10
RAS VPN und ISA 2006 auf einem Server?
Ist die Installation einesn RAS/VPN Server und einesn ISA Server 2006 auf einem Server möglich bzw. sinnvoll?
Hallo!
Ich hoffe ihr könnt mir helfen! Wir haben vor kurzem einen neuen Server bekommen und ich bin gerade dabei diesen zu konfigurieren. Unter anderem soll auf diesem Server ISA 2006 laufen und damit unseren altersschwachen Proxy ersetzen. Nun habe ich aber ein Problem.
Wir haben intern ein 10.x.x.x Netz. Leider ist auch unsere externe IP Adresse zum Provider in einem 10.x.x.x Netz mit einem anderen Standardgateway. Daher entsteht das Problem , dass der Server der sowohl nach außen hin eine Schnittstelle hat wie auch nach innen nicht weiß an welchen Standardgateway er eine Anfrage richten muss. Daher habe ich auf jenen Rechnern die auch extern erreichbar sind RAS/VPN konfiguriert. Nun wollte ich fragen ob ich das mit dem Server auf dem ISA 2006 läuft auch machen kann bzw. ob das sinnvoll ist.
Liebe Grüße,
Florian
Ich hoffe ihr könnt mir helfen! Wir haben vor kurzem einen neuen Server bekommen und ich bin gerade dabei diesen zu konfigurieren. Unter anderem soll auf diesem Server ISA 2006 laufen und damit unseren altersschwachen Proxy ersetzen. Nun habe ich aber ein Problem.
Wir haben intern ein 10.x.x.x Netz. Leider ist auch unsere externe IP Adresse zum Provider in einem 10.x.x.x Netz mit einem anderen Standardgateway. Daher entsteht das Problem , dass der Server der sowohl nach außen hin eine Schnittstelle hat wie auch nach innen nicht weiß an welchen Standardgateway er eine Anfrage richten muss. Daher habe ich auf jenen Rechnern die auch extern erreichbar sind RAS/VPN konfiguriert. Nun wollte ich fragen ob ich das mit dem Server auf dem ISA 2006 läuft auch machen kann bzw. ob das sinnvoll ist.
Liebe Grüße,
Florian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 66398
Url: https://administrator.de/contentid/66398
Printed on: April 20, 2024 at 03:04 o'clock
10 Comments
Latest comment
Hi!
Wir haben hier auch Routing- & RAS-Dienst installiert. ISA dient legendlich als Proxy, 2. Firewall und Cache.
Grüße
Dani
Wir haben intern ein 10.x.x.x Netz. Leider ist auch unsere externe IP Adresse zum Provider in
einem 10.x.x.x Netz mit einem anderen Standardgateway
Du meinst vom Server zum Router?! Dann würde ich dort den IP-Bereich ändern, ist einfacher.einem 10.x.x.x Netz mit einem anderen Standardgateway
Wir haben hier auch Routing- & RAS-Dienst installiert. ISA dient legendlich als Proxy, 2. Firewall und Cache.
Grüße
Dani
Ja vom Router zum Server haben wir eine 10 er IP Adresse. Leider habe ich keinen Zugriff auf den Router daher kann ich die IP adresse auch nicht ändern. Möchte aber deswegen nicht jemanden kommen lassen!
Florian
Florian
Leider habe ich keinen Zugriff auf den Router daher kann ich die IP adresse auch nicht
ändern. Möchte aber deswegen nicht jemanden kommen lassen.
Ist Scherz, oder?? Der Router gehört doch euch bzw. steht bei euch. Du kannst aber auch das LAN umstellen, aber das willst du nicht machen, glaub mir?? Könnte eine Menge Probleme mitbringen!!ändern. Möchte aber deswegen nicht jemanden kommen lassen.
Grüße
Dani
Das 10er Netz ist ein Class A Netz mit einer 8 Bit Maske. Warum subnettest du nicht einfach das Segment weiter ??? Das sollte doch problemlos möglich sein ??? Damit kannst du dir das Problem der doppelten Netze ganz einfach vom Hals halten. Groß genug ist das Netzwerk ja.
