Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zwei Netzwerke verbinden, separater Internetzugang beibehalten

Mitglied: powermanu

powermanu (Level 1) - Jetzt verbinden

27.09.2007, aktualisiert 25.11.2007, 14404 Aufrufe, 7 Kommentare

Bestehende Netzwerke verbinden

Hallo zusammen...

Ich habe folgendes Problem:

Ausgangslage:

- Bürogemeinschaft mit zwei getrennten Netzerken
- Netzwerk A; 192.168.74.x, Netzwerk B; 192.168.75.x
- Pro Netzwerk ein eigener Domänencontroller, eigene Firewall mit VPN-Verbindungen, eigener Internet-Zugang

Diese Konstellation soll so beibehalten werden!

Nun möchten wir aber vom Netzwerk A auf die Ressourcen von Netzwerk B und umgekehrt zugreifen (eingeschränkter Zugriff) und es sollte möglich sein, vom Netzwerk A aus, die VPN-Verbindungen von Netzwerk B zu verwenden.


Fragen:

a) Ist das technisch überhaupt möglich?
b) Mit was müsste man diese Netzwerke verbinden? (Bridge, Router, Switch? Hab da den Überblick etwas verloren...)

Schnon jetzt besten Dank für eure Hilfe...

manu
Mitglied: aqui
27.09.2007 um 09:03 Uhr
Das Einfachste ist du steckst in einen der Domain Controller, der ja sicher ein Server ist, eine 2te Netzwerkkkarte hinein.
Dein Szenario sieht dann so aus:

e954a8e73baec48f58ef5a879225a5a0-2server2 - Klicke auf das Bild, um es zu vergrößern

Dann trägst du 2 statische Routen in den DSL Routern nach und das sollte es gewesen sein!
Ein wenig technischen Background kannst du in diesem Tutorial lesen:

https://www.administrator.de/Routing_mit_2_Netzwerkkarten_unter_Windows_ ...

Die andere Alternative ist dann ein Layer 3 (Routing) fähiger Switch der dann das Routing direkt macht ohne den Server mit 2 Karten. Erfordert zwar eine Neuinvestition in die Switchhardware (wahrscheinlich, es sei denn du hast schon L3 Switches..?) hat aber den Vorteil das das Netzwerk dann das Routing zwischen beiden netzen macht und nicht mehr der Server.
Dafür ist die Serverlösung schnell zu realisieren und reicht im Allgemeinen wenn nicht zuviel netzübergreifender Traffic da ist.
Bitte warten ..
Mitglied: powermanu
27.09.2007 um 09:39 Uhr
danke erst mal für die schnelle antwort, das nenn ich "service"!

ich werde die anleitung genau studieren, ev. tauchen dann noch fragen auf, die du mir hoffentlich auch beantworten kannst...

eine hätte ich bereits:
es ist die rede von statischen routen auf dem dsl-router. in unseren netzwerken läuft der dsl-router im bridge-modus, die öffentliche IP wird also direkt an die firewall weitergeleitet (zywall 70). sehe ich das richtig dass ich dann die statische route auf den firewalls eintragen muss?

dann nochmals zur absicherung:
die von dir aufgezeigte lösung erlaubt, dass ich von lan 1 auf ressourcen von lan 2 zugreifen kann UND von lan 1 über die vpn-verbindungen von lan 2 verfügen kann?
das wäre extrem wichtig...
Bitte warten ..
Mitglied: aqui
28.09.2007 um 17:35 Uhr
Zu 1.)
Ja, das ist richtig. Die Firewall ist ja dann dein eigentlicher Router und dann gehört die statische Route natürlich hier hin. (Ein dummes DSL Modem kann nicht mehr routen...!)

