6
Router an Win2003-Server
Frage zum DNS im Active Directory
Hallo.
Ich möchte einen Hardwarerouter Draytek Vigor 2200E an einen Win2003-Server hängen. Der
Server soll für ein paar Domänen-PCs den Internetzugriff ermöglichen, und der Server soll
später auch von Homearbeitsplätzen per VPN erreichbar sein.
Die Komponenten:
Der Server hat 2 Netzwerkkarten. Die LAN-seitige ist mit einem Switch verbunden. Die WAN-seitige soll zum Hardwarerouter gehen. Der Router macht NAT, Firewall, etc.
Meine Fragen:
Wäre auch eine Konstellation denkbar, in der sich alle genannten Komponenten (beide Server-NICs und der Router) in einem Netz befinden?
Oder müssen die NICs des Servers zwangsläufig in zwei Nezte?
Wenn eine DNS-Weiterleitung eingerichtet wird, können dann der Router und die beiden Server-NICs in einem Netz sein?
Die Fragen sind mir deshalb gekommen, weil mir der Einfluss des DNS innerhalb des Active Directory noch nicht so ganz klar ist. Ersetzt die DNS-Weiterleitung den Einsatz von Routing und RAS?
Im voraus schon einmal vielen Dank für die Hilfe!
Fred-HB
Ich möchte einen Hardwarerouter Draytek Vigor 2200E an einen Win2003-Server hängen. Der
Server soll für ein paar Domänen-PCs den Internetzugriff ermöglichen, und der Server soll
später auch von Homearbeitsplätzen per VPN erreichbar sein.
Die Komponenten:
Der Server hat 2 Netzwerkkarten. Die LAN-seitige ist mit einem Switch verbunden. Die WAN-seitige soll zum Hardwarerouter gehen. Der Router macht NAT, Firewall, etc.
Meine Fragen:
Wäre auch eine Konstellation denkbar, in der sich alle genannten Komponenten (beide Server-NICs und der Router) in einem Netz befinden?
Oder müssen die NICs des Servers zwangsläufig in zwei Nezte?
Wenn eine DNS-Weiterleitung eingerichtet wird, können dann der Router und die beiden Server-NICs in einem Netz sein?
Die Fragen sind mir deshalb gekommen, weil mir der Einfluss des DNS innerhalb des Active Directory noch nicht so ganz klar ist. Ersetzt die DNS-Weiterleitung den Einsatz von Routing und RAS?
Im voraus schon einmal vielen Dank für die Hilfe!
Fred-HB
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4526
Url: https://administrator.de/contentid/4526
Printed on: April 19, 2024 at 13:04 o'clock
6 Comments
Latest comment
Tach Fred.
1.
Der DNS ist nur dazu da, dass Deine VPN-Clients auch wissen wo sie welchen Server finden und den DHCP-Relay-Agent brauchst Du nur wenn Du zwei Netze erstellst.
2.
Lass mal schön die beiden Nics im RAS-Server und arbeite mit 2 Netzen, sonst biste offen wie n Scheunentor. (Technisch wäre es allerdings sehr einfach.)
3.
Denke mal über einen ISA-Server nach und prüfe ob Dein Router Radius unterstützt.
4.
Wie wäre es mit einer Firewall die ein eigenes PKI mitbringt und billiger ist als Deine Lösung?
--> http://www.astaro.de
Christian
1.
Der DNS ist nur dazu da, dass Deine VPN-Clients auch wissen wo sie welchen Server finden und den DHCP-Relay-Agent brauchst Du nur wenn Du zwei Netze erstellst.
2.
Lass mal schön die beiden Nics im RAS-Server und arbeite mit 2 Netzen, sonst biste offen wie n Scheunentor. (Technisch wäre es allerdings sehr einfach.)
3.
Denke mal über einen ISA-Server nach und prüfe ob Dein Router Radius unterstützt.
4.
