Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Server kann ins Internet. Die LAN-PCs nicht

Mitglied: Fred-HB
Hallo.

Ich habe einen Hardwarerouter Draytek Vigor 2200E an einen Win2003-Server gehängt. Der
Server soll für ein paar Domänen-PCs den Internetzugriff ermöglichen, und der Server soll
auch von Homearbeitsplätzen per VPN erreichbar sein.

Die Komponenten:
Der Server hat 2 Netzwerkkarten. Die LAN-seitige ist mit einem Switch verbunden. An dem
Switch hängen auch die LAN-PCs. Die WAN-seitige Netzkarte geht zum Hardwarerouter. Die
beiden NICs im Server sind in 2 Netzen. Routing und RAS ist eingerichtet. Mit dem Server
komme ich auch ins Internet. Aber die LAN-PCs haben keinen Zugang zum Internet.

Vom Server aus kann ich den Hardware-Pouter anpingen. Von den LAN-PCs nicht. Die LAN-PCs haben auch keine Route zum Hardware-Router. Der DHCP-Server hat den LAN-PCs den Router als Standard-Gateway mitgeteilt und die IP des Servers als DNS-Server. In DNS ist eine
Weiterleitung auf die IP des Routers eingetragen.

Ich schätze, dass ich in Routing und RAS noch etwas einstellen muss. Aber wo? Hat jemand
noch einen Tipp, an welcher Schraube ich drehen muss?

Im voraus schon einmal vielen Dank für die Hilfe!
Fred

Content-Key: 4637

Url: https://administrator.de/contentid/4637

Ausgedruckt am: 21.06.2021 um 12:06 Uhr

14 Kommentare
Mitglied: 6035
versuchs mal mit 'tracert', dann siehst du wo es hakt und welche Route du noch eventuell anhängen musst
Mitglied: 7217
Das Problem ist, dass du dem Router auch sagen musst, wie er den Weg zurück zu deinen Clients findet. In der Regel ist es so, dass die meisten Router irgendwo ein Menü haben, wo man einstellen kann, dass an der LAN-Schnittstelle noch weitere Netze mit der und der Netzmaske und so weiter sitzen... Musst du mal die Doku und das Gerät an sich genauer unter die Lupe nehmen.

Gruß, Mupfel
Mitglied: 6035
vergessen: wenn es mit dem Befehl Tracert beim Switch endet, musst du ihn Konfigurieren, beim Server musst du routing/ras einstellen und wenns beim Router hakt musst du die eventuell vorhandene Firewall konfigurieren
Mitglied: Herbert
Hallo Fred,

da schießt Du Dich doch selbst ins Bein.

Du hast einen Server mit zwei Netzwerkkarten und zwei durch diesen Server getrennte Netze.

Das eine ist das WAN-Netz, das andere ist das nomale LAN.
Wenn der Server ins Internet kann, ist offensichtlich auf der WAN-Seite alles ok.

Deine Clients im LAN wissen aber nichts von diesem Teilnetz, weil der Server nicht in dieses Netz routet.

Du kannst jetzt entweder den Server zum Router machen oder die Clients mit ins WAN-Netz hängen (bzw. den Draytek mit geänderter IP-Adresse gleich in dieses Netz hängen).

Da der Draytek-Router eine gute Firewall hat, sehe ich da auch kein Problem.
Außerdem entlastet es den Server vom Routing-Traffic.

Die zweite Netzwerkkarte im Server ist dann allerdings überflüssig.

Ich hoffe, das hilft.

Herbert
Mitglied: Fred-HB
Schönen Dank für die schnellen Antworten.

TraceRoute ist eigentlich keine schlechte Idee, hier ist aber im Prinzip klar, wo es hakt; -
nämlich höchstwahrscheinlich beim Routing im Server. Auf der LAN-Seite arbeiten die PCs
prima mit dem Server zusammen und der Switch macht dabei auch keine Probleme. Auf der
WAN-Seite klappt der Internetzugriff im Server auch gut. Aber eben nur im Server. Der Server
will partout nich routen.

Auf dem Server ist der Routing und RAS-Dienst installiert, und wie das grüne Symbol anzeigt,
scheint er auch zu arbeiten. In der Routing und RAS-Konsole kann ich auch die beiden Server-NICs sehen. Was muss man denn nun noch machen, damit zwischen den beiden Netzen auch
geroutet wird? Oder muß man doch händisch Routen eintragen?

Schöne Grüße
Fred
Mitglied: 7217
Auf dem Server ist der Routing und
RAS-Dienst installiert, und wie das
grüne Symbol anzeigt,
scheint er auch zu arbeiten. In der Routing
und RAS-Konsole kann ich auch die beiden
Server-NICs sehen. Was muss man denn nun
noch machen, damit zwischen den beiden
Netzen auch
geroutet wird? Oder muß man doch
händisch Routen eintragen?

