VPN-Vernetzung zweier Netzwerke

[Volker Racho 10]

Hallo!

 

Wir möchten hier zwei LAN-Netze (Hauptstelle: 192.168.0.*, Aussenstelle: 192.168.3.*) via VPN (IPsec) verbinden. Dazu hat uns die T-Systems zwei LANcom-Router (17011) zur Verfügung gestellt, die per S-DSL 2 Mbit miteinander verbunden sind und öffnetliche, feste und auch interne netzabhängige IPs haben. Die Router werden von T-Systems verwaltet.

 

Hinter jedem Netzwerk steckt ein Windows 2K3-Server (einam 32bit R2, einmal 64bit R2), der seinen IP-Bereich verwaltet.

 

Jetzt habe ich am Standort des zweiten Routers (Aussenstelle, 192.168.3.3) einen Client aufgestellt (192.168.3.66), der sich aber über die VPN-Leitung und -Router am Server Standort der Hauptstelle (192.168.0.3) anmelden soll, bzw. möchte ich ihn erst einmal in die dortige Domäne einbinden. Das gelingt schon nicht. Auch Netzlaufwerke o.ä. sind nicht zu "sehen" oder anzupingen. Die externen IPs sind pingbar, die Router im jeweiligen Netzbereich ebenfalls.

 

Was aber gelingt ist der Internetzugang über die Haupstelle, wenn ich dem Client (192.168.3.66) in der Aussenstelle die IP des lokalen VPN-Routers (192.168.3.1) eintrage.

 

Jetzt ist für mich die Frage, ob ich auf den Servern noch etwas konfigurieren muß (Routuing & RAS?) oder ob ein Routingpfad in den Router von Seiten T-Systems nachgepflegt werden muß, damit ...

 

a) alle Clients aus dem Bereich 192.168.3.* an dem Server 192.168.0.3 angemeldet werden können,

b) sich beide Seiten in der Netzwerkumgebung "sehen" können.

c) auch der Lokale Server in der Aussenstelle mit dem Server in der Haupstelle kommunizieren kann, denn der Server der Hauptstelle ist der erste DC der Domäne; der in der Aussenstelle soll ein weiterer DC der gleichen Domäne werden, was er aber wohl nur werden kann, wenn der Server der Hauptstelle für ihn erreichbar ist. Dies ist aber nicht der Fall, wie man schon am Client sieht.

 

Ich hoffe, es ist realativ klar, was ich meine.

Kann mir jemand wieter helfen?

 

 

Gruß & Dank,

MD

[Tobikom 10]

Hallo,

 

sind die beiden Lancom Router deine einzigen Router oder hast du im Hauptstandort noch weitere Router. Wird der Internetzugang auch über den Lancom geregelt ?

Ist das Standart-Gateway der Clients der Lancom Router?

 

Ggf. müsste noch eine entsprechende Router zum aussenstellen Netz eingerichtet werde.

 

eine Skizze des Netzes würde helfen.

 

Grüße

 

Tobias

[Volker Racho 10]

Hallo!

 

Die beiden LANcoms sind die Router die die S-DSL-Verbindung managen. Es gibt noch einen Internetzugang und zwei weitere VPN-Leitungen über separate Router zum FiBu und Perso-Anbieter in der Haupstelle.

 

Es klappt auch nicht wenn ich den Standard-Gateway els Default-Gateway für den Router eintrage.

 

Skizze, na klar, habe ich mal als Link angefügt, da man auf 480 x 480 px Skizzen hier rein gar nix sieht. Könnte man das vielleicht mal ändern, leibe Admins?

 

http://www.strickwerk-productions.com/upload/skizze.jpg

 

 

Gruß,

MD

[Tobikom 10]

Hallo,

 

so ich gehe mal davon aus, dass der Internetrouter (192.168.0.221) euer Standardgateway in diesem Netz ist, oder? Falls es so ist müsstest du diesem Router den Weg zum Netz 192.168.3.0 zeigen. Also eine Route festlegen. Da deine Clients ja alle anfragen die nicht im eigenen Netz liegen an das Standardgateway senden, muss dieses den Weg zum Ziel kennen (oder zumindestens die Richtung :-).

