9
Win 2003, zwei Netze, separater Router und kein Internet auf den Clients wenn NAT nicht an ist... aber kein VPN, WENN es an ist..
Hallo, ich habe hier ein kleines Problem. Es gibt einen Router der zwei DSL Modems bedient, danach kommt ein 2003 Server mit 2 NICs und auf der anderen Seite das Netz von Clients. Leider kommen die Clients nicht ins Netz wenn auf dem Server nicht das NAT aktiviert ist. Das soll aber eigentlich nicht sein, denn der Router NATtet schon..
Das Netz sieht so aus:
Router (192.168.254.254) ---- Nic A: 192.168.254.1 WIN2003ServerAlsDC NIC B: 192.168.50.101 ---- Clients (192.168.50.x)
Das 254er Subnetz ist nötig, da der Router auch eine VPN Einwahl bietet und das sonst mit dem DNS und DHCP des Win2003 Servers kollidiert. Details zur Netconfig siehe unten.
Ich habe das Routing und RAS installiert und eingerichtet. Beide NICs sind darin als private NICs gekennzeichnet, denn es ist ja keine direkt ans Internet gehängt. Auf dem Router ist eine statische Route ins 50er Subnetz gebaut. Das funktioniert auch prima, ich kann von den VPN Clients aus Rechner im 50er Subnetz erreichen. Leider komme ich von den Clients aus nicht ins Internet. Ein Tracert auf www.administrator.de verhungert nach dem zweiten Hop (der der Router ist).
Sobald ich die NIC .254.1 des Win2003 Servers als öffentliche NIC kennzeichne und dort das NAT einschalte, komme ich von den Clients aus ins Internet, aber von den VPN Rechnern nicht mehr auf die Rechner im 50er Netz.
Was mache ich falsch? Habe ich irgendwo einen Gegensatz? Soweit ich weiß ist dieses Setup nicht ungewöhnlich, und bei anderen klappt es vermutlich ja auch... irgendwo stimmt was nicht.
Vielleicht hat ja jemand eine Idee.. wäre Euch super dankbar!
Viele Grüße
Christian
PS: Net Details:
Es läuft auf dem Win2003 Server ein DNS und DHCP. Der gibt den Clients IPs aus dem 50.x Netz, und zwar von 50.50 bis 50.90 und bekommen als DefGW und DNS Server die 50.101. DNS Auflösung funktioniert auch.
Das Netz sieht so aus:
Router (192.168.254.254) ---- Nic A: 192.168.254.1 WIN2003ServerAlsDC NIC B: 192.168.50.101 ---- Clients (192.168.50.x)
Das 254er Subnetz ist nötig, da der Router auch eine VPN Einwahl bietet und das sonst mit dem DNS und DHCP des Win2003 Servers kollidiert. Details zur Netconfig siehe unten.
Ich habe das Routing und RAS installiert und eingerichtet. Beide NICs sind darin als private NICs gekennzeichnet, denn es ist ja keine direkt ans Internet gehängt. Auf dem Router ist eine statische Route ins 50er Subnetz gebaut. Das funktioniert auch prima, ich kann von den VPN Clients aus Rechner im 50er Subnetz erreichen. Leider komme ich von den Clients aus nicht ins Internet. Ein Tracert auf www.administrator.de verhungert nach dem zweiten Hop (der der Router ist).
Sobald ich die NIC .254.1 des Win2003 Servers als öffentliche NIC kennzeichne und dort das NAT einschalte, komme ich von den Clients aus ins Internet, aber von den VPN Rechnern nicht mehr auf die Rechner im 50er Netz.
Was mache ich falsch? Habe ich irgendwo einen Gegensatz? Soweit ich weiß ist dieses Setup nicht ungewöhnlich, und bei anderen klappt es vermutlich ja auch... irgendwo stimmt was nicht.
Vielleicht hat ja jemand eine Idee.. wäre Euch super dankbar!
Viele Grüße
Christian
PS: Net Details:
Es läuft auf dem Win2003 Server ein DNS und DHCP. Der gibt den Clients IPs aus dem 50.x Netz, und zwar von 50.50 bis 50.90 und bekommen als DefGW und DNS Server die 50.101. DNS Auflösung funktioniert auch.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 138138
Url: https://administrator.de/contentid/138138
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
9 Kommentare
Neuester Kommentar
Um sicher zu gehen: Dein Win2003 Server hat also uneingeschränkten Internetzugriff? Und die DNS-Auflösung funktioniert also auf den Clients wie auf dem Server auch? Gut, wenn tracert anläuft muss das eigentlich gehen...
Kannst Du von den Clients aus den Router administrieren? Oder ist "Tracert auf www.administrator.de verhungert nach dem zweiten Hop" gleichzusetzen mit "der Rechner versucht, den Router zu erreichen, bekommt aber keine Antwort"? Soll heißen, antwortet der Router noch und der dritte Hop bringt keine Antwort mehr oder bekommt er nicht einmal mehr eine Antwort vom Router? Und was liefert ein tracert Server aus?
Gruß, kingkong
Kannst Du von den Clients aus den Router administrieren? Oder ist "Tracert auf www.administrator.de verhungert nach dem zweiten Hop" gleichzusetzen mit "der Rechner versucht, den Router zu erreichen, bekommt aber keine Antwort"? Soll heißen, antwortet der Router noch und der dritte Hop bringt keine Antwort mehr oder bekommt er nicht einmal mehr eine Antwort vom Router? Und was liefert ein tracert Server aus?
