Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Server 2008R2 im Netzwerk einrichten

Frage Microsoft Windows Server

Mitglied: nofear87

nofear87 (Level 1) - Jetzt verbinden

05.12.2010, aktualisiert 18.10.2012, 7483 Aufrufe, 10 Kommentare

Windows Server hinter der monowall betreiben!?

Hallo,
und zwar habe ich folgendes Problem. Ich möchte zum testen einen Windows Server 2008R2 einrichten.

Mein Netzt sieht so aus, das ich von der Uni Internet bekomm, das ganze in die Monowall (auf Alix Board) leite und an dieser ein Switch mit meinen PCs und auch dem Server hängt.

Der Server hat zwei Netzwerkkarten, ich dachte ich nehme die eine, um ihn mit Internet zu versorgen (hängt an der Monowall, Adresse per DHCP zugewießen: 192.168.1.111)
Und auf der anderen wollte ich einen DNS Server einrichten und dann ein Switch dran hängen über das dann die Client PCs angeschlossen werden.

Nun habe ich aber das Problem, das wenn ich die Reverse und die Forward Regel erstelle (mit 192.168.178.xxx) das er sich mit der IP der Monowall anmeldet.

Ist das normal...oder denke ich einfach nur in die falsche Richtung. Brauche ich überhaupt zwei Netzwerkkarten? Oder wie Regel ich das am besten? Wollte halt schon gerne ein eigenes Client Server Netz (IP).

Falls ihr mehr Infos braucht sagt einfach bescheid.
Ich bin für jede Hilfe dankbar.

Mit freundlichen Grüßen Robert
Mitglied: StefanKittel
05.12.2010 um 21:07 Uhr
Hallo,

hier brauchst Du nicht die beiden Netzwerkkarten.
Vom Prinzip schonmal richtig gedacht, aber wenn eine LAN und die andere WAN ist wer routet dann?
Also eine deaktivieren und die andere ist LAN.
DNS ist der Server, Gateway die Monowall (wenn NAT)

Stefan
Bitte warten ..
Mitglied: nofear87
05.12.2010 um 21:40 Uhr
Danke ersteinmal für deien Antwort

Geht es denn garnicht, das ich ein kleines Netzwerk über die zweite Netzwerkkarte aufbaue?

D.h. keien von beiden Netzwerkkarten ist WAN beide sind sozusagen im LAN!?
Stehe bestimmt wieder auf dem Schlauch

Die Monowall baut ja ein 192.168.1.xxx Netz auf. Und vergibt die Adressen per DHCP.
Der Server bekommt allerding per MAC Filter die 192.168.1.111 zugeteilt.

Du meinst also ich sollte den Server einfach im Netz integrieren!?
D.h.:
IP: 192.168.1.111
Subnetz: 255.255.255.0
Gateway: 192.168.1.1 (glaube das ist die Monowall)
und als DNS den Server sebst!?

Und dann könnte ich die anderen PCs welche auch an der monowall sind in die Domäne aufnehmen...müsste es aber nicht!?
Bitte warten ..
Mitglied: StefanKittel
05.12.2010 um 22:04 Uhr
Zitat von nofear87:
Geht es denn garnicht, das ich ein kleines Netzwerk über die zweite Netzwerkkarte aufbaue?
Doch, aber warum? Dazu müßte der Server auch den zusätzlichen Router stellen

D.h. keien von beiden Netzwerkkarten ist WAN beide sind sozusagen im LAN!?
LAN1 oder LAN2?

Stehe bestimmt wieder auf dem Schlauch
Ich auch grad

Für Dich ist doch nur interessant vor und hinter der Monowall oder nicht?
Davor = LAN
Dahinter = WAN

Die Monowall baut ja ein 192.168.1.xxx Netz auf. Und vergibt die Adressen per DHCP.
Der Server bekommt allerding per MAC Filter die 192.168.1.111 zugeteilt.
Der server sollte die IP fest eingetragen bekommen.

Du meinst also ich sollte den Server einfach im Netz integrieren!?
Ja

D.h.:
IP: 192.168.1.111
Subnetz: 255.255.255.0
Gateway: 192.168.1.1 (glaube das ist die Monowall)
und als DNS den Server sebst!?
DNS: 192.168.1.111

Und dann könnte ich die anderen PCs welche auch an der monowall sind in die Domäne aufnehmen...müsste es aber
nicht!?
Richtig.
Bitte warten ..
Mitglied: nofear87
05.12.2010 um 22:32 Uhr
Stimmt, mich interessiert ja eigentlich nur das was hinter der monowall in meinem Netzwerk geschiet.

