ralhue
Goto Top

kein Internet nach Modem-Tausch über w2k3-Router

Hallo zusammen,

ich bin neu hier im Forum und habe gleich, ein für mich, dickes Problem:
mein Schulnetz ist so aufgebaut, das die einzelnen Rechner einen w2k3-Server mit Routing und RAS Funktion als Gateway ins Internetz nutzen (Die Einwahl erfolgt über diesen Server). Ein Teil der Rechner tut dies direkt – ein anderer nutzt den Jana-Proxy auf diesem Server. Dies hat über Jahre auch prima funktioniert.
Bisher wurde als DSL-Modem - ein Teil der Telekom aus den Urzeiten des DSL - benutzt (relativ großer, weißer Kasten ohne Typbezeichnung Hersteller Siemens – unten links steht nur T-DSL). Wenn ich nun dieses Modem gegen ein Speedport 200 austausche, synchronisiert sich das Modem – der w2k3-Server kann sich anmelden und ich kann auch mit dem w2k3-Server im Internet surfen. Die Rechner, welche den Jana-Proxy nutzen funktionieren auch. Nur die Rechner, die direkt den w2k3-Server als Router nutzen kommen nicht mehr ins Internet (Pings laufen auch nicht mehr). Nutze ich wieder mein Uralt-Modem läuft alles wieder wie geschmiert. Und hier hört mein EDV-Verständnis auf – das Speedport 200 ist doch ein reines DSL-Modem – an meiner internen LAN-Konfiguration ändere ich überhaupt nichts – mit dem alten Modem geht’s – mit dem neuen nicht (außer dem Server selbst und den Rechnern, die diesen als Proxy nutzen)?????????
Ich bin am verzweifen, die Telekomiker konnten mir auch nicht helfen. Bitte dringend um Hilfe

Gruß Ralf

Content-ID: 56629

Url: https://administrator.de/forum/kein-internet-nach-modem-tausch-ueber-w2k3-router-56629.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

sysad
sysad 14.04.2007 um 13:16:40 Uhr
Goto Top
Hast Du als DNS-Server die IP des alten Modems eingetragen?
ralhue
ralhue 14.04.2007 um 13:45:21 Uhr
Goto Top
das verstehe ich jetzt nicht! Ein reines Modem hat doch keine IP - oder?
Und an der Namensauflösung kann es doch nicht liegen, denn PINGS laufen ja auch nicht.
Gruß
Ralf
cykes
cykes 14.04.2007 um 14:29:12 Uhr
Goto Top
Hast Du dem Server nach der Modemumstellunge mal einen Reboot gegönnt (Windows braucht das ab und zu...)?

Gruß

cykes

P.S. Mach doch mal bitte auf den Problem-Clients einen "ipconfig /all" auf der Kommandozeile udn poste das Ergebnis hier.
ralhue
ralhue 14.04.2007 um 15:21:34 Uhr
Goto Top
ein Neustart des Servers brachte nichts.

Hier mal die IP-Konfiguration eines Rechners der mit dem neuen Modem nicht mehr ins Netz kommt (sehr wohl jedoch mit dem alten)

Hostname. . . . . . . . . . . . . : SysOp_PC
Primäres DNS-Suffix . . . . . . . : DAA-Rastatt.int
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert. . . . . . . : Nein
WINS-Proxy aktiviert. . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : DAA-Rastatt.int

Ethernetadapter LAN-Verbindung:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Intel(R) PRO/100 VE Network Connection
Physikalische Adresse . . . . . . : 00-30-05-4A-CC-E2
DHCP aktiviert. . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.3.31
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.3.128
DNS-Server. . . . . . . . . . . . : 192.168.3.30
194.25.2.129
217.5.99.105

Wie ist das eigentlich? Kommt jeder funktionsfähige Router auch automatisch mit jedem DSL-Modem klar? Mir fällt auf, dass mit dem neuen Speedportmodem lediglich das Routermodul des w2k3-Servers Probleme hat (obwohl ja die Einwahl klappt). Beim Zugriff aufs Internet mit dem auf dem selben Server installierten Jana-Proxy gibt es keine Probleme und der Server selbst kommt ja auch ins Netz - nur eben die Rechner, die den Server als Router nutzen können weder externe IPs anpingen noch funktionieren Browser.
Nochmal - ich muß nur das Speedport 200 (reines DSL-Modem) durch das alte Modem (auch reines Modem) ersetzen, mich im Routermodul des Servers neu bei t-online anmelden und schon klappt alles wieder wie am Schnührchen.
?????????

