VPN und RAS Aufbau wieso funktioniert dieser Aufbau?
Hallo zusammen,
ich habe ein Kundennetzwerk neu übernommen und wundere mich über den VPN Aufbau und wieso der so funktioniert wie er funktioniert.
Folgender Aufbau.
Zentrale
3 Windows Server
1x W2K = Exchange
1X W2K = Alter DC
1X W2K03 = Neuer DC, Terminalserver, Datenablage und und und
1 Lancom 1721+VPN Router
2 Aussenstellen
Kein Windowsserver nur eine Arbeitsgruppe mit XP Clients
Selbe Lancom Geräte, dienen als DHCP DNS und stellen die VPN Verbindung scheinbar über S0 Schnittstelle und Telefonnummern mit der Zentrale her. Die genaue Funktionsweise des VPNs hat sich mir noch nicht erschlossen, auch nicht wie man über eine Telefonnummer externe IP Adressen abfragen kann. Jedenfalls hängen in der Hauptstelle NTBA´s der Aussenstellen und vor Ort in den Aussenstellen befinden sich auch welche an die die Router angeschlossen sind.
In der Konfiguration der Router sprechen die Geräte die Hauptstelle per Namen an. Nun das VPN funktioniert jedenfalls, aber nun komme ich zum merkwürdigen.
Der AlteDC soll in näherer Zukunft abgeschaltet werden und durch den W2K03 ersetzt werden. Daher wollte ich zunächst mal den DHCP Server umziehen. Mit dem Resultat das ich den Umzug wieder rückgängig machen musste da die Aussenstellen die Verbindung zur Zentrale verloren.
Auf dem AltenDC ist Routing und RAS eingerichtet mit IGMP und einem sogenannten Proxy. Der RAS Server reserviert auch scheinbar für sich und den Exchange Server IP Adressen (Im Internet habe ich gelesen das es jeweils immer 10 Stück sind). Er reserviert aber keine für den neuen W2K03 Server auf den sich die User per RDP am Terminalserver anmelden. Trotzdem funktioniert die Verbindung.
Wie kann das sein? Wird das Routing und RAS nun benötigt oder nicht? Auf dem Router in der Zentrale sind scheinbar keine Routen angelegt und die Clients in den Aussenstellen können jeden Rechner im Netz problemlos erreichen nur nach dem Umzug des DHCP Servers brach alles zusammen. Die eignestellten DHCP Optionen auf dem alten DC kann ich morgen mal nachreichen und auch was bei Routing und RAS eingestellt ist.
Ich kann mir schlicht nicht erklären wieso der Client in der Aussenstelle ausgerechnet den DHCP Server der Zentrale benötigt vond em er gar keine Adresse bekommt und mit dem er sich nicht verbindet.
Bin ein wenig ratlos und für jeden Tipp dankbar.
gruß
Edit:
Hier mal das Bild. Hoffe es wird nun deutlicher. Ich verstehe eben nicht wieso der XPClient anscheinend auf den RAS und/oder auf den DHCP angewiesen sein soll.
Als Optionen gibt der DHCP Server in der Zentrale nur die Adresse des Routers, den DNS Server auf dem neuen und alten DC und WINS/NBT Knotentyp 0x8 weiter.
In den aktiven Leases des DHCP Servers sind Einträge die wie folgt aussehen vorhanden:
IP= 192.168.5.180
Name=DCNeu
Typ= DHCP
Eindeutige Kennung= RAS
Davon sind von jedem der Server ein paar mit fortlaufenden internen Adressen vorhanden.
ich habe ein Kundennetzwerk neu übernommen und wundere mich über den VPN Aufbau und wieso der so funktioniert wie er funktioniert.
Folgender Aufbau.
