Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

RAS VPN und ISA 2006 auf einem Server?

Frage Microsoft Windows Server

Mitglied: florian.rhomberg

florian.rhomberg (Level 1) - Jetzt verbinden

16.08.2007, aktualisiert 25.10.2007, 7168 Aufrufe, 10 Kommentare

Ist die Installation einesn RAS/VPN Server und einesn ISA Server 2006 auf einem Server möglich bzw. sinnvoll?

Hallo!
Ich hoffe ihr könnt mir helfen! Wir haben vor kurzem einen neuen Server bekommen und ich bin gerade dabei diesen zu konfigurieren. Unter anderem soll auf diesem Server ISA 2006 laufen und damit unseren altersschwachen Proxy ersetzen. Nun habe ich aber ein Problem.
Wir haben intern ein 10.x.x.x Netz. Leider ist auch unsere externe IP Adresse zum Provider in einem 10.x.x.x Netz mit einem anderen Standardgateway. Daher entsteht das Problem , dass der Server der sowohl nach außen hin eine Schnittstelle hat wie auch nach innen nicht weiß an welchen Standardgateway er eine Anfrage richten muss. Daher habe ich auf jenen Rechnern die auch extern erreichbar sind RAS/VPN konfiguriert. Nun wollte ich fragen ob ich das mit dem Server auf dem ISA 2006 läuft auch machen kann bzw. ob das sinnvoll ist.

Liebe Grüße,
Florian
Mitglied: Dani
16.08.2007 um 17:29 Uhr
Hi!
Wir haben intern ein 10.x.x.x Netz. Leider ist auch unsere externe IP Adresse zum Provider in
einem 10.x.x.x Netz mit einem anderen Standardgateway
Du meinst vom Server zum Router?! Dann würde ich dort den IP-Bereich ändern, ist einfacher.

Wir haben hier auch Routing- & RAS-Dienst installiert. ISA dient legendlich als Proxy, 2. Firewall und Cache.


Grüße
Dani
Bitte warten ..
Mitglied: florian.rhomberg
16.08.2007 um 17:37 Uhr
Ja vom Router zum Server haben wir eine 10 er IP Adresse. Leider habe ich keinen Zugriff auf den Router daher kann ich die IP adresse auch nicht ändern. Möchte aber deswegen nicht jemanden kommen lassen!

Florian
Bitte warten ..
Mitglied: Dani
16.08.2007 um 17:41 Uhr
Leider habe ich keinen Zugriff auf den Router daher kann ich die IP adresse auch nicht
ändern. Möchte aber deswegen nicht jemanden kommen lassen.
Ist Scherz, oder?? Der Router gehört doch euch bzw. steht bei euch. Du kannst aber auch das LAN umstellen, aber das willst du nicht machen, glaub mir?? Könnte eine Menge Probleme mitbringen!!


Grüße
Dani
Bitte warten ..
Mitglied: aqui
16.08.2007 um 18:36 Uhr
Das 10er Netz ist ein Class A Netz mit einer 8 Bit Maske. Warum subnettest du nicht einfach das Segment weiter ??? Das sollte doch problemlos möglich sein ??? Damit kannst du dir das Problem der doppelten Netze ganz einfach vom Hals halten. Groß genug ist das Netzwerk ja.
Auch wenn nicht und alle Stricke reissen..was hintert dich daran ein neues Client Segment zu generieren ??? Z.B. mit 172.16.1.0/24. Wenn du dort mit DHCP arbeitest ist das in Minutenschnelle gemacht und alle Clients bekommen eine neue IP auf Schlag !

Das ein Provider dir eine lokale RFC 1918 10er Adresse vorschreibt halte ich auch für höchst unwahrscheinlich und normal ist es obendrein nicht...

Vielleicht hilft dir dies Turorial noch etwas zur Materie:

http://www.administrator.de/Routing_mit_2_Netzwerkkarten_unter_Windows_ ...
Bitte warten ..
Mitglied: florian.rhomberg
16.08.2007 um 19:23 Uhr
Danke für die vielen Antworten!
Ich werde das ganze jetzt einmal erklären. Wir sind eine Schule und hängen über den Landeschulrat im Internet. Das LSR Netz hat intern lauter 10.x.x.x Adressen erst beim LSR Knoten werden die IP Adressen in 193.x.x.x etc. Adressen gemappt. Das ganze wurde für kleinere Schulen konzipiert für uns mit mehr als 400 Arbeitsstationen und an die 1500 Studenten und zahlreichen Servern ist das Ganze ohnehin nicht gut geeignet. De Router wird ebenfalls vom LSR betrieben und daher habe ich keinen Zugriff darauf. Die Sache mit DHCP wäre gut wenn da nicht einerseits das ganze interne Netz durch Cisco manageable Switches in zahlreiche VLAN´s unterteilt wäre (weit mehr als 24) und andererseits jede Abteilung auch auf DHCP setzten würde (was nicht der Fall ist). Daher habe ich in diesem Punkt wenig Möglichkeiten das Netz umzustellen (vorallem weil derzeit auch Sommerschule ist) und das ganze bei mehr als 10 Admins auch gehöriges Chaos verursachen würde. Daher habe ich eben das Problem von Anfang an mit RAS und statisches Routen gelöst. Ich habe inzwischen einmal RAS parallel zum ISA Server installiert und ich werde jetzt sehen ob das Ganze auch funktioniert.