Auch wenn nicht und alle Stricke reissen..was hintert dich daran ein neues Client Segment zu generieren ??? Z.B. mit 172.16.1.0/24. Wenn du dort mit DHCP arbeitest ist das in Minutenschnelle gemacht und alle Clients bekommen eine neue IP auf Schlag !
Das ein Provider dir eine lokale RFC 1918 10er Adresse vorschreibt halte ich auch für höchst unwahrscheinlich und normal ist es obendrein nicht...
Vielleicht hilft dir dies Turorial noch etwas zur Materie:
Auch wenn nicht und alle Stricke reissen..was hintert dich daran ein neues Client Segment zu generieren ??? Z.B. mit 172.16.1.0/24. Wenn du dort mit DHCP arbeitest ist das in Minutenschnelle gemacht und alle Clients bekommen eine neue IP auf Schlag !
Das ein Provider dir eine lokale RFC 1918 10er Adresse vorschreibt halte ich auch für höchst unwahrscheinlich und normal ist es obendrein nicht...
Vielleicht hilft dir dies Turorial noch etwas zur Materie:
Danke für die vielen Antworten!
Ich werde das ganze jetzt einmal erklären. Wir sind eine Schule und hängen über den Landeschulrat im Internet. Das LSR Netz hat intern lauter 10.x.x.x Adressen erst beim LSR Knoten werden die IP Adressen in 193.x.x.x etc. Adressen gemappt. Das ganze wurde für kleinere Schulen konzipiert für uns mit mehr als 400 Arbeitsstationen und an die 1500 Studenten und zahlreichen Servern ist das Ganze ohnehin nicht gut geeignet. De Router wird ebenfalls vom LSR betrieben und daher habe ich keinen Zugriff darauf. Die Sache mit DHCP wäre gut wenn da nicht einerseits das ganze interne Netz durch Cisco manageable Switches in zahlreiche VLAN´s unterteilt wäre (weit mehr als 24) und andererseits jede Abteilung auch auf DHCP setzten würde (was nicht der Fall ist). Daher habe ich in diesem Punkt wenig Möglichkeiten das Netz umzustellen (vorallem weil derzeit auch Sommerschule ist) und das ganze bei mehr als 10 Admins auch gehöriges Chaos verursachen würde. Daher habe ich eben das Problem von Anfang an mit RAS und statisches Routen gelöst. Ich habe inzwischen einmal RAS parallel zum ISA Server installiert und ich werde jetzt sehen ob das Ganze auch funktioniert.
Liebe Grüße,
Florian
Ich werde das ganze jetzt einmal erklären. Wir sind eine Schule und hängen über den Landeschulrat im Internet. Das LSR Netz hat intern lauter 10.x.x.x Adressen erst beim LSR Knoten werden die IP Adressen in 193.x.x.x etc. Adressen gemappt. Das ganze wurde für kleinere Schulen konzipiert für uns mit mehr als 400 Arbeitsstationen und an die 1500 Studenten und zahlreichen Servern ist das Ganze ohnehin nicht gut geeignet. De Router wird ebenfalls vom LSR betrieben und daher habe ich keinen Zugriff darauf. Die Sache mit DHCP wäre gut wenn da nicht einerseits das ganze interne Netz durch Cisco manageable Switches in zahlreiche VLAN´s unterteilt wäre (weit mehr als 24) und andererseits jede Abteilung auch auf DHCP setzten würde (was nicht der Fall ist). Daher habe ich in diesem Punkt wenig Möglichkeiten das Netz umzustellen (vorallem weil derzeit auch Sommerschule ist) und das ganze bei mehr als 10 Admins auch gehöriges Chaos verursachen würde. Daher habe ich eben das Problem von Anfang an mit RAS und statisches Routen gelöst. Ich habe inzwischen einmal RAS parallel zum ISA Server installiert und ich werde jetzt sehen ob das Ganze auch funktioniert.
