27
Domänenbeitritt am Filialstandort
Hallo zusammen,
ich steh grad ein wenig auf dem Schlauch..
Wir eröffnen in der Nachbarstadt eine weitere kleine Niederlassung mit 2 bis 3 Arbeitsplätzen.
Die Niederlassung (172.16.10.0/16) wird mittels Site2Site VPN an die Zentrale (172.16.1.0/16) angebunden und soll sowohl lokal als auch auf unserem Terminalserver arbeiten.
In der Niederlassung ist kein weiterer DC vorgesehen.
Die PC's sollen in der Niederlassung in die Domäne der Zentrale aufgenommen werden. Hier zeigt mein DNS dann logischerweise auf den DC.
Die Rolle des DHCP in der Niederlassung wird dann vom dortigen VPN Router übernommen
Das bedeutet aber doch auch dass die komplette Namensauflöung in der Niederlassung immer über den VPN Tunnel läuft?
Kann ich das irgendwie verhindern?
Wie gesagt steh grad irgendwie auf dem Schlauch, vermutlich wegen Freitag
vg Michael
ich steh grad ein wenig auf dem Schlauch..
Wir eröffnen in der Nachbarstadt eine weitere kleine Niederlassung mit 2 bis 3 Arbeitsplätzen.
Die Niederlassung (172.16.10.0/16) wird mittels Site2Site VPN an die Zentrale (172.16.1.0/16) angebunden und soll sowohl lokal als auch auf unserem Terminalserver arbeiten.
In der Niederlassung ist kein weiterer DC vorgesehen.
Die PC's sollen in der Niederlassung in die Domäne der Zentrale aufgenommen werden. Hier zeigt mein DNS dann logischerweise auf den DC.
Die Rolle des DHCP in der Niederlassung wird dann vom dortigen VPN Router übernommen
Das bedeutet aber doch auch dass die komplette Namensauflöung in der Niederlassung immer über den VPN Tunnel läuft?
Kann ich das irgendwie verhindern?
Wie gesagt steh grad irgendwie auf dem Schlauch, vermutlich wegen Freitag
vg Michael
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 452699
Url: https://administrator.de/contentid/452699
Printed on: April 23, 2024 at 05:04 o'clock
27 Comments
Latest comment
Hallo,
Du könntest einen selektiven DNS-Server vor Ort installieren.
Klingt aber nach Aufwand und Fummel. Ich würde es nicht machen, da es eine "lustige" Fehlerquelle sein kann.
Wie wäre es mit einem Skript für netsh welches den DNS ändert falls das VPN, aber nicht das Internet, ausgefallen ist.
Stefan
Du könntest einen selektiven DNS-Server vor Ort installieren.
Klingt aber nach Aufwand und Fummel. Ich würde es nicht machen, da es eine "lustige" Fehlerquelle sein kann.
Wie wäre es mit einem Skript für netsh welches den DNS ändert falls das VPN, aber nicht das Internet, ausgefallen ist.
Stefan
Zitat von @StefanKittel:
Du könntest einen selektiven DNS-Server vor Ort installieren.
Klingt aber nach Aufwand und Fummel. Ich würde es nicht machen.
Du könntest einen selektiven DNS-Server vor Ort installieren.
Klingt aber nach Aufwand und Fummel. Ich würde es nicht machen.
Ich würde einfach einen caching-Nameserver hinstellen, z.B. einen Pi, der dafür sorgt, daß der DNS-Tesffic zum Hauptstandort minimiert wird. Der kann dann such dafür sorgen, daß alles außer der Domain selbst oder über den Provider aufgelöst wird.
Sollte mit aquis Anleitungen hier im Forum eine Sache von weniger als einer Stunde sein, wenn man sich erst einlesen muß.
lks
Dein Stichwort ist “bedingte DNS Weiterleitung “
Ich würde ehrlich gesagt da einfach nen NAS hinstellen auf dem nen DNS-Server mit Weiterleitung und die üblichen Dienste (Printserver,...) laufen kann. So ist im Fall das die Internetverbindung mal weg ist nicht gleich alles lahmgelegt. Und je nach Leitung macht es auch keinen Spass grössere Dateien übers Internet zu schieben... Das NAS kannst du ja z.B. Abends in die Datensicherung aufnehmen und dann die Daten rüberzerren...
Die Niederlassung (172.16.10.0/16) wird mittels Site2Site VPN an die Zentrale (172.16.1.0/16) angebunden
Tupak, beide Standorte im selben Subnetz ist Bullshit!Zitat von @139708:
Die Niederlassung (172.16.10.0/16) wird mittels Site2Site VPN an die Zentrale (172.16.1.0/16) angebunden
Tupak, beide Standorte im selben Subnetz ist Bullshit!Naja, vielleicht gibt es ja einen guten Grund, warum er ein Level2-VPN macht.
