6
Problem mit Namensauflösung bei ISA-Proxy und 2 Routern
Hallo,
ich bräuchte Hilfe bei folgendem Problem:
Ich betreibe ein Netz mit 2 S2k3 Enterprise als gleichberechtigte Domaincontroller und mehreren Client PCs. Dieses Netz soll mittels einem Linksys WRT54GL Router auf einen Proxyserver (hier: ISA 2004) geleitet werden. Aus dem Proxy heraus gehts dann wieder auf einen Linksys des selben Typs und von dort will ich an die Fritzbox, die mein kleines Netz dann mit dem Internet verbindet.
Ich habe mal eine Visio Zeichnung angehängt, damit man das besser begreifen kann.
Mein Problem ist, dass ich mit den DNS Weiterleitungen verzweifle. Könnte mir jemand anhand der Zeichnung erklären, an welcher Stelle ich welchen DNS eintragen muss?
Danke!
ich bräuchte Hilfe bei folgendem Problem:
Ich betreibe ein Netz mit 2 S2k3 Enterprise als gleichberechtigte Domaincontroller und mehreren Client PCs. Dieses Netz soll mittels einem Linksys WRT54GL Router auf einen Proxyserver (hier: ISA 2004) geleitet werden. Aus dem Proxy heraus gehts dann wieder auf einen Linksys des selben Typs und von dort will ich an die Fritzbox, die mein kleines Netz dann mit dem Internet verbindet.
Ich habe mal eine Visio Zeichnung angehängt, damit man das besser begreifen kann.
Mein Problem ist, dass ich mit den DNS Weiterleitungen verzweifle. Könnte mir jemand anhand der Zeichnung erklären, an welcher Stelle ich welchen DNS eintragen muss?
Danke!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 61358
Url: https://administrator.de/contentid/61358
Printed on: April 23, 2024 at 08:04 o'clock
6 Comments
Latest comment
Hallo erstmal,
ist es gewollt das der Router intern und extern im gleichen IP Netz ist? (x.x.1.253 und x.x.1.254)
Welchen Zweck sollte das erfüllen? Der Router weiß doch garnicht mehr was "innen" und was "aussen" ist?!
Noch ne Frage, wo genau steht denn die Fritz Box, von der Du gesprochen hast?
Welche Namensauflösung geht denn nicht?
Homenetz -> Firma?
Firma -> Homenetz?
Beides nicht?
Gruß
Lumpi
ist es gewollt das der Router intern und extern im gleichen IP Netz ist? (x.x.1.253 und x.x.1.254)
Welchen Zweck sollte das erfüllen? Der Router weiß doch garnicht mehr was "innen" und was "aussen" ist?!
Noch ne Frage, wo genau steht denn die Fritz Box, von der Du gesprochen hast?
Welche Namensauflösung geht denn nicht?
Homenetz -> Firma?
Firma -> Homenetz?
Beides nicht?
Gruß
Lumpi
Hi,
also das mit den gleichen internen Adressen war nur ein Versuch und stand noch so drin.
Das genaue Problem ist folgendes:
Der ISA soll ein VPN-Server sein und braucht dafür den DNS des DC1 um eine Authentifizierung zuzulassen. Und daran scheitert es leider. Im internen Netz funktioniert die DNS Auflösung. Führe ich jedoch auf dem ISA den Befehl ping dc1 aus, dann findet er ihn nicht. Andersrum gehts auch nicht. Ich vermute, es liegt an den DNS Einstellungen in den beiden Routern.
wenn ich die Server in einem Netz lasse und nicht die WAN-Schnittstellen auf den Linksys Geräten nutze (also im Prinzip alle am Switch des Linksys anschließe), dann funktionert auch alles ganz fein.
Ich habe bereits statische Routen definiert, nämlich (und hier ist es wieder anders als auf meiner visio Zeichnung) von Netz 192.168.1.0 nach 192.168.2.0 über Gateway 192.168.1.254 an Schnittstelle WAN.
Dazu habe ich dem ISA die Adresse 192.168.2.1 gegeben und der externen Schnittstelle des internen Routers (ich weiß, verwirrend...) die 192.168.2.254.
Wenn mich meine Kenntnisse der Netzwerktechnik nicht verlassen haben, dann sollte der ISA nun in der Lage sein, das interne Netz 192.168.1.0 erreichen können und andersherum genauso. Das klappt aber leider nicht.
Die fritzbox ist die Verbindung zwischen dem Internet und DD-WRT extern.
Das Ganze ist das Abschlussprojekt an eminer Fachschule. Die Fritzbox realisiert den Internetzugang der Schule und hat die IP 192.168.0.19. Ich habe sie als DNS des DD-WRT extern eingetragen und der bekommt auch eine Verbindung nach draußen. Standardgateway ist auch die Fritzbox für den externen.
also das mit den gleichen internen Adressen war nur ein Versuch und stand noch so drin.
