3577
Goto Top

Lan-Verbindung über VPN

Hallo NG,
hat einer von Euch Erfahrung ?
Wir haben zwei Netzwerke über VPN miteinander verbunden. Funktioniert zwischen den Servern tatellos.
Problem ist, das nur Ressourcen auf den jeweils anderen Server angesprochen werden können.
z.B. einfache Freigaben auf Arbeitstationen können nicht erreicht werden (auch nicht über \\ip\freigabe).
Server sin Win2003 Server mit AD. Netze haben unterschiedliche IP Nummernkreise.
Router sind eigendlich richtig eingestellt. Firewal ateht auch nicht im Weg.

Haben wir da eventuell etwas grundlegendes falschgemacht ?
Eine Hinweis wäre jetzt sehr hilfreich, denn mir fällz nichts mehr ein.
Dank Euch - Gru0 Steffen

Content-Key: 15048

Url: https://administrator.de/contentid/15048

Ausgedruckt am: 28.03.2024 um 19:03 Uhr

Mitglied: f400
f400 29.08.2005 um 18:55:10 Uhr
Goto Top
Hallo Steffen,

das sind ja ganz schön dünne Informationen! Also gehen wir mal davon aus das Deine Netzwerkstruktur aus drei Subnetzen besteht:

LAN1 <= VPN-Server1 => Point to Point LAN <= VPN-Server2 => LAN2

Die beiden VPN-Gateways sind auch gleichzeitig die Router. So dann muß erstmal bei beiden VPN-Server eingestellt werden, dass der VPN-Client auch das dahinterliegende Netzwerk erreichen darf! So nun soll Workstation A im LAN 1 Workstation B in LAN 2 erreichen können! Dazu mußt Du Workstation A sagen wie LAN 2 zu erreichen ist und auch Workstation B muß wissen wo LAN 1 ist. Um das zu realisieren gibt es zwei Wege.

1. Gib VPN-Server1 als Gateway für die Clients im LAN1 an und VPN-Server2 als Gateway für die CLients im LAN2. Auf VPN-Server1 trägst Du eine Route zu LAN2 ein wobei dort VPN-Server 2 das Gateway (aber bitte die Point to Point Adresse!!!) ist. Das gleiche machst Du auch bei VPN-Server2, hier ist VPN-Server1 das Gateway.

2. Anstatt die VPN-Server als Gateway einzutragen, trägst Du auf jeden Client eine direkte Route zu dem anderen LAN ein. Die Einstellungen bei den VPN-Servern wären die gleichen.

Eine sehr elegante Lösung ist auf beiden Routern RIP zu aktivieren, aber ich befürchte, dass das jetzt ein wenig zu viel verlangt wäre ??"Router sind eigendlich richtig eingestellt"??
Mitglied: 3577
3577 29.08.2005 um 19:33:32 Uhr
Goto Top
Danke für die Antwort.
Struktur sieht so aus

Server1 (Lan1) > Router 1 mit Hardware VPN > Router 2 mit Hardware VPN > Server 2(Lan2)

RIP ist auf beiden Routern am laufen.
Wo ist eigentlich der Unterschied zwischen RIP1 und 2 ?
Es werden jeweils alle IP x.x.0.x nach x.x.1.x geroutet und ungekehrt.
Wie gesagt AS im Lan1 kann problemlos auf Server 2 zugreifen und umgekehrt.
AS Lan1 kann nicht auf AS in Lan2 zugreifen und umgekehrt.
Es wirkt so als ob nur die IP der Server geroutet werden, es werden laut Router aber alle umgesetzt.
Frage ist was macht ein Server anders als eine AS mit XPprof ?

Noch ne Idee
Gruß Steffen
Mitglied: f400
f400 29.08.2005 um 20:56:30 Uhr
Goto Top
Also fangen wir nochmal ganz von vorne an. Ein Router ist ein Layer 3 Gerät, das zwei logische Subnetze miteinander verbindet. Das heißt zwei Router werden bei mindestens drei Subnetzen gebraucht. Du schreibst aber, das Du nur zwei Subnetze hast, dem zu folge muß ein Router scheinbar mit zwei NIC's im selben Subnetz sein????

