Probleme mit Windows Server 2008 R2 NAT-Konfiguration

Hallo Johannes,

dein GW zum Internet ist die 192.168.0.1. Kommst du mit Ping bis zu diesem Server?

Gruß,
DexG

Dieses Tutorial dazu hast du gelesen ?? (Suchfunktion lässt grüßen...)
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Der Server soll doch wohl hoffentlich nicht direkt mit einer NIC am Internet hängen, oder ? (öffentliche 200er IP ?)
Nochwas:
Von dir nicht rechtlich zugeteilten IP Adressen solltest du in privaten IP Netzen immer Abstand halten !! Das 200er Netz ist weltweit einem Nutzer in Südamerika/Kolumbien zugeteilt und nicht dir:
inetnum: 200.0.0/21
address: Bocagrande Carrerea 3a. No. 8-06
address: Apartado Aereo 0083
address: Cartagena
country: CO
owner-c: GE5-ARIN
created: 19930511
changed: 19930511
inetnum-up: 200.0.0/21
source: ARIN-HISTORIC
Es sollte sich auch mittlwerweil bei Netzwerk Bastlern (bei Netzwerk Admins sowieso...) rumgesprochen haben das man dafür immer die RFC 1918 IP Adressen (Private IPs) verwendet. Mit den 10er, 172ern und 192.168ern hast du da einen reichhaltigen Fundus ohne mit öffentlich gerouteten Netzen im Internet in Konflikt zu geraten !
http://de.wikipedia.org/wiki/Private_IP-Adresse

Lies dir das o.a. Tutorial genau und Schritt für Schritt durch, dann klappt es auch vom Client auf Anhieb !

Hi Johannestz,

generell hier is mal n openbook für Windows Server 2008 R2 hat mir am anfang auch ganz gut geholfen.

http://openbook.galileocomputing.de/windows_server_2008/

Zu deinem Problem du brauchst Routing und RAS als Server-Rolle.
Dann öffnest im Server-Managment oder in einer Konsole die Rolle Netzwerkrichtlinen- und Zugriffsdienste -> Routing und RAS.
Dann gehst bei IPv4 drauf und fügst über das Kontextmenü deine 2 Schnittstellen hinzu.
Bei der am öffentlich Netz stellst in den Eigenschaften dann "An das öffentliche Netz angeschlossen" und "NAT auf dieser Schnittstelle aktivieren"

Jetzt sollte das Routing richtig funktionieren. Das kannst auch kontrollieren indem du in der gleichen Rollenansicht mit der rechten Maustaste auf deine öffentliche NIC gehst und dann "Zuordnungen anzeigen" wählst.

gruß Reini

Mit besserwisserischem Getue hat das absolut nichts zu tun....sorry.
"Alles andere als ein Klasse C Netz wäre, was die jetzigen Planungen angeht vollkommen übertrieben...."
Ist denn 10.0.1.0 /24 oder 10.1.1.0 /24 oder 172.16.1.0 /24 oder oder oder... etwa kein Class C Netzwerk ??
Also wenn es schon an solchen Basics wie dem Verständnis von CIDR IP Netzwerk Masken scheitert (Die alte Class Regelung der IP Adressen ist schon vor Jahrzehnten obsolet geworden..!) dann wird es sicher nicht einfacher mit dir eine Lösung hier zu finden.
Alternativ falls du mit CIDR Masken nicht umgehen kannst bleiben dir ja noch 65534 verschiedene "Class C" Netzwerke im privaten 192.168.0.0er Bereich statt eine weltweit fest zugewiesene IP zu benutzen.
Vergiss also den 192er Bereich und nutze den 10er oder 172er bereich der privaten IPs wenn du im 192er unsicher bist. Besser ist das allemal !
Klar kannst du problemlos den DHCP Server bei Winblows benutzen. Wenn du für beide IP Segmente vergeben musst benötigst du ggf. einen DHCP Relay Agent !
Siehe dazu ins Tutorial oder die MS Knowledgbase die erklärt wie ein Relay Agent einzurichten ist.
Der entfällt wenn du nur für ein Segment DHCP benötigst !
Was das Routing anbetrifft macht ein Windows Rechner egal welcher Coleur erstmal KEIN Routing und auch kein ICS/NAT ! Er behandelt beide Segmente vollkommen getrennt ohne eine Kommunikation über beide Segmente was ja bei dir auch gefordert ist !
Bei XP und älteren Server OS musst du einen Eingriff in die Registry machen, bei moderneren Server OS wie 2008 schaltet das aktivieren der Routing/RAS Funktion das Routing aktiv.
Hier bleibt dann nur die Frage ob du dann NAT/ICS machst zwischen den Segmenten oder eben sauberes Routing ohne NAT, was in der Firewall Einstellung entsprechend einzustellen ist.
Sehen kann man das immer daran wenn man den Internet Router anpingt das man keine Antwort bekommt, weil dem schlicht und einfach die statische Route fehlt ! (Siehe Tutorial !)
Bei NAT "versteckt" man ja das Client Netzwerk hinter der Server IP. Da benötigt der Router dann keine statische Route allerdings schafft man sich durch die dann aktive NAT Firewall auf dem Server ggf. andere Probleme.
Das war mit dem Punkt "Routing aktivieren" gemeint !
Beachte bitte zudem das es bei der 2008 SBS Version erhebliche Einschränkungen beim Verwenden von 2 NICs gibt. Manche Versionen supporten das gar nicht oder nur sehr eingeschränkt ohne NAT/ICS
Dank für den Hinweis der nicht aktiven Links das wird korrigiert ! Welchen genau meinst du ? Alle unter der Routing Headline funktionieren problemlos ??

