9
3xDSL, 2xVPN Router win2k3
Ich stehe völlig auf dem Schlauch
Hallo,
ich habe hier ein Autohaus zu mit folgender Konfiguration:
3 separate DSL Anschlüße, 2 VPN - Router DYXEL Vigor, 1 Server Win 2003 SBS , 12 Clients, Drucker
Nun hat der 1. VPN-Router eine feste IP 10.164.40.38 255.255.255.128
der 2. VPN- Router eine feste IP 10.204.105.97 255.255.255.224
der 3. DSL Anschluß hat keine feste IP von außen, und soll zum server verwendet werden.
Das Windows Netzwerk hat über Server DHCP 10.164.40.xxx
Verschiedene Webseiten machen es erforderlich, dass ich mal über VPN1 ins Netz muß, mal über VPN2
wie löse ich das Problem?
Vielen Dank für Eure Hilfe
CFGODW
ich habe hier ein Autohaus zu mit folgender Konfiguration:
3 separate DSL Anschlüße, 2 VPN - Router DYXEL Vigor, 1 Server Win 2003 SBS , 12 Clients, Drucker
Nun hat der 1. VPN-Router eine feste IP 10.164.40.38 255.255.255.128
der 2. VPN- Router eine feste IP 10.204.105.97 255.255.255.224
der 3. DSL Anschluß hat keine feste IP von außen, und soll zum server verwendet werden.
Das Windows Netzwerk hat über Server DHCP 10.164.40.xxx
Verschiedene Webseiten machen es erforderlich, dass ich mal über VPN1 ins Netz muß, mal über VPN2
wie löse ich das Problem?
Vielen Dank für Eure Hilfe
CFGODW
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 102221
Url: https://administrator.de/contentid/102221
Printed on: April 18, 2024 at 17:04 o'clock
9 Comments
Latest comment
mir ist nicht ganz klar wieso du die vpns über 3 dsl aufteilen musst und nicht die vpns über einen uplink machst.
Da könnte der Grund sein, dass die VPNs nur von einer bestimmten registrierten IP aufgebaut werden können. Ummelden wäre dann möglich, klar, aber vielleicht dauert das zu lange...
Haben die User, die das VPN-Gateway wechseln müssen, Administratorrechte an den PCs? Denn dann sollte es doch ganz billig sein, das Standardgateway schnell per Skript zu ändern
(á la "netsh interface ip set addr ... "). Oder muss der Zugang über die beiden VPNs gleichzeitig möglich sein? Dann müsste man halt die Routingtabelle auch noch per Skript anpassen, sodass bestimmte Adressen eben nicht über das Standardinterface angesteuert werden, sondern über eines der beiden VPN-Gateways - wenn die IP des richtigen VPN-Routers eingetragen ist, sollte der ja dann den Verkehr weiterleiten. Oder habe ich da jetzt irgendetwas nicht berücksichtigt?
Haben die User, die das VPN-Gateway wechseln müssen, Administratorrechte an den PCs? Denn dann sollte es doch ganz billig sein, das Standardgateway schnell per Skript zu ändern
(á la "netsh interface ip set addr ... "). Oder muss der Zugang über die beiden VPNs gleichzeitig möglich sein? Dann müsste man halt die Routingtabelle auch noch per Skript anpassen, sodass bestimmte Adressen eben nicht über das Standardinterface angesteuert werden, sondern über eines der beiden VPN-Gateways - wenn die IP des richtigen VPN-Routers eingetragen ist, sollte der ja dann den Verkehr weiterleiten. Oder habe ich da jetzt irgendetwas nicht berücksichtigt?
da faßt man doch alle Anschlüsse auf einem vernünftigen Router zusammen (load-balancing) und arbeitet ggegebenenfalls mit VLANs, oder irre ich mich.
p.s.: mir war nicht bekannt, daß die Firma Draytek die Firma Zyxel geschluckt hat.
Gruß,
Arch Stanton
p.s.: mir war nicht bekannt, daß die Firma Draytek die Firma Zyxel geschluckt hat.
Gruß,
Arch Stanton
erstmal vielen Dank für Eure Hinweise.
Natürlich sind die VPN Router von Draytek.