Für mich ist es mehr ein Rätselraten, da ich nicht weiß, was auf deinen Servern alles läuft!? Wenn da z.B. ein Router mit RIP läuft, hättest Du schon die Antwort. Mach doch mal folgendes, führe ein tracert von einer Worstation zu einer anderen Workstation im anderen Netz aus. Dann kannst Du sehen, wo er hängen bleibt.
Mitglied: f400
f400 29.08.2005 um 21:29:02 Uhr
Goto Top
Oh ich habe Deine Frage zu RIP übersehen! Ganz kurz RIP 2 ist eine Weiterentwicklung von RIP1. Dabei ging es darum RIP1 effizienter zu gestallten. RIP 1 ist ein Internal Gateway Protocol (IGP) und wurde für AS (Autonome System) in eine Größe bis ca. 100 Router designed, RIP 2 kann in weit größeren AS eingesetzt werden. In den RIP 1 Packeten werden zu den Subnetzinformationen keine Subnetzemasken mitgesendet, heute arbeiten aber viele Firmen mit Subnetting wegen der Adressverknappung. Es gibt noch weitere Unterschiede, mußt Du einfach mal im Netz gucken
Mitglied: 3577
3577 29.08.2005 um 22:01:54 Uhr
Goto Top
Ich hab vor meinem Schreiben ja halt alles probiert, ehe ich um Hilfe rief.
Ich kann die AS diret anbingen, tracert läuft sauber über Router 1 nach 2 un zu AS.
Deshalb denke ich (wie gesagt) es kann nicht an den Routern liegen.
Server und auch AS liegen in einer Domain. Also wenn ich in den Gruppenrichtlinien der Domain was verdreht hätte müsste dies für Server un AS gelten.
Tut es aber nicht.
Es ist nach wie vor nicht möglich auf einfachen Freigaben wie Drucker der AS zuzugreifen.
Das gleiche am Server funktioniert.
Auch nicht an einer AS sonder gleichfalls an 8. Alle Standardkonfig.
Bin ratlos.
Was übersehe ich blos noch?

Danke und Gruß Steffen
Mitglied: 3577
3577 30.08.2005 um 08:54:24 Uhr
Goto Top
Hallo NG,
sollte jemand diese Texte verfolgen, ein Zusatz.
Je mehr ich als (Muss-Admin) mich damit (unter Druck) beschäftigen muss,
kommt mir der Sachverhalt doch so vor als ob dies eine Sache der Firewall auf den AS ist.
Ich hab mal die Protokolle aktiviert auf den AS und ich kann Aktionen sehen von den Anrufern aus den anderen LAN.
Nun bin da ganz überfragt - da ich auch nicht verstehe warum der Domaincontroller Zugriff gewährt und ein Mitglied der Domain dies ablehnt.

Weis einer wie und wo man was einstellen muss um Zugriff auf Freigaben von AS aus einem anderen Netz zu erlangen ? AS WinXP prof, Server Win2003 SBS

Danke und Gruß Steffen
Mitglied: f400
f400 30.08.2005 um 12:44:31 Uhr
Goto Top
Oh man,

vielen Dank das Du jetzt schon bescheid sagst, dass sich die Rechner anpingen können und somit kein Routing-Problem existiert! Nun kann ich Dir auch sagen was ein Server gegenüber einer Workstation anders macht! Er authentifiziert!!!!!!!!

So, da ich nicht weiß, ob Du mit vertrauten Domänen arbeitest, oder ob eine der Domänen der anderen unterstellt ist, oder ob Du dich vor dem Zugriff auf die entfernte Workstation beim Server authentifizierst oder oder oder .... folgender Vorschlag:

Richte auf beiden Servern das Verteilte Dateisystem (DFS) ein. Grundprinzip, alle Freigaben in einem Netzwerk können in einen virtuellen Verzeichnisstam auf dem Server eingebunden werden. Ich hinterlege Dir mal eine Adresse dort kannst Du nachlesen wie das funktioniert. Ich bin mir sicher, dass das Dein Problem löst!

http://www.microsoft.com/germany/technet/datenbank/articles/600594.mspx
Mitglied: 3577
3577 30.08.2005 um 17:58:15 Uhr
Goto Top
Vielen Dank für Deine Geduld und Hilsbereitschaft, ich werde mich gleich versuchen zu belesen.
Server laufen als selbsständige Domainkontroller.
Noch ne dumme Frage obenauf - gilt dies auch für Druckerfreigaben?

Nochmals danke Steffen.
Mitglied: f400
f400 30.08.2005 um 21:10:15 Uhr
Goto Top
Nein, dass funktioniert nicht für Druckerfreigaben! Aber wenn Du mit zwei Domänen arbeitest die in keiner Beziehung zu einander stehen dann ist das Stichwort "Vertrauenstellungen", schau mal hier rein

http://www.microsoft.com/windows2000/de/server/help/default.asp?url=/wi ...
Mitglied: 3577
3577 02.09.2005 um 13:03:58 Uhr
Goto Top
Hallo Tipp mit Vertrauesstellungen war Gut,
wieder was gelernt.
Gelernt hab ich aber auch, dass SBS dies mal wieder nicht zulässt - und einer der beiden Server -nämlich der an den die besagten AS hängen ist ein SBS2003.
Beide Server müssen aber auch separate Domaiserver bleiben.
Ich kann (was ja auch bei SBS gehen soll) auch den einen Server dem anderen SBServer unterordnen.
Nun stehe ich halt wieder am Punkte null.
Netbios funktioniert ja sogar auch, alles sieht man.
Gibt es keine Sicherheitsrichtlinie - oder sowas um auf die Arbeitsstationen zuzugreifen ?

