Ras und Routing - Interne Schnittstelle

[genab.de 10]

Ich hab hier Ras und Routing im Einsatz auf W2K3

 

eine Interne Netzwerkschnittstelle schnit1

 

eine Externe Netzwerkschnitstelle schnit2

 

eine Loopback Schnitstelle

 

eine Remoterouter Schnittstelle

 

sowie eine unbekannte 2. Intene Schnittstelle - (die heißt Intern und hat eine IP Adresse, die ich eigentlich meinen VPN Clients geben wollte??) wo kommt die her, und was macht die?

 

 

 

 

Ich hab hier NAT aktiviert, sowie 2 Standorte über die Remoterouter Schittstelle verbunden, die nur bei Bedarf wählen

 

 

über Aufklärung bin ich sehr dankbar - hab schon im Grünen MS Buch 70-291 sowie im Adison Wesley Buch gerade nachgeschaut, darüber steht hier nichts drin?

 

 

an Moderator: Gehöhrt eigentlich in Backoffice - Sorry

[zuschauer 10]

an Moderator: Gehört eigentlich in Backoffice - Sorry

Ist ok, ich schieb´s rüber.

[XP-Fan 216]

Hallo,

 

hast du dir mal die Howto von MS angesehen ?

http://technet2.microsoft.com/windowsserver/en/technologies/vpn.mspx

[IThome 10]

Schau mal hier

http://support.microsoft.com/kb/241398/en-us

[genab.de 10]

welche IP sollte man der geben?

 

eine vom Internen Netz

 

eine vom Externen Netz

 

oder eine ganz andere?

 

 

ich kan das ja beeiunflussen, wenn ich im Ras und Routing dienst statt DHCP feste IP Adressen zuordne

[IThome 10]

Wenn der RRAS gleichzeitig DNS und WINS ist, solltest Du eine statische IP-Range ausserhalb des internen Bereichs wählen. Die erste Adresse dieses Pools wird der PPP-Schnittstelle des Servers zugewiesen. Eigentlich konfigurierst Du auf dieser Schnittstelle explizit gar keine Adresse ...

[genab.de 10]

So, hab nu Fast 3 tage rumgemacht - und ich schaffe es nicht meine 2 standorte sauber per VPN anzubinden :mad:

 

 

 

Mein Szenario:

 

 

Hauptstandort:

 

Internes Netz mit 192.168.16.x

DMZ Netz mit 192.168.18.X

 

Ein Windows Server dienst hier als Ras und Routing der zwischen Internen Netz und DMZ Routet. In der DMS steht dann auch der Router, der ins internet Routet (mit einer 192.168.18.er IP Adresse

 

 

Nun habe ich leider das Problem das der Router der die DMZ mit dem Internet Verbindet keine möglichkeit bietet Routen einzutragen, damit der Router weiß wo es ins 192.168.16.X Netz get.

 

Ich habe mir bisher damit geholfen, das ich meinen Windows Server mit einer Nat Schnittstelle konfiguriert habe - so besitzen alle IP Pakete die mein Internes Netz verlassen eine 192.168.18.X Adresse als Absender und mein Siemensrouter kann Antwortpakete an meinen Windows Server zurück schicken.

 

 

 

Soweit alles gut:

 

 

Nun kommt eine Aussenstele hinzu - diese will ich mir einer VPN (Remouerouterkonfiguration, die nur bei Bedarf raus wählt) anbinden.

 

 

 

Nun kann sich meine beiden Standorte sauber verbinden.

 

Meine Aussenstelle kann auch in die Hauptniederlassung rein Pingen

 

aber ich kann nicht von der Hauptstelle in die Aussenstelle pingen

 

Tracert bricht am meinem Internen Windows Router ab?

 

Ich vermute es liegt an der NAT Schnittstelle?

 

mach ich da was grundsätliches falsch?

[IThome 10]

Welchen Routen sind in der Hauptstelle im RRAS unter Statische Routen eingetragen und wie ist die Konfiguration dieser Routen ?

[genab.de 10]

Hauptstelle:

 

 

und zwar leite ich: (In der Haupstelle)

Folgende Route ist eingerichtet am RRAS Router:

192.168.15.X auf die Remoteschnittstelle die einen VPN in meine Aussenstelle aufbaut. Der Server in meiner Aussenstelle hat an der Externen Schnittstelle die 192.168.15.1

 

Meine IP Konfiguration: (Hauptstelle)

 

Mein Router zum Internet hat die Interne IP IP 192.168.18.10 -

dieser leitet ankommende VPN Anfragen vom Internet zu meinem RRAS Router an die Externe Netzwerschnittstelle (192.168.18.1)

 

an meinem Internetrouter habe ich keine möglichkeit eine statische Route für das 192.168.16.x er Netzwerk (das ist mein Internes Netzwerk in der Hauptniederlassung) anzugeben, deshalb hate ich am RRAS Router eine Nat Schnittstelle errichtet, (an der Externen Schnittstelle) damit alle verlassende Packete die aus dem 192.168.16.x er Netz kommen, als Absender eine 192.168.18.er Adresse benutzen. Ausserdem sichere ich mein Internes Netzwerk so von der DMZ ab.

