9
Routing-Problem mit W2K3-Server
Hallo, habe sogar schon einen Dienstleister um dieses Thema bemüht, keiner weiß rat.
Bin gespannt, was ihr sagt.
Folgendes Szenario:
Zwei Netze, eines physikalisch, eines virtuell (VMware Umgebung)
192.6.17.0 (phys.)
192.6.15.0 (virt.)
Ich möchte zwischen beiden Netzen routen. Habe hierzu einen virtuellen W2K3-Server mit zwei NICs aufgesetzt und den Routing-und RAS Dienst installiert
und auf LAN-Routing konfiguriert.
Auch den Registry-Trick mit dem IP-Forwarding habe ich mehrfach angewendet, Dienst neugestartet usw.
Ich kann mit Clients aus beiden Netzen jeweils die gegenüberliegende Server-NIC anpingen, also vom 17er Netz auf die 15er Karte und umgekehrt.
Aber ich komme nicht weiter - andere Clients in den Netzen erreiche ich nicht. Irgendwie scheint der Server einfach nicht weiter zu routen!
- Firewalls sind auf Server & allen Clients deaktiviert.
- Vom W2K3-Server aus kann ich einwandfrei in beide Netze pingen, erreiche jeden Client
-> Von Client zu Client geht nicht
Weiß jemand rat?
Danke und Gruß
Marco
Zwei Netze, eines physikalisch, eines virtuell (VMware Umgebung)
192.6.17.0 (phys.)
192.6.15.0 (virt.)
Ich möchte zwischen beiden Netzen routen. Habe hierzu einen virtuellen W2K3-Server mit zwei NICs aufgesetzt und den Routing-und RAS Dienst installiert
und auf LAN-Routing konfiguriert.
Auch den Registry-Trick mit dem IP-Forwarding habe ich mehrfach angewendet, Dienst neugestartet usw.
Ich kann mit Clients aus beiden Netzen jeweils die gegenüberliegende Server-NIC anpingen, also vom 17er Netz auf die 15er Karte und umgekehrt.
Aber ich komme nicht weiter - andere Clients in den Netzen erreiche ich nicht. Irgendwie scheint der Server einfach nicht weiter zu routen!
- Firewalls sind auf Server & allen Clients deaktiviert.
- Vom W2K3-Server aus kann ich einwandfrei in beide Netze pingen, erreiche jeden Client
-> Von Client zu Client geht nicht
Weiß jemand rat?
Danke und Gruß
Marco
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 114858
Url: https://administrator.de/contentid/114858
Printed on: April 20, 2024 at 02:04 o'clock
9 Comments
Latest comment
Hi,
was fuer ein default GW hast Du bei den Clients eingetragen? Falls das Default GW nicht der 2003er Server ist brauchst Du auf jedem Client nochmal eine Expliziuete Route in das jeweils andere Netz.
lg,
Slainte
was fuer ein default GW hast Du bei den Clients eingetragen? Falls das Default GW nicht der 2003er Server ist brauchst Du auf jedem Client nochmal eine Expliziuete Route in das jeweils andere Netz.
lg,
Slainte
Die Grundlagen dazu stehen hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Alles das gilt analog auch logischerweise für die virtuelle Welt !
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Alles das gilt analog auch logischerweise für die virtuelle Welt !
Sorry, ich vergaß zu erwähnen dass ich auf beiden Seiten der Clients bereits die Routen gesetzt habe, nur testhalber - und es trotzdem nicht funktioniert.
Der Aufbau ist absolut korrekt und es MÜSSTE so auch funktionieren.. das haben mir mittlerweile x Personen bestätigt... tut es aber nicht.
Update: Antwort auf die Frage wegen den STGW vergessen:
- Der Client im 15er Netz hat den W2K3-Server als STGW
- Ein Client im 17er Netz hat unsere Firewall (dort ist das 15er Netz aber noch nicht bekannt, deshalb lokaler Routingeintrag auf das 15er Netz)
Der Aufbau ist absolut korrekt und es MÜSSTE so auch funktionieren.. das haben mir mittlerweile x Personen bestätigt... tut es aber nicht.
Update: Antwort auf die Frage wegen den STGW vergessen:
- Der Client im 15er Netz hat den W2K3-Server als STGW
- Ein Client im 17er Netz hat unsere Firewall (dort ist das 15er Netz aber noch nicht bekannt, deshalb lokaler Routingeintrag auf das 15er Netz)
Routen muss man in so einen Szeanrio auf den Clients nicht setzen ! Es reicht schlicht und einfach die Angabe des Standardgateways...mehr ist nicht nötig !!!