 

Grüße

 

Tobias

[Volker Racho 10]

Hallo Hercules!

 

Danke für Deine Antwort!

Okay, das leuchtet ein. Die Frage ist, wie das geht. Wir haben einen SMC 7008ABR, wobei ich nicht recht weiß, ob der diese Option anbietet.

 

Gefunden habe ich den Punkt NAT/Adressmapping in dem ich die globale IP (217....) eintragen kann und wohin sie lokal umgesetzt (192.168.0.[], Global IP:[] [] [] [] is transformed as multiple virtual IPs from 192.168.0.[] to 192.168.0.[] ) werden soll. Das habe ich ausprobiert, wobei dann jedoch kein Internet mehr zur Verfügung stand.

 

Frage ist also, wie geht es bei diesem Gerät oder welches Gerät brauche ich, damit es geht?

 

 

Danke für Hilfe!

MD

[Tobikom 10]

Hallo,

 

die Anleitung von dem SMC Router gibt leider nicht viel her. Du müsstest ducken ob du im Router irgendwo statische routen eingeben kannst. Für einen Test würde evtl erstmal reichen wenn du an einem REchner mal die Route lokal eingibst.

 

Mit

route add 192.168.3.0 MASK 255.255.255.0 192.168.0.225

kannst du einem Rechner den "richtigen Weg" zeigen.

 

Mit dem Lancom 1711 habt ihr schon nen mächtigen Router. Ich würde die SMC Büchse rausschmeißen und alles mit dem Lancom machen. Der ist Multiwan fähig und kann auch gezielt den Verkehr auf die richtigen Leitungen legen.

 

Grüße

 

Tobias

[Volker Racho 10]

Hallo Tobias!

 

Danke erstmal für Deine Hilfe!

 

In dem SMC kann ich keine Routen hnterlegen.

 

Prinzipiell hast Du mit dem LANcom-Router Recht. Allerdings gehört dieser T-Systems und wir haben keinerlei Zugriff darauf, geschweige denn können wir ihn konfigurieren. Für jede Änderungen usw. müssen wir anrufen, dann dauert es bis es geändert wurde usw.

 

Über den Internetzugang würde ich somit gerne die Kontrolle behalten. Das würde aber heißen, wenn wir selber so ein Ding kaufen, dann müßten wir das doch bewerkstelligen können, oder? Weißt Du dazu zufällig die Einstellung für das Hinzufügen einer Route in dem Ding? Ich werde mich aber auch mal bei T-Systems erkundigen.

 

Wahlweise, kennst Du einen (evtl. günstigeen) Router der das auf jeden Fall kann und den Du empfehlen kannst?

 

 

Gruß,

MD

[Volker Racho 10]

Okay, wir haben jetzt den 1711 LANCOM VPN im Einsatz (der auch Faxen kann). Dort habe ich die Route eingetragen und es klappt seitdem primast. Das tracert zeigt die kurze, richtige Route auf.

 

Allerdings:

 

a) Eine richtige Sichtbarkeit in der Netzwerkumgebung als Computer oder Netzwerkfreigabe ist nicht zu finden, d.h. jede Freigabe muss namentlich angesprochen werden, z.B. \\192.168.3.111\SharedDocs anstatt den Rechner 'IP-111' über die Netzwerkumgebung, wo der Rechner jedoch nicht auftaucht.

Das Problem dürfte doch eine fehlende Einstellung "NETBIOS über IP" auf der VPN-Verbindung in den beiden Routern sein, oder? Dafür spricht auch, dass die Domäneneinbindung der Rechner nur per aufgelöstem Namen (intranet.firma.de) anstatt mit dem NETBIOS-Namen (Intranet) funktioniert.