zu 2.)
Ja, das ist uneingeschränkt möglich !
Es ist allerdings nicht trivial ob der Router-2 ein VPN Server oder Client ist ! Du hast 2 Möglichkeiten:
  • a.) Bei einem VPN Server musst du nichts machen, denn da ist das IP Netz von LAN-2 ja auch gleichzeitig das IP Netz vom VPN für alle VPN Clients und der Router das gateway, kennt dann also auch den Weg ins LAN-1.
  • b.) Ist der Router-2 allerdings ein VPN Client, wählt sich also in einen anderen VPN Server, bekommt er von diesem natürlich dann ein neues IP Netz zugewiesen.
Das allerdings würden die Clients von LAN-1 nicht kennen wenn zu diesem die statische Route auf Router-1 fehlt.
In diesem Falle musst du also diese Netz noch zusätzlich mit einer statischen Route in Router-1 konfigurieren, der dann 2 Routen hätte. Als next Hop gilt dann wieder die Server NIC-1.
Dummerweise hat der Server aber nun kein Gateway so das du hier auf dem Server für das VPN ebenfalls eine statische Route eintragen musst auf den Router-2.
Beispiel: VPN im Clientmodus an Router-2 bekommt die 192.168.76.0/24 bei der Einwahl
Statische Route an Router 1:
Zielnetz: 192.168.76.0, Maske 255.255.255.0, Gateway: 192.168.74.x (NIC-1, Server)
Statische Route am Server:
route add -p 192.168.76.0 mask 255.255.255.0 192.168.75.x (Router-2IP)

Wie bereits gesagt: Möglichkeit 2b ist ausschliesslich nur dann gefordert, wenn der Router-2 für sein VPN im Client Modus arbeitet sonst nicht !!!
Bitte warten ..
Mitglied: powermanu
14.11.2007 um 16:31 Uhr
hallo

ich konnte das mittlerweile auspribieren, leider funktionierts noch nicht:

Situation:
- Zwei Netzwerke, 192.168.74.0 und 192.168.10.0
- Die Beiden Netzwerke sind über eine zweite Netzwerkkarte im PDC und Statischen Routen auf den Firewalls verbunden.

Soweit klappt alles.

Nun möchte ich aus dem Netz 192.168.10.0 per VPN auf den Kunden-Server 192.168.101.8 zugreiffen.

Gemacht hab ich folgendes:
- Zusätzliche statische Route auf der Firewall des Netzwerkes 192.168.10.0

Destination IP Adress: 192.168.101.8
IP Subnet Mask: 255.255.255.255
Gateway: 192.168.10.5

- auf dem Server (192.168.10.5) habe ich folgende statische Route erfasst:
route add -p 192.168.101.8 mask 255.255.255.255 192.168.74.100 (IP der Firewall im Netzwerk 192.168.74.0)

Versuche ich nun per RDP auf den gewünschten PC zuzugreifen, funktioniert das nicht.

Mittels tracert habe ich die route verfolgt:

1 <1 ms <1ms <1ms 192.168.74.100
2 * 8ms 8ms zh1-lns02-lo1.noc.green.ch [80.254.161.231]
3 * * 9ms zh2-cor01-vlan200.noc.green.ch [80.254.161.59]
4 * * * Zeitüberschreitung der Anforderung

Für mich sieht das so aus, also würde die weiterleitung an die Firwall im anderen Netz funktionieren, allerdings nicht merken, dass ein VPN-Tunnel aufgebaut werden muss.

Irgendjemand eine idee wieso das nicht funktioniert?

Danke und gruss
Bitte warten ..
Mitglied: aqui
16.11.2007 um 15:48 Uhr
Deine Angabe ist nun wieder verwirrend und hat mit der obigen Ausgangslage nichts mehr zu tun
Dort war das Netz B noch .75.0 nun aber hast du mit einmal ein neues Netz mit .10.0.
Das macht die Hilfestellung für dich nicht gerade sehr einfach, da es viele Unbekannte gibt
Tun wir mal so als ob dein 10er Netz das ursprüngliche .75er ist, dann müsste dein Szenario nun eigentlich so aussehen:

