7
Testumgebung im Produktivnetz einrichten
Wir müssen den Internetzugang des Produktivnetzes in einer Testumgebung nutzen ...
... das scheitert aber an der Problematik, dass wir innerhalb der Testumgebung auch einen Windows 2003 R2 als DC benötigen, da wir das Produktivnetz 1:1 abbilden möchten.
Derzeitiger Lösungsansatz:
Wir haben im Produktivnetz (192.168.100.x) einen WRT54GL mit DD-WRT eingesetzt, der mit dem WAN-Port im Produktivnetz hängt und dessen LAN-Seite die Testumgebung (172.16.x.x) beinhalten soll.
Installieren wir nun in der Testumgebung den DC, so scheitert dies beim DCPROMO, da die Meldung kommt, dass die Domain bereits vorhanden ist.
Mein Verständnis vom Routing ist leider eher als "rudimentär" zu bezeichnen, weshalb es mir wohl auch ein Rätsel ist, wie der DC der Testumgebung den DC des Produktivnetzes überhaupt finden kann.
Generell würde ich vermuten, man müsste irgendwie die Kommunikation ins Produktivnetz unterbinden. Aber in diesem Netz ist ja auch der Router für den Zugang zum Internet vorhanden ...
Der würde dann ja auch nicht gefunden werden ...
Ich müste also irgendwie einrichten, dass aus der Testumgebung heraus das Produktivnetz bis auf den Router "gesperrt" wird ...
Geht das überhaupt mit dem WRT54GL mit DD-WRT?
Danke im voraus für alle Anregungen
Derzeitiger Lösungsansatz:
Wir haben im Produktivnetz (192.168.100.x) einen WRT54GL mit DD-WRT eingesetzt, der mit dem WAN-Port im Produktivnetz hängt und dessen LAN-Seite die Testumgebung (172.16.x.x) beinhalten soll.
Installieren wir nun in der Testumgebung den DC, so scheitert dies beim DCPROMO, da die Meldung kommt, dass die Domain bereits vorhanden ist.
Mein Verständnis vom Routing ist leider eher als "rudimentär" zu bezeichnen, weshalb es mir wohl auch ein Rätsel ist, wie der DC der Testumgebung den DC des Produktivnetzes überhaupt finden kann.
Generell würde ich vermuten, man müsste irgendwie die Kommunikation ins Produktivnetz unterbinden. Aber in diesem Netz ist ja auch der Router für den Zugang zum Internet vorhanden ...
Der würde dann ja auch nicht gefunden werden ...
Ich müste also irgendwie einrichten, dass aus der Testumgebung heraus das Produktivnetz bis auf den Router "gesperrt" wird ...
Geht das überhaupt mit dem WRT54GL mit DD-WRT?
Danke im voraus für alle Anregungen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 169724
Url: https://administrator.de/contentid/169724
Printed on: April 19, 2024 at 20:04 o'clock
7 Comments
Latest comment
Ja, es kommt darauf an WIE bzw. in welchem Modus ihr den DD-WRT Router betreibt. Mit NAT (Adress Translation) am WAN Port oder ohne, also mit transparentem Routing.
Am Beispiel einer WLAN Kopplung 2er Netze kannst du das sehen:
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Leider teilst du uns das in deiner etwas oberflächlichen Beschreibung nicht mit.
Mit NAT am WAN Port hat der Server im Produktivnetz keinerlei Möglichkeiten auf das Testnetz zuzugreifen da er die NAT Firewall dort nicht überwinden kann.
Wenn dann klappt das nur mit entsprechenden Port Forwarding Einträgen. Ohne diese ist das Testnetz vom Produktivnetz aus isoliert. Nicht aber in die andere Richtung. Alles was vom Testnetz ins Produktivnetz und Internet geht ist problemlos erreichbar.
Am Beispiel einer WLAN Kopplung 2er Netze kannst du das sehen:
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Leider teilst du uns das in deiner etwas oberflächlichen Beschreibung nicht mit.
