6
Probleme mit VPN, DNS und Computerbrowserdienst
Wir befinden uns gerade dabei unsere Infrastruktur umzustellen und ich bin dabei auf zwei, drei kleinere Hürden gestoßen, zu denen ich kein Rat mehr weiß.
Hallo zusammen,
ich habe zwei kleine Probleme, die vermutlich alle miteinander zusammen hängen. Doch bevor ich zu denen komme muss ich kurz die Infrastruktur erläutern um die es geht.
Wir haben ein Subnetz x.y.z.UNSERNETZ. Das ist unterteilt in zwei Bereiche 0-128 und 129-255.
Der Bereich 129-255 bildet die innere Domäne, nennen wir sie mal INT. INT ist vom 0-128-Netz, nennen wir es EXT, durch eine Linux-Bridge abgeschnitten, die alles von INT nach EXT lässt, aber nur VPN von EXT nach INT. Ich kann also aus INT auf alle Rechner in EXT zugreifen und sie anpingen und auch via DNS auflösen. In EXT stehen ein Win2003 Server und ein Win2008 Server, der auch DC der externen Domäne ist. In INT standen bis vor kurzem ein Win2003 (Backup-DC) und ein Win2003 DC. Da der Backup-DC abgeschaltet werden soll, habe ich einen neuen Server mit Win2008 (nicht R2!) aufgesetzt. Das Schema wurde präpariert, er läuft auch als DC und die drei Rechner replizieren sich ordnungsgemäß (auch DNS inkl. ReverseLookupZone). In INT hat alle Masterrollen der Win2003 inne der nicht abgeschaltet werden soll. Aber zwei kleine Probleme habe ich noch.
1. Bei der Einwahl per VPN löst der DNS die internen Namen nicht auf. Erstaunlicher Weise geht es unter OS X 10.6 wenn ich die DNS-Suffixe für beide Domänen angebe, unter Windows nicht. (Die ReverseLookupZone ist eingerichtet und wird zwischen den DCs repliziert)
2. Ich sehe in der Netzwerkumgebung nur die Rechner von INT (die von EXT sind aber über \\RECHNERNAME\FREIGABE ansprechbar). Das war mal anders. Info dazu: der neue Win2008-Server scheint nicht am Computerbrowserdienst teilzunehmen.
Ich bin für Vorschläge jeglicher Art dankbar.
Gruß, Sandro.
[Update 03.05.2010]
Für alle die ein ähnliches Problem haben:
Nachdem ich den alten Windows 2003 Server, der u.a. Master für den Browserdienst war vom Netz genommen habe sehe ich jetzt alle Server und Arbeitsplatz-PC in der internen Domäne. Woran es genau gelegen hat werde ich noch versuchen herauszufinden und ggf. hier mitteilen.
Und Wie ich meinem Nachredner schon mehrfach sagte, es war nicht die Firewall/Bridge/Router/What ever!!! "Aber danke. Danke vorallem für das Ablenken vom eigentlich Thema/Problem".
ich habe zwei kleine Probleme, die vermutlich alle miteinander zusammen hängen. Doch bevor ich zu denen komme muss ich kurz die Infrastruktur erläutern um die es geht.
Wir haben ein Subnetz x.y.z.UNSERNETZ. Das ist unterteilt in zwei Bereiche 0-128 und 129-255.
Der Bereich 129-255 bildet die innere Domäne, nennen wir sie mal INT. INT ist vom 0-128-Netz, nennen wir es EXT, durch eine Linux-Bridge abgeschnitten, die alles von INT nach EXT lässt, aber nur VPN von EXT nach INT. Ich kann also aus INT auf alle Rechner in EXT zugreifen und sie anpingen und auch via DNS auflösen. In EXT stehen ein Win2003 Server und ein Win2008 Server, der auch DC der externen Domäne ist. In INT standen bis vor kurzem ein Win2003 (Backup-DC) und ein Win2003 DC. Da der Backup-DC abgeschaltet werden soll, habe ich einen neuen Server mit Win2008 (nicht R2!) aufgesetzt. Das Schema wurde präpariert, er läuft auch als DC und die drei Rechner replizieren sich ordnungsgemäß (auch DNS inkl. ReverseLookupZone). In INT hat alle Masterrollen der Win2003 inne der nicht abgeschaltet werden soll. Aber zwei kleine Probleme habe ich noch.
