UltraVNC hinter SBS Server

Nikkin
Hallo

Ich arbeite erst seit kurzem mit Windows SBS 2003 und versuche nun folgendes (leider seit ein paar Tagen ):
Ich habe ein Moden/Router, welches mit dem Internet verbunden ist. Der SBS Server ist mit diesem Modem verbunden. Über die 2. Netzwerkkarte des SBS Servers ist ein Hub installiert, an welchem die verschiedenen Clients angeschlossen sind.

Nun möchte ich übers Internet auf einen Client mittels UltraVNC zugreifen. Ist dieser Client direkt am Router angeschlossen, funktioniert alles wunderbar. Ist jedoch der Server dazwischen, funktioniert ist nicht mehr. Ich glaube ich muss irgend eine Einstellung unter RAS/Routing vornehmen... habe aber leider keine Ahnung wie. Kann mir jemand einen Tipp geben? Client: XP, Server: SBS 2003 Standard.

Beispiel:
Ich habe einen Router (Modem) und dieser ist direkt mit dem "Client"-Computer (192.168.1.101) verbunden. Beim Router (192.168.1.1) habe ich die "Statische NAT-IP-Adresse:" auf diesen Client eingestellt. UltraVNC hat so funktioniert.

Nun schliesse ich den Server dazwischen. Ich erstelle wieder diese Statische NAT-IP Adresse, diesmal aber auf den Server (192.168.1.2). Die zweite Netzwerkkarte im Server hat die IP 192.168.10.100. Aus meiner Sicht weis nun der Router, das Anfragen an die öffentliche IP an den Server weitergeleitet werden müssen. Nun muss doch der Server noch wissen, dass er diese Anfrage an den Client (192.168.10.101) weiterleiten muss. Wo kann ich dies in SBS 2003 einstellen? Desweitern: Was meint ihr zur Sicherheit, falls ich dies so installiere?



Besten Dank für Eure Beiträge im Voraus.
Gruess
Nik

Content-Key: 65836

Url: https://administrator.de/contentid/65836

Ausgedruckt am: 25.01.2022 um 16:01 Uhr

Mitglied: aqui
aqui 09.08.2007 um 14:52:24 Uhr
Goto Top
Nein mit RAS/Routing hat das rein gar nichts zu tun ! Dein Szenario ist dieses hier:

https://www.administrator.de/Routing_mit_2_Netzwerkkarten_unter_Windows_ ...

Das Problem ist der NAT Prozess im Router bzw. dessen Port Forwarding Einstellung.
Wenn du das Port Forwarding im Router für VNC (Port TCP 5900) einrichtest dann musst du dort als lokale Zieladresse ja eine IP aus deinem Client Segment vorsehen, nämlich die die du remote administrieren willst.
Das Problem ist nun das diese ja in einem ganz anderen IP Netz liegt als der Router bzw. dessen LAN Interface selber.
Die Masse aller Consumer DSL Router kommt damit nicht klar und verweigert meist schon bei der Einrichtung des PFW strikt die Zusammenarbeit und das obwohl dieser Router natürlich eine statische Route zum Client IP Netz via Server in seiner Routing Tabelle eingetragen hat, er das Netz also sicher kennt.
Das ist ein generelles Firmware Problem dieser preiswerten DSL Router Systeme...leider. In Routern etwas höherer Preisklassen existiert dieses unsinnige Problem nicht.

Du hast also nur einen Workaround wenn du keine neue HW kaufen willst: Du machst eine VNC Session auf den Server und startest von diesem Wiederum eine VNC Session auf den Client. Nicht das Gelbe vom Ei... aber funktioniert !
Mitglied: Nikkin
Nikkin 09.08.2007 um 15:53:16 Uhr
Goto Top
Hallo

Besten Dank schon mal. Habe das ganze nun mal versucht auf diese Weise aufzusetzen. Mit dem Router kann ich eine statische NAT zuweisen. Als Möglichkeit habe ich da aber nur den Server (wo die Clients dahinter sitzen) und dieses Notebook, womit ich schreibe. Wo genau muss ich nun einstellen, dass der Server weiss, dass Pakete an den Client geschickt werden soll? Ich gehe davon aus, dass dies doch beim Server eingestellt werden muss oder nicht? Wie funktioniert dies in SBS 2003?

Vielen Dank für die Hilfe... mit nun schon so lange dran...

Gruess
Nik
Mitglied: Nikkin
Nikkin 09.08.2007 um 16:09:47 Uhr
Goto Top
Noch ein Nachtrag:

Beim Netopia Router kann ich wählen zwischen IP-Weiterleitung und NAT. Was ist korrekt? Wenn ich IP-Weiterleitung nutzen will, wie muss die öffentliche IP (die aktuell laufend ändert weil ich keine statische habe) immer neu eintragen. Wäre dies der korrekte Weg?

