13
MS Windows Server 2003 als Standartgateway
Hallo an alle,
Ausgangssituation:
Domäne Server 2003 R2
3 Server
10 Clients
Wir haben bei uns einen Router (der jedoch nicht von uns verwaltet wird), der jedoch für unsere Clients als Standartgateway via DHCP vergeben wird und somit unsere Internetanbindung garantiert.
Quasi: Internet <-> Router (Standartgateway) <-> 3 Server/ 10 Clients
Ziel:
Das Ziel ist aus innerbetrieblichen Gründen nun folgendes:
Wir haben nach wie vor den Router, jedoch nutzen unsere Clients in nichtmehr als Standartgateway.
Hier ist nun ein Server dazwischen geschaltet, der diese Funktion übernimmt.
Unsere Server gehen nach wie vor über den Router direkt ins Netz.
Quasi: Internet <-> Router <-> 3 Server / 1 Gateway <-> 10 Clients
Frage:
Wie kann ich dieses Vorhaben realisieren? Ein Proxy ist nicht wohl nicht das wahre, da die Anwendungen einen solchen untersützen müssen. Da wir aber hinter dem Router Lizenzserver und ähnliches haben, die einen Proxy nicht untersützen fällt das leider aus.
Windows XP hat eine Internetverbindungsfreigabe. Dort kann ich "das Internet freigeben" und die IP dieses Rechners als Standartgateway bei den Clients eintragen. Funktioniert soetwas auch mit Server 2003
Vielen Dank und Grüße,
V...
Ausgangssituation:
Domäne Server 2003 R2
3 Server
10 Clients
Wir haben bei uns einen Router (der jedoch nicht von uns verwaltet wird), der jedoch für unsere Clients als Standartgateway via DHCP vergeben wird und somit unsere Internetanbindung garantiert.
Quasi: Internet <-> Router (Standartgateway) <-> 3 Server/ 10 Clients
Ziel:
Das Ziel ist aus innerbetrieblichen Gründen nun folgendes:
Wir haben nach wie vor den Router, jedoch nutzen unsere Clients in nichtmehr als Standartgateway.
Hier ist nun ein Server dazwischen geschaltet, der diese Funktion übernimmt.
Unsere Server gehen nach wie vor über den Router direkt ins Netz.
Quasi: Internet <-> Router <-> 3 Server / 1 Gateway <-> 10 Clients
Frage:
Wie kann ich dieses Vorhaben realisieren? Ein Proxy ist nicht wohl nicht das wahre, da die Anwendungen einen solchen untersützen müssen. Da wir aber hinter dem Router Lizenzserver und ähnliches haben, die einen Proxy nicht untersützen fällt das leider aus.
Windows XP hat eine Internetverbindungsfreigabe. Dort kann ich "das Internet freigeben" und die IP dieses Rechners als Standartgateway bei den Clients eintragen. Funktioniert soetwas auch mit Server 2003
Vielen Dank und Grüße,
V...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 86969
Url: https://administrator.de/contentid/86969
Printed on: April 16, 2024 at 10:04 o'clock
13 Comments
Latest comment
Ja, natürlich wenn du RAS/Routing aktivierst !
Dies Tutorial sagt dir genau wie du es machen musst :
Dies Tutorial sagt dir genau wie du es machen musst :
Ja, aber bei dem Tutorial müssen beide Netze in unterschiedlichen Netzen sein. Das sind sie bei uns leider nicht.
Dann ist das ein Fehler in deinem Netzwerkdesign und lässt sich so erstmal nicht lösen... 
Abgesehen davon sollte man auch schon aus Lastgründen niemals eine Bridge auf einem Server laufen lassen !!!
Der Grund "innerbetrieblich" wird dann auch vollkommen ad absurdum geführt, denn was sollte ein auf Mac Layer 2 gebridgtes Netzwerk in einer einzigen IP Range dann noch für innerbetriebliche Gründe haben ??? Eine logische oder betriebliche Trennung ist so gar nicht möglich und die ganze Argumentation damit vollkommen unsinning, sorry !
