Jump to content

Falsche IP-Adressen im DNS


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

also wie vielleicht schon im anderen Beitrag zu lesen möchte ich einen Server per IPSEC (aus irgendeinem grund tippt meine hand immer ipsex...... ) ans interne Netz anbinden.

Das Problem was ich jetzt habe ist , dass er sich beim DNS Server mit all seinen IPs die er hat (öffentliche und internen) registriert. Obendrein bekommt er aus dem Pool von IP-Adressen nach jeder neuen Einwahl eine neue IP-Adresse.

 

Das ganze macht es den internen Server natürlich recht schwer den externen Server zu erreichen.

Durch die wechselnden IPs macht eine statische Route auch keinen Sinn...

 

Kann mir jemand sagen wie ich das hinkriegen kann ?

Die Firewall die den IP-Sec Pool zur verfügung stellt lässt hier leider nichts genaueres zu....

 

Danke!

Link zu diesem Kommentar

Hallo Jeb,

 

du möchtest IP-Sec in deinem Netzwerk sprechen!

 

Jedoch werde ich aus deiner Aussage wie oben beschrieben nicht ganz schlau.

Daher frage ich mich ...

1) möchtest du IP-Sec von deinem Server über das Internet mit einem anderen Netzwerk betreiben,

wofür sich meiner Meinung VPN L2TP over IP-Sec anbieten würde.

2) möchtest du im internen Netzwerk zwei Server IP-Sec kommunizieren lassen.

 

MfG Cotugno

Link zu diesem Kommentar

Hallo zusammen

 

@Cotugno: Deine Annahme 1 trifft zu. Der betreffende Thread von dem er sprach ist hier: http://www.mcseboard.de/windows-forum-lan-wan-32/ipsec-windows-2008-a-150044.html

 

Das ganze macht es den internen Server natürlich recht schwer den externen Server zu erreichen.

Durch die wechselnden IPs macht eine statische Route auch keinen Sinn...

 

Kann mir jemand sagen wie ich das hinkriegen kann ?

Die Firewall die den IP-Sec Pool zur verfügung stellt lässt hier leider nichts genaueres zu....

 

Im Prinzip schreit das ganze Szenario nach einer Reservierung im DHCP. Wenn in deinem Fall eine Firewall hier DHCP-Server spielt, wäre zu prüfen ob die mit Reservierungen umgehen kann. Ansonsten solltest du dir eine andere Firewall zulegen. ABER: so ganz versteh ich dein Problem nicht. Aktuelle Serverdienste sollten doch in der Lage sein, per DNS-Namen zu kommunizieren, oder? Welche große Rolle spielt da noch die IP?

 

dass er sich beim DNS Server mit all seinen IPs die er hat (öffentliche und internen) registriert.

Für die interne IP ist der Eintrag im DNS ja völlig korrekt, sonst wird er ja auch nur nicht gefunden. Und für die öffentliche IP (ich tippe mal auf LAN-Verbindung 1 ;) ) sollte es u.U. ausreichen, die Registrierung in den Eigenschaften der NIC abzuschalten.

Link zu diesem Kommentar

Also, so geht das nicht, wenn man Hilfe will :cry:

Fangen wir mal an:

 

Hi,

 

also wie vielleicht schon im anderen Beitrag zu lesen

Und wir sollen alle fleißig raten in welchem Beitrag?!

 

Das ganze macht es den internen Server natürlich recht schwer den externen Server zu erreichen.

Welchen internen Servern?

Ist da noch ein Netz hinter dem externen Server?

Welche Funktionen/Rollen hat der externe Server?

 

Die Firewall die den IP-Sec Pool zur verfügung stellt lässt hier leider nichts genaueres zu....

:confused:

 

 

Eine Route kannst du doch setzen. Du cerbindest dich ja schließlich nicht mit der externen IP des Servers, diese Verbindung dient ja nur dem Tunneln.

Wennd er Server ein dahinter liegendes Netzwerk hat (siehe Frage oben), dann ist das Ziel der Route.

Ansonsten die virtuelle Tunneladresse bzw. das Virtuelle Tunnelnetz als Route.

 

Und ob sich die autom. DNS-Registrierung abschalten lässt, hängt von den Rollen des Servers ab (siehe Fragen oben).

 

 

grizzly999

Link zu diesem Kommentar

Hallo, Das sind viele Fragen auf einmal , aber ich versuche alle zu beantworten:

 

1) möchtest du IP-Sec von deinem Server über das Internet mit einem anderen Netzwerk betreiben,

wofür sich meiner Meinung VPN L2TP over IP-Sec anbieten würde.

2) möchtest du im internen Netzwerk zwei Server IP-Sec kommunizieren lassen.

