christianf
Goto Top

Win 2003, zwei Netze, separater Router und kein Internet auf den Clients wenn NAT nicht an ist... aber kein VPN, WENN es an ist..

Hallo, ich habe hier ein kleines Problem. Es gibt einen Router der zwei DSL Modems bedient, danach kommt ein 2003 Server mit 2 NICs und auf der anderen Seite das Netz von Clients. Leider kommen die Clients nicht ins Netz wenn auf dem Server nicht das NAT aktiviert ist. Das soll aber eigentlich nicht sein, denn der Router NATtet schon..

Das Netz sieht so aus:

Router (192.168.254.254) ---- Nic A: 192.168.254.1 WIN2003ServerAlsDC NIC B: 192.168.50.101 ---- Clients (192.168.50.x)

Das 254er Subnetz ist nötig, da der Router auch eine VPN Einwahl bietet und das sonst mit dem DNS und DHCP des Win2003 Servers kollidiert. Details zur Netconfig siehe unten.

Ich habe das Routing und RAS installiert und eingerichtet. Beide NICs sind darin als private NICs gekennzeichnet, denn es ist ja keine direkt ans Internet gehängt. Auf dem Router ist eine statische Route ins 50er Subnetz gebaut. Das funktioniert auch prima, ich kann von den VPN Clients aus Rechner im 50er Subnetz erreichen. Leider komme ich von den Clients aus nicht ins Internet. Ein Tracert auf www.administrator.de verhungert nach dem zweiten Hop (der der Router ist).
Sobald ich die NIC .254.1 des Win2003 Servers als öffentliche NIC kennzeichne und dort das NAT einschalte, komme ich von den Clients aus ins Internet, aber von den VPN Rechnern nicht mehr auf die Rechner im 50er Netz.

Was mache ich falsch? Habe ich irgendwo einen Gegensatz? Soweit ich weiß ist dieses Setup nicht ungewöhnlich, und bei anderen klappt es vermutlich ja auch... irgendwo stimmt was nicht.

Vielleicht hat ja jemand eine Idee.. wäre Euch super dankbar!

Viele Grüße
Christian


PS: Net Details:
Es läuft auf dem Win2003 Server ein DNS und DHCP. Der gibt den Clients IPs aus dem 50.x Netz, und zwar von 50.50 bis 50.90 und bekommen als DefGW und DNS Server die 50.101. DNS Auflösung funktioniert auch.

Content-ID: 138138

Url: https://administrator.de/forum/win-2003-zwei-netze-separater-router-und-kein-internet-auf-den-clients-wenn-nat-nicht-an-ist-aber-kein-vpn-138138.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

kingkong
kingkong 13.03.2010 um 09:10:19 Uhr
Goto Top
Um sicher zu gehen: Dein Win2003 Server hat also uneingeschränkten Internetzugriff? Und die DNS-Auflösung funktioniert also auf den Clients wie auf dem Server auch? Gut, wenn tracert anläuft muss das eigentlich gehen...
Kannst Du von den Clients aus den Router administrieren? Oder ist "Tracert auf www.administrator.de verhungert nach dem zweiten Hop" gleichzusetzen mit "der Rechner versucht, den Router zu erreichen, bekommt aber keine Antwort"? Soll heißen, antwortet der Router noch und der dritte Hop bringt keine Antwort mehr oder bekommt er nicht einmal mehr eine Antwort vom Router? Und was liefert ein tracert Server aus?

