howie80
Goto Top

Routing über DFÜ-Verbindung

Hallo an alle,

ich habe folgende Konstellation

Geschäftsstelle:
Windows Server 2003
IP: 131.1.6.14
SM: 255.255.0.0
Netzwerk: 131.1.0.0


Zweigstelle1:
Windows Server 2003
LAN intern
IP: 131.3.0.245
SM: 255.255.0.0
Netzwerk: 131.3.0.0

PPP-Adapter
IP: 131.1.6.150
SM: 255.255.255.255

Zweigstelle1:
Windows 2000 XP prof
LAN
IP: 131.3.0.XXX
SM: 255.255.0.0
GW: 131.3.0.245
DHCP: 131.3.0.XXX
DNS: 131.3.0.XXX

Die beiden Server sind über DFÜ (ISDN 128k/bit) verbunden.

Ich befinde mich in der Zweigstelle und wähle mich damit beim Server der Geschäftsstelle ein. Dabei bekomme ich auf meinem PPP-Adapter die oben genannte Adresse u. Gateway zugewiesen.

Die Verbindung zwischen den beiden Servern steht und ich kann von meinem Server (131.3.0.245) PINGS ins komplette 131.1.0.0 Netzwerk der Geschäftsstelle absetzen. Ich bekomme dabei auch einwandfreie Antworten von den Hosts. Wenn ich versuche von einem Client des Netzwerks 131.3.0.0 einen PING abzusetzen so ist mein PPP-Adapter (131.1.6.150) erreichbar. Dies sagt mir das mein Routing auf dem Server erstmal richtig konfiguriert ist. Problem ist nun aber, dass ich mit meinen Clients z.B. nicht den Server bzw. Clients im Netzwerk 131.1.6.0 in der Geschäftsstelle erreichen kann.

Ich bin schon kurz vorm verzweifeln und habe schon soviel versucht dass ich wohl den Wald vor lauter Bäumen nicht mehr sehe... Bin um jeden hilfreichen Tipp dankbar.

Grüsse
Howie

Content-Key: 112263

Url: https://administrator.de/contentid/112263

Ausgedruckt am: 28.03.2024 um 13:03 Uhr

Mitglied: aqui
aqui 24.03.2009 um 20:55:12 Uhr
Goto Top
Das kann ja eigentlich niemals sein, denn du schreibst ja selber:

"...ich kann von meinem Server (131.3.0.245) PINGS ins komplette 131.1.0.0 Netzwerk der Geschäftsstelle absetzen !"

Damit widersprichst du dich in deinen Aussagen bzw. der Aussage "...nicht den Server bzw. Clients im Netzwerk 131.1.6.0 in der Geschäftsstelle erreichen kann..."

Alles was 131.1.x.x in der GS ist ist ja das 131.1.0.0er Netz. Die .6.x ist lediglich eine Hostadresse und keinesfalls unterschiedlich zu einer .20.x und .77.x usw. usw.

Oder kann es sein das du die 131.1.6.0 mit einer 24 Bit Maske betreiben willst oder dies ein abgesetztes Netzwerk ist das über einen separaten Router in der GS läuft ??

Dann hättest du natürlich einen fatalen und tödlichen Subnetting Fehler im IP Design, denn wenn du das GS netz mit einer 16 Bit Maske maskierst kannst du natürlich niemals dort ein 24 bittiges Subnetz betreiben.
Eine Wegefindung dahin wäre für IP Pakete unmöglich.

Leider äußerst du dich zu dieser Thematik gar nicht oder nur oberflächlich so das eine hilfreiche Antwort schwer fällt face-sad !!
Mitglied: howie80
howie80 24.03.2009 um 21:30:31 Uhr
Goto Top
Eigentlich widerspreche ich mir soweit nicht... hab mich vielleicht undeutlich ausgedrückt

Ich kann von dem Server der Zweigstelle (131.3.0.45) welcher gleichzeitig auch die Funktion eines Routers übernimmt, ins komplette Netz (131.1.0.0) der Geschäftsstelle pingen. Lediglich von meinen internen Clients (131.3.0.0/16) hinter dem Server/Router kann ich nicht ins 131.1.0.0/16 Netz pingen. Das ist auch das was mich so stutzig macht. Vom Client aus kann ich die "externe IP" meines Servers/Routers 131.1.6.150 (PPP-Adapter) erreichen aber nicht die in der Geschäftsstelle befindlichen restlichen Rechner des Subnets 131.1.0.0/16

