2
Deidziertes Subnetz anbinden an AD
Hallo zusammen,
ich möchte folgendes Realisieren:
Ein Subnetz in dem sich 2 Clients befinden vom Produktivnetz via Firewall abschotten. Das Deidzierte Netz soll keinen eigenen DNS Server erhalten.
Die Clients im Dedizierten Netz sollen sich nur am AD anmelden können und über eine Firmeneigene Software mit einem Server kommunizieren können.
Ist Zustand:
1 Netz: 192.168.1/24
1 Gateway in wan / dmz (route auf 192.168.2/24 eingetragen)
2x DC 2008R2 mit DNS, DHCP,
Bisherige Maßnahmen:
1x Cisco RV042 als Router mit Firewall
1x IP Range hinter der Firewall 192.168.2/24
Clients: 192.168.2.101 feste IP, DNS vom Produktivnetz eingetragen, Firewall als Gateway eingetragen
Firewall regeln auf Allow Any from Any to Any (bisher).
Reverse Lookupzone für ...2/24 Netz eingerichtet, A-Records für die Clients mit IP Hinterlegt.
Clients in der Forwardlookupzone statisch eingetragen, A-Record mit IP des Client.
Test:
Ping von .1.x auf .2.x geht und anderst herum auch.
nslookup der .2 Clients geht, vom .2 Netz gehts auch in .1 Netz
Tracert auch einwandfrei.
Nun zur Problematik:
Ordnerfreigabe funktioniert nicht
AD-Anmeldung funktioniert nicht
AD Beitreten vom .2 Netz aus geht nicht, "Der angegebene Netzwerkname ist nicht mehr verfügbar"
(bevor ich die Records angelegt habe war die Meldung “ Der angegebene Netzwerkname wurde nicht gefunden.“
Woran kann das liegen?
Da die Namen aufgelöst werden können und die Firewall (momentan) alles durchlässt bin ich echt überfragt.
ich möchte folgendes Realisieren:
Ein Subnetz in dem sich 2 Clients befinden vom Produktivnetz via Firewall abschotten. Das Deidzierte Netz soll keinen eigenen DNS Server erhalten.
Die Clients im Dedizierten Netz sollen sich nur am AD anmelden können und über eine Firmeneigene Software mit einem Server kommunizieren können.
Ist Zustand:
1 Netz: 192.168.1/24
1 Gateway in wan / dmz (route auf 192.168.2/24 eingetragen)
2x DC 2008R2 mit DNS, DHCP,
Bisherige Maßnahmen:
1x Cisco RV042 als Router mit Firewall
1x IP Range hinter der Firewall 192.168.2/24
Clients: 192.168.2.101 feste IP, DNS vom Produktivnetz eingetragen, Firewall als Gateway eingetragen
Firewall regeln auf Allow Any from Any to Any (bisher).
Reverse Lookupzone für ...2/24 Netz eingerichtet, A-Records für die Clients mit IP Hinterlegt.
Clients in der Forwardlookupzone statisch eingetragen, A-Record mit IP des Client.
Test:
Ping von .1.x auf .2.x geht und anderst herum auch.
nslookup der .2 Clients geht, vom .2 Netz gehts auch in .1 Netz
Tracert auch einwandfrei.
Nun zur Problematik:
Ordnerfreigabe funktioniert nicht
AD-Anmeldung funktioniert nicht
AD Beitreten vom .2 Netz aus geht nicht, "Der angegebene Netzwerkname ist nicht mehr verfügbar"
(bevor ich die Records angelegt habe war die Meldung “ Der angegebene Netzwerkname wurde nicht gefunden.“
Woran kann das liegen?
Da die Namen aufgelöst werden können und die Firewall (momentan) alles durchlässt bin ich echt überfragt.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 206771
Url: https://administrator.de/contentid/206771
Printed on: April 25, 2024 at 03:04 o'clock
2 Comments
Latest comment
..."1 Gateway in wan / dmz (route auf 192.168.2/24 eingetragen)"
Das ist Unsinn, denn das Gateway befindet sich ja fest in deinen beiden IP Netzen !! Es kennt also beide IP Netze, deshalb ist eine statische Route hier vollkommen überflüssig.
Einen Breitband DSL Router kannst du nicht (oder nur bedingt) verwenden, den dort lassen sich oft nicht die Gateway Funktionen abschalten, sprich das NAT.
Damit kannst du dann aber nicht transparent routen sondern hast nur eine Einbahnstrasse.