Ich habe das mal probiert, jedoch habe ich aktuell keine Webverbindung

öffentliche IP
Subnetz 255.255.255.0
Standardgateaway 192.168.1.1 (Router zwischen Internet und Server)
Bevorzugte DNS 192.168.1.1

Was mach ich falsch?
Mitglied: 51705
51705 09.08.2007 um 16:51:15 Uhr
Goto Top
Was mach ich falsch?

Sorry, aber eigentlich alles ;)

1. NAT auf dem Router einschalten
2. Route auf dem Router einrichten: alle Pakete an 192.168.10.101 sind an 192.168.1.2 zu senden (ggf. Netzwerk-Route, z.B. 192.168.10.0/255.255.255.0 -> 192.168.1.2)
3. Port für VNC im NAT auf den Client weiterleiten (192.168.10.101/5900?)
4. Firewall oder gar NAT auf dem SBS aktiviert? -> Hol dir jemanden, der sich damit auskennt.

Nicht falsch verstehen, aber da besteht doch etwas mehr Lernbedarf, als ich hier schreiben mag.

Grüße, Steffen
Mitglied: aqui
aqui 09.08.2007 um 17:05:41 Uhr
Goto Top
@Nikkin

Du hast dir das Turorial von oben ja sicher durchgelesen, aber scheinbar nicht richtig verstanden...
Dann wiesst du also das dein Server ja schon Packete per se weiterreicht nämlich vom Router eben in das Client Segment. Er routet also alle deine Daten die vom Router oder Clientsegment kommen, ist also selber ein Router.

Das Problem ist die Port Weiterleitung im Internet Router. Die müsste um einen PC im Client Segment zu erreichen ja eine IP Zieladresse aus dem Clientsegment bekommen also ein IP Netz was am Router ja selber gar nicht angeschlossen ist und was der Router so gar nicht kennt. Deine Netze zwischen Router Verbindung und Clientsegment sind ja vollkommen unterschiedlich !

Das ist das Problem das die Masse der Consumer Router so eine lokale IP Weiterleitungs Adresse die, wie gesagt, NICHT im eigenen IP Netz liegt was der Router am eigenen LAN Port hat (denn es ist ja dein Clientsegment und damit hinter dem Server !) klarkommen.
Entweder nehmen sie die Adress Konfig gar nicht erst an oder sie führen die Weiterleitung nicht aus auch wenn der Router eine statische Route via Server (als Router) hat. Das ist also dein Problem was du auch niemals mit einer Konfig regeln kannst, denn das ist ein Fehler in der Firmware dieser Router !

Setzt du die IP Weiterleitung nun auf deine Server IP Adresse schickt der Router eingehende Packete an seinem DSL Port die die Portnummer TCP 5900 haben nun an diese Serveradresse. Die Portnummer bleibt aber erhalten und wenn der Server nun keinen Prozess/Applikation hat der auf Port TCP 5900 lauscht (wie VNC) schmeisst er das Packet sofort weg.

Fazit: Es bleiben nur 2 Lösungen:
a.) der doppelte VNC Hop über den Server mit VNC drauf und von dort wiedermit VNC zum Client wie oben beschrieben
b.) Den Server selber im NAT bzw. ICS Modus bei Windows laufen zu lassen und dann ein Port Forwarding dort nochmal auf dem Server zu konfigurieren was aber Probleme bereiten kann
Dafür gilt aber dann wieder Punkt 4. von smerlin oder.....die MS Knowledgebase !
Mitglied: Nikkin
Nikkin 09.08.2007 um 23:36:44 Uhr
Goto Top
Hallo

Das Tutorial habe ich jetzt schon sicherlich 2-3x durchgelesen. Nun, ich musste auch diesen Text mehrmals durchlesen. Ich habe Netopia 3357WG als Router. Dort kann ich statische NAT einstellen. So wie ich es jetzt verstanden habe, sollte ich folgendes tun:

83.83.83.83 öffentliche IP [ÖIP]
192.168.1.1 Router [R]
192.168.1.2 Server Netzwerkkarte 1 [SN1]
192.168.10.100 Server Netzwerkkarte 2 [SN2]
192.168.10.101 Client PC [CPC]
Server = SBS 2003 Standard

Nun erstelle ich eine statische NAT Weiterleitung vom Router an SN1. Somit kommen alle Anfragen vom ÖIP direkt zum Server SN1. Nun muss ich den Server so konfigurieren, dass er diese Portnummer 5900 (Woher kommt diese überhaupt?) an den Client weiterleitet, oder weiss dass er das Paket an den Client weiterleiten muss. Wo stelle ich dies ein im SBS 2003?

@steffen

Also (1) wäre damit erledigt.
Meinst Du bei Nr. (2) mit Router den Server (als Router)? Wo finde ich dies im SBS 2003?
Zu (3): Wo leite ich die PortNr im SBS 2003 weiter?
....

Nun, ich verstehe Dich nicht falsch und bin überhaupt schon dankbar, dass jemand was schreibt... bin nun schon seit Montag am üben, testen und eben lernen...wobei mir halt das Basiswissen leider noch fehlt.