Das genaue Problem ist folgendes:
Der ISA soll ein VPN-Server sein und braucht dafür den DNS des DC1 um eine Authentifizierung zuzulassen. Und daran scheitert es leider. Im internen Netz funktioniert die DNS Auflösung. Führe ich jedoch auf dem ISA den Befehl ping dc1 aus, dann findet er ihn nicht. Andersrum gehts auch nicht. Ich vermute, es liegt an den DNS Einstellungen in den beiden Routern.
wenn ich die Server in einem Netz lasse und nicht die WAN-Schnittstellen auf den Linksys Geräten nutze (also im Prinzip alle am Switch des Linksys anschließe), dann funktionert auch alles ganz fein.
Ich habe bereits statische Routen definiert, nämlich (und hier ist es wieder anders als auf meiner visio Zeichnung) von Netz 192.168.1.0 nach 192.168.2.0 über Gateway 192.168.1.254 an Schnittstelle WAN.
Dazu habe ich dem ISA die Adresse 192.168.2.1 gegeben und der externen Schnittstelle des internen Routers (ich weiß, verwirrend...) die 192.168.2.254.
Wenn mich meine Kenntnisse der Netzwerktechnik nicht verlassen haben, dann sollte der ISA nun in der Lage sein, das interne Netz 192.168.1.0 erreichen können und andersherum genauso. Das klappt aber leider nicht.
Die fritzbox ist die Verbindung zwischen dem Internet und DD-WRT extern.
Das Ganze ist das Abschlussprojekt an eminer Fachschule. Die Fritzbox realisiert den Internetzugang der Schule und hat die IP 192.168.0.19. Ich habe sie als DNS des DD-WRT extern eingetragen und der bekommt auch eine Verbindung nach draußen. Standardgateway ist auch die Fritzbox für den externen.
Wie ist denn die Firewall des "internen" Routers konfiguriert?
Darf der ISA denn überhaupt eine DNS Anfrage (Portforwarding Port 53 offen?) an den DC1 stellen?
Wenn Du den DC1 anpingen willst, müßtest Du auch Ping erlauben auf dem Router (wieder Portforwarding wenn Du unbedingt den DC1 anpingen willst...)
m.E. brauchst Du aber noch ein paar mehr Dienste/Ports als nur DNS, wenn Du auch die Authentifizierung darüber laufen lassen willst...
Andere Frage, warum willst Du zwischen ISA und Internem Netz noch nen Router stellen?
Willst Du so quasi eine DMZ erstellen in der sich die leute Einwählen, und die dann erst von da aus ins Interne Netz lassen?
Darf der ISA denn überhaupt eine DNS Anfrage (Portforwarding Port 53 offen?) an den DC1 stellen?
Wenn Du den DC1 anpingen willst, müßtest Du auch Ping erlauben auf dem Router (wieder Portforwarding wenn Du unbedingt den DC1 anpingen willst...)
m.E. brauchst Du aber noch ein paar mehr Dienste/Ports als nur DNS, wenn Du auch die Authentifizierung darüber laufen lassen willst...
Andere Frage, warum willst Du zwischen ISA und Internem Netz noch nen Router stellen?
Willst Du so quasi eine DMZ erstellen in der sich die leute Einwählen, und die dann erst von da aus ins Interne Netz lassen?
"Andere Frage, warum willst Du zwischen ISA und Internem Netz noch nen Router stellen?
Willst Du so quasi eine DMZ erstellen in der sich die leute Einwählen, und die dann erst von da aus ins Interne Netz lassen?"
Ja, so habe ich mir das vorgestellt. Ich möchte eine zusätzliche Barriere um das interne Netz zu schützen.
Den DC1 muss ich nicht unbedingt anpingen können aber damit wollte ich prüfen, ob die Segmente überhaupt miteinander verbunden sind. Wie würdest Du denn den DNS weiterleiten?
Aktuell habe ich folgende Konfig:
DC1 als DNS und DHCP Server. Internes Netz bekommt Adressen und DNS Einträge vom DC1 übertragen. Das Netz zwischen DD-WR intern und dem ISA hat die Netzadresse 192.168.2.0. Auf dem ISA ist momentan auch ein DNS Server eingerichtet, jedoch ein sekundärer, der sich die Updates vom DC1 holen soll. Muss ich nun in DD-WRT intern als DNS Adresse dei vom DC1 oder die vom ISA eintragen?
Der externe Adapter vom ISA ist ja im Netz 192.168.178.0 und der Router hat die .178.224
Welchen DNS Eintrag bekommt der sinnigerweise? Aus dem ISA, bzw. DC1 oder doch lieber den DNS as der Fritzbox? Diese vielen Weiterleitungen verwirren mich einfach zu sehr^^
Willst Du so quasi eine DMZ erstellen in der sich die leute Einwählen, und die dann erst von da aus ins Interne Netz lassen?"