Wie wäre es mit einer Firewall die ein eigenes PKI mitbringt und billiger ist als Deine Lösung?
--> http://www.astaro.de
Christian
Moin Christian.
Du würdest die beiden NICs im Server in 2 Netze stecken und den Routing und RAS-Server von
Win2003 das Routing übernehmen lassen. Netz 1 bestünde aus der Dömäne und dem LAN-seitigen NIC im Server. Netz 2 wäre der zweite NIC im Server sowie der Draytek-Router. Ich glaube so würde man das normalerweise auch aufbauen.
Ich will aber noch einmal nachhaken damit es mir noch klarer wird. Warum soll eigentlich eine Konstruktion, in der LAN und Hardwarerouter in einem Netz hängen offen sein wie ein
Scheunentor? Der Hardwarerouter macht doch NAT, Firewall, etc. Der Router schützt doch einen einzelnen Home-PC auch ganz zuverlässig vor dem Bösen aus dem Internet. Es ist dem Router doch egal, ob er nur einen Einzelplatz-PC schützt, oder ob ein kleines LAN zu schützen ist. Mit anderen Worten: Warum soll ich zweimal routen? Einmal im Server vom LAN-NIC zum WAN-NIC und dann nochmal im Hardware-Router?
Deinen Tipp mit Radius kann ich wohl verwirklichen. Jedenfalls scheint es so zu sein, dass
die Draytek-Router für ihr Preissegment wahre Feature-Monster sind. Radius-Unterstützung
inclusice. Außerdem sind sie für wenig Euro bei Ebay zu kaufen. Wahrscheinlich weil 1&1 diese Router wohl massenweise an Kunden verteilt hat.
Grüße
Fred
Du würdest die beiden NICs im Server in 2 Netze stecken und den Routing und RAS-Server von
Win2003 das Routing übernehmen lassen. Netz 1 bestünde aus der Dömäne und dem LAN-seitigen NIC im Server. Netz 2 wäre der zweite NIC im Server sowie der Draytek-Router. Ich glaube so würde man das normalerweise auch aufbauen.
Ich will aber noch einmal nachhaken damit es mir noch klarer wird. Warum soll eigentlich eine Konstruktion, in der LAN und Hardwarerouter in einem Netz hängen offen sein wie ein
Scheunentor? Der Hardwarerouter macht doch NAT, Firewall, etc. Der Router schützt doch einen einzelnen Home-PC auch ganz zuverlässig vor dem Bösen aus dem Internet. Es ist dem Router doch egal, ob er nur einen Einzelplatz-PC schützt, oder ob ein kleines LAN zu schützen ist. Mit anderen Worten: Warum soll ich zweimal routen? Einmal im Server vom LAN-NIC zum WAN-NIC und dann nochmal im Hardware-Router?
Deinen Tipp mit Radius kann ich wohl verwirklichen. Jedenfalls scheint es so zu sein, dass
die Draytek-Router für ihr Preissegment wahre Feature-Monster sind. Radius-Unterstützung
inclusice. Außerdem sind sie für wenig Euro bei Ebay zu kaufen. Wahrscheinlich weil 1&1 diese Router wohl massenweise an Kunden verteilt hat.
Grüße
Fred
Hallo Fred.
Klar kannst Du alles in ein Netz hängen und klar schützt der Router mit Nat sowohl ein Netz mit einem PC, als auch ein Netz mit einhundert PC`s, gleich gut.
Nur willst Du später VPN einrichten und damit schaffst Du einen Angriffspunkt hinter dem Router, nämlich den Eingang zum Server. Den Port (1723) wirst Du durch die Firewall durchschießen und nicht mit Nat umlegen. Mit zwei Netzen hast Du nun die Möglichkeit einige Regeln auf diese IP/Nic zu setzen und das Sicherheitslevel damit weiter erhöhen.
Auch solltest Du nicht vergessen, dass Du als Angriffsziel interessanter wirst, wenn Du anfängst mit Diensten wie VPN-Zugängen zu spielen.
