6
W2K3-Server über 2NICs mit 2 Routern verbunden - Fragen zum Routing
Hallo zusammen,
ich habe folgendes Szenario:
1 W2K3-Server mit Exchange, zwei NICs (NIC1: 10.46.40.40 + NIC2: 192.168.1.2).
Die erste Netzwerkkarte ist mit dem produktiven LAN verbunden, Standardgateway 10.46.40.1.
Das Standardgateway 10.46.40.1 ist ein DSL-Router, mit dem wir an unsere Zentrale angebunden sind, und mit dem wir surfen.
Folgendes Problem: Wir müssen per Webaccess auf unseren Exchange-Server zugreifen. Leider haben wir definitiv KEINE MÖGLICHKEIT, in unserem 10.46.40.1-Router eine Portweiterleitung o.ä. einzutragen, da er "dicht" ist und dort nur unsere Konzernmutter dran kann. Selbst mit betteln und bitten würde das nicht genehmigt werden.
Lösung: Wir haben eine zusätzlichen T-DSL-Anschluss mit fester IP, an dem wir einen eigenen "offenen" DSL-Router betreiben.
Dieser DSL-Router (192.168.1.1) ist direkt mit der zweiten Netzwerkkarte des W2K3-Servers verbunden (192.168.1.2).
Problem: Will ich per NAT-Umleitung über unseren DSL-Router auf den W2K3-Server, muss ich in der zweiten Netzwerkkarte die 192.168.1.1 als Standard-Gateway eintragen. Das klappt soweit. Nur kann ich dann sämtliche DNS-Namen und IP-Adressen nicht mehr erreichen, die in unserer Zentrale (hinter dem Router 10.46.40.1) liegen.
Nehme ich auf der zweiten Netzwerkkarte das Standardgateway 192.168.1.1 raus, klappt alles wieder wie gewünscht, nur eben unser Webaccess nicht!
Klar, ich benötige eine Rückroute zu unserem DSL-Router.
Frage:
Was muss ich tun, damit von unserem DSL-Router die Portweiterleitung auf unseren W2K3-Server klappt, OHNE der zweiten Netzwerkkarte das Standardgateway 192.168.1.1 verpassen zu müssen?
Unser DSL-Router würde statische Routen unterstützen. Im Firmen-Router 10.46.40.1 dürfen keine statischen Routen eingetragen werden
Kann mir jemand einen heißen Tipp geben? Ich verzweifle!!!
ich habe folgendes Szenario:
1 W2K3-Server mit Exchange, zwei NICs (NIC1: 10.46.40.40 + NIC2: 192.168.1.2).
Die erste Netzwerkkarte ist mit dem produktiven LAN verbunden, Standardgateway 10.46.40.1.
Das Standardgateway 10.46.40.1 ist ein DSL-Router, mit dem wir an unsere Zentrale angebunden sind, und mit dem wir surfen.
Folgendes Problem: Wir müssen per Webaccess auf unseren Exchange-Server zugreifen. Leider haben wir definitiv KEINE MÖGLICHKEIT, in unserem 10.46.40.1-Router eine Portweiterleitung o.ä. einzutragen, da er "dicht" ist und dort nur unsere Konzernmutter dran kann. Selbst mit betteln und bitten würde das nicht genehmigt werden.
Lösung: Wir haben eine zusätzlichen T-DSL-Anschluss mit fester IP, an dem wir einen eigenen "offenen" DSL-Router betreiben.
Dieser DSL-Router (192.168.1.1) ist direkt mit der zweiten Netzwerkkarte des W2K3-Servers verbunden (192.168.1.2).
Problem: Will ich per NAT-Umleitung über unseren DSL-Router auf den W2K3-Server, muss ich in der zweiten Netzwerkkarte die 192.168.1.1 als Standard-Gateway eintragen. Das klappt soweit. Nur kann ich dann sämtliche DNS-Namen und IP-Adressen nicht mehr erreichen, die in unserer Zentrale (hinter dem Router 10.46.40.1) liegen.
Nehme ich auf der zweiten Netzwerkkarte das Standardgateway 192.168.1.1 raus, klappt alles wieder wie gewünscht, nur eben unser Webaccess nicht!
Klar, ich benötige eine Rückroute zu unserem DSL-Router.
Frage:
Was muss ich tun, damit von unserem DSL-Router die Portweiterleitung auf unseren W2K3-Server klappt, OHNE der zweiten Netzwerkkarte das Standardgateway 192.168.1.1 verpassen zu müssen?