Aber dann würde man sich über die Netzmaske 16 statt 20 wundern.
lks
Guten Morgen
Ja... das bedeutet es wohl. Ich frage mich aber auch ein wenig: Was ist denn daran so schlimm? Der Traffic, der duch einen Lookup entsteht, hält sich doch sehr in Grenzen.
Die Leute sollen ja auch lokal arbeiten /die Authentifizierung geht auch durch den Tunnel - also gehe ich davon aus, dass ausreichend Bandbreite vorhanden ist.
Gruß
Das bedeutet aber doch auch dass die komplette Namensauflöung in der Niederlassung immer über den VPN Tunnel läuft?
Ja... das bedeutet es wohl. Ich frage mich aber auch ein wenig: Was ist denn daran so schlimm? Der Traffic, der duch einen Lookup entsteht, hält sich doch sehr in Grenzen.
Die Leute sollen ja auch lokal arbeiten /die Authentifizierung geht auch durch den Tunnel - also gehe ich davon aus, dass ausreichend Bandbreite vorhanden ist.
Gruß
Ok, und was passiert wenn der Hauptstandort grad mal nicht erreichbar ist? Dann fliegt dir idR alles um die Ohren. Wenn du die basis-services vor Ort hast dann kannst du halt zumindest lokal noch weiterarbeiten - zwar ggf. Eingeschränkt aber es geht... Das hängt aber natürlich zu allererst von der Art der Arbeit ab und von der geforderten Verfügbarkeit...
Zitat von @139708:
Die Niederlassung (172.16.10.0/16) wird mittels Site2Site VPN an die Zentrale (172.16.1.0/16) angebunden
Tupak, beide Standorte im selben Subnetz ist Bullshit!Ups, kleiner Fehler..war gard nicht bei der Sache:
Zentrale: 172.16.10.0/16
Niederlassung: 172.17.1.0/16
weitere kleine Niederlassung mit 2 bis 3 Arbeitsplätzen
Und 16er Maske kann nur Freitag bedeuten .
Sorry, ernsthaft jetzt?:
Wir eröffnen in der Nachbarstadt eine weitere kleine Niederlassung mit 2 bis 3 Arbeitsplätzen.
und
Niederlassung: 172.17.1.0/16
für 2-3 Arbeitsplätze nen /16-er Netz?!? Entweder du hast grösseres vor oder du hast das Prinzip von VPN &/ Subnetzen nicht wirklich verstanden...
Wir eröffnen in der Nachbarstadt eine weitere kleine Niederlassung mit 2 bis 3 Arbeitsplätzen.
und
Niederlassung: 172.17.1.0/16
für 2-3 Arbeitsplätze nen /16-er Netz?!? Entweder du hast grösseres vor oder du hast das Prinzip von VPN &/ Subnetzen nicht wirklich verstanden...
Ok. Das wird es sein. (Bei meinen Kunden ist es aber eher angesagt, dass die nicht im Internet surfen, sondern sich mit der dienstlichen Arbeit beschäftigen.)
Das wird es sein. (Bei meinen Kunden ist es aber eher angesagt, dass die nicht im Internet surfen, sondern sich mit der dienstlichen Arbeit beschäftigen.)Zitat von @maretz:
Sorry, ernsthaft jetzt?:
für 2-3 Arbeitsplätze nen /16-er Netz?!? Entweder du hast grösseres vor oder du hast das Prinzip von VPN &/ Subnetzen nicht wirklich verstanden...
Sorry, ernsthaft jetzt?:
für 2-3 Arbeitsplätze nen /16-er Netz?!? Entweder du hast grösseres vor oder du hast das Prinzip von VPN &/ Subnetzen nicht wirklich verstanden...
Und wo bitte ist das Problem? Klar 16er Netz ist total übertrieben, könnt auch ein 24 oder noch kleineres Netz nehmen...Spielt für mein Vorhaben nur nicht die geringste Rolle...
Zitat von @takvorian:
Und wo bitte ist das Problem? Klar 16er Netz ist total übertrieben, könnt auch ein 24 oder noch kleineres Netz nehmen...Spielt für mein Vorhaben nur nicht die geringste Rolle...
Zitat von @maretz:
Sorry, ernsthaft jetzt?:
für 2-3 Arbeitsplätze nen /16-er Netz?!? Entweder du hast grösseres vor oder du hast das Prinzip von VPN &/ Subnetzen nicht wirklich verstanden...
Sorry, ernsthaft jetzt?:
für 2-3 Arbeitsplätze nen /16-er Netz?!? Entweder du hast grösseres vor oder du hast das Prinzip von VPN &/ Subnetzen nicht wirklich verstanden...
