alforno
Goto Top

DHCP am Router und DHCP am Server ?

Hallo,

folgendes Problem ich habe einen Router auf dem der DHCP aktiviert ist.
An diesem Router(4x switch integriert) hängen 2 Laptops die ihre IPs automatisch beziehen.

Jetzt möchte ich zu Testzwecken einen Rechner mit Windows 2003 Server zusätzlich einbinden.
Der Rechner fungiert als VPN Server.
DHCP ist ebenfalls aktiv. Der Rechner hat die IP: 192.168.2.100
Der Router hat die IP: 192.168.2.1

Problem ist, das jetzt die 2 anderen Laptops nicht mehr online gehen können, da sie vom DHCP des Rechners ihre IP bekommen.

Es gibt doch sicherlich eine Möglichkeit, dass der DHCP des 2003 Servers nur IPs an vpn user verteil, oder ?

über einen Tipp würde ich mich freuen.

mfg
Alforno

Content-ID: 67628

Url: https://administrator.de/forum/dhcp-am-router-und-dhcp-am-server-67628.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

Dani
Dani 01.09.2007 um 20:23:31 Uhr
Goto Top
Hallo!
Die Möglichkeit gibt es. Warum aber 2 DHCP-Server im Netz laufen lassen. Bringt früher oder später Probleme mit sich. Einen würde ich abschalten!

Zu deiner Frage: Wenn du im MMC SnapIn vom Routing- & RAS-Dienst bist und in die Eigenschaften des Servers geht. Gibt es einen Reiter "IP". Dort kannst du auch einen statischen Pool definieren.


Grüße
Dani
spacyfreak
spacyfreak 02.09.2007 um 08:38:20 Uhr
Goto Top
Das DHCP Protokoll basiert auf Broadcasts. Die Cliens senden DHCP Discover Pakete aus, und der erste DHCP, der antwortet, hat gewonnen. Soll heissen - bei zwei DHCPs ist es reine Glückssache, welcher DHCP das Rennen "gewinnt" und dem client eine IP zuweist.

Die VPN Clients dagegen sollen die IP allerdings nicht vom Server2003 DHCP Dienst erhalten, sondern sie bekommen vom VPN Server, der einen VPN-IP-Pool hat, eine IP-Adresse!
Das heisst auf dem Win2003 Server laufen eigentlich 2 DHCPs, wobei du den "richtigen" DHCP Dienst eigentlich abschalten kannst. Der VPN Dienst hat einen eigenen "kleinen" DHCP Server, der nur den VPN Clients IM TUNNEL eine IP verpasst, während der VPN Tunnel aufgebaut wird.

Doch - wie das ganze testen? Im Grunde ganz einfach. Der VPN-IP-Pool muss IPs aus einem gänglich anderen Netz haben, als im lokalen Subnetz verwendet werden, z. B. 10.10.10.1 - 10.10.10.10.
Der VPN Testclient jedoch bekommt eine normale DHCP IP. Wenn er dann den VPN Tunnel aufbaut, wird ein virtueller Netzadapter auf dem VPN Client gestartet, und dieser bekommt dann eine IP vom VPN-IP_POOl, der auf dem VPN Server konfiguriert wurde.

Zauberei? Nein - das ist der VPN Tunneling Mode.
In diesem Mode wird der ganze IP Header eingekapselt, sprich der äussere IP Header der Pakete während der Tunnel aufgebaut wird enthält die "normale" IP die der Client hat. Doch in diesen Paketen wird ein ganzer IP header eingekapselt, und dieser IP Header enthält eben die VPN IP Adresse sowie die verschlüsselten Daten.

Im Grunde solltest Du den Microsoft Technet Artikel zu VPN "So wird`s gemacht" lesen, das is ne verständliche Step-by-Step Anleitung.
Andererseits würde ich eher dazu tendieren (wenn du es nicht nur testen willst, sondern auch benutzen), einen dedizierten DSL Router mit eingebautem VPN Server zu benutzen, das geht einfacher, und der Server 2003 muss garnicht aus dem Internet erreichbar sein.