50235c7ad778fac7dd2d1bfab2bf12af-2server2a - Klicke auf das Bild, um es zu vergrößern

Richtig ??? (Schon schlimm genug das wir hier die Zeichnung für DICH machen müssen bzw. dein Design raten müssen...)
Ob der Kundenserver direkt mit einem VPN oder auch über einen Router mit der Zywall-A verbunden ist ist eine weitere Unbekannte....
OK, deine Route auf dem
Verbindungs-Serve r der beide Netze verbindet ist unsinnig, denn du willst ja die Zywall aus dem Netz der Gemeinschaft A für dein VPN zum Kundenserver nutzen ?!! Der Verbindungsserve r hat aber schon ein default Gateway auf den Router bzw. die Zywall-A und das reicht ! Eine zusätzliche Route ist da überflüssig !

Wichtig ist das die Zywall/Router in Netz B eine statische Route auf den Kundenhost bekommt, denn der Client in Netzwerk B mit dem du via Netz A und VPN auf den Kundenserver willst hat diese ja als default Gateway eingetragen !!!
Diese Firewall oder Router bekommt nun ausser der statischen Route für das .74er Netz nun noch zusätzlich eine Hostroute für den Kundenserver via des gleichen Gateways wie Netz .74 also der NIC 2 vom
Verbindungsserve r.
Damit
finden// Packete aus dem VPN via Zywall-A nun auch wieder den Weg zurück zum Client in Netz B bzw. umgekehrt auch.
Du hast also ein hausgemachtes Routingproblem mit deinen falschen statischen Routen.
Für weitere Steps solltest du nicht versäumen dein Design nun anhand der Bilder hier mal genau zu beschreiben !!!
Bitte warten ..
Mitglied: powermanu
21.11.2007 um 14:44 Uhr
In welchen Ranges die beiden Netze nun liegen ist ja eigentlich egal. Es gibt nun ein 74.0-er Netz und ein 10.0-er Netz.
wieso meine Route auf dem Server unsinnig ist, verstehe ich nicht. Die Idee stammt doch von dir...

Zitat: "Dummerweise hat der Server aber nun kein Gateway so das du hier auf dem Server für das VPN ebenfalls eine statische Route eintragen musst auf den Router-2."

Vielleicht "schreiben" wir aber auch aneinander vorbei. Hier nochmals mein Problem:

Ich will von einem Client aus dem Netz A über die Zywall 70 im Netz B per VPN auf den Kundenserver 192.168.101.8 zugreiffen.
Ausserdem soll es möglich sein, vom Netz A auf die Daten in Netz B und umgekehrt zuzugreifen.

Der Zugriff auf die Daten funktioniert einwandfrei. Dazu habe ich statische Routen auf beiden Zywalls eingerichtet und auf dem Server PSMPDC den Dienst "Routing und RAS aktivieren" aktiviert.

Was nicht funktioniert, ist der Zugriff auf den Kundenserver von einem Client der Gruppe A aus.
Dazu habe ich eine zusätzliche statische Route auf der Firewall des Netzes A definiert:

Destination IP Adress: 192.168.101.8
IP Subnet Mask: 255.255.255.255
Gateway: 192.168.10.5

Da der PSMPDC (als Gateway angegeben) ja aber den Kundenserver 192.168.101.8 nicht kennt habe ich dann auf dem PSMPDC eine statische Route zur Zywall in Netz B eingerichtet von wo aus dann der VPN-Tunnel aufgebaut werden sollte.

route add -p 192.168.101.8 mask 255.255.255.255 192.168.74.100 (IP der Firewall im Netzwerk 192.168.74.0)

Das ganze sieht bildlich dargestellt dann etwa so aus, meine Frage: wieso funktioniert das nicht?

