Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Windows 2003 Server - 2 Netzwerkkarten, Remote Access via VPN (RAS)

Mitglied: yasdfgr

yasdfgr (Level 1) - Jetzt verbinden

09.11.2007, aktualisiert 23.10.2012, 17308 Aufrufe, 5 Kommentare

Client X in Netz A <--> WIN 2003 Server <--> Netz B mit VPN-Client

Ich betreibe ein Win 2003 Server, in welchem 2 Netzwerkkarten eingebaut sind, eine in ein lokales Netz A, die andere in ein lokales Netz B.
Nun stelle ich aus Netz B eine RAS-Verbindung (mittels VPN-Client) mit dem Server her und bekomme automatisch eine IP aus Netz A.
67cd40605d9ce211ee794829ee0b759c-nw - Klicke auf das Bild, um es zu vergrößern
Ein Ping auf die Server-IP aus Netz A funktioniert - nur alle anderen Teilnehmer aus Netz A lassen sich nicht erreichen!

Besitzt der Server nur eine Netzwerkkarte (Netz A) und wird die VPN-Verbindung z.B. über ein Portforwarding über einen NAT-Router aus dem Internet hergestellt, lassen sich auch alle Clients in Netz A erreichen.

Wenn ich RAS richtig verstanden habe, kann es sich dabei nicht um ein Routingproblem handeln, denn der RAS-Dienst sorgt dafür, das der VPN-Server automatisch der Stellvertreter jedes Clients auf OSI-Ebene 2 wird (ARP-Proxy).
D.h. der Server nimmt stellvertretend Pakete, die für die Macadresse eines Clients bestimmt sind an und leitet sie weiter, ganz so, als wäre der Client an einem lokalen Switch angeschlossen.

Das bestätigt sich auch dadurch, das wenn man den RAS-Server betreibt, der entfernte VPN-Client eine lokale IP bekommt, wo wiederum ein lokaler Rechner die Pakete für den VPN-Client nicht an ein Gateway schicken wird um diesen zu erreichen, da er den VPN-Client ja im gleichen Netzsegment "sieht".
Die Netzkonfiguration (Routingtabellen und STD-Gateways müssen nicht verändert werden).

Ist das richtig? Warum funktioniert das dann nicht wenn 2 Netzwerkkarten aktiv sind?
Kann mir jemand einen Tipp geben?

Wer sich dafür interessiert warum eine solche Konfiguration Sinn macht:
Stellt euch einfach vor, Netz B ist unsicher (das könnte ein unverschlüsseltes WLAN sein). Deswegen möchte ich eine sichere Verbindung in Netz A und von dort weiter ins Internet.
Alles klar?

Ein sehr ähnliches Problem hier: https://www.administrator.de/forum/windows-2003-server%3a-2-netzwerkkart ...
Mitglied: Dani
11.11.2007 um 21:21 Uhr
Abend yasdfgr,
also eine Frage brennt mir vorweg auf der Zunge. Du hast 2 Netze, sowei komm ich mit. Aber warum baust aus Netz B eine VPN-Verbindung zu einem Server auf, der in beiden Netzen hängt. Macht doch keinen Sinn!

Fakt: Ich verstehe nicht so ganz deine Netzwerkinfrastuktur und dein Problem. Lese mal nochmal drüber, dann wirst du verstehen was ich meine. Was ist Netz A und B. Beides das LAN oder aber eines zum Roouter, das andere LAN - etc......
Du kannst gerne auch einen Netzplan hochladen. Jedoch bitte, IP-Adresse und Namen schwärzen!


Grüße
Dani
Bitte warten ..
Mitglied: yasdfgr
11.11.2007 um 21:55 Uhr
Hallo Dani,

erst mal danke, dass du dich mit meinem Problem beschäftigst!

Ich hoffe der hochgeladene Netzplan wird dir helfen... (ist ein weing zu groß, ich weiß )
Dann mein Problem noch mal in Kurzform:

  • beide Netzwerkkarten aktiv
  • VPN-Verbindung zum Server aus LAN B - OK
  • Ping auf Server durch den Tunnel - OK
  • Ping auf das dahinter liegende "sichere" Netz A durch den Tunnel- FEHLER

  • eine Netzwerkkarte aktiv
  • VPN-Verbindung zum Server aus Internet - OK
  • Ping auf Server durch den Tunnel - OK
  • Ping auf das "dazwischen" liegende "sichere" Netz A durch den Tunnel - OK

In beiden Fällen werden keine Routen konfiguriert! Der Remote-Client wird einfach in LAN A integriert..., so als sei er lokal im Netz, aber nur in einem Fall klappt das!

Warum?
Bitte warten ..
Mitglied: Dani
12.11.2007 um 21:13 Uhr
Hallo,
also da muss ich erstmal passen... Ich würde aber das Problem darin suchen, dass du eigentlich im LAN bleibst. Mit welcher IP-Adresse wählst du den Server an. Die von Adapter A oder B??
Dürfte theoretisch nicht ausmachen, aber bei M$ ist das immer so ne Sache.
Ansonsten würde ich mich mal einwählen und schauen, was ein tracert auf einen Client im Netz A pssiert.


Grüße
Dani
Bitte warten ..
Mitglied: yasdfgr
12.11.2007 um 21:37 Uhr
Also den Server kontaktiere ich aus dem Internet logischerweise auf NIC A (Portforwarding von der öffentlichen IP des Routers) - aus dem LAN B entsprechend auf NIC B.

tracert mach ich nochmal, aber diese Standard-Diagnose verwende ich normalerweise immer... und ich bin damit nicht weiter gekommen.