Und wo bitte ist das Problem? Klar 16er Netz ist total übertrieben, könnt auch ein 24 oder noch kleineres Netz nehmen...Spielt für mein Vorhaben nur nicht die geringste Rolle...
Mh, nein? du willst also alle Pakete eines 16er Netzes durch die VPN schieben? na gut, wenn das keine Rolle spielt. Würde hier einen Netzwerkbasicskurs verordnen.
Zitat von @falscher-sperrstatus:
Mh, nein? du willst also alle Pakete eines 16er Netzes durch die VPN schieben? na gut, wenn das keine Rolle spielt. Würde hier einen Netzwerkbasicskurs verordnen.
Mh, nein? du willst also alle Pakete eines 16er Netzes durch die VPN schieben? na gut, wenn das keine Rolle spielt. Würde hier einen Netzwerkbasicskurs verordnen.
Wieso denn alle Pakete?
Gehen doch nur die Pakete welche ins 172.17.1.0/16 über den VPN! Hatte mich zu Anfang mit den netzen vertippt...
Ansonsten: Bitte erkläre mir den Fehler und sag was ich besser machen kann?
Danke..
Engagier jemanden, der mit dir deine komplette Netzinfrastruktur durchgeht.
Zitat von @falscher-sperrstatus:
Engagier jemanden, der mit dir deine komplette Netzinfrastruktur durchgeht.
Das beantwortet leider nicht meine Frage....Engagier jemanden, der mit dir deine komplette Netzinfrastruktur durchgeht.
-->
Gehen doch nur die Pakete welche ins 172.17.1.0/16 über den VPN! richtig oder falsch? Wenn falsch, warum?
Danke
Hallo
Warum kein RODC, der im Falle des Ausfalls Nutzeranmeldung und DNS noch möglich macht?
Grüße
Warum kein RODC, der im Falle des Ausfalls Nutzeranmeldung und DNS noch möglich macht?
Grüße
Zitat von @takvorian:
Gehen doch nur die Pakete welche ins 172.17.1.0/16 über den VPN! richtig oder falsch? Wenn falsch, warum?
Gehen doch nur die Pakete welche ins 172.17.1.0/16 über den VPN! richtig oder falsch? Wenn falsch, warum?
172.17.1.0/16 und 172.17.10.0/16 sind dasselbe Netz!
Da gehen alle IP-Broadcasts über das VPN.
lks
Ups, kleiner Fehler..war gard nicht bei der Sache:
Zentrale: 172.16.10.0/16
Niederlassung: 172.17.1.0/16
Zentrale: 172.16.10.0/16
Niederlassung: 172.17.1.0/16
Heute ist Freitag.... bin nicht mehr bei der Sache
Zitat von @takvorian:
Gehen doch nur die Pakete welche ins 172.17.1.0/16 über den VPN! richtig oder falsch? Wenn falsch, warum?
Gehen doch nur die Pakete welche ins 172.17.1.0/16 über den VPN! richtig oder falsch? Wenn falsch, warum?
172.17.1.0/16 und 172.17.10.0/16 sind dasselbe Netz!
Da gehen alle IP-Broadcasts über das VPN.
lks
Da hast du natürlich vollkommen recht!!
Gruß Michael
Doch, eine Netzwerkinfrastrukturplanung würde diese Frage (genau wie eine Schulung) beantworten.
Moin,
ok, fangen wir damit an das man ja mal saubere Strukturen machen kann... Damit wäre für kleine Standorte schon mal max. nen /24-er Netz machbar - und nicht grad 192.168.0.x oder 192.168.1.x da die jeder privat-sepp hat.
Wenn du dein 16er-Netz jedesmal machst - was passiert wohl wenn morgen deine Geschäftsleitung ne Remote-Einwahl zuhause haben will und der auch das 172.17.5.0/24 Netz bei sich zuhause nutzt? oder 172.17.99.0/24? Schon stehst du da mit deiner tollen Netz-Konfig... Hast du ein sauberes Netz (ausserhalb der üblichen Fritzbox- und Co Adressräume) gewählt ist das generell kein grosser Aufwand.
Das wäre schon mal der erste (recht einfach nachvollziehbare) Ansatz warum es generell keine gute Idee ist unnötig grosse Netzbereiche zu nutzen. Denn wenn eben die GL ankommt (oder ne neue Zweigstelle) dann stellst du fest das du dir viele Bereiche einfach verbaust....
Dazu kommt: Welche Pakete am Ende wirklich durch dein VPN gehen das bestimmt dein Routing... Wenn aber der DNS eh am Hauptstandort steht ist es eigentlich schon fast egal...
ok, fangen wir damit an das man ja mal saubere Strukturen machen kann... Damit wäre für kleine Standorte schon mal max. nen /24-er Netz machbar - und nicht grad 192.168.0.x oder 192.168.1.x da die jeder privat-sepp hat.