Dann versuch doch noch ne statische Route einzutragen.

Ziel: 192.168.0.0 Subnetz 255.255.255.0 Gateway 192.168.0.1 und die öffentliche NIC als Schnittstelle.

Ansonsten sollte deine Konfig von den NICs passen. DNS eintrag hast ja auf der privaten entfernt (also nur 127.0.0.1 lassen). Das Gateway an der öffentlichen NIC dürfte nichts ausmachen.
Bei DHCP brauchst den DNS-Eintrag für den 192.168.0.1 nicht verteilen. Du brauchst lediglich deinen 200.0.0.1. In deinem DNS-Server setzt du ja eine Weiterleitung auf den 192.168.0.1 (Siehe Kapitel DNS-Server)

http://openbook.galileocomputing.de/windows_server_2008/windows_server_ ...

Bei der Zuordnungmaske stand da auch das Ziel? Wenn beide angezeigt werden sollte NAT funktionieren. Probier mal noch die Standardroute und wenn schon meinst dass die Verkabelung n schuss hat dann schließ doch einen Testclient direkt mit einem Cross-Over kabel am Server an und teste den Zugang oder sind beide seiten der Verkabelung beschädigt?

gruß reini

@90948
Die Route: "Ziel: 192.168.0.0 Subnetz 255.255.255.0 Gateway 192.168.0.1 " ist doch völliger Unsinn ! Du routest ein Netz auf sich selber was an einem eigenen Segement anhängt.
Was soll da der tiefere Sinn von sowas sein ? Vergiss den Blödsinn das ist keine Route sondern ein Gebastel...sorry ! Klar das so ein Unsinn nicht zum Erfolg führt und diese Route solltest du schleunigst wieder entfernen (sofern mit -p permanent gemacht !)

@aqui

Ich weiß dass des nich logisch erscheint. Hab mich auch verschrieben als Gateway eigentlich die IP der NIC am öffentlichen Netz eintragen. Nur so funktionierts bei mir. Mit reinem NAT wie oben beschrieben bekomme ich auch keine Kommunikation zu stande erst mit diesem eintrag geht es dann.
Kann nur aus meiner Erfahrung mit Server 2008 sprechen.

Bei einer Route muss immer ein nicht bekanntes Netzwerk (also eins was NICHT direkt an dem Gerät angeschlossen ist und somit da unbekannt ist) auf einen Next Hop Gateway Adresse gelegt werden die an einem bekannten Netz (also einem was direkt und lokal angeschlossen ist und damit bekannt ist) beschrieben werden.
Nur so machen Routen auch logisch Sinn.
Die Route oben routet ein bekanntes, da lokales Netz was eigentlich problemlos direkt erreichbar ist (es ist ja lokal physisch angeschlossen !), auf eine Gateway Adresse in eben diesem selben Netz. Da dreht sich dann das Paket im Kreis....
Den Sinn versteht nichtmal ein Router

Wenn es mit reinem NAT nicht geht, dann hast du einen Fehler in der Konfiguration oder hebelst so die Firewall aus oder was auch immer. Wie man es dreht oder wendet ist das dann aus reiner IP Sicht eine schlicht Fehlkonfiguration die zukünftig Probleme schafft. Nicht mehr und nicht weniger....
NAT bewirkt ja gerade das alles auf die lokale IP übersetzt wird. Damit sind dann Routen überflüssig.
Allerdings schafft man sich dann durch den NAT Prozess eine quasi Firewall die ein transparentes Routing über beide Segmente verhindert !! Diesen Fakt bzw. Falle sollte man nie vergessen.
Diese beiden Artikel beschreiben das Verhalten anschaulich:
Kopplung von 2 Routern am DSL Port
http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html --> "Internes"
Leider vergessen sie die meisten Laien...
Transparentes Routing erzwingt dann auf den zentralen Routern aber zusätzliche statische Routen damit diese Netze lokal erreicht werden können. Auch das vergessen die meisten leider bzw. benutzen kein Traceroute oder Pathping was das Elend denn immer gleich zeigt....
50% aller Threads hier zu dem Thema wären dann obsolet....

cool will man helfen und merkt dabei dass an der eigenen konfig was nich stimmt

Das prinzip vom Routen verstehe ich schon, wo das Problem dann liegt muss ich nochmal schauen. Wie gesagt ohne diesen Eintrag funktioniert es nicht. Versteh es selber nich was ich damit genau umgehe ich schau mir auf jedenfall die Konfig nochmal an. Der ganze Server wird aber wahrscheinlich mal plattgemacht da des AD auch Probleme beim anmelden macht.

Das mit dem nicht transparenten Routing weiß ich. Trotzdem danke für den hinweis aqui.

Noch ne kurze andere Frage was für Fachbücher im Bereich Netzwerk kannst du den empfehlen?