Liebe Grüße,
Florian
Schon komisch intern betreiben sie ein privates RFC 11918 Netz mit 10er Adressen den Schulen geben sie aber öffentliche Adressen im 193er Bereich (oder war es jetzt ein Druckfehler und du meintest 192.x.x.x ?) das wäre eigentlich ein unsinniges IP Design...
Ok, aber du kannst dem ganzen auch ein Schnippchen schlagen mit einem DMZ Router ala:
http://www.heise.de/netze/artikel/78397
Hinter dem sekundär Router kannst du wieder ein 10er Netz betreiben, denn das wird ja am anderen Ende des Sekundärrouters auf die euch zugeteilte 193er (oder 192er ?) Adresse per NAT umgesetzt. So versteckst du über einen NAT Prozess dein gesamtes 10er Netz dahinter...das wäre möglich.
Der Sekundärrouter kann aber auch ein ISA Server mit NAT am 2ten Interface sein...ist nur erheblich teurer....
Na ja Schulen scheinen es ja dicke zu haben mit massenweisen M$ Lizenzen und dann auch noch die Switchhardware für solch banale Netze von Cisco... Kein Wunder das so das Bildungssystem finanziell am Ende ist....
Ok, aber du kannst dem ganzen auch ein Schnippchen schlagen mit einem DMZ Router ala:
http://www.heise.de/netze/artikel/78397
Hinter dem sekundär Router kannst du wieder ein 10er Netz betreiben, denn das wird ja am anderen Ende des Sekundärrouters auf die euch zugeteilte 193er (oder 192er ?) Adresse per NAT umgesetzt. So versteckst du über einen NAT Prozess dein gesamtes 10er Netz dahinter...das wäre möglich.
Der Sekundärrouter kann aber auch ein ISA Server mit NAT am 2ten Interface sein...ist nur erheblich teurer....
Na ja Schulen scheinen es ja dicke zu haben mit massenweisen M$ Lizenzen und dann auch noch die Switchhardware für solch banale Netze von Cisco... Kein Wunder das so das Bildungssystem finanziell am Ende ist....
Nö die 193.x.x.x Adressen dienen dazu, dass Schulen eigene Server betreiben können die über das Internet erreichbar sind. Das mit einem DMZ Router werd eich mir überlegen.
Nebenbei die M$ Lizenzen sind eine Vertrag zwischen dem Bund und Microsoft bei dem alle öffentlichen Behörden und Bundeschulen die Client Lizenzen sehr billig bekommen. Die Cisco Komponenten wurden uns gesponsert, die Schule selber könnte sich das gar nicht leisten.
Gruß,
Florian
Nebenbei die M$ Lizenzen sind eine Vertrag zwischen dem Bund und Microsoft bei dem alle öffentlichen Behörden und Bundeschulen die Client Lizenzen sehr billig bekommen. Die Cisco Komponenten wurden uns gesponsert, die Schule selber könnte sich das gar nicht leisten.
Gruß,
Florian
Hallo!
Es hat eine Weile gedauert nur ist es inzwischen vollbracht. Nach längerem hin und her habe wir einen Pix501 Firewall gekauft, um auch den anderen Standort per VPN ans Netz anzuschließen und diesen konfiguriert. D.h. die Server haben nach ausen hin jetzt 192.168.1.x Adressen, und der Pix wandelt Sie anschließend in das 10.x.x.x Netz um. Nun habe ich am Server einmal Routing und RAS installiert und nach innen hin für jedes unsere VLAN (10.1.x.x bis 10.24.x.x) ein statisches Routen auf den Standardgateway 10.1.255.254 eingerichtet. Die interne Netzwerkkarte hat keinen Standardgateway Eintrag bekommen, die externe Netzwerkkarte hat als Standadrgateway die IP Adresse dex Pix. Soweit so gut, das sollte doch eigentlich funktionieren, oder?