Mit NAT am WAN Port hat der Server im Produktivnetz keinerlei Möglichkeiten auf das Testnetz zuzugreifen da er die NAT Firewall dort nicht überwinden kann.
Wenn dann klappt das nur mit entsprechenden Port Forwarding Einträgen. Ohne diese ist das Testnetz vom Produktivnetz aus isoliert. Nicht aber in die andere Richtung. Alles was vom Testnetz ins Produktivnetz und Internet geht ist problemlos erreichbar.
Hallo RicoPausB,
Ihr habt dort ein Routingproblem normalerweise darf der 2. Server nichts von der Domäne erkennen wenn der Router korrekt eingestellt ist.
ihr wollt im Netz 2 (Eure Testumgebung auch zugriff aufs Internet - ich nehme an das der DD-WRT den Windows Server als DNS eingetragen hat. Hier muss die anfrage jedoch an den Provider DNS dann kann im Netz2 der Domänenname aus Netz 1 nicht aufgelöst werden.
Ihr habt dort ein Routingproblem normalerweise darf der 2. Server nichts von der Domäne erkennen wenn der Router korrekt eingestellt ist.
ihr wollt im Netz 2 (Eure Testumgebung auch zugriff aufs Internet - ich nehme an das der DD-WRT den Windows Server als DNS eingetragen hat. Hier muss die anfrage jedoch an den Provider DNS dann kann im Netz2 der Domänenname aus Netz 1 nicht aufgelöst werden.
Hallo,
ich gehe mal davon aus, das die Testumgebung virtuell sein wird.
1. Eine VM als Router einrichten (eine Netzwerkkarte im 192,168.100.x Netz die andere im 172.160.x.x)
2. Deinen Testrechnern eine Feste IP geben die im Testnetz ist und die IP des VM-Routers hat.
3. Dafür sorgen, das nur ein DNS aus der Testumgebung verwendet wird.
Umbedingt dafür sorgen, dass der Server in der Testumgebung nicht auch eimals über einen PoP3 Connector abrufen will oder versenden will sonst hast Du ein Problem.
Und wenn es eine 1:1 Umgebung werden soll, würde ich den jetzigen Server in eine VM konvertieren (gibt da Programme von z.B. VM-Ware für) oder wenn euer Backup das kann eine Wiederherstellung des Backups in eine VM (Guter Test ob das Backup auch was taugt und ob die Dienste alle laufen wie sie sollen.
Wenn Du den aktuellen Server in eine VM oder andere Hardware zurücksichert sogre dafür, das das Netzwerkkabel gezogen ist, damit Du dir nicht deine Produktivumgebung zerschießt.
Achso, wenn der Server zufällig aus DHCP ist, abstellen.
Gruß
Chonta
ich gehe mal davon aus, das die Testumgebung virtuell sein wird.
1. Eine VM als Router einrichten (eine Netzwerkkarte im 192,168.100.x Netz die andere im 172.160.x.x)
2. Deinen Testrechnern eine Feste IP geben die im Testnetz ist und die IP des VM-Routers hat.
3. Dafür sorgen, das nur ein DNS aus der Testumgebung verwendet wird.
Umbedingt dafür sorgen, dass der Server in der Testumgebung nicht auch eimals über einen PoP3 Connector abrufen will oder versenden will sonst hast Du ein Problem.
Und wenn es eine 1:1 Umgebung werden soll, würde ich den jetzigen Server in eine VM konvertieren (gibt da Programme von z.B. VM-Ware für) oder wenn euer Backup das kann eine Wiederherstellung des Backups in eine VM (Guter Test ob das Backup auch was taugt und ob die Dienste alle laufen wie sie sollen.
Wenn Du den aktuellen Server in eine VM oder andere Hardware zurücksichert sogre dafür, das das Netzwerkkabel gezogen ist, damit Du dir nicht deine Produktivumgebung zerschießt.
Achso, wenn der Server zufällig aus DHCP ist, abstellen.
Gruß
Chonta
@aqui
Ja sry ... sehr oberflächliche Beschreibung ... mir fiel auf die schnelle nichts passenderes ein ;(
Und NAT ist am WAN-port an, so dass das produktivnetz eigentlich nicht "reinkommen" dürfte ...