Lass es mich neu formulieren. Ich hab ein Internes Netztwerk und möchte einen einzelnen externen/internet Server daran anbinden

 

Im Prinzip schreit das ganze Szenario nach einer Reservierung im DHCP. Wenn in deinem Fall eine Firewall hier DHCP-Server spielt, wäre zu prüfen ob die mit Reservierungen umgehen kann. Ansonsten solltest du dir eine andere Firewall zulegen. ABER: so ganz versteh ich dein Problem nicht. Aktuelle Serverdienste sollten doch in der Lage sein, per DNS-Namen zu kommunizieren, oder? Welche große Rolle spielt da noch die IP?
Für die interne IP ist der Eintrag im DNS ja völlig korrekt, sonst wird er ja auch nur nicht gefunden. Und für die öffentliche IP (ich tippe mal auf LAN-Verbindung 1 ) sollte es u.U. ausreichen, die Registrierung in den Eigenschaften der NIC abzuschalten.

Du kommst meinem Problem schon sehr nahe. Leider vergibt die Firewall die IP für den IPSec-Client nicht über den DHCP, der im internen Netzwerk steht, sondern über einen Pool von Adressen. Weitere (typische DHCP-) Angaben (z.b. DNS Server, Gateway etc) lassen sich im L2tp Bereich separat einstellen. Hier ist also auch keine Reservierung o.ä. möglich :-/

 

Die Einstellung in den Eigenschaften der NIC (Adresse im DNS registrieren) kenne ich, und ich hab sie auch schon entsprechend gesetzt. Leider interessiert ihn das herzlich wenig. Der Server registriert sich also nach wie vor mit all seinen Adressen im DNS.

Die Services können - ganz klar - mit dns-namen umgehen. Allerdings wird der Name halt überwiegend nicht mit der "internen"/ipsec ip aufgelöst.

Genau das ist mein Problem....

Statische Routen o.ä. bringen mir nichts, da er nach jeder einwahl in den Tunnel eine andere Ip bekommt...

 

Und ob sich die autom. DNS-Registrierung abschalten lässt, hängt von den Rollen des Servers ab (siehe Fragen oben).

Wovon hängt das ab ?

 

Welchen internen Servern?

Ist da noch ein Netz hinter dem externen Server?

Welche Funktionen/Rollen hat der externe Server?

Im internen Netz stehen mehrere Server, das volle program an dns , active directory, backup , clients....

Der externe Server steht völlig alleine im Rechenzentrum, es ist kein weiteres Netz dahinter.

Zu den Funktionen des externen Servers: IIS, Exchange, ActiveDirectory, DNS

 

 

Also IPSEC hat einen Adresspool. Aus diesem Pool bekommt die einwählende Maschine nach Auth eine IP Adresse.

Ja genauso ist es

In der FW bzw. dem GW ist doch eigentlich definiert internes Netz <-> IPSEC Pool <-> externes Netz oder wie jetzt ?

Was ist die Frage? :)

Link zu diesem Kommentar
Zu den Funktionen des externen Servers: IIS, Exchange, ActiveDirectory, DNS

Dann vergessen wir das mit dem Nicht-Registrieren der externen IP. Ein DNS-Server trägt sich immer mit allen seinen Adressen im DNS ein.

 

Aber: So einen Server, mit AD, DNS usw., hängst du direkt ins Internet? :rolleyes:

Davon würde ich absehen.

 

Zur Routing-Problematik: Wie schon geschrieben, das sollte nicht das Problem sein, solange du nicht - fälschlicherweise - auf die offizielle IP routest.

 

grizzly999

Link zu diesem Kommentar

hallo,

 

also das routing ist eben nicht möglich

eine statische router kann ich nicht eintragen da die ip-Adresse dafür wechselt

 

Der Einwand wieso der Server direkt am Internet hängt ist allerdings berechtigt...

Vor allem kostet die usg200 ja nicht soviel , und all meine probleme wären gelöst....

 

mal schaun , das muss ich mir noch überlegen

Link zu diesem Kommentar
hallo,

 

also das routing ist eben nicht möglich

eine statische router kann ich nicht eintragen da die ip-Adresse dafür wechselt

 

Der Einwand wieso der Server direkt am Internet hängt ist allerdings berechtigt...

Vor allem kostet die usg200 ja nicht soviel , und all meine probleme wären gelöst....

 

mal schaun , das muss ich mir noch überlegen

 

Wieso wechselt die IP denn? Die Route wird nicht auf die externe IP eingerichtet, würde ja eh nichts bringen, wenn dort sinnigerweise ein Filter nur IPSec-Verkehr zulassen würde. Die Route muss auf die Tunnel-IP gehen, und die ist ja weitestgehend vorgegeben :rolleyes:

 

 

grizzly999

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...