10
Server 2008R2 im Netzwerk einrichten
Windows Server hinter der monowall betreiben!?
Hallo,
und zwar habe ich folgendes Problem. Ich möchte zum testen einen Windows Server 2008R2 einrichten.
Mein Netzt sieht so aus, das ich von der Uni Internet bekomm, das ganze in die Monowall (auf Alix Board) leite und an dieser ein Switch mit meinen PCs und auch dem Server hängt.
Der Server hat zwei Netzwerkkarten, ich dachte ich nehme die eine, um ihn mit Internet zu versorgen (hängt an der Monowall, Adresse per DHCP zugewießen: 192.168.1.111)
Und auf der anderen wollte ich einen DNS Server einrichten und dann ein Switch dran hängen über das dann die Client PCs angeschlossen werden.
Nun habe ich aber das Problem, das wenn ich die Reverse und die Forward Regel erstelle (mit 192.168.178.xxx) das er sich mit der IP der Monowall anmeldet.
Ist das normal...oder denke ich einfach nur in die falsche Richtung. Brauche ich überhaupt zwei Netzwerkkarten? Oder wie Regel ich das am besten? Wollte halt schon gerne ein eigenes Client Server Netz (IP).
Falls ihr mehr Infos braucht sagt einfach bescheid.
Ich bin für jede Hilfe dankbar.
MfG Robert
und zwar habe ich folgendes Problem. Ich möchte zum testen einen Windows Server 2008R2 einrichten.
Mein Netzt sieht so aus, das ich von der Uni Internet bekomm, das ganze in die Monowall (auf Alix Board) leite und an dieser ein Switch mit meinen PCs und auch dem Server hängt.
Der Server hat zwei Netzwerkkarten, ich dachte ich nehme die eine, um ihn mit Internet zu versorgen (hängt an der Monowall, Adresse per DHCP zugewießen: 192.168.1.111)
Und auf der anderen wollte ich einen DNS Server einrichten und dann ein Switch dran hängen über das dann die Client PCs angeschlossen werden.
Nun habe ich aber das Problem, das wenn ich die Reverse und die Forward Regel erstelle (mit 192.168.178.xxx) das er sich mit der IP der Monowall anmeldet.
Ist das normal...oder denke ich einfach nur in die falsche Richtung. Brauche ich überhaupt zwei Netzwerkkarten? Oder wie Regel ich das am besten? Wollte halt schon gerne ein eigenes Client Server Netz (IP).
Falls ihr mehr Infos braucht sagt einfach bescheid.
Ich bin für jede Hilfe dankbar.
MfG Robert
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 156379
Url: https://administrator.de/contentid/156379
Printed on: April 23, 2024 at 07:04 o'clock
10 Comments
Latest comment
Hallo,
hier brauchst Du nicht die beiden Netzwerkkarten.
Vom Prinzip schonmal richtig gedacht, aber wenn eine LAN und die andere WAN ist wer routet dann?
Also eine deaktivieren und die andere ist LAN.
DNS ist der Server, Gateway die Monowall (wenn NAT)
Stefan
hier brauchst Du nicht die beiden Netzwerkkarten.
Vom Prinzip schonmal richtig gedacht, aber wenn eine LAN und die andere WAN ist wer routet dann?
Also eine deaktivieren und die andere ist LAN.
DNS ist der Server, Gateway die Monowall (wenn NAT)
Stefan
Danke ersteinmal für deien Antwort
Geht es denn garnicht, das ich ein kleines Netzwerk über die zweite Netzwerkkarte aufbaue?
D.h. keien von beiden Netzwerkkarten ist WAN beide sind sozusagen im LAN!?
Stehe bestimmt wieder auf dem Schlauch
Die Monowall baut ja ein 192.168.1.xxx Netz auf. Und vergibt die Adressen per DHCP.
Der Server bekommt allerding per MAC Filter die 192.168.1.111 zugeteilt.
Du meinst also ich sollte den Server einfach im Netz integrieren!?
D.h.:
IP: 192.168.1.111
Subnetz: 255.255.255.0
Gateway: 192.168.1.1 (glaube das ist die Monowall)
und als DNS den Server sebst!?
Und dann könnte ich die anderen PCs welche auch an der monowall sind in die Domäne aufnehmen...müsste es aber nicht!?