Erst war ein Server mit nur einem VPN Router vorhanden. Da konnten die Mitarbeiter Ihre Bestellungen machen, Autos ordern u.s.w.. Nun kam aber noch eine weitere Automarke hinzu. Die Aussage des Herstellers ist: es muß ein separater Zugang vorhanden sein. Gesagt, getan. Der 2. DSL Anschluß wurde geschaltet. Den 3. DSL Anschluß kann ich erstmal außer acht lassen, der wird erst Mitte 2009 benötigt.
Nun verteilt ja mein SBS 2003 die Einstellungen an seine Clients mittels DHCP.
Also habe ich die 2. Netzwerkkarte des Servers aktiviert und Ihr
IP 10.204.105.98
SM 225.225.225.224
SG 10.204.105.97 = IP Adresse des 2. VPN Routers
zugewiesen.
Es besteht eine direkte Kabelverbindung dieser Karte zum VPN Router, kommt somit nicht mit dem vorhabdenen Netzwerk in Berührung.
Die 1. Netzwerkkarte , welche auch das Firmennetz bedient hat:
IP 10.164.40.84
SM 255.255.255.128
SG 10.164.40.38 = IP Adresse des 1. VPN Routers
In diesem Netz befinden sich alle Clients und Drucker.
Wie bringe ich meinem Server bei, bei Eingabe der IP: 10.112.235.91 über den 2. Router zu gehen
und bei allen anderen Eingaben über den 1. Router?
Etwa Routing & Ras? DNS ?? Ich habe keinen Schimmer
Vielen Dank
Natürlich sind die VPN Router von Draytek.
Erst war ein Server mit nur einem VPN Router vorhanden. Da konnten die Mitarbeiter Ihre Bestellungen machen, Autos ordern u.s.w.. Nun kam aber noch eine weitere Automarke hinzu. Die Aussage des Herstellers ist: es muß ein separater Zugang vorhanden sein. Gesagt, getan. Der 2. DSL Anschluß wurde geschaltet. Den 3. DSL Anschluß kann ich erstmal außer acht lassen, der wird erst Mitte 2009 benötigt.
Nun verteilt ja mein SBS 2003 die Einstellungen an seine Clients mittels DHCP.
Also habe ich die 2. Netzwerkkarte des Servers aktiviert und Ihr
IP 10.204.105.98
SM 225.225.225.224
SG 10.204.105.97 = IP Adresse des 2. VPN Routers
zugewiesen.
Es besteht eine direkte Kabelverbindung dieser Karte zum VPN Router, kommt somit nicht mit dem vorhabdenen Netzwerk in Berührung.
Die 1. Netzwerkkarte , welche auch das Firmennetz bedient hat:
IP 10.164.40.84
SM 255.255.255.128
SG 10.164.40.38 = IP Adresse des 1. VPN Routers
In diesem Netz befinden sich alle Clients und Drucker.
Wie bringe ich meinem Server bei, bei Eingabe der IP: 10.112.235.91 über den 2. Router zu gehen
und bei allen anderen Eingaben über den 1. Router?
Etwa Routing & Ras? DNS ?? Ich habe keinen Schimmer
Vielen Dank
Von den IPs die du hier im Beispiel verwendet gehe ich mal davon aus, dass es hier um eine Standleitung geht.
Wenn du nun willst, dass der eine Traffic über A und der andere über B geht brauchst du erstmal einen kompetenten Router, in dem du diese Routen anlegen kannst und der auf den Clients als Router eingetragen wird.
Also etwa folgendes Schema:
(Senkrechte Striche sind Switche)
So hast du erstmal erreicht, dass die Clients die entsprechenden Server erreichen können.
Im zweiten Schritt musst du nun euren DNS-Server mit Stubzonen für die einzelnen Netze A erweitern:
Z.B. bekommt ihr von Hersteller A einen DNS-Server mitgeteilt und die Bestellanwendung läuft über order.hersteller.vpn.
In dem Fall trägst du in eurem DNS-Server die Stubzone order.hersteller.vpn ein mit einem Verweis auf den zugeteilten DNS-Server.
Grüße
Max
Wenn du nun willst, dass der eine Traffic über A und der andere über B geht brauchst du erstmal einen kompetenten Router, in dem du diese Routen anlegen kannst und der auf den Clients als Router eingetragen wird.
