Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zwei Netzwerke verbinden, separater Internetzugang beibehalten

Frage Netzwerke LAN, WAN, Wireless

Mitglied: powermanu

powermanu (Level 1) - Jetzt verbinden

27.09.2007, aktualisiert 25.11.2007, 14184 Aufrufe, 7 Kommentare

Bestehende Netzwerke verbinden

Hallo zusammen...

Ich habe folgendes Problem:

Ausgangslage:

- Bürogemeinschaft mit zwei getrennten Netzerken
- Netzwerk A; 192.168.74.x, Netzwerk B; 192.168.75.x
- Pro Netzwerk ein eigener Domänencontroller, eigene Firewall mit VPN-Verbindungen, eigener Internet-Zugang

Diese Konstellation soll so beibehalten werden!

Nun möchten wir aber vom Netzwerk A auf die Ressourcen von Netzwerk B und umgekehrt zugreifen (eingeschränkter Zugriff) und es sollte möglich sein, vom Netzwerk A aus, die VPN-Verbindungen von Netzwerk B zu verwenden.


Fragen:

a) Ist das technisch überhaupt möglich?
b) Mit was müsste man diese Netzwerke verbinden? (Bridge, Router, Switch? Hab da den Überblick etwas verloren...)

Schnon jetzt besten Dank für eure Hilfe...

manu
Mitglied: aqui
27.09.2007 um 09:03 Uhr
Das Einfachste ist du steckst in einen der Domain Controller, der ja sicher ein Server ist, eine 2te Netzwerkkkarte hinein.
Dein Szenario sieht dann so aus:

e954a8e73baec48f58ef5a879225a5a0-2server2 - Klicke auf das Bild, um es zu vergrößern

Dann trägst du 2 statische Routen in den DSL Routern nach und das sollte es gewesen sein!
Ein wenig technischen Background kannst du in diesem Tutorial lesen:

http://www.administrator.de/Routing_mit_2_Netzwerkkarten_unter_Windows_ ...

Die andere Alternative ist dann ein Layer 3 (Routing) fähiger Switch der dann das Routing direkt macht ohne den Server mit 2 Karten. Erfordert zwar eine Neuinvestition in die Switchhardware (wahrscheinlich, es sei denn du hast schon L3 Switches..?) hat aber den Vorteil das das Netzwerk dann das Routing zwischen beiden netzen macht und nicht mehr der Server.
Dafür ist die Serverlösung schnell zu realisieren und reicht im Allgemeinen wenn nicht zuviel netzübergreifender Traffic da ist.
Bitte warten ..
Mitglied: powermanu
27.09.2007 um 09:39 Uhr
danke erst mal für die schnelle antwort, das nenn ich "service"!

ich werde die anleitung genau studieren, ev. tauchen dann noch fragen auf, die du mir hoffentlich auch beantworten kannst...

eine hätte ich bereits:
es ist die rede von statischen routen auf dem dsl-router. in unseren netzwerken läuft der dsl-router im bridge-modus, die öffentliche IP wird also direkt an die firewall weitergeleitet (zywall 70). sehe ich das richtig dass ich dann die statische route auf den firewalls eintragen muss?

dann nochmals zur absicherung:
die von dir aufgezeigte lösung erlaubt, dass ich von lan 1 auf ressourcen von lan 2 zugreifen kann UND von lan 1 über die vpn-verbindungen von lan 2 verfügen kann?
das wäre extrem wichtig...
Bitte warten ..
Mitglied: aqui
28.09.2007 um 17:35 Uhr
Zu 1.)
Ja, das ist richtig. Die Firewall ist ja dann dein eigentlicher Router und dann gehört die statische Route natürlich hier hin. (Ein dummes DSL Modem kann nicht mehr routen...!)