Zentrale
3 Windows Server
1x W2K = Exchange
1X W2K = Alter DC
1X W2K03 = Neuer DC, Terminalserver, Datenablage und und und
1 Lancom 1721+VPN Router
2 Aussenstellen
Kein Windowsserver nur eine Arbeitsgruppe mit XP Clients
Selbe Lancom Geräte, dienen als DHCP DNS und stellen die VPN Verbindung scheinbar über S0 Schnittstelle und Telefonnummern mit der Zentrale her. Die genaue Funktionsweise des VPNs hat sich mir noch nicht erschlossen, auch nicht wie man über eine Telefonnummer externe IP Adressen abfragen kann. Jedenfalls hängen in der Hauptstelle NTBA´s der Aussenstellen und vor Ort in den Aussenstellen befinden sich auch welche an die die Router angeschlossen sind.
In der Konfiguration der Router sprechen die Geräte die Hauptstelle per Namen an. Nun das VPN funktioniert jedenfalls, aber nun komme ich zum merkwürdigen.
Der AlteDC soll in näherer Zukunft abgeschaltet werden und durch den W2K03 ersetzt werden. Daher wollte ich zunächst mal den DHCP Server umziehen. Mit dem Resultat das ich den Umzug wieder rückgängig machen musste da die Aussenstellen die Verbindung zur Zentrale verloren.
Auf dem AltenDC ist Routing und RAS eingerichtet mit IGMP und einem sogenannten Proxy. Der RAS Server reserviert auch scheinbar für sich und den Exchange Server IP Adressen (Im Internet habe ich gelesen das es jeweils immer 10 Stück sind). Er reserviert aber keine für den neuen W2K03 Server auf den sich die User per RDP am Terminalserver anmelden. Trotzdem funktioniert die Verbindung.
Wie kann das sein? Wird das Routing und RAS nun benötigt oder nicht? Auf dem Router in der Zentrale sind scheinbar keine Routen angelegt und die Clients in den Aussenstellen können jeden Rechner im Netz problemlos erreichen nur nach dem Umzug des DHCP Servers brach alles zusammen. Die eignestellten DHCP Optionen auf dem alten DC kann ich morgen mal nachreichen und auch was bei Routing und RAS eingestellt ist.
Ich kann mir schlicht nicht erklären wieso der Client in der Aussenstelle ausgerechnet den DHCP Server der Zentrale benötigt vond em er gar keine Adresse bekommt und mit dem er sich nicht verbindet.
Bin ein wenig ratlos und für jeden Tipp dankbar.
gruß
Edit:
Hier mal das Bild. Hoffe es wird nun deutlicher. Ich verstehe eben nicht wieso der XPClient anscheinend auf den RAS und/oder auf den DHCP angewiesen sein soll.
Als Optionen gibt der DHCP Server in der Zentrale nur die Adresse des Routers, den DNS Server auf dem neuen und alten DC und WINS/NBT Knotentyp 0x8 weiter.
In den aktiven Leases des DHCP Servers sind Einträge die wie folgt aussehen vorhanden:
IP= 192.168.5.180
Name=DCNeu
Typ= DHCP
Eindeutige Kennung= RAS
Davon sind von jedem der Server ein paar mit fortlaufenden internen Adressen vorhanden.
Please also mark the comments that contributed to the solution of the article
Content-Key: 160089
Url: https://administrator.de/contentid/160089
Printed on: April 26, 2024 at 03:04 o'clock
7 Comments
Latest comment
2 Dinge lassen erhebliche Zweifel aufkommen ob du überhaupt verstanden hast was dort technisch passiert:
1.) Eine LAN zu LAN Kopplung heutzutage noch über ISDN mit 64kBit/s oder 128kBit/s zu machen, nichts anderes beschreibst du ja oben, ist eigentlich völliger Unsinn. Allein schon durch die geschwätzige Microsoft NetBios Kommunikation der 3 Lokaltionen wäre diese Bandbreite schon völlig ausgereizt ohne das da nur ein Byte Produktivtraffic übertragen wäre.
