3xDSL, 2xVPN Router win2k3
Ich stehe völlig auf dem Schlauch
Hallo,
ich habe hier ein Autohaus zu mit folgender Konfiguration:
3 separate DSL Anschlüße, 2 VPN - Router DYXEL Vigor, 1 Server Win 2003 SBS , 12 Clients, Drucker
Nun hat der 1. VPN-Router eine feste IP 10.164.40.38 255.255.255.128
der 2. VPN- Router eine feste IP 10.204.105.97 255.255.255.224
der 3. DSL Anschluß hat keine feste IP von außen, und soll zum server verwendet werden.
Das Windows Netzwerk hat über Server DHCP 10.164.40.xxx
Verschiedene Webseiten machen es erforderlich, dass ich mal über VPN1 ins Netz muß, mal über VPN2
wie löse ich das Problem?
Vielen Dank für Eure Hilfe
CFGODW
Hallo,
ich habe hier ein Autohaus zu mit folgender Konfiguration:
3 separate DSL Anschlüße, 2 VPN - Router DYXEL Vigor, 1 Server Win 2003 SBS , 12 Clients, Drucker
Nun hat der 1. VPN-Router eine feste IP 10.164.40.38 255.255.255.128
der 2. VPN- Router eine feste IP 10.204.105.97 255.255.255.224
der 3. DSL Anschluß hat keine feste IP von außen, und soll zum server verwendet werden.
Das Windows Netzwerk hat über Server DHCP 10.164.40.xxx
Verschiedene Webseiten machen es erforderlich, dass ich mal über VPN1 ins Netz muß, mal über VPN2
wie löse ich das Problem?
Vielen Dank für Eure Hilfe
CFGODW
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 102221
Url: https://administrator.de/forum/3xdsl-2xvpn-router-win2k3-102221.html
Ausgedruckt am: 23.12.2024 um 23:12 Uhr
9 Kommentare
Neuester Kommentar
mir ist nicht ganz klar wieso du die vpns über 3 dsl aufteilen musst und nicht die vpns über einen uplink machst.
Da könnte der Grund sein, dass die VPNs nur von einer bestimmten registrierten IP aufgebaut werden können. Ummelden wäre dann möglich, klar, aber vielleicht dauert das zu lange...
Haben die User, die das VPN-Gateway wechseln müssen, Administratorrechte an den PCs? Denn dann sollte es doch ganz billig sein, das Standardgateway schnell per Skript zu ändern
(á la "netsh interface ip set addr ... "). Oder muss der Zugang über die beiden VPNs gleichzeitig möglich sein? Dann müsste man halt die Routingtabelle auch noch per Skript anpassen, sodass bestimmte Adressen eben nicht über das Standardinterface angesteuert werden, sondern über eines der beiden VPN-Gateways - wenn die IP des richtigen VPN-Routers eingetragen ist, sollte der ja dann den Verkehr weiterleiten. Oder habe ich da jetzt irgendetwas nicht berücksichtigt?
Haben die User, die das VPN-Gateway wechseln müssen, Administratorrechte an den PCs? Denn dann sollte es doch ganz billig sein, das Standardgateway schnell per Skript zu ändern
(á la "netsh interface ip set addr ... "). Oder muss der Zugang über die beiden VPNs gleichzeitig möglich sein? Dann müsste man halt die Routingtabelle auch noch per Skript anpassen, sodass bestimmte Adressen eben nicht über das Standardinterface angesteuert werden, sondern über eines der beiden VPN-Gateways - wenn die IP des richtigen VPN-Routers eingetragen ist, sollte der ja dann den Verkehr weiterleiten. Oder habe ich da jetzt irgendetwas nicht berücksichtigt?
Von den IPs die du hier im Beispiel verwendet gehe ich mal davon aus, dass es hier um eine Standleitung geht.
Wenn du nun willst, dass der eine Traffic über A und der andere über B geht brauchst du erstmal einen kompetenten Router, in dem du diese Routen anlegen kannst und der auf den Clients als Router eingetragen wird.