Ich wiederhole mich nur ungerne:

du musst dem ROUTER (also nicht dem Server, sondern deinem DSL-Router) sagen, wie er in dein 2. Subnetz kommt (sprich eine Rückroute in diesem Gerät eintragen).

Dein Windows-Server sieht ja schonmal gut aus. Du kannst ja mal testhalber statt des DSL-Routers eine normale Workstation mit der IP-Adresse des Routers hängen und dort mal als Defaultroute den Server eintragen und einen Ping ins andere Subnet machen. Das sollte nämlich funktionieren dann.

Was dem Router fehlt, ist das Wissen, wie er halt in dein 2. Subnet kommt.

Er bekommt zwar höchstwahrscheinlich die Pakete vom Server zugeliefert, findet aber selbständig nicht den Weg zurück.

Gruß, Mupfel
Mitglied: Fred-HB
Okay, jetzt habe ich verstanden, was Du meinst ;) Leider komme ich heute nicht mehr dazu, aber morgen teste ich gleich mal, ob der DSL-Router tatsächlich nicht den Rückweg zu den LAN-PCs kennt. Ich glaube der Draytek Router kennt in seinen Config-Menüs so etwas wie RIP-Datenaustausch. Schauen wir mal, ob ich bisher auf der falschen Baustelle zugange war. Ich melde mich auf jeden Fall wieder, wenn ich getestet habe.
Bis dahin erst einmal schönen Dank und schöne Grüße
Fred
Mitglied: Fred-HB
Hallo Admins

Mein Problem, dass zwar der Server, nicht aber die LAN-PCs ins Internet können habe ich leider noch nicht lösen können. Ich habe noch nicht testen können, ob der Router nicht den Weg zurück zu den LAN-PCs kennt. Aber zumindest die Routen habe ich mir schon einmal ausdrucken lassen.

LAN-seitiger NIC im Server - 192.168.168.1/24
WAN-seitiger NIC im Server - 192.168.169.1/24
Draytec Router - 192.168.169.2/24

Routen des Server
IPv4-Routentabelle
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 0d 61 76 8a 32 ...... Intel(R) PRO/100 VE Network Connection - Paketplaner-Miniport
0x3 ...00 02 b3 45 d3 27 ...... Intel(R) PRO/100 S-Desktopadapter - Paketplaner-Miniport
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.169.2 192.168.169.1 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.168.0 255.255.255.0 192.168.168.1 192.168.168.1 20
192.168.168.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.168.255 255.255.255.255 192.168.168.1 192.168.168.1 20
192.168.169.0 255.255.255.0 192.168.169.1 192.168.169.1 20
192.168.169.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.169.255 255.255.255.255 192.168.169.1 192.168.169.1 20
224.0.0.0 240.0.0.0 192.168.168.1 192.168.168.1 20
224.0.0.0 240.0.0.0 192.168.169.1 192.168.169.1 20
255.255.255.255 255.255.255.255 192.168.168.1 192.168.168.1 1
255.255.255.255 255.255.255.255 192.168.169.1 192.168.169.1 1
Standardgateway: 192.168.169.2
St?ndige Routen:
Keine



Routen der LAN-PCs
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x10003 ...00 00 39 6b b4 2b ...... Intel 8255x-basierter PCI-Ethernetadapter (10/100) - Paketplaner-Miniport
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
0.0.0.0 0.0.0.0 192.168.169.2 192.168.168.20 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.168.0 255.255.255.0 192.168.168.20 192.168.168.20 20
192.168.168.20 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.168.255 255.255.255.255 192.168.168.20 192.168.168.20 20
224.0.0.0 240.0.0.0 192.168.168.20 192.168.168.20 20
255.255.255.255 255.255.255.255 192.168.168.20 192.168.168.20 1
Standardgateway: 192.168.169.2
St?ndige Routen:
Keine

Vielleicht hat ja jemand einen Tipp.
Zunächst einmal schönen Dank
Fred
Mitglied: 7217
Du hast, wie es scheint, bei den PCs als Default-GW den WLAN-Router angegeben und nicht deinen Windows2000-Server. Da der Server jedoch für die Clients als Default-Router fungiert, musst du diesen eintragen.

Wichtig ist auch, dass du auf dem WLAN-Router die Rückroute auf das Netz der Clients einträgst! (Darauf wies ich schon mehrfach hin).