zu 2.)
Ja, das ist uneingeschränkt möglich !
Es ist allerdings nicht trivial ob der Router-2 ein VPN Server oder Client ist ! Du hast 2 Möglichkeiten:
  • a.) Bei einem VPN Server musst du nichts machen, denn da ist das IP Netz von LAN-2 ja auch gleichzeitig das IP Netz vom VPN für alle VPN Clients und der Router das gateway, kennt dann also auch den Weg ins LAN-1.
  • b.) Ist der Router-2 allerdings ein VPN Client, wählt sich also in einen anderen VPN Server, bekommt er von diesem natürlich dann ein neues IP Netz zugewiesen.
Das allerdings würden die Clients von LAN-1 nicht kennen wenn zu diesem die statische Route auf Router-1 fehlt.
In diesem Falle musst du also diese Netz noch zusätzlich mit einer statischen Route in Router-1 konfigurieren, der dann 2 Routen hätte. Als next Hop gilt dann wieder die Server NIC-1.
Dummerweise hat der Server aber nun kein Gateway so das du hier auf dem Server für das VPN ebenfalls eine statische Route eintragen musst auf den Router-2.
Beispiel: VPN im Clientmodus an Router-2 bekommt die 192.168.76.0/24 bei der Einwahl
Statische Route an Router 1:
Zielnetz: 192.168.76.0, Maske 255.255.255.0, Gateway: 192.168.74.x (NIC-1, Server)
Statische Route am Server:
route add -p 192.168.76.0 mask 255.255.255.0 192.168.75.x (Router-2IP)

Wie bereits gesagt: Möglichkeit 2b ist ausschliesslich nur dann gefordert, wenn der Router-2 für sein VPN im Client Modus arbeitet sonst nicht !!!
Bitte warten ..
Mitglied: powermanu
14.11.2007 um 16:31 Uhr
hallo

ich konnte das mittlerweile auspribieren, leider funktionierts noch nicht:

Situation:
- Zwei Netzwerke, 192.168.74.0 und 192.168.10.0
- Die Beiden Netzwerke sind über eine zweite Netzwerkkarte im PDC und Statischen Routen auf den Firewalls verbunden.

Soweit klappt alles.

Nun möchte ich aus dem Netz 192.168.10.0 per VPN auf den Kunden-Server 192.168.101.8 zugreiffen.

Gemacht hab ich folgendes:
- Zusätzliche statische Route auf der Firewall des Netzwerkes 192.168.10.0

Destination IP Adress: 192.168.101.8
IP Subnet Mask: 255.255.255.255
Gateway: 192.168.10.5

- auf dem Server (192.168.10.5) habe ich folgende statische Route erfasst:
route add -p 192.168.101.8 mask 255.255.255.255 192.168.74.100 (IP der Firewall im Netzwerk 192.168.74.0)

Versuche ich nun per RDP auf den gewünschten PC zuzugreifen, funktioniert das nicht.

Mittels tracert habe ich die route verfolgt:

1 <1 ms <1ms <1ms 192.168.74.100
2 * 8ms 8ms zh1-lns02-lo1.noc.green.ch [80.254.161.231]
3 * * 9ms zh2-cor01-vlan200.noc.green.ch [80.254.161.59]
4 * * * Zeitüberschreitung der Anforderung

Für mich sieht das so aus, also würde die weiterleitung an die Firwall im anderen Netz funktionieren, allerdings nicht merken, dass ein VPN-Tunnel aufgebaut werden muss.

Irgendjemand eine idee wieso das nicht funktioniert?

Danke und gruss
Bitte warten ..
Mitglied: aqui
16.11.2007 um 15:48 Uhr
Deine Angabe ist nun wieder verwirrend und hat mit der obigen Ausgangslage nichts mehr zu tun
Dort war das Netz B noch .75.0 nun aber hast du mit einmal ein neues Netz mit .10.0.
Das macht die Hilfestellung für dich nicht gerade sehr einfach, da es viele Unbekannte gibt
Tun wir mal so als ob dein 10er Netz das ursprüngliche .75er ist, dann müsste dein Szenario nun eigentlich so aussehen:

50235c7ad778fac7dd2d1bfab2bf12af-2server2a - Klicke auf das Bild, um es zu vergrößern

Richtig ??? (Schon schlimm genug das wir hier die Zeichnung für DICH machen müssen bzw. dein Design raten müssen...)
Ob der Kundenserver direkt mit einem VPN oder auch über einen Router mit der Zywall-A verbunden ist ist eine weitere Unbekannte....
OK, deine Route auf dem
Verbindungs-Serve r der beide Netze verbindet ist unsinnig, denn du willst ja die Zywall aus dem Netz der Gemeinschaft A für dein VPN zum Kundenserver nutzen ?!! Der Verbindungsserve r hat aber schon ein default Gateway auf den Router bzw. die Zywall-A und das reicht ! Eine zusätzliche Route ist da überflüssig !