Also etwa folgendes Schema:
(Senkrechte Striche sind Switche)
So hast du erstmal erreicht, dass die Clients die entsprechenden Server erreichen können.
Im zweiten Schritt musst du nun euren DNS-Server mit Stubzonen für die einzelnen Netze A erweitern:
Z.B. bekommt ihr von Hersteller A einen DNS-Server mitgeteilt und die Bestellanwendung läuft über order.hersteller.vpn.
In dem Fall trägst du in eurem DNS-Server die Stubzone order.hersteller.vpn ein mit einem Verweis auf den zugeteilten DNS-Server.
Grüße
Max
Wenn du nun willst, dass der eine Traffic über A und der andere über B geht brauchst du erstmal einen kompetenten Router, in dem du diese Routen anlegen kannst und der auf den Clients als Router eingetragen wird.
Also etwa folgendes Schema:
| |------- Router A
| |
| |
Clients ---|----- Router C ---|------- Normales Internet
| |
| |
| |------- Router B
So hast du erstmal erreicht, dass die Clients die entsprechenden Server erreichen können.
Im zweiten Schritt musst du nun euren DNS-Server mit Stubzonen für die einzelnen Netze A erweitern:
Z.B. bekommt ihr von Hersteller A einen DNS-Server mitgeteilt und die Bestellanwendung läuft über order.hersteller.vpn.
In dem Fall trägst du in eurem DNS-Server die Stubzone order.hersteller.vpn ein mit einem Verweis auf den zugeteilten DNS-Server.
Grüße
Max
Die Lösung ist ganz einfach !!
Dein Netzwerk sieht ja vermutlich so aus:
Was du jetzt machst ist folgendes:
IP: 10.204.105.98
Maske: 225.225.225.224
Gateway: leer lassen !
DNS: leer lassen !
1. Netzkarte
IP 10.164.40.84
Maske: 255.255.255.128
Gateway: 10.164.40.38 = IP Adresse des 1. VPN Routers
DNS: 10.164.40.38 = IP Adresse des 1. VPN Routers
(Oder Weiterleitung auf diese IP wenn du einen DNS im Server selber betreibst !!)
So, generell sendet der Server mit dieser Einstellung alles über den Router 1, das ist klar.
Du musst dem Server jetzt nur noch beibringen, das er alles was an die Hostadresse 10.112.235.91 gehen soll doch bitte über Router 2 schickt.
Der Server muss RAS bzw. Routing aktiviert haben. Wie das geht siehst du am Schluss dieses Textes (URL)
Das Weiterleiten erreichst du ganz einfach mit einer statischen Route im Server selber die da lautet:
route add 10.112.235.91 mask 255.255.255.255 10.204.105.98 -p
Das "-p" kannst du für erste Versuche erstmal weglassen, denn es macht die Route permanent das sie nach dem nächsten Reboot des Servers nicht wieder verschwunden ist !!!
Achtung !!! Es lauert eine Falle, denn du teilst uns ja leider nicht mit WELCHES Standardgateway deine Clients im Firmennetz 10.164.40.0 /25 benutzen !!!
Ist das der Server reicht die o.a. statische Route !
Ist es der Router 1 selber 10.164.40.38 dann kennt dieser das 10.204.105.96er Netzwerk natürlich nicht und würde die Pakete wieder ins Internet schicken wo sie versacken...
Wenn das der Fall ist musst du hier im Vigor in Setupmenü bei Feste Adressumleitung ebenfalls eine statische Route eintragen die da heisst:
Ziel IP Adresse: 10.112.235.91
Subnetzmaske: 255.255.255.255
Gateway IP Adr.: 10.164.40.84
Damit routet dieser Router die Pakete dann an den Server und hier greift dann die o.a. Serverroute die alles dann weiterleitet an Router 2 und gut ist !!
Das ist aber nur relevant wenn auch Clients zum Host 10.112.235.91 müssen. Wenn nicht und nur der Server kannst du diese Route im Router 1 weglassen. Schaden kann sie aber nicht !
