8
Server über Internet nicht erreichbar
Guten Morgen,
habe ein, so hoffe ich, kleines Problem bei dem ich dringend die Hilfe von euch bräuchte.
Ich musste unseren Win 2003 SBS Server (SP2) neu aufsetzen, da der alte durch viel "herumgeklicke" nicht mehr richtig lief.
Ich habe dann auch gleich neue Hardware genommen.
Die Netz-Struktur sieht jetzt so aus:
Server Win 2003 SBS mit 2 Netzwerkkarten
eine am Router Segment 192.168.100.0
eine internes Netz Segment 192.168.0.0
Server Dienste DC, DHCP, DNS, RRAS, Exchange, ect.
Alles konnte ohne Fehler installiert und konfiguriert werden und es läuft ach alles soweit super.
Alle Clients kommen auf den Server und auch ins Internet. Email verkehr funktioniert prima.
So nun mein Problem:
Wir haben keinen Zugriff auf den Server vom Internet aus. Im Router ist Dynamisches Routen angegeben über Dyndns.
Portfreigaben 80, 443, ? sind gemacht auf IP 192.168.100.50 (Server IP).
Im Server RRAS sind im NAT/Basisfirewall ebefalls Ports (25, 80, 443, ?) auf IP 192.168.100.50 eingetragen (ist das überhaupt richtig/notwendig?).
Aber was ich auch versuche es wird im Browser immer nur Fehler angezeigt (Seite kann nicht erreicht werden...).
Wenn ich innerhalb des Netzes von irgendeinem Client aus direkt auf die Server IP 192.168.0.1 zugreife erscheint die richtige Seite.
Hoffe ich habe mich nicht zu unklar oder zu umständlich ausgedrückt.
Bitte, bitte kann mir jemand helfen?
Vielen Dank im voraus
Viele Grüße Jürgen
habe ein, so hoffe ich, kleines Problem bei dem ich dringend die Hilfe von euch bräuchte.
Ich musste unseren Win 2003 SBS Server (SP2) neu aufsetzen, da der alte durch viel "herumgeklicke" nicht mehr richtig lief.
Ich habe dann auch gleich neue Hardware genommen.
Die Netz-Struktur sieht jetzt so aus:
Server Win 2003 SBS mit 2 Netzwerkkarten
eine am Router Segment 192.168.100.0
eine internes Netz Segment 192.168.0.0
Server Dienste DC, DHCP, DNS, RRAS, Exchange, ect.
Alles konnte ohne Fehler installiert und konfiguriert werden und es läuft ach alles soweit super.
Alle Clients kommen auf den Server und auch ins Internet. Email verkehr funktioniert prima.
So nun mein Problem:
Wir haben keinen Zugriff auf den Server vom Internet aus. Im Router ist Dynamisches Routen angegeben über Dyndns.
Portfreigaben 80, 443, ? sind gemacht auf IP 192.168.100.50 (Server IP).
Im Server RRAS sind im NAT/Basisfirewall ebefalls Ports (25, 80, 443, ?) auf IP 192.168.100.50 eingetragen (ist das überhaupt richtig/notwendig?).
Aber was ich auch versuche es wird im Browser immer nur Fehler angezeigt (Seite kann nicht erreicht werden...).
Wenn ich innerhalb des Netzes von irgendeinem Client aus direkt auf die Server IP 192.168.0.1 zugreife erscheint die richtige Seite.
Hoffe ich habe mich nicht zu unklar oder zu umständlich ausgedrückt.
Bitte, bitte kann mir jemand helfen?
Vielen Dank im voraus
Viele Grüße Jürgen
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 105639
Url: https://administrator.de/contentid/105639
Ausgedruckt am: 23.11.2024 um 02:11 Uhr
8 Kommentare
Neuester Kommentar
etliche server blocken verkehr, der von innen auf die externe schnittstelle drauf will. Mal von extern probiert?
was sagen die Logs von Router und Firewall ?
Lief das vorher auch über 80 ? evt ist extern port 80 gesperrt im router , weils die adminoberfläche des webinterfaces sein könnte?
was sagen die Logs von Router und Firewall ?
Lief das vorher auch über 80 ? evt ist extern port 80 gesperrt im router , weils die adminoberfläche des webinterfaces sein könnte?