Werde morgen weiterüben...
Gruess Nik
Mitglied: 51705
51705 10.08.2007 um 09:23:58 Uhr
Goto Top
@Steffen

Also (1) wäre damit erledigt.
Meinst Du bei Nr. (2) mit Router den Server
(als Router)? Wo finde ich dies im SBS 2003?
Zu (3): Wo leite ich die PortNr im SBS 2003
weiter?

Im Moment weis dein Router, das das Netz 192.168.1.0/24 (also 0-255) intern ist. Der Router weis nicht, das auch das Netz 192.168.10.0/24 intern ist. Der Router würde also Paket mit der IP 192.168.10.101 in Internet senden (Default Route).

Deshalb muß auf dem Router eine weiterer Eintrag im Routing Table gemacht werden (Netzwerk Route): Alle Pakete an das Netz 192.168.10.0/24 sind an 192.168.1.2 weiterzuleiten. Oder (Host Route): Alle Pakete an 192.168.10.101/32 sind an 192.168.1.2 weiterzuleiten.

Auf dem SBS ist eigentlich nichts weiter einzustellen, denn der kennt ja die beiden Netze.
Mitglied: Nikkin
Nikkin 10.08.2007 um 09:54:34 Uhr
Goto Top
Juhui Juhui Juhui, es hat geklappt.

Folgender Link hat mir ebenfalls weitergeholfen.
http://technet2.microsoft.com/WindowsServer/de/Library/6dd18466-d9dc-43 ...

-> Router mit NAT auf Server umleiten
-> Auf dem Server Port weiterleitung erstellen auf Netzwerkkarte Internet.

Super, es geht Juhui.
Gruess
Nik
Mitglied: aqui
aqui 10.08.2007 um 12:11:27 Uhr
Goto Top
Zum Schluss noch eine Anmerkung:

Du machst dann aber KEIN klassisches Routing Szenario mit deinem Server wie im o.a. Tutorial beschrieben ist, sondern du NATest 2mal nämlich einmal mit dem Server zum Routersegment und dann einmal mit dem Router ins Internet. IP technisch eher suboptimal da fehlerträchtig und nicht gerade performant aber was solls, wenn es denn jetzt alles klappt ist ja alles gut !!! Never touch a running system...

Bitte dann
https://www.administrator.de/index.php?faq=32
nicht vergessen !!!
Heiß diskutierte Beiträge
question
Ist diese Hardware sinnvoll für privaten Haushalt?stonevVor 1 TagFrageRouter & Routing6 Kommentare

Hallo erstmal :) Meine alte Fritzbox 7490 spinnt seit gestern. Ich gehe von Alterschwäche aus, es wird also Ersatz fällig. Zufrieden war ich mit ihr ...

question
LTO-5 Bänder Löschen geht nichtkreuzbergerVor 1 TagFrageBackup23 Kommentare

Hallo ihr Helden, ich hab da ein blödes Problem: Ich habe einen Stapel gebrauchte LTO-5-Bänder bekommen, die soweit völlig i. O. sind. Mit welchem Programm ...

question
Teilenummer für weiße Esprimo Mini-PC?LochkartenstanzerVor 1 TagFrageHardware21 Kommentare

Moin, Ich habe eine eigenwillige Kundin, die einen weißen Fujitsu Esprimo Mini-PC haben will. Und der Kundin ist, wie sollte es anders sein, die Farbe ...

question
Ein Smartphone für privat und geschäftliche NutzungNebellichtVor 1 TagFragePeripheriegeräte5 Kommentare

Hallo, für die Firma werden aktuell Smartphone(s) gesucht, die da eine Dual Sim ermöglichen und zusätzlich trennende Sicherheit, d.h. ein Trennen von privaten Daten und ...

question
Tipp für Firewall mit mehreren DHCP-Instanzen für VLAN gesucht gelöst Holly484Vor 23 StundenFrageFirewall5 Kommentare

Hallo zusammen, hatte in einer Gemeinschaftspraxis bisher tolle Erfahrungen mit Netgear über die letzten vielen Jahre gesammelt. Jetzt ist Netgear aus dem Firewall-Business ausgestiegen. Bisher ...

question
Suche nach "Beschreibung"ThabeusVor 1 TagFrageVmware11 Kommentare

Moin, ich stehe gerade auf dem Schlauch bei der Suche nach einer Anleitung. Vielleicht kann mir jemand helfen die "Begrifflichkeit" zu finden. In meinem Netzwerk ...

question
User verschickt mit kryptischer Outlook.com Adresse aus on-prem Exchange 2016LauneBaerVor 1 TagFrageExchange Server10 Kommentare

Servus in die Runde, ich habe ein für mich nicht nachvollziehbares Problem bei einem User, das heute zum 2ten mal aufgetreten ist. Und zwar verschickte ...

question
Windows Admin Center - Zugriff verweigertsaschakpVor 1 TagFrageWindows Update3 Kommentare

Hallo ich habe das Windows Admin Center Installiert, leider bekomme ich beim öffnen die Meldung: Zugriff verweigert Sie sind leider nicht zum Senden dieser Anforderung ...