Gruß, kingkong
Dies Tutorial beschreibt dir was bei diesem Szenario zu beachten ist:
Hallo Kingkong,
Danke für Deine Hilfe. Zu Deinen Fragen:
- Ja, der 2003er hat uneingeschränkten Internetzugriff. Habe Google News, Windows Updates und noch ein bisschen was ausprobiert, klappt. Pings ins Internet gehen auch problemlos.
- Die DNS Auflösung der Clients geht.
- Ja, das Webif des Routers unter 192.168.254.254 ist von den Clients aus dem 50er Netz aus erreichbar. Nur halt sonst nix anderes internetmäßiges..
- Der Tracert auf www.administrator.de bringt als ersten Hop den 2003 Server, dann als zweiten den Router, beides mit jeweils 3x<1ms oder 1ms, danach nur noch Sternchen...
- Ein Tracert auf den Server von den Clients aus liefert direkt als ersten (und einzigen) Hop den Server aus.
Das Ganze funktioniert nur solange wie ich das NAT ausgeschaltet lasse. Stelle ich das NAT wieder an, kommen die Clients zwar wieder ins Internet, aber die VPN Clients haben keinen Zugriff mehr aufs 50er Netz
Hast Du vielleicht noch eine Idee?
Gruß
Christian
Danke für Deine Hilfe. Zu Deinen Fragen:
- Ja, der 2003er hat uneingeschränkten Internetzugriff. Habe Google News, Windows Updates und noch ein bisschen was ausprobiert, klappt. Pings ins Internet gehen auch problemlos.
- Die DNS Auflösung der Clients geht.
- Ja, das Webif des Routers unter 192.168.254.254 ist von den Clients aus dem 50er Netz aus erreichbar. Nur halt sonst nix anderes internetmäßiges..
- Der Tracert auf www.administrator.de bringt als ersten Hop den 2003 Server, dann als zweiten den Router, beides mit jeweils 3x<1ms oder 1ms, danach nur noch Sternchen...
- Ein Tracert auf den Server von den Clients aus liefert direkt als ersten (und einzigen) Hop den Server aus.
Das Ganze funktioniert nur solange wie ich das NAT ausgeschaltet lasse. Stelle ich das NAT wieder an, kommen die Clients zwar wieder ins Internet, aber die VPN Clients haben keinen Zugriff mehr aufs 50er Netz
Hast Du vielleicht noch eine Idee?
Gruß
Christian
Hi Aqui, das Tutorial kenne ich, ich hatte den Beitrag aufgemacht weil ich vermutlich ein anderes Problem habe. Eine Lösung für das Problem hab ich in dem Tutorial nicht gefunden
Ich hab auch schon einiges an Beiträgen hier gelesen, aber irgendwie scheine ich ziemlich allein mit meinem Problem zu sein...
Hatte oben leider ein kleines Wörtchen vergessen. Ich meinte eigentlich, was ein tracert vom Server aus bringt. Aber wenn er sowieso Internetzugriff hat...
Die Subnetzmaske ist ja richtig gesetzt auf geweils /24 bzw. 255.255.255.0, oder?
Ins Blaue hinein: Kann es sein, dass irgendeine Firewall auf dem Server läuft, die alle Pakete von IP-Adressen, die nicht aus dem lokalen 192.168.er Netz kommen, blockt? Denn wenn ich mir die Situation so anschaue sieht es sehr danach aus.
Läuft vielleicht auf den Clients noch eine Firewall? Und welches OS haben die Clients?
Die Subnetzmaske ist ja richtig gesetzt auf geweils /24 bzw. 255.255.255.0, oder?
Ins Blaue hinein: Kann es sein, dass irgendeine Firewall auf dem Server läuft, die alle Pakete von IP-Adressen, die nicht aus dem lokalen 192.168.er Netz kommen, blockt? Denn wenn ich mir die Situation so anschaue sieht es sehr danach aus.
Läuft vielleicht auf den Clients noch eine Firewall? Und welches OS haben die Clients?
Ja, das kann sogar sehr gut sein, denn es ist das Standardverhalten der integrierten Windows Firewall. Das du die customizen musst ist doch logisch !
Bisher hat er ja noch nichts verlauten lassen über eventuelle Konfigurationen mit/ohne FW...
Sorry, hab die Antwortmails nicht gesehen.
Ich habe die Basisfirewall auf beiden NICs abgestellt. Den Windows-Dienst für die Firewall habe ich deaktiviert. Wenn ich den Button für Windows Firewall in de Systemsteuerung aufrufe sagt Windows, ipnat.sys würde bereits benutzt, obwohl ich im Moment das NATten abgestellt habe da eh keiner den Server nutzt.
Viele Grüße
Christian
Ich habe die Basisfirewall auf beiden NICs abgestellt. Den Windows-Dienst für die Firewall habe ich deaktiviert. Wenn ich den Button für Windows Firewall in de Systemsteuerung aufrufe sagt Windows, ipnat.sys würde bereits benutzt, obwohl ich im Moment das NATten abgestellt habe da eh keiner den Server nutzt.
Viele Grüße
Christian
Da ist dann wohl was grundsätzlich schief gelaufen mit der Server Installation. "ipnat.sys" zeigt ja ganz klar das du weiterhin NAT machst was du du ja genau NICHT willst. Solange das also noch aktiv ist wirds nix mit dem transparenten routen.
Generell beschreibt das Tutorial die ToDos ausführlich und damit klappt es auch auf Anhieb wenn man alles richtig macht.
Generell beschreibt das Tutorial die ToDos ausführlich und damit klappt es auch auf Anhieb wenn man alles richtig macht.