Unser DSL-Router würde statische Routen unterstützen. Im Firmen-Router 10.46.40.1 dürfen keine statischen Routen eingetragen werden
Kann mir jemand einen heißen Tipp geben? Ich verzweifle!!!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 99454
Url: https://administrator.de/contentid/99454
Printed on: April 25, 2024 at 00:04 o'clock
6 Comments
Latest comment
Die Loesung ist ganz einfach:
Vermutlich ist der Web Access irgendwo auf einem System in der Zentrale. Du musst die IP Adresse dieses Servers herausbekommen, was ja mit nslookup kein Problem ist.
Dann traegst du auf eurem Server nur eine statische Router auf das Netz oder direkt auf den Web Access Host ein und dann sollte es klappten, denn dann schickt euer Server alle Anfragen an diese einzelne netz oder diesen Host immer ueber den offenen DSL Router statt ueber den Firmenrouter.
Beispiel wenn der Web Access Server die 89.1.1.1 hat mit einer 24 Bit Maske.
Dann traegst du auf eurem Server folgende statische Route ein:
route add 89.1.1.1 mask 255.255.255.255 192.168.1.1
Damit gehen dann alle Anfragen an den WebAccess Server der die 89.1.1.1 hat ueber den DSL Router.
Du kannst auch das ganze Netz freigeben mit:
route add 89.1.1.1 mask 255.255.255.0 192.168.1.1
Damit geht dann alles was im 89.1.1.0er IP netz ist ueber den SL Router !
Achtung:
Wenn das alles funktioniert musst du diese statische Route permanent machen, denn so wie oben ist sie nach einem Reboot des Servers wieder weg. Das geschieht mit dem Parameter -p so das der finale Befehl in der Eingabeaufforderung auf dem Server dann so aussieht:
route add 89.1.1.1 mask 255.255.255.255 192.168.1.1 -p
Weitere Anregungen zu dem Thema gibt dir ggf. dies Tutorial:
Vermutlich ist der Web Access irgendwo auf einem System in der Zentrale. Du musst die IP Adresse dieses Servers herausbekommen, was ja mit nslookup kein Problem ist.
Dann traegst du auf eurem Server nur eine statische Router auf das Netz oder direkt auf den Web Access Host ein und dann sollte es klappten, denn dann schickt euer Server alle Anfragen an diese einzelne netz oder diesen Host immer ueber den offenen DSL Router statt ueber den Firmenrouter.
Beispiel wenn der Web Access Server die 89.1.1.1 hat mit einer 24 Bit Maske.
Dann traegst du auf eurem Server folgende statische Route ein:
route add 89.1.1.1 mask 255.255.255.255 192.168.1.1
Damit gehen dann alle Anfragen an den WebAccess Server der die 89.1.1.1 hat ueber den DSL Router.
Du kannst auch das ganze Netz freigeben mit:
route add 89.1.1.1 mask 255.255.255.0 192.168.1.1
Damit geht dann alles was im 89.1.1.0er IP netz ist ueber den SL Router !
Achtung:
Wenn das alles funktioniert musst du diese statische Route permanent machen, denn so wie oben ist sie nach einem Reboot des Servers wieder weg. Das geschieht mit dem Parameter -p so das der finale Befehl in der Eingabeaufforderung auf dem Server dann so aussieht:
route add 89.1.1.1 mask 255.255.255.255 192.168.1.1 -p
Weitere Anregungen zu dem Thema gibt dir ggf. dies Tutorial:
Sorry, das musst Du falsch verstanden haben - der W2K3 Server ist SELBST der Exchange-Server mit Webaccess.
In dem Exchange-Server sind zwei Netzwerkkarten eingebaut, eine davon Produktivnetz / Firmendsl, die andere Netzwerkkarte ist direkt mit dem anderen "offenen" DSL-Router verbunden.
In dem Exchange-Server sind zwei Netzwerkkarten eingebaut, eine davon Produktivnetz / Firmendsl, die andere Netzwerkkarte ist direkt mit dem anderen "offenen" DSL-Router verbunden.
Willst du dich denn von remote einwaehlen und den Web Access nutzen oder lokal ??
Vermutlich remote, richtig, denn sonst waere der DSL Router ja Bloedsinn !!
Dann gilt das gleiche allerdings musst du dann in die statische Route das Netzwerk des Clients eintragen.
Hast du wechselnde IPs von Clients muesstest du alle diese Netze erfassen.
Das ist also keine dauerhafte und vor allen Dingen skalierbare Loesung fuer viele Clients sondern nur fuer Einzelne.
Hast du mehrere Clients in wahllos zufaelligen Netzen hast du keine Chance das so zu realisieren, denn dann muesstest du alle moeglichen Client Netze im Internet statisch eintragen was natuerlich voelliger Unsinn ist. Ausserdem hats du immer noch den Zufall das doch einer mal in einem Netz eine IP bekommt das du nicht konfiguriert hast und aus ists mit dem romten Zugriff dieser Art !
Dieser Weg ist also eine voellige Sackgasse !