Du kannst einzig und allein nur von den Clients in Richtung Produktivnetz routen niemals andersrum, denn das verhindert die NAT Firewall des Routers.
Wenn geht also nur folgendes Szenario:
(Clients, 192.168.2.0 /24)----LANPort-Router-WanPort---(Produktivnetz 192.168.1.0 /24)--Server
Die Reverselookupzone ist also Unsinn in so einem NAT Szenario, denn der DNS oder AD "sehen" die .2.0er Clients gar nicht unter deren IP und kennen folglich dieses Netz auch gar nicht. (OK, nur wenn du die NAT Funktion des Routers NICHT abschalten kannst !)
Das komplette 2.0er IP Netz wird ja im Router umgesetzt auf eine .1.0er Produktiv IP. folglich tauchen diese Clients niemals im Produktivnetz mit .2.0er IPs auf.
Ausnahme ist nur wenn du wirklich im Cisco die Gateway Funktion abschalten kannst und transparent routen kannst.
Diese Tutorials beschreiben das Problem und die Lösung:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Mit einem WLAN zwei LAN IP Netzwerke verbinden (WAN Port Settings, gilt auch für Draht)
Kopplung von 2 Routern am DSL Port (Alternative 2 DMZ)
Das ist Unsinn, denn das Gateway befindet sich ja fest in deinen beiden IP Netzen !! Es kennt also beide IP Netze, deshalb ist eine statische Route hier vollkommen überflüssig.
Einen Breitband DSL Router kannst du nicht (oder nur bedingt) verwenden, den dort lassen sich oft nicht die Gateway Funktionen abschalten, sprich das NAT.
Damit kannst du dann aber nicht transparent routen sondern hast nur eine Einbahnstrasse.
Du kannst einzig und allein nur von den Clients in Richtung Produktivnetz routen niemals andersrum, denn das verhindert die NAT Firewall des Routers.
Wenn geht also nur folgendes Szenario:
(Clients, 192.168.2.0 /24)----LANPort-Router-WanPort---(Produktivnetz 192.168.1.0 /24)--Server
Die Reverselookupzone ist also Unsinn in so einem NAT Szenario, denn der DNS oder AD "sehen" die .2.0er Clients gar nicht unter deren IP und kennen folglich dieses Netz auch gar nicht. (OK, nur wenn du die NAT Funktion des Routers NICHT abschalten kannst !)
Das komplette 2.0er IP Netz wird ja im Router umgesetzt auf eine .1.0er Produktiv IP. folglich tauchen diese Clients niemals im Produktivnetz mit .2.0er IPs auf.
Ausnahme ist nur wenn du wirklich im Cisco die Gateway Funktion abschalten kannst und transparent routen kannst.
Diese Tutorials beschreiben das Problem und die Lösung:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Mit einem WLAN zwei LAN IP Netzwerke verbinden (WAN Port Settings, gilt auch für Draht)
Kopplung von 2 Routern am DSL Port (Alternative 2 DMZ)
Hi,
Vielen Dank mal soweit!
Die Tutorials werde ich mir gleich anschauen!
Im Cisco kann man den Modi von Gateway (NAT) auf Router umschalten, damit ist transparentes Routing möglich.
(Clients, 192.168.2.0 /24)----LANPort-Router-WanPort---(Produktivnetz 192.168.1.0 /24)--Server
exakt.
Die statisch hinterlegte Route halte ich nicht für Überflüssig.
Die .1 clients kennen das .2 netz nicht, schicken die Pakete also an ihr Gateway, und dieses wiederum an die Firewall.. Ohne diese Route landen die Pakete im WAN oder werden verworfen..
Das sieht man beim Tracert auch ganz gut:
1: Produktiv-Netz Gateway
2: Cisco RV042
3: Client im .2 Netz
Vielen Dank mal soweit!
Die Tutorials werde ich mir gleich anschauen!
Im Cisco kann man den Modi von Gateway (NAT) auf Router umschalten, damit ist transparentes Routing möglich.
(Clients, 192.168.2.0 /24)----LANPort-Router-WanPort---(Produktivnetz 192.168.1.0 /24)--Server
exakt.
Die statisch hinterlegte Route halte ich nicht für Überflüssig.
Die .1 clients kennen das .2 netz nicht, schicken die Pakete also an ihr Gateway, und dieses wiederum an die Firewall.. Ohne diese Route landen die Pakete im WAN oder werden verworfen..
Das sieht man beim Tracert auch ganz gut:
1: Produktiv-Netz Gateway
2: Cisco RV042
3: Client im .2 Netz