Christian
Klar kannst Du alles in ein Netz hängen und klar schützt der Router mit Nat sowohl ein Netz mit einem PC, als auch ein Netz mit einhundert PC`s, gleich gut.
Nur willst Du später VPN einrichten und damit schaffst Du einen Angriffspunkt hinter dem Router, nämlich den Eingang zum Server. Den Port (1723) wirst Du durch die Firewall durchschießen und nicht mit Nat umlegen. Mit zwei Netzen hast Du nun die Möglichkeit einige Regeln auf diese IP/Nic zu setzen und das Sicherheitslevel damit weiter erhöhen.
Auch solltest Du nicht vergessen, dass Du als Angriffsziel interessanter wirst, wenn Du anfängst mit Diensten wie VPN-Zugängen zu spielen.
Christian
Hallo Christian.
Die letzten Argumente für die Einrichtung von 2 Netzen leuchten mir ein. Deshalb habe ich
inzwischen schon einmal angefangen zu installieren. Die beiden NICs im Server sind jetzt in
2 Netzen. Routing und RAS ist eingerichtet. Auf dem Server komme ich auch ins Internet. Aber
die LAN-PCs haben keinen Zugang zum Internet.
Vom Server aus kann ich den Hardware-Pouter anpingen. Von den LAN-PCs nicht. Die LAN-PCs
haben auch keine Route zum Hardware-Router. Der DHCP-Server hat den LAN-PCs den Router als Standard-Gateway mitgeteilt, und in DNS ist eine Weiterleitung auf den Router eingetragen.
Ich schätze, dass ich in Routing und RAS noch etwas einstellen muss. Aber wo? Hast Du noch
einen Tipp, an welcher Schraube ich drehen muss?
Schöne Grüße und schönen Dank für Deine Antworten.
Fred
Die letzten Argumente für die Einrichtung von 2 Netzen leuchten mir ein. Deshalb habe ich
inzwischen schon einmal angefangen zu installieren. Die beiden NICs im Server sind jetzt in
2 Netzen. Routing und RAS ist eingerichtet. Auf dem Server komme ich auch ins Internet. Aber
die LAN-PCs haben keinen Zugang zum Internet.
Vom Server aus kann ich den Hardware-Pouter anpingen. Von den LAN-PCs nicht. Die LAN-PCs
haben auch keine Route zum Hardware-Router. Der DHCP-Server hat den LAN-PCs den Router als Standard-Gateway mitgeteilt, und in DNS ist eine Weiterleitung auf den Router eingetragen.
Ich schätze, dass ich in Routing und RAS noch etwas einstellen muss. Aber wo? Hast Du noch
einen Tipp, an welcher Schraube ich drehen muss?
Schöne Grüße und schönen Dank für Deine Antworten.
Fred
Tach Fred,
vor Ort hätten wir jetzt bestimmt recht schnell eine Lösung. Aber da ich sowas nicht täglich mache und RRAS doch recht viele Optionen und Wege bereit hält, kann ich Dir von hier aus leider nicht mehr helfen.
Am besten Du machst einen neuen thread auf und postest Dein Prob mal im Forum.
cu
Christian
vor Ort hätten wir jetzt bestimmt recht schnell eine Lösung. Aber da ich sowas nicht täglich mache und RRAS doch recht viele Optionen und Wege bereit hält, kann ich Dir von hier aus leider nicht mehr helfen.
Am besten Du machst einen neuen thread auf und postest Dein Prob mal im Forum.
cu
Christian
Ja, ich habe schon ein wenig in den Foren gesucht und habe dabei gesehen, dass das kein seltenes Problem ist. Ich schaue erst einmal, ob ich hier nicht doch noch einen passenden Tipp zu dem Problem finde, bevor ich einen neuen Thread aufmache.
Danke, und schöne Grüße
Fred
Danke, und schöne Grüße
Fred
