Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst MS Windows Server 2003 als Standartgateway

Mitglied: Venator

Venator (Level 1) - Jetzt verbinden

05.05.2008, aktualisiert 11.07.2008, 7847 Aufrufe, 13 Kommentare

Hallo an alle,

Ausgangssituation:
Domäne Server 2003 R2
3 Server
10 Clients

Wir haben bei uns einen Router (der jedoch nicht von uns verwaltet wird), der jedoch für unsere Clients als Standartgateway via DHCP vergeben wird und somit unsere Internetanbindung garantiert.

Quasi: Internet <-> Router (Standartgateway) <-> 3 Server/ 10 Clients

Ziel:
Das Ziel ist aus innerbetrieblichen Gründen nun folgendes:
Wir haben nach wie vor den Router, jedoch nutzen unsere Clients in nichtmehr als Standartgateway.
Hier ist nun ein Server dazwischen geschaltet, der diese Funktion übernimmt.
Unsere Server gehen nach wie vor über den Router direkt ins Netz.

Quasi: Internet <-> Router <-> 3 Server / 1 Gateway <-> 10 Clients

Frage:
Wie kann ich dieses Vorhaben realisieren? Ein Proxy ist nicht wohl nicht das wahre, da die Anwendungen einen solchen untersützen müssen. Da wir aber hinter dem Router Lizenzserver und ähnliches haben, die einen Proxy nicht untersützen fällt das leider aus.

Windows XP hat eine Internetverbindungsfreigabe. Dort kann ich "das Internet freigeben" und die IP dieses Rechners als Standartgateway bei den Clients eintragen. Funktioniert soetwas auch mit Server 2003

Vielen Dank und Grüße,
V...
Mitglied: aqui
05.05.2008 um 12:38 Uhr
Ja, natürlich wenn du RAS/Routing aktivierst !


Dies Tutorial sagt dir genau wie du es machen musst :

https://www.administrator.de/Routing_mit_2_Netzwerkkarten_unter_Windows_ ...
Bitte warten ..
Mitglied: Venator
05.05.2008 um 13:02 Uhr
Ja, aber bei dem Tutorial müssen beide Netze in unterschiedlichen Netzen sein. Das sind sie bei uns leider nicht.
Bitte warten ..
Mitglied: aqui
05.05.2008 um 13:09 Uhr
Dann ist das ein Fehler in deinem Netzwerkdesign und lässt sich so erstmal nicht lösen...

Abgesehen davon sollte man auch schon aus Lastgründen niemals eine Bridge auf einem Server laufen lassen !!!

Der Grund "innerbetrieblich" wird dann auch vollkommen ad absurdum geführt, denn was sollte ein auf Mac Layer 2 gebridgtes Netzwerk in einer einzigen IP Range dann noch für innerbetriebliche Gründe haben ??? Eine logische oder betriebliche Trennung ist so gar nicht möglich und die ganze Argumentation damit vollkommen unsinning, sorry !
Bitte warten ..
Mitglied: Jokesoft
05.05.2008 um 13:32 Uhr
Wenn ich's richtig verstehe möchtest du nichts ändern, es sollen nur die Clients direkt vom Router weg, oder?

Wenn es denn so ist, wäre mein Tipp:

DHCP auf Router deaktivieren.
DHCP auf einem der Server einrichten mit dem DHCP als Gateway.
Dem DHCP den Router als Gateway mitgeben.
Renew auf den Clients.
Färddisch!

Gruß
Arne
Bitte warten ..
Mitglied: Venator
05.05.2008 um 13:34 Uhr
Dann ist das ein Fehler in deinem
Netzwerkdesign und lässt sich so erstmal
nicht lösen...

Ich weis, leider aber nicht zu ändern auf Grund der innerbetrieblichen Gründe.


Der Grund "innerbetrieblich"
wird dann auch vollkommen ad absurdum
geführt, denn was sollte ein auf Mac
Layer 2 gebridgtes Netzwerk in einer einzigen
IP Range dann noch für
innerbetriebliche Gründe haben ???
Eine logische oder betriebliche Trennung ist
so gar nicht möglich und die ganze
Argumentation damit vollkommen unsinning,
sorry !

