kein Internet nach Modem-Tausch über w2k3-Router
Hallo zusammen,
ich bin neu hier im Forum und habe gleich, ein für mich, dickes Problem:
mein Schulnetz ist so aufgebaut, das die einzelnen Rechner einen w2k3-Server mit Routing und RAS Funktion als Gateway ins Internetz nutzen (Die Einwahl erfolgt über diesen Server). Ein Teil der Rechner tut dies direkt – ein anderer nutzt den Jana-Proxy auf diesem Server. Dies hat über Jahre auch prima funktioniert.
Bisher wurde als DSL-Modem - ein Teil der Telekom aus den Urzeiten des DSL - benutzt (relativ großer, weißer Kasten ohne Typbezeichnung Hersteller Siemens – unten links steht nur T-DSL). Wenn ich nun dieses Modem gegen ein Speedport 200 austausche, synchronisiert sich das Modem – der w2k3-Server kann sich anmelden und ich kann auch mit dem w2k3-Server im Internet surfen. Die Rechner, welche den Jana-Proxy nutzen funktionieren auch. Nur die Rechner, die direkt den w2k3-Server als Router nutzen kommen nicht mehr ins Internet (Pings laufen auch nicht mehr). Nutze ich wieder mein Uralt-Modem läuft alles wieder wie geschmiert. Und hier hört mein EDV-Verständnis auf – das Speedport 200 ist doch ein reines DSL-Modem – an meiner internen LAN-Konfiguration ändere ich überhaupt nichts – mit dem alten Modem geht’s – mit dem neuen nicht (außer dem Server selbst und den Rechnern, die diesen als Proxy nutzen)?????????
Ich bin am verzweifen, die Telekomiker konnten mir auch nicht helfen. Bitte dringend um Hilfe
Gruß Ralf
ich bin neu hier im Forum und habe gleich, ein für mich, dickes Problem:
mein Schulnetz ist so aufgebaut, das die einzelnen Rechner einen w2k3-Server mit Routing und RAS Funktion als Gateway ins Internetz nutzen (Die Einwahl erfolgt über diesen Server). Ein Teil der Rechner tut dies direkt – ein anderer nutzt den Jana-Proxy auf diesem Server. Dies hat über Jahre auch prima funktioniert.
Bisher wurde als DSL-Modem - ein Teil der Telekom aus den Urzeiten des DSL - benutzt (relativ großer, weißer Kasten ohne Typbezeichnung Hersteller Siemens – unten links steht nur T-DSL). Wenn ich nun dieses Modem gegen ein Speedport 200 austausche, synchronisiert sich das Modem – der w2k3-Server kann sich anmelden und ich kann auch mit dem w2k3-Server im Internet surfen. Die Rechner, welche den Jana-Proxy nutzen funktionieren auch. Nur die Rechner, die direkt den w2k3-Server als Router nutzen kommen nicht mehr ins Internet (Pings laufen auch nicht mehr). Nutze ich wieder mein Uralt-Modem läuft alles wieder wie geschmiert. Und hier hört mein EDV-Verständnis auf – das Speedport 200 ist doch ein reines DSL-Modem – an meiner internen LAN-Konfiguration ändere ich überhaupt nichts – mit dem alten Modem geht’s – mit dem neuen nicht (außer dem Server selbst und den Rechnern, die diesen als Proxy nutzen)?????????
Ich bin am verzweifen, die Telekomiker konnten mir auch nicht helfen. Bitte dringend um Hilfe
Gruß Ralf
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 56629
Url: https://administrator.de/forum/kein-internet-nach-modem-tausch-ueber-w2k3-router-56629.html
Ausgedruckt am: 22.12.2024 um 23:12 Uhr
17 Kommentare
Neuester Kommentar
Das ist in der Tat sehr verwunderlich. Am Modem kann es ja eigentlich auch nicht liegen, denn wenn der Server einwandfrei ins Internet kommt kann es am DSL Anschluss und seiner Technik eigentlich nicht liegen.
Was verwunderlich ist ist das die NIC Liste nur ein einziges Ethernet Interface zeigt ?? Eigentlich sollten da ja 2 sein ??!!
Wichtig ist das auf dem Link ans Modem KEIN DNS Server konfiguriert ist ! Die IP Adresse dort ist eh nur ein Dummy muss aber in einem anderen IP Netz sein !!! Die o.a. DNS Adresse scheint aber falssch zu sein. Eigentlich sollte die auf einen Proxy DNS zeigen, den du aber nicht hast da keinen Router. Deshalb wird die per PPP dynamisch vom Carrier negotiated...