Geht es denn garnicht, das ich ein kleines Netzwerk über die zweite Netzwerkkarte aufbaue?
D.h. keien von beiden Netzwerkkarten ist WAN beide sind sozusagen im LAN!?
Stehe bestimmt wieder auf dem Schlauch
Die Monowall baut ja ein 192.168.1.xxx Netz auf. Und vergibt die Adressen per DHCP.
Der Server bekommt allerding per MAC Filter die 192.168.1.111 zugeteilt.
Du meinst also ich sollte den Server einfach im Netz integrieren!?
D.h.:
IP: 192.168.1.111
Subnetz: 255.255.255.0
Gateway: 192.168.1.1 (glaube das ist die Monowall)
und als DNS den Server sebst!?
Und dann könnte ich die anderen PCs welche auch an der monowall sind in die Domäne aufnehmen...müsste es aber nicht!?
Zitat von @nofear87:
Geht es denn garnicht, das ich ein kleines Netzwerk über die zweite Netzwerkkarte aufbaue?
Doch, aber warum? Dazu müßte der Server auch den zusätzlichen Router stellenGeht es denn garnicht, das ich ein kleines Netzwerk über die zweite Netzwerkkarte aufbaue?
D.h. keien von beiden Netzwerkkarten ist WAN beide sind sozusagen im LAN!?
LAN1 oder LAN2?Stehe bestimmt wieder auf dem Schlauch
Ich auch grad Für Dich ist doch nur interessant vor und hinter der Monowall oder nicht?
Davor = LAN
Dahinter = WAN
Die Monowall baut ja ein 192.168.1.xxx Netz auf. Und vergibt die Adressen per DHCP.
Der Server bekommt allerding per MAC Filter die 192.168.1.111 zugeteilt.
Der server sollte die IP fest eingetragen bekommen.Der Server bekommt allerding per MAC Filter die 192.168.1.111 zugeteilt.
Du meinst also ich sollte den Server einfach im Netz integrieren!?
JaD.h.:
IP: 192.168.1.111
Subnetz: 255.255.255.0
Gateway: 192.168.1.1 (glaube das ist die Monowall)
und als DNS den Server sebst!?
DNS: 192.168.1.111IP: 192.168.1.111
Subnetz: 255.255.255.0
Gateway: 192.168.1.1 (glaube das ist die Monowall)
und als DNS den Server sebst!?
Und dann könnte ich die anderen PCs welche auch an der monowall sind in die Domäne aufnehmen...müsste es aber
nicht!?
Richtig.nicht!?
Stimmt, mich interessiert ja eigentlich nur das was hinter der monowall in meinem Netzwerk geschiet.
Ich wollte das ganze nun mal ausprobieren, aber habe das Problem, das ich dem Server die 192.168.1.111
255.255.255.0
192.168.1.1 (Gateway)
und die 192.168.1.111 (DNS)
zugeteilt habe, er zwar Netzwerkzugrifff hat aber keinen Internetzugriff.
In der monwall erlaube ich nur PCs die im Filter stehen und da steht er auch, mit der 192.168.111 festzugeteilt....warum klappt das so nicht? Akzeptiert die Monowall nur automatisch bezogene Adressen?
Wenn ja müsste ich ja den DHCP Server ausschalten!?
Klappt das dann berhaupt ohne weiteres mit der Domäne weil ich in der Monowall einen DNS forwarder entdeckt habe etc., brauch man den zwanghaft?
Achja...alle PCs sind im gleichen LAN Interface der monowall
Ich wollte das ganze nun mal ausprobieren, aber habe das Problem, das ich dem Server die 192.168.1.111
255.255.255.0
192.168.1.1 (Gateway)
und die 192.168.1.111 (DNS)
zugeteilt habe, er zwar Netzwerkzugrifff hat aber keinen Internetzugriff.
In der monwall erlaube ich nur PCs die im Filter stehen und da steht er auch, mit der 192.168.111 festzugeteilt....warum klappt das so nicht? Akzeptiert die Monowall nur automatisch bezogene Adressen?
Wenn ja müsste ich ja den DHCP Server ausschalten!?
Klappt das dann berhaupt ohne weiteres mit der Domäne weil ich in der Monowall einen DNS forwarder entdeckt habe etc., brauch man den zwanghaft?
