Jump to content
Sign in to follow this  
xelafield

Routing so korrekt? Bitte um Meinungen

Recommended Posts

Hallo,

 

ich möchte euch bitten kurz einen Blick auf meine Netztopologie zu werfen, es scheint zwar alles wunderbar zu funktionieren, aber bin mir nicht sicher ob das so korrekt ist (vor allem auch in Bezug auf die Sicherheit).

 

Das hier ----- ||----- soll eine Verbindung darstellen ;-)

 

Anbei eine Skizze um mal die grundsätzliche Topologie aufzuzeigen:

 

Standort 1 [server1.domain.local]:

SBS 2003 Standard SP1

DNS Primär

AD DC

Globaler Katalog

Exchange

Domänen DFS Stamm

DHCP

 

IP: 192.168.123.100

Sub: 255.255.255.0

Gateway: 192.168.123.1

DNS P: 192.168.123.100

DNS S: keiner

 

----- ||-----

Internetverbindung: DSL 2048/192 mit DSL Router (Gateway)

----- | |-----

Site2Site VPN über R-RAS

----- | |-----

Internetverbindung: DSL 2048/192 mit DSL Router (Gateway)

----- | |-----

 

Standort 2 [server2.domain.local]:

Windows 2003 Server SP1

DNS Primär

AD DC

Globaler Katalog

Replizierter DFS Stamm

 

1. NIC server2:

IP: 192.168.0.101

Sub: 255.255.255.0

Gateway: 192.168.0.1

DNS P: 192.168.123.100

DNS S: 192.168.0.101

 

----- | |-----

In diesem Netzsegment sind noch andere Netzgeräte, die zwar nicht kritisch sind aber trotzdem vom internen Netz abgesichert sein sollten. Unter anderem eine WLAN Bridge welche nur mit WEP gesichert werden kann.

----- | |-----

 

2. NIC server2:

IP: 192.168.1.101

Sub: 255.255.255.0

Gateway: 192.168.1.1

DNS P: 192.168.123.100

DNS S: 192.168.1.101

 

----- | |-----

Internes Netz 192.168.1.0

----- | |-----

 

Client IP Konfiguration über DHCP:

IP: 192.168.1.0

Sub: 255.255.255.0

Gateway: 192.168.1.101

DNS P: 192.168.1.101

DNS S: keiner

 

-----------------------------

 

Am standort2 ist noch folgendes konfiguriert:

 

Gateway:

statische Route zu 192.168.123.0 mit Gatway 192.168.0.101

 

Server2:

- Statische Route an schnittstelle VPN mit 192.168.123.0

- NAT an Schnittstelle VPN (ohne Basisfirewall)

- NAT an Schnittstelle NIC1 ohne Basisfirewall)

- Schnittstelle NIC2 „An ein privates Netzwerk angeschlossene private Schnittstelle“

- keine Filter oder sonstige Regeln für NAT/Basisfirewall

 

DNS an beiden Standorten (repliziert):

Forward-Lookupzone [domain.local]

Reverse-Lookupzone

- 192.168.123.x Subnet

- 192.168.0. x Subnet

- 192.168.1. x Subnet

Die jeweiligen Karten sind als Schnittstellen im jeweiligen DNS eingetragen, aber nur die internen.

 

Nslookup von den jeweiligen Servern zu den gegenüberliegenden Servern funktioniert.

Nslookup von den Clients in Subnet 192.168.1.x funktioniert nicht!?

Meldung: Der Server mit der IP Adresse 192.168.0.1 konnte nicht gefunden werden: Non existent Domain. Der Standardserver ist nicht verfügbar.

Zugriff, ping etc. funktioniert. Netzverkehr mit PortQuery Tool getestet und keine Fehler gefunden welche den normalen DC Verkehr verhindern könnten.

 

Active-Directory Standorte:

Standort1:

- Replikation über IP

- Subnetz 192.168.123.x

Standort2:

- Replikation über IP

- Subnetz 192.168.0.x

- Subnetz 192.168.1.x

 

 

Also so wies aussieht funktioniert das alles wunderbar, allerdings möchte ich es gerne richtig machen und wäre für konstruktive Kritik sehr dankbar. Ich bin mir auch nicht sicher in wie weit diese Konfiguration löchrig ist und man diese sicherer machen könnte.

 

Ich hoffe ihr versteht was ich hier skizziert habe. Hoffe ich habe nichts wichtiges vergessen.

 

Grüße, und vielen Dank für euere Hilfe

 

Alex

Share this post


Link to post
Share on other sites

Hallo,

 

hört sich gut an und soweit scheint es ja zu funktionieren. Connections mit VPNs wären halt nicht schlecht. Was du noch machen kannst ist die WLAN Bridge von WEP auf WPA2 oder so hochschrauben. Außerdem, vertraue niemanden auch nicht leuten aus deinem internen netz. Bau dir noch Mauern mit Schießscharten :D

 

greetz

starfoxx

Share this post


Link to post
Share on other sites

Hallo,

 

So weit ich weiß kann man eine WLAN Bridge, die auch im Bridge Modus verwendet wird, nicht für WPA oder höher verschlüsseln. Anscheinend ist diese Verschlüsselungsmethode noch nicht in dem Standard implementiert. Wohl gemerkt ich meine eine WLAN Brücke - nicht einen WLAN Accesspoint. Es soll aber trotzdem einige teuere Geräte geben die das außerhalb des Standards können sollten - diese sind mir allerdings zu teuer.

 

Aus diesem Grund möchte ich eben die internen Netze nochmals absichern falls sich doch jeamand über die WLAN Bridge Zugang verschafft soll der erst mal vor der nächsten Türe stehen.

 

Am Standort 2 möchte ich gerne das interne Netz 192.168.1.0 gegen das 192.168.0.0 absichern - ohne die VPN Verbindung zum Standort 1 zu beeinflussen. Außerdem sollte natürlich auch das VPN Netz zu 192.168.123.0 gegen das 192.168.0.0 gesichert werden. Denke das müsste ja mit den NAT/Basisfirewalls funktionieren?

 

Was meinst du mit Connections mit VPN?

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...