Was weiterhin inderessant waere, waere mal ein Output von ipconfig -all auf dem Server wenn du eine laufende PPPoE Verbindung ins Internet hast. Da muss in jedem Falle auch ein PPP Interface zu sehen sein, was die Adressen deines Providers negotiated hat.
Was passiert wenn du mit einem Client OHNE Proxy also rein ueber das Routing des Servers ins Internet gehst...klappt das ??
Was verwunderlich ist ist das die NIC Liste nur ein einziges Ethernet Interface zeigt ?? Eigentlich sollten da ja 2 sein ??!!
Wichtig ist das auf dem Link ans Modem KEIN DNS Server konfiguriert ist ! Die IP Adresse dort ist eh nur ein Dummy muss aber in einem anderen IP Netz sein !!! Die o.a. DNS Adresse scheint aber falssch zu sein. Eigentlich sollte die auf einen Proxy DNS zeigen, den du aber nicht hast da keinen Router. Deshalb wird die per PPP dynamisch vom Carrier negotiated...
Was weiterhin inderessant waere, waere mal ein Output von ipconfig -all auf dem Server wenn du eine laufende PPPoE Verbindung ins Internet hast. Da muss in jedem Falle auch ein PPP Interface zu sehen sein, was die Adressen deines Providers negotiated hat.
Was passiert wenn du mit einem Client OHNE Proxy also rein ueber das Routing des Servers ins Internet gehst...klappt das ??
Nein die IP Adressierung ist richtig, die muss ja immer im selben IP Segment liegen jedenfalls was Router und Hostadresse anbetrifft !
Das Problem ist sehr wahrscheinlich ein DNS Problem, denn der primaere DNS Server ist ein lokaler Server. Wenn der aber nicht als Next HOP DNS den T-Online DNS eingetragen hat wird der keine Vernuenftige Namensaufloesung hinbekommen.
Was passiert wenn du mal keinen Namen wie www.spiegel.de pingst sondern die nackte IP Adresse ??? Dann umgehst du evtl. DNS Probleme und nutzt native IP. Die IP vom Spiegel Server ist:
195.71.11.67
vom Heise Server
193.99.144.85
beide sind pingbar !
Das Problem ist sehr wahrscheinlich ein DNS Problem, denn der primaere DNS Server ist ein lokaler Server. Wenn der aber nicht als Next HOP DNS den T-Online DNS eingetragen hat wird der keine Vernuenftige Namensaufloesung hinbekommen.
Was passiert wenn du mal keinen Namen wie www.spiegel.de pingst sondern die nackte IP Adresse ??? Dann umgehst du evtl. DNS Probleme und nutzt native IP. Die IP vom Spiegel Server ist:
195.71.11.67
vom Heise Server
193.99.144.85
beide sind pingbar !
Da laeuft in der tat einiges schief. Die Konfig sieht aber auch etwas unsauber aus. Bedenklich ist das es permanent einen PPP Adapter gibt:
PPP-Adapter RAS-Server-(Einwähl-)Schnittstelle:
Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physikalische Adresse . . . . . . : 00-53-45-00-00-00
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 169.254.43.255
Subnetzmaske . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . :
der scheinbar nicht in Benutzung ist und mit einer APIPA Adresse versehen ist. Da solltest du unbedingt mal checken wo diese Leiche herkommt und sie entfernen. Das kann eine Provider SW (T-Online SW oder sows..) sein die da natuerlich nicht hingehoert und deinstalliert gehoert !
Wenn du die 84.162.220.153
Das Problem ist auf alle Faelle nicht nachvollziehbar, da die Daten am virtuellen PPPoE Adapter immer die gleichen sind ! Wenn du die 84.162.220.153 pingst ist das ja eine lokale IP Adresse am Server selber. Modem Aktivitaet darf es da in keinem Falle geben.
Was sagt denn ein tracert <pppoe_ip> wenn du das von einem Client machst. Da kannst du ja sehen wo es ip technisch hakt. Was du pingen kannst was im Internet ist sind die negotiateten Nameserver, die du mit dem ipconfig siehst. Das geht dann sicher ins DSL Netz des Providers. (Pruefe aber vorher sicher ob diese DNS Server pingbar sind...das ist nicht immer der Fall)
PPP-Adapter RAS-Server-(Einwähl-)Schnittstelle:
Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physikalische Adresse . . . . . . : 00-53-45-00-00-00
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 169.254.43.255
Subnetzmaske . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . :
der scheinbar nicht in Benutzung ist und mit einer APIPA Adresse versehen ist. Da solltest du unbedingt mal checken wo diese Leiche herkommt und sie entfernen. Das kann eine Provider SW (T-Online SW oder sows..) sein die da natuerlich nicht hingehoert und deinstalliert gehoert !
