklinken. Ich habe einen ähnlichen Fall... 2 NIC's im PC LAN und WLAN, sowie einen Lappi mit WLAN sowie einen Router auf LAN Seite des PCs.

Der Lappi soll über den PC ins Internet geroutet werden.
nicht die Optimale Lösung ich weiß aber hier die Praktikabelste...

Der Lappi ist wie Folgt Konfiguriert:

IP 192.168.1.100
SN 255.255.255.0
GW 192.168.1.101

PC

NIC 1 WLAN
IP 192.168.1.101
SN 255.255.255.0
GW leer

NIC 2

IP 192.168.178.21
SN 255.255.255.0
GW 192.168.178.1

Router

IP 192.168.178.21
SN 255.255.255.0

Internetseite Dynamisch

Auf dem PC mit den beiden NIC's ist das Routing aktiviert.
Der Router hat eine Statisch Route
NET 192.168.1.0
SN 255.255.255.0
GW 192.168.178.21

Von dem Lappi aus kann ich beide NICs im PC anpingen
also Ping 192.168.1.100 und 192.168.178.21 sind erfolgreich...
den Router kann ich nicht anpingen..

Vom PC aus kann ich den Router wie gehabt und beide nics anpingen
aber erreiche den Lappi nicht.

Wo liegt mein denk Fehler?
Wäre super wenn mir jemand helfen könnte.

Gruß Sven
Bitte warten ..
Mitglied: aqui
24.09.2008 um 12:04 Uhr
Da du vom Laptop alles pingen kannst ist die Installation in Ordnung ! Auch IP-technisch hast du alles richtig gemacht. (Ggf. noch im Laptopp DNS: 192.168.178.1 eintragen)

Das du vom PC den Laptop nicht pingen kannst liegt sehr wahrscheinlich an der Firewall des Laptops, denn sonst wäre es nicht zu erklären das der Laptop wiederum alles pingen kann.
Am Laptop musst du in den erweiterten Eigenschaften der WLAN Verbindung auf die Firewall Einstellungen gehen -> Erweitert -> ICMP -> Hier den Haken bei "Eingehende Echoanforderungen zulassen" setzen !!

Dann sollte der Laptop auch vom PC pingbar sein !
Denk dran das der PC und Laptop eine Ad Hoc WLAN Verbindung konfiguriert haben müssen aber das ist bei dir sicher schon der Fall, denn sonst wäre ein Ping gar nicht möglich.

Das der Router allerdings nicht pingbar ist, ist unverständlich. Da gibt es 2 mögliche Gründe:
  • Die statische Route ist falsch eingetragen oder funktioniert nicht. Das kannst du ganz einfach testen indem du den Laptop mit einem Kabel an den Router hängst (WLAN dabei deaktivieren !!) der bekommt nun eine .178.x Adresse mit dem Router als GW. Nun pingst du das WLAN Interface vom PC 192.168.1.101. Das sollte klappen wenn die Route im Router funktioniert !!!
  • Du hast auf dem PC eine Firewall aktiv die dir Pakete ins 192.168.1er Segment blockt. Das solltest du in den Firewall Settings am PC unbedingt überprüfen oder die Firewall testweise mal ganz ausschalten.
Bitte warten ..
Mitglied: lupuslupus
06.02.2009 um 12:19 Uhr
Hallo - vielen Dank an den Autor,
aber ich schaffe es einfach nicht, ich kann per "ping" nur bis zum Router vordringen, weiter nicht. Router = Windows XP-PC, Internetanschluss ist eine Fritzbox 7050 per WLAN an den Router angekoppelt. Der Client-PC = Windows XP. Das IP-Forwarding ist auf dem Router aktiviert (1) gesetzt.
Habe schon diverse Rechner getauscht - immer dasselbe.

Sitze jetzt schon den 2.Tag daran und krieger bald ne komplette Meise. Was mache ich falsch (ausser, dass ich mich überhaupt damit beschäftige ...)

Gruß
Lupus
Bitte warten ..
Mitglied: aqui
06.02.2009 um 19:53 Uhr
Da gibt es nur einen Grund:

1.) Du hast den statischen Routing Eintrag auf der FB vergessen !?!

Kannst du aus dem Client Segment BEIDE Netwerk Interfaces des Windows PCs pingen ???

Wenn nicht ist das Routing NICHT deaktiviert ! Ansosnten gilt dann das oben unter 1.) genannte !!!

Kann deine FB keine zusaetzlichen statischen Routen hast du keine Chance und kannst NUR die im Tutorial beschriebene ICS Variante installieren !!!
Bitte warten ..
Mitglied: lupuslupus
06.02.2009 um 20:48 Uhr
Hi !
danke für die schnelle Antwort.

Ich habe es inzwischen rausbekommen, indem ich einen komplett neuen Anlauf gemacht habe.
Es gibt eine überarbeitete Version des Tuts - und da habe ich mir einen Teil davon rausgenommen und an meine Verhältnisse angepasst. Der wesentliche Punkt ist:

Die FB arbeitet jetzt mit statischen Adressen (und statischer Routingtabelle), alle beteiligten anderen rechner auch mit festen Adressen. Offenbar schliesst sich Routing und DHCP aus. Das klappt dann sofort. Jedenfalls habe ich dabei viel zum Thema IP-Routing gelern und damit war die Zeit nicht ganz umsonst verbraucht.

Aber man sieht: Es gibt nirgendwo eine kurze und treffende Anleitung / Beschreibung zum Sachverhalt. Aber eigentlich ist es ganz logisch und einfach. Nur die vielen vielen fragmentarische Informationen aus versch. Teilgebieten, Betriebssystemen und postings tragen eher zur Verwirrung bei.

So habe ich das z.B. stundenlang mit festen Routing-Tabellen im Router versucht, weil ich das in einem UNIX-Buch so gelesen habe ... war gar nicht richtig.

Also,
bis dann.

Wenn es jemanden interessiert, wie es mit einer Konfigurqation
Fritzbox ---- Windows-XP (Router) ------ Windows XP (Arbeitsstation) funtioniert, bitte Frage an mich.