1. Bei der Einwahl per VPN löst der DNS die internen Namen nicht auf. Erstaunlicher Weise geht es unter OS X 10.6 wenn ich die DNS-Suffixe für beide Domänen angebe, unter Windows nicht. (Die ReverseLookupZone ist eingerichtet und wird zwischen den DCs repliziert)
2. Ich sehe in der Netzwerkumgebung nur die Rechner von INT (die von EXT sind aber über \\RECHNERNAME\FREIGABE ansprechbar). Das war mal anders. Info dazu: der neue Win2008-Server scheint nicht am Computerbrowserdienst teilzunehmen.
Ich bin für Vorschläge jeglicher Art dankbar.
Gruß, Sandro.
[Update 03.05.2010]
Für alle die ein ähnliches Problem haben:
Nachdem ich den alten Windows 2003 Server, der u.a. Master für den Browserdienst war vom Netz genommen habe sehe ich jetzt alle Server und Arbeitsplatz-PC in der internen Domäne. Woran es genau gelegen hat werde ich noch versuchen herauszufinden und ggf. hier mitteilen.
Und Wie ich meinem Nachredner schon mehrfach sagte, es war nicht die Firewall/Bridge/Router/What ever!!! "Aber danke. Danke vorallem für das Ablenken vom eigentlich Thema/Problem".
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 141461
Url: https://administrator.de/contentid/141461
Printed on: April 25, 2024 at 16:04 o'clock
6 Comments
Latest comment
Deine Erklärung ist etwas verwirrend und auch technisch nicht ganz eindeutig, deshalb nochmal zum genauen Verständnis:
"...ist unterteilt in zwei Bereiche 0-128 und 129-255.." Was ist damit genau gemeint ??:
a.) Eine Unterteilung in 2 Subnetze mit einer 25 Bit (255.255.255.128) Subnetzmaske oder...
b.) nur eine simple Aufteilung der IP Adressen ala eine Hälfte hier...andere Hälfte da.. mit einen klasssischen Class C, 24 Bit Maske (255.255.255.0)
Die Bezeichnung "...eine Linux-Bridge" sagt das es eine Layer 2 Bridge auf Basis der Mac Adressen ist, wie es für eine Bridge eben auch gemeinhin üblich ist. Allerdings ist die Verwendung von Linux als simple LAN Bridge auf Mac Adress basis (was dann ein gemeinsames IP Netz erzwingt auf beiden Seiten der Bridge) sehr ungewöhnlich, so das man eher einen Linux Router vermutet der dann aber routet was das Szenario a.) dann erklärt ?!
Der Rest deiner Erklärung, und das vermutlich aus Unwissenheit wilde Durcheinanderwürfeln von Bridge und Router lässt eher auf eine Verwendung als Firewall Router schliessen für den Linux Rechner.
Hier birgt deine oberflächliche "Erklärung" also etwas Gefahrenpotential.....
Das solltest du erstmal netztechnisch genau klären bevor man weiter ins Eingemachte geht um sich das sinnlose Verrennen in eine Sackgasse zu ersparen... !!!
"...ist unterteilt in zwei Bereiche 0-128 und 129-255.." Was ist damit genau gemeint ??:
a.) Eine Unterteilung in 2 Subnetze mit einer 25 Bit (255.255.255.128) Subnetzmaske oder...
b.) nur eine simple Aufteilung der IP Adressen ala eine Hälfte hier...andere Hälfte da.. mit einen klasssischen Class C, 24 Bit Maske (255.255.255.0)
Die Bezeichnung "...eine Linux-Bridge" sagt das es eine Layer 2 Bridge auf Basis der Mac Adressen ist, wie es für eine Bridge eben auch gemeinhin üblich ist. Allerdings ist die Verwendung von Linux als simple LAN Bridge auf Mac Adress basis (was dann ein gemeinsames IP Netz erzwingt auf beiden Seiten der Bridge) sehr ungewöhnlich, so das man eher einen Linux Router vermutet der dann aber routet was das Szenario a.) dann erklärt ?!