Also etwa folgendes Schema:
| |------- Router A
| |
| |
Clients ---|----- Router C ---|------- Normales Internet
| |
| |
| |------- Router B So hast du erstmal erreicht, dass die Clients die entsprechenden Server erreichen können.
Im zweiten Schritt musst du nun euren DNS-Server mit Stubzonen für die einzelnen Netze A erweitern:
Z.B. bekommt ihr von Hersteller A einen DNS-Server mitgeteilt und die Bestellanwendung läuft über order.hersteller.vpn.
In dem Fall trägst du in eurem DNS-Server die Stubzone order.hersteller.vpn ein mit einem Verweis auf den zugeteilten DNS-Server.
Grüße
Max
Die Lösung ist ganz einfach !!
Dein Netzwerk sieht ja vermutlich so aus:
Was du jetzt machst ist folgendes:
IP: 10.204.105.98
Maske: 225.225.225.224
Gateway: leer lassen !
DNS: leer lassen !
1. Netzkarte
IP 10.164.40.84
Maske: 255.255.255.128
Gateway: 10.164.40.38 = IP Adresse des 1. VPN Routers
DNS: 10.164.40.38 = IP Adresse des 1. VPN Routers
(Oder Weiterleitung auf diese IP wenn du einen DNS im Server selber betreibst !!)
So, generell sendet der Server mit dieser Einstellung alles über den Router 1, das ist klar.
Du musst dem Server jetzt nur noch beibringen, das er alles was an die Hostadresse 10.112.235.91 gehen soll doch bitte über Router 2 schickt.
Der Server muss RAS bzw. Routing aktiviert haben. Wie das geht siehst du am Schluss dieses Textes (URL)
Das Weiterleiten erreichst du ganz einfach mit einer statischen Route im Server selber die da lautet:
route add 10.112.235.91 mask 255.255.255.255 10.204.105.98 -p
Das "-p" kannst du für erste Versuche erstmal weglassen, denn es macht die Route permanent das sie nach dem nächsten Reboot des Servers nicht wieder verschwunden ist !!!
Achtung !!! Es lauert eine Falle, denn du teilst uns ja leider nicht mit WELCHES Standardgateway deine Clients im Firmennetz 10.164.40.0 /25 benutzen !!!
Ist das der Server reicht die o.a. statische Route !
Ist es der Router 1 selber 10.164.40.38 dann kennt dieser das 10.204.105.96er Netzwerk natürlich nicht und würde die Pakete wieder ins Internet schicken wo sie versacken...
Wenn das der Fall ist musst du hier im Vigor in Setupmenü bei Feste Adressumleitung ebenfalls eine statische Route eintragen die da heisst:
Ziel IP Adresse: 10.112.235.91
Subnetzmaske: 255.255.255.255
Gateway IP Adr.: 10.164.40.84
Damit routet dieser Router die Pakete dann an den Server und hier greift dann die o.a. Serverroute die alles dann weiterleitet an Router 2 und gut ist !!
Das ist aber nur relevant wenn auch Clients zum Host 10.112.235.91 müssen. Wenn nicht und nur der Server kannst du diese Route im Router 1 weglassen. Schaden kann sie aber nicht !
Denk dran die Route am Server mit dem -p zu versehen wenn alles rennt !
Ansonsten findest du weitere Anregungen hier. Insbesondere wie man das Routing auf dem Server aktiviert:
Dein Netzwerk sieht ja vermutlich so aus:
Was du jetzt machst ist folgendes:
- Einstellung der beiden Netzwerkkarten im Server
IP: 10.204.105.98
Maske: 225.225.225.224
Gateway: leer lassen !
DNS: leer lassen !
1. Netzkarte
IP 10.164.40.84
Maske: 255.255.255.128
Gateway: 10.164.40.38 = IP Adresse des 1. VPN Routers
DNS: 10.164.40.38 = IP Adresse des 1. VPN Routers
(Oder Weiterleitung auf diese IP wenn du einen DNS im Server selber betreibst !!)
So, generell sendet der Server mit dieser Einstellung alles über den Router 1, das ist klar.
Du musst dem Server jetzt nur noch beibringen, das er alles was an die Hostadresse 10.112.235.91 gehen soll doch bitte über Router 2 schickt.