Gruß
Lupus
Bitte warten ..
Mitglied: aqui
09.02.2009 um 19:50 Uhr
Wenn man sich das o.a. Turorial RICHTIG durchliest ist der Sachverhalt recht einfach verstaendlich !
Auch die Beschreibung des Weges eines Paketes beschreibt das Szenario sehr einfach, auch fuer Laien, so das ein funktionierendes Design auch fuer Unkundige sofort konfigurierbar sein sollte.
Man muss nur geduldig und ruhig ALLES lesen...wie immer !
Treffender kann eine Anleitung doch eigentlich nicht sein...oder ???
Verbesserungsvorschlaege dazu sind aber ,wie immer, willkommen.... Bitte per PM

Nochwas zum Thema DHCP und Routing:
Natuerlich schliesst sich das NICHT aus...das waere auch vollkommener Unsinn, denn das eine (autom. IP Adressvergabe) hat mit dem anderen (Wegefindung im IP Netzwerk) rein gar nichts zu tun.
Folglich koennen sich beide Funktionen nicht ausschliessen.
Es ist natuerlich unbedingt drauf zu achten das DHCP IP Adressen und statische IP Adressen sich NICHT ueberschneiden !!!
Generell sollten Routerinterfaces und Server immer statische IP Adressen haben ! Das ist auch explizit so erwaehnt im o.a. Tutorial.
Dennoch schliesst das aber eine Verwendung von dynamischen IP Adressen fuer Clients in den gerouteten Segment NICHT aus.... klar solange es eben keine Adressueberschneidungen mit den statischen Adressen gibt !!!
Das ist vermutlich, wie so oft hier, die (IP) Falle gewesen in die du getappt bist !?
Bitte warten ..
Mitglied: lupuslupus
10.02.2009 um 09:31 Uhr
Hi Aqui,
ja, das stimmt. Mein Beitrag war keine Kritik an deiner Arbeit. !

Gruß
Bitte warten ..
Mitglied: Chrone
16.05.2009 um 16:49 Uhr
Hallo

Danke für das Turorial.

Leider funktioniert es bei mir nicht zu 100%.
Ich habe einige merkwürdige Phänomene, welche für mich unlogisch sind.

Hier meine Konfig:

DSL-Router: IP: 192.168.0.254
Client1: IP: 192.168.0.100; GW: 192.168.0.254

Win2k8 Ent. Router:
Eth1: IP: 192.168.0.230; GW: 192.168.0.254
Eth2: IP: 10.1.1.254; GW: leer

Client2: IP: 10.1.1.10; GW: 10.1.1.254

Auf dem Win2k8-Router habe ich LAN-Routing aktiviert und nichts weiteres mehr konfiguriert.
Auf dem DSL-Router habe ich folgende Route eingetragen: 10.1.1.0 255.255.255.0 192.168.0.230

Wenn ich nun vom Client1 einen Ping auf Client2 (10.1.1.10) mache, dann erhalte ich Antwort.
Mit Tracert sehe ich auch, dass er zuerst auf den DSL-Router und danach auf den Win2k8 Router geht.

Jedoch wenn ich Versuche eine RDP-Session von Client1 auf Client2 zu starten klappt das nicht.


Wenn ich vom Client2 auf den Client1 (192.168.0.100) einen Ping mache, dann erhalte ich keine Antwort.
Mit Tracert zeigt er mir auch hier den Richtigen Weg und findet Client1 über den Win2k8 Router.

Weshalb funktionert Tracert jedoch Ping nicht, meines Wissen basieren doch beide auf ICMP.

Ok, nun aber weiter:
Wenn ich vom Client2 einen Ping auf den DSL-Router (192.168.0.254) mache, dann funktioniert dies.
Auch das Internet funktioniert auf dem Client2.

Wieso kann ich vom Client2 den DSL-Router pingen aber den Client1 nicht? Es sind ja beide im selben Netz.

Testweise habe ich alles auch vom Win2k8 Router getestet.
Ich kann beide Clients pingen, Ich kann den DSL-Router pingen und ich kann mich auf beide Clients per RDP verbinden.
Die WinFirewall habe überall deaktiviert.

Hat jemand eine Idee, wo da der Fehler liegt?

Bin wirklich Dankbar, wenn mir jemand weiterhelfen könnte.
Ich stehe auf dem Schlauch und komme nicht mehr weiter.

Besten Dank und Gruss
Bitte warten ..
Mitglied: aqui
25.05.2009 um 18:48 Uhr
@Chrone

2 mögliche Fehler an denen es zu 99% liegt wie so oft in diesen Fällen !

1.) Möglichkeit:
Bei dir ist die NAT Basisfirewall auf dem routenden Server aktiv !!!
Das kannst du in der Routing&RAS Systemsteuerung sehen !
Ist das der Fall dann macht dein Server NAT, setzt also das gesamte 10.1.1.0er Netz auf die IP seiner NIC 192.168.0.230 um.
Dadurch kann ein Client im .0.0er Netz die NAT Firewall nicht überwinden und damit keine Verbindung bekommen.

2.) Möglichkeit die bei dir vermutlich eher wahrscheinlich ist:
Wenn du sauber ohne NAT routest tauchen alle Pakete an den Client 10.1.1.10 mit einer Quell IP aus dem 192.168.0er Netz auf was ja auch erstmal richtig ist !

Wie du aber sicher selber weisst blockiert die Firewall alle Pakete die NICHT aus dem lokalen Netz, also dem 10.1.1.0er netz kommen ab sofern du die Firewall nicht freigibst das sie RDP Sessions von überall her oder aus dem 192.168.0er Netz akzeptiert !!!

Wie immer ist dein "Problem" also vermutlich nur ein banales Firewallproblem, das du vergessen hast bei beiden Clients die Firewall zu customzen, das sie Connections aus dem jeweils fremden Netz zulässt !!!
Bitte warten ..
Mitglied: fgdkg09
30.12.2009 um 14:51 Uhr
Hallo,

die Anleitung ist sehr gut nachvollziehbar und eigentlich dachte ich, ich würde es jetzt endlich schaffen - doch - irgendwas ist bei meiner Ausgangslage wohl anders, als es sollte. Kurzum - ich wäre für den richtigen Hinweis dankbar.