Der Rest deiner Erklärung, und das vermutlich aus Unwissenheit wilde Durcheinanderwürfeln von Bridge und Router lässt eher auf eine Verwendung als Firewall Router schliessen für den Linux Rechner.
Hier birgt deine oberflächliche "Erklärung" also etwas Gefahrenpotential.....
Das solltest du erstmal netztechnisch genau klären bevor man weiter ins Eingemachte geht um sich das sinnlose Verrennen in eine Sackgasse zu ersparen... !!!
Hallo aqui,
die Subnetzmaske sollte 255.255.255.128 sein, ist sie aber leider nicht. Das hat/haben meine Vorgänger verbrochen. es ist einfach so, dass in INT nur Adressen >= .129 verwendet werden und in EXT Adressen <.129. Subnetzmaske ist in beiden Netzen 255.255.255.0 (leider). Die Linux-Bridge wurde von meinem Vorgänger als solche bezeichnet. Einigen wir uns darauf, dass es ein vollwertiger Router ist der Paket mit IPTables filtert (auf Layer 4 nach OSI). Die Linuxkiste würde ich aber gerne außen vor lassen, da sie unangetastet geblieben ist und es auf uminöse Weise ging, bevor der Server mit Win2008 auf den Plan trat. Okay, nicht ganz unangetastet, ich habe zwei Ports für eine IP von außen aufgemacht, für das neue VPN.
Gruß, Sandro.
die Subnetzmaske sollte 255.255.255.128 sein, ist sie aber leider nicht. Das hat/haben meine Vorgänger verbrochen. es ist einfach so, dass in INT nur Adressen >= .129 verwendet werden und in EXT Adressen <.129. Subnetzmaske ist in beiden Netzen 255.255.255.0 (leider). Die Linux-Bridge wurde von meinem Vorgänger als solche bezeichnet. Einigen wir uns darauf, dass es ein vollwertiger Router ist der Paket mit IPTables filtert (auf Layer 4 nach OSI). Die Linuxkiste würde ich aber gerne außen vor lassen, da sie unangetastet geblieben ist und es auf uminöse Weise ging, bevor der Server mit Win2008 auf den Plan trat. Okay, nicht ganz unangetastet, ich habe zwei Ports für eine IP von außen aufgemacht, für das neue VPN.
Gruß, Sandro.
Nein, falsch, denn in diesem Falle ist die Bridge wirklich eine Bridge denn als Router kann sie ja niemals arbeiten !!
Wie sollte sie routen wenn es gar nix zu routen gibt, denn du bist ja dann auf beiden Seiten in ein und demselben logischen IP Netzwerk.
Die Linux Kiste ist dann also wirklich eine Bridge und kein Router.
Ziemlich krankes Design und vermutlich hat da einer nicht gewusst was er macht, denn eine Firewalling passiert ja nur wenn auch zufällig die IP Adresspärchen stimmen bzw. nichtmal das...nur die Mac Adressen müssen immer auf der einen oder anderen Seite sein...aber nundenn. Jegliche Filterung findet dann de facto in der Bridge statt und auch nur wenn die Macs richtig positioniert sind. Das ist natürlich nur noch ein Riesenmurks aber nichts sinnvolles... Im Grunde kannst du diese Maschine dann auch entfernen, denn sie bringt nicht wirklich was in so einem Umfeld...außer massive Probleme die du ja nun auch siehst.
Nun müsste man denn mal wissen ob funktionale Broadcasts in diesem "Netz" denn nun durch diese Bridge die auch noch Firewall ist beblockt werden oder wie das denn nun alles konfiguriert ist...
Das ist ein Fass ohne Boden denn von diesem an sich im Grunde schon falschen Design resultieren vermutlich alle Probleme.
Eine Bridge muss Unicasts und Broadcasts per se in einer Collision Domain sprich einem Segment forwarden. Ist nun die Frage ob die aufgepropfte Firewall sich dahingegend Standardkonform verhält.
Das ist mit einer simplen Frage im Forum schwer zu beantworten, denn dafür müsste man sniffern und tracen... Sinnvoll wäre es dein Redesign zu nutzen und das auch in eine sinvolle sprich geroutete Infrastruktur zu überführen !