@Haytech
da scheint der Hund begraben zu sein ;)
der Router hat am WAN-port "DHCP" aktiviert, so dass er natürlich die kompletten Einträge vom Produktivnetz bekommt ... wie dämlich, dass ich darauf nicht geachtet habe ...
werde das umgehend anpassen und den DNS mal komplett auf Provider-Daten setzen ...
Wahrscheinlich ist das problem dann schon behoben ...
@Chonta
du beschreinst schon zufällig genau das Schema, dass wir angehen wollten ;)
also mit router-vm und einem in eine VM konvertierten Server ;)
zusammen mit haytech's Hinweis auf den DNS-Einträg werde ich das mal angehen ...
DANKE an alle für eure Hilfe
Werde diesen Eintrag noch kommentieren ob's klappt ...
c ya
Rico
Ja sry ... sehr oberflächliche Beschreibung ... mir fiel auf die schnelle nichts passenderes ein ;(
Und NAT ist am WAN-port an, so dass das produktivnetz eigentlich nicht "reinkommen" dürfte ...
@Haytech
da scheint der Hund begraben zu sein ;)
der Router hat am WAN-port "DHCP" aktiviert, so dass er natürlich die kompletten Einträge vom Produktivnetz bekommt ... wie dämlich, dass ich darauf nicht geachtet habe ...
werde das umgehend anpassen und den DNS mal komplett auf Provider-Daten setzen ...
Wahrscheinlich ist das problem dann schon behoben ...
@Chonta
du beschreinst schon zufällig genau das Schema, dass wir angehen wollten ;)
also mit router-vm und einem in eine VM konvertierten Server ;)
zusammen mit haytech's Hinweis auf den DNS-Einträg werde ich das mal angehen ...
DANKE an alle für eure Hilfe
Werde diesen Eintrag noch kommentieren ob's klappt ...
c ya
Rico
Na es ist doch sehr erfreulich das es jetzt klappen kann.
Für einen ESXi gibt es sehr gute Router VMs fertig zum downloaden.
meine Empfehlung: PFSense
Für einen ESXi gibt es sehr gute Router VMs fertig zum downloaden.
meine Empfehlung: PFSense
...oder Monowall 
http://m0n0.ch/wall/downloads.php
Router in einer VM zu installieren ist aber höchst kontraproduktiv und man kann nur dringend davon abraten.
Zum einen ist der Sicherheitsaspekt zum anderen und das ist viel gravierender für dich ist die Funktion der gesamten Testumgebung von der Verfügbarkeit des ESXi abhängig.
Ein Grund warum man Routing Funktionen niemals in solche Systme integriert und immer extern realisiert. Mit deinem DD-WRT bist du eigentlich perfekt bedient, deshalb ist es eigentlich nicht nachvollziehbar warum du nun zur schlechteren Variante greifst ?!
http://m0n0.ch/wall/downloads.php
Router in einer VM zu installieren ist aber höchst kontraproduktiv und man kann nur dringend davon abraten.
Zum einen ist der Sicherheitsaspekt zum anderen und das ist viel gravierender für dich ist die Funktion der gesamten Testumgebung von der Verfügbarkeit des ESXi abhängig.
Ein Grund warum man Routing Funktionen niemals in solche Systme integriert und immer extern realisiert. Mit deinem DD-WRT bist du eigentlich perfekt bedient, deshalb ist es eigentlich nicht nachvollziehbar warum du nun zur schlechteren Variante greifst ?!
Hat alles geklappt ...
Der geänderte DNS Eintrag im Router hat schon geholfen ...
Nichtsdestotrotz haben wir noch einmal einen test mit monowall gemacht ... auch top ...
Also beide Lösungen praktikabel.
Danke für die Hilfe
Der geänderte DNS Eintrag im Router hat schon geholfen ...
Nichtsdestotrotz haben wir noch einmal einen test mit monowall gemacht ... auch top ...
Also beide Lösungen praktikabel.
Danke für die Hilfe