Gruß
Ralf
aqui
aqui 14.04.2007 um 18:03:21 Uhr
Goto Top
Das ist in der Tat sehr verwunderlich. Am Modem kann es ja eigentlich auch nicht liegen, denn wenn der Server einwandfrei ins Internet kommt kann es am DSL Anschluss und seiner Technik eigentlich nicht liegen.

Was verwunderlich ist ist das die NIC Liste nur ein einziges Ethernet Interface zeigt ?? Eigentlich sollten da ja 2 sein ??!!
Wichtig ist das auf dem Link ans Modem KEIN DNS Server konfiguriert ist ! Die IP Adresse dort ist eh nur ein Dummy muss aber in einem anderen IP Netz sein !!! Die o.a. DNS Adresse scheint aber falssch zu sein. Eigentlich sollte die auf einen Proxy DNS zeigen, den du aber nicht hast da keinen Router. Deshalb wird die per PPP dynamisch vom Carrier negotiated...

Was weiterhin inderessant waere, waere mal ein Output von ipconfig -all auf dem Server wenn du eine laufende PPPoE Verbindung ins Internet hast. Da muss in jedem Falle auch ein PPP Interface zu sehen sein, was die Adressen deines Providers negotiated hat.

Was passiert wenn du mit einem Client OHNE Proxy also rein ueber das Routing des Servers ins Internet gehst...klappt das ??
cykes
cykes 14.04.2007 um 18:44:50 Uhr
Goto Top
Hmm, bei Deiner IP Konfiguration wundert mich ein bsichen, dass der DNS Server und das Standard Gateway bei Deiner Netzwerkumgebung nicht identisch sind.
ralhue
ralhue 14.04.2007 um 21:37:48 Uhr
Goto Top
Die IP-Konfiguration, die ich gepostet habe stammt von einem Client und nicht vom Server. Deshalb auch keine 2te NIC. Was mir aber einfällt ist das sowohl die NIC in Richtung LAN als auch die NIC in Richtung Modem im selben Nummerkreis liegen 192.168.3.128 bzw. 192.168.3.129 (mache ich bei reinen LAN Routern natürlich nicht). Da mit dem alten Modem das aber so geht, habe ich das nie geändert.
Könnte es daran liegen? Warum klappts dann mit dem Uralt-Modem? Werde das Morgen aber gleich mal testen.
Ein PPP Interface ist aber auf jeden Fall bei bestehender PPoE Verbindung da (wird ich aber ebenfalls Morgen noch mal checken und ein Output posten)

Deine letzte Frage verstehe ich nicht richtig (von wegen Client ohne Proxy). Das ist ja genau mein Problem.
Die Clients, die den Proxy (Jana auf dem gleichen Rechner, der auch den w2k3-Software-Router darstellt) benutzen und einen entsprechend konfigurierten Browser haben kommen ins Internet.
Auf Konsolenebene können Sie jedoch keinen externen Rechner anpingen.
Die Clients, die generell für alles (Internet, eMail, etc.) den Router nutzen kommen weder mit dem Browser ins Internet noch können sie pingen.
Für mich sieht die Sache im Moment so aus, dass einfach nichts über das Routermodul des w2k3-Servers (auf dem ja auch der Jana-Proxy läuft) geht. Warum aber bitte mit dem alten Modem? Wenn damit alles klappt, kann doch die Routerkonfiguration gar nicht so falsch sein.
Fällt Dir (Euch) noch was ein?

Gruß
Ralf
ralhue
ralhue 14.04.2007 um 21:42:26 Uhr
Goto Top
Der DNS-Server liegt ber mir, genauso wie der DHCP-Server, auf dem Domänencontroller und das ist ein anderer Server (192.168.3.30) als der Software-Routing und RAS und Proxy Server (192.168.3.128).

Gruß
Ralf
aqui
aqui 14.04.2007 um 21:48:57 Uhr
Goto Top
Nein die IP Adressierung ist richtig, die muss ja immer im selben IP Segment liegen jedenfalls was Router und Hostadresse anbetrifft !