Vielleich noch eine Idee ?
Grüße Steffen
Mitglied: f400
f400 04.09.2005 um 10:06:55 Uhr
Goto Top
Hallo Kurti,

mir scheint, dass Du neu in dem Geschäft bist!? Also, fangen wir langsam an. Als erstes richtest Du die Vertauensstellung (bidirektional) zwischne den Domänen ein. Dann bildest Du eine "Globale Gruppe" in der Domäne, von der der Zugriff aus stattfinden soll (nicht die Domäne mit der Resoucen!!!!!), die nennst Du z.B. "Fernzugriff". In dies Gruppe steckst Du die User, die in der entfernten Domäne auf Freigaben zu greifen sollen. In der Domäne mit den Freigaben bildest Du eine "Lokale Gruppe". In dieser Gruppe steckst Du unter anderem auch die Globale Gruppe "Fernzugriff" der ersten Domäne. Jetzt erstellst Du am Besten einen DFS-Stamm auf dem Server in dem auch die Workstation mit der Freigabe ist. Hier bindest Du die Freigabe der Workstation ein (dieser Schritt ist kein Muß, aber es erleichtert Dir die Arbeit). Auf der Workstation gibst Du der zuvor erstellten "Lokalen Gruppe" Zugriffsrechte für die Freigabe. So, jetzt noch ein kleiner Hinweis, es ist klar, das diese "Lokale Gruppe" auch die NTFS-Zugriffsrechte benötigt!!!! Warum? Weil Freigabeberechtigungen und NTFS-Rechte kommulieren. Das restriktivere Recht gildet. Man muß sich also bei so einer Domänenstruktur vorher klar machen mit welchem Recht man die Domäne steuern möchte. Setzt Du wild einfach irgendwelche Berechtigungen kommst Du irgendwann in die Schei.... ! Am Besten Du setzt eine Berechtigungsart immer auf "Jeder" und mit der anderen steuerst Du die effektiven Rechte. Als Beispiel: die Freigabeberechtigungen setzt Du z.B. immer auf "Jeder" und mit den NTFS-Rechten setzt Du die effektiven Rechte.
Mitglied: 3577
3577 04.09.2005 um 10:43:32 Uhr
Goto Top
Danke, Danke Murat-Thomas,
... ist halt immer so ein Lauf der Dinge. Man wird halt hineingedrängt und hat permanent keine Zeit sich mit etwas richtig zu befassen ...
--
Wie oben geschrieben - lässt aber SBS keine Vertrauensstellungen zu.
--
Ich hab um der 'Erschießung zu umgehen' folgendes angestellt.
Ich habe auf den SBS Server (auf dem der entfernte Std.-Server ja auch ohne Vertrauesst. zugriff hat) lokale Druckerport eingerichtet welche einen Netzwerkpfad auf die AS nutzen.
Ich installiere den Treiber auf dem SBS und weise den Anschluss zu. Diesen Drucker kann ich dann auf dem SBS freigeben und vom entfernten LAN ansprechen. Leider scheinen hier aber auch manche Treiber dies nicht ganz zu wollen. Die wichtigsten funktionieren jedenfalls erst einmal. Richtiger Murks - aber ich weis nichts Besseres.
Richtigen Zugriff auf die AS am SBS vom fernen LAN bekomme ich einfach nicht. Die Vertrauesstellungen würden das Problem sicher lösen, doch wie gesagt hab ich lernen müssen das dies SBS nicht will, und ein Austausch ist wohl zeitlich und finanziell zurzeit nicht möglich.

Bin weider für jeden Tipp sehr dankbar.
Grüße Steffen
Mitglied: f400
f400 05.09.2005 um 12:52:32 Uhr
Goto Top
Mein letzter Tip in dieser Sache,

die Konfiguration des Druckers, den Du eingerichtet hast entspricht im entferntesten Sinne dem Prinzip des DFS. Das heißt, die Freigabe Deiner Workstation wird nicht über die Workstation erreicht sondern über den DFS-Stamm, den der Server verwaltet. Diesen Tip habe ich Dir schon ziemlich zu Anfang gegeben, ich weiß nun nicht, ob Du es schon probiert hast oder nicht.