Wenn du die 84.162.220.153
Das Problem ist auf alle Faelle nicht nachvollziehbar, da die Daten am virtuellen PPPoE Adapter immer die gleichen sind ! Wenn du die 84.162.220.153 pingst ist das ja eine lokale IP Adresse am Server selber. Modem Aktivitaet darf es da in keinem Falle geben.
Was sagt denn ein tracert <pppoe_ip> wenn du das von einem Client machst. Da kannst du ja sehen wo es ip technisch hakt. Was du pingen kannst was im Internet ist sind die negotiateten Nameserver, die du mit dem ipconfig siehst. Das geht dann sicher ins DSL Netz des Providers. (Pruefe aber vorher sicher ob diese DNS Server pingbar sind...das ist nicht immer der Fall)
Manchmal sieht man den Wald vor lauter Bäumen nicht....
Das Problem taucht an der 192.168.3.128 auf, denn da verschwinden die Packete nach der Installation des neuen Modems ja !!!
Sieht man sich nochmal deine Server Installation an fällt auf das beide LAN Ports:
Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : 3Com EtherLink XL 10/100 PCI-TX-NIC (3C90
5B-TX)
Physikalische Adresse . . . . . . : 00-50-DA-3E-EA-CF
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.3.129
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :
Ethernet-Adapter LAN-Verbindung 2:
Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : ADMtek AN983-basierter Ethernet-Adapter
Physikalische Adresse . . . . . . : 00-30-05-C1-A3-F8
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.3.128
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :
DNS-Server . . . . . . . . . . . : 192.168.3.30
194.25.2.129
Wie man unschwer sehen kann, im gleichen IP Netz sind !!! Klassischer IP Designfehler !!! Das darf natürlich nicht sein und ich denke mal das hier der Fehler liegt !!!
Die müssen natürlich in unterschiedlichen IP Netzen sein, denn sonst kann der Server nicht mehr richtig routen. Bei ihm sind ja nun 2 Interfaces im gleichen IP Netz (192.168.3.0/24) und das ist routingtechnisch nicht erlaubt !!!
Wenn du die 3COM Karte in das Netzwerk 192.168.4.0/24 legst sollte das Problem vermutlich verschwinden. Was allerdings ein passives Modem damit zu tun hat ist mir im Moment auch noch schleierhaft, aber dafür musste man auf dem Server mal in die Tiefe debuggen....
Generell sollte man dir noch sagen das ein Internetzugang zu realisieren direkt mit MS Produkten immer mit erheblichen Zweifeln aus Sicherheitssicht zu sehen ist, da man den Server immer direkt im Internet exponiert und so einen erheblichen Aufwand an Sicherheitskonfiguration leisten muss und das permanent. Es ist meist besser an einem separaten Segment, wie du es ja auch schon hast, einen externen Router zu betreiben, der den Internetzugang realisiert !
...das aber nur nebenbei !!!
Das Problem taucht an der 192.168.3.128 auf, denn da verschwinden die Packete nach der Installation des neuen Modems ja !!!
Sieht man sich nochmal deine Server Installation an fällt auf das beide LAN Ports:
Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : 3Com EtherLink XL 10/100 PCI-TX-NIC (3C90
5B-TX)
Physikalische Adresse . . . . . . : 00-50-DA-3E-EA-CF
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.3.129
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :
Ethernet-Adapter LAN-Verbindung 2:
Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : ADMtek AN983-basierter Ethernet-Adapter
Physikalische Adresse . . . . . . : 00-30-05-C1-A3-F8
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.3.128
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :
DNS-Server . . . . . . . . . . . : 192.168.3.30
194.25.2.129
Wie man unschwer sehen kann, im gleichen IP Netz sind !!! Klassischer IP Designfehler !!! Das darf natürlich nicht sein und ich denke mal das hier der Fehler liegt !!!
Die müssen natürlich in unterschiedlichen IP Netzen sein, denn sonst kann der Server nicht mehr richtig routen. Bei ihm sind ja nun 2 Interfaces im gleichen IP Netz (192.168.3.0/24) und das ist routingtechnisch nicht erlaubt !!!
Wenn du die 3COM Karte in das Netzwerk 192.168.4.0/24 legst sollte das Problem vermutlich verschwinden. Was allerdings ein passives Modem damit zu tun hat ist mir im Moment auch noch schleierhaft, aber dafür musste man auf dem Server mal in die Tiefe debuggen....
Generell sollte man dir noch sagen das ein Internetzugang zu realisieren direkt mit MS Produkten immer mit erheblichen Zweifeln aus Sicherheitssicht zu sehen ist, da man den Server immer direkt im Internet exponiert und so einen erheblichen Aufwand an Sicherheitskonfiguration leisten muss und das permanent. Es ist meist besser an einem separaten Segment, wie du es ja auch schon hast, einen externen Router zu betreiben, der den Internetzugang realisiert !