Der Server muss RAS bzw. Routing aktiviert haben. Wie das geht siehst du am Schluss dieses Textes (URL)
Das Weiterleiten erreichst du ganz einfach mit einer statischen Route im Server selber die da lautet:
route add 10.112.235.91 mask 255.255.255.255 10.204.105.98 -p
Das "-p" kannst du für erste Versuche erstmal weglassen, denn es macht die Route permanent das sie nach dem nächsten Reboot des Servers nicht wieder verschwunden ist !!!
Achtung !!! Es lauert eine Falle, denn du teilst uns ja leider nicht mit WELCHES Standardgateway deine Clients im Firmennetz 10.164.40.0 /25 benutzen !!!
Ist das der Server reicht die o.a. statische Route !
Ist es der Router 1 selber 10.164.40.38 dann kennt dieser das 10.204.105.96er Netzwerk natürlich nicht und würde die Pakete wieder ins Internet schicken wo sie versacken...
Wenn das der Fall ist musst du hier im Vigor in Setupmenü bei Feste Adressumleitung ebenfalls eine statische Route eintragen die da heisst:
Ziel IP Adresse: 10.112.235.91
Subnetzmaske: 255.255.255.255
Gateway IP Adr.: 10.164.40.84
Damit routet dieser Router die Pakete dann an den Server und hier greift dann die o.a. Serverroute die alles dann weiterleitet an Router 2 und gut ist !!
Das ist aber nur relevant wenn auch Clients zum Host 10.112.235.91 müssen. Wenn nicht und nur der Server kannst du diese Route im Router 1 weglassen. Schaden kann sie aber nicht !
Denk dran die Route am Server mit dem -p zu versehen wenn alles rennt !
Ansonsten findest du weitere Anregungen hier. Insbesondere wie man das Routing auf dem Server aktiviert:
Hallo erstmal,
vielen Dank für die Lösung.
Neues Problem: nach dem einstellen der 2. netzwerkkarte mit fester IP beendet der DHCP Server seinen Dienst. Ein Neustart geht nur, wenn ich die 2. Karte deaktiviere.
Hast Du da vielleicht auch eine Lösung?
Wäre es denkbar, im Gegenzug einer freiwilligen Tzwendung , dass Du dich in meinen Server verbindest, um mir so schneller zu helfen??.
Mein weiteres Problem:
Zombi PC Ich weiß keinen Rat mehr SBS Netzwerk
Du siehst es gibt noch viel zu tun.
Vielen Dank.
MfG
CFGODW
vielen Dank für die Lösung.
Neues Problem: nach dem einstellen der 2. netzwerkkarte mit fester IP beendet der DHCP Server seinen Dienst. Ein Neustart geht nur, wenn ich die 2. Karte deaktiviere.
Hast Du da vielleicht auch eine Lösung?
Wäre es denkbar, im Gegenzug einer freiwilligen Tzwendung , dass Du dich in meinen Server verbindest, um mir so schneller zu helfen??.
Mein weiteres Problem:
Zombi PC Ich weiß keinen Rat mehr SBS Netzwerk
Du siehst es gibt noch viel zu tun.
Vielen Dank.
MfG
CFGODW
Das mit dem DHCP Server ist ein Windows Problem !
Vielleicht hilft es den DHCP Prozess zu deaktivieren und wieder zu aktivieren.
Der DHCP darf nur auf die Karte gebunden werden die zum Firmen LAN geht.
Bzw. mit einem 2ten Scope kann er natürlich auch Problemlos das andere Segment bedienen.
Das sollten die zahlosen Windows Profis hier im Forum sicher lösen können ??!!
Was dein Zombie Problem anbetrifft klingt das recht abenteuerlich...
Vielleicht hilft es den DHCP Prozess zu deaktivieren und wieder zu aktivieren.
Der DHCP darf nur auf die Karte gebunden werden die zum Firmen LAN geht.
Bzw. mit einem 2ten Scope kann er natürlich auch Problemlos das andere Segment bedienen.
Das sollten die zahlosen Windows Profis hier im Forum sicher lösen können ??!!
Was dein Zombie Problem anbetrifft klingt das recht abenteuerlich...