Wie gesagt, das Problem sollte, meinem Verständnis nach, eigentlich nicht mit Routing zusammenhängen.
Wenn der VPN-Client eine IP aus Netz A bekommt, wird ja auch kein Rechner aus Netz A seine Pakete für diesen VPN-Client an ein Gateway leiten, sollte er denn eine Ping-Anfrage oder sonst ein Paket bekommen!
Netz-Adresse und Subnetzmaske sagen ihm ja:
*-> lokales Netz
*-> ist direkt erreichbar, also nimm das adress resolution protocol (ARP) und frag mal welche MAC zu dieser IP passt
*schick' das Paket direkt an diese MAC-Adresse

Folglich muss es im Windows 2003 Server folgenden Mechanismus geben:
*ARP-Paket kommt: "Welche MAC gehört zu <IP des VPN-Client>?"
*Server antwortet stellvertretend für alle IP's der registrierten und eingewählten Clients mit seiner eigenen MAC. (ARP-Proxy)
*Rechner aus Netz A schickt also das Paket an diese MAC
*Server leitet das Paket über den entsprechenden Tunnel an den passenden VPN-Client

Irgendwo auf diesem Weg muss der Fehler liegen... vielleicht "blickt" der Server auch nicht richtig wie er die Pakete verteilen soll?!
Bitte warten ..
Mitglied: yasdfgr
13.11.2007 um 22:56 Uhr
Das Problem ist gelöst!

Ich weiß die Hintergründe noch nicht genau, aber es hat mit der IP-Vergabe des RAS-Dienstes zu tun!

Auffällig ist daran, dass die, bei Verbindungsaufbau erzeugte, PPP-Schnittstelle auf beiden Seiten (also sowohl beim Server, als auch beim Client) die selbe! IP bekommt - in meinem Fall 192.168.0.15.

Bei einer ordentlich funktionierenden Verbindung unterscheidet sich die IP jedoch Server- und Clientseitig - und das muss sie auch!

Im Routing und RAS-Dienst war die Vergabe per DHCP aktiviert und als zu verwendende Schnittstelle NIC A. Folglich sollte der RAS-Dienst bei VPN-Verbindung mindestens zwei IP's vom lokalen DHCP-Server aus Netz A anfordern.
Ich weiß nicht warum mein Server hartnäckig 192.168.0.15 auf beiden Seiten verwendet! Spinnt da der DHCP-Relay??

Nun habe ich jedenfalls einen aus dem DHCP-Server ausgeschlossenen IP-Bereich als statischen Pool im RAS-Dienst angelegt - und siehe da, es funktioniert!!
Ping's auf alle Clients im Netz A, wunderbar - warum nicht gleich so?!

Es hatte also nichts mit den zwei NIC's zu tun.

Aber verstehen muss man das nicht, oder?
Bitte warten ..
Ähnliche Inhalte
Windows Server

Windows Server 2008 R2 parallele VPN- und Internetverbindungen mit 2 Netzwerkkarten

gelöst Frage von usercrashWindows Server3 Kommentare

Hallo allerseits, ein Win2008R2-Server arbeitet mit 2 Netzwerkkarten in 2 Netzwerkbereichen, 192.168.1.1 und 192.168.2.1. Der übliche Internet-Zugang erfolgt über ...

Router & Routing

Ein Server. 2 Netzwerkkarten und 2 Router .Routing Problem

Frage von darksoul666Router & Routing7 Kommentare

Hallo! Dies ist mein erster Beitrag hier und ich hoffe, ich mach nicht alles falsch ;-) Es geht um ...

Windows Server

Windows Server 2008 R2 2 Internetverbindungen mit 2 Netzwerkkarten realisieren

gelöst Frage von ulrkerWindows Server21 Kommentare

Ich bin ein ziemlicher Amateur im Bereich Netzwerkkonfiguration. Ich betreibe einen Server mit Windows Server 2008 R2 und habe ...

Windows Server

Problem mit RAS VPN bzw. rashangup auf Server-2016

Frage von zeroblue2005Windows Server1 Kommentar

Hallo Zusammen, auf einem Terminal-Server 2016 baue ich eine VPN-Verbindung mit Boardmitteln auf, zu einem VPN/RAS Windows-2008R2 Server. Dies ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 6 StundenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 6 StundenSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Viren und Trojaner
Neue Avira Management Console Egosecure
Information von OSelbeck vor 1 TagViren und Trojaner1 Kommentar

Hallöchen zusammen, ich weiß nicht, wer von euch noch Avira einsetzt Wir haben ein paar Kunden Avira hatte ja ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 1 TagDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Heiß diskutierte Inhalte
Exchange Server
Exchange Postfach Einbindung Betriebs-rat -Arzt, Bewerbung .
Frage von YellowcakeExchange Server15 Kommentare

Hey ich habe da mal eine Denksport Aufgabe bekommen Genutzt wird ein Exchange Server 2010. hier gibt es den ...

Datenschutz
Telematikinfrastruktur Erfahrungsaustausch
Frage von MOS6581Datenschutz12 Kommentare

Moin, unter meinen Kunden befinden sich auch einige Ärzte, welche sich künftig mit der Telematikinfrastruktur-Geschichte der Gematik herumärgern dürfen. ...

Windows Server
Delgegierte OU via RDP verwalten - Objektverwaltung zuweisen
gelöst Frage von TOAOICEWindows Server12 Kommentare

Hallo, ich habe folgendes Problem. Ich möchte in meiner Domäne (Server2016), einer Gruppe (OUAdmin) Berechtigungen auf die OU Test ...

Windows Server
Downgrade von Windows Server 2016 auf 2012 - Wie vorgehen?
Frage von EstefaniaWindows Server12 Kommentare

Guten Ich habe eine Frage an Erfahrene unter euch. Durch einen InPlace Upgrade wurde Windows Server 2012 auf die ...