Andernfalls wäre das Tunneln in SSH von RDP eventuell die einfachste Methode für den sicheren Fernzugriff.
Alforno
Alforno 02.09.2007 um 11:45:38 Uhr
Goto Top
Danke Dir für die Erklärung.
Das heißt ich deaktiviere jetzt den DHCP auf dem Server. Der DHCP des Routers bleibt aktiv.
Muss ich dann beim RAS noch Einstellungen vornehmen, bezüglich der zu vergebenen IP-Adressen für die remote clients.

Doch - wie das ganze testen? Im Grunde ganz einfach. Der VPN-IP-Pool muss IPs aus einem gänglich anderen Netz haben, als im lokalen Subnetz verwendet werden, z. B. 10.10.10.1 - 10.10.10.10.
Der VPN Testclient jedoch bekommt eine normale DHCP IP. Wenn er dann den VPN Tunnel aufbaut, wird ein virtueller Netzadapter auf dem VPN Client gestartet, und dieser bekommt dann eine IP vom VPN-IP_POOl, der auf dem VPN Server konfiguriert wurde.


Tut mir leid, das verstehe ich nicht. Wenn ich mich von außen in mein Netz einwähle, dann muss ich doch eine IP aus dem selben Sub Netz bekommen, damit ich mich im LAN bewegen kann.

Was meinst du mit VPN Testclient? Den VPN Server?

Würd mich freuen, wenn du mir noch ein paar Tipps geben könntest.

Danke.

mfg
Alforno
spacyfreak
spacyfreak 02.09.2007 um 11:58:44 Uhr
Goto Top
Mit Testclient meine ich den Testclient. Also einen Cllent PC der nen VPN Client startet und mit dem VPN Server eine getunnelte Verbindung aufbaut.
Zum Testen einfach - wenn der VPN Server konfiguriert ist - den VPN Client auf dem Testclient starten und unter ipconfig /all schauen ob der virtuelle Tunneladapter auch eine IP bekommt aus dem VPN IP Pool. Wenn ja, kann man drangehen das ganze von aussen, also aus dem Interent zu testen. Zum Beispiel kannst Du eventuell den Testclient über eine RAS Einwahl per Analog Modem über arcor.de zum Beispiel ins Internet einwählen lassen, und dann den VPN Client starten und schauen ob der Tunnel über das Internet funktioniert.

Beim Router wirst Du jedoch wahrscheinlich Ports forwarden müssen - ich denke bei PPTP wird das Port 1723 TCP sein der an den WinServer geforwardet werden muss damit der Tunnel über Deinen Router überhaupt den VPN Server erreichen kann bzw. aufgebaut werden kann.

http://support.microsoft.com/kb/323441/de
Alforno
Alforno 02.09.2007 um 12:02:19 Uhr
Goto Top
Habe den Port 1723 TCP bereits auf den Server weitergeleitet. Aktuell bekomme ich von außen aber keine Verbindung. Intern klappt einwandfrei.

Ich werde jetzt beim RAS einen statischen IP Pool einrichten und den DHCP auf dem Server abschalten.

Mal sehen ob das funktioniert.

mfg
Alforno
Dani
Dani 02.09.2007 um 13:15:00 Uhr
Goto Top
So, jetz kann ich auch wieder mitreden. Port 1723 ist doch VPN over PPTP?! Dieses Feature wird von einem Router schon unterstützt??
Hast Problem hat jetzt aber gar nichts mit deiner DHCP - Frage zu tun.