Die Firewall muss allerdings eine Route haben ala:
Zielnetz: 192.168.15.0, Maske: 255.255.255.0, Gateway: <IP_adresse_host>
Wenn die Firewall diese Route nicht hat ist es richtig das der einzelne Client im 17er Netz dann eine statische Route ala:
route add 192.168.15.0 mask 255.255.255.0 <IP_adresse_host> -p
haben muss.
Ob er sauber routet kannst du am Client mit dem tracroute oder pathping Kommando checken ! (Traceroute ist tracert bei Winblows !)
Besser ist aber dei Route an der FW.
Der Host Rechner muss dann routen !! Er darf in den VmWare netzwerksettings weder auf Bridge noch auf NAT stehen !!!
Die Firewall muss allerdings eine Route haben ala:
Zielnetz: 192.168.15.0, Maske: 255.255.255.0, Gateway: <IP_adresse_host>
Wenn die Firewall diese Route nicht hat ist es richtig das der einzelne Client im 17er Netz dann eine statische Route ala:
route add 192.168.15.0 mask 255.255.255.0 <IP_adresse_host> -p
haben muss.
Ob er sauber routet kannst du am Client mit dem tracroute oder pathping Kommando checken ! (Traceroute ist tracert bei Winblows !)
Besser ist aber dei Route an der FW.
Der Host Rechner muss dann routen !! Er darf in den VmWare netzwerksettings weder auf Bridge noch auf NAT stehen !!!
Hi,
schon klar, dass man die Routen nicht setzen muss. War nur zum Troubelshooting gedacht.
Habe die Firewall-Jungs vom Dienstleister jetzt drauf angesetzt, schätze auch dass der Fehler dort liegt. Vor allem nachdem ich zwischenzeitlich
testweise noch eine XP-Maschine mit statisch eingetragenen Routen aufgesetzt habe und es damit genausowenig funktioniert hat...
Früher oder später muss das Routing sowieso über die Firewall laufen.
Traceroute zeit mir jeweils immer nur einen einzigen Wegpunkt
Werde mich melden wenn wir es im Griff haben...
schon klar, dass man die Routen nicht setzen muss. War nur zum Troubelshooting gedacht.
Habe die Firewall-Jungs vom Dienstleister jetzt drauf angesetzt, schätze auch dass der Fehler dort liegt. Vor allem nachdem ich zwischenzeitlich
testweise noch eine XP-Maschine mit statisch eingetragenen Routen aufgesetzt habe und es damit genausowenig funktioniert hat...
Früher oder später muss das Routing sowieso über die Firewall laufen.
Traceroute zeit mir jeweils immer nur einen einzigen Wegpunkt
Werde mich melden wenn wir es im Griff haben...
Der Wegpunkt ist aber interessant, denn er zeigt ob der Next Hop richtig gemacht wurde.
Wenns da nicht weitergeht liegt der Fehler dort...
Na wir sind dann mal weiterhin gespannt !
Wenns da nicht weitergeht liegt der Fehler dort...
Na wir sind dann mal weiterhin gespannt !
Es ist wirklich heiß... ein tracert vom 17er Client auf den 15er Client bringt mich bis zum Server, und danach hörts auf.
1 <1 ms <1 ms <1 ms w2k3en.casimir-kast.de [192.6.17.16]
2 * * * Zeitüberschreitung....
1 <1 ms <1 ms <1 ms w2k3en.casimir-kast.de [192.6.17.16]
2 * * * Zeitüberschreitung....
Ist ja wenigstens schon mal die richtige Richtung !
Ursache ist dann so gut wie immer:
a.) Das der Server nicht routet
b.) Das der angepingte Client eine Firewall aktiv hat
c.) a. und b. zusammen
Ursache ist dann so gut wie immer:
a.) Das der Server nicht routet
b.) Das der angepingte Client eine Firewall aktiv hat
c.) a. und b. zusammen
Das Problem ist gelöst... was war die Ursache? Punkt b)
Durch das neue (unbekannte) Subnet hat die unscheinbare Firewall unseres Virenscanners sämtlichen Datenverkehr gesperrt. Lösung: Neues Netz in der Virenscannerkonsole erlaubt und alles geht.
Das Routing läuft jetzt komplett über unsere Firewall und funktioniert bestens.
Danke allen für die Hilfe.
Grüße, Marco
Durch das neue (unbekannte) Subnet hat die unscheinbare Firewall unseres Virenscanners sämtlichen Datenverkehr gesperrt. Lösung: Neues Netz in der Virenscannerkonsole erlaubt und alles geht.
Das Routing läuft jetzt komplett über unsere Firewall und funktioniert bestens.
Danke allen für die Hilfe.
Grüße, Marco