Gruß, Mupfel
Mitglied: 7217
Um das ganze nochmal deutlicher zu machen:

das Standardgateway ist IMMER ein Knoten im EIGENEN Netz, der als Schnittstelle zu einem Fremdnetz dient.

Deine Clients haben als Schnittstelle in ein Fremdnetz den Server, also muss der auch Defaultgateway sein.

Der Server an sich sieht soweit sauber konfiguriert aus, da er unterscheiden kann, wohin er welche Pakete schicken soll und wenn er nicht selbst weiss, wohin damit, fragt er den Router (der dann idR. ja weiss, dass es ab ins Internet soll).

Der Router muss jetzt jedoch eine statische Route zu 192.168.168.0/24 verbrutzelt bekommen und zwar mit dem Gateway 192.168.168.1 (dein Windowsserver), weil der ja die beiden Netze, das Lan 192.168.168.0/24 und dein "Brückennetz" 192.168.169.0/24 verbindet.

Ich hoffe, ich habe das jetzt deutlich erklärt, wenn nicht, frag einfach nochmal nach und sage mir, was du nicht verstanden hast :-) face-smile ich werde so gut es geht helfen :-) face-smile

Gruß, Mupfel
Mitglied: Fred-HB
Hallo Mupfel

Mittlerweile bin ich einen Schritt weiter, aber noch nicht am Ziel. Jetzt kann ich von den LAN-PCs den DSL-Router anpingen und ich kann von den LAN-PCs aus mit dem Internet-Browser in
das Konfigurationsmenü des DSL-Routers. Nslookup vom LAN-PC aus ins Internet geht auch und gibt korrekte Namen und IPs zurück. Traceroot von den LAN-PCs aus zeigt genau wie erwartet 2 Hops bis zum DSL-Router. Nur ins Internet komme ich nach wie vor nicht.

Folgendes habe ich gemacht:
Zunächst einmal lasse ich jetzt vom DHCP-Server das richtige Gateway verteilen. Schönen Dank für den wichtigen Tipp!
Dann habe ich im DSL-Router eine statische Route in das LAN angegeben.
Der dedizierte LAN-seitige NIC des Servers hat kein Standardgateway mehr.
Der dedizierte WAN-seitige NIC des Servers hat als Standardgateway die IP des DSL-Routers
und als DNS-Server einen Nameserver der Telekom (194.25.2.129).
Testweise habe ich auch einmal eine zweite Reverse Lookupzone in das Brückennetz eingerichtet.

Wie gesagt, komme ich von den LAN-PC in das Konfig-Menü des DSL-Routers. Anpingen geht,
Nslookup geht, Tracert gibt die erwarteten Werte, nur die bunten Bilder aus dem Internet sind an den LAN-PCs noch nicht zu sehen. Hast Du einen Tipp wo jetzt die richtige Baustelle
sein könnte? - DNS? Routing und RAS? Der DSL-Router?

Schöne Grüße
Fred
Mitglied: 7217
Folgendes habe ich gemacht:
Zunächst einmal lasse ich jetzt vom
DHCP-Server das richtige Gateway verteilen.

:-) face-smile Fein, so stell ich mir das auch vor.
Schönen Dank für den wichtigen
Tipp!

Bitteschön, gerne geschehen - ist ja nicht so, als hätte ich Ahnung von dem, was ich erzähle *lach*

Dann habe ich im DSL-Router eine statische
Route in das LAN angegeben.

Fein :-) face-smile

Der dedizierte LAN-seitige NIC des Servers
hat kein Standardgateway mehr.
Der dedizierte WAN-seitige NIC des Servers
hat als Standardgateway die IP des
DSL-Routers

so siehts gut aus.

und als DNS-Server einen Nameserver der
Telekom (194.25.2.129).

Ah, fein.

Testweise habe ich auch einmal eine zweite
Reverse Lookupzone in das Brückennetz
eingerichtet.

Wie gesagt, komme ich von den LAN-PC in das
Konfig-Menü des DSL-Routers. Anpingen
geht,
Nslookup geht, Tracert gibt die erwarteten
Werte, nur die bunten Bilder aus dem
Internet sind an den LAN-PCs noch nicht zu
sehen. Hast Du einen Tipp wo jetzt die
richtige Baustelle
sein könnte? - DNS? Routing und RAS?
Der DSL-Router?

Ping auf eine IP-Adresse ausserhalb deines Netzes (also ins Internet) funktioniert oder funktioniert nicht?

Der Server an sich routet ja fantastisch, daran kanns ja jetzt nicht liegen. Wenn deine Clients zum DSL-Router kommen, ist der WINDOWS-Router soweit durch.