Achja...alle PCs sind im gleichen LAN Interface der monowall
Reicht es nicht, wenn ich einfach nur den DNS auf 192.168.1.111 setzte und das andere automatische beziehe...über den MAC Filter bekommt er eh immer die 192.168.1.111 und das 192.168.1.1 gateway...oder ist das feste setzte wichtig?
Edit: anscheinend geht es nicht, denn nslookup zeigt mir, das der Standartserver unknown ist
und der Server meldet sich nur in der Forward-Lookup Zone an und nicht in der Reverse (192.168.1.xxx) an
Bestimmt liegt es an den Monwall Einstelllungen, oder?
Edit: anscheinend geht es nicht, denn nslookup zeigt mir, das der Standartserver unknown ist
und der Server meldet sich nur in der Forward-Lookup Zone an und nicht in der Reverse (192.168.1.xxx) an
Bestimmt liegt es an den Monwall Einstelllungen, oder?
Ja, wie leider immer in so einem Fall.... 
Leider ist nun völlig unklar welche Zielvorstellungen du von deinem Netz hast. Beide deiner Designs funktionieren problemlos !
Generell erstmal zuallerst was das Thema DNS angeht:
Wenn die Monowall im Uni Netzwerk ihre IP Adresse per DHCP bekommt am WAN Port gilt die folgende Einstellung:
Damit "lernt" die Monowall den Internet DNS per DHCP und gibt sich selber als DNS Server aus wenn sie im LAN Segment selber DHCP macht. Die Monowall arbeitet als Proxy und reicht DNS Anfragen an ihre eigene IP LAN Adresse an den DNS Server weiter !
Achtung: Sollte die Monowall am WAN Port eine statische IP aus dem Uni Netz bekommen haben musst du zwingend die DNS Server IP des/der Internet DNS Servers hier unter "DNS Server" manuell eintragen !!
Das gleiche gilt für dein Server Netz hinter der Monowall egal ob mit oder ohne 2 NICs im Server:
Wenn du DNS dort im lokalen Netz verwendest um auch lokale IPs aufzulösen, dann aktivierst du ja DNS auf dem Server und hier musst du dann eine DNS Weiterleitung auf die Monowall IP Adresse einstellen. DNS die dann nicht lokal aufgelöst werden können am Server reicht dieser dann an die Monowall weiter...logisch ! Die Clients müssen dann die Server IP als DNS Adresse eingestellt haben. Gibt es kein lokales DNS, dann kann das entfallen und die Clients bekommen ganz einfach die Monowall IP als DNS fertig.
Sinnvoll ist es hier zum testen IMMER zuerst mit nackten IP Adressen von Clients ins Internet zu pingen um so ggf. DNS problemen gleich aus dem Weg zu gehen.
IP Adressen wie z.B.: 193.99.144.85 (heise.de) oder 195.71.11.67 (spiegel.de) wären solche sinnvollen IPs !
Zurück zu deinem Netzwerk Design:
... Nehmen wir mal dein ursprüngliches Design was du eigentlich vorhattest:
Das sähe dann so aus:
Einfach und simpel umzusetzen, du musst dich nur entscheiden WAS du am Server konfigurierst, ob du dort NAT (ICS) machst oder (besser) transparentes Routing ?!
Dazu solltest du unbedingt dieses Tutorial lesen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Gesetzt den Fall du entscheidest dich fürs normale Routing ohne NAT, dann sehen die Monowall Einstellungen so aus:
WAN Port (mit DHCP vom Uni Netz)
Als allerwichtigstes da du transparent routest musst du einen Statischen Routing Eintrag für das IP Netz hinter dem Server in der Monowall eintragen damit die Pakete in das Segment richtig geroutet werden !:
Da die Firewall am LAN Port nur per default das LAN IP Netzwerk zulässt musst du ebenso zwingend dieses IP Netz hinter dem Server am LAN Port erlauben, denn sonst kann es logischerweise nicht die Firewall passieren !!!
Wir erinnern uns an die goldene default Firewall Regel: Es ist alles verboten was nicht explizit erlaubt ist !!
Daher sieht die FW Regel am LAN Port so aus:
Fertisch... Damit rennt dann dies Szenario vollkommen problemlos.
