mario87
Goto Top

Exchange-Server mit 2 Netzwerkkarten, die beide Internet haben....

Moin zusammen,
ich betreibe einen Windows 2k3 Exchange-Server.
Dieser Server besitzt 2 Netzwerkkarten.
1 für das lokale Netz und eine zweite fürs Internet, worüber die Mails abgeholt bzw. verschickt werden usw.
Über beide Netzwerkkarten wäre eine Internetverbindung möglich. Auf der lokalen Seite habe ich das Std. Gateway weggenommen, sodass dort keine Internetverbindung mehr möglich ist.
Jetzt soll an der Karte auf der lokalen Seite eine VPN-Verbindung aufgebaut werden ( nicht über den Server, sondern über den Router als VPN-Server).
Um aber auf die Ressourcen via VPN von dem Server zugreifen zu können, ist dort ein Std. Gateway erforderlich. Dann habe ich das Problem, dass beide Netzwerkkarten eine Verbindung ins INternet aufbauen können und das mögen manche Programme nicht z.B. POPCon. Dann kommt es teilweise zu Problemen.

Was ist nun die beste Lösung um das Problem zu beheben? Macht es Sinn, die POP3 Dienste auf der einen Firewall zu blocken, sodass die Mails zwingend über die andere Schnittstelle geholt werden müssen, so wie es sein soll? (Habe pro Internetanschluss eine Firewall, würde also gehen) oder gibt es noch andere bessere Lösungen ?

kurze Skizze der Umgebung:

Exchange Server
192.168.1.111 Firewall Internet --> über diese Verbindung werden die Mails geholt
192.168.33.111 lokal Firewall Internet --> Gateway muss gesetzt werden, damit die auf die Ressourcen zugegriffen werden kann. AUf der Firewall dann POP3 blocken ?


Danke im Voraus für die Hilfe.

Content-Key: 68366

Url: https://administrator.de/contentid/68366

Ausgedruckt am: 28.03.2024 um 23:03 Uhr

Mitglied: aqui
aqui 11.09.2007 um 10:53:18 Uhr
Goto Top
Generell ist deine Vorgehenweise das am Router abzubilden richtig !
Wie man das sauber einstellt kannst du hier nachlesen:


Wenn du die zusätzliche Route im Router für das lokale Segment richtig konfiguriert hast und auch deinen Server für RAS/Routing aktiviert hast wird das so problemlos funktionieren !!! Wichtig ist die statische Route für das lokale Segment via Server !
Mitglied: mario87
mario87 12.09.2007 um 07:13:49 Uhr
Goto Top
Moin,
hmm ich glaube wir haben uns falsch verstanden.
Für die Verbindung ins lokale Netz brauche ich doch normalerweise keine Route, da nur 1 Karte im lokalen Netz hängt.
Aber beide Karten können ins Internet.
Würde da dann nicht ohne Route fürs Internet reichen ?
Die Route gibt dann den Weg ins INternet über die gewünschte Karte vor.

Ist es so realisierbar oder habe ich einen Denkfehler drin ?

Danke im Voraus

MfG
Mario
Mitglied: aqui
aqui 12.09.2007 um 11:34:59 Uhr
Goto Top
Mmmhhh, das ist nun aber unverständlich...!! Wie sieht denn nun genau dein Netzwerk Szenario aus ??
So ?:


e3c2b7574d6e09d4a28d6e374b184857-zeichnung1

Wenn das der Fall ist, benötigst du natürlich für den lokalen Zugang auf dein Client (PC) Segment keinerlei Routen das ist klar. Auch nicht für den Server Zugriff.
Wenn allerdings Clients ins Internet gehen, werden und müssen sie ja über den Server geroutet werden, denn LAN-2 hat ein komplett anderes IP Netz (Adresse) als LAN-1.
Wenn diese IP Packete am Router ankommen und der keine zusätzliche statische Route ins LAN-2 Segment via Server hat dann versucht er diese wieder ins Internet zu routen und dort verschwinden sie dann im Nirwana.... Diese Route ist also am Router zwingend erforderlich.
Im o.a. Tutorial ist ein genauer Packetweg aus dem Clientsegment ins Internet beschrieben wenn du es mal durchliest...

Einzige Ausnahme in so einen Szenario: Du machst NAT (Internetfreigabe bei MS) an der NIC des Servers zum Router. Dann benötigst du natürlich keinerlei Routen, handelst dir aber Probleme mit dem Port Forwarding in dein lokales PC Segment ein !
Die Frage ist letztlich wie sieht dein Netz genau aus ???
Mitglied: mario87
mario87 12.09.2007 um 15:22:54 Uhr
Goto Top
Mahlzeit,
mein Szenario sieht so aus:

Internetzugang Server--------------------------Exchange-Server
|
|
Internetzugang Clients--------------------------Clients

Ich habe 2 Internetzugänge, einen für die CLients zum surfen einen für die Server.
Der Server hat 2 Netzwerkkarten.
1 für deie Verbindung ins Internet und die andere für die Clients, damit die Clients sich mit dem Exchange verbinden können um .z.b. die Mails abzuholen.
Wenn das Std. Gateway am Server an der Karte die zu den Clients geht gesetzt wird,
kommt es zu Problemen, deshalb muss erzwungen werden, dass der Server den Internetzugang Server nutzt und nicht den der Clients.