Abgesehen davon sollte man auch schon aus Lastgründen niemals eine Bridge auf einem Server laufen lassen !!!
Der Grund "innerbetrieblich" wird dann auch vollkommen ad absurdum geführt, denn was sollte ein auf Mac Layer 2 gebridgtes Netzwerk in einer einzigen IP Range dann noch für innerbetriebliche Gründe haben ??? Eine logische oder betriebliche Trennung ist so gar nicht möglich und die ganze Argumentation damit vollkommen unsinning, sorry !
Wenn ich's richtig verstehe möchtest du nichts ändern, es sollen nur die Clients direkt vom Router weg, oder?
Wenn es denn so ist, wäre mein Tipp:
DHCP auf Router deaktivieren.
DHCP auf einem der Server einrichten mit dem DHCP als Gateway.
Dem DHCP den Router als Gateway mitgeben.
Renew auf den Clients.
Färddisch!
Gruß
Arne
Wenn es denn so ist, wäre mein Tipp:
DHCP auf Router deaktivieren.
DHCP auf einem der Server einrichten mit dem DHCP als Gateway.
Dem DHCP den Router als Gateway mitgeben.
Renew auf den Clients.
Färddisch!
Gruß
Arne
Dann ist das ein Fehler in deinem
Netzwerkdesign und lässt sich so erstmal
nicht lösen...
Netzwerkdesign und lässt sich so erstmal
nicht lösen...
Ich weis, leider aber nicht zu ändern auf Grund der innerbetrieblichen Gründe.
Der Grund "innerbetrieblich"
wird dann auch vollkommen ad absurdum
geführt, denn was sollte ein auf Mac
Layer 2 gebridgtes Netzwerk in einer einzigen
IP Range dann noch für
innerbetriebliche Gründe haben ???
Eine logische oder betriebliche Trennung ist
so gar nicht möglich und die ganze
Argumentation damit vollkommen unsinning,
sorry !
wird dann auch vollkommen ad absurdum
geführt, denn was sollte ein auf Mac
Layer 2 gebridgtes Netzwerk in einer einzigen
IP Range dann noch für
innerbetriebliche Gründe haben ???
Eine logische oder betriebliche Trennung ist
so gar nicht möglich und die ganze
Argumentation damit vollkommen unsinning,
sorry !
Also, der Betrieb ist eine Universität mit mehreren Instituten. Jedes Insitut bekommt durch das Hochschulrechenzentrum dieser Uni einen Internetanschluss via RJ45 zur Verfügung.
Der Router steht beim HRZ und lässt nur bestimmte IP Adressen ins Internet.
Leider bekommen wir nicht unser gesamtes Subnetz geroutet und das anmelden / ummelden, welche IP-Adresse Internet bekommen darf ist ein riesig-umständlicher und vor allem zeitraubender Akt (1 - 2 Tage = inakzeptabel).
Daher die Idee, einen eigenen Gateway aufzusetzen, der ins Internet kann und allen unseren Clients dieses zur Verfügung stellt. Das HRZ ist damit einverstanden, verlangt jedoch das wir die IP-Adressen unseres Subnetzes beibehalten (intern).
So kommt dieser Netzwerkfehler zustande ;-(
@Venator
Abgesehen davon das der Tip von Jokesoft dir nicht wirklich weiterhilft in deinem Szenario hast du nur eine einzige Chance in der Segmentierung der Netze.
Du musst 2 Netzwerkkarten im Institutsserver betreiben, eine geht ins Uninetz und eine geht in euer lokales Institutsnetz.
Routing/RAS musst du dafür nicht unbedingt einschalten aber zwingend musst du auf dem Netzwerkadapter zum Uninetz ICS (Connection Sharing) fahren ! Das ist netztechnisch gesprochen simples NAT, das dann euer gesmates Institutsnetz auf die vergebene IP Adresse des Uninetzes umsetzt. Euer Institutsnetz tauch also so nicht mehr im Uni Netz auf, deshalb könnt ihr frei wählen welche IP Adressierung im Institutsbereich nehmt. Auch ein Wiederholen dieser IP Netze für andere Institute ist denkbar sofern diese Institutsnetze NIEMALS verbunden werden !