 

Nur so können meine Internen Clients die im 192.168.16.xer ins Internet

 

Firewall habe ich an der Nat Schnittstelle des RRAS Routers derzeit abgeschalten

 

 

 

 

IP Konfiguration Aussenstelle:

 

Folgende Route ist eingerichtet am RRAS Router:

192.168.16.X auf die Remoteschnittstelle die einen VPN in meine Hauptstelle aufbaut.

zusätzlich habe ich auch noch

192.168.18.x auf die Remoteschnittstelle die einen VPN in meine Hauptstelle aufbaut. eingerichtet

 

 

 

Mein RRAS Router in der Aussenstelle:

 

Externes Netz: 192.168.15.1

 

Internes Netz 192.168.14.1 (wird derzeit noch nicht genutz, da erst mal der Server laufen muss

 

 

 

Nun das komische Problem:

 

 

VPN wird von beiden Seite ohne Probleme aufgebaut

 

die RRAS Rechner können sich beide direkt Pingen

 

ich kann vom RRAS Server in meiner Aussenstelle in meine Hauptniederlassung Pingen (ins gesamte Netzwerk) sowohl ins 192.168.16.x Netzwerk, als auch in das 192.168.16.x Netzwerk (aber erst seit dem ich an der Internen Schnittstelle im RRAS Router an der NAT Schnittstelle die Firewallfunktion deaktiviert habe)

 

 

ich kann aber nicht vom RRAS Server in meiner Hauptstelle in das Netz der Aussenstelle pingen, (das 192.168.15.x) ich kann nur den RRAS Server der Aussenstelle errichen

 

Ein Client in meiner Hauzptniederlassung kann gar nicht in die Aussenstelle pingen

 

 

 

so ich denke, das ist nu schon Recht unübersichtlich, aber bevor ich nochmehr Details schreibe warte ich mal - ich hab da bestimmt ein ganz falsches Konzept in meiner Denkweise und komm nicht drauf.

 

sollten noch Fragen sein, einfach Posten, ich werde dann so genau wie möglich Informationen nachreichen.

 

Ich vermute, das es an der Nat Schnittstelle liegt.

 

 

So das ist nu ein schönes Vatertagsrätzel....

 

 

PS: Hacker - brauchts gar nichts probieren, die Konfiguration ist in Wirklichkeit in einem anderen Bereich. Aber logisch so aufgebaut. :D

[IThome 10]

Sollte die Route in der Hauptstelle nicht in das 192.168.14.0 Netz leiten, denn da sollen die Pakete ja hin oder (in das interne Netzwerk, wo nachher die Clients/Server stehen)?

edit: Wieso eigentlich das 15er Netz in der Nebenstelle ? Was steht denn da ? Und welche Adressen bekommen die PPP-Schnittstellen der beiden RRAS ? Ich glaub, ich bau das mal nach, dann versteh ich das besser ...

[IThome 10]

Ich hab mal ein bisschen gebastelt und mir mit Hilfe von Virtual Server eine Umgebung gebaut, die so ähnlich wie Deine ist. Die Umgebung besteht aus 4 Routern (2003 RRAS), 2 Clients und 5 virtuellen Netzwerken. 2 dieser Netzwerke stellen die lokalen Netzwerke dar, 2 davon die Transfernetze und 1 das Internet.

 

LOKAL1 (Zweigstelle) = 192.168.14.0/24

V1 (Transfernetz 1) = 192.168.15.0/24

Internet = 192.168.100.0/24

V2 (Transfernetz 2) = 192.168.18.0/24

LOKAL2 (Hauptstelle) = 192.168.16.0/24

Dazu kommen noch die statisch konfigurierten PPP-Schnittstellen der "Wählen bei Bedarf" Schnittstellen

Zweigstelle = 192.168.5.1

Hauptstelle = 192.168.5.2

 

Die Geräte sind alles 2003-Server, die alle als RRAS konfiguriert sind, NAT durchführen und alle die Basisfirewall auf den jeweils externen Schnittstellen aktiviert haben. Die beiden Router, die die Zugangsrouter zum Internet darstellen, leiten die relevanten VPN-Ports nach innen zu den jeweiligen externen Schnittstellen der Router, die die VPN-Endpunkte darstellen.

