Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

MS Windows Server 2003 als Standartgateway

Frage Internet Server

Mitglied: Venator

Venator (Level 1) - Jetzt verbinden

05.05.2008, aktualisiert 11.07.2008, 7719 Aufrufe, 13 Kommentare

Hallo an alle,

Ausgangssituation:
Domäne Server 2003 R2
3 Server
10 Clients

Wir haben bei uns einen Router (der jedoch nicht von uns verwaltet wird), der jedoch für unsere Clients als Standartgateway via DHCP vergeben wird und somit unsere Internetanbindung garantiert.

Quasi: Internet <-> Router (Standartgateway) <-> 3 Server/ 10 Clients

Ziel:
Das Ziel ist aus innerbetrieblichen Gründen nun folgendes:
Wir haben nach wie vor den Router, jedoch nutzen unsere Clients in nichtmehr als Standartgateway.
Hier ist nun ein Server dazwischen geschaltet, der diese Funktion übernimmt.
Unsere Server gehen nach wie vor über den Router direkt ins Netz.

Quasi: Internet <-> Router <-> 3 Server / 1 Gateway <-> 10 Clients

Frage:
Wie kann ich dieses Vorhaben realisieren? Ein Proxy ist nicht wohl nicht das wahre, da die Anwendungen einen solchen untersützen müssen. Da wir aber hinter dem Router Lizenzserver und ähnliches haben, die einen Proxy nicht untersützen fällt das leider aus.

Windows XP hat eine Internetverbindungsfreigabe. Dort kann ich "das Internet freigeben" und die IP dieses Rechners als Standartgateway bei den Clients eintragen. Funktioniert soetwas auch mit Server 2003

Vielen Dank und Grüße,
V...
Mitglied: aqui
05.05.2008 um 12:38 Uhr
Ja, natürlich wenn du RAS/Routing aktivierst !


Dies Tutorial sagt dir genau wie du es machen musst :

http://www.administrator.de/Routing_mit_2_Netzwerkkarten_unter_Windows_ ...
Bitte warten ..
Mitglied: Venator
05.05.2008 um 13:02 Uhr
Ja, aber bei dem Tutorial müssen beide Netze in unterschiedlichen Netzen sein. Das sind sie bei uns leider nicht.
Bitte warten ..
Mitglied: aqui
05.05.2008 um 13:09 Uhr
Dann ist das ein Fehler in deinem Netzwerkdesign und lässt sich so erstmal nicht lösen...

Abgesehen davon sollte man auch schon aus Lastgründen niemals eine Bridge auf einem Server laufen lassen !!!

Der Grund "innerbetrieblich" wird dann auch vollkommen ad absurdum geführt, denn was sollte ein auf Mac Layer 2 gebridgtes Netzwerk in einer einzigen IP Range dann noch für innerbetriebliche Gründe haben ??? Eine logische oder betriebliche Trennung ist so gar nicht möglich und die ganze Argumentation damit vollkommen unsinning, sorry !
Bitte warten ..
Mitglied: Jokesoft
05.05.2008 um 13:32 Uhr
Wenn ich's richtig verstehe möchtest du nichts ändern, es sollen nur die Clients direkt vom Router weg, oder?

Wenn es denn so ist, wäre mein Tipp:

DHCP auf Router deaktivieren.
DHCP auf einem der Server einrichten mit dem DHCP als Gateway.
Dem DHCP den Router als Gateway mitgeben.
Renew auf den Clients.
Färddisch!

Gruß
Arne
Bitte warten ..
Mitglied: Venator
05.05.2008 um 13:34 Uhr
Dann ist das ein Fehler in deinem
Netzwerkdesign und lässt sich so erstmal
nicht lösen...

Ich weis, leider aber nicht zu ändern auf Grund der innerbetrieblichen Gründe.


Der Grund "innerbetrieblich"
wird dann auch vollkommen ad absurdum
geführt, denn was sollte ein auf Mac
Layer 2 gebridgtes Netzwerk in einer einzigen
IP Range dann noch für
innerbetriebliche Gründe haben ???
Eine logische oder betriebliche Trennung ist
so gar nicht möglich und die ganze
Argumentation damit vollkommen unsinning,
sorry !

Also, der Betrieb ist eine Universität mit mehreren Instituten. Jedes Insitut bekommt durch das Hochschulrechenzentrum dieser Uni einen Internetanschluss via RJ45 zur Verfügung.
Der Router steht beim HRZ und lässt nur bestimmte IP Adressen ins Internet.
Leider bekommen wir nicht unser gesamtes Subnetz geroutet und das anmelden / ummelden, welche IP-Adresse Internet bekommen darf ist ein riesig-umständlicher und vor allem zeitraubender Akt (1 - 2 Tage = inakzeptabel).