Wenn du von außen auf den Server zugreifen willst per RDP z.B. musst du nur ein simples inbound NAT von Port TCP 3389 auf die 192.168.1.111 einstellen und den Zugriff in der Winblows Firewall von außen erlauben und gut ist.
Das ist in 10 Minuten fertig konfiguriert...wo ist also dein Problem ??
Natürlich ist auch ein einfaches Simpelszeanrio möglich:
Damit entfällt natürlich die statische Route und die zusätzliche Firewall Regel weil es das IP Netzwerk hinter dem Server logischerweise nicht mehr gibt !
(Entfällt übrigens auch solltest du auf dem Server im o.a. Szenario NAT oder ICS machen !!)
Es gilt aber weiterhin alles uneingeschränkt was oben eingangs zum Thema DNS gesagt wurde.
Wenn du das alles sauber beachtest funktionieren beide Designs ohne Probleme. Letztlich liegen die Fehler also allesamt an dir und einer falschen Konfiguration !!
Leider ist nun völlig unklar welche Zielvorstellungen du von deinem Netz hast. Beide deiner Designs funktionieren problemlos !
Generell erstmal zuallerst was das Thema DNS angeht:
Wenn die Monowall im Uni Netzwerk ihre IP Adresse per DHCP bekommt am WAN Port gilt die folgende Einstellung:
Achtung: Sollte die Monowall am WAN Port eine statische IP aus dem Uni Netz bekommen haben musst du zwingend die DNS Server IP des/der Internet DNS Servers hier unter "DNS Server" manuell eintragen !!
Das gleiche gilt für dein Server Netz hinter der Monowall egal ob mit oder ohne 2 NICs im Server:
Wenn du DNS dort im lokalen Netz verwendest um auch lokale IPs aufzulösen, dann aktivierst du ja DNS auf dem Server und hier musst du dann eine DNS Weiterleitung auf die Monowall IP Adresse einstellen. DNS die dann nicht lokal aufgelöst werden können am Server reicht dieser dann an die Monowall weiter...logisch ! Die Clients müssen dann die Server IP als DNS Adresse eingestellt haben. Gibt es kein lokales DNS, dann kann das entfallen und die Clients bekommen ganz einfach die Monowall IP als DNS fertig.
Sinnvoll ist es hier zum testen IMMER zuerst mit nackten IP Adressen von Clients ins Internet zu pingen um so ggf. DNS problemen gleich aus dem Weg zu gehen.
IP Adressen wie z.B.: 193.99.144.85 (heise.de) oder 195.71.11.67 (spiegel.de) wären solche sinnvollen IPs !
Zurück zu deinem Netzwerk Design:
... Nehmen wir mal dein ursprüngliches Design was du eigentlich vorhattest:
Das sähe dann so aus:
Einfach und simpel umzusetzen, du musst dich nur entscheiden WAS du am Server konfigurierst, ob du dort NAT (ICS) machst oder (besser) transparentes Routing ?!
Dazu solltest du unbedingt dieses Tutorial lesen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Gesetzt den Fall du entscheidest dich fürs normale Routing ohne NAT, dann sehen die Monowall Einstellungen so aus:
WAN Port (mit DHCP vom Uni Netz)
Als allerwichtigstes da du transparent routest musst du einen Statischen Routing Eintrag für das IP Netz hinter dem Server in der Monowall eintragen damit die Pakete in das Segment richtig geroutet werden !:
Da die Firewall am LAN Port nur per default das LAN IP Netzwerk zulässt musst du ebenso zwingend dieses IP Netz hinter dem Server am LAN Port erlauben, denn sonst kann es logischerweise nicht die Firewall passieren !!!
Wir erinnern uns an die goldene default Firewall Regel: Es ist alles verboten was nicht explizit erlaubt ist !!
Daher sieht die FW Regel am LAN Port so aus:
Fertisch... Damit rennt dann dies Szenario vollkommen problemlos.
Wenn du von außen auf den Server zugreifen willst per RDP z.B. musst du nur ein simples inbound NAT von Port TCP 3389 auf die 192.168.1.111 einstellen und den Zugriff in der Winblows Firewall von außen erlauben und gut ist.
Das ist in 10 Minuten fertig konfiguriert...wo ist also dein Problem ??