Zudem wäre ein VPN Router dann so oder so völliger Unsinn, denn bei ISDN würde man immer dedizierte Leitungen bekommen. VPN wäre da bei eigenen Leitungen logischerweise dann überflüssig da sie ja per se sicher wären.
Abgesehen davon ist der Lancom 1721 ein reinrassiger DSL Router :http://www.lancom-systems.de/LANCOM-1721-VPN.1264.0.html wie du da auf NTBA und ISDN kommst widerspricht sich also völlig ! ISDN nutzt er allerhöchstens als Backup oder Failover falls der VPN Tunnel einmal nicht verfügbar ist um die Kommunikation mit den Außenstellen aufrecht zu erhalten. Oder auch möglich....er realisiert eine VoIP Kopplung der Lokationen.
2.) Du schreibst "...ist Routing und RAS eingerichtet mit IGMP" ! IGMP ist ein Multicast Management Protokoll was mit klassischem Routing soviel zu tun hat wie ein Fisch mit einem Fahrrad. http://en.wikipedia.org/wiki/Internet_Group_Management_Protocol
Das ist in diesem Umfeld völlig unsinnig und nutzt kein Mensch, es sei denn er muss IPTV oder Audio über das VPN per Multicast PIM Sparse oder PIM Dense streamen !
Sorry, aber das lässt schon Zweifel aufkommen das du überhaupt das technische Verständnis für dieses Szenario mitbringst.
Nach deinen rudimentären Schilderungen von oben sieht es wie ein simples und banal einfaches Aussenstellen Vernetzungskonzept über DSL mit einem IPsec VPN Tunnel zwischen den Lokationen aus.
Ein absolutes Standardszeanrio in der Standortvernetzung was millionenfach bei Firmen so im Einatz ist ! Nichts besonderes also und kinderleicht zu durchschauen..
Besser also du siehst nochmal genau nach was dort gemacht wird und liest mal etwas über IPsec, VPN Tunneling usw. Auch über IGMP...das kann nicht schaden !
1.) Eine LAN zu LAN Kopplung heutzutage noch über ISDN mit 64kBit/s oder 128kBit/s zu machen, nichts anderes beschreibst du ja oben, ist eigentlich völliger Unsinn. Allein schon durch die geschwätzige Microsoft NetBios Kommunikation der 3 Lokaltionen wäre diese Bandbreite schon völlig ausgereizt ohne das da nur ein Byte Produktivtraffic übertragen wäre.
Zudem wäre ein VPN Router dann so oder so völliger Unsinn, denn bei ISDN würde man immer dedizierte Leitungen bekommen. VPN wäre da bei eigenen Leitungen logischerweise dann überflüssig da sie ja per se sicher wären.
Abgesehen davon ist der Lancom 1721 ein reinrassiger DSL Router :http://www.lancom-systems.de/LANCOM-1721-VPN.1264.0.html wie du da auf NTBA und ISDN kommst widerspricht sich also völlig ! ISDN nutzt er allerhöchstens als Backup oder Failover falls der VPN Tunnel einmal nicht verfügbar ist um die Kommunikation mit den Außenstellen aufrecht zu erhalten. Oder auch möglich....er realisiert eine VoIP Kopplung der Lokationen.
2.) Du schreibst "...ist Routing und RAS eingerichtet mit IGMP" ! IGMP ist ein Multicast Management Protokoll was mit klassischem Routing soviel zu tun hat wie ein Fisch mit einem Fahrrad. http://en.wikipedia.org/wiki/Internet_Group_Management_Protocol
Das ist in diesem Umfeld völlig unsinnig und nutzt kein Mensch, es sei denn er muss IPTV oder Audio über das VPN per Multicast PIM Sparse oder PIM Dense streamen !
Sorry, aber das lässt schon Zweifel aufkommen das du überhaupt das technische Verständnis für dieses Szenario mitbringst.
Nach deinen rudimentären Schilderungen von oben sieht es wie ein simples und banal einfaches Aussenstellen Vernetzungskonzept über DSL mit einem IPsec VPN Tunnel zwischen den Lokationen aus.
