lucarenner
Goto Top

RAS-VPN nur Zugriff auf per DHCP geleaste IPs

Hallo,

mein Name ist Luca und ich betreibe eine virtualisierte private Testumgebung basierend auf Hyper-V mit Windows Server 2012 R2 als Gastbetriebssystem.
Ich möchte einen Exchange Server an einem anderen Standort in das vorhandene Netzwerk aufnehmen.


Dazu möchte ich RAS mit VPN auf einem virtualisierten Server an Standort A nutzen um den Exchange Server an Standort B in das bereits vorhandene Netzwerk einzufügen..

Mein Problem ist es, dass der Server der mit dem VPN verbunden wird nur Zugriff auf IP-Adressen hat die über DHCP geleast werden.
Mein Netzwerk am Standort A ist in mehrere Subnetze aufgeteilt (SNM: 255.255.248.0).

Die Server, auf die der Exchange Server Zugriff haben soll, befinden sich im IP-Bereich 192.168.0.1-255. Der DHCP Bereich ist 192.168.2.10-250.

Wie kann ich es einrichten, dass der Exchange Server Zugriff auf alle IP-Bereiche der Subnetzmaske hat.


Vielen Dank im voraus.

Luca

Content-Key: 313081

Url: https://administrator.de/contentid/313081

Ausgedruckt am: 19.03.2024 um 14:03 Uhr

Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 19.08.2016 um 15:43:14 Uhr
Goto Top
Guten Tag Luca,

ich heiße Andreas.

Mir ist jetzt nicht ganz klar, wie Dein Standortnetzwerk genau aufgebaut ist, denn zwischen den Subnetzen musst Du mindestens einen Router haben.
Ferner muss eine Instanz auch das VPN abhandeln und mir ist nicht klar, welche das bei Dir macht.

Deswegen meine Fragen:

  • Wie wird das VPN realisiert? Site2Site, Peer2Site?
  • Bei Site2Site-VPN: Wer macht es? Die Router oder VPN-Server?
  • Welche IP hat der EX?
  • Welche Routen sind dem EX mit gegeben?

Grüße,
Andreas
Mitglied: lucarenner
lucarenner 19.08.2016 um 16:11:34 Uhr
Goto Top
Hallo,

an Standort A läuft ein Windows Server 2012´R2 mit der Routing und RAS Rolle, die eine PPTP VPN Verbindung bereit stellt. Der Server an Standort B verbindet sich mit dieser Verbindung. Wobei allerdings in den Adaptereinstellungen die Option "Standartgateway für das Remotenetzwerk verwenden" deaktiviert ist, sodass lediglich der Verkehr zwischen den Standorten über das VPN geleitet wird und nicht der Verkehr an externe Server.

Subnetze war der falsche Begriff.
Ich habe ein B-Klasse Netz (255.255.248.0). Problem ist das über den VPN nur auf Adressen im Bereich 192.168.2.0-255 zugegriffen werden kann, obwohl unter anderem bspw. 192.168.3.0-255 auch teil des Subnetzes wäre.

Ich hoffe das hat geholfen ein bisschen klarer zu machen, wie mein Netzwerk aufgebaut ist.

Gruß

Luca
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 19.08.2016 um 16:52:36 Uhr
Goto Top
Wie sieht denn die Routentabelle des EX aus, wenn Du ihn per PPTP verbunden hast?

PPTP im Ernst?!
Nicht vielleicht SSTP? Es wäre sicherer, auch in einem Versuchsaufbau.
Mitglied: lucarenner
lucarenner 19.08.2016 um 18:22:49 Uhr
Goto Top
Ich bin leider ein kompletter Anfänger auf diesem Gebiet, das ist auch der Grund warum diese Testumgebung existiert ;).