Besser ist aber in jedem Falle eine individuelle Institutsaddressierung auf Basis der freien RFC 1918 privaten-IP-Adressen.
Ein Netzwerk am Beispiel von 2 Institutsnetzen sähe dann so aus:
Du musst aber in jedem Falle die Netze trennen !! Eine andere Chance auf eine saubere IP Adressierung bei der Anforderung hast du nicht !!!
Denkbar ist auch eine Lösung die Server nicht das NAT Routing zum Uni Netz machen zu lassen sondern dafür kleine DSL Router ohne integriertes Modem zu verwenden wie z.B. den Edimax-6104, der sowas für ca. 20 Euro erledigt.
Technisch etwas eleganter, da die Institutsserver damit nicht am Routing Prozess ins Uni Netz beteiligt sind und eine IP Umstellung einfacher handhabbar ist !!
Dann sähe das o.a. Szeanrio entsprechend so aus:
Wie bereits gesagt: Die IP Segmentierung ist dafür Pflicht ! In einem flachen Layer 2 Netzwerk und Bridging Verfahren ist dein Vorhaben technisch nicht lösbar !!
Abgesehen davon das der Tip von Jokesoft dir nicht wirklich weiterhilft in deinem Szenario hast du nur eine einzige Chance in der Segmentierung der Netze.
Du musst 2 Netzwerkkarten im Institutsserver betreiben, eine geht ins Uninetz und eine geht in euer lokales Institutsnetz.
Routing/RAS musst du dafür nicht unbedingt einschalten aber zwingend musst du auf dem Netzwerkadapter zum Uninetz ICS (Connection Sharing) fahren ! Das ist netztechnisch gesprochen simples NAT, das dann euer gesmates Institutsnetz auf die vergebene IP Adresse des Uninetzes umsetzt. Euer Institutsnetz tauch also so nicht mehr im Uni Netz auf, deshalb könnt ihr frei wählen welche IP Adressierung im Institutsbereich nehmt. Auch ein Wiederholen dieser IP Netze für andere Institute ist denkbar sofern diese Institutsnetze NIEMALS verbunden werden !
Besser ist aber in jedem Falle eine individuelle Institutsaddressierung auf Basis der freien RFC 1918 privaten-IP-Adressen.
Ein Netzwerk am Beispiel von 2 Institutsnetzen sähe dann so aus:
Du musst aber in jedem Falle die Netze trennen !! Eine andere Chance auf eine saubere IP Adressierung bei der Anforderung hast du nicht !!!
Denkbar ist auch eine Lösung die Server nicht das NAT Routing zum Uni Netz machen zu lassen sondern dafür kleine DSL Router ohne integriertes Modem zu verwenden wie z.B. den Edimax-6104, der sowas für ca. 20 Euro erledigt.
Technisch etwas eleganter, da die Institutsserver damit nicht am Routing Prozess ins Uni Netz beteiligt sind und eine IP Umstellung einfacher handhabbar ist !!
Dann sähe das o.a. Szeanrio entsprechend so aus:
Wie bereits gesagt: Die IP Segmentierung ist dafür Pflicht ! In einem flachen Layer 2 Netzwerk und Bridging Verfahren ist dein Vorhaben technisch nicht lösbar !!
@aqui
Hmm, ich weis nicht. Fakt ist, alle Clients haben z.Z. den Router als Gateway im Bauch. Gateway soll zukünftig aber ein Server sein und nicht mehr der Router.
Wenn die Clients über den DHCP den DHCP als Gateway zugeteilt bekommen und der DHCP aber den Router als Gateway hat, ist es genau das, was Venator haben möchte: Die Loskopplung der Clients vom Router.
Mit den DNS-Einträgen verhält es sich natürlich equivalent.
Alles was der Server nicht beantworten kann, wird er an den Router schicken.
Hmm, ich weis nicht. Fakt ist, alle Clients haben z.Z. den Router als Gateway im Bauch. Gateway soll zukünftig aber ein Server sein und nicht mehr der Router.