In meiner neuen Bürogemeinschaft habe ich meinen Windows 2000 Server wieder eingesetzt und will damit über VPN diversen Dritten kontrollierten Zugang verschaffen. Wir haben ein physisches Netz, das über einen Hub verbunden ist. Darin befinden sich zwei IP-Netze, eines wird vom anderen Bürogemeinschaftsbereich (192.168.2.0) genutzt und soll mit meinen (192.168.51.0) nicht mehr als nötig zu tun haben.

DSL macht jetzt eine Fritzbox 7170, die statische Routen kann ( die Speedbox 330 konnte das nicht und liegt aufgrund dieser Anleitung in der Kiste). Meine Konfiguration:

DSL-Router:
IP-Adresse: 192.168.2.1
Maske: 255.255.255.0
Statische Route: 192.168.51.0 Maske: 255.255.255.0 auf 192.168.2.103
Auf dem DSL-Router läuft kein DHCP, alle Clients haben statische IP-Adressen in 192.168.2.0

Server 2K:
Netzwerkkarte 1 (Internet): 192.168.2.103
Maske: 255.255.255.0
Standardgateway: 192.168.2.1
DNS: 192.168.2.1

Netzwerkkarte 2 (mein Intranet): 192.169.51.1
Maske: 255.255.255.0
Standardgateway: kein
DNS: kein

auf dem Server 2K läuft DHCP.
Solange ich das ROUTING und RAS nicht aktiviere funktioniert alles (auch ohne die statische Route im DSL-Router) über NAT

Doch wenn ich es aktiviere und mit dem VPN- Assistenten die Installations-Anleitung von Microsoft (Art. 308208) durchführe, ist der Internetzugang weg, bzw. konkreter - ich kann vom Server 2K den DSL-Router mit IP-Adresse: 192.168.2.1nicht mehr anpingen. Dabei hat der Server die zweite Netzwerkkarte im selben Netz mit eingetragenen Standardgateway !?

Für einen Tipp, was da vor sich geht, wäre ich dankbar.
Bitte warten ..
Mitglied: aqui
30.12.2009 um 16:00 Uhr
Vermutlich hat der Server dann das VPN als Standardgateway konfiguriert. Das sieht verdächtig danach aus. Damit ignoriert er dann ggf. konfigurierte default Gateways. Das musst du also im Setup abschalten.
Es ist also de facto ein Windows Problem only und hat mit deinem Netzdesign rein gar nix zu tun.

Generell solltest du dich fragen ob du dir diese Frickelei mit dem VPN hinter einem NAT Router antun willst. ??
Du hast eine Fritzbox die das zentral viel besser kann:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...

Noch besser wäre ohne Zweifel der Kauf eines Draytek VPN Routers gewesen oder eines VPN Routers der auch das PPTP VPN Protokoll supportet, denn dann hättest du alle bordeigenen VPN Clients von Winblows, Apple Mac, Linux, iPhone usw. nutzen können und wärest was den Zugriff Dritter anbetrifft unabhängiger...
Die FB kann das leider nicht...ist aber letztlich kein Hinderniss.
Denn die FB supportet auch den Zugriff mit einem kostenlosen VPN Client wie dem Shrew Client:
http://www.shrew.net/download
bzw.
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...

Dieser Weg ist erheblich sinnvoller und weniger umständlich als die Frickelei mit Port Forwarding, NAT und dem Server. Letztlich funktioniert das aber auch...wenn man dann das VPN default Gateway wegklickt !!
Bitte warten ..
Mitglied: fgdkg09
18.01.2010 um 16:38 Uhr
hallo aqui,

Danke für die Hilfestellung. Der VPN default Gateway war das Problem. Die danach folgende "Frickelei mit Port Forwarding, NAT und dem Server" ist wohl auch eine Angelegenheit für Hartgesottene, ich jedenfalls habe es bislang nicht hin bekommen und habe nun den Shrew Client und die cfg für die Fritzbox erstellt. Nach meinem Verständnis kann ich nun das Routing und RAS, mit dem ich mich solange beschäftigt habe, wieder deaktivieren. (?)

Eins verstehe ich jetzt nicht: Die FB hat bekommt eine config mit einem Passwort usw.
Kann ich mit den Shrew Client's auch mehrere VPN-Tunnel von Usern unterschiedlicher Standort aufbauen? Auch parallel (d.h. zwei Verbindungen) sollte doch gehen. Haben die dann alle das gleiche Passwort??? das kann doch nicht sein. Mit dem Aktive Directory will ich doch Usern unterschiedliche Berechtigungen erteilen.

Wieviele Clients kann der Shrew Client mit der FB?

Beste Grüße
Bitte warten ..
Mitglied: aqui
23.01.2010 um 18:05 Uhr
Ja, RAS kannst du dann getrost deaktivieren im Server.
Beim VPN ist es so das ein Client immer nur EINE VPN Verbindung öffnen kann. Ein VPN Server hingegen aber mehrere Verbindungen annehmen kann. Die FB oder ein VPN Server allgemein kann also mehrere VPN Clients bedienen aber nicht andersrum.
Anders sieht es bei Router oder Server LAN to LAN VPNs aus, da sind auch mehrere VPN Tunnel logischerweise möglich.
Bitte warten ..
Mitglied: bafo
02.05.2010 um 16:00 Uhr
Hi,
entsprechend der Anleitung habe ich unter Vista mir eine Netzwerk mit einem PC aufgebaut, der als Router dient.
Dazu noch ein Laptop, Drucker und NAS, die alle am LAN hängen.
Auf ihm ist eine Netwerkkarte und eine WLAN-Verbindung installiert.

Auf der Fritz!Box wurde eine feste Route definiert (USB-Stick).
Mit dem PC sind alle Pings erfolgreich (Netzwerk 1und 2).
Vom Laptop kann ich nur das LAN erreichen. Weder Fritz!Box noch die IP des USB-Sticks sind erreichbar.
Innerhalb des LAN sind alle Geräte sichtbar und erreichbar.