Wie kann ich mir die Routentabelle anschauen?
Mitglied: 129813
129813 19.08.2016 aktualisiert um 18:41:54 Uhr
Goto Top
Hi.
Problem ist das über den VPN nur auf Adressen im Bereich 192.168.2.0-255 zugegriffen werden kann, obwohl unter anderem bspw. 192.168.3.0-255 auch teil des Subnetzes wäre.
This is a normal behavior, because the PPTP Client uses the old classes scheme and writes a 24bit mask route to the routing table if the client receives an IP of the old class B scheme, it does not what you expect, that's another reason not to use PPTP for this kind of task.
But a S2S VPN should definitely not be realized with PPTP that's the biggest bullshit you can do.

Check the routing table with
route print
You can add an additional rule to your routing table on the connecting client with
route add -p 192.168.2.0 MASK 255.255.248.0 [GATEWAYIP of VPN Server]
then the client knows where to route these packets.

Regards
Mitglied: lucarenner
lucarenner 19.08.2016 um 18:36:04 Uhr
Goto Top
What would be a better solution to a PPTP VPN?
Mitglied: 129813
129813 19.08.2016 aktualisiert um 18:39:52 Uhr
Goto Top
L2TP over IPSec, SSTP, (plain IPSec but is not supported by Windows by default), OpenVPN

Normaly you should use a router to initiate VPN-Connections to other networks. A cheap 40€ Mikrotik router does all these protocols and much more ...
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 19.08.2016 um 18:44:33 Uhr
Goto Top
Zitat von @lucarenner:

Ich bin leider ein kompletter Anfänger auf diesem Gebiet, das ist auch der Grund warum diese Testumgebung existiert ;).
Nicht schlimm. Jeder fängt mal an.

Wie kann ich mir die Routentabelle anschauen?
Hat Dir highload ja bereits erklärt.

Der Gedanke dass ein Server mittels VPN-Client irgendwo einwählt ist vor allem bei einem EX nicht gut.
Dein EX benötigt nach dem Hochfahren klare Linien, da die Dienste sich nicht immer an virtuelle Schnittstellen wie VPN binden.

PPTP ist abzulehnen, weil es einfach nicht mehr sicher ist.

Bau ein Site2Site-VPN auf mit klarem Routing. Dann wird es laufen.

Wenn Du eine technische Spielwiese brauchst, nutze als Router doch zum Beispiel PFSense oder ähnliches.
Lässt sich gut konfigurieren und Du lernst ne Menge.
Mitglied: lucarenner
lucarenner 19.08.2016 aktualisiert um 20:11:32 Uhr
Goto Top
Der Gedanke dass ein Server mittels VPN-Client irgendwo einwählt ist vor allem bei einem EX nicht gut.
Dein EX benötigt nach dem Hochfahren klare Linien, da die Dienste sich nicht immer an virtuelle Schnittstellen wie VPN binden.

Vielen dank für den Tipp. Vielleicht schaue ich mir mal einen Mikrotik-Router an.
Allerdings wäre es mir am liebsten das ohne zusätzliche Hardware und nur mit Windows Server zu lösen.

Vielen Dank.

Edit: Hätte jemand eine Idee für die Einrichtung? Im Internet finde nur ein S2S-VPN Basierend auf "Demand Dial" mit PPTP und Anleitungen für externe Geräte.
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 22.08.2016 um 10:54:49 Uhr
Goto Top
Zitat von @lucarenner:
Vielen dank für den Tipp. Vielleicht schaue ich mir mal einen Mikrotik-Router an.
Allerdings wäre es mir am liebsten das ohne zusätzliche Hardware und nur mit Windows Server zu lösen.

Wenn ich Dich richtig verstanden habe, virtualisierst Du doch, oder?
Ist also nicht schlimm, anstatt einer Hardwareinstanz eine zusätzliche virtuelle Appliance auf Deinen VHost zu bringen.

Ich mache das mit unserem VPN-Server auch so. Der ist virtualisiert im Hauptcluster und hat eben zwei Netzwerkkarten drin in ein Transitnetz und das Produktivnetz.