Also, der Betrieb ist eine Universität mit mehreren Instituten. Jedes Insitut bekommt durch das Hochschulrechenzentrum dieser Uni einen Internetanschluss via RJ45 zur Verfügung.
Der Router steht beim HRZ und lässt nur bestimmte IP Adressen ins Internet.
Leider bekommen wir nicht unser gesamtes Subnetz geroutet und das anmelden / ummelden, welche IP-Adresse Internet bekommen darf ist ein riesig-umständlicher und vor allem zeitraubender Akt (1 - 2 Tage = inakzeptabel).

Daher die Idee, einen eigenen Gateway aufzusetzen, der ins Internet kann und allen unseren Clients dieses zur Verfügung stellt. Das HRZ ist damit einverstanden, verlangt jedoch das wir die IP-Adressen unseres Subnetzes beibehalten (intern).

So kommt dieser Netzwerkfehler zustande ;-(
Bitte warten ..
Mitglied: aqui
05.05.2008 um 14:00 Uhr
@Venator
Abgesehen davon das der Tip von Jokesoft dir nicht wirklich weiterhilft in deinem Szenario hast du nur eine einzige Chance in der Segmentierung der Netze.
Du musst 2 Netzwerkkarten im Institutsserver betreiben, eine geht ins Uninetz und eine geht in euer lokales Institutsnetz.
Routing/RAS musst du dafür nicht unbedingt einschalten aber zwingend musst du auf dem Netzwerkadapter zum Uninetz ICS (Connection Sharing) fahren ! Das ist netztechnisch gesprochen simples NAT, das dann euer gesmates Institutsnetz auf die vergebene IP Adresse des Uninetzes umsetzt. Euer Institutsnetz tauch also so nicht mehr im Uni Netz auf, deshalb könnt ihr frei wählen welche IP Adressierung im Institutsbereich nehmt. Auch ein Wiederholen dieser IP Netze für andere Institute ist denkbar sofern diese Institutsnetze NIEMALS verbunden werden !
Besser ist aber in jedem Falle eine individuelle Institutsaddressierung auf Basis der freien RFC 1918 privaten-IP-Adressen.

Ein Netzwerk am Beispiel von 2 Institutsnetzen sähe dann so aus:

c290dba72fb81475e8f70de4957e04a5-trenn - Klicke auf das Bild, um es zu vergrößern

Du musst aber in jedem Falle die Netze trennen !! Eine andere Chance auf eine saubere IP Adressierung bei der Anforderung hast du nicht !!!

Denkbar ist auch eine Lösung die Server nicht das NAT Routing zum Uni Netz machen zu lassen sondern dafür kleine DSL Router ohne integriertes Modem zu verwenden wie z.B. den Edimax-6104, der sowas für ca. 20 Euro erledigt.
Technisch etwas eleganter, da die Institutsserver damit nicht am Routing Prozess ins Uni Netz beteiligt sind und eine IP Umstellung einfacher handhabbar ist !!

Dann sähe das o.a. Szeanrio entsprechend so aus:

7ca0133dcb74d6b02c34a03ed5f4eaed-trenn2 - Klicke auf das Bild, um es zu vergrößern

Wie bereits gesagt: Die IP Segmentierung ist dafür Pflicht ! In einem flachen Layer 2 Netzwerk und Bridging Verfahren ist dein Vorhaben technisch nicht lösbar !!
Bitte warten ..
Mitglied: Jokesoft
05.05.2008 um 15:30 Uhr
@aqui

Hmm, ich weis nicht. Fakt ist, alle Clients haben z.Z. den Router als Gateway im Bauch. Gateway soll zukünftig aber ein Server sein und nicht mehr der Router.
Wenn die Clients über den DHCP den DHCP als Gateway zugeteilt bekommen und der DHCP aber den Router als Gateway hat, ist es genau das, was Venator haben möchte: Die Loskopplung der Clients vom Router.

Mit den DNS-Einträgen verhält es sich natürlich equivalent.