Das Problem ist sehr wahrscheinlich ein DNS Problem, denn der primaere DNS Server ist ein lokaler Server. Wenn der aber nicht als Next HOP DNS den T-Online DNS eingetragen hat wird der keine Vernuenftige Namensaufloesung hinbekommen.

Was passiert wenn du mal keinen Namen wie www.spiegel.de pingst sondern die nackte IP Adresse ??? Dann umgehst du evtl. DNS Probleme und nutzt native IP. Die IP vom Spiegel Server ist:

195.71.11.67

vom Heise Server

193.99.144.85

beide sind pingbar !
cykes
cykes 15.04.2007 um 09:23:42 Uhr
Goto Top
Ich würde Dir auch empfehlen, auf den Clients nur die IP des AD DNS Servers einzutragen.
Auf dem AD DNS Server dann eine Weiterleitung auf die Provider DNS Server einrichten.
Alles andere funktioniert meist gar nicht oder zumindest nicht sauber.
ralhue
ralhue 15.04.2007 um 14:18:56 Uhr
Goto Top
Leider kein DNS Problem auch native IPs lassen sich nicht pingen.
Ich habe Heute den ganzen Tag mal rumprobiert und habe folgendes herausgefunden:

Output ipconfig /all vom w2k3 Router-Server wenn er sich mit dem alten Modem einwählt (und dann natürlich alles klappt)

Windows-IP-Konfiguration

Hostname . . . . . . . . . . . . : dslserver2
Primäres DNS-Suffix . . . . . . . : DAA-Rastatt.int
Knotentyp . . . . . . . . . . . . : Unbekannt
IP-Routing aktiviert . . . . . . : Ja
WINS-Proxy aktiviert . . . . . . : Ja
DNS-Suffixsuchliste . . . . . . . : DAA-Rastatt.int

PPP-Adapter RAS-Server-(Einwähl-)Schnittstelle:

Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physikalische Adresse . . . . . . : 00-53-45-00-00-00
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 169.254.43.255
Subnetzmaske . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . :

Ethernet-Adapter LAN-Verbindung:

Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : 3Com EtherLink XL 10/100 PCI-TX-NIC (3C90
5B-TX)
Physikalische Adresse . . . . . . : 00-50-DA-3E-EA-CF
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.3.129
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :

Ethernet-Adapter LAN-Verbindung 2:

Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : ADMtek AN983-basierter Ethernet-Adapter
Physikalische Adresse . . . . . . : 00-30-05-C1-A3-F8
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.3.128
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :
DNS-Server . . . . . . . . . . . : 192.168.3.30
194.25.2.129

PPP-Adapter Remoterouter:

Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physikalische Adresse . . . . . . : 00-53-45-00-00-00
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 84.162.249.86
Subnetzmaske . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . : 217.0.116.59
DNS-Server . . . . . . . . . . . : 217.237.151.142
217.237.151.115
NetBIOS über TCP/IP . . . . . . . : Deaktiviert

Ein PING (von einem Client und auch vom Server selbst) auf die 84.162.249.86 kommt zurück, ohne das am Modem irgendwelche LAN-Aktivitäten zu beobachten sind. Logisch - weil ja im internen Netz, der PING muss also nicht außerhalb suchen.

Jetzt ein Output nachdem lediglich das alte Modem durch das neue ersetzt wurde (keinerlei Umkonfigurationen oder Neustarts von Rechnern. Nur die Anschlüsse an den Modems getauscht und neu beim Provider angemeldet:

Windows-IP-Konfiguration

Hostname . . . . . . . . . . . . : dslserver2
Primäres DNS-Suffix . . . . . . . : DAA-Rastatt.int
Knotentyp . . . . . . . . . . . . : Unbekannt
IP-Routing aktiviert . . . . . . : Ja
WINS-Proxy aktiviert . . . . . . : Ja
DNS-Suffixsuchliste . . . . . . . : DAA-Rastatt.int

PPP-Adapter RAS-Server-(Einwähl-)Schnittstelle:

Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physikalische Adresse . . . . . . : 00-53-45-00-00-00
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 169.254.43.255
Subnetzmaske . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . :

Ethernet-Adapter LAN-Verbindung:

Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : 3Com EtherLink XL 10/100 PCI-TX-NIC (3C90
5B-TX)
Physikalische Adresse . . . . . . : 00-50-DA-3E-EA-CF
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.3.129
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :

Ethernet-Adapter LAN-Verbindung 2:

Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : ADMtek AN983-basierter Ethernet-Adapter
Physikalische Adresse . . . . . . : 00-30-05-C1-A3-F8
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.3.128
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :
DNS-Server . . . . . . . . . . . : 192.168.3.30
194.25.2.129

PPP-Adapter Remoterouter:

Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physikalische Adresse . . . . . . : 00-53-45-00-00-00
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 84.162.220.153
Subnetzmaske . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . : 217.0.116.59
DNS-Server . . . . . . . . . . . : 217.237.151.142
217.237.151.115
NetBIOS über TCP/IP . . . . . . . : Deaktiviert

Jetzt kann nur noch der Router-Server selbst die neu zugewiesene 84.162.220.153 anpingen. Die Clients nicht mehr. ????????????????
Da die 84.162.220.153 im LAN liegt (quasi auf der NIC in Richtung Modem) kann es kein Modemproblem zu diesem Zeitpunkt sein, denn der Router selbst müsste sich ja rückmelden. Tut er aber nicht statt dessen erhalte ich LAN-Activity am Modem (im Gegensatz zur Anmeldung mit dem alten Modem: da meldet sich der Router und es tritt keine LAN-Activity am Modem auf) und übers Modem wird die IP natürlich nicht gefunden - sie liegt ja im LAN.

Wenn ich nicht schon komplett gaga bin, kann das doch nur bedeuten, dass irgrndwelche Informationen, die bei der Anmeldung beim Provider wieder zum Routerserver zurückfliesen diesen unterschiedlich in seiner Arbeitsweise beeinflussen bzw. bei Anmeldung mit dem neuen Modem dazuführen, dass er gar nicht mehr geht.

Der Sachverhalt ist übrigens jederzeit reproduzierbar - einfach durch Umstöpseln des Modems und ohne irgendetwas an den Einstellungen der Rechner zu verändern.

Von der DNS Schiene können wir uns also getrost verabschieden. Aber vieleicht fällt ja doch noch jemandem was ein (hoffentlich).

Gruß
Ralf
ralhue
ralhue 15.04.2007 um 14:22:36 Uhr
Goto Top
Schau Dir doch bitte mal die Antwort an, die ich an aqui geschrieben habe. Vieleicht hast Du eine Idee.

Gruß Ralf
aqui
aqui 15.04.2007 um 14:41:03 Uhr
Goto Top
Da laeuft in der tat einiges schief. Die Konfig sieht aber auch etwas unsauber aus. Bedenklich ist das es permanent einen PPP Adapter gibt:

PPP-Adapter RAS-Server-(Einwähl-)Schnittstelle:

Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physikalische Adresse . . . . . . : 00-53-45-00-00-00
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 169.254.43.255
Subnetzmaske . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . :


der scheinbar nicht in Benutzung ist und mit einer APIPA Adresse versehen ist. Da solltest du unbedingt mal checken wo diese Leiche herkommt und sie entfernen. Das kann eine Provider SW (T-Online SW oder sows..) sein die da natuerlich nicht hingehoert und deinstalliert gehoert !
Wenn du die 84.162.220.153

Das Problem ist auf alle Faelle nicht nachvollziehbar, da die Daten am virtuellen PPPoE Adapter immer die gleichen sind ! Wenn du die 84.162.220.153 pingst ist das ja eine lokale IP Adresse am Server selber. Modem Aktivitaet darf es da in keinem Falle geben.

Was sagt denn ein tracert <pppoe_ip> wenn du das von einem Client machst. Da kannst du ja sehen wo es ip technisch hakt. Was du pingen kannst was im Internet ist sind die negotiateten Nameserver, die du mit dem ipconfig siehst. Das geht dann sicher ins DSL Netz des Providers. (Pruefe aber vorher sicher ob diese DNS Server pingbar sind...das ist nicht immer der Fall)
ralhue
ralhue 15.04.2007 um 16:39:35 Uhr
Goto Top
Also die komische APIPA IP kann ich nicht mehr nachvollziehen. Ich bekomme jetzt immer die 192.168.3.78 an dieser Stelle und die passt ja in mein Netz. Der Server ist so nackt, wie es kaum anders geht. Außer w2k3 enterprice edition ist lediglich der Jana-Proxy installiert. Also auch keine T-Online SW oder sonstige Anwendersoftware. Halt - die Software Dyndns sorgt für einen Update des DNS-Eintrages fürs VPN.