Nun wenn ich aber jetzt versuche mit tracert das Routing mit externen Hosts zu beobachten kommt es immer zu einer Zeitüberschreitung. Das was aber ganz komisch ist, ist die Tatsache, dass nslookup auf dem Server perfekt funktioniert. Das heißt er hat eine Verbindung nach drausen. Woran kann das liegen, wenn der Pix tracert blockt, dann müsste zumindest der erste Hop erscheinen, oder?
Ich hoffe jemand von euch weiß einen Rat, ich wäre sehr dankbar. Erst wenn das geht macht es Sinn den ISA Server zu installieren.
Vielleicht noch de rHinweis was auf dem Server alles läuft:
- AD
- DNS
- DHCP
- Routing und RAS (wobei ich nur NAT gewählt habe)
Liebe Grüße,
Florian
Es hat eine Weile gedauert nur ist es inzwischen vollbracht. Nach längerem hin und her habe wir einen Pix501 Firewall gekauft, um auch den anderen Standort per VPN ans Netz anzuschließen und diesen konfiguriert. D.h. die Server haben nach ausen hin jetzt 192.168.1.x Adressen, und der Pix wandelt Sie anschließend in das 10.x.x.x Netz um. Nun habe ich am Server einmal Routing und RAS installiert und nach innen hin für jedes unsere VLAN (10.1.x.x bis 10.24.x.x) ein statisches Routen auf den Standardgateway 10.1.255.254 eingerichtet. Die interne Netzwerkkarte hat keinen Standardgateway Eintrag bekommen, die externe Netzwerkkarte hat als Standadrgateway die IP Adresse dex Pix. Soweit so gut, das sollte doch eigentlich funktionieren, oder?
Nun wenn ich aber jetzt versuche mit tracert das Routing mit externen Hosts zu beobachten kommt es immer zu einer Zeitüberschreitung. Das was aber ganz komisch ist, ist die Tatsache, dass nslookup auf dem Server perfekt funktioniert. Das heißt er hat eine Verbindung nach drausen. Woran kann das liegen, wenn der Pix tracert blockt, dann müsste zumindest der erste Hop erscheinen, oder?
Ich hoffe jemand von euch weiß einen Rat, ich wäre sehr dankbar. Erst wenn das geht macht es Sinn den ISA Server zu installieren.
Vielleicht noch de rHinweis was auf dem Server alles läuft:
- AD
- DNS
- DHCP
- Routing und RAS (wobei ich nur NAT gewählt habe)
Liebe Grüße,
Florian
Davon ist auszugehen das die Pix ICMP Packte (traceroute, ping etc.) blockiert ! Mit einer entspr. Accessliste auf der Pix kannst du das aber erlauben, dann sollte ping und traceroute funktionieren.
Du musst die ICMP Typen 0, 3, 8 und 30 erlauben für diese Dienste.
Alternativ kannst du eine Unix traceroute verwenden. Unix traceroute verwendet UDP statt ICMP und das sollte durchgehen, wenn die PIX dies nicht auch filtert....
Du musst die ICMP Typen 0, 3, 8 und 30 erlauben für diese Dienste.
Alternativ kannst du eine Unix traceroute verwenden. Unix traceroute verwendet UDP statt ICMP und das sollte durchgehen, wenn die PIX dies nicht auch filtert....
Hallo!
Tut mir leid, dass ich erst jetzt antworte, aber die Ursache lag ganz einfach in einer fehlerhaften Firewall Konfiguration meinerseits. Ich habe es dann hinbekommen und leider vergessen dir für deine Hilfe zu danken. Das möchte ich jetzt nachholen.
Liebe Grüße,
Florian
Tut mir leid, dass ich erst jetzt antworte, aber die Ursache lag ganz einfach in einer fehlerhaften Firewall Konfiguration meinerseits. Ich habe es dann hinbekommen und leider vergessen dir für deine Hilfe zu danken. Das möchte ich jetzt nachholen.
Liebe Grüße,
Florian