Ich wollte das ganze nun mal ausprobieren, aber habe das Problem, das ich dem Server die 192.168.1.111
255.255.255.0
192.168.1.1 (Gateway)

und die 192.168.1.111 (DNS)

zugeteilt habe, er zwar Netzwerkzugrifff hat aber keinen Internetzugriff.

In der monwall erlaube ich nur PCs die im Filter stehen und da steht er auch, mit der 192.168.111 festzugeteilt....warum klappt das so nicht? Akzeptiert die Monowall nur automatisch bezogene Adressen?

Wenn ja müsste ich ja den DHCP Server ausschalten!?


Klappt das dann berhaupt ohne weiteres mit der Domäne weil ich in der Monowall einen DNS forwarder entdeckt habe etc., brauch man den zwanghaft?

Achja...alle PCs sind im gleichen LAN Interface der monowall
Bitte warten ..
Mitglied: nofear87
05.12.2010 um 22:49 Uhr
Reicht es nicht, wenn ich einfach nur den DNS auf 192.168.1.111 setzte und das andere automatische beziehe...über den MAC Filter bekommt er eh immer die 192.168.1.111 und das 192.168.1.1 gateway...oder ist das feste setzte wichtig?

Edit: anscheinend geht es nicht, denn nslookup zeigt mir, das der Standartserver unknown ist
und der Server meldet sich nur in der Forward-Lookup Zone an und nicht in der Reverse (192.168.1.xxx) an


Bestimmt liegt es an den Monwall Einstelllungen, oder?
Bitte warten ..
Mitglied: aqui
06.12.2010, aktualisiert 18.10.2012
Ja, wie leider immer in so einem Fall....
Leider ist nun völlig unklar welche Zielvorstellungen du von deinem Netz hast. Beide deiner Designs funktionieren problemlos !

Generell erstmal zuallerst was das Thema DNS angeht:
Wenn die Monowall im Uni Netzwerk ihre IP Adresse per DHCP bekommt am WAN Port gilt die folgende Einstellung:
7a9c5f53e77f73d32979e77a86865abe - Klicke auf das Bild, um es zu vergrößern
Damit "lernt" die Monowall den Internet DNS per DHCP und gibt sich selber als DNS Server aus wenn sie im LAN Segment selber DHCP macht. Die Monowall arbeitet als Proxy und reicht DNS Anfragen an ihre eigene IP LAN Adresse an den DNS Server weiter !
Achtung: Sollte die Monowall am WAN Port eine statische IP aus dem Uni Netz bekommen haben musst du zwingend die DNS Server IP des/der Internet DNS Servers hier unter "DNS Server" manuell eintragen !!
Das gleiche gilt für dein Server Netz hinter der Monowall egal ob mit oder ohne 2 NICs im Server:
Wenn du DNS dort im lokalen Netz verwendest um auch lokale IPs aufzulösen, dann aktivierst du ja DNS auf dem Server und hier musst du dann eine DNS Weiterleitung auf die Monowall IP Adresse einstellen. DNS die dann nicht lokal aufgelöst werden können am Server reicht dieser dann an die Monowall weiter...logisch ! Die Clients müssen dann die Server IP als DNS Adresse eingestellt haben. Gibt es kein lokales DNS, dann kann das entfallen und die Clients bekommen ganz einfach die Monowall IP als DNS fertig.
Sinnvoll ist es hier zum testen IMMER zuerst mit nackten IP Adressen von Clients ins Internet zu pingen um so ggf. DNS problemen gleich aus dem Weg zu gehen.
IP Adressen wie z.B.: 193.99.144.85 (heise.de) oder 195.71.11.67 (spiegel.de) wären solche sinnvollen IPs !
Zurück zu deinem Netzwerk Design:

... Nehmen wir mal dein ursprüngliches Design was du eigentlich vorhattest:
Das sähe dann so aus:

fa329d8d5beab6edc3bcb31cea350dee - Klicke auf das Bild, um es zu vergrößern

Einfach und simpel umzusetzen, du musst dich nur entscheiden WAS du am Server konfigurierst, ob du dort NAT (ICS) machst oder (besser) transparentes Routing ?!
Dazu solltest du unbedingt dieses Tutorial lesen:
http://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...
Gesetzt den Fall du entscheidest dich fürs normale Routing ohne NAT, dann sehen die Monowall Einstellungen so aus:
WAN Port (mit DHCP vom Uni Netz)
7a9c5f53e77f73d32979e77a86865abe - Klicke auf das Bild, um es zu vergrößern

Als allerwichtigstes da du transparent routest musst du einen Statischen Routing Eintrag für das IP Netz hinter dem Server in der Monowall eintragen damit die Pakete in das Segment richtig geroutet werden !:

aec4d5c4e95e0eed43911d2aa459da24 - Klicke auf das Bild, um es zu vergrößern

Da die Firewall am LAN Port nur per default das LAN IP Netzwerk zulässt musst du ebenso zwingend dieses IP Netz hinter dem Server am LAN Port erlauben, denn sonst kann es logischerweise nicht die Firewall passieren !!!
Wir erinnern uns an die goldene default Firewall Regel: Es ist alles verboten was nicht explizit erlaubt ist !!
Daher sieht die FW Regel am LAN Port so aus:

ad4e7415ddc093d31bfc1ff931be434a - Klicke auf das Bild, um es zu vergrößern

Fertisch... Damit rennt dann dies Szenario vollkommen problemlos.
Wenn du von außen auf den Server zugreifen willst per RDP z.B. musst du nur ein simples inbound NAT von Port TCP 3389 auf die 192.168.1.111 einstellen und den Zugriff in der Winblows Firewall von außen erlauben und gut ist.
Das ist in 10 Minuten fertig konfiguriert...wo ist also dein Problem ??

Natürlich ist auch ein einfaches Simpelszeanrio möglich:

a1a1f054aa989e27972fc4c863cb8eda - Klicke auf das Bild, um es zu vergrößern

Damit entfällt natürlich die statische Route und die zusätzliche Firewall Regel weil es das IP Netzwerk hinter dem Server logischerweise nicht mehr gibt !
(Entfällt übrigens auch solltest du auf dem Server im o.a. Szenario NAT oder ICS machen !!)

Es gilt aber weiterhin alles uneingeschränkt was oben eingangs zum Thema DNS gesagt wurde.
Wenn du das alles sauber beachtest funktionieren beide Designs ohne Probleme. Letztlich liegen die Fehler also allesamt an dir und einer falschen Konfiguration !!
Bitte warten ..
Mitglied: nofear87
06.12.2010 um 12:21 Uhr
Wow Aqui. Du bist einfach der Wahnsinn. DANKE!

Will noch mal folgendes klarstellen:

Von außen würde ich sowieso nicht auf den Server kommen da die Uni alles was von außen rein möchte blockt, von daher fällt RDP von Außen weg und ich muss mich mit dem internen Möglichkeiten begnügen.

Die Monowall bekommt vom UniNetz immer die gleiche IP zugeteilt (über einen Macfilter)
ist die xxx (anonym) xD

Ich denke ich werde mir ersteinmal das Szenario vornehmen, welches du zu guter letzt dargestellt hast. Das andere anschließend, will ja nicht das du dir die Mühe umsonst machst.
Mit welchem Programm baust du diese schönen Grafiken zusammen? (Visio?)

Ich weiß das es mal wieder an meiner Konfiguration liegt...aber ohne fremde Hilfe bin ich da leider etwas aufgeschmissen DNS ist für mich Neuland.

Meine Ziele: Naja, ich möchte einfach ein wenig rumspielen und mir das ganze mal anschauen. Wie z.B Active Directory und Hyper-V.

Beste Grüße
Robert
Bitte warten ..
Mitglied: aqui
06.12.2010, aktualisiert 18.10.2012
Na ja es gibt immer Mittel und Wege von außen reinzukommen
Damit http://www.administrator.de/wissen/vpn-f%c3%bcr-arme-tcp-in-ssh-tunneln ... klappt es (fast) immer.....
Deine IP solltest du etwas anonymisieren, denn sonst weiss jeder das du an einer TU im schönen Il... bist...
Bitte warten ..
Mitglied: nofear87
06.12.2010 um 13:43 Uhr
Hm, soweit ich weiß ist TCP und UDP von außen komplett geblockt
Bitte warten ..
Mitglied: aqui
06.12.2010 um 15:04 Uhr
Kann ja nicht, denn wenns wirklich komplett ist würde ja gar nichts mehr gehen, auch kein HTTP (Webtraffic) Email (SMTP, POP, IMAP) usw. usw.
Es sei denn du hast wirklich Recht, dann ist es aber auch vollkommen logisch das du von deinem Netz nicht ins Internet kommst wenn alles "komplett" im Uninetz geblockt ist ! Dann musst du dich nicht groß wundern ! Wo nix rausgeht kann auch nix reinkommen....
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Netzwerk
Client-Server-Netzwerk einrichten (5)

Frage von Elduderino zum Thema Windows Netzwerk ...

Windows Server
Server 2008R2 IIS Zertifikatsproblem

Frage von Alchemy zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (12)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...