Die TRACERT-Versuche ergaben folgendes:


so schauts mit dem neuen Modem aus:

Ping wird ausgeführt für 213.23.149.9 mit 32 Bytes Daten:

Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 213.23.149.9:
Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4 (100% Verlust),

C:\Dokumente und Einstellungen\Ralf.DAA-RASTATT>tracert 213.23.149.9

Routenverfolgung zu 213.23.149.9 über maximal 30 Abschnitte

1 <1 ms <1 ms <1 ms 192.168.3.128
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
6 * * * Zeitüberschreitung der Anforderung.
7 * * * Zeitüberschreitung der Anforderung.
8 * * * Zeitüberschreitung der Anforderung.
9 * * * Zeitüberschreitung der Anforderung.
10 ^C


Und so mit dem alten:

C:\Dokumente und Einstellungen\Ralf.DAA-RASTATT>ping 213.23.149.9

Ping wird ausgeführt für 213.23.149.9 mit 32 Bytes Daten:

Antwort von 213.23.149.9: Bytes=32 Zeit=81ms TTL=247
Antwort von 213.23.149.9: Bytes=32 Zeit=80ms TTL=247
Antwort von 213.23.149.9: Bytes=32 Zeit=79ms TTL=247
Antwort von 213.23.149.9: Bytes=32 Zeit=77ms TTL=247

Ping-Statistik für 213.23.149.9:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 77ms, Maximum = 81ms, Mittelwert = 79ms

C:\Dokumente und Einstellungen\Ralf.DAA-RASTATT>tracert 213.23.149.9

Routenverfolgung zu 213.23.149.9 über maximal 30 Abschnitte

1 <1 ms <1 ms <1 ms 192.168.3.128
2 * * * Zeitüberschreitung der Anforderung.
3 72 ms 62 ms 62 ms 217.0.68.66
4 77 ms 78 ms 77 ms f-eb5.F.DE.net.DTAG.DE [62.154.17.58]
5 75 ms 62 ms 77 ms ffm-145-253-33-77.arcor-ip.net [145.253.33.77]
6 75 ms 77 ms 77 ms 145.254.16.77
7 75 ms 77 ms 78 ms kln-145-254-18-214.arcor-ip.net [145.254.18.214]

8 76 ms 77 ms 77 ms 145.254.9.234
9 75 ms 77 ms 77 ms 213.23.149.9

Ablaufverfolgung beendet.

C:\Dokumente und Einstellungen\Ralf.DAA-RASTATT>

Hatte ich aber auch nicht anders erwartet.

Ich möchte mich an der Stelle aber mal ganz herzlich für die große Anteilnahme und eure Mühen mir zu helfen bedanken. So was habe ich bisher noch in keinem anderen Forum erlebt.

Vielen Dank - vieleicht kommen wir ja doch noch zu einer Lösung
Gruß
Ralf
aqui
aqui 17.04.2007 um 12:13:27 Uhr
Goto Top
Manchmal sieht man den Wald vor lauter Bäumen nicht....

Das Problem taucht an der 192.168.3.128 auf, denn da verschwinden die Packete nach der Installation des neuen Modems ja !!!

Sieht man sich nochmal deine Server Installation an fällt auf das beide LAN Ports:

Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : 3Com EtherLink XL 10/100 PCI-TX-NIC (3C90
5B-TX)
Physikalische Adresse . . . . . . : 00-50-DA-3E-EA-CF
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.3.129
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :

Ethernet-Adapter LAN-Verbindung 2:

Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : ADMtek AN983-basierter Ethernet-Adapter
Physikalische Adresse . . . . . . : 00-30-05-C1-A3-F8
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.3.128
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :
DNS-Server . . . . . . . . . . . : 192.168.3.30
194.25.2.129


Wie man unschwer sehen kann, im gleichen IP Netz sind !!! Klassischer IP Designfehler !!! Das darf natürlich nicht sein und ich denke mal das hier der Fehler liegt !!!
Die müssen natürlich in unterschiedlichen IP Netzen sein, denn sonst kann der Server nicht mehr richtig routen. Bei ihm sind ja nun 2 Interfaces im gleichen IP Netz (192.168.3.0/24) und das ist routingtechnisch nicht erlaubt !!!