Dafür kannst du das mit den Subnetzmasken richtigstellen, kopierst schnell eine richtige FW Software wie die fertige Monowall oder PFsense auf diese Maschine und hast dann ein mit simplen Mausklicks bedienbare FW Oberfläche:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Das wäre sinnvoller mal darüber nachzudenken als ein Frickelprovisorium mit einem anderen Frickelprovisorium zu ersetzen !
Wie sollte sie routen wenn es gar nix zu routen gibt, denn du bist ja dann auf beiden Seiten in ein und demselben logischen IP Netzwerk.
Die Linux Kiste ist dann also wirklich eine Bridge und kein Router.
Ziemlich krankes Design und vermutlich hat da einer nicht gewusst was er macht, denn eine Firewalling passiert ja nur wenn auch zufällig die IP Adresspärchen stimmen bzw. nichtmal das...nur die Mac Adressen müssen immer auf der einen oder anderen Seite sein...aber nundenn. Jegliche Filterung findet dann de facto in der Bridge statt und auch nur wenn die Macs richtig positioniert sind. Das ist natürlich nur noch ein Riesenmurks aber nichts sinnvolles... Im Grunde kannst du diese Maschine dann auch entfernen, denn sie bringt nicht wirklich was in so einem Umfeld...außer massive Probleme die du ja nun auch siehst.
Nun müsste man denn mal wissen ob funktionale Broadcasts in diesem "Netz" denn nun durch diese Bridge die auch noch Firewall ist beblockt werden oder wie das denn nun alles konfiguriert ist...
Das ist ein Fass ohne Boden denn von diesem an sich im Grunde schon falschen Design resultieren vermutlich alle Probleme.
Eine Bridge muss Unicasts und Broadcasts per se in einer Collision Domain sprich einem Segment forwarden. Ist nun die Frage ob die aufgepropfte Firewall sich dahingegend Standardkonform verhält.
Das ist mit einer simplen Frage im Forum schwer zu beantworten, denn dafür müsste man sniffern und tracen... Sinnvoll wäre es dein Redesign zu nutzen und das auch in eine sinvolle sprich geroutete Infrastruktur zu überführen !
Dafür kannst du das mit den Subnetzmasken richtigstellen, kopierst schnell eine richtige FW Software wie die fertige Monowall oder PFsense auf diese Maschine und hast dann ein mit simplen Mausklicks bedienbare FW Oberfläche:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Das wäre sinnvoller mal darüber nachzudenken als ein Frickelprovisorium mit einem anderen Frickelprovisorium zu ersetzen !
Hmm,
dass das ein blödes Gefrickel ist hatte ich ja schon angedeutet, aber da die FW unverändert läuft, außer, dass zwei Ports auf einer Adresse zusätzlich geöffnet wurden, würde ich sie gerne außen vor lassen bei den Betrachtungen. Und die Bridge ist mit Sicherheit eher ein Router, da sie zwischen zwei verschiedenen VLANs hängt. Aber das ist egal und stiftet nur nochmehr Verwirrung. Die FW/Bridge/What-Ever lässt von INT alles raus, also auch Broadcast und da Stateful Inspection an ist auch Antworten auf Broadcasts wieder rein. Aber das hilft mir leider nicht. Hat denn keiner eine Idee, was oder wer auf dem Win-Server das Problem verursachen könnte, bzw. wie ich dem Windows-DNS sage, dass er auch Anfragen von Nicht-Domänmitgliedern beantworten soll?
Gruß, Sandro.
dass das ein blödes Gefrickel ist hatte ich ja schon angedeutet, aber da die FW unverändert läuft, außer, dass zwei Ports auf einer Adresse zusätzlich geöffnet wurden, würde ich sie gerne außen vor lassen bei den Betrachtungen. Und die Bridge ist mit Sicherheit eher ein Router, da sie zwischen zwei verschiedenen VLANs hängt. Aber das ist egal und stiftet nur nochmehr Verwirrung. Die FW/Bridge/What-Ever lässt von INT alles raus, also auch Broadcast und da Stateful Inspection an ist auch Antworten auf Broadcasts wieder rein. Aber das hilft mir leider nicht. Hat denn keiner eine Idee, was oder wer auf dem Win-Server das Problem verursachen könnte, bzw. wie ich dem Windows-DNS sage, dass er auch Anfragen von Nicht-Domänmitgliedern beantworten soll?