Ich hoffe damit kann ich etwas mehr Licht ins Dunkel bringen?
Mitglied: aqui
aqui 24.03.2009 um 21:33:32 Uhr
Goto Top
OK, nun ist das klar. Damit ist dann auch die Ursache klar denn du hast vermutlich schlicht und einfach nur vergessen den Routing und RAS Dienst zu aktivieren ???

Bei Windows 2003/2008 Systemen ist das der RAS/Routing Dienst mit der Option "LAN-Routing" !

Es sollte dir aber auch klar sein das zusätzlich noch jegliche Firewall auf Systemen der GS im 131.1.0.0er Netz Anfragen aus dem 131.3.0.0er Netz blockt da sie ja NICHT zum lokalen Netzwerk gehören und ein Fremdnetz sind !!
Du musst also den Firewalls diesen Bereich noch zusätzlich konfigurieren das Pakete daraus durchgehen !!!
Oder die Firewalls zum testen temporär deaktivieren !
Mitglied: howie80
howie80 24.03.2009 um 21:54:02 Uhr
Goto Top
OK... das mit den Firewalls werde ich gleich morgen früh mal prüfen und dann hier posten....

Der Routing und RAS Dienst ist aber bereits aktiviert. Ansonsten könnte ich ja wahrscheinlich auch nicht von meinen internen Clients 131.3.0.0/16 auf die ISDN-Karte 131.1.6.150/32 pingen, oder?
Mitglied: aqui
aqui 25.03.2009 um 11:01:21 Uhr
Goto Top
Das ist richtig !!!!
Mitglied: howie80
howie80 25.03.2009 um 13:17:08 Uhr
Goto Top
Also, die Einstellungen der Firewall in der Geschäftsstelle werden vom Admin vor Ort geprüft.

Ich habe heute mit Wireshark einmal die ISDN-Schnittstelle überwachen lassen. Wenn ich von meinem Client (131.3.0.0/16) ins Netz der Geschäftsstelle (131.1.0.0/16) pinge dann zeichnet die ISDN-Karte 131.1.6.150 auf, dass sie eine request von der Client-IP an die Empfänger-IP schickt. Es kommt jedoch keine reply zurück.

Ist das schon ein Zeichen für mich dass mein Router die Pakete sauber verarbeitet und von der Geschäftsstelle keine Antwort kommt? Oder kann es auch sein, dass mein Router das Ziel nicht erreicht weil meine Konfiguration nicht stimmt?
Mitglied: howie80
howie80 25.03.2009 um 14:29:11 Uhr
Goto Top
Mal eine ganz doofe Frage....

da ich ja mit meiner ISDN-Karte 131.1.6.150/32 ins Netz 131.1.0.0 der Geschäftsstelle pingen kann... wäre es evtl möglich diese Schnittstelle übers NAT-Protokoll zu nutzen??
Mitglied: howie80
howie80 25.03.2009 um 16:30:00 Uhr
Goto Top
Genau das war des Rätsels Lösung

Ich habe auf meiner ISDN-Schnittstelle (Wählen bei Bedarf) das NAT-Protokoll aktiviert. Somit nutzt ja jetzt jeder Client von mir die 131.1.6.150 um ins Geschäftsstellennetz zu kommen.

Siehe da, es funktioniert ohne Ende. Kleine Maßnahme, große Auswirkung face-wink

Danke für deine Hilfe aqui
Mitglied: aqui
aqui 25.03.2009 um 18:17:01 Uhr
Goto Top
Das Problem ist aber das nun dein Netzwerk komplett hinter der ISDN IP versteckt wird. (IP Adress Translation)

Wenn die Verbindung transparent sein soll wirst du ein Problem haben, denn ohne Port Forwarding kannst du die NAT Firewall nicht überwinden.

Sofern aber die Kommunikation immer nur von Zweigstelle zu GS aufgebaut wird geht das natürlich.

Wenns das war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !