Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Windows 2003 Server - 2 Netzwerkkarten, Remote Access via VPN (RAS)

Frage Netzwerke

Mitglied: yasdfgr

yasdfgr (Level 1) - Jetzt verbinden

09.11.2007, aktualisiert 23.10.2012, 17195 Aufrufe, 5 Kommentare

Client X in Netz A <--> WIN 2003 Server <--> Netz B mit VPN-Client

Ich betreibe ein Win 2003 Server, in welchem 2 Netzwerkkarten eingebaut sind, eine in ein lokales Netz A, die andere in ein lokales Netz B.
Nun stelle ich aus Netz B eine RAS-Verbindung (mittels VPN-Client) mit dem Server her und bekomme automatisch eine IP aus Netz A.
67cd40605d9ce211ee794829ee0b759c-nw - Klicke auf das Bild, um es zu vergrößern
Ein Ping auf die Server-IP aus Netz A funktioniert - nur alle anderen Teilnehmer aus Netz A lassen sich nicht erreichen!

Besitzt der Server nur eine Netzwerkkarte (Netz A) und wird die VPN-Verbindung z.B. über ein Portforwarding über einen NAT-Router aus dem Internet hergestellt, lassen sich auch alle Clients in Netz A erreichen.

Wenn ich RAS richtig verstanden habe, kann es sich dabei nicht um ein Routingproblem handeln, denn der RAS-Dienst sorgt dafür, das der VPN-Server automatisch der Stellvertreter jedes Clients auf OSI-Ebene 2 wird (ARP-Proxy).
D.h. der Server nimmt stellvertretend Pakete, die für die Macadresse eines Clients bestimmt sind an und leitet sie weiter, ganz so, als wäre der Client an einem lokalen Switch angeschlossen.

Das bestätigt sich auch dadurch, das wenn man den RAS-Server betreibt, der entfernte VPN-Client eine lokale IP bekommt, wo wiederum ein lokaler Rechner die Pakete für den VPN-Client nicht an ein Gateway schicken wird um diesen zu erreichen, da er den VPN-Client ja im gleichen Netzsegment "sieht".
Die Netzkonfiguration (Routingtabellen und STD-Gateways müssen nicht verändert werden).

Ist das richtig? Warum funktioniert das dann nicht wenn 2 Netzwerkkarten aktiv sind?
Kann mir jemand einen Tipp geben?

Wer sich dafür interessiert warum eine solche Konfiguration Sinn macht:
Stellt euch einfach vor, Netz B ist unsicher (das könnte ein unverschlüsseltes WLAN sein). Deswegen möchte ich eine sichere Verbindung in Netz A und von dort weiter ins Internet.
Alles klar?

Ein sehr ähnliches Problem hier: http://www.administrator.de/frage/windows-2003-server%3a-2-netzwerkkart ...
Mitglied: Dani
11.11.2007 um 21:21 Uhr
Abend yasdfgr,
also eine Frage brennt mir vorweg auf der Zunge. Du hast 2 Netze, sowei komm ich mit. Aber warum baust aus Netz B eine VPN-Verbindung zu einem Server auf, der in beiden Netzen hängt. Macht doch keinen Sinn!

Fakt: Ich verstehe nicht so ganz deine Netzwerkinfrastuktur und dein Problem. Lese mal nochmal drüber, dann wirst du verstehen was ich meine. Was ist Netz A und B. Beides das LAN oder aber eines zum Roouter, das andere LAN - etc......
Du kannst gerne auch einen Netzplan hochladen. Jedoch bitte, IP-Adresse und Namen schwärzen!


Grüße
Dani
Bitte warten ..
Mitglied: yasdfgr
11.11.2007 um 21:55 Uhr
Hallo Dani,

erst mal danke, dass du dich mit meinem Problem beschäftigst!

Ich hoffe der hochgeladene Netzplan wird dir helfen... (ist ein weing zu groß, ich weiß )
Dann mein Problem noch mal in Kurzform:

  • beide Netzwerkkarten aktiv
  • VPN-Verbindung zum Server aus LAN B - OK
  • Ping auf Server durch den Tunnel - OK
  • Ping auf das dahinter liegende "sichere" Netz A durch den Tunnel- FEHLER

  • eine Netzwerkkarte aktiv
  • VPN-Verbindung zum Server aus Internet - OK
  • Ping auf Server durch den Tunnel - OK
  • Ping auf das "dazwischen" liegende "sichere" Netz A durch den Tunnel - OK

In beiden Fällen werden keine Routen konfiguriert! Der Remote-Client wird einfach in LAN A integriert..., so als sei er lokal im Netz, aber nur in einem Fall klappt das!

Warum?
Bitte warten ..
Mitglied: Dani
12.11.2007 um 21:13 Uhr
Hallo,
also da muss ich erstmal passen... Ich würde aber das Problem darin suchen, dass du eigentlich im LAN bleibst. Mit welcher IP-Adresse wählst du den Server an. Die von Adapter A oder B??
Dürfte theoretisch nicht ausmachen, aber bei M$ ist das immer so ne Sache.
Ansonsten würde ich mich mal einwählen und schauen, was ein tracert auf einen Client im Netz A pssiert.