Ja, so habe ich mir das vorgestellt. Ich möchte eine zusätzliche Barriere um das interne Netz zu schützen.
Den DC1 muss ich nicht unbedingt anpingen können aber damit wollte ich prüfen, ob die Segmente überhaupt miteinander verbunden sind. Wie würdest Du denn den DNS weiterleiten?
Aktuell habe ich folgende Konfig:
DC1 als DNS und DHCP Server. Internes Netz bekommt Adressen und DNS Einträge vom DC1 übertragen. Das Netz zwischen DD-WR intern und dem ISA hat die Netzadresse 192.168.2.0. Auf dem ISA ist momentan auch ein DNS Server eingerichtet, jedoch ein sekundärer, der sich die Updates vom DC1 holen soll. Muss ich nun in DD-WRT intern als DNS Adresse dei vom DC1 oder die vom ISA eintragen?
Der externe Adapter vom ISA ist ja im Netz 192.168.178.0 und der Router hat die .178.224
Welchen DNS Eintrag bekommt der sinnigerweise? Aus dem ISA, bzw. DC1 oder doch lieber den DNS as der Fritzbox? Diese vielen Weiterleitungen verwirren mich einfach zu sehr^^
DC1 als DNS und DHCP Server. Internes Netz
bekommt Adressen und DNS Einträge vom
DC1 übertragen. Das Netz zwischen DD-WR
intern und dem ISA hat die Netzadresse
192.168.2.0. Auf dem ISA ist momentan auch
ein DNS Server eingerichtet, jedoch ein
sekundärer, der sich die Updates vom DC1
holen soll. Muss ich nun in DD-WRT intern als
DNS Adresse dei vom DC1 oder die vom ISA
eintragen?
Ich würde hier 1. die vom DC1 eintragen, und als 2. die von ISA.bekommt Adressen und DNS Einträge vom
DC1 übertragen. Das Netz zwischen DD-WR
intern und dem ISA hat die Netzadresse
192.168.2.0. Auf dem ISA ist momentan auch
ein DNS Server eingerichtet, jedoch ein
sekundärer, der sich die Updates vom DC1
holen soll. Muss ich nun in DD-WRT intern als
DNS Adresse dei vom DC1 oder die vom ISA
eintragen?
So "fragt" er erst "intern" und wenn ihm von da nicht geholfen werden kann den ISA.
Der externe Adapter vom ISA ist ja im Netz
192.168.178.0 und der Router hat die .178.224
Welchen DNS Eintrag bekommt der
sinnigerweise? Aus dem ISA, bzw. DC1 oder
doch lieber den DNS as der Fritzbox? Diese
vielen Weiterleitungen verwirren mich einfach
zu sehr^^
Hier, erst ISA, dann Fritzbox Adresse. DC1 macht hier nicht unbedingt sinn. Ausserdem sollte ja wenn alles läuft auf dem ISA ne Sekundäre DNS zone der Domain laufen. Damit hätte sich die DNS frage an den DC1 eh erledigt...192.168.178.0 und der Router hat die .178.224
Welchen DNS Eintrag bekommt der
sinnigerweise? Aus dem ISA, bzw. DC1 oder
doch lieber den DNS as der Fritzbox? Diese
vielen Weiterleitungen verwirren mich einfach
zu sehr^^
Und auf der Fritzbox ist dann logischerweise der DNS von Deinem ISP eingetragen der dann alle weiteren DNS anfragen beantworten kann...
Die frage ist, hast Du in dem "internen" Router ein Portforwarding eingerichtet, das man vom ISA überhaupt auf die "interne" Seite des Routers zugreifen darf? Standard ist das nämlich nicht der fall!
Sprich-> Du rennst vom ISA her immer gegen eine Wand (Richtung Intern), egal was Du auch machst, Du mußt alles was funktionieren soll explezit erlauben!!
Du mußt also als erstes ein Portforwarding (DNS Port 53) am "internen" Router auf den DC1 machen.
So, danke erstmal für deine Hilfe.
Ich habe die Konfiguration jetzt geändert. Der interne WRT ließ nämlich trotz Portweiterleitung kein DNs zum ISA durch. Hab ihn jetzt ganz raus genommen, somit funktioniert dann wenigstens das VPN.
Mir läuft nämlich die Zeit davon, sodass ich leider nicht mehr groß probierne kann. Trotzdem vielen Dank für die Hilfe!
Tolles Forum hier, ich denk ich werd öfter mal rein schauen
Ich habe die Konfiguration jetzt geändert. Der interne WRT ließ nämlich trotz Portweiterleitung kein DNs zum ISA durch. Hab ihn jetzt ganz raus genommen, somit funktioniert dann wenigstens das VPN.
Mir läuft nämlich die Zeit davon, sodass ich leider nicht mehr groß probierne kann. Trotzdem vielen Dank für die Hilfe!
Tolles Forum hier, ich denk ich werd öfter mal rein schauen