Denk dran die Route am Server mit dem -p zu versehen wenn alles rennt !
Ansonsten findest du weitere Anregungen hier. Insbesondere wie man das Routing auf dem Server aktiviert:
Dein Netzwerk sieht ja vermutlich so aus:
Was du jetzt machst ist folgendes:
- Einstellung der beiden Netzwerkkarten im Server
IP: 10.204.105.98
Maske: 225.225.225.224
Gateway: leer lassen !
DNS: leer lassen !
1. Netzkarte
IP 10.164.40.84
Maske: 255.255.255.128
Gateway: 10.164.40.38 = IP Adresse des 1. VPN Routers
DNS: 10.164.40.38 = IP Adresse des 1. VPN Routers
(Oder Weiterleitung auf diese IP wenn du einen DNS im Server selber betreibst !!)
So, generell sendet der Server mit dieser Einstellung alles über den Router 1, das ist klar.
Du musst dem Server jetzt nur noch beibringen, das er alles was an die Hostadresse 10.112.235.91 gehen soll doch bitte über Router 2 schickt.
Der Server muss RAS bzw. Routing aktiviert haben. Wie das geht siehst du am Schluss dieses Textes (URL)
Das Weiterleiten erreichst du ganz einfach mit einer statischen Route im Server selber die da lautet:
route add 10.112.235.91 mask 255.255.255.255 10.204.105.98 -p
Das "-p" kannst du für erste Versuche erstmal weglassen, denn es macht die Route permanent das sie nach dem nächsten Reboot des Servers nicht wieder verschwunden ist !!!
Achtung !!! Es lauert eine Falle, denn du teilst uns ja leider nicht mit WELCHES Standardgateway deine Clients im Firmennetz 10.164.40.0 /25 benutzen !!!
Ist das der Server reicht die o.a. statische Route !
Ist es der Router 1 selber 10.164.40.38 dann kennt dieser das 10.204.105.96er Netzwerk natürlich nicht und würde die Pakete wieder ins Internet schicken wo sie versacken...
Wenn das der Fall ist musst du hier im Vigor in Setupmenü bei Feste Adressumleitung ebenfalls eine statische Route eintragen die da heisst:
Ziel IP Adresse: 10.112.235.91
Subnetzmaske: 255.255.255.255
Gateway IP Adr.: 10.164.40.84
Damit routet dieser Router die Pakete dann an den Server und hier greift dann die o.a. Serverroute die alles dann weiterleitet an Router 2 und gut ist !!
Das ist aber nur relevant wenn auch Clients zum Host 10.112.235.91 müssen. Wenn nicht und nur der Server kannst du diese Route im Router 1 weglassen. Schaden kann sie aber nicht !
Denk dran die Route am Server mit dem -p zu versehen wenn alles rennt !
Ansonsten findest du weitere Anregungen hier. Insbesondere wie man das Routing auf dem Server aktiviert:
Das mit dem DHCP Server ist ein Windows Problem !
Vielleicht hilft es den DHCP Prozess zu deaktivieren und wieder zu aktivieren.
Der DHCP darf nur auf die Karte gebunden werden die zum Firmen LAN geht.
Bzw. mit einem 2ten Scope kann er natürlich auch Problemlos das andere Segment bedienen.
Das sollten die zahlosen Windows Profis hier im Forum sicher lösen können ??!!
Was dein Zombie Problem anbetrifft klingt das recht abenteuerlich...
Vielleicht hilft es den DHCP Prozess zu deaktivieren und wieder zu aktivieren.
Der DHCP darf nur auf die Karte gebunden werden die zum Firmen LAN geht.
Bzw. mit einem 2ten Scope kann er natürlich auch Problemlos das andere Segment bedienen.
Das sollten die zahlosen Windows Profis hier im Forum sicher lösen können ??!!
Was dein Zombie Problem anbetrifft klingt das recht abenteuerlich...