Wenn du dein 16er-Netz jedesmal machst - was passiert wohl wenn morgen deine Geschäftsleitung ne Remote-Einwahl zuhause haben will und der auch das 172.17.5.0/24 Netz bei sich zuhause nutzt? oder 172.17.99.0/24? Schon stehst du da mit deiner tollen Netz-Konfig... Hast du ein sauberes Netz (ausserhalb der üblichen Fritzbox- und Co Adressräume) gewählt ist das generell kein grosser Aufwand.
Das wäre schon mal der erste (recht einfach nachvollziehbare) Ansatz warum es generell keine gute Idee ist unnötig grosse Netzbereiche zu nutzen. Denn wenn eben die GL ankommt (oder ne neue Zweigstelle) dann stellst du fest das du dir viele Bereiche einfach verbaust....
Dazu kommt: Welche Pakete am Ende wirklich durch dein VPN gehen das bestimmt dein Routing... Wenn aber der DNS eh am Hauptstandort steht ist es eigentlich schon fast egal...
Hallo,
sortiere deine Subnetze anständig. Firewall hinstellen für VPN, DHCP und DNS, bspw. opnsense.
Wenns ohne DC vor Ort sein soll, die DNS Anfragen für deine Domain durchs VPN weiterleiten, die übrigen Anfragen können ja direkt übers WAN raus.
Wer für weniger Geld ein höheres Risiko eingehen will bei fehlendem Tunnel oder Internet lieber den Schreibtisch aufzuräumen, dem reicht diese Lösung vermutlich aus. Das lässt sich eigentlich mit einer kleinen Firewall (und ggf. einem billigen NAS) schnell umsetzen.
VG
T
sortiere deine Subnetze anständig. Firewall hinstellen für VPN, DHCP und DNS, bspw. opnsense.
Wenns ohne DC vor Ort sein soll, die DNS Anfragen für deine Domain durchs VPN weiterleiten, die übrigen Anfragen können ja direkt übers WAN raus.
Wer für weniger Geld ein höheres Risiko eingehen will bei fehlendem Tunnel oder Internet lieber den Schreibtisch aufzuräumen, dem reicht diese Lösung vermutlich aus. Das lässt sich eigentlich mit einer kleinen Firewall (und ggf. einem billigen NAS) schnell umsetzen.
VG
T
Hallo,
danke Euch für die Antworten. Ich werde mir das mit den Netzen nochmal überlegen.
Hier habe ich halt bereits das /16er Netz und wollte es in der Niederlassung genauso übernehmen.
Schönes Wochenende noch...
Tak
danke Euch für die Antworten. Ich werde mir das mit den Netzen nochmal überlegen.
Hier habe ich halt bereits das /16er Netz und wollte es in der Niederlassung genauso übernehmen.
Schönes Wochenende noch...
Tak
Hallo Tak,
also ich würde dir vorschlagen, mach auch 'hier' das Netz neu. Und das solltest du dir besser jetzt überlegen, bevor dieses noch weiter ausgebaut wird.
also ich würde dir vorschlagen, mach auch 'hier' das Netz neu. Und das solltest du dir besser jetzt überlegen, bevor dieses noch weiter ausgebaut wird.
Naja, vielleicht gibt es ja einen guten Grund, warum er ein Level2-VPN macht.
Layer 2 kein Level !! Freudscher Vertipper vom Kollegen LKS Nein, kann es eigentlich nicht geben. Wie oben schon gesagt Bridging ist völlig falsch in einem VPN und das IP Adressdesign stimmt nicht. Zeugt eher von Wissensdefizit im Bereich VPN.
Siehe auch hier:VPNs einrichten mit PPTP
Zitat von @aqui:
Naja, vielleicht gibt es ja einen guten Grund, warum er ein Level2-VPN macht.
Layer 2 kein Level !! Freudscher Vertipper vom Kollegen LKS Ups! mea culpa! mea maxima culpa! Asche auf mein Haupt!
Wsr vermutlich gerade abgelenkt beim Schreiben.
Nein, kann es eigentlich nicht geben. Wie oben schon gesagt Bridging ist völlig falsch in einem VPN und das IP Adressdesign stimmt nicht.
Das ist mir auch klar. Ich meinte damit nur, daß der TO vielleicht denkt, daß er einen guten Grund für so etwas hat. Hat sich ja aber herausgestellt, daß er nur einen Vertipper in den Netzen hatte.
lks
PS: Bei einigen "antiken" nichtroutbaren Protokollen ist ein L2-VPN manchmal von Vorteil, trotz der Nachteile, die es mit sich bringt.