Grüße
Dani
Bitte warten ..
Mitglied: yasdfgr
12.11.2007 um 21:37 Uhr
Also den Server kontaktiere ich aus dem Internet logischerweise auf NIC A (Portforwarding von der öffentlichen IP des Routers) - aus dem LAN B entsprechend auf NIC B.

tracert mach ich nochmal, aber diese Standard-Diagnose verwende ich normalerweise immer... und ich bin damit nicht weiter gekommen.

Wie gesagt, das Problem sollte, meinem Verständnis nach, eigentlich nicht mit Routing zusammenhängen.
Wenn der VPN-Client eine IP aus Netz A bekommt, wird ja auch kein Rechner aus Netz A seine Pakete für diesen VPN-Client an ein Gateway leiten, sollte er denn eine Ping-Anfrage oder sonst ein Paket bekommen!
Netz-Adresse und Subnetzmaske sagen ihm ja:
*-> lokales Netz
*-> ist direkt erreichbar, also nimm das adress resolution protocol (ARP) und frag mal welche MAC zu dieser IP passt
*schick' das Paket direkt an diese MAC-Adresse

Folglich muss es im Windows 2003 Server folgenden Mechanismus geben:
*ARP-Paket kommt: "Welche MAC gehört zu <IP des VPN-Client>?"
*Server antwortet stellvertretend für alle IP's der registrierten und eingewählten Clients mit seiner eigenen MAC. (ARP-Proxy)
*Rechner aus Netz A schickt also das Paket an diese MAC
*Server leitet das Paket über den entsprechenden Tunnel an den passenden VPN-Client

Irgendwo auf diesem Weg muss der Fehler liegen... vielleicht "blickt" der Server auch nicht richtig wie er die Pakete verteilen soll?!
Bitte warten ..
Mitglied: yasdfgr
13.11.2007 um 22:56 Uhr
Das Problem ist gelöst!

Ich weiß die Hintergründe noch nicht genau, aber es hat mit der IP-Vergabe des RAS-Dienstes zu tun!

Auffällig ist daran, dass die, bei Verbindungsaufbau erzeugte, PPP-Schnittstelle auf beiden Seiten (also sowohl beim Server, als auch beim Client) die selbe! IP bekommt - in meinem Fall 192.168.0.15.

Bei einer ordentlich funktionierenden Verbindung unterscheidet sich die IP jedoch Server- und Clientseitig - und das muss sie auch!

Im Routing und RAS-Dienst war die Vergabe per DHCP aktiviert und als zu verwendende Schnittstelle NIC A. Folglich sollte der RAS-Dienst bei VPN-Verbindung mindestens zwei IP's vom lokalen DHCP-Server aus Netz A anfordern.
Ich weiß nicht warum mein Server hartnäckig 192.168.0.15 auf beiden Seiten verwendet! Spinnt da der DHCP-Relay??

Nun habe ich jedenfalls einen aus dem DHCP-Server ausgeschlossenen IP-Bereich als statischen Pool im RAS-Dienst angelegt - und siehe da, es funktioniert!!
Ping's auf alle Clients im Netz A, wunderbar - warum nicht gleich so?!

Es hatte also nichts mit den zwei NIC's zu tun.

Aber verstehen muss man das nicht, oder?
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Server mit 2 Netzwerkkarten und 2 Subnetzen
Frage von nippi2201Router & Routing4 Kommentare

Ich habe einen Server mit 2 Netzwerkkarten und jeweils 2 IP-Adressen. Die 2. Netzwerkkarte hängt direkt am Router (Netgear). ...

Windows Server
Windows Server 2008 R2 parallele VPN- und Internetverbindungen mit 2 Netzwerkkarten
gelöst Frage von usercrashWindows Server3 Kommentare

Hallo allerseits, ein Win2008R2-Server arbeitet mit 2 Netzwerkkarten in 2 Netzwerkbereichen, 192.168.1.1 und 192.168.2.1. Der übliche Internet-Zugang erfolgt über ...

Windows Server
Windows Server 2003 DHCP Reservierung - RAS Clients
gelöst Frage von icegetWindows Server2 Kommentare

Hallo liebe Community, habe folgendes Problem: Ich verwende für die Einwahl (VPN) einen Windows Server 2003 wo ich Routing ...

Router & Routing
Ein Server. 2 Netzwerkkarten und 2 Router .Routing Problem
Frage von darksoul666Router & Routing7 Kommentare

Hallo! Dies ist mein erster Beitrag hier und ich hoffe, ich mach nicht alles falsch ;-) Es geht um ...

Neue Wissensbeiträge
Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 1 StundeHumor (lol)2 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 16 StundenMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 17 StundenSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Administrator.de Feedback

Entwicklertagebuch: Die Startseite wurde überarbeitet

Information von admtech vor 19 StundenAdministrator.de Feedback10 Kommentare

Hallo Administrator User, mit dem Release 5.7 haben wir unsere Startseite überarbeitet und die Beiträge und Fragen voneinander getrennt. ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows Netzwerk
Netzwerk Neustrukturierung
Frage von IT-DreamerWindows Netzwerk16 Kommentare

Hallo verehrte Community und Admins, bei uns im Haus steht eine Neustrukturierung an. Dafür benötige ich von euch ein ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Linux
OpenSource Groupware
Frage von FA-jkaLinux13 Kommentare

Hallo, ich suche eine Groupware als Alternative zum Exchange. Wesentliche Aufgaben sind die Handhabung von E-Mails (persönliche und gemeinsam ...