Windows Server 2019, 2 NIC, öffentliches und domänen Profil?
Hallo zusammen,
zuerst, bevor es zu Schnappatmung kommt, Entwarnung! Der Server ist ein reiner Just4Fun Experimentierkasten und auch nur in Betrieb, wenn ich gerade rumbastel. ;)
Folgende Sache: Grundlage ist ein KVM Server im Netz auf dem ein Server 2019 läuft. Ziel des Experiments ist es, angelehnt an einen vergangenen Debian-Versuch, eine VPN Verbindung zu erstellen. Auf dem Server sind zwei NIC hinterlegt, die erste soll die Kommunikation ins Netz erhalten (IP Konfigdaten vom Anbiter sind hinterlegt), der zweiten ist ein abgeschottetes vLAN hinterlegt. Aus diesem vLAN Subnetz sollen die VPN Verbinder eine IP bekommen um so mit dem Server zu kommunizieren. Aber soweit ist es ja noch gar nicht.
Zur Zeit ärgere ich mich damit herum, dass beide Netzwerkkarten sich mit der Domäne identifizieren. Mein Plan war eigentlich die ein Karte als "öffentlich" zu hinterlegenlegen und die andere darf dann wegen mir gerne das Domänen-Profil der integrierten Firewall nutzen. Das öffentliche Profil soll dann alles blocken ausser dem VPN.
Ach ja, um VPN zu nutzen hat mich der Rollenassistent gezwungen die AD zu installieren.
Folgende Dinge habe ich schon probiert um die eine Karte in das öffentliche Profil zu zwingen:
Wenn ich den Server nun starte, ist die externe Karte nun mit dem (privaten) "Netzwerk" verbunden und die interne Karte erkennt ein "nicht identifiziertes Netzwerk". Deaktiviere ich nun eine von beiden, springt die andere aktive Karte ins Domänennetzwerk. Aktiviere ich nun wieder die erste Karte, buchen sich beide ins Domänennetzwerk ein.
Danke für eure Ideen & Grüße
zuerst, bevor es zu Schnappatmung kommt, Entwarnung! Der Server ist ein reiner Just4Fun Experimentierkasten und auch nur in Betrieb, wenn ich gerade rumbastel. ;)
Folgende Sache: Grundlage ist ein KVM Server im Netz auf dem ein Server 2019 läuft. Ziel des Experiments ist es, angelehnt an einen vergangenen Debian-Versuch, eine VPN Verbindung zu erstellen. Auf dem Server sind zwei NIC hinterlegt, die erste soll die Kommunikation ins Netz erhalten (IP Konfigdaten vom Anbiter sind hinterlegt), der zweiten ist ein abgeschottetes vLAN hinterlegt. Aus diesem vLAN Subnetz sollen die VPN Verbinder eine IP bekommen um so mit dem Server zu kommunizieren. Aber soweit ist es ja noch gar nicht.
Zur Zeit ärgere ich mich damit herum, dass beide Netzwerkkarten sich mit der Domäne identifizieren. Mein Plan war eigentlich die ein Karte als "öffentlich" zu hinterlegenlegen und die andere darf dann wegen mir gerne das Domänen-Profil der integrierten Firewall nutzen. Das öffentliche Profil soll dann alles blocken ausser dem VPN.
Ach ja, um VPN zu nutzen hat mich der Rollenassistent gezwungen die AD zu installieren.
Folgende Dinge habe ich schon probiert um die eine Karte in das öffentliche Profil zu zwingen:
- regedit --> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\Category = 0
- Erweiterte Einstellungen im TCP/IP --> Erweitert-DNS --> "Adresse dieser Verbindung in DNS registrieren" für die öffentliche Karte entfernt
- In der DNS Server Konsole "Eigenschaften und "Schnittstellen" --> nur die internen IPs (Ver. 4 & 6) zugelassen
- In den Zoneneigenschaften "Name Server-Tabelle" nur die IPs der internen Karte hinterlegt
Wenn ich den Server nun starte, ist die externe Karte nun mit dem (privaten) "Netzwerk" verbunden und die interne Karte erkennt ein "nicht identifiziertes Netzwerk". Deaktiviere ich nun eine von beiden, springt die andere aktive Karte ins Domänennetzwerk. Aktiviere ich nun wieder die erste Karte, buchen sich beide ins Domänennetzwerk ein.
Danke für eure Ideen & Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 487936
Url: https://administrator.de/contentid/487936
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
1 Kommentar
Hallo,
Das heißt der Windows Server hängt direkt am Netz? Beachte, dass Server am öffentlichen Netz nicht für irgendwelche Experimente oder Spielkisten verwendet werden sollten! Damit gefährdest du nicht nur dich selbst sondern im schlimmsten Fall auch andere Teilnehmer.
Das würde ich so nicht machen. Der Remote Access VPN sollte möglichst immer im Routing Modus betrieben werden, d.h. das Tunnel Netz sollte ein separates Netz haben und der VPN Server muss dann Routing betreiben. Hat nicht nur Auswirkung auf die Performance sondern ist auch besser verwaltbarer und sicherer gegenüber Bridging.
Generell würde ich abraten einen Windows Server als Firewall, Router oder VPN Server zu missbrauchen. Sowas macht man immer auf einer richtigen Firewall oder Router.
Viele Grüße
Auf dem Server sind zwei NIC hinterlegt, die erste soll die Kommunikation ins Netz erhalten (IP Konfigdaten vom Anbiter sind hinterlegt)
Das heißt der Windows Server hängt direkt am Netz? Beachte, dass Server am öffentlichen Netz nicht für irgendwelche Experimente oder Spielkisten verwendet werden sollten! Damit gefährdest du nicht nur dich selbst sondern im schlimmsten Fall auch andere Teilnehmer.
Aus diesem vLAN Subnetz sollen die VPN Verbinder eine IP bekommen um so mit dem Server zu kommunizieren. Aber soweit ist es ja noch gar nicht.
Das würde ich so nicht machen. Der Remote Access VPN sollte möglichst immer im Routing Modus betrieben werden, d.h. das Tunnel Netz sollte ein separates Netz haben und der VPN Server muss dann Routing betreiben. Hat nicht nur Auswirkung auf die Performance sondern ist auch besser verwaltbarer und sicherer gegenüber Bridging.
Generell würde ich abraten einen Windows Server als Firewall, Router oder VPN Server zu missbrauchen. Sowas macht man immer auf einer richtigen Firewall oder Router.
Viele Grüße