Wenn du die 3COM Karte in das Netzwerk 192.168.4.0/24 legst sollte das Problem vermutlich verschwinden. Was allerdings ein passives Modem damit zu tun hat ist mir im Moment auch noch schleierhaft, aber dafür musste man auf dem Server mal in die Tiefe debuggen....

Generell sollte man dir noch sagen das ein Internetzugang zu realisieren direkt mit MS Produkten immer mit erheblichen Zweifeln aus Sicherheitssicht zu sehen ist, da man den Server immer direkt im Internet exponiert und so einen erheblichen Aufwand an Sicherheitskonfiguration leisten muss und das permanent. Es ist meist besser an einem separaten Segment, wie du es ja auch schon hast, einen externen Router zu betreiben, der den Internetzugang realisiert !
...das aber nur nebenbei !!!
ralhue
ralhue 18.04.2007 um 14:14:41 Uhr
Goto Top
Juuuuuubelllllll

Es hat geklappt. Der DSL-seitigen Nic eine IP aus einem anderen Netzsegment zugewiesen und sofort hat alles funktioniert. (Ohne Rechner- oder Routerneustart). Ich war der Meinung, dass die IP auf der DSL Seite unwichtig sei, da sie sowieso durch die vom Provider zugewiesene ersetzt wird. Nun bin ich gescheiter. Was ich aber nicht verstehe, warum hat die fehlerhafte Konfiguration des Routers mit dem alten Modem funktioniert? Aber schlaflose Nächte wird mir das sicher nicht bereiten.
Noch eine Frage zu Deinen Sicherheitsbedenken meiner Konfiguration: lehnst Du generell eine Routerlösung auf w2k3 Basis ab, oder stöhrt Dich, dass der Router im gleichen Netzsegment mancher Clients liegt? (Ein großteil der Rechner liegt eh in ander Subnetzen- jedes Klassenzimmer hat einen eigenen w2k3 Router)
Nochmals vielen herzlichen Dank für Deine Hilfe

Gruß
Ralf
aqui
aqui 19.04.2007 um 22:35:39 Uhr
Goto Top
Hallo Ralf !

Klasse, und sorry das ich das so spät gesehen hatte sonst wäre der Jubel eher gekommen...egal Hauptsache es klappt..

Die Problematik an einer direkten Dialin Lösung mit MS Produkten liegt einfach daran das über den PPP Adappter das Internet direkt am Server ist. Am besten du nimmst dir mal einen Wireshark (www.wireshark.org) und siehst was so auf einem offenen Internet Adapter passiert. Nach ca. 6-7 Sekunden nach Dialin brechen zig Portscann Attacken und Ping Sweeps und noch vieles andere auf die Adresse herein. Ein MS Server direkt am Internet ist ein gefundenes Fressen und willfähiges Opfer für das weltweite Heer der Hacker und Script Kiddies. Dadurch das du den Zugang dann direkt auf einem MS Server hast wirst du gezwungen eine absolut saubere und wasserdichte Firewall und auch Serverkonfig zu haben. Ein Unterfangen was einen erheblichen Aufwand und Pflege voraussetzt, die nie endet und die auch nicht sein muss. Jedes noch so kleine Sicherheitsloch in MS SW wird in Sekunden ausgenutzt was bei dir sehr einfach ist da der Server direkt im Internet exponiert ist.
Ein Szenario wie dies:
(Internet)---Router----(Server)----Clientsegment
senkt dieses Risiko ungemeint, das der Router mit der NAT Firewall schon mal per se den Server schützt. Ferner bietet der Router keine Angriffsfläche bei offenen Anwendungsports usw. weil er das schlicht und einfach gar nicht hat, da er nur auf dem OSI Layer 3 arbeitet.
Ein Linksys Router z.B. kostet 50 Euro was auch in einem Schulbudget eigentlich zur Absicherung des Schulnetzes enthalten sein sollte.

Als didaktischen Pluspunkt bietet er die Möglichkeit ein alternatives auf Linux basierendes Betriebssystem zu fahren wie z.B. dd-wrt.de oder open-wrt. Ein interessantes Projekt für Schüler sowas mal umzusetzen. Ich kann mir vorstellen das es dir sicher besser geht wenn du weisst das du den ITlern von morgen offene Horizonte anbietest und sie nicht zu Knechten von MS heranziehen wirst...

Wenns das war, bitte Thread oben als gelöst markieren !