Ein absolutes Standardszeanrio in der Standortvernetzung was millionenfach bei Firmen so im Einatz ist ! Nichts besonderes also und kinderleicht zu durchschauen..
Besser also du siehst nochmal genau nach was dort gemacht wird und liest mal etwas über IPsec, VPN Tunneling usw. Auch über IGMP...das kann nicht schaden !
Auch das ist wieder Unsinn was du schreibst. Port 443 (HTTPS) und IPsec haben rein gar nichts miteinander zu tun (außer das sie IP als Transport benutzen...) und Zertifikate sind Zertifikate auch die haben nichts ursächliches mit IPsec zu tun.
Bevor du also hier fröhlich mit gefährlichem Halbwissen im freien Fall weiterschwadronierst und andere fehlinformierst solltest du wohl besser erstmal etwas Fachliteratur lesen oder Dr. Google befragen, sorry !
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
SSL-VPNs im Enterprise Umfeld
Mit solchen haarstäubenden Beschreibungen und Spekulationen kann dir hier auch niemand weiterhelfen oder Tips geben die dich in der Angelegenheit wirklich weiterbringen.
So wie es aussieht wäre das eine Woche VPN Training Grundlagen was den Rahmen solch eines Forums absolut sprengt !
Eigentlich sollte ein Blick auf die Lancom Konfiguration in 3 Minuten jeglichen Zweifel und wilde Spekulation beenden, denn da sieht man sofort und auf Anhieb wie diese Vernetzung gelöst ist.
Wie bereits angemerkt: Ein banal einfaches Aussenstellen Vernetzungskonzept über DSL mit einem IPsec VPN Tunnel zwischen den Lokationen. Was anderes kann Lancom so oder so nicht...
Ein absolutes Standardszeanrio in der Standortvernetzung was millionenfach bei Firmen so im Einatz ist ! Nichts besonderes also ....
Als ITler sollte man aber wenigstens ansatzweise sowas kennen wenn man damit zu tun hat wie das bei dir ja anscheinend der Fall ist... Oder arbeitest du in der Buchhaltung ??
Bevor du also hier fröhlich mit gefährlichem Halbwissen im freien Fall weiterschwadronierst und andere fehlinformierst solltest du wohl besser erstmal etwas Fachliteratur lesen oder Dr. Google befragen, sorry !
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
SSL-VPNs im Enterprise Umfeld
Mit solchen haarstäubenden Beschreibungen und Spekulationen kann dir hier auch niemand weiterhelfen oder Tips geben die dich in der Angelegenheit wirklich weiterbringen.
So wie es aussieht wäre das eine Woche VPN Training Grundlagen was den Rahmen solch eines Forums absolut sprengt !
Eigentlich sollte ein Blick auf die Lancom Konfiguration in 3 Minuten jeglichen Zweifel und wilde Spekulation beenden, denn da sieht man sofort und auf Anhieb wie diese Vernetzung gelöst ist.
Wie bereits angemerkt: Ein banal einfaches Aussenstellen Vernetzungskonzept über DSL mit einem IPsec VPN Tunnel zwischen den Lokationen. Was anderes kann Lancom so oder so nicht...
Ein absolutes Standardszeanrio in der Standortvernetzung was millionenfach bei Firmen so im Einatz ist ! Nichts besonderes also ....
Als ITler sollte man aber wenigstens ansatzweise sowas kennen wenn man damit zu tun hat wie das bei dir ja anscheinend der Fall ist... Oder arbeitest du in der Buchhaltung ??
Lösung: Bei volldynmiachen IPs hat Lancom ein Feature um den Router auf der anderen seite per ISDN anzurufen und die Nummer mitzuteilen... Wieder was gelernt !
@Alternativende
Bitte dann auch
How can I mark a post as solved?
nicht vergessen !
@Alternativende
Bitte dann auch
How can I mark a post as solved?
nicht vergessen !