2K3 - 2 NICs - Gateway-Frage

[Spacey]

Hallo!

Folgende Situation:

W2K3 mit 2 NICs:

NIC1: 172.19.0.6 - 255.255.255.0 - Standardgateway 172.19.0.53 - DNS 172.19.0.1 (DC mit div. DNS hinterlegt)
NIC2: 172.21.0.6 - 255.255.255.0 - (Standardgateway 172.21.0.1 - DNS 172.21.0.1)

Über NIC1 läuft der normale Traffic im LAN sowie vom Server ins iNet raus.
Über NIC2 soll ein separater (von NIC1 abgeschirmter) VPN Zugriff von Extern ermöglicht werden. Dafür gibt es eine extra sDSL Leitung sowie einen extra Router / Cisco in dem eigenen Netzwerk.

Problem: Wenn ich am NIC 2 die oben in Klammern genannten Standardgateway-Infos eingebe, klappt alles wunderbar: Ich kann vom 172.21'er Netz auf den Server zugreifen und er antwortet wie gewünscht. ABER es ist wohl nicht Sinn der Sache an einem Rechner 2 Standardgateways zu nutzen. Wenn man das Zweite einrichtet gibt Win zwar eine kurze Warnmeldung, aber er macht es.

Und: Über Nacht (wann und wodurch auch immer) wird das zweite Standardgateway wieder rausgenommen - und man kommt nicht mehr über NIC2 an die Dienste ran. Geschweige denn wenn ich den Server neustarte mit 2 Gateways schickt er auf einmal normalen Traffic über NIC2 raus. Also sind 2 Gateways wohl keine Lösung...

Und nun? Wie kann ich festlegen, das der Traffic für das 172.21'er Netz auf NIC2 rausgeht - oder liegt das Problem wo anders?

Den route.exe Befehl habe ich mir schon mal kurz angetan - aber das ist recht.... verwirrend

Ich bekam von anders den Tip, es mit RRAS zu versuchen. Habe ich auch: Eine statische Route für 172.21.0.0 auf dem NIC2 angelegt - aber es hat nichts gebracht. Vielleicht habe ich's nur falsch gemacht - oder geht's gar nicht?

So ist der Plan:



Sinn und Zweck des zweiten LANs ist es einfach, das ich nicht möchte das vom VPN auf mehr als auf den einzelnen Server zugegriffen wird. Kann man vielleicht auch über die ASA regeln, aber ich weiss nicht wie - und so isses wirklich physikalisch getrennt...

Über ein paar detailliertere Tips wie ich's erreichen kann wäre ich sehr dankbar!

Merci....

[IThome]

Mit 2 Gateways wirst Du nichts werden, da der Server nur entweder das eine oder das andere benutzt. Den RRAS benötigst Du dafür eigentlich auch nicht. Also solltest Du das Default Gateway NUR auf NIC1 auf die 172.19.0.53 setzen, der Gatewayeintrag auf NIC 2 bleibt leer. Wenn sich ein Client via VPN verbindet, dann bekommt er eine IP-Adresse (vom Cisco ?), eventuell benutzt der Client auch einen virtuellen Adapter. Wenn sich diese Adresse im 172.21.0.0/24 Bereich befindet, musst Du routingtechnisch gar nichts machen. Vergibt der Cisco einen anderen Adressbereich, z.B. 172.22.0.0/24, dann kannst Du auf dem Server eine Route dorthin setzen ...
ROUTE ADD 172.22.0.0 MASK 255.255.255.0 172.21.0.1 -P
Ich muss nur dazu sagen, dass ich nicht weiss, was für eine Art VPN zur ASA hergestellt wird und wie es mit den IP-Adressen gehandhabt wird. So wie oben beschrieben würde ich es mit einer Watchguard machen ...

[Spacey]

Also die ASA baut 'nen IPSec VPN auf - die VPN Clients bekommen eine Adresse aus dem 172.21.0.0'er Pool. Aber leider scheint das so nicht zu funktionieren ohne irgend ein Routing am W2K3 Server...

Ich habe zum Testen einen anderen Server (172.22.0.0'er Netz) hergenommen der nur ein NIC & nur ein Gateway hat. Den konnte ich per VPN problemlos dann erreichen... Natürlich habe ich dazu den VPN IP Pool auch in das Netzwerk gelegt... Von daher stimmt am Cisco & Tunnel alles....

[IThome]

Naja, wenn die mit ner 172.21.x.x Adresse ankommen, hat der Server schon eine Route, da er mit diesem Netzwerk direkt verbunden ist. Sind eigentlich im Moment noch beide Gateways eingetragen ? Schau mal in den ARP-Cache des Servers (ARP -A), wenn ein Client mit so einer Adresse zugreifen will. Ist dort ein Eintrag für den zugreifenden Client zu sehen ? Wenn ja, welche MAC-Adresse steht dahinter (die der Schnittstelle 172.21.0.1 des Ciscos ?) ? Benutze mal eine Range, die intern nicht benutzt wird und setze die Route auf dem Server. Was passiert ? Zur Not mal einen Sniffer auf dem Server installieren und nachsehen, ob da überhaupt was ankommt ...

[Spacey]

Hmmm komisch aber es scheint sich gelöst zu haben. Ich verstehe noch nicht so ganz wie weil ich wirklich sehr viele Konfigurationen und Szenarien durch hatte - aber auf einmal geht es. Ein Fehler war, das ich mit dem VPN keinen DNS übergeben darf, dann komme ich als VPN Client lokal nicht mehr ins iNet weil meine lokalen DNS Settings überschrieben werden... Dann habe ich heute die ASA mit einem OS Update und ein ASDM Update verpasst. Seit dem lief das VPN eindeutig besser.

Ich hätte als nächstes den Sniffer eingesetzt um zu schauen ob wirklich was ankommt, wovon ich aber ausgegangen bin da ja mit Gateway es damals lief.

arp -a bringt mir jetzt auf dem Interface auch die richtigen Zugriffe.

Sehr Strange - aber es geht!

Merci!

[IThome]

Also mit nur einem Gateway ?

[Spacey]

Ja genau... mit nur einem Gateway! War ein "wird schon nicht gehen wie zuvor aber einfach mal versuchen" Versuch - und es lief plötzlich.