Standardgateway zeigt auf den PC, als DNS-Server ist die Fritzbox eingetragen.

Leider komme ich nicht am PC vorbei.
Hatte dort auch mal die Firewall ausgeschaltet, ohne Erfolg.
Ip-Routing wurde in der Registrierung aktiviert.
An der Fritz!Box wurde DHCP deaktiviert.
Zwischen PC und Box hängt ein WLAN-Repeater zur Reichweitenverlängerung.

An der Fritz.Box bekommt dieser eine eigene IP, neben dem USB-Stick. Wie gesagt, als feste Route ist der Stick eingetragen.

Frage an die Profis: Was habe ich nicht richtig gemacht, bzw. was fehlt für eine korrekte Verbindung?
Bitte warten ..
Mitglied: aqui
03.05.2010 um 12:36 Uhr
Benutzt du eine NAT/ICS Konfiguration oder machst du transparentes Routing ???
Das hast du leider noch nicht beantwortet. face-sad
Ein paar Infos mehr zu deinem IP Settings wären auch hilfreich !!
Bedenke das wenn du NAT/ICS machst du im LAN ausschliesslich nur das IP Netz 192.168.137.0 /24 mit Win 7 verwenden kannst. Bzw. es wird von MS vorgegeben wenn du NAT/ICS aktivierst !!
Bitte warten ..
Mitglied: bafo
03.05.2010 um 13:21 Uhr
@aqui

Hier die ergänzenden Infos.
Das Ganze ist als transparentes Routing konfiguriert.

Das WLAN hat den 192.158.178.0 Bereich, LAN ist auf 192.168.123.0 konfiguriert.

Jedes Netz fängt bei 1 an zu zählen. Fritz!Box sowie PC bekommen die 1 zugeordnet.
Bitte warten ..
Mitglied: aqui
03.05.2010 um 13:28 Uhr
Na ja der Routing PC hat ja mindestens 2 IP Adressen !!
Vermutlich scheitert es dann nur an der Windows Firewall !?
Hast du die entsprechend unter Win 7 angepasst ??? Bzw. Hast du auch ICMP (Ping) in der Win Firewall erlaubt ?? (Haken bei auf Echoanforderungen antworten) unter den ICMP Settings pro Adapter ?!
Bitte warten ..
Mitglied: bafo
03.05.2010 um 13:48 Uhr
@aqui,
Win 7 habe ich nicht. Bei mir ist es Vista.

Den entsprechenden Punkt in der Firewall habe ich nicht gefunden. Ich glaube unter Vista gibt es diesen Punkt unter dem Adapter nicht. Unter XP habe ich es gesehen. Sitze leider nicht vor diesem Rechner.

Ich bekomme bei ICMPv6 die Meldung "eingeschränkte Konnektivität". Kann das auch damit zu tun haben?
Bitte warten ..
Mitglied: aqui
03.05.2010 um 15:57 Uhr
Nein, den der Zusatz v6 zeigt dir ja ganz klar das es hier im IPv6 geht was du gar nicht machst du hast ja nur v4 IP Adressen !!
Bei Vista und Win7 musst du in das Suchfeld "Windows Firewall mit erweiterter Sicherheit" eingeben, dann kommst du zu den relevanten Firewall Einstellungen !
Wenn du das Routing aktiviert hast, musst du den Rechner einmal rebooten das das aktiv wird...nur just for info !?
Bitte warten ..
Mitglied: bafo
06.05.2010 um 22:19 Uhr
Ok. Die Firewall Einstellung habe ich gefunden.
Welche Regel muss ich nehmen, eingehende oder ausgehende?

Bei den eingehenden Regeln gibt 3 "Datei- und Druckerfreigabe (Echoanforderung - ICMPv4 eingehend"
Eins für das private, öffentliche und Domänenprofil. Die ersten beiden sind aktiviert.
Das Gleiche ist bei den ausgehenden Regeln vorhanden.

Sollte dies die gesuchten Einstellungen sein, so sind diese aktiviert aber das Problem besteht weiterhin.
Bitte warten ..
Mitglied: aqui
07.05.2010 um 21:24 Uhr
So, ein schneller Testaufbau zeigt das es bei Win 7 auf Anhieb ohne Probleme funktioniert auch ohne FW Frickelei !
Bist du ganz sicher das du transparent routest und wirklich kein ICS machst ?? Für ICS hast du nämlich falsche IPs und damit funktioniert es dann nicht.
Ist ein typischer Fehler der immer gemacht wird mit ICS ....
Wenn du wirklich kein ICS machst, bist du auch ganz sicher das das Routing aktiviert ist ??
Prüfe zudem ob in deinem Windows 7 der Dienst "Routing und RAS" aktiviert ist und läuft !!
Bitte warten ..
Mitglied: bafo
14.05.2010 um 14:33 Uhr
Ja, ich mache transparentes Routing und das Routing ist aktiviert.
Der Dienst "Routing und RAS" ist nicht aktiviert.

Eine Bemerkung: Bei mir läuft Vista kein Windows.


Trotzdem habe ich es geschafft, dass nun alles läuft, mehr oder weniger zufällig.
Der WLAN Repeater wollte nicht mehr, somit habe ich diesen neu in das WLAN Netzwerk einbinden müssen.

Dabei hat sich folgendes geändert.
Vor der der Neueinbindung des Repeaters wurde das WLAN Netzwerk als "privates Netzwerk" ausgewiesen und die Verbindung zum Internet bestand.

Nach der Neueinbindung war das WLAN Netzwerk ebenfalls ein "privates Netzwerk", nur es konnte keine Verbindung zum Internet mehr aufgebaut werden.
Daraufhin habe ich es als "öffentliches Netzwerk" deklariert und siehe da die Internetverbindung stand. Auch das Routing funktioniert nun.
In den erweitereten Firewall Einstellungen kann ich aber keinen Unterschied zwischen dem öffentlichen und privaten Netzwerk erkennen. Die Echoanforderungen sind alle gleich eingestellt.

Es muss noch einen anderen Unterschied geben, der sich mir leider nicht erschließt.

Achso, die WLAN-Steuerung läuft jetzt direkt über Windows nicht mehr über die mitgelieferte Software von AVM.