Gruß, Sandro.
Nein...ums nochmal zu sagen: Deine Bridge ist KEIN Router auch wenn sie zwischen 2 VLANs hängt ! Sie wird es auch nie auch wenn du das 5mal behauptest...
Du machst ein reines OSI Layer 2 Bridging auf Basis von MAC Adressen...mehr nicht:
http://de.wikipedia.org/wiki/Bridge_%28Netzwerk%29
Lies dir das durch dann wirst auch du verstehen das deine Linux FW kein Router ist. Kann er ja auch gar nicht wenn du nur ein einziges IP Netzwerk hast durch die historisch fehlerhafte Vergabe der Netzwerk Masken !!
Wie willst du darin denn routen mit nur einer 24 Bit Maske...das müsstest du dem Forum dann schon mal erklären... Vergiss das also ganz schnell, das ist eine Frickelbridge die zwischen 2 VLANs bridged nicht mehr und nicht weniger...nebenbei wenn man denn die MAC Adressen richtig ins eine und ins andere VLAN verteilt dann filtert sie noch ein wenig wie ne Firewall...
OK, das soll denn auch reichen zu diesem Thema, zeigt aber nur ziemlich drastisch wie wenig du dein Netz bzw. dessen Mechanismen dazwischen kennst. Vermutlich hast du das auch noch nie mit einem Wireshark angesehen und immer dran geglaubt das alles so richtig ist.
Wahrscheinlich wenn in der Linux Büchse auch nur ein blanker Draht von A nach B geht...aber egal.
Dir sollte das nur bewusst werden wenn du da weiterfrickelst...
Du machst ein reines OSI Layer 2 Bridging auf Basis von MAC Adressen...mehr nicht:
http://de.wikipedia.org/wiki/Bridge_%28Netzwerk%29
Lies dir das durch dann wirst auch du verstehen das deine Linux FW kein Router ist. Kann er ja auch gar nicht wenn du nur ein einziges IP Netzwerk hast durch die historisch fehlerhafte Vergabe der Netzwerk Masken !!
Wie willst du darin denn routen mit nur einer 24 Bit Maske...das müsstest du dem Forum dann schon mal erklären... Vergiss das also ganz schnell, das ist eine Frickelbridge die zwischen 2 VLANs bridged nicht mehr und nicht weniger...nebenbei wenn man denn die MAC Adressen richtig ins eine und ins andere VLAN verteilt dann filtert sie noch ein wenig wie ne Firewall...
OK, das soll denn auch reichen zu diesem Thema, zeigt aber nur ziemlich drastisch wie wenig du dein Netz bzw. dessen Mechanismen dazwischen kennst. Vermutlich hast du das auch noch nie mit einem Wireshark angesehen und immer dran geglaubt das alles so richtig ist.
Wahrscheinlich wenn in der Linux Büchse auch nur ein blanker Draht von A nach B geht...aber egal.
Dir sollte das nur bewusst werden wenn du da weiterfrickelst...
Hallo Aqui,
mir geht es nicht um die Firewall. In dem Firewallscript auf der Linuxkiste sind Subnetze definiert und werden dort genutzt, aber eben auch nur da. Das fällt wieder in das Thema gefrickel. Aber danke für die Links.
Die helfen mir nur leider nicht weiter. Ich such nach Ansatzpunkten in der Konfigiration der Windowsserver nicht der Linuxkiste.
Gruß, Sandro.
mir geht es nicht um die Firewall. In dem Firewallscript auf der Linuxkiste sind Subnetze definiert und werden dort genutzt, aber eben auch nur da. Das fällt wieder in das Thema gefrickel. Aber danke für die Links.
Die helfen mir nur leider nicht weiter. Ich such nach Ansatzpunkten in der Konfigiration der Windowsserver nicht der Linuxkiste.
Gruß, Sandro.