 

b) Die Übertragungsrate. Ich erwarte keine vollen 2 MBit/s (synchron), aber so in dem Bereich 1,2 - 1,4 MBit/s (wegen des IPSec-Overheads) müsste doch Transfer auf der Leitung drin sein, denke ich. Gemessen haben wir aber mehrfach für eine 20 MB große Datei (*.zip) nur 128 kb/s - 250 kb/s. Bei diesen Übertragungsraten sehe ich die Leitung schon zusammenklappen. Oder?

 

 

Wer kann helfen und Tipps geben?

Mit besten Grüßen,

MD

[IThome 10]

a) Ist das denn eine AD-Domäne, mit 2 Standorten oder sind die Standorte logisch getrennt (2 Domänen, 2 Arbeitsgruppen, 1 Domäne und 1 Arbeitsgruppe) ? Subnetzübergreifendes Browsing (Netzwerkumgebung) wird in Domänen unterstützt und es sollte WINS eingesetzt werden. Allerdings sind auch ohne WINS die Rechner via Namen ansprechbar, wenn DNS richtig konfiguriert ist.

b) Wie ist das gemessen worden ? Welche Art Daten sind bei der Messung übertragen worden ?

[Volker Racho 10]

Hallo IT-Home!

 

a) Der Aufbau ist immer noch so wie in dieser Skizze http://www.strickwerk-productions.com/upload/skizze.jpg. Es ist eine einzige Domäne, verteilt auf zwei Standorte, Hauptslelle (*.0.*) und Nebenstelle (*.3.*). Momentan ist der einizige Rechner in der Nebenstelle ein WinXP-Rechner mit SP2 (IP-111) mit der IP 192.168.3.111. Dieser Rechner konnte über die VPN-Strecke in AD und DNS unseres Servers in der Hauptstelle eingebunden werden, jedoch nur über den FQDN (intranet.domäne.de) der Domäne, nicht über ihren NetBIOS-Namen (INTRANET).

 

Letztlich bekommt die Domäne vor Ort in der Nebenstelle einen eigenen DNS-Server, damit der Anmeldeverkehr lokal geregelt wird und nicht mit Traffic auf die VPN-Leitung schlägt. Aber erstmal möchte ich eigentlich sehen, ob das generell funktioniert.

 

WINS ist nicht eingerichtet. Habe ich aber jetzt mal gemacht, soweit. Aber ich muß das ja vor Ort auch in den Client eintragen, wenn dieser keine per DHCP zugewiesenen Daten beziht, oder?

 

DNS ist richtig konfiguriert und läuft fehlerfrei. Auch der Client wird als Zeigereintrag in der Reverse- und Forward-Lookup-Zone aufgelistet und ist auch in der AD gelistet. Nur in der Netzwerkumgebung für die Domäne ist er nicht zu finden.

 

 

b) Die Daten haben wir selber nach Feierabend ermittelt, als alle Clients runtergefahren waren. Wir haben dann 20 MB große gezippte Programme rübergeschoben und uns die mittlere Geschwindingkeit anzeigen lassen. Pinglaufzeit ca. 45 ms, TTL=60.

 

 

Beste Grüße,

MD

 

P.S.: Kann man eigentlich den Ausdruck "Standardname-des-ersten-Standorts" gefahrlos ändern in z.B. "Haupstelle"?

[Volker Racho 10]

So, liebe Freunde, ich habe es nun hinbekommen.

 

DCDIAG hat mir den Weg gewiesen. Zwar funktionierte die Namensauflösung auf Server wie Clients problemlos, es gab keine DNS-Fehler oder Anmeldeprobleme, jedoch gab DCDIAG aus, er könne sich nicht mit dem DC der Haupstelle = 08154711-5555-SID_msdcs.hauptstellenserver.intranet.firma.de verbinden. Also habe ich kurzerhand im entsprechenden Zweig des DNS eine solchen Eintrag (Typ: Alias (CNAME) ) mit Verweis auf den Haupstellenserver erstellt und schlagartig waren auf beiden VPN-Netzseiten alle PCs zu sehen und ansprechbar.

 

Die Übertragungsraten habe ich noch nicht klären können, aber ich denke mal, dass ich das selbst mit der T-Com verpackt kriege.

 

 

Gruß,

MD