Liebe Grüße,
Florian
Bitte warten ..
Mitglied: aqui
16.08.2007 um 19:32 Uhr
Schon komisch intern betreiben sie ein privates RFC 11918 Netz mit 10er Adressen den Schulen geben sie aber öffentliche Adressen im 193er Bereich (oder war es jetzt ein Druckfehler und du meintest 192.x.x.x ?) das wäre eigentlich ein unsinniges IP Design...
Ok, aber du kannst dem ganzen auch ein Schnippchen schlagen mit einem DMZ Router ala:

http://www.heise.de/netze/artikel/78397

Hinter dem sekundär Router kannst du wieder ein 10er Netz betreiben, denn das wird ja am anderen Ende des Sekundärrouters auf die euch zugeteilte 193er (oder 192er ?) Adresse per NAT umgesetzt. So versteckst du über einen NAT Prozess dein gesamtes 10er Netz dahinter...das wäre möglich.
Der Sekundärrouter kann aber auch ein ISA Server mit NAT am 2ten Interface sein...ist nur erheblich teurer....

Na ja Schulen scheinen es ja dicke zu haben mit massenweisen M$ Lizenzen und dann auch noch die Switchhardware für solch banale Netze von Cisco... Kein Wunder das so das Bildungssystem finanziell am Ende ist....
Bitte warten ..
Mitglied: florian.rhomberg
16.08.2007 um 19:42 Uhr
Nö die 193.x.x.x Adressen dienen dazu, dass Schulen eigene Server betreiben können die über das Internet erreichbar sind. Das mit einem DMZ Router werd eich mir überlegen.

Nebenbei die M$ Lizenzen sind eine Vertrag zwischen dem Bund und Microsoft bei dem alle öffentlichen Behörden und Bundeschulen die Client Lizenzen sehr billig bekommen. Die Cisco Komponenten wurden uns gesponsert, die Schule selber könnte sich das gar nicht leisten.

Gruß,
Florian
Bitte warten ..
Mitglied: florian.rhomberg
12.09.2007 um 10:30 Uhr
Hallo!
Es hat eine Weile gedauert nur ist es inzwischen vollbracht. Nach längerem hin und her habe wir einen Pix501 Firewall gekauft, um auch den anderen Standort per VPN ans Netz anzuschließen und diesen konfiguriert. D.h. die Server haben nach ausen hin jetzt 192.168.1.x Adressen, und der Pix wandelt Sie anschließend in das 10.x.x.x Netz um. Nun habe ich am Server einmal Routing und RAS installiert und nach innen hin für jedes unsere VLAN (10.1.x.x bis 10.24.x.x) ein statisches Routen auf den Standardgateway 10.1.255.254 eingerichtet. Die interne Netzwerkkarte hat keinen Standardgateway Eintrag bekommen, die externe Netzwerkkarte hat als Standadrgateway die IP Adresse dex Pix. Soweit so gut, das sollte doch eigentlich funktionieren, oder?
Nun wenn ich aber jetzt versuche mit tracert das Routing mit externen Hosts zu beobachten kommt es immer zu einer Zeitüberschreitung. Das was aber ganz komisch ist, ist die Tatsache, dass nslookup auf dem Server perfekt funktioniert. Das heißt er hat eine Verbindung nach drausen. Woran kann das liegen, wenn der Pix tracert blockt, dann müsste zumindest der erste Hop erscheinen, oder?
Ich hoffe jemand von euch weiß einen Rat, ich wäre sehr dankbar. Erst wenn das geht macht es Sinn den ISA Server zu installieren.

Vielleicht noch de rHinweis was auf dem Server alles läuft:
- AD
- DNS
- DHCP
- Routing und RAS (wobei ich nur NAT gewählt habe)

Liebe Grüße,
Florian
Bitte warten ..
Mitglied: aqui
12.09.2007 um 11:27 Uhr
Davon ist auszugehen das die Pix ICMP Packte (traceroute, ping etc.) blockiert ! Mit einer entspr. Accessliste auf der Pix kannst du das aber erlauben, dann sollte ping und traceroute funktionieren.

Du musst die ICMP Typen 0, 3, 8 und 30 erlauben für diese Dienste.
Alternativ kannst du eine Unix traceroute verwenden. Unix traceroute verwendet UDP statt ICMP und das sollte durchgehen, wenn die PIX dies nicht auch filtert....
Bitte warten ..
Mitglied: florian.rhomberg
25.10.2007 um 16:54 Uhr
Hallo!
Tut mir leid, dass ich erst jetzt antworte, aber die Ursache lag ganz einfach in einer fehlerhaften Firewall Konfiguration meinerseits. Ich habe es dann hinbekommen und leider vergessen dir für deine Hilfe zu danken. Das möchte ich jetzt nachholen.

Liebe Grüße,
Florian
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows Server
RAS-VPN nur Zugriff auf per DHCP geleaste IPs (10)

Frage von lucarenner zum Thema Windows Server ...

Windows Server
Windows Server 2016 VPN richtig konfigurieren (1)

Frage von junior zum Thema Windows Server ...

Windows Server
gelöst Windows Server 2012 mit Fritzbox per VPN verbinden (13)

Frage von StefanT81 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Router & Routing
gelöst Empfehlung günstiges ADSL2+ nur Modem (10)

Frage von TimMayer zum Thema Router & Routing ...

Server-Hardware
Lenovo Server System X 3650 M5 Festplatten (9)

Frage von Hendrik2586 zum Thema Server-Hardware ...