Dir bleibt dann nur heimlich den Firmenrouter anzupassen. Sicher hat der einen Konsolenanschluss ueber den man drauf kommt und etwas an der Konfig fummeln kann.
Nicht nett und vermutlich gegen Firmenregeln aber so deine einzige Chance wenn du es riskieren willst.
Ansonsten musst du zwangslaeufig dein Design etwas aendern.
Das ist aber einfacher als man denkt, denn viel muss man in diesem Falle nicht machen ! Du wechselst deinen Router einfach nur gegen einen gescheiten VPN Router aus wie z.B. einen von [ttp://www.draytek.de Draytek]. (Es sei denn dein Router IST ein VPN Router ?!)
Dann kannst du von remote eine VPN Verbindung aufmachen auf den Router mit den Windows bordeigenen VPN Client, was auch Mac, Linux und fast alle PDAs supporten (PPTP) und bist transparent wieder in deinem 192.168.1.0er Netz und schon funktioniert alles wieder wie lokal und du kannst ohne Frickelei auf dein Web Access (und auch alle anderen lokalen Dienste) problemlos zugreifen, denn die VPN verbindung verhaelt sich wie eine lokale LAN Verbindung !!!
Wie einfach der VPN Zugriff bei Draytek zu machen ist kannst du z.B. hier sehen:
http://www.draytek.de/Beispiele_html/VPN/XP-Vigor-PPTP.htm
Vermutlich remote, richtig, denn sonst waere der DSL Router ja Bloedsinn !!
Dann gilt das gleiche allerdings musst du dann in die statische Route das Netzwerk des Clients eintragen.
Hast du wechselnde IPs von Clients muesstest du alle diese Netze erfassen.
Das ist also keine dauerhafte und vor allen Dingen skalierbare Loesung fuer viele Clients sondern nur fuer Einzelne.
Hast du mehrere Clients in wahllos zufaelligen Netzen hast du keine Chance das so zu realisieren, denn dann muesstest du alle moeglichen Client Netze im Internet statisch eintragen was natuerlich voelliger Unsinn ist. Ausserdem hats du immer noch den Zufall das doch einer mal in einem Netz eine IP bekommt das du nicht konfiguriert hast und aus ists mit dem romten Zugriff dieser Art !
Dieser Weg ist also eine voellige Sackgasse !
Dir bleibt dann nur heimlich den Firmenrouter anzupassen. Sicher hat der einen Konsolenanschluss ueber den man drauf kommt und etwas an der Konfig fummeln kann.
Nicht nett und vermutlich gegen Firmenregeln aber so deine einzige Chance wenn du es riskieren willst.
Ansonsten musst du zwangslaeufig dein Design etwas aendern.
Das ist aber einfacher als man denkt, denn viel muss man in diesem Falle nicht machen ! Du wechselst deinen Router einfach nur gegen einen gescheiten VPN Router aus wie z.B. einen von [ttp://www.draytek.de Draytek]. (Es sei denn dein Router IST ein VPN Router ?!)
Dann kannst du von remote eine VPN Verbindung aufmachen auf den Router mit den Windows bordeigenen VPN Client, was auch Mac, Linux und fast alle PDAs supporten (PPTP) und bist transparent wieder in deinem 192.168.1.0er Netz und schon funktioniert alles wieder wie lokal und du kannst ohne Frickelei auf dein Web Access (und auch alle anderen lokalen Dienste) problemlos zugreifen, denn die VPN verbindung verhaelt sich wie eine lokale LAN Verbindung !!!
Wie einfach der VPN Zugriff bei Draytek zu machen ist kannst du z.B. hier sehen:
http://www.draytek.de/Beispiele_html/VPN/XP-Vigor-PPTP.htm
Danke für die lange Antwort und die Mühe.
Leider helfen mir Deine Tipps auch nicht weiter.
Natürlich möchten wir den Webaccess per Remote von unterwegs aus nutzen.
Nochmal: Den Firmenrouter KÖNNEN WIR NICHT ANPASSEN, da er von unserer Konzernmutter bzw. dessen Provider zur Verfügung gestellt wird. Wir haben absolut keine Chance, ihn zu konfigurieren, da er natürlich per Passwort etc. geschützt ist.
Ausserdem würde das "herumpfuschen" an dem Router rechtliche Konsequenzen für uns haben.
Daher ist die einzige, legale Möglichkeit, uns über einen eigenen zweiten DSL-Anschluss + eigenen Router zu behelfen.
Wir haben sogar einen eigenen Draytek-Router an "unserem" DSL-Anschluss (Vigor 2900). Allerdings scheidet die Möglichkeit der VPN-Einwahl aus - warum sollten wir dann auch den Webaccess benutzen wollen? Wir möchten von jedem beliebigen Internet-PC aus der ganzen Welt auf unsere Mails zugreifen. VPN kommt nur in Frage, wenn wir mit unseren Notebooks unterwegs sind, auf denen sowieso ein Outlook-Client drauf ist.