Wichtig ist das die Zywall/Router in Netz B eine statische Route auf den Kundenhost bekommt, denn der Client in Netzwerk B mit dem du via Netz A und VPN auf den Kundenserver willst hat diese ja als default Gateway eingetragen !!!
Diese Firewall oder Router bekommt nun ausser der statischen Route für das .74er Netz nun noch zusätzlich eine Hostroute für den Kundenserver via des gleichen Gateways wie Netz .74 also der NIC 2 vom
Verbindungsserve r.
Damit
finden// Packete aus dem VPN via Zywall-A nun auch wieder den Weg zurück zum Client in Netz B bzw. umgekehrt auch.
Du hast also ein hausgemachtes Routingproblem mit deinen falschen statischen Routen.
Für weitere Steps solltest du nicht versäumen dein Design nun anhand der Bilder hier mal genau zu beschreiben !!!
Bitte warten ..
Mitglied: powermanu
21.11.2007 um 14:44 Uhr
In welchen Ranges die beiden Netze nun liegen ist ja eigentlich egal. Es gibt nun ein 74.0-er Netz und ein 10.0-er Netz.
wieso meine Route auf dem Server unsinnig ist, verstehe ich nicht. Die Idee stammt doch von dir...

Zitat: "Dummerweise hat der Server aber nun kein Gateway so das du hier auf dem Server für das VPN ebenfalls eine statische Route eintragen musst auf den Router-2."

Vielleicht "schreiben" wir aber auch aneinander vorbei. Hier nochmals mein Problem:

Ich will von einem Client aus dem Netz A über die Zywall 70 im Netz B per VPN auf den Kundenserver 192.168.101.8 zugreiffen.
Ausserdem soll es möglich sein, vom Netz A auf die Daten in Netz B und umgekehrt zuzugreifen.

Der Zugriff auf die Daten funktioniert einwandfrei. Dazu habe ich statische Routen auf beiden Zywalls eingerichtet und auf dem Server PSMPDC den Dienst "Routing und RAS aktivieren" aktiviert.

Was nicht funktioniert, ist der Zugriff auf den Kundenserver von einem Client der Gruppe A aus.
Dazu habe ich eine zusätzliche statische Route auf der Firewall des Netzes A definiert:

Destination IP Adress: 192.168.101.8
IP Subnet Mask: 255.255.255.255
Gateway: 192.168.10.5

Da der PSMPDC (als Gateway angegeben) ja aber den Kundenserver 192.168.101.8 nicht kennt habe ich dann auf dem PSMPDC eine statische Route zur Zywall in Netz B eingerichtet von wo aus dann der VPN-Tunnel aufgebaut werden sollte.

route add -p 192.168.101.8 mask 255.255.255.255 192.168.74.100 (IP der Firewall im Netzwerk 192.168.74.0)

Das ganze sieht bildlich dargestellt dann etwa so aus, meine Frage: wieso funktioniert das nicht?

6cda4b87fc2659edb53f95b5667a7142-psipsmtunnel - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
25.11.2007 um 14:33 Uhr
Ok, da haben wir wohl wirklich etwas aneinander vorbeigeschrieben, wohl weil du mal on the fly die IPs verändert hast...egal.
Alles was du jetzt konfiguriert hast ist auf alle Fälle korrekt ! So müsste es problemlos laufen.

Das geschilderte Problem liegt nun aber vermutlich am Kundenserver. Der VPN Client des Kundenserver forwardet nur was in den VPN Tunnel wenn es mit einer Quell IP Adresse aus diesem VPN Tunnel selber kommt. Das machen so gut wie alle VPN Clients so...
Dort kommt aber nun ein Packet mit der Quell IP aus dem 192.168.10er Netz (Bereich A) und nicht dem 192.168.101er Netz.
Der VPN Client kennt dieses Netz nicht und forwardet diesen Traffic auf sein lokales default Gateway direkt ins Internet und damit dann ins Datennirwana, da diese Adresse eine RFC 1918 Adresse ist.
Du musst also nur dem Kundenserver beibringen, das er doch bitte auch Packete mit der Quell IP 192.1.68.10.x in den VPN Tunnel schicken soll !

Eine statische Route auf dem Kundenserver ala:

route add -p 192.168.10.0 mask 255.255.255.0 <VPN Interface>

sollte dein Problem elegant lösen
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(2)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
LAN, WAN, Wireless
Zwei private Netzwerke (LAN und WLAN) mit SXT Lite5 verbinden (9)

Frage von MWelslau zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst Zwei Netzwerke in einem Haus verbinden, Hardwarevorschlag (10)

Frage von KotyrbaSe zum Thema Router & Routing ...

LAN, WAN, Wireless
Zwei Netzwerke per Richtfunk verbinden (49)

Frage von jimb0p zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (10)

Frage von 1410640014 zum Thema Backup ...