Wenn die Clients über den DHCP den DHCP als Gateway zugeteilt bekommen und der DHCP aber den Router als Gateway hat, ist es genau das, was Venator haben möchte: Die Loskopplung der Clients vom Router.
Mit den DNS-Einträgen verhält es sich natürlich equivalent.
Alles was der Server nicht beantworten kann, wird er an den Router schicken.
@Jokesoft
Technisch und funktional ist deine Beschreibung richtig, keine Frage nur Venator muss seine Netze trennen mit einem NAT Router. Ob das nun der Server oder ein externer Router macht ist funktionstechnisch erstmal völlig egal. So, ohne die NAT/Routing Trennung in einem flachen, gebridgten Layer 2 Netz wie oben beschrieben, ist das netztechnisch nicht umsetzbar !
Die Clients erhalten dann sowieso eine komplett andere IP Adresse entweder über den DHCP Server im Server selber oder über den Router oder ganz banal einfach statisch ohne DHCP. Das ist letztlich kosmetisch wie die Adressvergabe dann im so umgesetzten Clientnetz stattfindet.
Primär wichtig ist ja die Umsetzung der Adaption der Institutsnetze auf das Uni Backbone wo vermutlich öffentliche IPs vergeben sind wie so üblich an Unis....
Für die Clients spielt dann der Unirouter selber gar keine Rolle mehr (denn sie sehen ihn ja nicht mehr !) nur noch für den dann als NAT Router arbeitenden Server oder eben dem externen Router ist er noch relevant. (Default Route ins Internet)
Technisch und funktional ist deine Beschreibung richtig, keine Frage nur Venator muss seine Netze trennen mit einem NAT Router. Ob das nun der Server oder ein externer Router macht ist funktionstechnisch erstmal völlig egal. So, ohne die NAT/Routing Trennung in einem flachen, gebridgten Layer 2 Netz wie oben beschrieben, ist das netztechnisch nicht umsetzbar !
Die Clients erhalten dann sowieso eine komplett andere IP Adresse entweder über den DHCP Server im Server selber oder über den Router oder ganz banal einfach statisch ohne DHCP. Das ist letztlich kosmetisch wie die Adressvergabe dann im so umgesetzten Clientnetz stattfindet.
Primär wichtig ist ja die Umsetzung der Adaption der Institutsnetze auf das Uni Backbone wo vermutlich öffentliche IPs vergeben sind wie so üblich an Unis....
Für die Clients spielt dann der Unirouter selber gar keine Rolle mehr (denn sie sehen ihn ja nicht mehr !) nur noch für den dann als NAT Router arbeitenden Server oder eben dem externen Router ist er noch relevant. (Default Route ins Internet)
Stimmt du hast recht. Es muss natürlich eine zweite NIC in jeden Server. DHCP und Clients müssen im gleichen Netz sein. Mit nur einer NIC wäre es eine sehr fragwürdige Konstellation, ganz zu schweigen davon, ob das mit dem Weiterleiten der Internet-Pakete funktioniert hätte.
Extra Router wären zwar der Goldweg, aber bei den paar Clients tut's bestimmt nicht not und die Sicherheitssysteme sind ja wohl hoffentlich direkt hinter dem Router im HRZ implementiert.
Bis auf die NICs ist der Rest ja Onboard, egal ob man ICS oder Routing & RAS benutzt. Obwohl ich Routing & RAS bevorzugen würde.
Extra Router wären zwar der Goldweg, aber bei den paar Clients tut's bestimmt nicht not und die Sicherheitssysteme sind ja wohl hoffentlich direkt hinter dem Router im HRZ implementiert.
Bis auf die NICs ist der Rest ja Onboard, egal ob man ICS oder Routing & RAS benutzt. Obwohl ich Routing & RAS bevorzugen würde.
Richtig ! Routing wäre technisch die beste Lösung, da so auch die Erreichbarkeit von außen einfach gewährleistet wird.
Allerdings erfordert das dann auch wieder die Intervention des Uni RZ Personals, denn die müssten dann statische Routen auf dem Uni Router definieren für die Institutsnetzwerke. Genau ein Punkt den Venator ja vermeiden will wenn man ihn da richtig versteht...??!!