Hallo Onkel-Jue,
zunächst muss Du den Port 3389 auf die IP Adresse des Servers forwarden. Dies ist eine wichtige Einstellung im Router. Ebenso den Port 80
Die Ports 21 und 22 sind für den FTP Zugang wichtig.
Die anderen Ports sind eigentlich nicht notwendig, dass kann aber andere Gründe haben.
Auch solltest Du darauf achten, dass im Router keine Netztrennung aktiviert ist. Ist gerne bei T-Home Routern eingestellt.
Gruß McWissen
zunächst muss Du den Port 3389 auf die IP Adresse des Servers forwarden. Dies ist eine wichtige Einstellung im Router. Ebenso den Port 80
Die Ports 21 und 22 sind für den FTP Zugang wichtig.
Die anderen Ports sind eigentlich nicht notwendig, dass kann aber andere Gründe haben.
Auch solltest Du darauf achten, dass im Router keine Netztrennung aktiviert ist. Ist gerne bei T-Home Routern eingestellt.
Gruß McWissen
Port 3389 ist kompletter Unsinn, denn damit öffnest du den Router auch für RDP Zugriffe auf den Server, was du ja sicher nicht willst, da du oben nur von Port TCP 80 (HTTP) und TCP 443 (HTTPS) redest.
Ebensowenig musst du natürlich TCP 20 und 21 freigeben wenn du kein FTP nutzen möchtest !!
Den Rat kannst du also gleich vergessen !!
Remote Zugriffe von aussen auf Port TCP 80 oder 443 (Also ein Webzugriff) haben eine externe, öffentliche IP Quell Adresse, vergiss das nicht !
Normalerweise, wenn du es nicht anpasst, blockiert die Firewall des Servers am Port 192.168.100.50 diese Zugriffe, da sie ja nicht aus dem lokalen IP Netz kommen !!
Du musst also TCP 80 und TCP 443 für alle IP Adressen öffnen in der FW oder zum Test die Firewall erstmal temporär ausschalten !!
D3S3RT hat Recht, das ggf. 80 blockiert ist durch die Weboberfläche des Routers selber. Dann solltest du ebenfalls mal z.B. TCP 8080 im Router forwarden auf lokal TCP 80 und IP 192.168.100.50, also eine Port Translation im Router machen.
Wenn du dann remote eingibst http://<dsl_ip_adresse_router>:8080 solltest du auf dem Server landen ! (Natürlich nur wenn dort ein Webserver rennt was du wohl hoffentlich lokal vorher überprüft hast !!??)
Ebensowenig musst du natürlich TCP 20 und 21 freigeben wenn du kein FTP nutzen möchtest !!
Den Rat kannst du also gleich vergessen !!
Remote Zugriffe von aussen auf Port TCP 80 oder 443 (Also ein Webzugriff) haben eine externe, öffentliche IP Quell Adresse, vergiss das nicht !
Normalerweise, wenn du es nicht anpasst, blockiert die Firewall des Servers am Port 192.168.100.50 diese Zugriffe, da sie ja nicht aus dem lokalen IP Netz kommen !!
Du musst also TCP 80 und TCP 443 für alle IP Adressen öffnen in der FW oder zum Test die Firewall erstmal temporär ausschalten !!
D3S3RT hat Recht, das ggf. 80 blockiert ist durch die Weboberfläche des Routers selber. Dann solltest du ebenfalls mal z.B. TCP 8080 im Router forwarden auf lokal TCP 80 und IP 192.168.100.50, also eine Port Translation im Router machen.
Wenn du dann remote eingibst http://<dsl_ip_adresse_router>:8080 solltest du auf dem Server landen ! (Natürlich nur wenn dort ein Webserver rennt was du wohl hoffentlich lokal vorher überprüft hast !!??)
Guten Abend zusammen,
erstmal vielen Dank für die Antworten. Werde das gleich mal morgen früh testen.
Vielleicht noch ergänzend.
Habe den Netgear Router 834PNB, der unter anderem auch statisches Routen erlaubt.
In der Diagnose Funktion des Routers kann ich auch IP's anpingen. Wenn ich 192.168.100.50 pinge kommt logischer weise sofort Antwort, ist ja das gleiche Segment. Wenn ich allerdings 192.168.0.1 pinge gibts keine Antwort. Aber so wie ich die ganze Sache sehe läuft der Server auf dieser IP. Und auch der Webserver ect. Oder täusche ich mich da. Im Router hab ich auch eine Statische Route auf 192.168.0.1 eingerichtet. Aber es hilft alles nichts.