6cda4b87fc2659edb53f95b5667a7142-psipsmtunnel - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
25.11.2007 um 14:33 Uhr
Ok, da haben wir wohl wirklich etwas aneinander vorbeigeschrieben, wohl weil du mal on the fly die IPs verändert hast...egal.
Alles was du jetzt konfiguriert hast ist auf alle Fälle korrekt ! So müsste es problemlos laufen.

Das geschilderte Problem liegt nun aber vermutlich am Kundenserver. Der VPN Client des Kundenserver forwardet nur was in den VPN Tunnel wenn es mit einer Quell IP Adresse aus diesem VPN Tunnel selber kommt. Das machen so gut wie alle VPN Clients so...
Dort kommt aber nun ein Packet mit der Quell IP aus dem 192.168.10er Netz (Bereich A) und nicht dem 192.168.101er Netz.
Der VPN Client kennt dieses Netz nicht und forwardet diesen Traffic auf sein lokales default Gateway direkt ins Internet und damit dann ins Datennirwana, da diese Adresse eine RFC 1918 Adresse ist.
Du musst also nur dem Kundenserver beibringen, das er doch bitte auch Packete mit der Quell IP 192.1.68.10.x in den VPN Tunnel schicken soll !

Eine statische Route auf dem Kundenserver ala:

route add -p 192.168.10.0 mask 255.255.255.0 <VPN Interface>

sollte dein Problem elegant lösen
Bitte warten ..
Ähnliche Inhalte
Netzwerke

Zwei Netzwerke mit separatem Internetzugang und gemeinsamen Ressourcen

Frage von JejeSwissNetzwerke2 Kommentare

Hallo Zusammen Wie gehe ich mit folgender Ausgangslage am besten um: - es geht um zwei Privathäuser, welche direkt ...

LAN, WAN, Wireless

Zwei Netzwerke Zwei Internetzugänge ein Rechner

gelöst Frage von Oggy01LAN, WAN, Wireless5 Kommentare

Hallo, wie kann man den Internetzugang festlegen, der bei zwei unterschiedlichen Netzwerken auf einem Rechner genutzt werden soll? Intel ...

LAN, WAN, Wireless

Zwei Netzwerke mit zwei Internetzugängen per WLAN verbinden. Hardware

gelöst Frage von xenon185LAN, WAN, Wireless2 Kommentare

Hallo Community, ich möchte demnächst zwei Netzwerke mit zwei Internetverbindungen per WLAN verbinden. Ziel ist es: - den jeweils ...

Router & Routing

Zwei FitzBox-Netzwerke verbinden?

Frage von McLionRouter & Routing9 Kommentare

Hallo, stehe aktuell auf nem Schlauch und komme nicht weiter. Also ich habe eine FB-A und FB-B, die wie ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 2 TagenHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 3 TagenRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 3 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 3 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Netzwerkmanagment im Haus mit Switch, Panel und pfsense
gelöst Frage von CorraggiounoNetzwerkmanagement19 Kommentare

hi zusammen, wir sind gerade dabei das ganze Haus bzw. die einzelnen Zimmer mit netzwerkdosen zu versorgen. Vom Keller ...

Netzwerkgrundlagen
VLAN - Offene Fragen
Frage von KnettenbrechNetzwerkgrundlagen17 Kommentare

Hallo zusammen, ich befasse mich derzeit mit dem Thema VLAN. Hierzu habe ich schon einige Guides gelesen, einschließlich des ...

Google Android
Empfehlung: Android Ortungsapp
gelöst Frage von certifiedit.netGoogle Android13 Kommentare

Guten Morgen, grundsätzlich vorweg, ich wollte mich eben schlau machen, bzgl einer Ortungsapp, welche Androidbasiert einem anderen Androidsmartphone mitteilt, ...

Router & Routing
VPN hinter zweiter Fritzbox nutzen im Nachbarhaus
gelöst Frage von georg2204Router & Routing11 Kommentare

Hallo zusammen, ich blicke hier leider nicht mehr so ganz durch. In Haus 1 steht eine Fritzbox 7390, diese ...