Ich sag erstmal danke für die Hilfe.
Bitte warten ..
Mitglied: aqui
14.05.2010 um 14:39 Uhr
Wieso ?? Ist Vista denn nicht Windows ?? Das wäre ja neu ???
Der RAS Routing Dienst muss laufen, sonst gibt es generell kein Routing ! Wenn du ein öffentliches Netz nutzt dann machst du automatisch NAT an diesem Interface. Vermutlich bist du letztlich am Firewall profil von Vista gescheitert....
Aber egal..Hauptsache es rennt jetzt !
Bitte warten ..
Mitglied: bafo
14.05.2010 um 14:57 Uhr
Ok, hab die 7 bei Windows 7 vergessen. face-smile

Deiner Meinung nach sollte ich den RAS Routing Dienst noch mit starten oder ist der Dienst bei meiner Konstellation wirkungslos?
Bitte warten ..
Mitglied: aqui
15.05.2010 um 16:34 Uhr
Nöö, wenns jetzt mit NAT rennt und du zufrieden bist ist doch gut. Never touch a running system.. face-wink
Bitte warten ..
Mitglied: bruskin
20.08.2010 um 14:49 Uhr
Hallo aqui,

folgendes Szenario ist vorhanden.

Bestehendes Netzwerk mit WindowsDomäne.
IP-Kreis 1:
10.1.60.0/24
Gateway ist eine LinuxFW inkl. OpenVPN (das nicht gerade stabil läuft finde ich.) Die muss auch weiterhin als Gateway für IP Kreis 1 genutzt werden.

Deswegen habe ich einen DraytekRouter mit ins Netzwerk gehängt (der wunderbar funktioniert), alle Teleworker loggen sich per PPTP ein und sind mit im Netzwerk integriert und können bestens auf den Servern arbeiten.

So nun wollte ich eine LAN-LAN Kopplung aufbauen mit meiner Fritzbox zuhause. Das klappt auch wunderbar. Fritzbox 7170 und Vigor 2900 bauen eine IPSEC-VPN Verbindung auf.

Nun kommen die Probleme:
Wenn ich von mir zuhause über die LAN-LAN VPN einen Ping an den Server im IPKreis 1 schicke, bekomme ich keine Antwort weil ja am Server im IP-Kreis 1 als StandardGateway die LinuxFW und nicht den Vigor hat. dadurch werden diese Pakete ins Nirvana geschickt. Ist mir soweit klar.

Wenn ich das Netzwerk soweit umbaue wie oben beschrieben mit der weiteren Option das:
(ich beziehe mich auf dein erstes Bild der Anleitung)

Die Clients aus dem LAN-2 über ein zusätzliches Gateway im LAN-2 ins internet gehen. somit muss vom Server/PC die NIC im LAN-2 das Gateway vom LAN-2 als Standard haben (vermute ich mal)
Die VPN-Teleworker und die LAN-LAN Kopplung über den Router aus dem LAN-1 kommen und ins LAN-2 die Server erreichen wollen läuft dann wie in der Anleitung die Internetverbindung.
Sozusagen wird ein ping vom Fritzboxnetzwerk über VPN zum Draytek zum LAN-2 Segment geschickt wieder zurückfinden, wenn der Server/PC das StandardGateway vom LAN-2 hat?
Danke im Voraus
Ich hoffe ich habe mich verständlich ausgedrückt, wenn noch fragen kann ich ne skizze bereitstellen.
VG
bruskin
Bitte warten ..
Mitglied: aqui
20.08.2010 um 19:51 Uhr
Bevor du es nun ganz kompliziert machst warum belässt du es nicht so wie es ist und trägst auf dem Server im IP Segment 1 einfach eine statische Route ein von deinem Netz zuhause an der Fritzbox ?? Dann routet der Server dieses doch an den Draytek und nicht an die Linux FW ins Nirwana.
Das ist in 3 Minuten gemacht und erspart dir jegliche zusätzliche Frickelei.
Wenn also dein FB Netzwerk zuhause die 192.168.178.0 / 24 ist und der Draytek im IP Segment die Adresse 10.1.60.254 hat dann lautet die statische Route auf dem Server:
route add 192.168.178.0 mask 255.255.255.0 10.1.60.254 -p
Fertig bist du und der Server schickt deine VPN Pakete an den Draytek.

Genauso kannst du der Linux FW eine statische Route verpassen statt auf dem Server. Die Syntax lautet genau so ohne das "-p" allerdings. Oder du machst das über das grafische Netzwerktool des Linux Rechners mit 3 Mausklicks. Dann schikt der Linux FW/Router die Pings statt ins Nirwana and den Draytek und dann zu dir.
Einfacher gehts doch nicht, oder ? Warum also umständlich frickeln ??

Übrigens eine Anleitung für einen "stabilen" OpenVPN Firewall Router findest du hier:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Bitte warten ..
Mitglied: bruskin
21.08.2010 um 15:56 Uhr
Danke für den Tipp.
Soweit verständlich und funktioniert auch. Somit muss ich auch auf den anderen Servern (3Stück) diese Route eintragen damit darauf ein Zugriff erfolgen kann.
Einziger nachteil, man muss die Routen immer selber pflegen, wenn noch weitere LAN-LAN Kopplungen dazukommen oder wegfallen.

Was mach ich mit DNS zugriffen in die Domäne?
Per IP geht es ja!
z.B. Outlook zugriffe auf den Exchange server oder Netzlaufwerke per Servername?