Du könntest mal ein Tracert auf eine IP-Adresse im Internet versuchen und mal schauen, wo der Trace abbricht.

Kommt er durch, vermute ich noch als Quelle des Übels irgendwie eine Fehlkonfiguration im Browser.

Gruß, Mupfel
Mitglied: Fred-HB
Es ist vollbracht! Die LAN-PCs kommen ins Internet.
Und was war die letzte Hürde?
Ein zusätzlich gesetztes Häkchen im Router Konfigurationsmenü. In Draytek Routern kann man das Routing ins LAN in zwei unterschiedlichen Menüpunkten beeinflussen. Einmal im Menüpunkt Ethernet. Dort kann man ein zweites Netz angeben und zusätzlich RIP einschalten. Zum Anderen kann man im Menüpunkt Static Route eine statische Route eingeben. Zuletzt waren beim Herumexperimentieren beide Menüpunkte aktiv. Das Ausschalten des Routing im Menüpunkt Ethernet hat den Erfolg gebracht. Alles läuft richtig schnell und zuverlässig. Eigentlich habe ich nach diesem Akt ein wenig Angst als nächsten Punkt nun VPN anzugehen. Aber wie sagt man hier in Norddeutschland: Wat mut dat mut!
Besten Dank für Eure Hilfe. Besonders bei Mupfel. Wahrscheinlich brauche ich dann für VPN noch einmal Hilfe. Dann mache ich auf jeden Fall hier bei Euch einen Thread auf.
Mitglied: 7217
Das ist doch mal ein Feedback, wie man es sich wünscht :-) face-smile Danke für die Lösung, ich hoffe, die Nachwelt wird diesen Thread zu würdigen wissen :-) face-smile

Gruß, Mupfel
Heiß diskutierte Beiträge
Router & Routing
Deutsche Glasfaser. NT direkt an pfSense möglich oder besser Kaskade?
fnbaluVor 1 TagFrageRouter & Routing23 Kommentare

Hallo zusammen, am kommenden Mittwoch wird bei mir der Deutsche Glasfaser Anschluss aktiviert. Anfangs wird darüber kein Telefon laufen, aber vielleicht später. Mir stellt sich ...

Notebook & Zubehör
Alt-Laptop Vergleichsmeinungen
winlinVor 1 TagFrageNotebook & Zubehör12 Kommentare

Hallo zusammen Habe zwei Laptops und einen mini pc und würde gerne wissen was ihr zu den beiden Laptops sagt??? Was dürfte ich Max an ...

Batch & Shell
Problem mit einer Batchdatei
stevie72Vor 1 TagFrageBatch & Shell11 Kommentare

Guten Abend zusammen! Ich habe ein problem eine Batch ans laufen zu bekommen. Folgende Problem Stellung: Wir haben etwa 20 Rechner in der Bibliothek. Darauf ...

Virtualisierung
Adobe Flash Player für Zugriff auf VMWare Horizon
Moenchengladbacher-ITVor 1 TagFrageVirtualisierung17 Kommentare

Liebes Support Team, unser Kunde verwendet eine "VMWare Horizon" Applikation, von dem aus Anwendungen/Browser/etc in einer virtuellen Sandbox gestartet werden. Alle Clients haben kein Zugriff ...

Firewall
OpenVPN-Problem
gelöst ingorosVor 19 StundenFrageFirewall20 Kommentare

Hallo, habe gestern mit ipfire einen OpenVPN-Server aufgesetzt. Der läuft auch wunderbar. Sowohl Win7, wie auch Win10pro können sich problemlos anmelden. Ein Laptop mit Win10 ...

Windows 10
Remotedesktopzugang mit Openvpn sicher?
LegofrauVor 1 TagFrageWindows 108 Kommentare

Guten Morgen, wie sicher ist es wenn man Remotedesktopzugang durch einen Openvpn Tunnel betreibt? Der Openvpn Tunnel ist mit aktuellen Zertifikaten abgesichert. Der Pc hat ...

Windows Server
AD Replikation zwischen Standorten schlägt fehl nach Level auf 2008R2
diematrix125Vor 21 StundenFrageWindows Server14 Kommentare

Hallo zusammen, ich habe ein (mittelschweres?) Problem mit dem AD. Ausgangssituation: Standort A: 3 DCs unter Win 2008R2 Standort B: 1 DC unter Win 2008R2 ...

Windows 10
Win 10 Fehler 0xc000000e und bootmbr fehlt
dressaVor 23 StundenFrageWindows 1010 Kommentare

Hallo miteinander. Ein guter Kollege von mir kam auf mich zu weil sein PC mit wichtigen Daten nicht mehr läuft. Er hatte laut seinen Aussagen ...