Server 2008R2 im Netzwerk einrichten
Windows Server hinter der monowall betreiben!?
Hallo,
und zwar habe ich folgendes Problem. Ich möchte zum testen einen Windows Server 2008R2 einrichten.
Mein Netzt sieht so aus, das ich von der Uni Internet bekomm, das ganze in die Monowall (auf Alix Board) leite und an dieser ein Switch mit meinen PCs und auch dem Server hängt.
Der Server hat zwei Netzwerkkarten, ich dachte ich nehme die eine, um ihn mit Internet zu versorgen (hängt an der Monowall, Adresse per DHCP zugewießen: 192.168.1.111)
Und auf der anderen wollte ich einen DNS Server einrichten und dann ein Switch dran hängen über das dann die Client PCs angeschlossen werden.
Nun habe ich aber das Problem, das wenn ich die Reverse und die Forward Regel erstelle (mit 192.168.178.xxx) das er sich mit der IP der Monowall anmeldet.
Ist das normal...oder denke ich einfach nur in die falsche Richtung. Brauche ich überhaupt zwei Netzwerkkarten? Oder wie Regel ich das am besten? Wollte halt schon gerne ein eigenes Client Server Netz (IP).
Falls ihr mehr Infos braucht sagt einfach bescheid.
Ich bin für jede Hilfe dankbar.
MfG Robert
Hallo,
und zwar habe ich folgendes Problem. Ich möchte zum testen einen Windows Server 2008R2 einrichten.
Mein Netzt sieht so aus, das ich von der Uni Internet bekomm, das ganze in die Monowall (auf Alix Board) leite und an dieser ein Switch mit meinen PCs und auch dem Server hängt.
Der Server hat zwei Netzwerkkarten, ich dachte ich nehme die eine, um ihn mit Internet zu versorgen (hängt an der Monowall, Adresse per DHCP zugewießen: 192.168.1.111)
Und auf der anderen wollte ich einen DNS Server einrichten und dann ein Switch dran hängen über das dann die Client PCs angeschlossen werden.
Nun habe ich aber das Problem, das wenn ich die Reverse und die Forward Regel erstelle (mit 192.168.178.xxx) das er sich mit der IP der Monowall anmeldet.
Ist das normal...oder denke ich einfach nur in die falsche Richtung. Brauche ich überhaupt zwei Netzwerkkarten? Oder wie Regel ich das am besten? Wollte halt schon gerne ein eigenes Client Server Netz (IP).
Falls ihr mehr Infos braucht sagt einfach bescheid.
Ich bin für jede Hilfe dankbar.
MfG Robert
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 156379
Url: https://administrator.de/contentid/156379
Ausgedruckt am: 05.11.2024 um 09:11 Uhr
10 Kommentare
Neuester Kommentar
Zitat von @nofear87:
Geht es denn garnicht, das ich ein kleines Netzwerk über die zweite Netzwerkkarte aufbaue?
Doch, aber warum? Dazu müßte der Server auch den zusätzlichen Router stellenGeht es denn garnicht, das ich ein kleines Netzwerk über die zweite Netzwerkkarte aufbaue?
D.h. keien von beiden Netzwerkkarten ist WAN beide sind sozusagen im LAN!?
LAN1 oder LAN2?Stehe bestimmt wieder auf dem Schlauch
Ich auch grad Für Dich ist doch nur interessant vor und hinter der Monowall oder nicht?
Davor = LAN
Dahinter = WAN
Die Monowall baut ja ein 192.168.1.xxx Netz auf. Und vergibt die Adressen per DHCP.
Der Server bekommt allerding per MAC Filter die 192.168.1.111 zugeteilt.
Der server sollte die IP fest eingetragen bekommen.Der Server bekommt allerding per MAC Filter die 192.168.1.111 zugeteilt.
Du meinst also ich sollte den Server einfach im Netz integrieren!?
JaD.h.:
IP: 192.168.1.111
Subnetz: 255.255.255.0
Gateway: 192.168.1.1 (glaube das ist die Monowall)
und als DNS den Server sebst!?
DNS: 192.168.1.111IP: 192.168.1.111
Subnetz: 255.255.255.0
Gateway: 192.168.1.1 (glaube das ist die Monowall)
und als DNS den Server sebst!?
Und dann könnte ich die anderen PCs welche auch an der monowall sind in die Domäne aufnehmen...müsste es aber
nicht!?
Richtig.nicht!?
Ja, wie leider immer in so einem Fall....
Leider ist nun völlig unklar welche Zielvorstellungen du von deinem Netz hast. Beide deiner Designs funktionieren problemlos !