Ich muss doch irgendwie der Fritzbox sagen das sie beim vergeben der DHCP Daten auch 2 DNS IPs vergibt. (Am Notebook selbst kann man ja auch manuell DNS-Server eintragen, weiß ich. Bringt aber nix wenn man mal unterwegs ist und woander sich connected.)
Oder denk ich schon wieder zu kompliziert.
VG
bruskin
Bitte warten ..
Mitglied: bruskin
24.08.2010 um 17:53 Uhr
Habe es nun so gelöst.
Die hosts Datei per GPO mit den passenden Einträgen ergänzt.
Danke
Bitte warten ..
Mitglied: aqui
25.08.2010 um 12:39 Uhr
Du hast Recht das der gravierende Nachteil von Eintelrouten auf den Servern die Managebarkeit ist.
Deshalb ja auch der Tip die Route zentral auf dem Internet Router einzutragen. Das machst du dann nur einmal und sie gilt für alle Endgeräte im Netz global.
Dieser Weg ist erheblich sinnvoller und sicherer, denn...
Routen sollen immer die Router in einem Netzwerk (deshalb heissen sie auch so...) und NICHT Server oder andere Endgeräte !
Bitte warten ..
Mitglied: 08fresh15
25.09.2010 um 11:18 Uhr
Hallo aqui,
wirklich Klasse diese Anleitung.
Leider habe ich als Laie noch ein paar Verständnisprobleme und würde mich über Deine/Eure hilfe sehr freuen.
Bei mir befindet sich der Router (Fritzbox) im Clientnetzwerk.

Hier meine Konfigurationen:
Es besteht eine Domäne (2008 Server) mit DHCP, DNS und zwei Netzwerkkarten

Router: Fritzbox 7270
IP: 192.168.182.8
DHCP deaktiviert

Server:
Nic1:
IP: 192.168.182.10 Maske 255.255.255.0
GW: 192.168.182.8
DNS: 192.168.182.10

Bei den DHCP Serveroptionen ist die Fritzbox 003 eingetragen, sowei die Einträge
005, 044, 045 Nic1, 015 Domänenname und 006 die IP des DNS Servers (Nic1) und an zweiter Stelle die fritzbox

Alle Clints befinden sich im gleichen Netz wie Nic1 und bis hierhin ist alles super und funktioniert.

Nun soll eine Verbindung zu einer zweiten Domäne über eine zweite Netzwerkkarte im Server
hergestellt werden.
Die zweite Nic besitz folgende konfiguration:
IP 192.168.185.10
Maske 255.255.255.0
GW: leer
DNS: leer

Wenn ich nun Routing/Ras via Lan aktiviere komme ich von den Clients nicht
auf den "entfernten" Server der zweiten Domäne.
Ich komme mit den Clients via ping "nur" bis zur ersten Nic.

Ich hoffe keine Informationen vergessen zu haben und würde mich über
Hilfe von euch sehr freuen.
Bitte warten ..
Mitglied: aqui
26.09.2010 um 17:56 Uhr
Einen Punkt hast du vergessen... Leider schreibst du nicht ob du NAT machst (Adress Translation) auf der NIC-2 oder ein transparentes Routing ?? Deshalb müssen wir nun etwas raten. Wir gehen aber mal davon aus das du transparentes Routing, also ein freies Verbinden der beiden Netze machen willst, was so oder so zwingend nötig ist bei der Domain Kopplung. NAT ist also eh' ein no go für dich in dieser Konstellation !
Nimmt man alle deine Angaben zusammen müsste dein Netz so aussehen, richtig ?

Klicken Sie auf das Bild, um es zu vergrößern - 94cae13f0df7ddeb51f012886c93caab.jpg


Nach dem obigen Fehlerbild hast du vermutlich ein klassisches Routing Problem im neuen Segment (NIC-2) in der Form das du dort ein falsches oder gar kein Gateway bei den Endgeräten eingetragen hast ?!
Als Gateway muss hier dein Server mit den 2 NIC-s stehen nämlich NIC-2 mit der 192.168.185.10. Dann sollte der Ping mit den IPs sofort auf Anhieb klappen !
Deine ToDos bzw. Checks sind also folgende:
  • Kein NAT verwenden auf dem Server ! "Richtiges" Routing aktivieren !!
  • Gateways der Endgeräte im 192.168.185er IP Segment überprüfen das die auf die Server NIC-2 (192.168.185.10) zeigen
  • Ggf. lokale Firewall dieser Geräte anpassen das die Zugriffe aus dem 192.168.182er Netz zulassen wenn gewollt (gilt auch umgekehrt für die 182er Geräte !)
  • Bei Domänen eine Vertrauensstellung einrichten aber das ist Windows Kram der erstmal mit dem Roting rein gar nix zu tun hat !
Wenn du das alles beachtest sollte dein Szenario im Handumdrehen zum Fliegen kommen !
Noch ein Tip: Bei der DHCP Konfig von oben musst du die FB nicht als 2ten DNS eintragen, das bringt eh nichts denn die Timeout Zeiten bei Nichterreichen sind dann zu lang. Vielmehr Sinn macht es in der DNS Konfig des Servers, der ja zentraler DNS ist eine Weiterleitung auf die IP Adresse der FritzBox zu konfigurieren. Alles was der Server dann nicht lokal auflösen kann reicht er weiter an die FB.
Hast du vermutlich aber intuitiv eh' schon gemacht ?!
Bitte warten ..
Mitglied: 08fresh15
27.09.2010 um 09:07 Uhr
Hallo aqui,
vielen Dank für Deine Ausführungen.
Die Abbildung entspricht fast meiner Konfiguration, außer das es keinen Client im 185er Netz gibt, da auch der 2.Server über 2 Nic's verfügt und die Client's am 2. Server dann in einem 192.168.0.0 Netz hängen.
Die Clients im 0.0er Netz möchte ich aber gar nicht erreichen können.

Die Clients im 182er Netz haben momentan als GW die Fritzbox eingetragen. Wenn ich Dich richtig verstanden habe muß ich das ändern und hier die x.x.182.10 eintragen?
In der FB habe ich auch eine statische Route eingetragen.
Eine Weiterleitung ist im DNS Server auf die FB eingerichtet. Auch wurde der DNS Server an beide NIC's gebunden.
Unter den DHCP Optionen habe ich die FB,wie Du mir angeraten hast entfernt.

NAT ist weder am Server noch an den Clients aktiviert.

Auch habe ich alle Firewall's zu Testzwecken deaktiviert,doch leider
kriege ich noch keinen Ping vom 182er Client zur 185er Nic im Server1.