Alles was der Server nicht beantworten kann, wird er an den Router schicken.
Bitte warten ..
Mitglied: aqui
05.05.2008 um 17:21 Uhr
@Jokesoft
Technisch und funktional ist deine Beschreibung richtig, keine Frage nur Venator muss seine Netze trennen mit einem NAT Router. Ob das nun der Server oder ein externer Router macht ist funktionstechnisch erstmal völlig egal. So, ohne die NAT/Routing Trennung in einem flachen, gebridgten Layer 2 Netz wie oben beschrieben, ist das netztechnisch nicht umsetzbar !

Die Clients erhalten dann sowieso eine komplett andere IP Adresse entweder über den DHCP Server im Server selber oder über den Router oder ganz banal einfach statisch ohne DHCP. Das ist letztlich kosmetisch wie die Adressvergabe dann im so umgesetzten Clientnetz stattfindet.
Primär wichtig ist ja die Umsetzung der Adaption der Institutsnetze auf das Uni Backbone wo vermutlich öffentliche IPs vergeben sind wie so üblich an Unis....
Für die Clients spielt dann der Unirouter selber gar keine Rolle mehr (denn sie sehen ihn ja nicht mehr !) nur noch für den dann als NAT Router arbeitenden Server oder eben dem externen Router ist er noch relevant. (Default Route ins Internet)
Bitte warten ..
Mitglied: Jokesoft
05.05.2008 um 21:01 Uhr
Stimmt du hast recht. Es muss natürlich eine zweite NIC in jeden Server. DHCP und Clients müssen im gleichen Netz sein. Mit nur einer NIC wäre es eine sehr fragwürdige Konstellation, ganz zu schweigen davon, ob das mit dem Weiterleiten der Internet-Pakete funktioniert hätte.

Extra Router wären zwar der Goldweg, aber bei den paar Clients tut's bestimmt nicht not und die Sicherheitssysteme sind ja wohl hoffentlich direkt hinter dem Router im HRZ implementiert.
Bis auf die NICs ist der Rest ja Onboard, egal ob man ICS oder Routing & RAS benutzt. Obwohl ich Routing & RAS bevorzugen würde.
Bitte warten ..
Mitglied: aqui
06.05.2008 um 09:29 Uhr
Richtig ! Routing wäre technisch die beste Lösung, da so auch die Erreichbarkeit von außen einfach gewährleistet wird.
Allerdings erfordert das dann auch wieder die Intervention des Uni RZ Personals, denn die müssten dann statische Routen auf dem Uni Router definieren für die Institutsnetzwerke. Genau ein Punkt den Venator ja vermeiden will wenn man ihn da richtig versteht...??!!
Deshalb ist NAT/ICS hier für ihn die bessere Lösung, denn damit bekommt er die Adaption vollkommen ohne Fremdeingriffe geregelt.
Wenn er es denn überhaupt regelt....???
Bitte warten ..
Mitglied: Jokesoft
06.05.2008 um 11:08 Uhr
Da hast du auch wieder recht. Mit der ICS-Variante ist er auf jeden Fall unabhängig.

Mich würde interessieren, wieso er deiner Meinung nach die drei Institutnetze unbedingt trennen muss. Meiner Meinung nach, sollte man das sicherlich machen (aus strategischer/logischer Sicht), aber müssen nicht. Es würde reichen einen der drei Server als Router aufzurüsten und den Rechnern aller Institutnetze ein privates Subnetz zu verpassen.

Naja, warten wir mal ab, was er sagt, wenn er noch mal was sagt.

P.S.
Schicke Bilder hast du da eben mal so auf die Schnelle erstellt.
Bitte warten ..
Mitglied: aqui
06.05.2008 um 15:55 Uhr
Er muss es nicht unbedingt trennen. Nur wenn diese Netze weit auf dem Uni Campus verteilt sind dann müsste man es ja auch so machen sofern man nicht mit VLANs arbeiten kann. So ist das wenigstens in der Beschreibung von Venator zu verstehen.
Sind sie allerdings in einem Gebäude zusammen, ist natürlich auch alles hinter einem Router oder ICS Server denkbar...keine Frage !