...das aber nur nebenbei !!!
Hallo Ralf !
Klasse, und sorry das ich das so spät gesehen hatte sonst wäre der Jubel eher gekommen...egal Hauptsache es klappt..
Die Problematik an einer direkten Dialin Lösung mit MS Produkten liegt einfach daran das über den PPP Adappter das Internet direkt am Server ist. Am besten du nimmst dir mal einen Wireshark (www.wireshark.org) und siehst was so auf einem offenen Internet Adapter passiert. Nach ca. 6-7 Sekunden nach Dialin brechen zig Portscann Attacken und Ping Sweeps und noch vieles andere auf die Adresse herein. Ein MS Server direkt am Internet ist ein gefundenes Fressen und willfähiges Opfer für das weltweite Heer der Hacker und Script Kiddies. Dadurch das du den Zugang dann direkt auf einem MS Server hast wirst du gezwungen eine absolut saubere und wasserdichte Firewall und auch Serverkonfig zu haben. Ein Unterfangen was einen erheblichen Aufwand und Pflege voraussetzt, die nie endet und die auch nicht sein muss. Jedes noch so kleine Sicherheitsloch in MS SW wird in Sekunden ausgenutzt was bei dir sehr einfach ist da der Server direkt im Internet exponiert ist.
Ein Szenario wie dies:
(Internet)---Router----(Server)----Clientsegment
senkt dieses Risiko ungemeint, das der Router mit der NAT Firewall schon mal per se den Server schützt. Ferner bietet der Router keine Angriffsfläche bei offenen Anwendungsports usw. weil er das schlicht und einfach gar nicht hat, da er nur auf dem OSI Layer 3 arbeitet.
Ein Linksys Router z.B. kostet 50 Euro was auch in einem Schulbudget eigentlich zur Absicherung des Schulnetzes enthalten sein sollte.
Als didaktischen Pluspunkt bietet er die Möglichkeit ein alternatives auf Linux basierendes Betriebssystem zu fahren wie z.B. dd-wrt.de oder open-wrt. Ein interessantes Projekt für Schüler sowas mal umzusetzen. Ich kann mir vorstellen das es dir sicher besser geht wenn du weisst das du den ITlern von morgen offene Horizonte anbietest und sie nicht zu Knechten von MS heranziehen wirst...
Wenns das war, bitte Thread oben als gelöst markieren !
Klasse, und sorry das ich das so spät gesehen hatte sonst wäre der Jubel eher gekommen...egal Hauptsache es klappt..
Die Problematik an einer direkten Dialin Lösung mit MS Produkten liegt einfach daran das über den PPP Adappter das Internet direkt am Server ist. Am besten du nimmst dir mal einen Wireshark (www.wireshark.org) und siehst was so auf einem offenen Internet Adapter passiert. Nach ca. 6-7 Sekunden nach Dialin brechen zig Portscann Attacken und Ping Sweeps und noch vieles andere auf die Adresse herein. Ein MS Server direkt am Internet ist ein gefundenes Fressen und willfähiges Opfer für das weltweite Heer der Hacker und Script Kiddies. Dadurch das du den Zugang dann direkt auf einem MS Server hast wirst du gezwungen eine absolut saubere und wasserdichte Firewall und auch Serverkonfig zu haben. Ein Unterfangen was einen erheblichen Aufwand und Pflege voraussetzt, die nie endet und die auch nicht sein muss. Jedes noch so kleine Sicherheitsloch in MS SW wird in Sekunden ausgenutzt was bei dir sehr einfach ist da der Server direkt im Internet exponiert ist.
Ein Szenario wie dies:
(Internet)---Router----(Server)----Clientsegment
senkt dieses Risiko ungemeint, das der Router mit der NAT Firewall schon mal per se den Server schützt. Ferner bietet der Router keine Angriffsfläche bei offenen Anwendungsports usw. weil er das schlicht und einfach gar nicht hat, da er nur auf dem OSI Layer 3 arbeitet.
Ein Linksys Router z.B. kostet 50 Euro was auch in einem Schulbudget eigentlich zur Absicherung des Schulnetzes enthalten sein sollte.
Als didaktischen Pluspunkt bietet er die Möglichkeit ein alternatives auf Linux basierendes Betriebssystem zu fahren wie z.B. dd-wrt.de oder open-wrt. Ein interessantes Projekt für Schüler sowas mal umzusetzen. Ich kann mir vorstellen das es dir sicher besser geht wenn du weisst das du den ITlern von morgen offene Horizonte anbietest und sie nicht zu Knechten von MS heranziehen wirst...
Wenns das war, bitte Thread oben als gelöst markieren !