Vielleicht noch einen Tip dazu.
Vielen Dank und einen schönen Abend
Gruß Jürgen
erstmal vielen Dank für die Antworten. Werde das gleich mal morgen früh testen.
Vielleicht noch ergänzend.
Habe den Netgear Router 834PNB, der unter anderem auch statisches Routen erlaubt.
In der Diagnose Funktion des Routers kann ich auch IP's anpingen. Wenn ich 192.168.100.50 pinge kommt logischer weise sofort Antwort, ist ja das gleiche Segment. Wenn ich allerdings 192.168.0.1 pinge gibts keine Antwort. Aber so wie ich die ganze Sache sehe läuft der Server auf dieser IP. Und auch der Webserver ect. Oder täusche ich mich da. Im Router hab ich auch eine Statische Route auf 192.168.0.1 eingerichtet. Aber es hilft alles nichts.
Vielleicht noch einen Tip dazu.
Vielen Dank und einen schönen Abend
Gruß Jürgen
Hier steht alles was du zu diesem Szenario und den richtigen Einstellungen wissen musst !
Mit 99%iger Sicherheit hast du das Routing im Server/PC vergessen zu aktivieren !!!
Mit 99%iger Sicherheit hast du das Routing im Server/PC vergessen zu aktivieren !!!
Hallo,
es ist jetzt 02:00 Uhr und ich habe 16 Stunden an dieser Kiste erfolglos verbracht.
Alles was ihr mir vorgeschlagen habt, hab ich ausprobiert. Nichts hat geholfen. Ich kann von aussen das 192.168.0.0 Segment nicht erreichen. Aquis anleitung kenne ich inzwischen auswendig.
Was mir aber jetzt doch noch auffällt, der Router (Netgear DG834PNB) kann Ferngewartet werden. Dazu gibt er in dem Menüpunkt eine IP xx.xxx.xxx.xxx:8080 vor. Jetzt wo ich wieder zuhause bin hab ich versucht den Router anzusprechen. Da kommt dann die Meldung "Server braucht zu lange um eine Antwort zu senden. Kann das sein,das der Router ne Macke hat. Obwohl emails kommen ja durch.
Ich weiß nicht weiter.
Mal noch so ne Frage am Rande. Wohnt einer von euch Spezialisten um Stuttgart (Gärtringen bei Herrenberg) herum und könnte mir da vielleich mal vor Ort helfen? Natürlich ganz offiziell gegen Bezahlung, ist ja für die Firma.
Wäre schön wenn sich nochmal jemand meldet, so oder so.
Viele Grüße Jürgen
es ist jetzt 02:00 Uhr und ich habe 16 Stunden an dieser Kiste erfolglos verbracht.
Alles was ihr mir vorgeschlagen habt, hab ich ausprobiert. Nichts hat geholfen. Ich kann von aussen das 192.168.0.0 Segment nicht erreichen. Aquis anleitung kenne ich inzwischen auswendig.
Was mir aber jetzt doch noch auffällt, der Router (Netgear DG834PNB) kann Ferngewartet werden. Dazu gibt er in dem Menüpunkt eine IP xx.xxx.xxx.xxx:8080 vor. Jetzt wo ich wieder zuhause bin hab ich versucht den Router anzusprechen. Da kommt dann die Meldung "Server braucht zu lange um eine Antwort zu senden. Kann das sein,das der Router ne Macke hat. Obwohl emails kommen ja durch.
Ich weiß nicht weiter.
Mal noch so ne Frage am Rande. Wohnt einer von euch Spezialisten um Stuttgart (Gärtringen bei Herrenberg) herum und könnte mir da vielleich mal vor Ort helfen? Natürlich ganz offiziell gegen Bezahlung, ist ja für die Firma.
Wäre schön wenn sich nochmal jemand meldet, so oder so.
Viele Grüße Jürgen
Kommst du denn aus deinem 192.168.0.0er Netzwerk ins Internet ??
Grundsätzliche Frage:
Benutzt das im Tutorial vorgeschlagene Routing Szenario oder das Notnagel Szenario mit ICS (Connection Sharing ???