Deshalb ist NAT/ICS hier für ihn die bessere Lösung, denn damit bekommt er die Adaption vollkommen ohne Fremdeingriffe geregelt.
Wenn er es denn überhaupt regelt....???
Allerdings erfordert das dann auch wieder die Intervention des Uni RZ Personals, denn die müssten dann statische Routen auf dem Uni Router definieren für die Institutsnetzwerke. Genau ein Punkt den Venator ja vermeiden will wenn man ihn da richtig versteht...??!!
Deshalb ist NAT/ICS hier für ihn die bessere Lösung, denn damit bekommt er die Adaption vollkommen ohne Fremdeingriffe geregelt.
Wenn er es denn überhaupt regelt....???
Da hast du auch wieder recht. Mit der ICS-Variante ist er auf jeden Fall unabhängig.
Mich würde interessieren, wieso er deiner Meinung nach die drei Institutnetze unbedingt trennen muss. Meiner Meinung nach, sollte man das sicherlich machen (aus strategischer/logischer Sicht), aber müssen nicht. Es würde reichen einen der drei Server als Router aufzurüsten und den Rechnern aller Institutnetze ein privates Subnetz zu verpassen.
Naja, warten wir mal ab, was er sagt, wenn er noch mal was sagt.
P.S.
Schicke Bilder hast du da eben mal so auf die Schnelle erstellt.
Mich würde interessieren, wieso er deiner Meinung nach die drei Institutnetze unbedingt trennen muss. Meiner Meinung nach, sollte man das sicherlich machen (aus strategischer/logischer Sicht), aber müssen nicht. Es würde reichen einen der drei Server als Router aufzurüsten und den Rechnern aller Institutnetze ein privates Subnetz zu verpassen.
Naja, warten wir mal ab, was er sagt, wenn er noch mal was sagt.
P.S.
Schicke Bilder hast du da eben mal so auf die Schnelle erstellt.
Er muss es nicht unbedingt trennen. Nur wenn diese Netze weit auf dem Uni Campus verteilt sind dann müsste man es ja auch so machen sofern man nicht mit VLANs arbeiten kann. So ist das wenigstens in der Beschreibung von Venator zu verstehen.
Sind sie allerdings in einem Gebäude zusammen, ist natürlich auch alles hinter einem Router oder ICS Server denkbar...keine Frage !
Ein Netzwerk nach diesem Design (Beispiel mit 2 IP Netzen im Institut) könnte dann mit einem ICS Server so aussehen:
Analog ist dann zur Routerkonfiguration wieder ein Router statt des ICS Servers denkbar dort an der Übergabestelle zum Uni-Netz !
Sind sie allerdings in einem Gebäude zusammen, ist natürlich auch alles hinter einem Router oder ICS Server denkbar...keine Frage !
Ein Netzwerk nach diesem Design (Beispiel mit 2 IP Netzen im Institut) könnte dann mit einem ICS Server so aussehen:
Analog ist dann zur Routerkonfiguration wieder ein Router statt des ICS Servers denkbar dort an der Übergabestelle zum Uni-Netz !
Hallo,
da VLANs derzeit auf Grund der noch vorhandenen Switche nicht möglich sind und es sich nur um eine temporäre Lösung handelt, habe ich mich jetzt für einen Proxy entschieden.
Mittels Proxyserver und Routing kommen alle PCs ans Netz. Der Proxy ist natürlich von draussen nicht zugänglich.
Vielen Dank nochmal an die vielen Lösungsvorschläge.
Grüße, Venator
da VLANs derzeit auf Grund der noch vorhandenen Switche nicht möglich sind und es sich nur um eine temporäre Lösung handelt, habe ich mich jetzt für einen Proxy entschieden.
Mittels Proxyserver und Routing kommen alle PCs ans Netz. Der Proxy ist natürlich von draussen nicht zugänglich.
Vielen Dank nochmal an die vielen Lösungsvorschläge.
Grüße, Venator