Daher die Idee, einen eigenen Gateway aufzusetzen, der ins Internet kann und allen unseren Clients dieses zur Verfügung stellt. Das HRZ ist damit einverstanden, verlangt jedoch das wir die IP-Adressen unseres Subnetzes beibehalten (intern).

So kommt dieser Netzwerkfehler zustande ;-(
Bitte warten ..
Mitglied: aqui
05.05.2008 um 14:00 Uhr
@Venator
Abgesehen davon das der Tip von Jokesoft dir nicht wirklich weiterhilft in deinem Szenario hast du nur eine einzige Chance in der Segmentierung der Netze.
Du musst 2 Netzwerkkarten im Institutsserver betreiben, eine geht ins Uninetz und eine geht in euer lokales Institutsnetz.
Routing/RAS musst du dafür nicht unbedingt einschalten aber zwingend musst du auf dem Netzwerkadapter zum Uninetz ICS (Connection Sharing) fahren ! Das ist netztechnisch gesprochen simples NAT, das dann euer gesmates Institutsnetz auf die vergebene IP Adresse des Uninetzes umsetzt. Euer Institutsnetz tauch also so nicht mehr im Uni Netz auf, deshalb könnt ihr frei wählen welche IP Adressierung im Institutsbereich nehmt. Auch ein Wiederholen dieser IP Netze für andere Institute ist denkbar sofern diese Institutsnetze NIEMALS verbunden werden !
Besser ist aber in jedem Falle eine individuelle Institutsaddressierung auf Basis der freien RFC 1918 privaten-IP-Adressen.

Ein Netzwerk am Beispiel von 2 Institutsnetzen sähe dann so aus:

c290dba72fb81475e8f70de4957e04a5-trenn - Klicke auf das Bild, um es zu vergrößern

Du musst aber in jedem Falle die Netze trennen !! Eine andere Chance auf eine saubere IP Adressierung bei der Anforderung hast du nicht !!!

Denkbar ist auch eine Lösung die Server nicht das NAT Routing zum Uni Netz machen zu lassen sondern dafür kleine DSL Router ohne integriertes Modem zu verwenden wie z.B. den Edimax-6104, der sowas für ca. 20 Euro erledigt.
Technisch etwas eleganter, da die Institutsserver damit nicht am Routing Prozess ins Uni Netz beteiligt sind und eine IP Umstellung einfacher handhabbar ist !!

Dann sähe das o.a. Szeanrio entsprechend so aus:

7ca0133dcb74d6b02c34a03ed5f4eaed-trenn2 - Klicke auf das Bild, um es zu vergrößern

Wie bereits gesagt: Die IP Segmentierung ist dafür Pflicht ! In einem flachen Layer 2 Netzwerk und Bridging Verfahren ist dein Vorhaben technisch nicht lösbar !!
Bitte warten ..
Mitglied: Jokesoft
05.05.2008 um 15:30 Uhr
@aqui

Hmm, ich weis nicht. Fakt ist, alle Clients haben z.Z. den Router als Gateway im Bauch. Gateway soll zukünftig aber ein Server sein und nicht mehr der Router.
Wenn die Clients über den DHCP den DHCP als Gateway zugeteilt bekommen und der DHCP aber den Router als Gateway hat, ist es genau das, was Venator haben möchte: Die Loskopplung der Clients vom Router.

Mit den DNS-Einträgen verhält es sich natürlich equivalent.


Alles was der Server nicht beantworten kann, wird er an den Router schicken.
Bitte warten ..
Mitglied: aqui
05.05.2008 um 17:21 Uhr
@Jokesoft
Technisch und funktional ist deine Beschreibung richtig, keine Frage nur Venator muss seine Netze trennen mit einem NAT Router. Ob das nun der Server oder ein externer Router macht ist funktionstechnisch erstmal völlig egal. So, ohne die NAT/Routing Trennung in einem flachen, gebridgten Layer 2 Netz wie oben beschrieben, ist das netztechnisch nicht umsetzbar !