Natürlich ist auch ein einfaches Simpelszeanrio möglich:
Damit entfällt natürlich die statische Route und die zusätzliche Firewall Regel weil es das IP Netzwerk hinter dem Server logischerweise nicht mehr gibt !
(Entfällt übrigens auch solltest du auf dem Server im o.a. Szenario NAT oder ICS machen !!)
Es gilt aber weiterhin alles uneingeschränkt was oben eingangs zum Thema DNS gesagt wurde.
Wenn du das alles sauber beachtest funktionieren beide Designs ohne Probleme. Letztlich liegen die Fehler also allesamt an dir und einer falschen Konfiguration !!
Wow Aqui. Du bist einfach der Wahnsinn. DANKE!
Will noch mal folgendes klarstellen:
Von außen würde ich sowieso nicht auf den Server kommen da die Uni alles was von außen rein möchte blockt, von daher fällt RDP von Außen weg und ich muss mich mit dem internen Möglichkeiten begnügen.
Die Monowall bekommt vom UniNetz immer die gleiche IP zugeteilt (über einen Macfilter)
ist die xxx (anonym) xD
Ich denke ich werde mir ersteinmal das Szenario vornehmen, welches du zu guter letzt dargestellt hast. Das andere anschließend, will ja nicht das du dir die Mühe umsonst machst.
Mit welchem Programm baust du diese schönen Grafiken zusammen? (Visio?)
Ich weiß das es mal wieder an meiner Konfiguration liegt...aber ohne fremde Hilfe bin ich da leider etwas aufgeschmissen DNS ist für mich Neuland.
Meine Ziele: Naja, ich möchte einfach ein wenig rumspielen und mir das ganze mal anschauen. Wie z.B Active Directory und Hyper-V.
Beste Grüße
Robert
Will noch mal folgendes klarstellen:
Von außen würde ich sowieso nicht auf den Server kommen da die Uni alles was von außen rein möchte blockt, von daher fällt RDP von Außen weg und ich muss mich mit dem internen Möglichkeiten begnügen.
Die Monowall bekommt vom UniNetz immer die gleiche IP zugeteilt (über einen Macfilter)
ist die xxx (anonym) xD
Ich denke ich werde mir ersteinmal das Szenario vornehmen, welches du zu guter letzt dargestellt hast. Das andere anschließend, will ja nicht das du dir die Mühe umsonst machst.
Mit welchem Programm baust du diese schönen Grafiken zusammen? (Visio?)
Ich weiß das es mal wieder an meiner Konfiguration liegt...aber ohne fremde Hilfe bin ich da leider etwas aufgeschmissen
DNS ist für mich Neuland.Meine Ziele: Naja, ich möchte einfach ein wenig rumspielen und mir das ganze mal anschauen. Wie z.B Active Directory und Hyper-V.
Beste Grüße
Robert
Na ja es gibt immer Mittel und Wege von außen reinzukommen 
Damit VPN für Arme - TCP in SSH tunneln mit Putty klappt es (fast) immer.....
Deine IP solltest du etwas anonymisieren, denn sonst weiss jeder das du an einer TU im schönen Il... bist...
Damit VPN für Arme - TCP in SSH tunneln mit Putty klappt es (fast) immer.....
Deine IP solltest du etwas anonymisieren, denn sonst weiss jeder das du an einer TU im schönen Il... bist...
Hm, soweit ich weiß ist TCP und UDP von außen komplett geblockt
Kann ja nicht, denn wenns wirklich komplett ist würde ja gar nichts mehr gehen, auch kein HTTP (Webtraffic) Email (SMTP, POP, IMAP) usw. usw.
Es sei denn du hast wirklich Recht, dann ist es aber auch vollkommen logisch das du von deinem Netz nicht ins Internet kommst wenn alles "komplett" im Uninetz geblockt ist ! Dann musst du dich nicht groß wundern ! Wo nix rausgeht kann auch nix reinkommen....
Es sei denn du hast wirklich Recht, dann ist es aber auch vollkommen logisch das du von deinem Netz nicht ins Internet kommst wenn alles "komplett" im Uninetz geblockt ist ! Dann musst du dich nicht groß wundern ! Wo nix rausgeht kann auch nix reinkommen....