Da du das Segment 192.168.0.0 benutzt liegt der Verdacht nahe, das du ICS machst, denn das legt automatisch das o.a. IP Netzwerk fest.
Damit ist es dann ganz logisch das du das .0.0er Segment nicht erreichen kannst von außen wie du dir vermutlich selber denken kannst. Dafür benötigst du auch keinen "Spezialisten", denn der wird das auch nicht lösen können.
Mit ICS macht dein Server in der Mitte NAT (Adress Translation), betreibt also einen NAT Firewall, die nur Verbindungen vom 0.0er Segment nach außen lässt.
Für eingehende Verbindungen gibt es keinen Eintrag in der NAT Session Tabelle und folglich werden diese Verbindungen gnadenlos geblockt.
Damit hast du also niemals eine Chance das umzusetzen.
Einzige Möglichkeit du machst eine remote Verbindung per RDP auf die Maschine in der Mitte (mit den 2 NICs) und öffnest von da aus wiederum RDP Sessions auf Endgeräte im .0.0er Segment.
Nur das ist möglich !
Um einen transparenten Zugriff in das .0.0er Segment zu bekommen musst du zwangsweise ein Routing Szenario umsetzen also eins was ohne ICS funktioniert.
Nur so ist das möglich und funktioniert auch !!
Diese Nachteile einer ICS Lösung sind auch explizit so im Tutorial beschrieben !!!
Also, klär erstmal die grundsätzliche Frage ob du Routing oder ICS machst ??? Dann sehen wir weiter...
Grundsätzliche Frage:
Benutzt das im Tutorial vorgeschlagene Routing Szenario oder das Notnagel Szenario mit ICS (Connection Sharing ???
Da du das Segment 192.168.0.0 benutzt liegt der Verdacht nahe, das du ICS machst, denn das legt automatisch das o.a. IP Netzwerk fest.
Damit ist es dann ganz logisch das du das .0.0er Segment nicht erreichen kannst von außen wie du dir vermutlich selber denken kannst. Dafür benötigst du auch keinen "Spezialisten", denn der wird das auch nicht lösen können.
Mit ICS macht dein Server in der Mitte NAT (Adress Translation), betreibt also einen NAT Firewall, die nur Verbindungen vom 0.0er Segment nach außen lässt.
Für eingehende Verbindungen gibt es keinen Eintrag in der NAT Session Tabelle und folglich werden diese Verbindungen gnadenlos geblockt.
Damit hast du also niemals eine Chance das umzusetzen.
Einzige Möglichkeit du machst eine remote Verbindung per RDP auf die Maschine in der Mitte (mit den 2 NICs) und öffnest von da aus wiederum RDP Sessions auf Endgeräte im .0.0er Segment.
Nur das ist möglich !
Um einen transparenten Zugriff in das .0.0er Segment zu bekommen musst du zwangsweise ein Routing Szenario umsetzen also eins was ohne ICS funktioniert.
Nur so ist das möglich und funktioniert auch !!
Diese Nachteile einer ICS Lösung sind auch explizit so im Tutorial beschrieben !!!
Also, klär erstmal die grundsätzliche Frage ob du Routing oder ICS machst ??? Dann sehen wir weiter...
Hallo,
nun hats doch noch geklappt. Und wie meistens lag es wieder mal an einer Kleinigkeit.
Also so wie es in der Anleitung von aqui steht funktioniert es schon einwandfrei. Mein Fehler war, das ich im Router die statische Route falsch angelegt habe. Ich dachte ist ja klar Ziel IP 192.168.0.1 (ist ja der "zweite" Router) das passt schon. Aber an meinem Router muß man das Segement (IP 192.168.0.0) angeben und nicht den einzelnen Rechner. Dann lief es super.
Herzlichen Dank nochmal an alle.
Viele Grüße Jürgen
nun hats doch noch geklappt. Und wie meistens lag es wieder mal an einer Kleinigkeit.
Also so wie es in der Anleitung von aqui steht funktioniert es schon einwandfrei. Mein Fehler war, das ich im Router die statische Route falsch angelegt habe. Ich dachte ist ja klar Ziel IP 192.168.0.1 (ist ja der "zweite" Router) das passt schon. Aber an meinem Router muß man das Segement (IP 192.168.0.0) angeben und nicht den einzelnen Rechner. Dann lief es super.
Herzlichen Dank nochmal an alle.
Viele Grüße Jürgen