Sind folgende Einträge am 1. Server richtig?
Nic1
IP 192.168.182.10
Maske. 255.255.255.0
GW: 192.168.182.8
DNS: 192.168.182.10

Nic2 (verbindung zum 2. Server)
IP 192.168.185.10
Maske: 255.255.255.0
GW:leer
DNS: leer

Benötigst Du weitere Informationen?
Über weitere Hilfe wäre ich Dir dankbar.
Bitte warten ..
Mitglied: aqui
27.09.2010 um 18:01 Uhr
Ja, deine Einstellungen sind alle richtig !
Die Kardinalsfrage die sich stellt: Ist im Server 2 Client Segment (192.168.0.0 /24) ebenfalls ein Router ??
Wenn ja hat der Server 2 ggf. eine default Route auf diesen Router ??
Wenn auch ja, ist es ja vollkommen logisch das dein Ping nicht beantwortet wird, denn deine Pings kommen mit der Absenderadresse 192.168.182.x am Server-2 an. Dieses Netzwerk "kennt" der Server 2 aber logischerweise nicht, denn es ist ja NICHT direkt an ihm angeschlossen !
Folglich sieht er in seine Routing Tabelle sieht dort den default Gateway Eintrag und schickt das Ping Antwortpaket dann statt auf deinen 192.168.182er Client dann an diesen Router im 192.168.0.0er Netz (oder wo immer sein default Gateway hinzeigt) und dort verschwindet es dann im Nirwana und du siehst keine Antwort !!
Wenn dieser Server-2 so einen lokalen Router hat und auch das Standardgateway auf ihm so konfiguriert bleiben muss, dann musst du ihm eine dedizierte statische Route in dein .182er Netzwerk "beibringen".
Das geht ganz einfach indem du Server 2 folgendes Kommando auf der Eingabeaufforderung eingibst:
route add 192.168.182.0 mask 255.255.255.0 192.168.185.10 -p
So sähe es dann aus:

Klicken Sie auf das Bild, um es zu vergrößern - 0c12a8fa9ccb0c58bf512fa4f58d19c7.jpg


Damit routet er dann alle Pakete ins 192.168.18.0er Netz statt auf sein Standardgateway dann an deinen Server 1 mit der 192.168.185.10 !! Und alles ist gut !!
Tabell kannst du am Server-2 dann mit route print überprüfen ! Das "-p" macht diese Route im Server 2 "permanent" damit sie nach einem Reboot nicht wieder verschwindet !
Bedenke das der Server 2 auf seiner NIC-2 auch nur IP und Maske konfiguriert haben darf aus dem 192.168.185.0er Netz !
Bitte warten ..
Mitglied: 08fresh15
27.09.2010 um 18:28 Uhr
Danke für Deine Hilfe.
Ich kann das leider erst frühestens übermorgen probieren.
Sobald ich alles testen konnte gebe ich sofort Feedback.

Das mit dem Router hinter dem 2. Server ist korrekt. Ich habe es verduselt zu sagen.
Dennoch dachte ich, das wenn ich nur die IP im 1. Server anpingen würde (192.168.185.10),
er mir dennoch antwortet, da ich ja nicht bis zum 2. Server pinge. Liege ich damit falsch?
Bitte warten ..
Mitglied: aqui
27.09.2010 um 18:57 Uhr
Nicht denken sondern NACHDENKEN !!!
Oben ist doch genau beschrieben was passiert wann du pingst: Weil du es bist und es ja verstehen sollst hier also nochmals der genaue Weg deines Ping Paketes:
  • Deine Pings (ICMP Pakete) kommen mit der IP Absenderadresse 192.168.182.200 (dein Client) am Server-2, NIC-2 (192.168.185.20) an.
  • Server-2 will nun die Ping Antwort an deinen Client (Ziel IP Adresse 192.168.182.200) zurückschicken
  • Dieses 192.168.182.0er Netzwerk "kennt" der Server 2 aber logischerweise nicht, denn es ist ja NICHT direkt an ihm angeschlossen. Raten oder hellsehen das es sich "hinter" Server-1 befindet kann er ja nicht.
  • Server-2 weiss nun nicht wohin mit dem Antwortpaket und sieht hilfesuchend in seine lokale Routing Tabelle und sieht dort nur den default Gateway Eintrag auf den lokalen Router (192.168.0.1) wo er alle Pakete hinschickt deren Weg zum Zielnetz er nicht kennt
  • Der Router weiss ja wo es hin muss (dafür ist er ja Router !) "denkt" sich Server-2 und schickt dein Ping Antwortpaket dann statt auf deinen Server und dann zum 192.168.182er Client nun an diesen Router im 192.168.0.0er Netz wo ja auch sein default Gateway hinzeigt !
  • Der 192.168.0.0er Router hat eine default Route zum Provider und schickt damit auch dein Ping Antwortpaket nun Richtung Internet Provider
  • 192.168.x.x sind aber RFC 1918 private IPs die es im Internet gar nicht gibt und der Provider löscht sie gnadenlos und dort verschwindet deine Ping Antwort dann auf nimmer Wiedersehen im Nirwana bzw. großen Paket Mülleimer !!
Nun klar geworden ???
Kanst du auch HIER nachlesen ! Man muss nur mal genau hinsehen !
Bitte warten ..
Mitglied: 08fresh15
28.09.2010 um 10:54 Uhr
Hallo aqui,
ich habe nun alles wie oben beschrieben eingestelt und auch am 2. Server den route Befehl eingetragen.
Jedoch habe ich immer noch kein Erfolg.
Leider ist es nur im "eigenen" Netz möglich einen ping mit Antwort zu erhalten.
Da selbst die 2. Netzwerkkarte im 1.Server nicht gefunden wird, habe ich ein route print auf
dem ersten Server durchgeführt.
Leider bekomme ich hier in diesem Thread keine Möglichkeit ein Bild anzufügen.
Meine Routingtabelle sieht beispielhaft so aus:
Netzwerkziel 192.168.185.0
Netzwerkmaske 255.255.255.0
Gateway: Auf Verbindung
Schnittstelle 192.168.185.10
Metrik 266