Gruß, kingkong
aqui
aqui 13.03.2010 um 11:40:23 Uhr
Goto Top
Dies Tutorial beschreibt dir was bei diesem Szenario zu beachten ist:
ChristianF
ChristianF 13.03.2010 um 15:01:03 Uhr
Goto Top
Hallo Kingkong,

Danke für Deine Hilfe. Zu Deinen Fragen:

- Ja, der 2003er hat uneingeschränkten Internetzugriff. Habe Google News, Windows Updates und noch ein bisschen was ausprobiert, klappt. Pings ins Internet gehen auch problemlos.
- Die DNS Auflösung der Clients geht.
- Ja, das Webif des Routers unter 192.168.254.254 ist von den Clients aus dem 50er Netz aus erreichbar. Nur halt sonst nix anderes internetmäßiges..
- Der Tracert auf www.administrator.de bringt als ersten Hop den 2003 Server, dann als zweiten den Router, beides mit jeweils 3x<1ms oder 1ms, danach nur noch Sternchen...
- Ein Tracert auf den Server von den Clients aus liefert direkt als ersten (und einzigen) Hop den Server aus.

Das Ganze funktioniert nur solange wie ich das NAT ausgeschaltet lasse. Stelle ich das NAT wieder an, kommen die Clients zwar wieder ins Internet, aber die VPN Clients haben keinen Zugriff mehr aufs 50er Netz face-sad

Hast Du vielleicht noch eine Idee?

Gruß
Christian
ChristianF
ChristianF 13.03.2010 um 15:03:00 Uhr
Goto Top
Zitat von @aqui:
Dies Tutorial beschreibt dir was bei diesem Szenario zu beachten ist:




Hi Aqui, das Tutorial kenne ich, ich hatte den Beitrag aufgemacht weil ich vermutlich ein anderes Problem habe. Eine Lösung für das Problem hab ich in dem Tutorial nicht gefunden face-sad Ich hab auch schon einiges an Beiträgen hier gelesen, aber irgendwie scheine ich ziemlich allein mit meinem Problem zu sein...
kingkong
kingkong 13.03.2010 um 16:52:39 Uhr
Goto Top
Hatte oben leider ein kleines Wörtchen vergessen. Ich meinte eigentlich, was ein tracert vom Server aus bringt. Aber wenn er sowieso Internetzugriff hat...
Die Subnetzmaske ist ja richtig gesetzt auf geweils /24 bzw. 255.255.255.0, oder?
Ins Blaue hinein: Kann es sein, dass irgendeine Firewall auf dem Server läuft, die alle Pakete von IP-Adressen, die nicht aus dem lokalen 192.168.er Netz kommen, blockt? Denn wenn ich mir die Situation so anschaue sieht es sehr danach aus.
Läuft vielleicht auf den Clients noch eine Firewall? Und welches OS haben die Clients?
aqui
aqui 16.03.2010 um 20:16:07 Uhr
Goto Top
Ja, das kann sogar sehr gut sein, denn es ist das Standardverhalten der integrierten Windows Firewall. Das du die customizen musst ist doch logisch !
kingkong
kingkong 16.03.2010 um 21:11:01 Uhr
Goto Top
Bisher hat er ja noch nichts verlauten lassen über eventuelle Konfigurationen mit/ohne FW...
ChristianF
ChristianF 16.03.2010 um 21:36:02 Uhr
Goto Top
Sorry, hab die Antwortmails nicht gesehen.

Ich habe die Basisfirewall auf beiden NICs abgestellt. Den Windows-Dienst für die Firewall habe ich deaktiviert. Wenn ich den Button für Windows Firewall in de Systemsteuerung aufrufe sagt Windows, ipnat.sys würde bereits benutzt, obwohl ich im Moment das NATten abgestellt habe da eh keiner den Server nutzt.

Viele Grüße
Christian
aqui
aqui 19.03.2010 um 10:27:20 Uhr
Goto Top
Da ist dann wohl was grundsätzlich schief gelaufen mit der Server Installation. "ipnat.sys" zeigt ja ganz klar das du weiterhin NAT machst was du du ja genau NICHT willst. Solange das also noch aktiv ist wirds nix mit dem transparenten routen.
Generell beschreibt das Tutorial die ToDos ausführlich und damit klappt es auch auf Anhieb wenn man alles richtig macht.