Generell erstmal zuallerst was das Thema DNS angeht:
Wenn die Monowall im Uni Netzwerk ihre IP Adresse per DHCP bekommt am WAN Port gilt die folgende Einstellung:
Damit "lernt" die Monowall den Internet DNS per DHCP und gibt sich selber als DNS Server aus wenn sie im LAN Segment selber DHCP macht. Die Monowall arbeitet als Proxy und reicht DNS Anfragen an ihre eigene IP LAN Adresse an den DNS Server weiter !
Achtung: Sollte die Monowall am WAN Port eine statische IP aus dem Uni Netz bekommen haben musst du zwingend die DNS Server IP des/der Internet DNS Servers hier unter "DNS Server" manuell eintragen !!
Das gleiche gilt für dein Server Netz hinter der Monowall egal ob mit oder ohne 2 NICs im Server:
Wenn du DNS dort im lokalen Netz verwendest um auch lokale IPs aufzulösen, dann aktivierst du ja DNS auf dem Server und hier musst du dann eine DNS Weiterleitung auf die Monowall IP Adresse einstellen. DNS die dann nicht lokal aufgelöst werden können am Server reicht dieser dann an die Monowall weiter...logisch ! Die Clients müssen dann die Server IP als DNS Adresse eingestellt haben. Gibt es kein lokales DNS, dann kann das entfallen und die Clients bekommen ganz einfach die Monowall IP als DNS fertig.
Sinnvoll ist es hier zum testen IMMER zuerst mit nackten IP Adressen von Clients ins Internet zu pingen um so ggf. DNS problemen gleich aus dem Weg zu gehen.
IP Adressen wie z.B.: 193.99.144.85 (heise.de) oder 195.71.11.67 (spiegel.de) wären solche sinnvollen IPs !
Zurück zu deinem Netzwerk Design:
... Nehmen wir mal dein ursprüngliches Design was du eigentlich vorhattest:
Das sähe dann so aus:
Einfach und simpel umzusetzen, du musst dich nur entscheiden WAS du am Server konfigurierst, ob du dort NAT (ICS) machst oder (besser) transparentes Routing ?!
Dazu solltest du unbedingt dieses Tutorial lesen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Gesetzt den Fall du entscheidest dich fürs normale Routing ohne NAT, dann sehen die Monowall Einstellungen so aus:
WAN Port (mit DHCP vom Uni Netz)
Als allerwichtigstes da du transparent routest musst du einen Statischen Routing Eintrag für das IP Netz hinter dem Server in der Monowall eintragen damit die Pakete in das Segment richtig geroutet werden !:
Da die Firewall am LAN Port nur per default das LAN IP Netzwerk zulässt musst du ebenso zwingend dieses IP Netz hinter dem Server am LAN Port erlauben, denn sonst kann es logischerweise nicht die Firewall passieren !!!
Wir erinnern uns an die goldene default Firewall Regel: Es ist alles verboten was nicht explizit erlaubt ist !!
Daher sieht die FW Regel am LAN Port so aus:
Fertisch... Damit rennt dann dies Szenario vollkommen problemlos.
Wenn du von außen auf den Server zugreifen willst per RDP z.B. musst du nur ein simples inbound NAT von Port TCP 3389 auf die 192.168.1.111 einstellen und den Zugriff in der Winblows Firewall von außen erlauben und gut ist.
Das ist in 10 Minuten fertig konfiguriert...wo ist also dein Problem ??
Natürlich ist auch ein einfaches Simpelszeanrio möglich:
Damit entfällt natürlich die statische Route und die zusätzliche Firewall Regel weil es das IP Netzwerk hinter dem Server logischerweise nicht mehr gibt !
(Entfällt übrigens auch solltest du auf dem Server im o.a. Szenario NAT oder ICS machen !!)
Es gilt aber weiterhin alles uneingeschränkt was oben eingangs zum Thema DNS gesagt wurde.
Wenn du das alles sauber beachtest funktionieren beide Designs ohne Probleme. Letztlich liegen die Fehler also allesamt an dir und einer falschen Konfiguration !!
Leider ist nun völlig unklar welche Zielvorstellungen du von deinem Netz hast. Beide deiner Designs funktionieren problemlos !
Generell erstmal zuallerst was das Thema DNS angeht:
Wenn die Monowall im Uni Netzwerk ihre IP Adresse per DHCP bekommt am WAN Port gilt die folgende Einstellung:
Damit "lernt" die Monowall den Internet DNS per DHCP und gibt sich selber als DNS Server aus wenn sie im LAN Segment selber DHCP macht. Die Monowall arbeitet als Proxy und reicht DNS Anfragen an ihre eigene IP LAN Adresse an den DNS Server weiter !
Achtung: Sollte die Monowall am WAN Port eine statische IP aus dem Uni Netz bekommen haben musst du zwingend die DNS Server IP des/der Internet DNS Servers hier unter "DNS Server" manuell eintragen !!