Ist jetzt deutlich geworden, was ich vorhabe ?
Durch eine einfache Blockregel in der Firewall auf der Clientseite kann dieses doch erreicht werden und dies ist auch der einfachste Weg ?! Oder doch über Routing und RAS?

Danke im Voraus für die Hilfe

MfG
Mario
Mitglied: aqui
aqui 12.09.2007 um 15:50:56 Uhr
Goto Top
OK, ganz klar ist dein Konzept noch nicht durch die etwas krumme ASCII Zeichnung... Nach deiner Zeichnung müsste es dann so aussehen:

f6accc73d99b600efe75e7d8296e73c9-2server-2

Eine Konfig ist dann eigentlich ganz einfach. Die Clients bekommen als Gateway immer die Adresse des Client Routers und der Server bekommt die des Server Routers auf der 2ten Netzwerkkarte.
Die Netzwerkkarte des Servers am Client Segment bekommt nur die IP Adresse und Maske sonst nichts. Die Clients zeigen dann mit dem Gateway auf den Client Router.
Damit nutzen dann die Clients den Client Router und der Server den Server Router...
Der Server selber muss nicht routen es muss also kein RAS/Routing aktiviert sein.
Damit sollte das problemlos klappen !
Mitglied: mario87
mario87 12.09.2007 um 16:11:13 Uhr
Goto Top
so ist es momentan.
Doch das Problem ist:
Über den Client-DSL-Router wird es jetzt eine VPN-Verbindung geben, über die, der Server erreichbar sein soll und um den Server dort zu erreichen, ist das Gateway erforderlich.
Und genau dann, gibt es Probleme.
Mitglied: aqui
aqui 12.09.2007 um 17:14:36 Uhr
Goto Top
Das funktioniert nicht ! Die VPN Verbindung kann so nur über den Server Router erfolgen !

Lösen könnte man das mit einer statischen Route im Server auf das Zielnetz der VPN Clients via Client Router. Da die sich aber permanent durch die PPPoE Einwahl beim Provider ändern ist das ein sinnloses Unterfangen.
Es könnte nur klappen wenn der VPN Client immer am gleichen Standort ist, dann könnte man die Maske des Zielnetzes entsprechned groß machen allerdings ist das immer mit einem Risiko verbunden, das dann Internet Adressen in diesem Bereich nicht erreichbar sind oderdas der Client dann doch mal eine andere Adresse bekommt die von der Route nicht erfasst wird und dann geht wieder nichts mehr...
Fazit: Keine gute Lösung und solltest du besser bleiben lassen und die VPN Verbindung über den Server Router realisieren !

Noch besser wäre es gewesen du hättest die VPN Verbindung über einen aktiven VPN Router realisiert ohne Server, dann hätte sich das Problem gar nicht erst gestellt...
Mitglied: mario87
mario87 12.09.2007 um 17:45:06 Uhr
Goto Top
Die VPN-Verbindung wird auch nicht über den Server realisiert sondern über den Client-Router.
Aber das ändert die Situation nicht wirklich richtig ?
Mitglied: aqui
aqui 13.09.2007 um 13:07:51 Uhr
Goto Top
Doch, natürlich das ändert sie. Wenn der Router ein aktiver VPN Router ist endet hier die VPN Session. Der VPN Client bekommt damit eine IP Adresse aus diesem LAN was am Client Router angeschlossen ist und damit verhält er sich wie ein im lokalen LAN angeschlossener PC.
Er kann also auch problemlos den Server über dessen IP in diesem Segment erreichen.

Was er nicht kann ist das IP Segment auf der Serverseite erreichen aber das ist ja auch gar nicht gefordert. Wäre das der Fall ist das aber sehr leicht zu lösen über eine zusätzliche statische Route im Client Router und das Aktivieren von Routing auf dem Server.
Ist aber wie gesagt nicht erforderlich, denn du hast dort ja in dem Segment überhaupt keine Endgeräte !
Dein Szenario sollte aber so problemlos funktionieren !!

Ganz anders sieht es aus wenn du nur einen dummen VPN Passthrough Router als Client Router hast, der dann nur dumm die VPN Session an den Server weiterreicht. Das würde nicht gehen, da der Server dann die Antwortpackete an den Serverrouter schickt und der sie dann an den VPN Client sendet. Dort kommen sie aber mit einer komplett anderen IP (NAT IP) des Server Routers an und der VPN Client schmeisst diese Packete vom Server Router weg, da er als Quell IP die des Client Routers erwartet.
Das Szenario per VPN Passthrough auf dem Client Router funktioniert also niemals !
Mitglied: mario87
mario87 14.09.2007 um 17:29:43 Uhr
Goto Top
Hallo zusammen,
mit einer statischen Route die besagt, dass der Server die Pakete an die grüne Schnittstelle des Cops schicken soll, hat sich das Problem gelöst.

Danke für die freundliche und schnelle Unterstützung.

Mfg
Mario