Ein Netzwerk nach diesem Design (Beispiel mit 2 IP Netzen im Institut) könnte dann mit einem ICS Server so aussehen:

f3b77b8c08e8cb98ca6838da6be87072-uni2 - Klicke auf das Bild, um es zu vergrößern


Analog ist dann zur Routerkonfiguration wieder ein Router statt des ICS Servers denkbar dort an der Übergabestelle zum Uni-Netz !
Bitte warten ..
Mitglied: Venator
11.07.2008 um 09:44 Uhr
Hallo,

da VLANs derzeit auf Grund der noch vorhandenen Switche nicht möglich sind und es sich nur um eine temporäre Lösung handelt, habe ich mich jetzt für einen Proxy entschieden.
Mittels Proxyserver und Routing kommen alle PCs ans Netz. Der Proxy ist natürlich von draussen nicht zugänglich.

Vielen Dank nochmal an die vielen Lösungsvorschläge.
Grüße, Venator
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Standartgateway für Clients
gelöst Frage von itsk-robertNetzwerke21 Kommentare

Hallo, warscheinlich ist es einfach aber ich finde es nicht. An unserem Server waren bis jetzt alle Clients mit ...

Microsoft Office

Mitarbeiterin bekommt Terminbestätigungen MS Office 2003

Frage von dwestermannMicrosoft Office2 Kommentare

Guten Tag Kollegen! Ich stehe gerade vor folgendem Rätsel. Unsere Mitarbeiter haben das Office Paket 2003 inkl Outlook, der ...

Microsoft Office

MS Word 2003 Information Rights Management IRM

Frage von michi19Microsoft Office3 Kommentare

Wir sind ein Reisebuchverlag mit umfangreichen Druckwerken, die prall mit veränderungsanfälligen Informationen gefüllt sind. Deshalb werden die Manuskripte im ...

Windows Vista

Schwerwiegender Fehler des MS-Windows-TaskScheduler

Frage von Martin.MartinWindows Vista19 Kommentare

Hallo Wissender Nach dem Hochfahren des Vista-PCs, in allem aktuell, mit KIS als Schutz, "rödelt" der PC noch minutenlang, ...

Neue Wissensbeiträge
Internet

Kommentar: Bundesregierung erwägt Ausschluss von Huawei im 5G-Netz - Unsere Presse wird immer sensationsgieriger

Information von Frank vor 22 StundenInternet4 Kommentare

Hier mal wieder ein schönes Beispiel für fehlgeleiteten Journalismus und Politik zugleich. Da werden aus Gerüchten plötzlich Fakten, da ...

Windows 10

Netzwerk-Bug in allen Windows 10-Versionen durch Januar 2019-Updates

Information von kgborn vor 1 TagWindows 101 Kommentar

Nur ein kurzer Hinweis für Admins, die Windows 10-Clients im Portfolio haben. Mit den Updates vom 8. Januar 2019 ...

Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 1 TagWindows 102 Kommentare

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Sicherheit

Heise Beitrag Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht

Information von Penny.Cilin vor 1 TagSicherheit6 Kommentare

Auf Heise Online ist folgender Beitrag veröffentlicht worden: Heise Beitrag passwörter geleakt Ich bin mir jetzt nicht ganz sicher, ...

Heiß diskutierte Inhalte
Batch & Shell
Mit findstr batch doppelte zeilen einer txt löschen
Frage von Burningx2Batch & Shell24 Kommentare

Hi Vor einer weile habe ich im netzt einen windows shell befehl gefunden mit welchem man über die konsole ...

Verschlüsselung & Zertifikate
Netzwerkfreigabe Verschlüsselung
Frage von grill-itVerschlüsselung & Zertifikate20 Kommentare

Moin zusammen, sicher nutzen hier die ein oder anderen ein Produkt zur Verschlüsselung von Netzwerkfreigaben/-laufwerken auf denen hochsensible Daten ...

Windows Server
Client in die Domäne einbinden - Allgemeine Frage dazu
gelöst Frage von RalphTWindows Server19 Kommentare

Moin, ich habe 2 DCs in einer Hauptstelle und 2 DCs in einer Nebenstelle. Ich bringe in der Hauptstelle ...

Debian
OpenSSH Login mit Public Key schlägt fehl, mit Passwort funktioniert
gelöst Frage von DKowalkeDebian19 Kommentare

Hallo zusammen, ich hatte hier schon nach einer Anleitung für einen SFTP Server mit Linux gefragt, habe dort auch ...