Grüße
Dani
spacyfreak
spacyfreak 02.09.2007 um 13:25:29 Uhr
Goto Top
So, jetz kann ich auch wieder mitreden. Port
1723 ist doch VPN over PPTP?! Dieses Feature
wird von einem Router schon
unterstützt??
Grüße
Dani

Der Router muss PPTP garnicht kennen - er muss lediglich Anfragen an TCP Port 1723 an den internen VPN Server weiterleiten, per Port Forwarding. Das ist schon alles.
Wenn der router dagegen selbst VPN Server sein soll, muss er freilich das VPN Protokoll das man einsetzen möche (z. B. PPTP oder IPSEC) auch unterstützen, sonst kann er nicht als Tunnelendpunkt dienen.

Wenn der interne Win2003 Server dagegen VPN Server sein soll, dann geht der Tunnel vom externen Client bis zum Server, und der Router muss den Tunnel nur durchlassen.
Alforno
Alforno 02.09.2007 um 14:09:13 Uhr
Goto Top
Also jetzt nochmal der neueste Stand:

Auf dem Router läuft DHCP. Auf dem VPN Server (windows 2003 server) habe ich einen statischen IP-Pool eingerichtet. Intern kann ich mich verbinden. Von außen klappt es nicht.

Ich habe den Port 1723 (PPTP) TCP und UDP an den VPN Server(192.168.2.100) weitergeleitet.
Bezüglich GRE kann ich im Router keine Einstellungen vornehmen.

Ich habe einige Forenbeiträge gefunden, in denen erfolgreich mit dem Router eine VPN Verbindung aufgebaut worden ist. In beide Richtungen. Der Router sollte dies also unterstützen.

Der interne Versuch klappt, der externe scheitert.
Gibt es eine Möglichkeit der Sache jetzt auf die Spur zu kommen?
Ereignisanzeige?

Danke euch für die Mühe.

mfg
Alforno
spacyfreak
spacyfreak 02.09.2007 um 17:48:34 Uhr
Goto Top
Wenn Du von aussen den Befehl absonderst (auf dem Client PC)

telnet <öffentliche router-IP> 1723

welche Meldung kriegst du dann?
Alforno
Alforno 02.09.2007 um 23:29:48 Uhr
Goto Top
@einfach-mal-die-klappe-halten
Es konnte keine Verbindung mit dem Host hergestellt werden, auf Port 1723: Verbinden fehlgeschlage....


Ich habe festgestellt, dass ich vom Server aus den Router nicht aufrufen kann. Auch kann ich vom Router keine Seiten im Netz aufrufen. Da sollte doch schon der Fehler liegen, oder?

Wenn ich auf dem Server unter Lan-Verbindung bei Standardgateway die IP des Routers eintrage, dann kann ich Seiten aufrufen. Die Weboberfläche des Routers kann ich aber immernoch nicht aufrufen.

Wenn ich jetzt den DHCP auf dem Router deaktiviere, dann sollte es doch reichen, dass der Server bereits eine feste IP (192.168.2.100) aus dem gleichen Subnetz hat. Ist der Standardgateway zwingend notwendig?

Ich war davon ausgegangen, dass man einen VPN Server mit PPTP innerhalb von Minuten eingerichtet hat. Das ganze ist nen Alptraum.

Danke.

mfg
Alforno
spacyfreak
spacyfreak 04.09.2007 um 10:56:01 Uhr
Goto Top
Ja, es ist eigentlich leicht einzurichten bzw. binnen Minuten - wenn man vorher jahrelang die Netzgrundlagen TCPIP, VPN Protokolle und WinServer Administration gelernt hat. Hehe.

Gateway ist immer nötig, wenn man in andere Netze gelangen will - darum heisst es ja Gateway, es it das "Tor" zu anderen Netzen.

hast du mal nen Router Firmwareupdate gemacht? Das Problem hatte ich nämlich mal bei nem Kunden, dass die Portweiterleitung nicht ging wg. Firmware Bug.
Alforno
Alforno 04.09.2007 um 15:53:16 Uhr
Goto Top
habe es hinbekommen.
Habe den Router zweimal neugestartet, dann lief es.

Danke.

mfg
Alforno