 

RRAS1 (Zweigstelle) : intern - 192.168.14.1/kein Gateway , extern - 192.168.15.1/Gateway:192.168.15.2 NAT/Basisfirewall/VPN

Statische Routen jeweils über die "Wählen bei Bedarf" Schnittstelle nach 192.168.18.0/ und 192.168.16.0/24

 

Gate1 (Zugangsrouter Zweigstelle) : intern - 192.168.15.2/kein Gateway , extern - 192.168.100.1/Gateway:192.168.100.2 NAT/Basisfirewall

 

Gate2 (Zugangsrouter Hauptstelle) : extern - 192.168.100.2/Gateway:192.168.100.1 , intern 192.168.18.2/kein Gateway NAT/Basisfirewall

 

RRAS2 (Hauptstelle) : extern - 192.168.18.1/Gateway:192.168.18.2 , intern - 192.168.16.1/kein Gateway NAT/Basisfirewall/VPN

Statische Routen jeweils über die "Wählen bei Bedarf" Schnittstelle nach 192.168.15.0/24 und 192.168.14.0/24

 

Mit dieser Konfiguration kann ich von beiden Seiten jedes Netz auf der gegenüberliegenden Seite erreichen, auch wenn die Basisfirewall auf den VPN-Servern aktiviert ist. Mir ist schon klar, dass eine virtuelle Umgebung etwas anderes ist, grundsätzlich kann man aber sagen, dass es möglich ist, was Du vorhast ...

[genab.de 10]

Hallo IThome

 

vielen Dank für deine mühe.

 

zwecks dem 1. Post: erst mal sollte es in das 15er Netz in die Aussenstelle gehen. Erst wenn das Läuft, und da dann 2 Server stehen, kommen erst Clients in das 14er Netz, deswegen ist da auch noch keine Route.

 

 

bei deinem 2. Post hast du eigentlich alles so gebaut wie ich beschrieben habe:

 

Hätte da gleich ne Frage:

 

Du hast geschrieben

 

Dazu kommen noch die statisch konfigurierten PPP-Schnittstellen der "Wählen bei Bedarf" Schnittstellen

Zweigstelle = 192.168.5.1

Hauptstelle = 192.168.5.2

 

 

das ist doch da die Interne Schnittstelle?

 

Ich hab in der Hauptstelle eingestellt, das der RRas Dienst Clients IP Adresse im Bereich von 192.168.20.X zuweisen kann

 

Und in der Aussenstelle kann der RRAS Dienst 192.168.21.x zuweisen

 

so hat bei mir die Interne Schnittstelle am jeweiligen Standort immer die1 des jeweiligen Bereichs. Und auf der anderen Seite hat das VPN-PPP Interface die 2 des jeweiligen Bereichs.

 

z:B

 

Hauptbüro: Interne Schnittstelle 192.168.20.1 VPN-PPP Schnittstelle 192.168.21.2

Aussenstelle: Interne Schnittstelle 192.168.21.1 VPN-PPP Schnittstelle 192.168.20.2

 

 

oder müssen diese beiden Bereiche in selben IP Adress Bereich sein?

Muss ich diesen Bereich im Ruting irgendwie im Routing einbeziehen und dafür Statische Routen angeben?

[IThome 10]

Benutze 2 Adressen eines Bereiches und ausserhalb des internen oder externen Bereiches. Ich habe diese Adressen in der "Wählen bei Bedarf" Schnittstelle der jeweiligen Seite eingestellt, es wäre auch möglich, dass Du auf jeder Seite eine statische Range erstellst, z.B. auf der eine Seite 192.168.5.1 - 192.168.5.2 und auf der anderen Seite 192.168.6.1 - 192.168.6.2. Für diese Adressen müssen keine Routen eingetragen werden (hätte ich sonst weiter oben auch geschrieben).

Ich habe ausser auf den LAN-Schnittstellen (intern und extern) und den "Wählen bei Bedarf" Schnittstellen nirgendwo sonst IP-Adressen konfiguriert. Ich weiss jetzt nicht, was Du meinst mit

Hauptbüro: Interne Schnittstelle 192.168.20.1 VPN-PPP Schnittstelle 192.168.21.2

Aussenstelle: Interne Schnittstelle 192.168.21.1 VPN-PPP Schnittstelle 192.168.20.2

[genab.de 10]

wie und wo stellst du die IP Einstellungen der VPN-PPp Schnittstelle fest?

 

Ich mach das über diesed Fenster:

 

http://www.herdegen.de/RRAS.JPG

 

 

das ist z.B. die Einstellung des Hauptbüros.

 

Wenn ich das so konfiguriere, dann schnappt sich meine Remoterouter Schnittstelle die 192.168.20.1 - sohat dann die Wählverbindung in meiner Aussenstelle die 192.168.20.2

 

 

In der Aussenstelle habe ich meine IP so konfiguriert, das er den 21 Bereich benutzt. (im gleichen Fenster eingestellt) Dort hat dann meine Remoterouter Schnittstelle die 192.168.21.1 und in der Hauptstelle hat dan die VPN-PPP Schnittstelle die 192.168.21.2

 

 

Oder machst du deine IP Einstellungen der PPP Verbindungen anders? Machst du die statisch?

[IThome 10]

Ich habe an dieser Stelle keine Eimstellungen vorgenommen (steht also noch auf DHCP). Ich habe die IP-Adresse direkt in den "Wählen bei Bedarf" Schnittstellen statisch eingetragen (auf der einen Seite 5.1, auf der anderen Seite 5.2) Die Einstellung, die Du vorgenommen hast, funktioniert aber genauso, je nachdem, welche Seite sich einwählt, werden unterschiedliche Adressen vergeben (da die DoD-Schnittstelle standardmässig auf automatisch beziehen steht)

...