Das gleiche gilt für dein Server Netz hinter der Monowall egal ob mit oder ohne 2 NICs im Server:
Wenn du DNS dort im lokalen Netz verwendest um auch lokale IPs aufzulösen, dann aktivierst du ja DNS auf dem Server und hier musst du dann eine DNS Weiterleitung auf die Monowall IP Adresse einstellen. DNS die dann nicht lokal aufgelöst werden können am Server reicht dieser dann an die Monowall weiter...logisch ! Die Clients müssen dann die Server IP als DNS Adresse eingestellt haben. Gibt es kein lokales DNS, dann kann das entfallen und die Clients bekommen ganz einfach die Monowall IP als DNS fertig.
Sinnvoll ist es hier zum testen IMMER zuerst mit nackten IP Adressen von Clients ins Internet zu pingen um so ggf. DNS problemen gleich aus dem Weg zu gehen.
IP Adressen wie z.B.: 193.99.144.85 (heise.de) oder 195.71.11.67 (spiegel.de) wären solche sinnvollen IPs !
Zurück zu deinem Netzwerk Design:
... Nehmen wir mal dein ursprüngliches Design was du eigentlich vorhattest:
Das sähe dann so aus:
Einfach und simpel umzusetzen, du musst dich nur entscheiden WAS du am Server konfigurierst, ob du dort NAT (ICS) machst oder (besser) transparentes Routing ?!
Dazu solltest du unbedingt dieses Tutorial lesen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Gesetzt den Fall du entscheidest dich fürs normale Routing ohne NAT, dann sehen die Monowall Einstellungen so aus:
WAN Port (mit DHCP vom Uni Netz)
Als allerwichtigstes da du transparent routest musst du einen Statischen Routing Eintrag für das IP Netz hinter dem Server in der Monowall eintragen damit die Pakete in das Segment richtig geroutet werden !:
Da die Firewall am LAN Port nur per default das LAN IP Netzwerk zulässt musst du ebenso zwingend dieses IP Netz hinter dem Server am LAN Port erlauben, denn sonst kann es logischerweise nicht die Firewall passieren !!!
Wir erinnern uns an die goldene default Firewall Regel: Es ist alles verboten was nicht explizit erlaubt ist !!
Daher sieht die FW Regel am LAN Port so aus:
Fertisch... Damit rennt dann dies Szenario vollkommen problemlos.
Wenn du von außen auf den Server zugreifen willst per RDP z.B. musst du nur ein simples inbound NAT von Port TCP 3389 auf die 192.168.1.111 einstellen und den Zugriff in der Winblows Firewall von außen erlauben und gut ist.
Das ist in 10 Minuten fertig konfiguriert...wo ist also dein Problem ??
Natürlich ist auch ein einfaches Simpelszeanrio möglich:
Damit entfällt natürlich die statische Route und die zusätzliche Firewall Regel weil es das IP Netzwerk hinter dem Server logischerweise nicht mehr gibt !
(Entfällt übrigens auch solltest du auf dem Server im o.a. Szenario NAT oder ICS machen !!)
Es gilt aber weiterhin alles uneingeschränkt was oben eingangs zum Thema DNS gesagt wurde.
Wenn du das alles sauber beachtest funktionieren beide Designs ohne Probleme. Letztlich liegen die Fehler also allesamt an dir und einer falschen Konfiguration !!
Na ja es gibt immer Mittel und Wege von außen reinzukommen
Damit VPN für Arme - TCP in SSH tunneln mit Putty klappt es (fast) immer.....
Deine IP solltest du etwas anonymisieren, denn sonst weiss jeder das du an einer TU im schönen Il... bist...
Damit VPN für Arme - TCP in SSH tunneln mit Putty klappt es (fast) immer.....
Deine IP solltest du etwas anonymisieren, denn sonst weiss jeder das du an einer TU im schönen Il... bist...
Kann ja nicht, denn wenns wirklich komplett ist würde ja gar nichts mehr gehen, auch kein HTTP (Webtraffic) Email (SMTP, POP, IMAP) usw. usw.
Es sei denn du hast wirklich Recht, dann ist es aber auch vollkommen logisch das du von deinem Netz nicht ins Internet kommst wenn alles "komplett" im Uninetz geblockt ist ! Dann musst du dich nicht groß wundern ! Wo nix rausgeht kann auch nix reinkommen....
Es sei denn du hast wirklich Recht, dann ist es aber auch vollkommen logisch das du von deinem Netz nicht ins Internet kommst wenn alles "komplett" im Uninetz geblockt ist ! Dann musst du dich nicht groß wundern ! Wo nix rausgeht kann auch nix reinkommen....