Die Clients erhalten dann sowieso eine komplett andere IP Adresse entweder über den DHCP Server im Server selber oder über den Router oder ganz banal einfach statisch ohne DHCP. Das ist letztlich kosmetisch wie die Adressvergabe dann im so umgesetzten Clientnetz stattfindet.
Primär wichtig ist ja die Umsetzung der Adaption der Institutsnetze auf das Uni Backbone wo vermutlich öffentliche IPs vergeben sind wie so üblich an Unis....
Für die Clients spielt dann der Unirouter selber gar keine Rolle mehr (denn sie sehen ihn ja nicht mehr !) nur noch für den dann als NAT Router arbeitenden Server oder eben dem externen Router ist er noch relevant. (Default Route ins Internet)
Bitte warten ..
Mitglied: Jokesoft
05.05.2008 um 21:01 Uhr
Stimmt du hast recht. Es muss natürlich eine zweite NIC in jeden Server. DHCP und Clients müssen im gleichen Netz sein. Mit nur einer NIC wäre es eine sehr fragwürdige Konstellation, ganz zu schweigen davon, ob das mit dem Weiterleiten der Internet-Pakete funktioniert hätte.

Extra Router wären zwar der Goldweg, aber bei den paar Clients tut's bestimmt nicht not und die Sicherheitssysteme sind ja wohl hoffentlich direkt hinter dem Router im HRZ implementiert.
Bis auf die NICs ist der Rest ja Onboard, egal ob man ICS oder Routing & RAS benutzt. Obwohl ich Routing & RAS bevorzugen würde.
Bitte warten ..
Mitglied: aqui
06.05.2008 um 09:29 Uhr
Richtig ! Routing wäre technisch die beste Lösung, da so auch die Erreichbarkeit von außen einfach gewährleistet wird.
Allerdings erfordert das dann auch wieder die Intervention des Uni RZ Personals, denn die müssten dann statische Routen auf dem Uni Router definieren für die Institutsnetzwerke. Genau ein Punkt den Venator ja vermeiden will wenn man ihn da richtig versteht...??!!
Deshalb ist NAT/ICS hier für ihn die bessere Lösung, denn damit bekommt er die Adaption vollkommen ohne Fremdeingriffe geregelt.
Wenn er es denn überhaupt regelt....???
Bitte warten ..
Mitglied: Jokesoft
06.05.2008 um 11:08 Uhr
Da hast du auch wieder recht. Mit der ICS-Variante ist er auf jeden Fall unabhängig.

Mich würde interessieren, wieso er deiner Meinung nach die drei Institutnetze unbedingt trennen muss. Meiner Meinung nach, sollte man das sicherlich machen (aus strategischer/logischer Sicht), aber müssen nicht. Es würde reichen einen der drei Server als Router aufzurüsten und den Rechnern aller Institutnetze ein privates Subnetz zu verpassen.

Naja, warten wir mal ab, was er sagt, wenn er noch mal was sagt.

P.S.
Schicke Bilder hast du da eben mal so auf die Schnelle erstellt.
Bitte warten ..
Mitglied: aqui
06.05.2008 um 15:55 Uhr
Er muss es nicht unbedingt trennen. Nur wenn diese Netze weit auf dem Uni Campus verteilt sind dann müsste man es ja auch so machen sofern man nicht mit VLANs arbeiten kann. So ist das wenigstens in der Beschreibung von Venator zu verstehen.
Sind sie allerdings in einem Gebäude zusammen, ist natürlich auch alles hinter einem Router oder ICS Server denkbar...keine Frage !

Ein Netzwerk nach diesem Design (Beispiel mit 2 IP Netzen im Institut) könnte dann mit einem ICS Server so aussehen:

f3b77b8c08e8cb98ca6838da6be87072-uni2 - Klicke auf das Bild, um es zu vergrößern


Analog ist dann zur Routerkonfiguration wieder ein Router statt des ICS Servers denkbar dort an der Übergabestelle zum Uni-Netz !
Bitte warten ..
Mitglied: Venator
11.07.2008 um 09:44 Uhr
Hallo,

da VLANs derzeit auf Grund der noch vorhandenen Switche nicht möglich sind und es sich nur um eine temporäre Lösung handelt, habe ich mich jetzt für einen Proxy entschieden.
Mittels Proxyserver und Routing kommen alle PCs ans Netz. Der Proxy ist natürlich von draussen nicht zugänglich.

Vielen Dank nochmal an die vielen Lösungsvorschläge.
Grüße, Venator
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Exchange Server
gelöst Microsoft Excange Server 2007 auf Windows Server 2003 Installieren? (9)

Frage von Herbrich19 zum Thema Exchange Server ...

Windows Server
gelöst Suche Windows Server 2003 Enterprise ISO (8)

Frage von Herbrich19 zum Thema Windows Server ...

Server
gelöst Client bei Windows Server 2003 ändern (5)

Frage von Therealcookie zum Thema Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...