Wir haben nur die Chance, in unserem Draytek einen NAT-Umleitung auf den Exchange W2K3-Server zu machen.
Allerdings können wir in der Netzwerkkarte kein Gateway eintragen, da die Netzwerkkarte in unserem Produktivnetz schon ein Standard-Gateway benötigt.
So fehlt uns allerdings die Rückroute zu unserem Draytek. Folge: NAT bzw. Webaccess klappt nicht
Hat noch einer ne Idee?
Leider helfen mir Deine Tipps auch nicht weiter.
Natürlich möchten wir den Webaccess per Remote von unterwegs aus nutzen.
Nochmal: Den Firmenrouter KÖNNEN WIR NICHT ANPASSEN, da er von unserer Konzernmutter bzw. dessen Provider zur Verfügung gestellt wird. Wir haben absolut keine Chance, ihn zu konfigurieren, da er natürlich per Passwort etc. geschützt ist.
Ausserdem würde das "herumpfuschen" an dem Router rechtliche Konsequenzen für uns haben.
Daher ist die einzige, legale Möglichkeit, uns über einen eigenen zweiten DSL-Anschluss + eigenen Router zu behelfen.
Wir haben sogar einen eigenen Draytek-Router an "unserem" DSL-Anschluss (Vigor 2900). Allerdings scheidet die Möglichkeit der VPN-Einwahl aus - warum sollten wir dann auch den Webaccess benutzen wollen? Wir möchten von jedem beliebigen Internet-PC aus der ganzen Welt auf unsere Mails zugreifen. VPN kommt nur in Frage, wenn wir mit unseren Notebooks unterwegs sind, auf denen sowieso ein Outlook-Client drauf ist.
Wir haben nur die Chance, in unserem Draytek einen NAT-Umleitung auf den Exchange W2K3-Server zu machen.
Allerdings können wir in der Netzwerkkarte kein Gateway eintragen, da die Netzwerkkarte in unserem Produktivnetz schon ein Standard-Gateway benötigt.
So fehlt uns allerdings die Rückroute zu unserem Draytek. Folge: NAT bzw. Webaccess klappt nicht
Hat noch einer ne Idee?
Hallo,
wenn "von jedem beliebigen Internet-PC" gewünscht ist, wird das schwierig.:
- Entweder doch VPN über VPN-Router, jeder Mitarbeiter hat dann sein System (bzw. seine
Zugangssoftware) auf einen USB-Stick.
- (Spiegel-) Server in eine DMZ stellen.
- Oder die Emails extern speichern/lesen beim Anbieter Eurer Domain (falls Ihr eine habt).
Wir nutzen letzteres, lassen trotz Exchange die externen Emails für 30 Tage auf dem Server des Providers,
sodass wir sie über sein Interface lesen und beantworten können. Interne Mails, die der "externe" Mitarbeiter ohne Zeitverzug lesen soll, werden explizit an eine externe Mailadresse geschickt. Klingt etwas kompliziert, läuft aber schon über 2 Jahre.
Wellknown
wenn "von jedem beliebigen Internet-PC" gewünscht ist, wird das schwierig.:
- Entweder doch VPN über VPN-Router, jeder Mitarbeiter hat dann sein System (bzw. seine
Zugangssoftware) auf einen USB-Stick.
- (Spiegel-) Server in eine DMZ stellen.
- Oder die Emails extern speichern/lesen beim Anbieter Eurer Domain (falls Ihr eine habt).
Wir nutzen letzteres, lassen trotz Exchange die externen Emails für 30 Tage auf dem Server des Providers,
sodass wir sie über sein Interface lesen und beantworten können. Interne Mails, die der "externe" Mitarbeiter ohne Zeitverzug lesen soll, werden explizit an eine externe Mailadresse geschickt. Klingt etwas kompliziert, läuft aber schon über 2 Jahre.
Wellknown
Unter den Voraussetzungen gibt es definitiv keine Lösung, das ist sicher. In dem Szenario ist das somit nicht zu realisieren !
Eure einzige Lösung wäre ein VPN Zugang zu nutzen.
Als allerletzter Notnagel bleibt dann noch einen PC zu nehmen der sein Default Gateway direkt auf den extra Router hat und der irgendwie die Webseite als Proxy darstellt.
Andere Möglichkeiten scheiden definitiv aus !!
Eure einzige Lösung wäre ein VPN Zugang zu nutzen.
Als allerletzter Notnagel bleibt dann noch einen PC zu nehmen der sein Default Gateway direkt auf den extra Router hat und der irgendwie die Webseite als Proxy darstellt.
Andere Möglichkeiten scheiden definitiv aus !!