Die anderen Routen sind auch so und haben im Gateway immer "Auf Verbindung" stehen.
Ist das Richtig so?
Trage ich an den Clients aus dem 182er Netz als GW den Server 1 ein, so bekomme ich auch
keine Verbindung zum Internet. Die statische Route in der FB habe ich nochmals überprüft
und im DNS Server unter Eigenschaften -> Weiterleitungen, die IP der FB eingetragen,

Jetzt hoffe ich darauf, das DU mir noch Tips geben kannst.
Evtl. auch, wie ich den Fehler weiter eingrenezn kann.
Bitte warten ..
Mitglied: aqui
28.09.2010 um 11:07 Uhr
  • Hast du die statische Route auf der FritzBox eingetragen ???
  • Wenn dein Client die Fritzbox als default Gateway eingetragen hat dann MUSS dort eine statische Route eingetragen sein ala:
Zielnetz: 192.168.185.0 Maske: 255.255.255.0 Gateway: 192.168.182.10
Ohne diese statische Route auf der FB geht es NICHT !!
  • Kannst du direkt von Server-1 die NIC-2 (192.168.185.20) an Server-2 pingen ??
  • Kannst du direkt von Server-2 die NIC-2 (192.168.185.10) an Server-1 pingen ??

Das du kein Internet bekommst wenn du das Clientgateway auf die .10 umstellst erhärtet die Tatsache das du auf der FB diese statische Route vergessen hast !!
Was sagt ein Traceroute (tracert) oder Pathping auf das Ziel ??
Hast du die lokalen Firewall entsprechend angepasst und Zugriffe aus dem .182er IP Netz erlaubt ??

(Bitte weitere Kommentare per PM um das Tutorial nicht zu sehr aufzublähen !)
Bitte warten ..
Mitglied: aqui
09.10.2010 um 14:33 Uhr
Feedback zur Lösung des obigen Problems:
Kollege 08fresh15 hatte eine lokale Firewall eines Drittherstellers die ihm das Leben schwergemacht hat. Auch eine Deaktivierung brachte nichts. Erst die Komplette Deinstallation hat das Routing so aktiviert wie es sollte.
Aus diesem Anlass sei nochmals darauf hingewiessen das solche zusätzlichen Firewalls (die zumeist überflüssig sind) häufig Quell solcher Probleme sind. Oft nisten die sich so tief ins System ein das erst eine Deinstallation wieder den Grundzustand herstellt.
Manchmal hilft nicht einmal dieses mehr wie man an einem üblen Vertreter dieser Zunft wie Zone Alarm sehen kann !
Bitte warten ..
Mitglied: aqui
16.02.2011 um 18:02 Uhr
Ist vermutlich nur ein SMB spezifisches Problem bei dir. Kommentare dann im o.a. Thread bitte..
Bitte warten ..
Mitglied: Mar-west
10.10.2011 um 21:40 Uhr
Bitte warten ..
Mitglied: aqui
11.10.2011 um 15:15 Uhr
???
Bitte warten ..
Neuester Wissensbeitrag
BASIC
Tipp: Für all jene, die schnell mal eine <u>simple HTML-Tabelle</u benötigen, ist das folgende Skript gedacht. Der Name der fertigen Tabelle sowie die Anzahl der Spalten und Zeilen wird ... von Gurkenhobel, in BASIC
Diese Inhalte könnten dich auch interessieren
Router & Routing
Frage: Hello, erstens sorry dass ich die Frage nicht richtig formulieren konnte, weiss einfach nicht wonach ich genau suchen muss ausser routing. Gut, mein problem ist: MEIN HARDWARE: Ich ... von JOOKER, in Router & Routing
LAN, WAN, Wireless
Link: Hallo, bis vor kurzem war der Server nur kostenpflichtig erhältlich, das hat sich nun geändert und der Server ist nun OpenSource. Da hier im Forum des öfteren nach ... von Dobby, in LAN, WAN, Wireless
Linux
Frage: Hallo zusammen Ich bin gerade an meiner Abschlussarbeit zum Informatiker, nun stehe ich bei einem Thema an. Das Thema ist der Vergleich zwischen Windows- und Linux-Gruppen. Denn ich ... von Gansterjo2, in Linux
Datenbanken
Frage: Hi, ich habe auf einem Windows 2008 Server ein Postges DB 9.0 laufen. Ich hätte gern Read Only Replikation auf Linux um mit aufwendigen Querys etc nicht die ... von q16marvin, in Datenbanken
Windows Server
Frage: Hallo alle zusammen, wir sind gerade dabei, den als VPN-Server genutzten Server 2003 durch einen Server 2008 zu ersetzen. VPN-Einwahl und LAN-Routing funktionieren bestens unter dem alten Server. ... von KlaraFall, in Windows Server
Heiß diskutierte Inhalte
Netzwerkmanagement
Frage: Hallo Leute, Ich habe wieder ein Problem. Ich habe im Geschäft einen PC der mit dem Firmen Netzwerk verbunden ist. Wir nutzen immer die Remotedesktopverbindung funktioniert auch immer. ... von Questionmark93, in Netzwerkmanagement
Netzwerke
Frage: Hallo, ich habe jetzt schon den halben Nachmittag damit verbracht eine VPN Verbindung zu erstellen bzw. nach einer passenden Lösung im Internet zu finden - leider ohne Erfolg! ... von Nutzername123, in Netzwerke
Festplatten, Raid
Frage: Hallo zusammen, folgende Ausgangslage: HP ProLiant ML350 G5 Server 4x HP SAS Festplatten davon 1 Hotspare im RAID5 Verbund. Smart Array P400 Controller Aufgrund einer elektrotechnischen Überprüfung im ... von e2Mario, in Festplatten, Raid
Windows Server
Frage: Hallo zusammen, ich habe derzeit ein kleines Problem und hatte gehofft das ich hier evtl. ein paar Tips bekommen könnte. Es geht um einen Betrieb den mein Chef ... von aladini, in Windows Server
Netzwerk
Frage: Gute Tag, folgendes Problem stellt sich nach einer Umstellung einiger Systembezogenen Optionen bei uns ein. Ich setze in unserer Firma seit kurzer Zeit Redirected Folders mit Offline Files ... von m.pohl, in Netzwerk